Politica de privacidad y evidencia para material clinico LABIS¶
Fecha: 2026-05-07
Aplica a: todos los frentes del monorepo labis-eppa-software
1. Clasificacion de sensibilidad¶
| Nivel | Descripcion | Ejemplos | Tratamiento |
|---|---|---|---|
| S0-public | Sin datos personales ni clinicos | Codigo fuente, configs, docs genericos | Git normal |
| S1-internal | Datos de lab sin identificacion de pacientes | Datasets anonimizados, resultados agregados | Git + LFS para binarios |
| S2-sensitive | Datos con identificacion indirecta | Fotos corporales sin rostro, .mat con iniciales | Git LFS, manifest obligatorio |
| S3-restricted | Datos con identificacion directa | Nombres completos, DNI, fotos con rostro, historias clinicas | NO versionar. Storage privado externo |
2. Que se versiona y donde¶
| Tipo de archivo | Extension | LFS | Sensibilidad tipica | Regla |
|---|---|---|---|---|
| MATLAB data | .mat, .fig | SI | S2 | Manifest obligatorio, anonimizar ID si posible |
| Imagenes clinicas | .jpg, .png | SI | S2-S3 | Nunca con rostro visible. Anonimizar nombre archivo |
| Videos | .mp4, .webm, .avi | SI | S2-S3 | Solo frames procesados, no video raw de pacientes |
| Planillas | .xlsx, .csv | SI (.xlsx) | S1-S2 | Remover columnas PII antes de commit |
| PDFs/Docs | .pdf, .docx | SI | S1-S2 | Verificar que no contengan nombres en metadata |
| HTML reports | .html | NO | S1-S2 | Verificar contenido antes de commit |
| Codigo fuente | .py, .m, .ts | NO | S0 | Sin restricciones |
3. Reglas de anonimizacion¶
- Nombres de archivo: Usar formato
ID_CODIGO_fechaen lugar de nombre real del paciente - Dentro de archivos: Reemplazar nombres por codigos (ej:
Paciente_001,ALCZ,DN) - Metadata: Limpiar metadata EXIF de imagenes antes de commit
- Reportes: Nunca incluir nombre completo + diagnostico en texto plano
4. Manifest obligatorio para archivos sensibles¶
Todo archivo S2 o superior debe tener una entrada en el manifest del frente correspondiente (fronts/<frente>/docs/source-manifest.tsv) con estos campos:
| Campo | Obligatorio | Descripcion |
|---|---|---|
| path | SI | Ruta relativa al archivo |
| sha256 | SI | Hash SHA-256 del archivo |
| sensitivity | SI | S0, S1, S2, S3 |
| source | SI | Origen (gmail, drive, local, whatsapp) |
| storage_decision | SI | git-lfs, external-only, redacted-copy |
| date_added | SI | Fecha de ingreso al repo |
| notes | NO | Contexto adicional |
5. Patrones prohibidos en commits¶
Los siguientes patrones deben ser rechazados en PR review:
- Archivos con nombre de paciente completo (nombre + apellido) en el path
- Archivos .mat/.jpg/.png sin entrada en manifest
- Archivos S3 commiteados directamente (deben ir a storage externo)
- PDFs con metadata de autor que contenga datos de pacientes
- CSVs con columnas tipo
nombre,apellido,dni,telefonosin anonimizar
6. Storage externo para S3¶
Archivos S3-restricted NO se versionan en git. Se almacenan en:
- Google Drive compartido del laboratorio (carpeta privada)
- Con referencia en manifest: storage_decision=external-only, campo external_ref con link o path
7. Citacion de fuentes en reportes¶
Al usar datos clinicos en reportes o analisis:
1. Citar el manifest entry (path + sha256)
2. No incluir datos que permitan identificar al paciente
3. Usar codigos anonimos consistentes con el manifest
4. Marcar claims derivados de datos clinicos como [basado en datos S2]
8. Gate humano¶
Las siguientes acciones requieren confirmacion explicita de Luis: - Agregar archivos S2 nuevos al repo - Cambiar clasificacion de sensibilidad - Compartir datos S2+ fuera del equipo - Borrar o archivar datos clinicos - Subir datos a servicios externos (Claude, Codex, etc.)
9. Checklist para PRs con datos sensibles¶
Ver .github/PULL_REQUEST_TEMPLATE.md para el checklist automatico.