No sé qué pedir al informático, qué guardar del proveedor ni quién debería revisar accesos y copias.
Ejemplo sintético
Ejemplo de salida tras completar el flujo.
Este ejemplo usa Clínica Demo Salud, una clínica ficticia de 10 personas y una sede. Sirve para ver el tipo de salida antes de rellenar nada: primeras 5 acciones, plan 30/90 días, archivos descargables y borradores revisables.
No contiene pacientes, contratos, contraseñas, secretos ni detalles de incidentes reales. No activa pago, email, IA externa, cuenta ni revisión profesional.
Antes y después
La diferencia es salir con tareas concretas.
Tengo una lista para dirección, IT, proveedor y DPD/asesor de protección de datos, con evidencias que guardar.
Primeras acciones
Lo importante no es el documento: es saber qué hacer el lunes.
Confirmar quién tiene acceso a software clínico, email, agenda y carpetas internas.
Posible evidencia interna de trabajo: checklist de accesos revisado.Solicitar medidas de seguridad, copias, continuidad y contacto de soporte.
Posible evidencia interna de trabajo: respuesta escrita del proveedor.Elegir un archivo o sistema no sensible y confirmar que puede recuperarse.
Posible evidencia interna de trabajo: fecha, resultado y siguiente paso.Recordar no compartir usuarios, no enviar información sensible sin canal adecuado y avisar ante sustos.
Posible evidencia interna de trabajo: fecha del repaso y asistentes por rol.Repetir el repaso si entra un proveedor nuevo, cambia alguien del equipo o hay dudas con copias.
Posible evidencia interna de trabajo: carpeta actualizada y fecha de revisión.Estas posibles evidencias internas ayudan a ordenar el trabajo. No verifican por sí solas que un control exista o esté bien configurado.
Descargas
Qué archivo sirve para qué.
Carpeta de trabajo
Incluye el documento editable, inventario, plan, tablas, borradores y archivos de apoyo. Es lo primero que conviene guardar. Se descarga como .zip y debe quedar con nombre final tipo carpeta-guiada-...zip.
Documento editable
Resumen legible para dirección o para trabajar internamente. Lo reconocerás como 01-carpeta-guiada.doc y no debe enviarse como respuesta externa sin consulta de alcance previa.
Inventario, plan y checklist
Tablas para localizar categorías de información, repartir acciones, revisar proveedores y mantener una rutina mensual sencilla.
Archivo privado de edición
Es el archivo privado para reabrir la guía. Termina en .json y debe quedar con nombre final tipo archivo-privado-para-reabrir-carpeta-guiada-...json. Va fuera del ZIP y está sin cifrar: cualquiera que lo abra puede leerlo. Si no lo guardas, la carpeta sigue sirviendo; solo no podrás reabrir el formulario automáticamente.
Calendario local opcional
Recordatorios locales genéricos. No crea seguimiento profesional ni emails automáticos.
Qué no adjuntar
Una nota recuerda no enviar pacientes, contratos completos, contraseñas, secretos ni el archivo privado para reabrir sin alcance confirmado.
Descarga correcta
Si ves .crdownload, Sin confirmar o Unconfirmed, espera. Si sigue igual, no lo abras, no lo importes ni lo envíes aunque parezca abrirse como ZIP. Repite los botones 1 y 2 y quédate solo con los nombres finales.
Primeros 10 minutos
Cuando abras la carpeta, empieza por lo mínimo.
01-carpeta-guiada.doc, 01-inventario-informacion-y-sistemas.csv, 02-plan-30-90-dias.csv y 04-proveedores-y-evidencias.csv. Con eso ya sabes qué revisar, qué categorías faltan, a quién preguntar y qué guardar como evidencia interna.
Carpetas 05 y 06 son material de trabajo, carpeta 08 es calendario opcional, carpeta 09 sirve para preguntar alcance antes de compartir nada, y las carpetas técnicas son trazabilidad que no necesitas abrir para usar tu carpeta.
La carpeta sigue sirviendo como documentación interna, pero sin el archivo privado para reabrir no se reabre automáticamente el formulario con tus respuestas. No hay recuperación por email ni servidor.
Plan 30/90 días
Una forma simple de repartir trabajo.
Decidir responsable de accesos, guardar la carpeta y revisar qué proveedores faltan.
Confirmar copias, doble verificación, cuentas compartidas y recuperación básica.
Resolver dudas de obligaciones, terceros y textos que salgan fuera de la clínica.
Responder por escrito sobre seguridad, continuidad, soporte y documentación disponible.
Borrador revisable
Ejemplo de texto para un proveedor.
Hola, estamos ordenando nuestra carpeta interna de evidencias. ¿Podéis indicarnos qué documentación básica tenéis sobre copias, continuidad, medidas de seguridad y contacto de soporte? No necesitamos datos de pacientes ni contratos completos para esta primera revisión interna.
Este texto es un punto de partida. Si hay presión externa, aseguradora, concurso o cuestionario de cliente, conviene preparar una consulta de alcance antes de enviarlo como respuesta.
Si una aseguradora pide evidencias
La carpeta ayuda a preparar, no a responder en caliente.
Primero reúne lo básico: proveedores, copias, accesos, responsable si pasa algo y primeras evidencias internas. Después decide con IT, DPD/asesor o revisión profesional qué se puede contestar hacia fuera.
No envíes pacientes, contratos completos, capturas, contraseñas, secretos ni el archivo privado para reabrir. Si el plazo o la petición es importante, prepara una consulta de alcance y presupuesto antes de compartir archivos.
Límites
Qué no debes sacar de este ejemplo.
Esto no es asesoramiento jurídico, auditoría formal, revisión profesional, respuesta a incidentes ni promesa de resultado legal. Tampoco guarda nada en servidor ni recupera por email. Es una muestra sintética para entender el tipo de salida.