Un hospital universitario de la Comunidad de Madrid nos llamó en marzo con un problema operativo recurrente: cada vez que la auditoría interna revisaba el control de acceso a la planta de oncología pediátrica, encontraba accesos no autorizados de personal que no debía estar allí (técnicos de mantenimiento, personal de limpieza fuera de horario, en algunos casos visitas de familiares de otros pacientes). El sistema de tornos funcionaba, los lectores RFID funcionaban, las rondas se hacían — pero los tres sistemas estaban desacoplados. La tarjeta de un electricista que tenía permiso para entrar al cuadro eléctrico del sótano podía abrir, por error de configuración, la puerta de oncología pediátrica del tercer piso. La ronda detectaba la presencia pero no podía sancionar porque el acceso era técnicamente "válido" según el sistema.
El fallo no era técnico — era de arquitectura de zonas. Un hospital no se controla con "personal autorizado" y "personal no autorizado"; se controla con nueve niveles de zona que combinan función del profesional, horario y autorización específica. Este post explica cómo se diseña ese sistema integrado, cómo se conectan los tornos y lectores RFID con las rondas físicas, y qué exigen los servicios autonómicos de salud y la LO 5/2014 cuando vienen a inspeccionar.
Los nueve niveles de zona de un hospital
Un hospital medio (300–500 camas) opera con nueve niveles de zona que se solapan en planta pero que tienen reglas de acceso independientes:
Zona 0 — Acceso público sin restricción. Hall principal, cafetería, cajeros, zonas de espera. Sin lector, sin torno. Acceso libre en horario público (08:00–22:00). Ronda perimetral cada 60 min en horario diurno, cada 90 min nocturno.
Zona 1 — Acceso público controlado por aforo. Consultas externas, urgencias, sala de espera de quirófanos. Tornos contadores de aforo (no de identidad). Reglas: máximo X personas según AENOR aforo + Plan de Autoprotección. La ronda verifica aforo cada 30 min en picos de demanda.
Zona 2 — Acceso de paciente identificado. Plantas de hospitalización general, neurología, traumatología. Brazalete RFID emitido al ingreso, vinculado a habitación específica. Visitas con tarjeta temporal con horario limitado. La ronda verifica que solo las personas con brazalete o tarjeta válida están en zona y que las habitaciones ocupadas coinciden con el sistema de admisiones.
Zona 3 — Acceso de personal sanitario por servicio. Personal con tarjeta corporativa con derechos limitados a su servicio (cardiología accede a cardiología, no a oncología). Lectores RFID en cada acceso de planta. La ronda verifica que las tarjetas escaneadas en horarios extraños (turnos no programados del profesional) escalan a supervisor.
Zona 4 — Zonas clínicas restringidas (UCI, neonatología, oncología, hemodiálisis). Doble factor: tarjeta corporativa + PIN o biometría. Acceso restringido a personal médico asignado al servicio + familiares en horarios específicos. La ronda no entra en zona estéril, pero verifica el log de accesos cada 60 min y reporta cualquier patrón anómalo.
Zona 5 — Quirófanos y bloque obstétrico. Triple factor: tarjeta + PIN + lector biométrico (huella o vena). Solo personal del bloque quirúrgico durante turno asignado. Trazabilidad exigida por la normativa autonómica de calidad. Ronda externa al bloque cada 30 min en horario de cirugía programada.
Zona 6 — Farmacia hospitalaria y almacenes controlados. Doble factor + doble firma para psicotrópicos (Real Decreto 1675/2012). Acceso solo personal de farmacia + un facultativo de servicio. Ronda con verificación visual de cierre cada 60 min, foto obligatoria del cierre en bitácora.
Zona 7 — Bloque técnico (esterilización central, laboratorio, anatomía patológica). Tarjeta corporativa + horario de servicio. Personal técnico + facultativo responsable. La ronda verifica integridad de cierres cada 90 min.
Zona 8 — Infraestructura crítica (CPD, generadores, depósitos de gases medicinales, almacén de oxígeno líquido). Triple factor + acompañamiento obligatorio en horarios fuera de jornada. Solo personal autorizado expreso por dirección. Ronda prioritaria cada 60 min con verificación de presión de oxígeno y estado de generadores, según Plan de Autoprotección.
La matriz de decisión: tarjeta × horario × zona
El sistema de control de acceso bien diseñado no funciona con derechos por usuario, sino con una matriz que cruza tres dimensiones:
- Identidad del portador (qué tarjeta, qué profesional).
- Horario actual (turno asignado, jornada, festivos).
- Zona solicitada (Z0–Z8).
Cada combinación de las tres dimensiones produce uno de tres resultados:
- Permitido — apertura inmediata, evento "OK" en bitácora.
- Permitido con escalado — apertura inmediata + notificación al supervisor (ej: técnico de electricidad accede a Z8 fuera de horario por emergencia).
- Denegado — torno se mantiene cerrado, evento "DENIED" en bitácora, ronda física verifica el área en los próximos 5 minutos.
Un caso típico: una enfermera de cardiología (tarjeta autorizada a Z3-cardiología) intenta entrar al laboratorio (Z7) un sábado a las 22:00. El sistema cruza: tarjeta válida ✓, zona solicitada ≠ zona autorizada del profesional, horario fuera de turno habitual. Resultado: denegado. El intento se registra y la próxima ronda física verifica que la enfermera no está intentando una vía alternativa.
Integración de tornos, lectores RFID y rondas
Los tres sistemas — torno físico, lector RFID y ronda — deben hablar el mismo lenguaje de eventos. La arquitectura recomendada:
Capa de eventos unificada. Cada apertura, denegación, intento sospechoso y escaneo de ronda produce un evento estructurado con la misma firma (timestamp UTC del servidor, identidad, zona, resultado, dispositivo). Los eventos se persisten en un log append-only que el sistema de rondas también consume.
Reglas correlacionales en tiempo real. Una denegación de acceso en Z4 a las 03:15 dispara automáticamente un evento de prioridad alta en la cola de rondas: el siguiente vigilante disponible debe verificar el área en menos de 5 minutos y registrar el resultado en la bitácora.
Reconciliación periódica. Cada hora el sistema compara los accesos del periodo con las rondas realizadas. Cualquier acceso a zona restringida que no coincida con una verificación física posterior se marca para revisión del supervisor al cierre de turno.
Bitácora unificada exportable. El export para la inspección autonómica de salud o la Subdelegación del Gobierno (LO 4/2015) debe poder reconstruir, para un día arbitrario, el flujo completo: quién entró a cada zona, qué ronda lo verificó, qué incidencias se registraron. PDF/A firmado por el servidor con HMAC.
Normativa específica aplicable
El control de acceso hospitalario en España se rige por un stack normativo más denso que el de un edificio de oficinas:
- LO 5/2014 de Seguridad Privada — art. 5.1.a sobre prestación de vigilancia.
- RD 2364/1994 (Reglamento Seguridad Privada) — libro-registro de servicios.
- Ley 14/1986 General de Sanidad y normativa autonómica de organización sanitaria — exigen control de acceso a zonas clínicas.
- RD 393/2007 (Norma Básica de Autoprotección) — el Plan de Autoprotección debe documentar el sistema de control de acceso.
- RD 1675/2012 sobre receta médica y estupefacientes — doble firma en acceso a farmacia controlada.
- RGPD + LOPDGDD — los datos biométricos son sensibles (art. 9.1 RGPD), exigen base legal específica y AIPD.
- Plan de Prevención de Agresiones del SNS — exige zonas con vigilancia reforzada en urgencias, psiquiatría y salud mental.
- Ley 31/1995 PRL — el personal de seguridad y el sanitario están protegidos; el control de acceso reduce exposición a agresiones documentadas.
- Servicios autonómicos de salud — cada comunidad autónoma tiene normativa adicional (Servicio Andaluz, CatSalut, Servicio Murciano de Salud, etc.) que detalla requisitos de control de acceso por tipo de centro.
La AEPD ha emitido informes sobre biometría en hospitales (informe 0327/2019 y posteriores) que limitan el uso de huella y reconocimiento facial a contextos justificados. La biometría de venas o iris es generalmente preferida sobre huella por tratamiento más restrictivo y menos invasivo.
Errores frecuentes en el diseño
Permisos por usuario en vez de por matriz. Asignar "tarjeta A puede entrar a Z3 y Z4" sin considerar horario produce el caso real con el que abrimos el post: técnicos accediendo a oncología fuera de su turno por error de configuración. La matriz debe ser horario × zona × identidad.
Tornos sin lector de salida. El torno solo cuenta la entrada. Cuando llega la inspección y pide "quién está dentro de quirófano ahora", el sistema no sabe responder. Lectores de entrada y salida son obligatorios en Z4–Z8.
Biometría como factor único. La huella sola viola el principio de minimización del RGPD si hay alternativas. Biometría siempre como factor adicional, nunca primario.
Acceso emergencia sin trazabilidad. El botón rojo de "apertura de emergencia" abre la puerta sin registrar evento. La inspección lo detecta de inmediato. Toda apertura de emergencia debe generar evento crítico, alerta al supervisor y verificación física posterior.
Tarjeta corporativa única para todo el centro. Una sola tarjeta que abre Z3, Z6 y Z7 viola el principio de menor privilegio. Cada profesional debe tener acceso únicamente a las zonas donde efectivamente trabaja, y las excepciones puntuales (un técnico que tiene que entrar a un área fuera de su autorización) se documentan con autorización del supervisor.
Visitas con tarjeta de duración indefinida. La tarjeta temporal de visita debe expirar al final del horario de visita o al alta del paciente, lo que ocurra antes. Sistemas mal configurados dejan tarjetas activas durante semanas tras el alta.
Sin reconciliación entre torno y ronda. El acceso de torno y la ronda física trabajan en paralelo sin cruzarse. Resultado: un intruso que se cuela tras una persona con tarjeta válida no es detectado hasta que rompe algo.
Configuración recomendada por tamaño de centro
Centro de atención primaria (urbano, < 50 personal): Z0–Z3, tornos en hall y consultas. Lectores RFID en farmacia y archivo clínico. Sin biometría. Rondas cada 90 min.
Hospital comarcal (50–150 camas): Z0–Z6, tornos con lector de salida en plantas. RFID con doble factor en farmacia. Biometría opcional en bloque quirúrgico. Rondas cada 60 min.
Hospital de referencia (>250 camas): Z0–Z8 completo. Triple factor en Z5 y Z8. Biometría (venas o iris) en zonas críticas. Integración con CCTV y sistema de gestión de visitas. Rondas cada 60 min con verificación cruzada.
Centro especializado (oncología, salud mental, materno-infantil): Configuración custom por servicio. Acceso restringido más severo en salud mental por riesgo de fuga. Materno-infantil con sistema antirrobo de bebé integrado al control de acceso.
Cómo softwarerondas.com integra control de acceso y rondas
Plataforma diseñada para consumir eventos de los principales sistemas de control de acceso hospitalarios (Salto, dormakaba, Honeywell, ASSA ABLOY) vía webhooks o API REST. Reglas correlacionales en tiempo real: una denegación de acceso en Z4 escala automáticamente como evento de prioridad alta a la cola de rondas. Bitácora unificada que combina apertura de tornos, escaneos de checkpoints, fotos de zonas críticas y eventos del sistema de gestión de visitas, exportable como PDF/A firmado HMAC para la Subdelegación del Gobierno o la inspección autonómica. Compatible con biometría de venas e iris (no exige huella). Soporte específico para Plan de Autoprotección RD 393/2007 con plantilla de cuadro de rondas pre-configurada por tipo de hospital.
Para profundizar
- /blog/accesos-perimetrales-centros-sanitarios — los seis perímetros físicos del hospital y cómo se rondan.
- /blog/nis-2-transposicion-espana-seguridad-privada — los centros sanitarios públicos están en ámbito de aplicación de NIS 2.
- /blog/que-es-software-rondas-de-seguridad — fundamentos del software de rondas. �����������������