DPO externo para clínicas médicas: cuándo es obligatorio en 2026

·

Si gestionas una clínica médica privada —ya sea de medicina general, fisioterapia, odontología, psicología, oftalmología o cualquier otra especialidad— lo más probable es que estés obligado a designar un Delegado de Protección de Datos (DPO) y a tenerlo debidamente registrado ante la Agencia Española de Protección de Datos (AEPD). El RGPD no deja margen de interpretación cuando se trata de datos de salud: se consideran categoría especial, y eso activa obligaciones específicas que van más allá del cumplimiento básico.

En este artículo explicamos cuándo es exactamente obligatorio el DPO para una clínica, qué funciones debe cumplir, por qué la figura externa es la opción más habitual en la pyme sanitaria, y cuáles son los rangos de precio reales del mercado en España en 2026. No encontrarás aquí tarifas de Summum: las que publicamos son referencias de mercado basadas en fuentes sectoriales.

Qué dice la normativa: RGPD y LOPDGDD

El artículo 37.1 del Reglamento (UE) 2016/679 (RGPD) establece tres supuestos que obligan a designar DPO. El que afecta de lleno al sector sanitario es el recogido en la letra c: cuando el responsable o el encargado del tratamiento realice a gran escala tratamientos de categorías especiales de datos contempladas en el artículo 9. Los datos relativos a la salud son, por definición, categoría especial.

La Ley Orgánica 3/2018 (LOPDGDD), en su artículo 34, amplía los supuestos en el ámbito nacional y menciona expresamente a los centros sanitarios que traten datos de pacientes. La AEPD ha publicado además una guía sobre el DPO que aclara que el criterio de «gran escala» debe interpretarse en función del número de personas afectadas, el volumen de datos, la duración de los tratamientos y el alcance geográfico, pero que en el ámbito sanitario la mera existencia del historial clínico de una base de pacientes activa ya puede ser suficiente.

En la práctica, cualquier clínica con expedientes clínicos activos de pacientes —aunque tenga solo un médico— debe valorar la obligatoriedad. Las clínicas con varios profesionales, varias especialidades o más de un centro lo tienen casi garantizado.

Cuándo es obligatorio el DPO para una clínica privada: tabla de supuestos

Tipo de centro ¿DPO obligatorio? Base legal
Clínica con historia clínica electrónica y más de 200 pacientes activos Sí, con alta probabilidad RGPD art. 37.1.c + LOPDGDD art. 34
Consulta de psicología o psiquiatría (datos sensibles adicionales) RGPD art. 37.1.c y art. 9
Centro de fisioterapia con base de pacientes crónica Sí, en la práctica totalidad de casos RGPD art. 37.1.c
Clínica dental con laboratorio de prótesis externo (tratamiento a gran escala + encargado de tratamiento) RGPD art. 37.1.c
Médico colegiado en ejercicio individual, sin empleados, sin historia digitalizada Probable excepción, análisis caso a caso Considerando 97 RGPD
Clínica con participación de aseguradoras (Sanitas, Adeslas, Asisa…) (flujo de datos a terceros) RGPD arts. 26, 37 y 28

La AEPD ha sancionado a clínicas privadas precisamente por no designar DPO cuando existía la obligación. La cuantía de las multas por infracción del artículo 37 se encuadra en el tramo de infracciones graves del artículo 83.4 del RGPD: hasta 10 millones de euros o el 2 % del volumen de negocio global anual, si bien en pymes el criterio de proporcionalidad rebaja ese techo.

Funciones del DPO en una clínica médica

El DPO no es un simple responsable de firmar documentos. Sus funciones están tasadas en el artículo 39 del RGPD y son exigibles con independencia de si el rol lo desempeña alguien interno o externo:

En el entorno de una clínica privada, el DPO externo también suele encargarse de la formación del personal (médicos, administrativos, personal de limpieza con acceso a zonas con datos), de mantener actualizado el Registro de Actividades de Tratamiento (RAT) —documento obligatorio en virtud del artículo 30 del RGPD— y de revisar los contratos con encargados del tratamiento como laboratorios, proveedores de software de gestión clínica o aseguradoras.

DPO interno vs. DPO externo: por qué las clínicas privadas optan casi siempre por la figura externa

El RGPD permite tanto la designación interna como la externa. Sin embargo, en la pyme sanitaria la balanza se inclina sistemáticamente hacia el DPO externo por varias razones:

Si quieres profundizar en cómo se estructura este servicio para el sector salud, puedes consultar la página de RGPD sanitario de Summum Consultoría, donde se detallan los tratamientos específicos del entorno clínico y las medidas de seguridad exigidas por la normativa española.

Cuánto cuesta un DPO externo para una clínica en España en 2026

Los precios del mercado en España para el servicio de DPO externo en el sector sanitario varían en función de varios factores. A continuación, una tabla de rangos orientativos basada en la oferta del mercado (fuente: análisis sectorial de consultoras especializadas en protección de datos, 2025-2026):

Perfil de clínica Rango de precio anual (aprox.) Factores que elevan el precio
Consulta unipersonal o dúo (1-2 profesionales, 1 centro) 800 € – 1.800 € / año Telemedicina, menores, software cloud de terceros
Clínica pequeña (3-10 profesionales, 1 centro) 1.800 € – 3.500 € / año Especialidades sensibles (psicología, oncología), videovigilancia
Clínica mediana (11-30 profesionales, 1-3 centros) 3.500 € – 7.000 € / año Varios centros, integración con aseguradoras, EHR en nube
Grupo clínico (más de 3 centros o 30+ profesionales) 7.000 € – 15.000 € / año Auditorías anuales, EIPD recurrentes, gestión de incidencias complejas

Nota: estos rangos son orientativos del mercado español en 2026. El precio definitivo depende del alcance contractual pactado con el proveedor elegido. Algunos proveedores facturan por horas adicionales fuera del contrato base; otros incluyen todas las incidencias en la cuota. Compara siempre qué está incluido.

Factores que mueven el precio del DPO externo

El proceso de designación del DPO: pasos concretos

Designar un DPO externo no es simplemente firmar un contrato. El proceso tiene pasos concretos con efectos legales:

  1. Selección y acreditación del DPO. Verificar que el candidato tiene conocimientos especializados en derecho y práctica de protección de datos, con experiencia demostrable en el sector sanitario. El RGPD no exige certificación oficial, pero la AEPD valora positivamente la formación acreditada.
  2. Contrato de prestación de servicios. Debe incluir las funciones del DPO, el compromiso de confidencialidad, la independencia funcional, el acceso a la información necesaria y el punto de contacto para la AEPD.
  3. Comunicación a la AEPD. El artículo 37.7 del RGPD obliga a publicar los datos de contacto del DPO y a comunicarlos a la autoridad de control. En España, esto se hace a través del portal de la AEPD (Sede Electrónica). La omisión de este registro es en sí misma una infracción.
  4. Publicación de datos de contacto. Deben figurar en la política de privacidad del centro y estar disponibles para los pacientes.
  5. Integración en procesos internos. El DPO debe quedar integrado en los protocolos de incidencias, en la revisión de nuevos tratamientos y en los contratos con proveedores tecnológicos.

Sanciones reales de la AEPD a clínicas por incumplimiento

La AEPD ha sancionado de forma sistemática a centros sanitarios en los últimos años. Algunos ejemplos representativos recogidos en el buscador de resoluciones de la AEPD:

El patrón es claro: la AEPD no solo sanciona las brechas consumadas, sino también los incumplimientos formales como la ausencia de DPO registrado o la falta de contratos con encargados del tratamiento. Corregir esos incumplimientos formales con un servicio de DPO externo especializado en el sector sanitario es la forma más directa de eliminar ese riesgo.

DPO externo y ENS: cuándo se superponen las obligaciones

Las clínicas que trabajan con el sistema de salud pública —mediante conciertos con comunidades autónomas o contratos de prestación de servicios al SNS— pueden estar además sujetas al Esquema Nacional de Seguridad (ENS), que exige medidas técnicas y organizativas adicionales sobre los sistemas de información. En ese caso, el DPO externo y el responsable de seguridad ENS deben coordinarse, aunque son figuras distintas con obligaciones diferenciadas.

Preguntas frecuentes

¿Una clínica con un solo médico necesita DPO?

Depende del volumen y la naturaleza de los tratamientos. El considerando 97 del RGPD reconoce que los médicos individuales u otros profesionales de la salud pueden quedar excluidos de la obligación de designar DPO si el tratamiento de datos no se realiza «a gran escala». Sin embargo, la AEPD ha aclarado en su guía sobre el DPO que incluso en consultas pequeñas, la historia clínica digital de cientos de pacientes puede considerarse tratamiento a gran escala en el contexto sanitario. La recomendación práctica: realizar un análisis de riesgo documentado. Si la conclusión es que no es obligatorio, que conste por escrito.

¿Puede ser DPO el propio médico titular de la clínica?

El RGPD no lo prohíbe expresamente, pero presenta problemas graves de independencia. El artículo 38.6 indica que el DPO puede ejercer otras funciones siempre que no generen conflicto de intereses. El médico titular que toma decisiones sobre los tratamientos de datos —cómo se gestiona la historia clínica, qué sistemas se contratan, cómo se comparte información con aseguradoras— tiene un conflicto de intereses estructural para supervisarse a sí mismo. La AEPD ha cuestionado esta figura en varios expedientes.

¿Cuánto tarda en estar operativo un DPO externo?

Una vez firmado el contrato y comunicados los datos del DPO a la AEPD, la figura es formalmente operativa de inmediato. El tiempo necesario para que el DPO externo conozca a fondo los tratamientos de la clínica y esté en condiciones de gestionar incidencias con plenas garantías suele ser de 4 a 8 semanas, durante las cuales se realiza un diagnóstico inicial, se actualiza el RAT y se revisan los contratos con encargados del tratamiento.

¿Qué diferencia hay entre la adecuación al RGPD y el servicio de DPO?

Son dos cosas distintas que habitualmente van juntas. La adecuación al RGPD es el proyecto inicial: inventariar tratamientos, redactar el RAT, elaborar cláusulas informativas, revisar o crear contratos con encargados, implementar medidas de seguridad técnica y organizativa, y registrar el DPO. Es un trabajo de consultoría con inicio y fin. El servicio de DPO externo es el mantenimiento recurrente: supervisar que el cumplimiento se mantiene, asesorar en nuevos tratamientos, gestionar incidencias, actualizar el RAT cuando cambian los procesos. En clínicas que parten de cero, ambos proyectos son necesarios: primero la adecuación, luego el mantenimiento continuo del DPO.