Cada vez que una clínica dental abre una historia clínica, digitaliza una radiografía o envía un recordatorio de cita por WhatsApp, está tratando datos de categoría especial en el sentido del artículo 9 del Reglamento General de Protección de Datos (RGPD, Reglamento UE 2016/679). Eso no es un detalle menor: los datos de salud gozan del nivel de protección más elevado que prevé la normativa europea, y su tratamiento incorrecto acarrea sanciones que en España oscilan entre los 10.000 € y los 20 millones de euros, o el 4 % de la facturación anual global, el importe que resulte mayor.
La Agencia Española de Protección de Datos (AEPD) ha sancionado a clínicas dentales, centros de salud y hospitales por brechas de datos, accesos no autorizados a historias clínicas y ausencia de medidas técnicas adecuadas. El sector sanitario es, junto con el financiero y el de telecomunicaciones, uno de los que concentra mayor número de resoluciones sancionadoras. La pregunta no es si tu clínica necesita cumplir el RGPD, sino cuándo y cómo empezar.
En este artículo encontrarás la respuesta completa: qué obliga la norma, cuándo es obligatorio el Delegado de Protección de Datos (DPO), qué funciones tiene, cómo externalizar el rol a un DPO externo y qué pasos concretos debe dar una clínica dental en 2025-2026 para estar en regla.
Por qué las clínicas dentales son un objetivo prioritario de la AEPD
Las clínicas dentales reúnen, en una misma base de datos, información extremadamente sensible: diagnósticos bucodentales, radiografías panorámicas y periapicales, presupuestos vinculados al estado de salud del paciente, tratamientos realizados, medicación prescrita y, en muchos casos, datos de filiación y de facturación. Todo ello bajo una sola empresa, a menudo gestionada con recursos IT mínimos.
La Ley Orgánica 3/2018, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), refuerza el RGPD en el ámbito español y, en su artículo 9, designa expresamente a los centros sanitarios y a los profesionales de la salud como sujetos obligados a cumplir con los requisitos reforzados de tratamiento de datos de salud. Adicionalmente, la Ley 41/2002, de Autonomía del Paciente, fija los derechos del paciente sobre su historia clínica, que se superponen con los derechos del interesado bajo el RGPD (acceso, rectificación, supresión, portabilidad).
El perfil de riesgo alto que asigna la AEPD a estas entidades responde a varios factores concurrentes:
- Volumen elevado de tratamiento de datos de salud, aunque la clínica tenga pocos empleados.
- Uso de software de gestión dental (Gesden, Dentalink, Clinic Cloud, etc.) que puede estar mal configurado en cuanto a permisos de usuario o copias de seguridad.
- Comunicación con pacientes por canales no seguros (WhatsApp personal del profesional, correo sin cifrar).
- Cesión de datos a laboratorios, seguros médicos o financieras de fraccionamiento de pagos sin contratos de encargo del tratamiento actualizados.
- Ausencia de Registro de Actividades de Tratamiento (RAT) y de análisis de riesgos documentado.
¿Cuándo es obligatorio designar un DPO en una clínica dental?
El artículo 37 del RGPD establece tres supuestos de obligatoriedad para nombrar un Delegado de Protección de Datos. Para las clínicas dentales aplican directamente dos de ellos:
- Tratamiento a gran escala de datos de salud (art. 37.1.c RGPD). El Grupo de Trabajo del Artículo 29 —ahora Comité Europeo de Protección de Datos (CEPD)— aclaró en las Directrices sobre los DPO (WP243rev01) que «a gran escala» no se mide solo en número absoluto de pacientes, sino también en la naturaleza del tratamiento, su alcance geográfico y la duración. Una clínica con varios sillones, varias sedes o que gestiona historias clínicas de miles de pacientes activos entra en este umbral.
- Actividad principal que requiere observación sistemática y a gran escala de los interesados (art. 37.1.b RGPD). En el caso de una clínica con implantología, ortodoncia o periodoncia, el seguimiento continuado del estado dental del paciente a lo largo de meses o años puede encuadrarse en este supuesto.
Adicionalmente, la Consulta Vinculante de la AEPD de 2019 sobre el sector sanitario clarificó que los centros de salud y clínicas que traten datos de salud de forma habitual —aunque tengan pocos empleados— deben valorar si están en la obligación. La AEPD recomienda de forma general que cualquier entidad sanitaria designe DPO, incluso cuando no sea estrictamente obligatorio, dado el riesgo intrínseco del tratamiento.
En la práctica, si tu clínica tiene más de un profesional, trata historias clínicas de forma continua o utiliza software de gestión clínica conectado a la nube o compartido con seguros dentales, estás en la obligación o en la frontera de ella. Nombrar un DPO no es un gasto discrecional: es una obligación legal cuyo incumplimiento puede ser sancionado por sí solo.
Qué funciones tiene el DPO en una clínica dental
El DPO no es un abogado que redacta cláusulas y desaparece. El artículo 39 del RGPD le atribuye funciones concretas y continuas que deben ejercerse con independencia efectiva respecto de la dirección de la clínica:
- Informar y asesorar al responsable del tratamiento (el titular de la clínica) y a los encargados sobre las obligaciones que derivan del RGPD y de la LOPDGDD.
- Supervisar el cumplimiento de ambas normas, de las políticas internas de protección de datos y de los procedimientos establecidos, incluida la asignación de responsabilidades y la formación del personal.
- Asesorar sobre la Evaluación de Impacto en la Protección de Datos (EIPD) cuando proceda, y supervisar su aplicación.
- Cooperar con la AEPD y actuar como punto de contacto para las autoridades de control.
- Atender las consultas de pacientes sobre el ejercicio de sus derechos (acceso, rectificación, supresión, oposición, portabilidad, limitación del tratamiento).
- Gestionar o coordinar la respuesta ante brechas de seguridad: el RGPD obliga a notificar a la AEPD en un plazo máximo de 72 horas desde que se tenga conocimiento de la brecha (art. 33 RGPD).
En el contexto específico de una clínica dental, el DPO debe además verificar que los contratos de encargo del tratamiento con laboratorios protésicos, aseguradoras, empresas de financiación y proveedores de software cumplan el artículo 28 del RGPD, y que las transferencias internacionales de datos —si el software está alojado en un servidor fuera de la UE— cuenten con las garantías adecuadas previstas en el Capítulo V del RGPD.
DPO interno vs. DPO externo: tabla comparativa para clínicas dentales
| Criterio | DPO interno | DPO externo |
|---|---|---|
| Coste | Coste laboral elevado (salario + SS); en España, el perfil junior ronda los 35.000-50.000 € brutos/año | Cuota mensual de servicio; sensiblemente inferior para clínicas con un único centro |
| Disponibilidad | Dedicación completa si es exclusivo; conflicto si acumula otras funciones | Disponibilidad pactada contractualmente; respuesta rápida ante incidentes |
| Independencia | Riesgo real de conflicto de intereses si depende jerárquicamente del director médico | Independencia estructural garantizada; el RGPD exige que el DPO no reciba instrucciones sobre sus funciones |
| Conocimiento sectorial | Depende del perfil contratado; puede requerir formación específica en derecho sanitario | Un DPO externo especializado aporta experiencia acumulada de múltiples clínicas y criterios AEPD sectoriales |
| Continuidad | Riesgo de vacante por baja, rotación o despido | El proveedor garantiza cobertura continua del servicio |
| Obligación de registro ante AEPD | Sí, debe comunicarse a la AEPD (datos de contacto publicados) | Sí, igualmente; el proveedor gestiona el trámite de registro |
| Idoneidad para clínicas pequeñas y medianas | Raramente justificable: el volumen no amortiza el coste | Solución habitual y recomendada por la AEPD para pymes sanitarias |
El artículo 37.6 del RGPD permite expresamente que el DPO sea externo a la organización, con base en un contrato de servicios. La AEPD ha confirmado esta posibilidad en múltiples resoluciones. Para una clínica dental de 3 a 15 profesionales, el DPO externo es, en la gran mayoría de los casos, la opción más eficiente y la que mejor garantiza la independencia que exige la norma.
Si quieres conocer en detalle cómo funciona este modelo, el equipo de Summum Consultoría lleva desde 2007 acompañando a organizaciones en el cumplimiento normativo: puedes consultar el servicio de DPO externo con el detalle del alcance, las fases y la metodología de trabajo.
Casos de uso concretos: qué revisa un DPO en una clínica dental
1. Consentimiento del paciente y base jurídica del tratamiento
No todos los tratamientos de datos en una clínica dental se apoyan en el consentimiento. El artículo 9.2 del RGPD prevé otras bases legítimas para datos de salud: la necesidad para la prestación de asistencia sanitaria (letra h), el cumplimiento de obligaciones legales (art. 6.1.c) o el interés vital del interesado (letra d del art. 6, o letra c del art. 9.2). El DPO audita qué base jurídica sustenta cada tratamiento y detecta las frecuentes confusiones que llevan a pedir consentimiento cuando en realidad la base es el contrato de servicios médicos o la Ley 41/2002.
2. Software de gestión clínica y encargados del tratamiento
Si la clínica usa un software SaaS alojado en la nube (Clinic Cloud, Gesden Online, Dentsply Sirona Connect…), el proveedor tiene acceso técnico a los datos clínicos. Debe existir un contrato de encargo del tratamiento conforme al artículo 28 del RGPD que especifique la finalidad, la duración, la naturaleza del tratamiento y las medidas de seguridad. El DPO revisa y actualiza estos contratos, que en muchas clínicas o bien no existen o bien son formularios genéricos desactualizados.
3. Comunicaciones con laboratorios y seguros dentales
Cada vez que la clínica envía datos de un paciente —diagnóstico, medidas, código del trabajo— a un laboratorio protésico externo, existe una cesión de datos de salud. Lo mismo ocurre cuando se envía un presupuesto o un informe a una aseguradora dental (Adeslas, Asisa, DKV, etc.). El DPO verifica que el paciente esté correctamente informado de estas comunicaciones en el contrato de servicios y en la cláusula de información del artículo 13 del RGPD.
4. Canal de WhatsApp con pacientes
El uso de WhatsApp Business —y, peor aún, del WhatsApp personal del odontólogo— para enviar recordatorios de cita, presupuestos o resultados es uno de los incumplimientos más frecuentes que detecta la AEPD. WhatsApp (Meta Platforms Ireland) procesa los metadatos de las comunicaciones y no ofrece las garantías del artículo 28 del RGPD para tratamientos sanitarios. El DPO recomienda alternativas conformes: SMS a través de proveedores con DPA firmado, email con aviso de privacidad o el módulo de comunicación del propio software de gestión clínica.
5. Gestión de brechas de seguridad
Un ransomware que cifra el servidor donde están las radiografías, un portátil del auxiliar extraviado con acceso al software clínico sin cifrado de disco, un correo con el historial de varios pacientes enviado a la dirección equivocada: los tres son brechas de datos personales que deben notificarse a la AEPD en 72 horas (art. 33 RGPD) y, si entrañan alto riesgo, también a los pacientes afectados (art. 34 RGPD). El DPO prepara el procedimiento interno de gestión de brechas y redacta la notificación cuando se produce el incidente.
6. Conservación y supresión de historias clínicas
La Ley 41/2002 establece un período mínimo de conservación de las historias clínicas de 5 años desde la fecha de alta, aunque algunas comunidades autónomas amplían este plazo (por ejemplo, en el País Vasco el período mínimo es de 10 años). Una vez transcurrido el plazo legal, el principio de limitación del plazo de conservación del artículo 5.1.e del RGPD obliga a suprimir o anonimizar los datos. El DPO define la política de retención y organiza las purgas periódicas en el software de gestión.
Obligaciones documentales que el DPO debe mantener al día
Más allá de las funciones de asesoramiento, el DPO es el motor del sistema documental de protección de datos de la clínica. Los documentos esenciales que deben estar actualizados son:
- Registro de Actividades de Tratamiento (RAT): obligatorio para organizaciones con más de 250 empleados (art. 30.5 RGPD), pero recomendado para cualquier clínica dado que trata datos de alto riesgo. Debe recoger, como mínimo, las finalidades del tratamiento, las categorías de interesados y datos, los destinatarios, los plazos de supresión y las medidas de seguridad.
- Cláusulas de información (arts. 13 y 14 RGPD): el documento de «información básica sobre protección de datos» que el paciente recibe y firma en la primera visita.
- Contratos de encargo del tratamiento con todos los terceros que acceden a datos de la clínica.
- Análisis de riesgos: evaluación documentada de los riesgos asociados a cada actividad de tratamiento.
- Evaluación de Impacto en la Protección de Datos (EIPD): obligatoria cuando el tratamiento «pueda entrañar un alto riesgo» (art. 35 RGPD). La Lista de tratamientos que requieren EIPD publicada por la AEPD en 2019 incluye el tratamiento de datos de salud a gran escala, la elaboración de perfiles de pacientes y el uso de nuevas tecnologías de diagnóstico.
- Política de seguridad y protocolos de brecha: procedimiento paso a paso para detectar, contener, analizar, notificar y documentar incidentes de seguridad.
- Registro de ejercicios de derechos: log de las solicitudes de acceso, rectificación, supresión u oposición recibidas y el plazo de respuesta (máximo 1 mes, prorrogable 2 meses en casos complejos, art. 12.3 RGPD).
Sanciones reales de la AEPD al sector dental y sanitario
Las resoluciones sancionadoras de la AEPD son públicas y consultables en su sede electrónica. A continuación se recogen ejemplos representativos del sector sanitario que ilustran los riesgos reales:
- Resolución PS/00381/2022: sanción de 30.000 € a una clínica dental por enviar documentación clínica de un paciente a terceros sin base legal, vulnerando el artículo 5.1.f (confidencialidad) y el artículo 9 (datos de salud) del RGPD.
- Resolución PS/00113/2023: sanción de 15.000 € a un gabinete médico por no atender en plazo una solicitud de acceso a la historia clínica, infringiendo el artículo 12 del RGPD.
- Múltiples resoluciones 2021-2024 contra centros sanitarios por ausencia de contrato de encargo del tratamiento con el proveedor de software clínico, con multas entre 5.000 y 50.000 €.
La AEPD tiene en marcha desde 2023 el Plan Estratégico 2024-2027, que prioriza el sector sanitario como ámbito de supervisión preferente. Las inspecciones de oficio —iniciadas por la propia Agencia sin necesidad de denuncia— son cada vez más frecuentes en clínicas y centros de salud.
Para completar el cumplimiento en el sector sanitario, el equipo de Summum Consultoría también ofrece el servicio de DPO externo para centros sanitarios, que cubre desde el diagnóstico inicial hasta el mantenimiento continuo del sistema.
Cómo implantar el cumplimiento RGPD en una clínica dental: hoja de ruta
El proceso no es complicado si se aborda de forma ordenada. Estas son las fases habituales en un proyecto de adecuación para una clínica dental:
- Auditoría inicial (diagnóstico): inventario de todos los tratamientos de datos existentes, identificación de brechas de cumplimiento, evaluación del software y de los contratos con terceros. Duración estimada: 2-4 semanas.
- Elaboración del sistema documental: redacción del RAT, de las cláusulas de información, de los contratos de encargo y de la política de seguridad. El DPO lidera esta fase con la participación del responsable de la clínica.
- Formación del personal: auxiliares, recepcionistas, higienistas y odontólogos deben conocer los protocolos básicos: cómo responder a un paciente que ejerce sus derechos, qué hacer ante una brecha, qué canales usar para comunicarse con pacientes.
- Implantación de medidas técnicas: cifrado de dispositivos portátiles, configuración de permisos en el software, activación de copias de seguridad verificadas, revisión de contraseñas. Esta fase se coordina con el proveedor IT de la clínica (área Sistemas si se trabaja con Summum grupo).
- Designación y registro del DPO: comunicación formal a la AEPD de los datos de contacto del DPO (obligatorio cuando el nombramiento es exigible por la norma).
- Mantenimiento continuo: revisión anual del sistema, actualización de contratos y documentación ante cambios de software o de proveedores, gestión de ejercicios de derechos e incidentes.
Preguntas frecuentes
¿Una clínica dental unipersonal está obligada a designar DPO?
Depende del volumen y la naturaleza del tratamiento. Una clínica unipersonal con un número reducido de pacientes activos y sin tratamientos sistemáticos a gran escala puede no estar en la obligación estricta del artículo 37 del RGPD. Sin embargo, la AEPD recomienda designar DPO a cualquier entidad sanitaria por la naturaleza de alto riesgo de los datos tratados. Además, las obligaciones del RGPD que no dependen del DPO —RAT, cláusulas de información, contratos de encargo— aplican igualmente. Contar con un DPO externo en modalidad de asesoría básica es, en todo caso, la forma más segura de gestionar el riesgo.
¿El DPO puede ser el propio dentista titular de la clínica?
No es recomendable y, en muchos casos, no es conforme con el RGPD. El artículo 38.3 del RGPD exige que el DPO no reciba instrucciones en el ejercicio de sus funciones y que no sea sancionado por ejercerlas. Un dentista que es al mismo tiempo responsable de las decisiones sobre el tratamiento de datos y DPO tiene un conflicto de intereses estructural. La AEPD ha señalado expresamente esta incompatibilidad en sus guías sobre el DPO. La solución correcta es designar a un profesional externo independiente.
¿Cuánto tiempo tiene la clínica para responder si un paciente pide acceso a su historia clínica?
El artículo 12.3 del RGPD fija un plazo máximo de un mes desde la recepción de la solicitud, prorrogable otros dos meses en casos complejos, siempre que se comunique la prórroga al interesado dentro del primer mes. En paralelo, la Ley 41/2002 establece el derecho del paciente a acceder a su historia clínica, lo que refuerza la obligación. Si la clínica no responde en plazo, el paciente puede presentar reclamación ante la AEPD y la Agencia puede iniciar un procedimiento sancionador.
¿Qué pasa si hay una brecha de seguridad, por ejemplo, un ataque de ransomware?
El artículo 33 del RGPD obliga a notificar la brecha a la AEPD en un plazo máximo de 72 horas desde que la clínica tenga conocimiento de ella, salvo que sea improbable que la brecha suponga un riesgo para los derechos y libertades de los pacientes. Si el riesgo es alto —por ejemplo, si los historiales clínicos quedan expuestos o cifrados sin posibilidad de recuperación—, además hay que informar a los propios pacientes sin dilación indebida (art. 34 RGPD). El DPO coordina todo este proceso: la notificación a la AEPD, la comunicación a pacientes si procede y la documentación del incidente en el registro interno de brechas.