DPO externo para clínicas dentales: obligaciones RGPD

·

Cada vez que una clínica dental abre una historia clínica, digitaliza una radiografía o envía un recordatorio de cita por WhatsApp, está tratando datos de categoría especial en el sentido del artículo 9 del Reglamento General de Protección de Datos (RGPD, Reglamento UE 2016/679). Eso no es un detalle menor: los datos de salud gozan del nivel de protección más elevado que prevé la normativa europea, y su tratamiento incorrecto acarrea sanciones que en España oscilan entre los 10.000 € y los 20 millones de euros, o el 4 % de la facturación anual global, el importe que resulte mayor.

La Agencia Española de Protección de Datos (AEPD) ha sancionado a clínicas dentales, centros de salud y hospitales por brechas de datos, accesos no autorizados a historias clínicas y ausencia de medidas técnicas adecuadas. El sector sanitario es, junto con el financiero y el de telecomunicaciones, uno de los que concentra mayor número de resoluciones sancionadoras. La pregunta no es si tu clínica necesita cumplir el RGPD, sino cuándo y cómo empezar.

En este artículo encontrarás la respuesta completa: qué obliga la norma, cuándo es obligatorio el Delegado de Protección de Datos (DPO), qué funciones tiene, cómo externalizar el rol a un DPO externo y qué pasos concretos debe dar una clínica dental en 2025-2026 para estar en regla.

Por qué las clínicas dentales son un objetivo prioritario de la AEPD

Las clínicas dentales reúnen, en una misma base de datos, información extremadamente sensible: diagnósticos bucodentales, radiografías panorámicas y periapicales, presupuestos vinculados al estado de salud del paciente, tratamientos realizados, medicación prescrita y, en muchos casos, datos de filiación y de facturación. Todo ello bajo una sola empresa, a menudo gestionada con recursos IT mínimos.

La Ley Orgánica 3/2018, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), refuerza el RGPD en el ámbito español y, en su artículo 9, designa expresamente a los centros sanitarios y a los profesionales de la salud como sujetos obligados a cumplir con los requisitos reforzados de tratamiento de datos de salud. Adicionalmente, la Ley 41/2002, de Autonomía del Paciente, fija los derechos del paciente sobre su historia clínica, que se superponen con los derechos del interesado bajo el RGPD (acceso, rectificación, supresión, portabilidad).

El perfil de riesgo alto que asigna la AEPD a estas entidades responde a varios factores concurrentes:

¿Cuándo es obligatorio designar un DPO en una clínica dental?

El artículo 37 del RGPD establece tres supuestos de obligatoriedad para nombrar un Delegado de Protección de Datos. Para las clínicas dentales aplican directamente dos de ellos:

  1. Tratamiento a gran escala de datos de salud (art. 37.1.c RGPD). El Grupo de Trabajo del Artículo 29 —ahora Comité Europeo de Protección de Datos (CEPD)— aclaró en las Directrices sobre los DPO (WP243rev01) que «a gran escala» no se mide solo en número absoluto de pacientes, sino también en la naturaleza del tratamiento, su alcance geográfico y la duración. Una clínica con varios sillones, varias sedes o que gestiona historias clínicas de miles de pacientes activos entra en este umbral.
  2. Actividad principal que requiere observación sistemática y a gran escala de los interesados (art. 37.1.b RGPD). En el caso de una clínica con implantología, ortodoncia o periodoncia, el seguimiento continuado del estado dental del paciente a lo largo de meses o años puede encuadrarse en este supuesto.

Adicionalmente, la Consulta Vinculante de la AEPD de 2019 sobre el sector sanitario clarificó que los centros de salud y clínicas que traten datos de salud de forma habitual —aunque tengan pocos empleados— deben valorar si están en la obligación. La AEPD recomienda de forma general que cualquier entidad sanitaria designe DPO, incluso cuando no sea estrictamente obligatorio, dado el riesgo intrínseco del tratamiento.

En la práctica, si tu clínica tiene más de un profesional, trata historias clínicas de forma continua o utiliza software de gestión clínica conectado a la nube o compartido con seguros dentales, estás en la obligación o en la frontera de ella. Nombrar un DPO no es un gasto discrecional: es una obligación legal cuyo incumplimiento puede ser sancionado por sí solo.

Qué funciones tiene el DPO en una clínica dental

El DPO no es un abogado que redacta cláusulas y desaparece. El artículo 39 del RGPD le atribuye funciones concretas y continuas que deben ejercerse con independencia efectiva respecto de la dirección de la clínica:

En el contexto específico de una clínica dental, el DPO debe además verificar que los contratos de encargo del tratamiento con laboratorios protésicos, aseguradoras, empresas de financiación y proveedores de software cumplan el artículo 28 del RGPD, y que las transferencias internacionales de datos —si el software está alojado en un servidor fuera de la UE— cuenten con las garantías adecuadas previstas en el Capítulo V del RGPD.

DPO interno vs. DPO externo: tabla comparativa para clínicas dentales

Criterio DPO interno DPO externo
Coste Coste laboral elevado (salario + SS); en España, el perfil junior ronda los 35.000-50.000 € brutos/año Cuota mensual de servicio; sensiblemente inferior para clínicas con un único centro
Disponibilidad Dedicación completa si es exclusivo; conflicto si acumula otras funciones Disponibilidad pactada contractualmente; respuesta rápida ante incidentes
Independencia Riesgo real de conflicto de intereses si depende jerárquicamente del director médico Independencia estructural garantizada; el RGPD exige que el DPO no reciba instrucciones sobre sus funciones
Conocimiento sectorial Depende del perfil contratado; puede requerir formación específica en derecho sanitario Un DPO externo especializado aporta experiencia acumulada de múltiples clínicas y criterios AEPD sectoriales
Continuidad Riesgo de vacante por baja, rotación o despido El proveedor garantiza cobertura continua del servicio
Obligación de registro ante AEPD Sí, debe comunicarse a la AEPD (datos de contacto publicados) Sí, igualmente; el proveedor gestiona el trámite de registro
Idoneidad para clínicas pequeñas y medianas Raramente justificable: el volumen no amortiza el coste Solución habitual y recomendada por la AEPD para pymes sanitarias

El artículo 37.6 del RGPD permite expresamente que el DPO sea externo a la organización, con base en un contrato de servicios. La AEPD ha confirmado esta posibilidad en múltiples resoluciones. Para una clínica dental de 3 a 15 profesionales, el DPO externo es, en la gran mayoría de los casos, la opción más eficiente y la que mejor garantiza la independencia que exige la norma.

Si quieres conocer en detalle cómo funciona este modelo, el equipo de Summum Consultoría lleva desde 2007 acompañando a organizaciones en el cumplimiento normativo: puedes consultar el servicio de DPO externo con el detalle del alcance, las fases y la metodología de trabajo.

Casos de uso concretos: qué revisa un DPO en una clínica dental

1. Consentimiento del paciente y base jurídica del tratamiento

No todos los tratamientos de datos en una clínica dental se apoyan en el consentimiento. El artículo 9.2 del RGPD prevé otras bases legítimas para datos de salud: la necesidad para la prestación de asistencia sanitaria (letra h), el cumplimiento de obligaciones legales (art. 6.1.c) o el interés vital del interesado (letra d del art. 6, o letra c del art. 9.2). El DPO audita qué base jurídica sustenta cada tratamiento y detecta las frecuentes confusiones que llevan a pedir consentimiento cuando en realidad la base es el contrato de servicios médicos o la Ley 41/2002.

2. Software de gestión clínica y encargados del tratamiento

Si la clínica usa un software SaaS alojado en la nube (Clinic Cloud, Gesden Online, Dentsply Sirona Connect…), el proveedor tiene acceso técnico a los datos clínicos. Debe existir un contrato de encargo del tratamiento conforme al artículo 28 del RGPD que especifique la finalidad, la duración, la naturaleza del tratamiento y las medidas de seguridad. El DPO revisa y actualiza estos contratos, que en muchas clínicas o bien no existen o bien son formularios genéricos desactualizados.

3. Comunicaciones con laboratorios y seguros dentales

Cada vez que la clínica envía datos de un paciente —diagnóstico, medidas, código del trabajo— a un laboratorio protésico externo, existe una cesión de datos de salud. Lo mismo ocurre cuando se envía un presupuesto o un informe a una aseguradora dental (Adeslas, Asisa, DKV, etc.). El DPO verifica que el paciente esté correctamente informado de estas comunicaciones en el contrato de servicios y en la cláusula de información del artículo 13 del RGPD.

4. Canal de WhatsApp con pacientes

El uso de WhatsApp Business —y, peor aún, del WhatsApp personal del odontólogo— para enviar recordatorios de cita, presupuestos o resultados es uno de los incumplimientos más frecuentes que detecta la AEPD. WhatsApp (Meta Platforms Ireland) procesa los metadatos de las comunicaciones y no ofrece las garantías del artículo 28 del RGPD para tratamientos sanitarios. El DPO recomienda alternativas conformes: SMS a través de proveedores con DPA firmado, email con aviso de privacidad o el módulo de comunicación del propio software de gestión clínica.

5. Gestión de brechas de seguridad

Un ransomware que cifra el servidor donde están las radiografías, un portátil del auxiliar extraviado con acceso al software clínico sin cifrado de disco, un correo con el historial de varios pacientes enviado a la dirección equivocada: los tres son brechas de datos personales que deben notificarse a la AEPD en 72 horas (art. 33 RGPD) y, si entrañan alto riesgo, también a los pacientes afectados (art. 34 RGPD). El DPO prepara el procedimiento interno de gestión de brechas y redacta la notificación cuando se produce el incidente.

6. Conservación y supresión de historias clínicas

La Ley 41/2002 establece un período mínimo de conservación de las historias clínicas de 5 años desde la fecha de alta, aunque algunas comunidades autónomas amplían este plazo (por ejemplo, en el País Vasco el período mínimo es de 10 años). Una vez transcurrido el plazo legal, el principio de limitación del plazo de conservación del artículo 5.1.e del RGPD obliga a suprimir o anonimizar los datos. El DPO define la política de retención y organiza las purgas periódicas en el software de gestión.

Obligaciones documentales que el DPO debe mantener al día

Más allá de las funciones de asesoramiento, el DPO es el motor del sistema documental de protección de datos de la clínica. Los documentos esenciales que deben estar actualizados son:

Sanciones reales de la AEPD al sector dental y sanitario

Las resoluciones sancionadoras de la AEPD son públicas y consultables en su sede electrónica. A continuación se recogen ejemplos representativos del sector sanitario que ilustran los riesgos reales:

La AEPD tiene en marcha desde 2023 el Plan Estratégico 2024-2027, que prioriza el sector sanitario como ámbito de supervisión preferente. Las inspecciones de oficio —iniciadas por la propia Agencia sin necesidad de denuncia— son cada vez más frecuentes en clínicas y centros de salud.

Para completar el cumplimiento en el sector sanitario, el equipo de Summum Consultoría también ofrece el servicio de DPO externo para centros sanitarios, que cubre desde el diagnóstico inicial hasta el mantenimiento continuo del sistema.

Cómo implantar el cumplimiento RGPD en una clínica dental: hoja de ruta

El proceso no es complicado si se aborda de forma ordenada. Estas son las fases habituales en un proyecto de adecuación para una clínica dental:

  1. Auditoría inicial (diagnóstico): inventario de todos los tratamientos de datos existentes, identificación de brechas de cumplimiento, evaluación del software y de los contratos con terceros. Duración estimada: 2-4 semanas.
  2. Elaboración del sistema documental: redacción del RAT, de las cláusulas de información, de los contratos de encargo y de la política de seguridad. El DPO lidera esta fase con la participación del responsable de la clínica.
  3. Formación del personal: auxiliares, recepcionistas, higienistas y odontólogos deben conocer los protocolos básicos: cómo responder a un paciente que ejerce sus derechos, qué hacer ante una brecha, qué canales usar para comunicarse con pacientes.
  4. Implantación de medidas técnicas: cifrado de dispositivos portátiles, configuración de permisos en el software, activación de copias de seguridad verificadas, revisión de contraseñas. Esta fase se coordina con el proveedor IT de la clínica (área Sistemas si se trabaja con Summum grupo).
  5. Designación y registro del DPO: comunicación formal a la AEPD de los datos de contacto del DPO (obligatorio cuando el nombramiento es exigible por la norma).
  6. Mantenimiento continuo: revisión anual del sistema, actualización de contratos y documentación ante cambios de software o de proveedores, gestión de ejercicios de derechos e incidentes.

Preguntas frecuentes

¿Una clínica dental unipersonal está obligada a designar DPO?

Depende del volumen y la naturaleza del tratamiento. Una clínica unipersonal con un número reducido de pacientes activos y sin tratamientos sistemáticos a gran escala puede no estar en la obligación estricta del artículo 37 del RGPD. Sin embargo, la AEPD recomienda designar DPO a cualquier entidad sanitaria por la naturaleza de alto riesgo de los datos tratados. Además, las obligaciones del RGPD que no dependen del DPO —RAT, cláusulas de información, contratos de encargo— aplican igualmente. Contar con un DPO externo en modalidad de asesoría básica es, en todo caso, la forma más segura de gestionar el riesgo.

¿El DPO puede ser el propio dentista titular de la clínica?

No es recomendable y, en muchos casos, no es conforme con el RGPD. El artículo 38.3 del RGPD exige que el DPO no reciba instrucciones en el ejercicio de sus funciones y que no sea sancionado por ejercerlas. Un dentista que es al mismo tiempo responsable de las decisiones sobre el tratamiento de datos y DPO tiene un conflicto de intereses estructural. La AEPD ha señalado expresamente esta incompatibilidad en sus guías sobre el DPO. La solución correcta es designar a un profesional externo independiente.

¿Cuánto tiempo tiene la clínica para responder si un paciente pide acceso a su historia clínica?

El artículo 12.3 del RGPD fija un plazo máximo de un mes desde la recepción de la solicitud, prorrogable otros dos meses en casos complejos, siempre que se comunique la prórroga al interesado dentro del primer mes. En paralelo, la Ley 41/2002 establece el derecho del paciente a acceder a su historia clínica, lo que refuerza la obligación. Si la clínica no responde en plazo, el paciente puede presentar reclamación ante la AEPD y la Agencia puede iniciar un procedimiento sancionador.

¿Qué pasa si hay una brecha de seguridad, por ejemplo, un ataque de ransomware?

El artículo 33 del RGPD obliga a notificar la brecha a la AEPD en un plazo máximo de 72 horas desde que la clínica tenga conocimiento de ella, salvo que sea improbable que la brecha suponga un riesgo para los derechos y libertades de los pacientes. Si el riesgo es alto —por ejemplo, si los historiales clínicos quedan expuestos o cifrados sin posibilidad de recuperación—, además hay que informar a los propios pacientes sin dilación indebida (art. 34 RGPD). El DPO coordina todo este proceso: la notificación a la AEPD, la comunicación a pacientes si procede y la documentación del incidente en el registro interno de brechas.