Si gestionas una clínica, un centro de salud, una clínica dental, un gabinete de psicología o cualquier consulta médica privada, los datos que tratas cada día —historias clínicas, diagnósticos, pruebas de imagen, medicación— son, en términos legales, datos de categoría especial. El Reglamento General de Protección de Datos (RGPD) los define en su artículo 9 como merecedores del nivel de protección más alto posible, y la legislación española los refuerza con la Ley Orgánica 3/2018 (LOPDGDD) y la Ley 41/2002 de autonomía del paciente. El resultado práctico: el sector salud es, junto con el sector financiero, el que acumula las sanciones más elevadas de la Agencia Española de Protección de Datos (AEPD). Conocer las reglas no es opcional; es una condición de ejercicio profesional.
¿Qué son los datos de salud y por qué merecen protección reforzada?
El RGPD define los datos relativos a la salud como toda información personal que revele el estado físico o mental pasado, presente o futuro de una persona. Esta definición es intencionadamente amplia. No se limita al diagnóstico médico: incluye la mera cita con un especialista (que ya insinúa un estado de salud), los datos de wearables y aplicaciones de bienestar, los resultados de analíticas o el historial farmacológico.
El fundamento de la protección reforzada es doble. Por un lado, la especial sensibilidad social: conocer la salud de alguien puede afectar su empleo, su seguro de vida o sus relaciones. Por otro, el desequilibrio inherente entre el profesional sanitario y el paciente, que se encuentra en una situación de vulnerabilidad cuando acude a una consulta. La norma quiere que ese contexto de confianza se traduzca también en garantías jurídicas sólidas.
Marco normativo aplicable a las clínicas en España (2025-2026)
Las clínicas privadas en España no se rigen por una sola norma, sino por un bloque normativo superpuesto que conviene entender en su conjunto:
| Norma | Ámbito | Aspecto clave para clínicas |
|---|---|---|
| RGPD (UE) 2016/679 | Toda la UE | Marco general; prohíbe el tratamiento de datos de salud salvo excepciones taxativas (art. 9.2) |
| LOPDGDD (LO 3/2018) | España | Desarrolla el RGPD; define el DPO obligatorio para centros sanitarios; amplía derechos del interesado |
| Ley 41/2002 | España | Historia clínica, consentimiento informado, acceso de pacientes a sus datos |
| Ley 14/1986 General de Sanidad | España | Obligación de secreto profesional y confidencialidad |
| Resoluciones AEPD | España | Criterios interpretativos y doctrina sancionadora (publicadas en la web de la AEPD) |
| ENS (RD 311/2022) — si aplica | España | Aplicable si la clínica presta servicios a la Administración Pública o conecta con el SNS |
La clave está en entender que el RGPD no sustituye a la Ley 41/2002 en lo que respecta a la historia clínica: ambas conviven y se complementan. Un paciente puede ejercer su derecho de acceso RGPD y simultáneamente invocar su derecho de acceso a la historia clínica. El centro tiene que gestionar ambas vías.
Las seis bases legales del artículo 9.2 que más usan las clínicas
El artículo 9.1 del RGPD prohíbe tratar datos de salud. El artículo 9.2 establece excepciones tasadas. Las clínicas privadas suelen apoyarse en las siguientes:
- a) Consentimiento explícito del paciente: la vía más directa. Requiere que sea libre, específico, informado e inequívoco. Un consentimiento genérico insertado en la letra pequeña del contrato no es suficiente.
- h) Asistencia sanitaria y tratamiento médico: es la base principal para el tratamiento asistencial ordinario. Permite tratar los datos sin pedir consentimiento reiterado cada vez, siempre que exista una relación asistencial y el tratamiento lo realice personal sujeto a secreto profesional.
- i) Interés público en el ámbito de la salud pública: relevante para clínicas que colaboran con programas de salud pública, vigilancia epidemiológica o control de enfermedades transmisibles.
- j) Fines de investigación científica o estadística: aplicable a ensayos clínicos y estudios retrospectivos, siempre con las garantías adicionales previstas (anonimización, comités éticos, etc.).
Un error frecuente en clínicas privadas es solicitar el consentimiento como base legal para el tratamiento asistencial principal, cuando la base correcta es la letra h). Esto tiene consecuencias: si el paciente «retira» ese consentimiento mal articulado, la clínica podría verse en la situación absurda de no poder seguir prestando asistencia. El consentimiento debe reservarse para tratamientos accesorios: uso de imágenes con fines docentes, envío de newsletters, participación en estudios.
Historia clínica y protección de datos: los puntos de fricción más habituales
La historia clínica es el núcleo del tratamiento de datos en una clínica. La Ley 41/2002 establece que debe conservarse como mínimo cinco años desde el alta de cada proceso asistencial, aunque las comunidades autónomas pueden ampliar ese plazo (y muchas lo hacen hasta diez o quince años). Algunas clínicas, en un malentendido aplicación del principio de minimización del RGPD, destruyen historias antes de que venzan los plazos legales: esto es un error que puede derivar en responsabilidad civil y disciplinaria, además de infringir la normativa de autonomía del paciente.
Los puntos de fricción más comunes que encontramos en los proyectos de adecuación RGPD para el sector sanitario que acompañamos desde Summum Consultoria son:
- Acceso indiscriminado al software de gestión clínica por parte de todo el personal, sin perfiles de usuario diferenciados por función.
- Envío de datos por canales no cifrados: radiografías o informes por WhatsApp, resultados por correo sin cifrar.
- Consentimientos informados que mezclan aspectos sanitarios (Ley 41/2002) con aspectos de protección de datos (RGPD) sin distinguir claramente entre ambos.
- Proveedores de software clínico sin contrato de encargado de tratamiento firmado, o con contratos de 2018 que no cubren las prestaciones de subencargados.
- Ausencia de registro de actividades de tratamiento (RAT), obligatorio en virtud del artículo 30 RGPD para casi cualquier organización que trate datos de categoría especial.
- Cámaras de videovigilancia en salas de espera sin la señalización reglamentaria ni el tratamiento correcto de las imágenes.
El Delegado de Protección de Datos (DPO) en clínicas: ¿cuándo es obligatorio?
El artículo 37 del RGPD establece que la designación de un Delegado de Protección de Datos (DPO) es obligatoria cuando el tratamiento a gran escala de categorías especiales de datos constituya la actividad principal del responsable. La cuestión es si una clínica privada de tamaño medio —digamos, una clínica dental con cuatro sillones o un gabinete de fisioterapia con tres profesionales— entra en esa categoría.
La AEPD, en su guía sobre el DPO, indica que el tratamiento de datos de salud de pacientes como actividad principal del responsable (es decir, cuando sin ese tratamiento no existe la actividad) implica la obligación de DPO, incluso para organizaciones pequeñas. La LOPDGDD, en su artículo 34, concreta y amplía esta lista para España: los centros sanitarios están expresamente mencionados.
Lo que muchas clínicas desconocen es que el DPO puede ser externo. No es necesario contratar a una persona a jornada completa; puede ser un profesional o empresa especializada que preste el servicio de DPO como función externalizada, siempre que cumpla los requisitos de independencia y cualificación del artículo 38 RGPD. Esta es la fórmula más habitual en clínicas privadas de tamaño medio-pequeño en España.
Notificación de brechas de seguridad en 72 horas
El artículo 33 del RGPD establece que, cuando se produzca una violación de seguridad de datos personales, el responsable del tratamiento debe notificarla a la AEPD en un plazo máximo de 72 horas desde que tenga constancia de ella, salvo que sea improbable que suponga un riesgo para los derechos y libertades de los afectados.
En el sector salud, prácticamente cualquier brecha que afecte a datos de historia clínica supera ese umbral de riesgo, por lo que la notificación es casi siempre obligatoria. Adicionalmente, si la brecha es probable que conlleve un alto riesgo para los afectados (por ejemplo, una filtración masiva de diagnósticos o datos de VIH), el responsable debe comunicárselo también directamente a los pacientes afectados.
El proceso de notificación a la AEPD se realiza a través de la herramienta GESTOR DE BRECHAS disponible en la sede electrónica de la AEPD. En la notificación inicial de 72 horas no es necesario disponer de toda la información; el artículo 33.4 prevé que pueda completarse por fases. Lo que no es aceptable es no notificar porque «todavía no se sabe exactamente qué pasó».
Sanciones: lo que la AEPD ha sancionado en el sector salud
El RGPD prevé sanciones de hasta 20 millones de euros o el 4 % del volumen de negocio anual global (el importe mayor). En la práctica, las sanciones a clínicas privadas en España se han movido en rangos más modestos pero económicamente significativos para organizaciones de tamaño medio:
- Acceso no autorizado a historia clínica por personal sin legitimación: sanciones recurrentes en el rango de 50.000 a 150.000 euros.
- Falta de medidas de seguridad técnicas adecuadas (software sin actualizaciones, contraseñas débiles, sin cifrado): sanciones de 20.000 a 60.000 euros.
- Cesión de datos a terceros sin base legal (aseguradoras, empresas de marketing) sin consentimiento explícito: alguna sanción ha superado los 200.000 euros.
- Incumplimiento del deber de información en el momento de la recogida (falta de cláusula RGPD o cláusula defectuosa): sanciones frecuentes de 5.000 a 30.000 euros.
Más allá de la multa económica, las resoluciones de la AEPD son públicas y aparecen en su buscador de resoluciones. El daño reputacional para una clínica que aparece sancionada en ese buscador puede superar con creces el importe de la sanción.
El encargado de tratamiento: el eslabón que más se ignora
Toda clínica trabaja con proveedores externos que acceden a datos de pacientes: el proveedor del software de gestión clínica (HIS, EMR), la empresa de rayos X o laboratorio externo, la gestoría que lleva la facturación, la empresa de mantenimiento informático que tiene acceso remoto a los servidores. Cada uno de ellos es, en términos del RGPD, un encargado de tratamiento.
El artículo 28 del RGPD exige que la relación con cada encargado se formalice mediante un contrato de encargado de tratamiento (DPA) que especifique, entre otros aspectos: el objeto y la duración del tratamiento, la naturaleza y la finalidad, el tipo de datos y las categorías de interesados, las obligaciones y derechos del responsable. En ausencia de este contrato, tanto el responsable como el encargado incurren en infracción.
La práctica habitual —tolerar que el proveedor de software imponga sus propios términos sin revisarlos— deja a la clínica en una posición de riesgo. Desde Summum Consultoria revisamos y negociamos estos contratos como parte del proceso de adecuación RGPD sanitario, porque las cláusulas estándar de los grandes proveedores de software clínico no siempre cumplen todos los requisitos del RGPD europeo.
Lista de verificación básica para una clínica privada
Sin ánimo de ser exhaustivos —cada clínica tiene una casuística propia—, estos son los elementos mínimos que debe tener en regla cualquier centro sanitario privado:
- Registro de Actividades de Tratamiento (RAT) actualizado y documentado.
- Cláusulas informativas RGPD integradas en los formularios de recogida de datos (admisión, cita, etc.).
- Política de privacidad publicada en la web y en las instalaciones físicas.
- DPO designado (interno o externo) y comunicado a la AEPD.
- Contratos de encargado de tratamiento firmados con todos los proveedores relevantes.
- Análisis de Riesgos realizado y, si el tratamiento lo requiere, Evaluación de Impacto (EIPD/DPIA) documentada.
- Procedimiento interno de gestión de brechas de seguridad (quién notifica, en qué plazo, cómo).
- Procedimiento para atender derechos ARCO+ (acceso, rectificación, supresión, oposición, limitación, portabilidad).
- Formación anual del personal en protección de datos y confidencialidad.
- Controles técnicos: perfiles de acceso, cifrado de dispositivos móviles, copias de seguridad, parches de seguridad.
Preguntas frecuentes
¿Una clínica de tres dentistas necesita DPO?
Sí, con alta probabilidad. La LOPDGDD, en su artículo 34, establece expresamente que los centros sanitarios están obligados a designar DPO, sin establecer un umbral mínimo de tamaño. La AEPD ha confirmado esta interpretación en varias resoluciones y en su guía práctica sobre el DPO. El DPO puede ser externo, lo que reduce considerablemente el coste para clínicas pequeñas.
¿Puedo enviar resultados clínicos por WhatsApp si el paciente me lo pide?
Con precaución. El hecho de que el paciente lo solicite no exime al responsable del tratamiento de garantizar un nivel de seguridad adecuado. WhatsApp usa cifrado extremo a extremo, lo que ofrece cierta protección, pero los mensajes quedan almacenados en el teléfono del profesional y del paciente sin control sobre backups, accesos de terceros o pérdida del dispositivo. La recomendación de la AEPD es utilizar canales diseñados para el entorno sanitario (portales de pacientes, mensajería segura). Si se usa WhatsApp de forma excepcional, debe documentarse la solicitud expresa del paciente y los riesgos asumidos.
¿Cuánto tiempo debo conservar la historia clínica?
La Ley 41/2002 establece un mínimo de cinco años desde la fecha de alta de cada proceso asistencial. Sin embargo, las comunidades autónomas pueden ampliar ese plazo mediante normativa propia: Cataluña, por ejemplo, exige quince años para la documentación clínica más relevante (según la Ley 16/2010, de modificación de la Llei 21/2000), y en otras comunidades el plazo puede variar según la especialidad. Hay que verificar siempre la normativa autonómica aplicable. En cualquier caso, destruir historias antes de que venza el plazo aplicable puede generar responsabilidad civil frente al paciente y responsabilidad disciplinaria del profesional.
¿Qué diferencia hay entre el consentimiento sanitario y el consentimiento RGPD?
Son figuras jurídicas distintas que responden a marcos normativos diferentes. El consentimiento sanitario (regulado por la Ley 41/2002) es el que el paciente otorga para que se le practique una intervención médica: tiene que ser informado, libre, específico y documentado. El consentimiento RGPD (artículo 7 del Reglamento) es la base legal que legitima un tratamiento de datos personales determinado. Para el tratamiento asistencial ordinario, la base legal no suele ser el consentimiento RGPD, sino la letra h) del artículo 9.2 (asistencia sanitaria). Mezclar ambos en un mismo documento sin distinguirlos es un error frecuente que genera confusión sobre qué está autorizando exactamente el paciente y puede invalidar ambos tipos de consentimiento.