Protección de datos en clínicas: guía RGPD del sector salud

·

Si gestionas una clínica, un centro de salud, una clínica dental, un gabinete de psicología o cualquier consulta médica privada, los datos que tratas cada día —historias clínicas, diagnósticos, pruebas de imagen, medicación— son, en términos legales, datos de categoría especial. El Reglamento General de Protección de Datos (RGPD) los define en su artículo 9 como merecedores del nivel de protección más alto posible, y la legislación española los refuerza con la Ley Orgánica 3/2018 (LOPDGDD) y la Ley 41/2002 de autonomía del paciente. El resultado práctico: el sector salud es, junto con el sector financiero, el que acumula las sanciones más elevadas de la Agencia Española de Protección de Datos (AEPD). Conocer las reglas no es opcional; es una condición de ejercicio profesional.

¿Qué son los datos de salud y por qué merecen protección reforzada?

El RGPD define los datos relativos a la salud como toda información personal que revele el estado físico o mental pasado, presente o futuro de una persona. Esta definición es intencionadamente amplia. No se limita al diagnóstico médico: incluye la mera cita con un especialista (que ya insinúa un estado de salud), los datos de wearables y aplicaciones de bienestar, los resultados de analíticas o el historial farmacológico.

El fundamento de la protección reforzada es doble. Por un lado, la especial sensibilidad social: conocer la salud de alguien puede afectar su empleo, su seguro de vida o sus relaciones. Por otro, el desequilibrio inherente entre el profesional sanitario y el paciente, que se encuentra en una situación de vulnerabilidad cuando acude a una consulta. La norma quiere que ese contexto de confianza se traduzca también en garantías jurídicas sólidas.

Marco normativo aplicable a las clínicas en España (2025-2026)

Las clínicas privadas en España no se rigen por una sola norma, sino por un bloque normativo superpuesto que conviene entender en su conjunto:

Norma Ámbito Aspecto clave para clínicas
RGPD (UE) 2016/679 Toda la UE Marco general; prohíbe el tratamiento de datos de salud salvo excepciones taxativas (art. 9.2)
LOPDGDD (LO 3/2018) España Desarrolla el RGPD; define el DPO obligatorio para centros sanitarios; amplía derechos del interesado
Ley 41/2002 España Historia clínica, consentimiento informado, acceso de pacientes a sus datos
Ley 14/1986 General de Sanidad España Obligación de secreto profesional y confidencialidad
Resoluciones AEPD España Criterios interpretativos y doctrina sancionadora (publicadas en la web de la AEPD)
ENS (RD 311/2022) — si aplica España Aplicable si la clínica presta servicios a la Administración Pública o conecta con el SNS

La clave está en entender que el RGPD no sustituye a la Ley 41/2002 en lo que respecta a la historia clínica: ambas conviven y se complementan. Un paciente puede ejercer su derecho de acceso RGPD y simultáneamente invocar su derecho de acceso a la historia clínica. El centro tiene que gestionar ambas vías.

Las seis bases legales del artículo 9.2 que más usan las clínicas

El artículo 9.1 del RGPD prohíbe tratar datos de salud. El artículo 9.2 establece excepciones tasadas. Las clínicas privadas suelen apoyarse en las siguientes:

Un error frecuente en clínicas privadas es solicitar el consentimiento como base legal para el tratamiento asistencial principal, cuando la base correcta es la letra h). Esto tiene consecuencias: si el paciente «retira» ese consentimiento mal articulado, la clínica podría verse en la situación absurda de no poder seguir prestando asistencia. El consentimiento debe reservarse para tratamientos accesorios: uso de imágenes con fines docentes, envío de newsletters, participación en estudios.

Historia clínica y protección de datos: los puntos de fricción más habituales

La historia clínica es el núcleo del tratamiento de datos en una clínica. La Ley 41/2002 establece que debe conservarse como mínimo cinco años desde el alta de cada proceso asistencial, aunque las comunidades autónomas pueden ampliar ese plazo (y muchas lo hacen hasta diez o quince años). Algunas clínicas, en un malentendido aplicación del principio de minimización del RGPD, destruyen historias antes de que venzan los plazos legales: esto es un error que puede derivar en responsabilidad civil y disciplinaria, además de infringir la normativa de autonomía del paciente.

Los puntos de fricción más comunes que encontramos en los proyectos de adecuación RGPD para el sector sanitario que acompañamos desde Summum Consultoria son:

El Delegado de Protección de Datos (DPO) en clínicas: ¿cuándo es obligatorio?

El artículo 37 del RGPD establece que la designación de un Delegado de Protección de Datos (DPO) es obligatoria cuando el tratamiento a gran escala de categorías especiales de datos constituya la actividad principal del responsable. La cuestión es si una clínica privada de tamaño medio —digamos, una clínica dental con cuatro sillones o un gabinete de fisioterapia con tres profesionales— entra en esa categoría.

La AEPD, en su guía sobre el DPO, indica que el tratamiento de datos de salud de pacientes como actividad principal del responsable (es decir, cuando sin ese tratamiento no existe la actividad) implica la obligación de DPO, incluso para organizaciones pequeñas. La LOPDGDD, en su artículo 34, concreta y amplía esta lista para España: los centros sanitarios están expresamente mencionados.

Lo que muchas clínicas desconocen es que el DPO puede ser externo. No es necesario contratar a una persona a jornada completa; puede ser un profesional o empresa especializada que preste el servicio de DPO como función externalizada, siempre que cumpla los requisitos de independencia y cualificación del artículo 38 RGPD. Esta es la fórmula más habitual en clínicas privadas de tamaño medio-pequeño en España.

Notificación de brechas de seguridad en 72 horas

El artículo 33 del RGPD establece que, cuando se produzca una violación de seguridad de datos personales, el responsable del tratamiento debe notificarla a la AEPD en un plazo máximo de 72 horas desde que tenga constancia de ella, salvo que sea improbable que suponga un riesgo para los derechos y libertades de los afectados.

En el sector salud, prácticamente cualquier brecha que afecte a datos de historia clínica supera ese umbral de riesgo, por lo que la notificación es casi siempre obligatoria. Adicionalmente, si la brecha es probable que conlleve un alto riesgo para los afectados (por ejemplo, una filtración masiva de diagnósticos o datos de VIH), el responsable debe comunicárselo también directamente a los pacientes afectados.

El proceso de notificación a la AEPD se realiza a través de la herramienta GESTOR DE BRECHAS disponible en la sede electrónica de la AEPD. En la notificación inicial de 72 horas no es necesario disponer de toda la información; el artículo 33.4 prevé que pueda completarse por fases. Lo que no es aceptable es no notificar porque «todavía no se sabe exactamente qué pasó».

Sanciones: lo que la AEPD ha sancionado en el sector salud

El RGPD prevé sanciones de hasta 20 millones de euros o el 4 % del volumen de negocio anual global (el importe mayor). En la práctica, las sanciones a clínicas privadas en España se han movido en rangos más modestos pero económicamente significativos para organizaciones de tamaño medio:

Más allá de la multa económica, las resoluciones de la AEPD son públicas y aparecen en su buscador de resoluciones. El daño reputacional para una clínica que aparece sancionada en ese buscador puede superar con creces el importe de la sanción.

El encargado de tratamiento: el eslabón que más se ignora

Toda clínica trabaja con proveedores externos que acceden a datos de pacientes: el proveedor del software de gestión clínica (HIS, EMR), la empresa de rayos X o laboratorio externo, la gestoría que lleva la facturación, la empresa de mantenimiento informático que tiene acceso remoto a los servidores. Cada uno de ellos es, en términos del RGPD, un encargado de tratamiento.

El artículo 28 del RGPD exige que la relación con cada encargado se formalice mediante un contrato de encargado de tratamiento (DPA) que especifique, entre otros aspectos: el objeto y la duración del tratamiento, la naturaleza y la finalidad, el tipo de datos y las categorías de interesados, las obligaciones y derechos del responsable. En ausencia de este contrato, tanto el responsable como el encargado incurren en infracción.

La práctica habitual —tolerar que el proveedor de software imponga sus propios términos sin revisarlos— deja a la clínica en una posición de riesgo. Desde Summum Consultoria revisamos y negociamos estos contratos como parte del proceso de adecuación RGPD sanitario, porque las cláusulas estándar de los grandes proveedores de software clínico no siempre cumplen todos los requisitos del RGPD europeo.

Lista de verificación básica para una clínica privada

Sin ánimo de ser exhaustivos —cada clínica tiene una casuística propia—, estos son los elementos mínimos que debe tener en regla cualquier centro sanitario privado:

Preguntas frecuentes

¿Una clínica de tres dentistas necesita DPO?

Sí, con alta probabilidad. La LOPDGDD, en su artículo 34, establece expresamente que los centros sanitarios están obligados a designar DPO, sin establecer un umbral mínimo de tamaño. La AEPD ha confirmado esta interpretación en varias resoluciones y en su guía práctica sobre el DPO. El DPO puede ser externo, lo que reduce considerablemente el coste para clínicas pequeñas.

¿Puedo enviar resultados clínicos por WhatsApp si el paciente me lo pide?

Con precaución. El hecho de que el paciente lo solicite no exime al responsable del tratamiento de garantizar un nivel de seguridad adecuado. WhatsApp usa cifrado extremo a extremo, lo que ofrece cierta protección, pero los mensajes quedan almacenados en el teléfono del profesional y del paciente sin control sobre backups, accesos de terceros o pérdida del dispositivo. La recomendación de la AEPD es utilizar canales diseñados para el entorno sanitario (portales de pacientes, mensajería segura). Si se usa WhatsApp de forma excepcional, debe documentarse la solicitud expresa del paciente y los riesgos asumidos.

¿Cuánto tiempo debo conservar la historia clínica?

La Ley 41/2002 establece un mínimo de cinco años desde la fecha de alta de cada proceso asistencial. Sin embargo, las comunidades autónomas pueden ampliar ese plazo mediante normativa propia: Cataluña, por ejemplo, exige quince años para la documentación clínica más relevante (según la Ley 16/2010, de modificación de la Llei 21/2000), y en otras comunidades el plazo puede variar según la especialidad. Hay que verificar siempre la normativa autonómica aplicable. En cualquier caso, destruir historias antes de que venza el plazo aplicable puede generar responsabilidad civil frente al paciente y responsabilidad disciplinaria del profesional.

¿Qué diferencia hay entre el consentimiento sanitario y el consentimiento RGPD?

Son figuras jurídicas distintas que responden a marcos normativos diferentes. El consentimiento sanitario (regulado por la Ley 41/2002) es el que el paciente otorga para que se le practique una intervención médica: tiene que ser informado, libre, específico y documentado. El consentimiento RGPD (artículo 7 del Reglamento) es la base legal que legitima un tratamiento de datos personales determinado. Para el tratamiento asistencial ordinario, la base legal no suele ser el consentimiento RGPD, sino la letra h) del artículo 9.2 (asistencia sanitaria). Mezclar ambos en un mismo documento sin distinguirlos es un error frecuente que genera confusión sobre qué está autorizando exactamente el paciente y puede invalidar ambos tipos de consentimiento.