DPO externo para clínicas dentales: guía

·

Una clínica dental constituida como centro sanitario y legalmente obligada a mantener historias clínicas debe designar delegado de protección de datos. La LOPDGDD exceptúa a profesionales de la salud que ejercen individualmente, pero la excepción exige analizar la estructura real: personal, sociedad, centro autorizado, medios compartidos y responsable efectivo. El DPO puede ser externo, debe actuar con independencia y no sustituye la responsabilidad de la clínica.

Cuándo es obligatorio el DPO en odontología

El artículo 37 del RGPD obliga a designar DPO en autoridades y organismos públicos, en tratamientos cuya actividad principal implique observación habitual y sistemática a gran escala y en tratamientos a gran escala de categorías especiales, entre otros supuestos.

En España, el artículo 34.1.l de la LOPDGDD añade expresamente los centros sanitarios legalmente obligados al mantenimiento de historias clínicas. Exceptúa a profesionales de la salud que, aun teniendo esa obligación, ejercen individualmente.

La AEPD resume que centros sanitarios públicos y privados deben disponer de DPO, mientras la excepción se aplica al profesional que actúa de manera privada a título individual. Por ello, una clínica con entidad propia, autorización como centro, varios profesionales o estructura organizativa no debería asumir la excepción sin un análisis documentado.

Matriz orientativa

Situación Criterio inicial Acción prudente
Dentista individual sin estructura de centro Puede encajar en la excepción Documentar forma de ejercicio y revisar artículo 37 RGPD
Clínica dental constituida como centro sanitario Designación obligatoria Nombrar y comunicar DPO
Sociedad con varias consultas o profesionales Normalmente centro sanitario Analizar responsables y designar DPO
Profesional dentro de clínica ajena El centro suele ser responsable Confirmar roles contractuales
Grupo con centros y servicios comunes Tratamientos coordinados y complejos Definir responsables y alcance del DPO

No debe decidirse solo por volumen de pacientes. La condición de centro sanitario y la obligación legal de historia clínica son determinantes en la norma española.

Qué aporta un DPO externo

El DPO informa y asesora, supervisa el cumplimiento, participa en evaluaciones de impacto, coopera con la autoridad y actúa como punto de contacto. Debe recibir acceso oportuno a proyectos y decisiones que afecten a datos.

Un servicio externo puede aportar especialización y continuidad sin crear un puesto interno, pero debe conservar independencia. El contrato necesita alcance, disponibilidad, equipo, sustituciones, confidencialidad, canal directo con dirección y ausencia de conflictos.

El DPO no puede decidir finalidades y medios y después supervisarse. Por ejemplo, quien dirige IT, marketing o explotación de datos puede tener conflicto si determina el tratamiento que debe controlar.

Designación y comunicación

La clínica debe:

  1. Identificar la entidad responsable o las entidades del grupo.
  2. Aprobar la designación y documentar independencia y recursos.
  3. Comunicar los datos de contacto a la AEPD por el canal previsto.
  4. Publicar un contacto accesible para pacientes.
  5. Informar internamente de cuándo debe consultarse al DPO.
  6. Garantizar acceso a dirección sin instrucciones sobre sus conclusiones.

Puede designarse un mismo DPO para varias entidades si resulta accesible y dispone de capacidad. El contrato debe evitar una atención nominal imposible de prestar.

Mapa de tratamientos de una clínica dental

La historia clínica es central, pero no es el único tratamiento:

Cada actividad requiere finalidad, base jurídica, datos, destinatarios, plazos, medidas y responsable. No debe utilizarse el consentimiento como base universal. La asistencia sanitaria y obligaciones legales pueden proporcionar bases específicas; el marketing o la publicación de imágenes exigen análisis separado.

Historias clínicas: custodia y acceso

La Ley 41/2002 exige a los centros mecanismos de custodia activa y diligente. El acceso debe responder a funciones asistenciales, administrativas o legales. No todo el personal necesita ver la historia completa.

Controles mínimos:

Las conversaciones clínicas no deben mantenerse en cuentas personales de mensajería. Si se utiliza una plataforma, debe evaluarse contrato, seguridad, metadatos, ubicación, copias y subencargados.

Fotografías, radiografías y casos clínicos

Las imágenes clínicas son datos de salud cuando se vinculan a una persona o revelan información asistencial. Su uso para diagnóstico forma parte de la asistencia; su utilización en web, redes, formación o congresos es una finalidad distinta.

Antes de reutilizar se debe determinar si existe base válida, limitar elementos identificativos y explicar canal, audiencia, duración y retirada. Tapar los ojos no garantiza anonimización: dentición, rostro, voz, fechas y contexto pueden reidentificar.

El material docente debe separarse del expediente operativo y protegerse. Si puede identificarse a la persona, sigue siendo dato personal.

Proveedores y encargados

Software clínico, nube, soporte, laboratorio, destrucción, call center y copias pueden acceder a datos por cuenta de la clínica. Debe comprobarse si actúan como encargados, responsables independientes o ambos según la operación.

Para encargados, el artículo 28 RGPD exige contrato con objeto, duración, naturaleza, finalidad, datos, personas y obligaciones. El proveedor debe ofrecer garantías suficientes, controlar subencargados, ayudar en derechos e incidentes y devolver o suprimir datos al terminar.

Due diligence mínima

Un contrato firmado no sustituye la comprobación técnica.

Derechos de pacientes

La clínica debe disponer de un canal para acceso, rectificación, supresión, limitación, oposición y otros derechos. La solicitud se identifica sin pedir datos desproporcionados y se registra con fecha, alcance y respuesta.

El acceso a la historia clínica se coordina con la Ley 41/2002 y debe proteger anotaciones subjetivas y derechos de terceros en los términos aplicables. La rectificación de un dato administrativo no equivale a borrar una valoración clínica; debe preservarse integridad y trazabilidad.

La supresión no es automática si existe obligación de conservación o necesidad para responsabilidades. Debe aplicarse una política por categorías y bloqueo cuando proceda, evitando conservar indefinidamente «por si acaso».

Brechas de seguridad

Una clínica debe poder detectar, contener y evaluar pérdida de portátil, ransomware, correo a destinatario equivocado, acceso de exempleado o exposición de copias.

El procedimiento incluye:

  1. Canal interno inmediato.
  2. Contención y preservación de evidencias.
  3. Datos y personas afectadas.
  4. Consecuencias probables.
  5. Medidas adoptadas.
  6. Decisión sobre notificación a la AEPD en el plazo aplicable.
  7. Comunicación a personas si existe alto riesgo.
  8. Registro de toda brecha, se notifique o no.

El proveedor debe avisar sin dilación indebida al responsable. El contrato necesita un plazo operativo más exigente que el máximo del responsable.

Evaluación de impacto

No toda clínica necesita EIPD para todos sus tratamientos, pero debe analizarla cuando sea probable alto riesgo: nuevas tecnologías, biometría, observación sistemática, combinación masiva, IA clínica o perfilado significativo.

La EIPD describe tratamiento, necesidad, proporcionalidad, riesgos para personas y medidas. El DPO asesora, pero la clínica aprueba y asume el riesgo residual.

Plan anual del DPO externo

Inicio

Trimestralmente

Anualmente

El informe debe distinguir incumplimientos, riesgos, recomendaciones y decisiones aceptadas por la dirección.

Cómo elegir un DPO externo

No debe elegirse solo por precio o por entregar plantillas. Conviene valorar:

Pregunte cuántas horas reales incluye, quién atenderá, cómo se documenta el asesoramiento y qué ocurre ante una brecha. Un nombramiento formal sin intervención efectiva no cumple la finalidad de la figura.

Errores frecuentes

  1. Aplicar la excepción del profesional individual a una clínica organizada.
  2. Nombrar DPO sin comunicarlo ni publicar contacto.
  3. Hacer depender al DPO de quien decide los tratamientos.
  4. Usar consentimiento para toda asistencia sanitaria.
  5. Compartir cuentas del software clínico.
  6. Enviar historias por canales personales.
  7. Publicar casos clínicos con anonimización insuficiente.
  8. Firmar contratos sin revisar subencargados ni copias.
  9. Conservar todo indefinidamente.
  10. Avisar tarde al DPO de proyectos o incidentes.

Checklist de implantación

Preguntas frecuentes

¿Toda consulta de un dentista necesita DPO?

No necesariamente. La LOPDGDD exceptúa al profesional sanitario que ejerce individualmente. Una clínica o sociedad con estructura de centro debe analizarse de forma distinta.

¿Puede ser externo?

Sí. Debe reunir conocimientos, independencia, recursos y accesibilidad.

¿El DPO es responsable de una sanción?

La responsabilidad del cumplimiento corresponde al responsable o encargado. El DPO asesora y supervisa con independencia.

¿Puede ser también responsable de IT?

Puede existir conflicto si determina fines y medios del tratamiento. Debe evaluarse la función real, no solo el cargo.

¿Hay que pedir consentimiento para tratar la historia?

La asistencia sanitaria suele apoyarse en otras bases y excepciones legales. Sí debe informarse y analizar separadamente cada finalidad adicional.

¿Puede la clínica usar WhatsApp?

No debe decidirse solo por popularidad. Hay que evaluar contrato, seguridad, metadatos, dispositivo, finalidad, alternativas y expectativa de la persona.

Fuentes oficiales consultadas

Summum Consultoría puede asumir la función externa con un plan basado en riesgo. La designación no sustituye las decisiones de la clínica ni el asesoramiento sanitario específico.