RGPD en clínicas y consultas de salud en España
Las clínicas privadas, consultas unipersonales y centros ambulatorios tratan datos de categorías especiales — en particular datos de salud — con obligaciones reforzadas bajo el Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica 3/2018 (LOPDGDD). Esta guía resume los conceptos clave, los derechos de los pacientes y cómo un software como Klinidesk puede apoyar el cumplimiento técnico, sin sustituir a tu delegado de protección de datos ni a tu asesoría legal.
RGPD y LOPDGDD en el ámbito sanitario privado
El RGPD (Reglamento UE 2016/679) aplica de forma directa en España desde 2018, desarrollado por la Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD). Para una clínica privada, el reglamento afecta a casi todo el ciclo de vida del dato: desde que un paciente llama para pedir cita hasta la conservación del historial clínico, la facturación, las comunicaciones de marketing o la respuesta a una reclamación.
El responsable del tratamiento suele ser la clínica o el profesional titular de la consulta (persona física autónoma o persona jurídica), quien decide para qué se usan los datos y con qué medios. Los empleados y colaboradores actúan como personas con acceso autorizado; si contratas un software en la nube como Klinidesk, el proveedor actúa como encargado del tratamiento en lo que respecta al alojamiento y procesamiento de datos en la plataforma, dentro del contrato y las instrucciones del responsable.
La normativa autonómica de salud puede añadir requisitos sobre historias clínicas, plazos de conservación o coordinación con la sanidad pública. El RGPD no sustituye la legislación sanitaria: coexisten. Una clínica de fisioterapia en Madrid, una consulta de psicología en Valencia o un centro de logopedia en Barcelona comparten el marco europeo, pero conviene revisar guías de la autoridad de protección de datos de tu comunidad autónoma (AEPD a nivel estatal y autoridades autonómicas).
Las sanciones por incumplimiento pueden ser elevadas (hasta el 4 % de la facturación global o 20 millones de euros, el menor de los criterios que proceda según el artículo 83 del RGPD), pero el riesgo cotidiano para una clínica pequeña suele manifestarse en reclamaciones de pacientes, pérdida de confianza, bloqueo de actividades por la autoridad de control o imposibilidad de demostrar diligencia debida en una auditoría. Invertir en procesos claros y herramientas adecuadas es, en la práctica, gestión de riesgo reputacional y legal.
Principios que debes interiorizar: licitud, lealtad y transparencia; limitación de la finalidad; minimización de datos; exactitud; limitación del plazo de conservación; integridad y confidencialidad; y responsabilidad proactiva (accountability). Esto significa documentar decisiones, no recoger datos «por si acaso» y poder demostrar qué hiciste si un paciente pregunta o si hay una inspección.
El tratamiento de datos de salud en el sector privado no está prohibido, pero exige una base jurídica válida del artículo 9 del RGPD (más el artículo 6 para datos identificativos). Las bases más frecuentes en clínicas son el consentimiento explícito del paciente, la necesidad para la prestación asistencial (ejecución de un contrato o medidas precontractuales en ciertos contextos) y, en algunos supuestos, obligaciones legales (facturación, conservación de historias según ley sanitaria). La elección de la base correcta es jurídica, no técnica.
Datos de salud y categorías especiales
Los datos de salud son datos relativos a la salud física o mental de una persona, incluida la prestación de servicios de atención sanitaria, que revelen información sobre su estado de salud. En una clínica ambulatoria esto abarca diagnósticos, informes, notas de sesión de psicología, planes de tratamiento de fisioterapia, pruebas de lenguaje, prescripciones de ejercicio, imágenes clínicas, resultados de tests y cualquier dato biométrico o genético si los tratas.
También son sensibles en muchos contextos los datos que, aunque no describan la salud directamente, permiten inferirla: repetidas ausencias por cita médica, combinación de nombre y especialidad en una lista de espera visible, o documentos sin cifrar en una carpeta compartida. La minimización aconseja separar lo estrictamente necesario para cada finalidad: recepción no necesita el mismo nivel de detalle clínico que el terapeuta.
Los datos identificativos (nombre, DNI, teléfono, email, dirección) no son «categoría especial» por sí solos, pero al vincularse al historial clínico forman parte de un tratamiento de alto riesgo. Por eso las medidas de seguridad del artículo 32 del RGPD (cifrado, control de acceso, auditoría) se aplican al conjunto del expediente, no solo a la nota de evolución.
Los datos de menores requieren especial diligencia: consentimiento de quien ejerce la patria potestad o representación legal según edad y capacidad, información adaptada y protocolos para adolescentes con capacidad de decisión creciente. Una clínica de atención temprana o logopedia infantil debe tener plantillas y flujos específicos.
Los datos de salud no deben usarse para finalidades incompatibles sin nueva base jurídica. Ejemplo: utilizar el email recogido para la historia clínica para enviar promociones de servicios estéticos sin consentimiento de marketing. La segmentación entre «datos asistenciales» y «datos comerciales» debe ser explícita en tu política de privacidad y en la configuración del software.
La conservación no es indefinida. Los plazos dependen de la normativa sanitaria aplicable al tipo de centro, de obligaciones fiscales (facturas) y de prescripción de responsabilidades. Documenta una política de retención: qué se borra o anonimiza al cabo de X años, qué se archiva y quién autoriza la destrucción. El borrado seguro en sistemas digitales puede implicar crypto-shredding (destrucción de claves de cifrado) además del borrado lógico del registro.
Bases de legitimación y finalidades
Cada tratamiento que realices debe apoyarse en una base del artículo 6 del RGPD y, para datos de salud, en una excepción del artículo 9. En clínicas privadas son habituales: (a) consentimiento explícito del paciente para determinadas actuaciones o comunicaciones; (b) tratamiento necesario para la prestación de servicios de atención sanitaria o diagnóstico médico (interpretación según la LOPDGDD y doctrina de la AEPD); (c) cumplimiento de obligaciones legales (facturación, algunos registros); (d) interés vital en situaciones extremas; (e) motivos de interés público en el ámbito de la salud pública cuando aplique.
El consentimiento debe ser libre, específico, informado e inequívoco. Para datos de salud, explícito. Un paciente puede retirar el consentimiento para una finalidad que lo requiera, pero eso no invalida tratamientos previos lícitos ni obligaciones legales de conservación. Diferencia el consentimiento RGPD para tratamiento de datos del consentimiento informado clínico para una intervención: pueden estar relacionados pero no son idénticos.
La gestión de citas y recordatorios suele apoyarse en la relación asistencial o en consentimiento para comunicaciones operativas (WhatsApp, SMS, email). Los recordatorios por WhatsApp en Klinidesk, si activas la feature WHATSAPP, deben configurarse con texto que el paciente haya aceptado previamente en tu política de privacidad o consentimiento específico.
La facturación trata datos identificativos y de transacciones; la base suele ser obligación legal y ejecución contractual. No necesitas consentimiento RGPD para emitir factura, pero sí informar en la política de privacidad. Los datos de salud en la descripción de la línea de factura deben minimizarse («sesión fisioterapia» puede ser suficiente frente a un diagnóstico detallado).
Videollamadas, grabaciones o inteligencia artificial aplicada a notas clínicas son tratamientos con requisitos adicionales: evaluación de impacto (EIPD), información previa y, en muchos casos, consentimiento explícito. Si tu clínica adopta estas tecnologías, documenta la decisión. Klinidesk no sustituye telemedicina nativa ni grabación de sesiones por defecto; si las incorporas con otras herramientas, intégralas en tu registro de actividades.
Los encargados del tratamiento (proveedores de software, hosting, email transaccional) deben firmar contratos de encargo (artículo 28 RGPD) o adherirse a cláusulas tipo. Como responsable, debes verificar que el encargado ofrece garantías suficientes. En la práctica de una clínica pequeña, esto se materializa en los términos del SaaS, el DPA y la ubicación de servidores en la UE cuando sea posible.
Consentimientos informados y privacidad
En el ámbito clínico, el consentimiento informado hace referencia a que el paciente comprende y acepta una actuación sanitaria tras recibir información adecuada sobre riesgos, alternativas y beneficios. En el ámbito RGPD, el consentimiento es una base de legitimación para tratar datos personales, incluidos los de salud, para una o varias finalidades determinadas.
Un mismo documento puede abordar ambos si está bien redactado, pero es más claro separar: (1) información al paciente según artículos 13–14 del RGPD (quién es el responsable, finalidades, plazos, derechos, reclamación ante la AEPD); (2) consentimiento para tratamientos de datos opcionales (marketing, uso de testimonios, comunicaciones por canal concreto); (3) consentimiento informado clínico para procedimientos específicos (p. ej. tratamiento de datos en informes a colegios, derivación a otro profesional).
El consentimiento no puede ser condición para una prestación asistencial si la base jurídica real es otra (prestación sanitaria u obligación legal), salvo que el dato sea estrictamente necesario y no exista alternativa — situación rara en la gestión administrativa básica. Evita cláusulas del tipo «si no acepta el tratamiento de datos, no le atendemos» cuando la base es la relación asistencial.
Klinidesk incluye la feature CONSENTS para envío y firma digital de consentimientos informados. Permite asociar plantillas a la organización, enviar al paciente y registrar la aceptación. Esto facilita la trazabilidad (quién firmó, cuándo, qué versión del documento), pero la redacción legal del contenido es responsabilidad de la clínica. El software proporciona el flujo; el texto debe revisarlo un profesional sanitario o jurídico según tu actividad.
Conserva evidencia de los consentimientos: versión del documento, fecha, identificación del firmante y canal. Si un paciente retira el consentimiento para marketing, marca el dato en tu CRM o en Klinidesk y detén esos envíos. La retirada no borra automáticamente el historial clínico si hay otra base que legitime su conservación.
Menores y tutores: en pediatría y atención temprana, el flujo de firma debe identificar al representante legal. Los adolescentes pueden tener capacidad progresiva según la normativa; adapta las plantillas. El portal del paciente (feature PATIENT_PORTAL en Klinidesk) permite que el paciente acceda a documentos y citas; configura qué ve cada perfil para no exponer datos de otros miembros de la familia en cuentas compartidas.
Derechos del paciente (acceso, rectificación, supresión…)
El RGPD reconoce a los pacientes, como interesados, un conjunto de derechos: acceso, rectificación, supresión («derecho al olvido»), limitación del tratamiento, portabilidad, oposición y a no ser objeto de decisiones automatizadas. En España, la LOPDGDD mantiene el derecho de oposición y los plazos de respuesta (un mes en general, prorrogable dos meses si es complejo).
El derecho de acceso implica facilitar copia de los datos personales tratados y información sobre finalidades, categorías, destinatarios y plazos. En una clínica, prepara un procedimiento interno: quién recibe la solicitud (recepción o dirección), quién extrae los datos (profesional o administración), en qué formato se entrega y cómo se verifica la identidad del solicitante para evitar fugas a terceros.
La rectificación corrige datos inexactos o incompletos. Si el error está en el historial clínico, el profesional sanitario debe validar el cambio. El software debe permitir editar datos identificativos y notas con auditoría de quién modificó qué. Klinidesk registra acciones relevantes mediante `recordAudit` para apoyar esta trazabilidad.
La supresión no es absoluta: puedes negarla si el tratamiento es necesario para cumplir una obligación legal, para el ejercicio de reclamaciones o por motivos de interés público en salud, entre otros supuestos del artículo 17. Una clínica no puede borrar una factura legalmente conservada porque el paciente lo pida, pero sí puede valorar el borrado de datos de contacto para marketing.
El derecho a la portabilidad aplica a datos facilitados por el interesado y tratados por medios automatizados bajo consentimiento o contrato, cuando sea técnicamente posible. Parte del historial clínico generado por el profesional puede quedar fuera del alcance estricto de portabilidad, pero la autoridad de control puede interpretar caso a caso. Ofrecer exportación razonable en formato legible (PDF, CSV de citas) suele ser buena práctica aunque no siempre sea obligación de portabilidad estricta.
La limitación del tratamiento permite «congelar» el uso de datos mientras se resuelve una disputa sobre exactitud u oposición. La oposición permite oponerse a tratamientos basados en interés legítimo o a marketing directo. Documenta cada respuesta: fecha, decisión, motivación jurídica breve y persona responsable. Los plazos importan: una reclamación tardía es un incumplimiento independiente del fondo del asunto.
Si un paciente presenta reclamación ante la AEPD, la autoridad evaluará documentación, medidas de seguridad y procedimientos. Tener registro de actividades, política de privacidad actualizada, contratos con encargados y evidencia de formación al personal refuerza tu posición.
Registro de actividades de tratamiento
El artículo 30 del RGPD exige que los responsables (y, en su caso, encargados) mantengan un registro de las actividades de tratamiento, salvo excepción para organizaciones de menos de 250 personas cuando el tratamiento no sea probable que entrañe riesgo para los derechos y libertades — excepción que rara vez aplica a clínicas que tratan datos de salud de forma habitual. En la práctica, casi toda clínica con historiales digitales debe tener registro.
Cada entrada describe una actividad: nombre, finalidad, categorías de interesados y datos, categorías de destinatarios, transferencias internacionales si las hay, plazos de supresión y medidas de seguridad. Ejemplos de actividades en una clínica pequeña: «Gestión de citas y agenda», «Historial clínico y notas de sesión», «Facturación y cobros», «Comunicaciones y recordatorios», «Consentimientos informados», «Portal del paciente».
El registro no es un trámite burocrático aislado: debe reflejar la realidad. Si usas WhatsApp para recordatorios, debe figurar como canal y encargado (Meta/Ireland) si aplica. Si exportas copias a un gestor externo, ese flujo debe documentarse. Si almacenas backups en un disco local además del SaaS, también.
Las evaluaciones de impacto (EIPD) son obligatorias cuando un tratamiento pueda entrañar alto riesgo, en particular para datos de salud a gran escala o nuevas tecnologías. Muchas clínicas pequeñas pueden no estar obligadas a una EIPD formal completa si el tratamiento es rutinario y con medidas mitigatorias estándar, pero la AEPD recomienda valorarla. Ante duda, consulta las listas de tratamientos que requieren EIPD publicadas por la AEPD.
Los contratos con encargados deben listar instrucciones, confidencialidad, subencargados autorizados y ayuda en respuestas a derechos. Klinidesk, como proveedor SaaS, debe figurar en tu registro con la finalidad «alojamiento y gestión de software de clínica» y las medidas técnicas que el proveedor describe en su documentación (cifrado, hosting UE, etc.).
Actualiza el registro cuando cambies de software, incorpores un módulo nuevo (portal del paciente, chat interno, fichajes TIME_TRACKING) o empieces a tratar nuevos datos (p. ej. datos de empleados en nómina si compartes sistema). Una revisión anual en el calendario de la clínica es un hábito sano.
Cómo ayuda Klinidesk
Klinidesk está diseñado para clínicas en España con requisitos de protección de datos en mente. No certifica por sí solo el cumplimiento del RGPD de tu organización — el responsable sigues siendo tú — pero implementa medidas técnicas y organizativas que facilitan el día a día y la demostración de diligencia.
Cifrado de datos sensibles: el módulo `lib/crypto.ts` implementa cifrado AES-256-GCM a nivel de campo para datos sensibles del paciente (fecha de nacimiento, DNI, teléfono, email, dirección y otros campos configurados). Cada paciente tiene una clave única almacenada cifrada con una clave maestra (`ENCRYPTION_KEY`). La búsqueda exacta sin desencriptar usa HMAC-SHA256 (`HMAC_KEY`) en campos como teléfono o email. El borrado de la clave del paciente (crypto-shredding) hace irrecuperables los campos cifrados, alineado con el derecho de supresión cuando procede.
Auditoría: `recordAudit` en `lib/audit.ts` registra acciones relevantes (creación, actualización, eliminación) sobre recursos como pacientes, historiales, citas, facturas y documentos, con retención configurable (por defecto 365 días en la constante `AUDIT_RETENTION_DAYS`). Esto apoya el artículo 30 y las investigaciones internas, aunque no sustituye el registro de actividades en sí.
Control de acceso multi-tenant: todas las consultas de negocio filtran por `organizationId` de la sesión autenticada. Un profesional de la clínica A no accede a pacientes de la clínica B. Los roles (administrador, terapeuta, recepción, paciente en portal) limitan la superficie de exposición. El middleware y las server actions validan sesión antes de mutaciones.
Consentimientos: con la feature CONSENTS activa, puedes gestionar plantillas y firma digital, vinculando el documento al expediente. El portal del paciente (PATIENT_PORTAL) expone citas y documentos al interesado de forma autenticada. Configura qué módulos están activos por organización desde el panel de features.
Documentos clínicos: los archivos subidos se almacenan en rutas privadas (no en `/public`), con acceso mediado por API autenticada. Evita subir documentos con datos de salud a carpetas compartidas sin cifrar fuera del sistema.
Chat interno (CHAT) y fichajes (TIME_TRACKING) tratan datos de empleados además de pacientes; inclúyelos en tu registro de actividades y políticas de uso aceptable. WhatsApp (WHATSAPP) para recordatorios implica datos de contacto y metadatos de mensajería; informa al paciente y valora el contrato con el proveedor de mensajería.
Klinidesk no incluye delegado de protección de datos ni genera automáticamente tu política de privacidad. Proporciona la infraestructura. Debes completar documentación legal, formación al equipo y procedimientos de respuesta a derechos en tu organización.
Checklist operativo para una clínica pequeña
1. Nombra un responsable interno de privacidad (puede ser el titular de la clínica o un perfil administrativo con formación básica). Valora un delegado de protección de datos externo si el volumen o el riesgo lo aconsejan.
2. Redacta o actualiza la política de privacidad y la información en recepción (cartel, web, email de bienvenida). Incluye finalidades, bases, plazos, derechos y contacto.
3. Elabora el registro de actividades de tratamiento con una ficha por cada flujo real (agenda, historial, facturación, marketing, consentimientos, portal).
4. Firma contratos de encargo con proveedores que traten datos por tu cuenta (software, hosting, email, WhatsApp si aplica).
5. Define quién puede ver qué en el software: cuentas personales, contraseñas fuertes, cierre de sesión en equipos compartidos de recepción.
6. Activa cifrado y backups: verifica que las variables de entorno de cifrado están configuradas en producción y que tienes política de copias.
7. Implementa plantillas de consentimiento revisadas por un profesional (clínico + jurídico si es posible). Usa el módulo CONSENTS de Klinidesk si está disponible en tu plan.
8. Escribe un procedimiento de respuesta a derechos (acceso, supresión, etc.) con plazos y verificación de identidad.
9. Forma al equipo en no compartir capturas de pantalla con datos de pacientes por mensajería personal ni usar USB sin cifrar.
10. Revisa anualmente o cuando cambies de software, de ubicación o de tipo de tratamiento (p. ej. nuevos servicios de teleasistencia).
Este checklist es operativo, no exhaustivo. Las clínicas con ensayos, datos genéticos, grandes volúmenes de pacientes o tratamiento transfronterizo necesitan análisis adicionales. Combínalo con la guía de la AEPD para el sector salud y asesoramiento legal específico.
Preguntas frecuentes sobre RGPD en clínicas
¿Una consulta unipersonal de psicología o fisioterapia está sujeta al RGPD?
¿Cuál es la diferencia entre consentimiento informado clínico y consentimiento RGPD?
¿Puedo enviar recordatorios de cita por WhatsApp sin infringir el RGPD?
¿Cuánto tiempo debo conservar el historial clínico?
¿Qué es el registro de actividades de tratamiento y dónde lo guardo?
¿Klinidesk cumple el RGPD por sí solo?
¿Cómo funciona el cifrado de datos del paciente en Klinidesk?
¿Qué debo hacer si un paciente pide acceso a todos sus datos?
¿Puedo usar el interés legítimo para tratar datos de salud?
¿Necesito evaluación de impacto (EIPD) en mi clínica pequeña?
Prueba Klinidesk
Gestiona tu clínica con menos carga administrativa
14 días de prueba gratuita sin tarjeta. O agenda una demo guiada con nuestro equipo.