Por qué el RGPD es crítico en una clínica dental
El RGPD se aplica con especial intensidad a las clínicas dentales porque tratan datos de salud, considerados categoría especial por el Art. 9 del Reglamento (UE) 2016/679, regulados conjuntamente con la Ley 41/2002 de autonomía del paciente y la LOPDGDD. Cualquier ficha de paciente — antecedentes médicos, alergias a anestésicos, medicación crónica, radiografías intraorales, ortopantomografías, tomografías CBCT, fotografías clínicas extraorales e intraorales, escaneados intraorales 3D y registros de oclusión — encaja sin discusión en esa categoría especial.
La consecuencia jurídica es directa: el tratamiento solo es lícito si concurre una excepción del Art. 9.2 RGPD, no basta el consentimiento ordinario del Art. 6.1.a. La excepción aplicable por defecto en una clínica dental es la del Art. 9.2.h (asistencia sanitaria por profesional sujeto a secreto profesional con base en Derecho de los Estados miembros), reforzada por el Art. 9.3 que exige que ese profesional o personal equivalente esté obligado al secreto. El secreto profesional sanitario está recogido en el Art. 5.1 del Real Decreto 1594/1994 de odontólogos y en el Art. 16.6 de la Ley 41/2002.
A esa capa sanitaria se suma la capa laboral (RD 8/2019 de registro horario, RD 901/2020 de igualdad, RD 1620/2011 si hay personal doméstico vinculado), la capa de servicios digitales (LSSI-CE para web y comunicaciones electrónicas) y la capa de videovigilancia (Guía AEPD 2024). El cumplimiento dental, por tanto, no se agota en una política de privacidad colgada en la web: exige integrar historia clínica, gestión de personal, comunicaciones con pacientes, cámaras y cesiones a terceros bajo un mismo modelo de gobernanza documentado.
La Agencia Española de Protección de Datos (AEPD) inspecciona el sector con regularidad, normalmente a raíz de denuncias de pacientes, ex-empleados o competidores. Las resoluciones públicas en su buscador acreditan que la falta de base jurídica reforzada, la publicación de fotografías clínicas sin consentimiento específico o el acceso indebido al software de gestión son los tres motivos recurrentes de sanción.
Historias clínicas y base jurídica del Art. 9.2.h RGPD
La historia clínica dental es el núcleo del tratamiento. Documenta antecedentes, exploración, diagnóstico, plan de tratamiento, consentimientos informados específicos (anestesia, endodoncia, exodoncia, implantes, ortodoncia, blanqueamiento), evolución, complicaciones, presupuestos y facturas. Toda esa información está protegida por el Art. 9 RGPD y, en paralelo, por la Ley 41/2002.
La base jurídica del tratamiento NO es el consentimiento del paciente para que le atiendas. La base es el Art. 9.2.h RGPD (prestación de asistencia sanitaria por profesional sujeto a secreto), combinado con el Art. 6.1.b (ejecución del contrato de prestación de servicios sanitarios) y, donde aplique, el Art. 6.1.c (cumplimiento de obligación legal de archivo y conservación de la historia). El consentimiento del paciente sí es necesario para el acto médico concreto (consentimiento informado del Art. 8 Ley 41/2002), pero ese consentimiento informado es figura distinta de la base de licitud del tratamiento de datos.
Esta distinción tiene impacto operativo importante: si la base es la asistencia sanitaria, el paciente NO puede ejercer válidamente el derecho de supresión sobre su historia clínica mientras dure el plazo de conservación, porque prevalece la obligación legal del Art. 17.1 Ley 41/2002. Sí puede ejercer rectificación, acceso, portabilidad parcial y oposición a tratamientos accesorios (marketing, fidelización).
El plazo mínimo de conservación es de 5 años desde la fecha del alta de cada proceso asistencial, según el Art. 17.1 Ley 41/2002. Las legislaciones autonómicas pueden ampliar ese plazo: Cataluña lo eleva a 15 años desde el fallecimiento o desde el alta del último episodio (Ley 21/2000), País Vasco a 5 años desde el fallecimiento (Decreto 38/2012), Navarra a 20 años (Decreto Foral 26/2015). Una vez transcurrido el plazo legal de conservación, la historia debe destruirse de forma segura o anonimizarse para fines estadísticos o de investigación, conforme al Art. 17.6 Ley 41/2002 y al Art. 89 RGPD.
| Plazo de conservación | Norma | Aplicación |
|---|---|---|
| 5 años desde el alta del proceso | Art. 17.1 Ley 41/2002 | Mínimo estatal |
| 15 años desde el fallecimiento | Ley 21/2000 Cataluña | Pacientes con domicilio en Cataluña |
| 5 años desde el fallecimiento | Decreto 38/2012 País Vasco | Centros sanitarios del País Vasco |
| 20 años desde el fallecimiento | Decreto Foral 26/2015 Navarra | Centros sanitarios de Navarra |
| 4 años fiscales | Art. 66 Ley General Tributaria | Prescripción de obligaciones fiscales (facturación) |
| 6 años contables | Art. 30 Código de Comercio | Libros, correspondencia y soporte documental contable |
EIPD obligatoria: cuándo y cómo
La Evaluación de Impacto en Protección de Datos (EIPD) es obligatoria cuando el tratamiento pueda entrañar un alto riesgo para derechos y libertades, según el Art. 35 RGPD. La AEPD publicó en 2018 el Listado de tratamientos sujetos a EIPD, donde se incluye explícitamente el tratamiento sistemático y a gran escala de datos de salud por centros sanitarios. La clínica dental encaja en ese supuesto desde el momento en que mantiene una agenda recurrente con varios cientos de historias activas.
La duda recurrente es qué se entiende por "gran escala". Las Directrices WP243 del antiguo Grupo de Trabajo del Art. 29, asumidas por el Comité Europeo de Protección de Datos (CEPD), proponen como factores el número de pacientes en términos absolutos o como porcentaje de la población, el volumen y variedad de datos, la duración del tratamiento y el alcance geográfico. Una clínica con menos de 500 pacientes activos suele quedar fuera del concepto de gran escala, pero el simple hecho de tratar categorías especiales del Art. 9 ya activa otros criterios del Art. 35.3 RGPD que pueden hacer la EIPD igualmente exigible.
La metodología que aplica Cardeseo sigue las recomendaciones de la propia AEPD (Guía práctica de EIPD): inventario de tratamientos, descripción de flujos de datos, identificación de riesgos sobre derechos y libertades, evaluación de probabilidad e impacto, medidas técnicas y organizativas (cifrado en reposo, control de accesos por rol, registro de auditoría del software de gestión, segregación de redes WiFi pública y clínica), plan de revisión periódica y dictamen final.
Si tras la EIPD subsiste un alto riesgo residual sin medidas que lo reduzcan, el Art. 36 RGPD obliga a la consulta previa con la AEPD. La AEPD tiene 8 semanas (prorrogables 6 más) para emitir dictamen vinculante. En el sector dental esa consulta previa es excepcional, pero ha sido necesaria en casos de software clínico ofrecido como servicio multicéntrico con acceso de terceros profesionales o de plataformas de teleodontología.
DPD: ¿obligatorio en clínicas dentales?
El Art. 37.1.c RGPD obliga a designar Delegado de Protección de Datos cuando las actividades principales del responsable consistan en el tratamiento a gran escala de categorías especiales de datos del Art. 9. El Art. 9.7 LOPDGDD añade obligación explícita para los centros sanitarios cuando estén legalmente obligados a llevar historia clínica de sus pacientes, salvo profesionales que ejerzan a título individual.
La interpretación que la AEPD ha consolidado a través de su Guía del DPD y de las resoluciones de los últimos años matiza el alcance: una clínica dental individual con un único profesional y agenda reducida normalmente NO está obligada a designar DPD, aunque sí debe poder demostrar el análisis que llevó a esa conclusión (principio de accountability del Art. 5.2 RGPD). Una clínica con varios profesionales, agenda multicéntrica, especialidades quirúrgicas y miles de historias activas sí entra en el supuesto de tratamiento a gran escala y debe designar DPD y comunicarlo a la AEPD a través del formulario oficial.
El DPD puede ser interno (empleado con dedicación parcial) o externo (consultor independiente) según el Art. 37.6 RGPD. La práctica habitual en odontología es la externalización, ya que el DPD interno requiere formación específica (mínimo recomendado el Esquema de Certificación de DPD de la AEPD, 180 horas) y carga de trabajo continua que no compensa para una plantilla pequeña.
Tanto si la designación es obligatoria como voluntaria, una vez nombrado, el DPD goza de las garantías de independencia del Art. 38 RGPD: no recibe instrucciones sobre el ejercicio de sus funciones, reporta al máximo nivel jerárquico y no puede ser sancionado por el desempeño de su función. Esa independencia debe estar reflejada por escrito en el contrato o nombramiento.
Menores: consentimiento, asentimiento y patria potestad
El paciente menor de edad en odontología es habitual: ortodoncia infantil y juvenil, sellados, urgencias deportivas, traumatismos dentarios. La regulación combina tres planos: edad de consentimiento RGPD, consentimiento sanitario y derechos del menor.
El Art. 7 LOPDGDD fija en 14 años la edad mínima para prestar válidamente consentimiento al tratamiento de sus datos personales por parte del responsable. Por debajo de esa edad, el consentimiento lo otorga quien ostente la patria potestad o tutela. Esa edad RGPD es distinta del consentimiento sanitario regulado por el Art. 9 de la Ley 41/2002, que establece el régimen del menor maduro: con carácter general el consentimiento informado lo presta el menor desde los 16 años (mayoría sanitaria), entre 12 y 16 años se ponderan sus opiniones (asentimiento) y por debajo de 12 lo prestan padres o tutores.
Para tratamientos invasivos, anestesia general, cirugía oral compleja o casos de grave riesgo a juicio del facultativo, el Art. 9.4 Ley 41/2002 exige consentimiento del representante legal aunque el menor sea maduro. En ortodoncia, la práctica recomendada es recoger doble firma: representante legal autoriza el tratamiento de datos y el acto médico, y el menor (a partir de 12-14 años) firma su asentimiento.
En supuestos de padres separados o divorciados con guarda y custodia compartida, ambos progenitores deben firmar para tratamientos no urgentes que excedan del cuidado ordinario, conforme al Art. 156 del Código Civil. Para urgencias, basta el progenitor presente. Documentar este escenario es clave para evitar reclamaciones cruzadas. La clínica debe mantener copia del libro de familia o resolución judicial de custodia cuando el alta lo justifique.
Videovigilancia en sala de espera y consulta
Las cámaras de seguridad son habituales en recepción, sala de espera, pasillo y, ocasionalmente, en zona de almacén de material protésico. La regulación aplicable es el Art. 22 LOPDGDD y la Guía AEPD de Videovigilancia en su edición 2024.
Requisitos exigibles:
- Cartel informativo homologado visible desde la entrada con identidad del responsable, finalidad, base jurídica (interés legítimo de seguridad), ejercicio de derechos y referencia a información ampliada.
- Plazo máximo de conservación de las grabaciones: 30 días salvo que estén vinculadas a un incidente con denuncia presentada (Art. 22.3 LOPDGDD).
- Prohibido grabar zonas privadas: vestuarios de personal, baños, salas de descanso, despachos personales y, muy especialmente, gabinetes de tratamiento. Solo cabe excepcionalmente cámara en gabinete con consentimiento expreso e información reforzada, por ejemplo en formación supervisada.
- Inscripción del tratamiento en el Registro de Actividades de Tratamiento (RAT) del Art. 30 RGPD, con descripción del sistema, ubicación de cámaras, plazos y medidas de seguridad.
- Acceso restringido a las grabaciones: solo el responsable o personal designado por escrito.
La sala de espera puede grabarse cuando se justifica por seguridad (custodia de material valioso, control de accesos en horario sin recepcionista). El visionado en directo por personal no autorizado constituye uno de los incumplimientos más sancionados. La AEPD ha resuelto múltiples expedientes contra centros sanitarios donde el personal de recepción visionaba pasillos sin separación funcional con quienes accedían a historiales.
Si la clínica usa control biométrico para fichaje (huella, reconocimiento facial), aplica la Guía AEPD sobre biometría laboral de 2023 y la nota técnica de 2024 sobre el tratamiento del dato biométrico como categoría especial del Art. 9, lo que activa requisitos de proporcionalidad reforzados frente a alternativas no biométricas (PIN, tarjeta, app móvil).
Laboratorios protésicos y otros encargados
La clínica dental NO trabaja en aislamiento. Comparte datos con laboratorios protésicos (modelos, escaneados, historias parciales del paciente), con asesorías laborales y fiscales (nóminas y facturación con datos de pacientes), con software de gestión clínica en la nube (Klinikare, Gesden, Odontosoft, Dentalink), con plataformas de citas online, con pasarelas de pago y, en algunos casos, con compañías de financiación dental.
Cada uno de esos terceros que trate datos por cuenta de la clínica es un encargado del tratamiento según el Art. 28 RGPD y necesita un contrato de encargo firmado por escrito. El contrato debe incluir objeto, duración, naturaleza y finalidad del tratamiento, tipo de datos, categorías de interesados, obligaciones del encargado, medidas técnicas y organizativas, gestión de subencargados, gestión de brechas y devolución o supresión al finalizar el servicio. Sin contrato firmado, la clínica incurre en infracción del propio Art. 28 RGPD, sancionable conforme al Art. 83.4 RGPD.
El laboratorio protésico es probablemente el encargado más sensible: recibe datos de salud (modelos, fotografías, prescripción facultativa) y, en muchos casos, identifica al paciente por nombre o número de historia. El contrato debe ser específico, no plantilla genérica de prestador de servicios.
Cuando el encargado se encuentra fuera del Espacio Económico Europeo (por ejemplo, software de IA diagnóstica con servidores en Estados Unidos), aplican los Arts. 44-50 RGPD sobre transferencias internacionales. Tras la sentencia Schrems II del TJUE y el nuevo marco EU-US Data Privacy Framework, conviene documentar la base de la transferencia (Cláusulas Contractuales Tipo, decisión de adecuación si aplica, evaluación de impacto de la transferencia) en el RAT.
WhatsApp recordatorios y campañas de marketing
WhatsApp es el canal preferido por muchas clínicas para recordatorios de cita, confirmaciones y avisos. La AEPD ha establecido a través de varias resoluciones que el envío automatizado a un teléfono que el paciente facilitó solo para reservar cita NO autoriza, por sí mismo, el envío de comunicaciones de marketing posterior. Los recordatorios operacionales (confirmación, cancelación) están amparados por la ejecución del contrato Art. 6.1.b RGPD. Las campañas comerciales (promoción de blanqueamiento, oferta de revisión, descuento de Black Friday) exigen base distinta.
La base jurídica para comunicaciones comerciales por canales electrónicos (WhatsApp, SMS, email) está regulada por el Art. 21 LSSI-CE: requieren consentimiento previo, expreso y específico del destinatario, salvo en el supuesto del Art. 21.2 (productos o servicios similares dentro de una relación contractual previa, siempre que se ofrezca opción simple y gratuita de oponerse). La AEPD interpreta de forma estricta ese supuesto y, para clínicas dentales, recomienda en la práctica recoger consentimiento expreso e independiente.
El consentimiento debe ser una declaración o acción afirmativa clara (Art. 4.11 RGPD). No valen las casillas pre-marcadas, conforme a la STJUE Planet49 (C-673/17, sentencia de 1 de octubre de 2019). La técnica recomendada es doble opt-in: el paciente marca casilla específica de marketing en el formulario de alta, y a continuación recibe un primer mensaje pidiendo confirmación.
Si la clínica utiliza la API de WhatsApp Business y Meta como proveedor, debe firmar el correspondiente acuerdo de encargado de tratamiento y documentar la transferencia internacional, ya que Meta procesa datos fuera del EEE. El contenido de los mensajes debe incluir identificación del responsable e instrucciones claras para ejercer la baja, conforme al Art. 22 LSSI-CE.
Sanciones: rangos AEPD orientativos para clínicas
El régimen sancionador del RGPD distingue dos niveles. El Art. 83.4 fija multas administrativas de hasta 10 millones de euros o 2% del volumen de negocio anual mundial total del ejercicio financiero anterior (lo que sea mayor) para infracciones como falta de contrato de encargo (Art. 28), falta de RAT (Art. 30) o falta de notificación de brecha (Art. 33). El Art. 83.5 eleva el tope a 20 millones o 4% del volumen de negocio para infracciones más graves: vulneración de principios del Art. 5, falta de base jurídica del Art. 6, vulneración del Art. 9 sobre categorías especiales, vulneración de derechos del titular (Arts. 12-22) y transferencias internacionales sin base.
Para clínicas dentales (microempresa o pyme sanitaria), la AEPD aplica el Art. 83.2 RGPD y los criterios de modulación: naturaleza, gravedad y duración de la infracción, intencionalidad, medidas adoptadas para mitigar el daño, grado de cooperación, categorías de datos afectadas y antecedentes. La prescripción es de 2 años para infracciones graves y 3 años para muy graves, conforme al Art. 78 LOPDGDD.
El rango orientativo observable en resoluciones públicas de los últimos años para clínicas pymes oscila en la franja 5.000-100.000 €, sin perjuicio de topes legales superiores (20M€/4%) cuando la infracción sea muy grave o el volumen de la empresa lo justifique. Casos representativos publicados en el buscador de resoluciones AEPD incluyen publicaciones en redes sociales de fotos clínicas sin consentimiento (rango 6.000-20.000 €), accesos indebidos a historias por personal no autorizado (10.000-30.000 €) y envío masivo de WhatsApp comercial sin consentimiento (3.000-15.000 €).
Importa subrayar que la advertencia previa AEPD del Art. 58.2.b RGPD, combinada con el Art. 83.2 RGPD y el Art. 76 LOPDGDD, no es un trámite obligatorio antes de la sanción: la AEPD puede ir directamente al expediente sancionador si los hechos son graves. La doctrina de la Audiencia Nacional y del Tribunal Supremo "valora positivamente" las medidas de adecuación previas y la cooperación durante la inspección, pero NO exige advertencia previa como condición de validez de la sanción.
Cómo adecua Cardeseo una clínica dental
Cardeseo presta el servicio de Adecuación y Cumplimiento Normativo RGPD/LOPDGDD/LSSI-CE con tarifa anual de 349€/año para clínicas pequeñas (hasta 5 trabajadores), escalable por número de empleados, sociedades vinculadas y nivel de tratamiento. El servicio cubre los tres planos: documental, técnico y de soporte continuo.
Hitos del onboarding entre 7 y 14 días:
- Día 1-3: análisis previo por llamada o formulario detallado (sector, plantilla, sociedades, software, web, cámaras, laboratorios, financiación).
- Día 4-7: generación del pack documental personalizado (política de privacidad, política de cookies, aviso legal, RAT, contrato de encargo con cada laboratorio, manual de personal, registro de derechos del titular, plantillas de consentimiento clínico-dato, política de videovigilancia, evaluación de impacto si procede, plan de respuesta a brechas).
- Día 8-10: publicación en la web de la clínica de los tres textos legales con enlaces correctos y, si aplica, integración del banner de cookies conforme a la Guía AEPD de cookies.
- Día 11-14: formación de personal (sesión de 60 minutos sobre obligaciones, secreto profesional, acceso al software, fotografías, redes sociales) y entrega del certificado de adecuación.
La disclosure es transparente: el pack es plantilla auditada por jurista colaborador externo, personalizada con los datos reales de la clínica. No prometemos "cumplimiento total" porque ningún consultor lo puede garantizar — comprometemos pack documental válido, soporte continuo durante 12 meses con SLA 24h en consultas y representación documental en caso de inspección o denuncia. Si quieres profundizar en qué incluye y qué no, revisa la página ¿Qué es el RGPD? y la página del DPO Delegado de Protección de Datos.
Preguntas frecuentes
¿Mi clínica necesita Delegado de Protección de Datos?
Depende del volumen. Si tienes varios profesionales, agenda multicéntrica, especialidades quirúrgicas y miles de historias activas, el Art. 9.7 LOPDGDD y el Art. 37.1.c RGPD obligan a designar DPD y comunicarlo a la AEPD. Si eres una clínica individual con plantilla pequeña, normalmente NO estás obligado, pero debes documentar el análisis (principio de accountability del Art. 5.2). Cardeseo evalúa tu caso concreto y, si toca, externalizamos la figura del DPD con jurista colegiado.
¿Cuánto tiempo tengo que guardar la historia clínica?
El mínimo estatal son 5 años desde el alta de cada proceso asistencial, según el Art. 17.1 Ley 41/2002. Algunas comunidades autónomas amplían el plazo: Cataluña 15 años desde el fallecimiento, País Vasco 5 años desde el fallecimiento, Navarra 20 años. La facturación y registros contables se conservan 4 años por la Ley General Tributaria y 6 años por el Código de Comercio. Pasado el plazo, se destruye de forma segura o se anonimiza para investigación.
¿Puedo enviar recordatorios de cita por WhatsApp?
Los recordatorios operacionales (confirmar, cancelar) están amparados por la ejecución del contrato del Art. 6.1.b RGPD, no necesitan consentimiento adicional siempre que el paciente diera su teléfono para esa finalidad. Las comunicaciones comerciales (promoción de blanqueamiento, oferta de revisión) sí exigen consentimiento previo, expreso y específico según el Art. 21 LSSI-CE. La técnica recomendada es doble opt-in con casilla independiente, nunca pre-marcada (STJUE Planet49 C-673/17).
¿Necesito Evaluación de Impacto (EIPD) si soy una clínica pequeña?
La AEPD incluyó el tratamiento sistemático de datos de salud por centros sanitarios en su Listado de tratamientos sujetos a EIPD (2018). El concepto de gran escala depende del número de pacientes, volumen y variedad de datos, duración y alcance. Una clínica con menos de 500 pacientes activos suele quedar fuera, pero el simple uso del Art. 9 activa otros criterios del Art. 35.3. En Cardeseo evaluamos la necesidad y, si procede, incluimos la EIPD en el pack documental.
¿Cómo trato los datos de menores que vienen a ortodoncia?
La edad RGPD del Art. 7 LOPDGDD es 14 años. Por debajo, el consentimiento de datos lo otorga el titular de la patria potestad. La edad sanitaria del Art. 9 Ley 41/2002 es distinta: 16 años para consentimiento informado pleno, 12-16 ponderación de su opinión (asentimiento), menos de 12 lo prestan padres. Para tratamientos invasivos o de grave riesgo el Art. 9.4 exige consentimiento del representante aunque el menor sea maduro. Si los padres están separados, ambos deben firmar tratamientos no urgentes (Art. 156 Código Civil).
¿Qué sanción me puede caer si la AEPD me inspecciona?
El rango orientativo observable en resoluciones públicas para clínicas pymes es 5.000-100.000 €, sin perjuicio de topes legales superiores (20M€/4% volumen de negocio) cuando la infracción sea muy grave. La AEPD modula según naturaleza, gravedad, intencionalidad, medidas adoptadas, cooperación y categorías de datos afectadas. Los motivos más frecuentes en odontología son publicación de fotos clínicas sin consentimiento, acceso indebido a historias por personal no autorizado y marketing por WhatsApp sin base jurídica.
¿Tengo que firmar contrato de encargo con el laboratorio protésico?
Sí, sin excepción. El laboratorio protésico trata datos de salud por cuenta de la clínica y entra de lleno en el Art. 28 RGPD. El contrato debe incluir objeto, duración, naturaleza, finalidad, tipos de datos, categorías de interesados, medidas técnicas y organizativas, gestión de subencargados y devolución al finalizar. Sin contrato firmado, la clínica incurre en infracción del Art. 28 sancionable conforme al Art. 83.4 RGPD. Cardeseo entrega plantilla específica para laboratorios dentales.
Próximos pasos
Si tu clínica dental aún no tiene la documentación RGPD al día, el siguiente paso lógico es revisar el alcance del servicio de Cumplimiento Legal, iniciar el onboarding RGPD y descargar las plantillas base de modelo de consentimiento RGPD y cláusula de formulario RGPD. Para entender en profundidad el marco general antes de contratar, revisa la guía ¿Qué es el RGPD? y la página dedicada al DPO Delegado de Protección de Datos. Si prefieres hablarlo directamente, llama al +34 604 56 05 48 o escribe a departamentojuridico@cardeseo.com y te respondemos en menos de 24 horas.