Sector · Sanitario

RGPD para clínicas veterinarias: dueño y mascota

Las clínicas veterinarias tratan datos personales del dueño de la mascota (titular del derecho RGPD) y datos del propio animal (que no son protegidos por RGPD pero sí están en el mismo sistema). Los recordatorios de vacunación por WhatsApp, las cesiones a Sanidad Animal y las comunicaciones de fallecimiento son los tres frentes con más riesgo de denuncia.

Calcular mi tarifa para clínica veterinariaLeer la guía completa

RGPD en una clínica veterinaria: panorama 2026

El RGPD clínica veterinaria parte de una distinción que el equipo asistencial olvida con frecuencia: el RGPD protege a las personas, no a los animales, pero la mayoría de datos veterinarios identifican o asocian a un dueño humano y por eso entran de lleno en el Reglamento (UE) 2016/679 y en la LOPDGDD. Una clínica veterinaria gestiona ficha del propietario (nombre, DNI, domicilio, teléfono, email, IBAN), ficha del paciente animal (microchip, raza, antecedentes, vacunación), comunicaciones comerciales por WhatsApp, cesiones obligatorias a registros autonómicos de identificación animal y a Sanidad Animal, contratos con aseguradoras de mascotas y, cada vez más, telemedicina y videovigilancia interna. Todo ello bajo un único modelo de gobernanza documental.

La capa veterinaria propiamente dicha la regula la Ley 8/2003 de Sanidad Animal y la Ley 7/2023 de protección de los derechos y el bienestar de los animales, junto con la normativa autonómica de Consejerías de Sanidad o Agricultura que autorizan el centro y de los Colegios Oficiales de Veterinarios que disciplinan el secreto profesional. Sobre esa capa se superpone la capa laboral (RD 8/2019 de registro horario, Estatuto de los Trabajadores), la capa de servicios digitales (LSSI-CE, web y comunicaciones electrónicas) y la capa de videovigilancia (Guía AEPD de Videovigilancia 2024). Una clínica veterinaria mediana puede llegar a ser responsable de tratamiento, encargada de tratamiento (cuando recibe datos de aseguradoras o de plataformas de teleconsulta) y corresponsable con seguros de mascotas en función del flujo.

La Agencia Española de Protección de Datos (AEPD) inspecciona el sector de forma creciente desde 2022, a raíz sobre todo de denuncias de marketing no consentido por WhatsApp, accesos indebidos al software de gestión por parte de auxiliares no autorizados y publicación en redes sociales de fotos del animal con datos del dueño visibles (matrícula del transportín, calle del fondo, nombre del paciente humano en el bote de medicación). Las resoluciones públicas son la mejor brújula para calibrar el riesgo real y orientar la adecuación documental, técnica y formativa.

Qué datos del veterinario son datos personales del RGPD

La distinción dueño versus animal es decisiva para encajar correctamente cada tratamiento. Los datos del animal en estado puro (raza, edad, peso, antecedentes patológicos, código de microchip aislado) no son datos personales del RGPD porque su Art. 4.1 reserva la condición de dato personal a la información sobre una persona física identificada o identificable. Los datos del dueño (nombre, DNI, domicilio, teléfono, email, datos bancarios, condiciones de pago, profesión cuando se anota) sí lo son sin discusión. El punto fino es la información mixta: en cuanto el código de microchip se asocia a un titular registrado en censo autonómico, ese código deja de ser un mero identificador zoológico y pasa a ser dato personal del dueño porque permite re-identificarlo a través del Registro de Identificación Animal de la Comunidad Autónoma.

La consecuencia operativa es que casi toda la información del software de gestión clínica (Geslab, Qvet, ClinicCloud, Wakali, Vetesia, IDEXX Cornerstone) es dato personal del dueño en sentido RGPD. Eso activa el Registro de Actividades de Tratamiento (RAT) del Art. 30 RGPD, las obligaciones de información del Art. 13, el deber de seguridad del Art. 32 y el régimen de derechos del titular de los Arts. 12 a 22. La base jurídica del tratamiento principal (asistencia veterinaria al animal del cliente) es Art. 6.1.b RGPD (ejecución del contrato de prestación de servicios veterinarios), combinada con Art. 6.1.c (obligaciones legales de identificación, censo, control de zoonosis) y, en supuestos concretos, Art. 6.1.f (interés legítimo en seguridad o cobro de impagos).

A diferencia de las clínicas humanas, los datos veterinarios NO encajan en el Art. 9 RGPD de categorías especiales, porque el animal no es persona y el dueño no aporta datos de salud propios por el mero hecho de llevar a su perro al veterinario. La excepción aparece cuando el flujo incorpora información sanitaria del dueño en sentido estricto: alergias del cliente al pelo del animal anotadas para evitar consultas presenciales, condiciones físicas que justifican entrega a domicilio o, en One Health, programas de zoonosis donde se recoge estado serológico del propietario. En esos supuestos sí entra el Art. 9 y la base aplicable suele ser el Art. 9.2.h con secreto profesional veterinario o el Art. 9.2.i por interés público en salud pública.

Historial clínico de la mascota y datos del dueño

El historial clínico veterinario no se rige por la Ley 41/2002 de autonomía del paciente, porque esa norma cubre exclusivamente al paciente humano. Se rige por los principios del RGPD (minimización, exactitud, limitación de la conservación) y por la deontología profesional del veterinario colegiado, que obliga a mantener registro fiel de la asistencia prestada para responder ante la profesión y ante el cliente. En la práctica del sector se aplica un plazo de conservación asimilable al sanitario humano por seguridad jurídica: 5 años desde la última asistencia para historiales completos, con custodia segura, control de accesos por rol y trazabilidad de modificaciones.

El plazo de 5 años se justifica también por la prescripción de la acción de responsabilidad civil profesional (Art. 1964 Código Civil, 5 años para acciones personales) y por la conveniencia de poder responder a reclamaciones por mala praxis. La facturación y los registros contables se conservan 4 años por el Art. 66 Ley General Tributaria y 6 años por el Art. 30 del Código de Comercio. Pasados los plazos legales, el historial debe destruirse de forma segura (trituración categoría P-4 en papel, borrado conforme al estándar DoD 5220.22-M o NIST SP 800-88 en soporte digital) o anonimizarse irreversiblemente para fines estadísticos o de investigación veterinaria.

El derecho de acceso del Art. 15 RGPD lo ejerce el dueño, no el animal. La clínica debe responder en un mes (prorrogable dos más si la complejidad lo justifica) entregando copia de los datos del dueño tratados, no necesariamente del historial clínico íntegro del animal cuando contenga información que sea exclusivamente zoológica. En supuestos de copropiedad litigiosa (divorcio con guarda del animal disputada, herencia, separación de hecho), el acceso se concede a cualquier copropietario que acredite título, pero la información sobre tratamientos especialmente sensibles (eutanasia decidida unilateralmente, costes elevados sin consenso) puede modularse para evitar conflictos de uso indebido del derecho RGPD como herramienta procesal.

Plazo de conservaciónNormaAplicación veterinaria
5 años desde última asistenciaAplicación analógica RGPD + Art. 1964 Código CivilHistorial clínico animal con datos del dueño
4 añosArt. 66 Ley General TributariaFacturación, IVA, retenciones del cliente
6 añosArt. 30 Código de ComercioLibros contables y soportes mercantiles
30 díasArt. 22.3 LOPDGDDGrabaciones de videovigilancia salvo incidente
Vida del animal + obligación legalLey 8/2003 Sanidad AnimalRegistro de identificación y vacunación oficial

Microchip y censos autonómicos

La identificación electrónica obligatoria del perro (y, según comunidad autónoma, de gato, hurón y équidos) está regulada por el RD 1054/2022 que aprueba el Reglamento que recoge el RIIAC (Registro de Identificación de Animales de Compañía) y por la normativa autonómica de desarrollo: REIAC en Cataluña, REGIAC en Andalucía, RIVIA en la Comunidad Valenciana, RECEMA en Madrid. La inscripción la realiza el veterinario habilitado al implantar el microchip o al registrar el animal, y supone la cesión del nombre y datos de contacto del dueño a la administración correspondiente.

La base jurídica de esa cesión es el Art. 6.1.c RGPD (cumplimiento de obligación legal), reforzado por la Ley 7/2023 que endurece deberes de identificación y registro y por los Decretos autonómicos. La clínica debe documentar esta cesión en el RAT como flujo recurrente, identificar el destinatario (Consejería competente y, en su caso, Colegio Oficial de Veterinarios gestor del censo), describir las categorías de datos cedidos (titular, dirección, contacto, código de microchip, datos del animal) y conservar acuse de recibo de cada alta. La AEPD ha confirmado en consultas a sus servicios técnicos que esta cesión no requiere consentimiento del dueño, pero sí requiere información previa clara en el momento del alta del animal.

Cuando el animal es considerado potencialmente peligroso (PPP) según la Ley 50/1999 y el RD 287/2002, la cesión se amplía: registro municipal de PPP, comunicación al ayuntamiento, control sanitario reforzado. Si la clínica realiza vacunación obligatoria por rabia, leishmaniosis u otras zoonosis declaradas por la comunidad autónoma, se añade cesión a programa autonómico de salud animal y, en algunos casos, a la base de datos SIVE (Sistema Integral de Vigilancia Epidemiológica) o equivalente. Todas esas cesiones se documentan como tratamientos independientes con su base jurídica, su finalidad y su plazo en el RAT.

Aseguradoras de mascotas como encargadas

El mercado de seguros para mascotas en España (Mapfre Mascotas, Adeslas Mascotas, Línea Directa Mascotas, SantaLucía Mascotas, Catalana Occidente, ARAG) ha crecido más del 30% interanual desde 2022 y obliga a la clínica veterinaria a aclarar el rol de cada parte. Cuando la aseguradora abona la factura directamente y exige el envío del informe clínico, el modelo más limpio es el de cesión de datos del dueño asegurado a la aseguradora con base en el Art. 6.1.b RGPD (ejecución del contrato del dueño con la aseguradora) y Art. 6.1.f (interés legítimo de la aseguradora en valorar la siniestralidad), informando al titular en el momento del alta.

Si por el contrario la aseguradora subcontrata a la clínica la gestión administrativa del expediente (subir documentación a su plataforma, mantener historial accesible para auditoría del seguro, recibir instrucciones operativas sobre formato), aparece el escenario del Art. 28 RGPD: la clínica veterinaria pasa a ser encargada del tratamiento por cuenta de la aseguradora en esa parcela concreta. Eso requiere contrato de encargo por escrito con el contenido del Art. 28.3 RGPD (objeto, duración, naturaleza, finalidad, tipo de datos, categorías de interesados, obligaciones del encargado, medidas técnicas, gestión de subencargados, devolución o supresión al finalizar). Sin contrato firmado, ambas partes incurren en infracción del Art. 28 sancionable conforme al Art. 83.4 RGPD.

Algunas aseguradoras imponen plataformas propias de gestión (Vetheka, AnimalCare, Pawpy) que actúan como subencargados de la aseguradora pero piden acceso directo desde la clínica. En esos casos, conviene documentar la cadena completa (clínica → aseguradora → plataforma) y obtener garantías por escrito de que la plataforma cumple las medidas de seguridad del Art. 32 RGPD y, si procede, las garantías del Art. 44 y siguientes para transferencias internacionales cuando los servidores estén fuera del EEE. La AEPD ha sancionado en 2024 a operadores del sector asegurador por cadenas de subencargados sin trazabilidad, y la clínica que aporta los datos del dueño queda corresponsable de esa cadena.

WhatsApp recordatorios y campañas veterinarias

WhatsApp es el canal preferido del sector veterinario para recordatorios de vacunación, confirmaciones de cita y avisos de revisión, y al mismo tiempo es uno de los principales focos de sanción AEPD por marketing no consentido. La base jurídica de los recordatorios operacionales (confirmar la cita de mañana, avisar de que la vacuna anual toca el mes que viene si la pauta fue prescrita por el veterinario) es el Art. 6.1.b RGPD de ejecución de contrato, siempre que el dueño facilitara su teléfono para esa finalidad concreta. La base de las campañas comerciales (oferta de revisión de primavera, descuento Black Friday en pienso, promoción de peluquería canina) es radicalmente distinta y exige aplicar el Art. 21 LSSI-CE.

El Art. 21.1 LSSI-CE prohíbe el envío de comunicaciones comerciales por canales electrónicos (WhatsApp, SMS, email, llamada automatizada) sin consentimiento previo, expreso y específico del destinatario. La excepción del Art. 21.2 (productos o servicios similares en el marco de una relación contractual previa, con opción de oposición simple y gratuita) la AEPD la interpreta de forma estricta para servicios veterinarios: la venta cruzada de pienso premium, accesorios o productos antiparasitarios cuando el cliente solo contrató una vacunación no encaja siempre en el supuesto. La práctica recomendada es recoger consentimiento expreso e independiente para marketing y, sobre todo, para WhatsApp como canal específico.

El consentimiento debe ser declaración o acción afirmativa clara según el Art. 4.11 RGPD. No valen las casillas pre-marcadas, conforme a la STJUE Planet49 (C-673/17, sentencia de 1 de octubre de 2019). La técnica recomendada es doble opt-in: el dueño marca casilla específica de marketing al alta del animal y a continuación recibe un primer mensaje pidiendo confirmación. Si la clínica usa la API de WhatsApp Business y Meta como proveedor, debe firmar el acuerdo de encargado de tratamiento de Meta (DPA WhatsApp Business) y documentar la transferencia internacional, ya que Meta procesa datos fuera del EEE. Toda comunicación debe incluir identificación del responsable e instrucciones claras de baja conforme al Art. 22 LSSI-CE.

Videovigilancia en clínica veterinaria

Las clínicas veterinarias instalan cámaras en recepción, sala de espera, pasillo, sala de hospitalización, quirófano e incluso en patios exteriores cuando hay zona de exhibición de mascotas. La regulación aplicable es el Art. 22 LOPDGDD, la Ley 5/2014 de Seguridad Privada y la Guía AEPD de Videovigilancia en su edición 2024. La base jurídica es el interés legítimo del Art. 6.1.f RGPD (seguridad de personas y bienes, control de incidencias en hospitalización), y debe documentarse en el RAT con descripción del sistema, ubicación de cámaras, plazos y medidas.

Requisitos exigibles a la videovigilancia veterinaria:

  • Cartel informativo homologado visible desde la entrada con identidad del responsable, finalidad, base jurídica de interés legítimo, ejercicio de derechos y referencia a información ampliada (Art. 22.4 LOPDGDD).
  • Plazo máximo de conservación de las grabaciones: 30 días salvo vinculación a un incidente con denuncia presentada (Art. 22.3 LOPDGDD). Sin denuncia, el bloque excedente debe sobrescribirse o borrarse.
  • Prohibido grabar zonas estrictamente privadas del personal: vestuarios, baños, sala de descanso. Las salas de tratamiento solo se graban con justificación específica (formación supervisada, control de calidad asistencial) e información reforzada al personal.
  • Hospitalización: la grabación es admisible como medida de control sanitario del animal hospitalizado, siempre que se limite la captación al recinto del animal, no se compartan imágenes en redes sin consentimiento del dueño y se ofrezca al titular información clara sobre la finalidad.
  • Quirófano: admisible con justificación documentada en seguridad y trazabilidad asistencial (caso de cirugía con riesgo, formación de residentes, defensa frente a futura reclamación). Debe activarse caso por caso, no por defecto, y nunca con sonido salvo justificación reforzada.
  • Sin sonido como regla general: la captación de audio en zonas públicas o de tratamiento es desproporcionada salvo casos excepcionales debidamente motivados, conforme a la doctrina AEPD reiterada en resoluciones de 2023 y 2024.
  • Inscripción del tratamiento en el RAT del Art. 30 RGPD, con descripción del sistema, ubicación, plazos y medidas de seguridad.
  • Acceso restringido a las grabaciones: solo el responsable o personal designado por escrito, con registro de accesos y trazabilidad.

Cuando la clínica utiliza cámaras IP en la nube (Reolink, Dahua, Hikvision, Arlo, Nest), aparece un encargado del tratamiento adicional: el proveedor del servicio de grabación en la nube. Eso exige contrato de encargo del Art. 28 RGPD y, si los servidores están fuera del EEE, garantías del Art. 44 y siguientes.

Telemedicina veterinaria: consultas por vídeo

La telemedicina veterinaria se ha consolidado como complemento de consulta presencial (segunda opinión, seguimiento postoperatorio, urgencia menor en horario sin guardia presencial) usando plataformas como Vetster, Whiskerdocs, Petriage, FirstVet o sistemas Zoom/Meet con consentimiento informado específico. La videoconsulta es un tratamiento de datos personales del dueño en sentido pleno: imagen, voz, dirección visible al fondo, posibles datos de salud del propio dueño que aparezcan en cámara, y todo el contenido clínico de la conversación.

La base jurídica principal es el Art. 6.1.b RGPD de ejecución de contrato veterinario, complementada con el Art. 6.1.a (consentimiento) para la grabación de la consulta cuando proceda. La grabación NO es obligatoria por norma, pero muchos sistemas la activan por defecto: si la clínica decide grabar, debe informar previamente al dueño, obtener consentimiento explícito y aplicar el plazo de conservación de 5 años en línea con el historial. Si no graba, el contenido queda en notas clínicas del veterinario actuante.

Si la plataforma de telemedicina la provee un tercero (Vetster, FirstVet, Petriage), aparece un encargado del Art. 28 RGPD con todas las exigencias contractuales. Cuando los servidores están fuera del EEE, aplican los Arts. 44-50 RGPD: Cláusulas Contractuales Tipo, decisión de adecuación si la hay (EU-US Data Privacy Framework para proveedores estadounidenses certificados), evaluación de impacto de la transferencia conforme a la STJUE Schrems II (asunto C-311/18). La política de privacidad de la clínica debe describir el flujo de telemedicina, identificar al proveedor y publicar las garantías aplicables.

Empleados veterinarios y registro de jornada

La plantilla de una clínica veterinaria (veterinarios, auxiliares técnicos veterinarios ATV, recepcionistas, peluqueros caninos, personal de limpieza) está sujeta al régimen laboral común del Estatuto de los Trabajadores y al III Convenio Colectivo Estatal de Centros y Servicios Veterinarios (BOE de 2020 con prórrogas y revisiones salariales posteriores). La base jurídica del tratamiento de sus datos es el Art. 6.1.b RGPD (ejecución del contrato laboral) reforzada por el Art. 6.1.c (obligaciones laborales y de Seguridad Social).

El registro horario es obligatorio para todos los empleados, sin excepción de plantilla pequeña, según el Art. 34.9 ET introducido por el RD 8/2019. El sistema debe ser objetivo, fiable y accesible para el trabajador, la representación legal y la Inspección de Trabajo y Seguridad Social. Si la clínica usa fichaje biométrico (huella, reconocimiento facial), aplica la Guía AEPD sobre control de presencia y la nota técnica de 2024 sobre dato biométrico como categoría especial del Art. 9, que activa requisitos de proporcionalidad reforzados frente a alternativas no biométricas (PIN, tarjeta, app móvil). La AEPD ha sancionado durante 2024 a varias empresas por imponer huella sin acreditar idoneidad y necesidad.

El matiz canónico de la sanción aplicable es importante: el incumplimiento del registro horario lo persigue la Inspección de Trabajo (ITSS) y se sanciona como infracción grave del Art. 7.5 LISOS (Ley de Infracciones y Sanciones del Orden Social, RDLeg 5/2000), con multas entre 751 y 7.500 euros conforme al Art. 40.1.b LISOS y al Criterio Técnico 101/2019 de la Dirección General de la ITSS. La conservación de los registros horarios durante 4 años se rige por el Art. 21.5 LISOS, plazo distinto y autónomo de la prescripción de la infracción del Art. 4.1 LISOS (3 años). La AEPD interviene cuando el sistema biométrico no respeta el RGPD; la ITSS interviene cuando el registro no existe, no es fiable o no se conserva. Son dos competencias separadas que pueden actuar en paralelo.

Sanciones AEPD orientativas para clínicas veterinarias

El régimen sancionador del RGPD distingue dos niveles. El Art. 83.4 fija multas administrativas de hasta 10 millones de euros o 2% del volumen de negocio anual mundial total del ejercicio financiero anterior (lo que sea mayor) para infracciones como falta de contrato de encargo (Art. 28), falta de RAT (Art. 30) o falta de notificación de brecha (Art. 33). El Art. 83.5 eleva el tope a 20 millones o 4% del volumen de negocio para infracciones más graves: vulneración de principios del Art. 5, falta de base jurídica del Art. 6, vulneración del Art. 9, vulneración de derechos del titular (Arts. 12-22) y transferencias internacionales sin base.

Para clínicas veterinarias (microempresa o pyme), la AEPD aplica el Art. 83.2 RGPD y los criterios de modulación: naturaleza, gravedad y duración de la infracción, intencionalidad, medidas adoptadas para mitigar el daño, grado de cooperación, categorías de datos afectadas y antecedentes. La prescripción es de 2 años para infracciones graves y 3 años para muy graves, conforme al Art. 78 LOPDGDD.

El rango orientativo observable en resoluciones públicas para pymes oscila en la franja 5.000-100.000 €, sin perjuicio de topes legales superiores cuando el volumen de la empresa lo justifique. Casos publicados en el buscador de resoluciones AEPD incluyen envío masivo de WhatsApp comercial sin consentimiento (rango 3.000-20.000 €), publicación en redes sociales de fotos de pacientes con datos identificables del dueño (5.000-25.000 €), accesos indebidos al software de gestión por auxiliar tras cese (8.000-30.000 €) y falta de contrato de encargo con plataforma de telemedicina externa (10.000-40.000 €).

La advertencia previa AEPD del Art. 58.2.b RGPD, combinada con el Art. 83.2 RGPD y el Art. 76 LOPDGDD, no es un trámite obligatorio antes de la sanción: la AEPD puede ir directamente al expediente sancionador si los hechos son graves. La doctrina de la Audiencia Nacional y del Tribunal Supremo "valora positivamente" las medidas de adecuación previas y la cooperación durante la inspección, pero no exige advertencia previa como condición de validez de la sanción.

Cómo adecua Cardeseo una clínica veterinaria

Cardeseo presta el servicio de Adecuación y Cumplimiento Normativo RGPD/LOPDGDD/LSSI-CE con tarifa anual de 349€/año para clínicas pequeñas (hasta 5 trabajadores), escalable por número de empleados, sociedades vinculadas (peluquería canina, residencia, tienda online de pienso) y nivel de tratamiento (número de plataformas de telemedicina, aseguradoras, cámaras de videovigilancia). El servicio cubre los tres planos: documental, técnico y de soporte continuo.

Hitos del onboarding entre 7 y 14 días:

  • Día 1-3: análisis previo por llamada o formulario detallado (sector, plantilla, sociedades, software de gestión, aseguradoras con las que se trabaja, cámaras, telemedicina, censos autonómicos donde se inscribe).
  • Día 4-7: generación del pack documental personalizado (política de privacidad, política de cookies, aviso legal, RAT con flujos veterinarios específicos, contrato de encargo con plataforma de telemedicina y con aseguradoras cuando proceda, manual de personal, registro de derechos del titular, plantilla de consentimiento dueño-marketing, política de videovigilancia, plan de respuesta a brechas).
  • Día 8-10: publicación en la web de la clínica de los tres textos legales con enlaces correctos y, si aplica, integración del banner de cookies conforme a la Guía AEPD de cookies.
  • Día 11-14: formación del personal (sesión de 60 minutos sobre obligaciones, secreto profesional veterinario, acceso al software, fotografías en redes, atención a copropietarios litigiosos) y entrega del certificado de adecuación.

La disclosure es transparente: el pack es plantilla auditada por jurista colaborador externo, personalizada con los datos reales de la clínica. No prometemos "cumplimiento total" porque ningún consultor lo puede garantizar — comprometemos pack documental válido, soporte continuo durante 12 meses con SLA 24h en consultas y representación documental en caso de inspección o denuncia. Si quieres profundizar en qué incluye y qué no, revisa la página ¿Qué es el RGPD? y la página del DPO Delegado de Protección de Datos.

Preguntas frecuentes

¿La mascota tiene derechos RGPD propios?

No, el RGPD protege únicamente a personas físicas según el Art. 4.1, y los animales no son titulares de derechos en sentido RGPD. Quien ejerce derechos es el dueño humano: acceso, rectificación, supresión parcial, oposición a marketing y portabilidad de sus datos. Toda la documentación de la clínica (política de privacidad, RAT, formularios de consentimiento) se refiere al dueño, no al animal, aunque la finalidad del tratamiento sea la asistencia veterinaria al paciente animal.

¿Cuánto tiempo guardo el historial clínico del animal con datos del dueño?

No existe norma específica como la Ley 41/2002 sanitaria humana, así que la clínica aplica los principios del RGPD y la deontología veterinaria. La práctica del sector y la prescripción civil del Art. 1964 Código Civil orientan a un mínimo de 5 años desde la última asistencia. La facturación se conserva 4 años por la Ley General Tributaria y 6 años por el Código de Comercio. Pasados los plazos, se destruye de forma segura o se anonimiza para fines estadísticos.

¿Necesito consentimiento del dueño para mandar el chip al censo autonómico?

No, esa cesión está amparada por el Art. 6.1.c RGPD como obligación legal derivada del RD 1054/2022, la Ley 7/2023 y la normativa autonómica de identificación animal (REIAC, REGIAC, RIVIA, RECEMA). No requiere consentimiento, pero sí requiere información previa clara al dueño en el momento del alta del animal e inscripción del flujo de cesión en el RAT del Art. 30 RGPD con identificación del destinatario.

¿Puedo mandar recordatorios de vacunación por WhatsApp sin consentimiento?

Solo los recordatorios estrictamente operacionales (la vacuna anual prescrita por el veterinario en su pauta) están amparados por el Art. 6.1.b RGPD de ejecución de contrato. Las campañas comerciales (descuentos, promociones, productos de pienso) exigen consentimiento previo, expreso y específico según el Art. 21 LSSI-CE, con doble opt-in y casilla independiente nunca pre-marcada conforme a STJUE Planet49 (C-673/17). El uso de WhatsApp Business activa además contrato de encargo con Meta y documentación de transferencia internacional.

¿Qué pasa con los datos del dueño si trabajo con una aseguradora de mascotas?

Hay que distinguir dos escenarios. Si la aseguradora paga la factura del dueño asegurado y recibe informe clínico, es cesión de datos del dueño con base Art. 6.1.b (su contrato con la aseguradora) y debe estar en el RAT. Si la aseguradora subcontrata a la clínica gestión administrativa del expediente (subir documentos a su plataforma, mantener historial accesible para auditoría del seguro), aparece encargo del Art. 28 RGPD con contrato por escrito y obligaciones del encargado. Sin contrato, ambas partes incurren en infracción sancionable por el Art. 83.4.

¿Puedo poner cámaras en la sala de hospitalización y el quirófano?

En hospitalización sí, con justificación de control sanitario del animal hospitalizado, información reforzada al dueño y plazo de 30 días del Art. 22.3 LOPDGDD. En quirófano la regla es excepcionalidad: solo con motivación documentada (cirugía de riesgo, formación supervisada, trazabilidad para defensa frente a reclamación), nunca por defecto y sin sonido como regla general. Las zonas privadas del personal (vestuarios, baños, salas de descanso) están prohibidas. Cartel informativo homologado conforme al Art. 22.4 LOPDGDD y registro del tratamiento en el RAT.

¿Y si hago videoconsulta veterinaria a través de plataforma externa?

La videoconsulta es tratamiento de datos personales del dueño en sentido pleno (imagen, voz, contenido clínico). La base es Art. 6.1.b RGPD de ejecución de contrato veterinario. Si la plataforma la provee un tercero (Vetster, FirstVet, Petriage, Zoom con consentimiento), es encargado del Art. 28 RGPD con contrato por escrito. Si los servidores están fuera del EEE, aplican Arts. 44-50 RGPD: Cláusulas Contractuales Tipo, evaluación de impacto de la transferencia conforme a STJUE Schrems II (C-311/18). La política de privacidad de la clínica debe describir el flujo e identificar al proveedor.

Próximos pasos

Si tu clínica veterinaria aún no tiene la documentación RGPD al día, el siguiente paso lógico es revisar el alcance del servicio de Cumplimiento Legal, iniciar el onboarding RGPD y descargar las plantillas base de modelo de consentimiento RGPD y cláusula de formulario RGPD. Para entender en profundidad el marco general antes de contratar, revisa la guía ¿Qué es el RGPD? y la página dedicada al DPO Delegado de Protección de Datos. Si prefieres hablarlo directamente, llama al +34 604 56 05 48 o escribe a departamentojuridico@cardeseo.com y te respondemos en menos de 24 horas.

Más sectores de Sanitario

← Volver a cumplimiento legalEmpezar adecuación RGPD →