RGPD en clínicas médicas: 8 obligaciones que la AEPD vigila (y sanciones reales de hasta 60.000 €)

Gesmed Edition 12 Apr 2026 14 vistas
RGPD en clínicas médicas: 8 obligaciones que la AEPD vigila (y sanciones reales de hasta 60.000 €)

RGPD en clínicas médicas: 8 obligaciones que la AEPD vigila (y sanciones reales de hasta 60.000 €)

Introducción: los datos de salud son los más protegidos del RGPD

El RGPD clínicas médicas no es un trámite burocrático más: es una de las áreas de cumplimiento normativo que la Agencia Española de Protección de Datos (AEPD) vigila con mayor intensidad. La razón es sencilla: los datos de salud son «datos de categoría especial» según el artículo 9 del Reglamento General de Protección de Datos (UE) 2016/679, lo que significa que gozan de un régimen de protección reforzado. Su tratamiento está prohibido como regla general, y solo se permite bajo excepciones tasadas, como el consentimiento explícito del paciente o la necesidad para fines de medicina preventiva, diagnóstico o tratamiento.

Para las clínicas, consultorios y centros médicos privados en España, esto se traduce en un catálogo de obligaciones que va mucho más allá de tener una política de privacidad en la web. Hablamos de cifrado de datos, evaluaciones de impacto, delegados de protección de datos, control de accesos a historias clínicas y contratos formales con cada proveedor tecnológico que toque información de pacientes. El incumplimiento no es teórico: la AEPD ha impuesto sanciones reales a clínicas españolas que van desde los 30.000 hasta los 60.000 euros, y en el caso de hospitales, hasta el millón de euros.

En este artículo detallamos las 8 obligaciones críticas del RGPD clínicas médicas que la AEPD inspecciona activamente, con ejemplos de sanciones reales en España y las medidas concretas que tu centro debe implementar para cumplir la normativa.

Por qué los datos de salud tienen protección reforzada

El artículo 9.1 del RGPD incluye los datos relativos a la salud dentro de las «categorías especiales de datos personales», junto con datos genéticos, biométricos, de origen étnico, opiniones políticas y orientación sexual. El tratamiento de estas categorías está prohibido con carácter general, salvo que concurra alguna de las excepciones del artículo 9.2.

En el contexto sanitario, las excepciones más relevantes son:

  • Artículo 9.2.a): consentimiento explícito del interesado para uno o varios fines específicos.
  • Artículo 9.2.h): tratamiento necesario para fines de medicina preventiva o laboral, evaluación de la capacidad laboral del trabajador, diagnóstico médico, prestación de asistencia o tratamiento de tipo sanitario o social, o gestión de los sistemas y servicios de asistencia sanitaria y social.

La Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), complementa el RGPD en el ámbito nacional y establece obligaciones adicionales específicas para el sector sanitario.

Las 8 obligaciones críticas del RGPD clínicas médicas

1. Designación obligatoria de un Delegado de Protección de Datos (DPO)

La LOPDGDD establece en su artículo 34.1.l) que los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes deben designar un Delegado de Protección de Datos (DPO). Esta obligación afecta a:

  • Hospitales y clínicas privadas.
  • Centros de diagnóstico por imagen.
  • Laboratorios de análisis clínicos.
  • Centros de especialidades médicas.
  • Clínicas dentales con varios profesionales.

Excepción: los profesionales de la salud que ejerzan su actividad a título individual no están obligados a designar DPO, aunque sí deben cumplir el resto de obligaciones del RGPD.

Funciones del DPO en la clínica:

  1. Informar y asesorar al responsable del tratamiento sobre sus obligaciones.
  2. Supervisar el cumplimiento del RGPD y la LOPDGDD.
  3. Asesorar en la realización de evaluaciones de impacto.
  4. Actuar como punto de contacto con la AEPD.
  5. Ser el interlocutor para los pacientes que ejerzan sus derechos ARCO-POL.

2. Evaluación de Impacto en Protección de Datos (EIPD)

El artículo 35 del RGPD exige una Evaluación de Impacto en Protección de Datos (EIPD) cuando el tratamiento entrañe un alto riesgo para los derechos y libertades de las personas físicas. El tratamiento a gran escala de datos de salud es uno de los supuestos expresamente mencionados.

¿Cuándo es obligatoria la EIPD en una clínica?

  • Cuando se tratan datos de salud de un volumen significativo de pacientes (tratamiento a gran escala).
  • Cuando se utilizan nuevas tecnologías (telemedicina, inteligencia artificial diagnóstica, dispositivos IoT médicos).
  • Cuando se cruzan datos de diferentes fuentes (historias clínicas con datos de seguros, laboratorios externos, etc.).

No es obligatoria si el tratamiento lo realiza un solo médico o profesional de la salud a título individual, ya que no se considera tratamiento a gran escala.

Contenido mínimo de la EIPD:

  1. Descripción sistemática del tratamiento y sus finalidades.
  2. Evaluación de la necesidad y proporcionalidad del tratamiento.
  3. Evaluación de los riesgos para los derechos de los pacientes.
  4. Medidas previstas para afrontar los riesgos, incluidas garantías, medidas de seguridad y mecanismos que aseguren la protección de datos.

3. Cifrado y medidas de seguridad técnicas

El RGPD exige la implementación de medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo (artículo 32). Para datos de salud, esto se traduce en:

  • Cifrado AES-256 de los datos almacenados (en reposo) y en tránsito, considerado el estándar de referencia para datos de categoría especial.
  • Control de acceso basado en roles: solo el personal autorizado, en función de su cargo y necesidad asistencial, puede acceder a cada tipo de información.
  • Registro de accesos (log de auditoría): todo acceso a datos de pacientes debe quedar registrado con identificación del usuario, fecha, hora y tipo de operación realizada.
  • Copias de seguridad cifradas: con periodicidad adecuada y almacenadas en ubicaciones distintas al sistema principal.
  • Protección perimetral: cortafuegos, sistemas de detección de intrusiones, antivirus actualizado.
  • Pseudonimización cuando sea técnicamente viable, especialmente para datos utilizados en investigación o estadística.

4. Control de accesos: solo por función y necesidad

Una de las infracciones más frecuentes en el sector sanitario es el acceso indebido a historias clínicas. El RGPD y la Ley 41/2002 de autonomía del paciente exigen que el acceso a la documentación clínica se limite estrictamente a:

  • El personal sanitario que interviene directamente en el diagnóstico o tratamiento del paciente.
  • El personal administrativo, únicamente a los datos necesarios para sus funciones (citas, facturación).
  • El paciente y las personas que este autorice expresamente.

Medidas que debe implementar la clínica:

  • Perfiles de acceso diferenciados por rol (médico, enfermero, administrativo, dirección).
  • Bloqueo automático de sesiones por inactividad.
  • Autenticación en dos factores para accesos remotos.
  • Revisión periódica de los permisos de acceso (al menos anual).
  • Trazabilidad completa: quién accedió, a qué dato, cuándo y para qué.

5. Contratos con encargados del tratamiento

Cuando la clínica contrata servicios externos que implican acceso a datos de pacientes, el proveedor actúa como encargado del tratamiento y debe formalizarse un contrato conforme al artículo 28 del RGPD. Esto afecta a:

  • Proveedores de software de gestión clínica (como Gesmed).
  • Empresas de alojamiento web y cloud computing.
  • Laboratorios externos de análisis.
  • Empresas de destrucción de documentación.
  • Servicios de telemedicina.
  • Empresas de mantenimiento informático.

Contenido obligatorio del contrato:

  1. Objeto y duración del tratamiento.
  2. Naturaleza y finalidad del tratamiento.
  3. Tipo de datos personales y categorías de interesados.
  4. Obligaciones y derechos del responsable.
  5. Instrucciones documentadas del responsable al encargado.
  6. Compromiso de confidencialidad del personal del encargado.
  7. Medidas de seguridad que implementará el encargado.
  8. Régimen de subcontratación.
  9. Colaboración para atender el ejercicio de derechos de los pacientes.
  10. Destino de los datos a la finalización del contrato.
  11. Derecho de auditoría e inspección del responsable sobre el encargado.

Diligencia debida: antes de contratar un proveedor que acceda a datos de pacientes, la clínica debe verificar que ofrece garantías suficientes. Esto incluye comprobar certificaciones (ISO 27001), ubicación de los servidores (preferiblemente UE), medidas de seguridad implementadas y política de brechas de seguridad.

6. Registro de actividades de tratamiento

El artículo 30 del RGPD obliga a mantener un registro de actividades de tratamiento por escrito (puede ser electrónico). Para una clínica, los tratamientos típicos incluyen:

  • Gestión de historias clínicas.
  • Gestión de citas.
  • Facturación y cobros.
  • Videovigilancia (si procede).
  • Gestión de recursos humanos.
  • Comunicaciones comerciales (si se envían).

Cada tratamiento debe documentar: finalidad, base jurídica, categorías de datos, destinatarios, transferencias internacionales, plazos de conservación y medidas de seguridad.

7. Gestión de brechas de seguridad

El artículo 33 del RGPD obliga a notificar a la AEPD cualquier violación de seguridad que afecte a datos personales en un plazo máximo de 72 horas desde que se tenga conocimiento. Si la brecha supone un alto riesgo para los pacientes, también deben ser informados directamente (artículo 34).

Brechas más frecuentes en clínicas:

  • Ataques de ransomware que cifran historias clínicas.
  • Envío erróneo de informes médicos por email.
  • Pérdida o robo de dispositivos con datos de pacientes.
  • Acceso no autorizado a sistemas informáticos.
  • Pérdida de soportes físicos (CDs, USBs) con datos médicos.

Protocolo que debe tener la clínica:

  1. Procedimiento de detección y contención inmediata.
  2. Evaluación del riesgo para los derechos de los afectados.
  3. Notificación a la AEPD en 72 horas (si procede).
  4. Comunicación a los pacientes afectados (si el riesgo es alto).
  5. Documentación interna de la brecha y medidas correctivas.
  6. Revisión y mejora de medidas de seguridad.

8. Plazos de conservación de historias clínicas

La determinación de cuánto tiempo debe conservarse la documentación clínica es una cuestión compleja en España, ya que intervienen normativas estatales y autonómicas:

Marco estatal — Ley 41/2002:

  • Plazo mínimo de 5 años desde la fecha de alta de cada proceso asistencial.
  • Los centros deben conservar la documentación necesaria para la adecuada asistencia al paciente durante el tiempo adecuado a cada caso.

Plazos por comunidad autónoma:

Comunidad Autónoma Plazo de conservación
Normativa estatal (mínimo) 5 años desde el alta
Cataluña 15 años desde el alta (documentación relevante); hasta 20 años tras el fallecimiento
Navarra Hasta 20 años tras el fallecimiento del paciente
País Vasco 5 años mínimo (normativa estatal)
Resto de comunidades Aplicación de la Ley 41/2002 + normativa autonómica específica

Principio de minimización: el RGPD exige que los datos no se conserven más tiempo del necesario. Sin embargo, en el ámbito sanitario, los intereses asistenciales, legales (prescripción de responsabilidad civil) y de investigación pueden justificar periodos largos. La clave es documentar la base jurídica de cada plazo de conservación.

Sanciones reales de la AEPD en el sector sanitario español

Las sanciones no son teóricas. La AEPD ha actuado de forma contundente contra centros sanitarios que incumplen la normativa. Estos son algunos casos reales:

Caso CEDICO — Centro de Diagnóstico por Imagen: 30.000 €

La AEPD sancionó a CEDICO, un centro de diagnóstico por imagen, por compartir la historia clínica de un paciente con su Mutua laboral sin consentimiento y sin base jurídica adecuada. Un paciente denunció que su Mutua había denegado una baja laboral tras acceder a una resonancia magnética realizada meses antes en CEDICO, lo que evidenció que el centro había cedido datos de salud sin autorización. La infracción se tipificó como vulneración del artículo 5.1.f) del RGPD (principio de integridad y confidencialidad). La sanción inicial fue de 30.000 euros, reducida a 18.000 euros tras acogerse al pago voluntario.

Caso médico de Gijón: 60.101 €

La AEPD impuso una multa de 60.101 euros —clasificada como infracción muy grave bajo la anterior LOPD— por acceso indebido a historias clínicas. El expediente evidenció que se accedió a datos de salud de pacientes sin relación asistencial que lo justificara, vulnerando el principio de limitación de la finalidad y las normas de acceso a la documentación clínica de la Ley 41/2002. Este caso ilustra que el acceso a historias clínicas por curiosidad, conveniencia o cualquier motivo ajeno a la asistencia sanitaria directa constituye una infracción grave con consecuencias económicas severas.

Caso Recoletas — Clínica privada en Cuenca: 40.001 €

La AEPD sancionó con 40.001 euros a la clínica Recoletas en Cuenca por transferir datos de pacientes sin medidas de seguridad adecuadas. La investigación reveló que se cedieron datos personales y clínicos a un centro neurológico externo sin cifrar la información y sin la debida autorización del Servicio de Salud de Castilla-La Mancha. La cesión se realizó en el contexto de una subcontratación de servicios, sin contrato de encargado del tratamiento ni medidas de protección proporcionales a la sensibilidad de los datos.

Caso hospital — Pérdida de pruebas médicas: 1.000.000 €

En la resolución PS/00288/2024, la AEPD impuso una sanción de 1 millón de euros a una entidad hospitalaria por la pérdida de un CD que contenía pruebas médicas previas de un paciente. La resolución enfatizó la falta de responsabilidad proactiva (accountability) del centro, que no pudo demostrar que hubiera implementado medidas adecuadas para la custodia de soportes físicos con datos de salud.

Patrón común en todas las sanciones

Todas estas sanciones comparten elementos que toda clínica debe evitar:

  1. Falta de control de accesos: personal accediendo a datos sin justificación asistencial.
  2. Cesión de datos sin garantías: compartir información con terceros sin contrato de encargado del tratamiento.
  3. Medidas de seguridad insuficientes: falta de cifrado, ausencia de logs de acceso, custodia deficiente de soportes físicos.
  4. Ausencia de accountability: incapacidad de demostrar ante la AEPD que se habían implementado medidas adecuadas.

El enfoque de gestión del riesgo: privacy by design

El RGPD introduce el principio de protección de datos desde el diseño y por defecto (artículo 25), conocido como privacy by design. Para una clínica, esto significa que la protección de datos no es una capa que se añade después, sino que debe estar integrada en cada proceso, sistema y herramienta desde su concepción.

Medidas prácticas de privacy by design en una clínica:

  • Seleccionar software de gestión que incorpore protección de datos por defecto (cifrado, control de accesos, logs de auditoría).
  • Configurar los sistemas para recopilar solo los datos estrictamente necesarios (minimización).
  • Establecer plazos automáticos de revisión y, en su caso, eliminación de datos.
  • Formar al personal periódicamente en protección de datos.
  • Incluir cláusulas de protección de datos en todos los contratos con proveedores.
  • Realizar auditorías internas al menos anuales.

Responsable vs. encargado del tratamiento: la distinción clave

Cuando una clínica contrata un proveedor tecnológico, es fundamental entender la distinción:

  • Responsable del tratamiento: la clínica, que determina los fines y medios del tratamiento de datos de pacientes.
  • Encargado del tratamiento: el proveedor (software, hosting, laboratorio externo), que trata los datos por cuenta de la clínica.

Obligaciones del responsable (clínica) al elegir encargado:

  1. Diligencia debida: verificar que el encargado ofrece garantías suficientes (certificaciones, medidas de seguridad, ubicación de datos).
  2. Contrato por escrito: formalizar el contrato del artículo 28 RGPD antes de facilitar cualquier dato.
  3. Instrucciones documentadas: detallar por escrito qué puede y qué no puede hacer el encargado con los datos.
  4. Auditoría e inspección: reservar contractualmente el derecho a auditar al encargado.
  5. Supervisión continuada: verificar periódicamente que el encargado cumple sus obligaciones.

Cómo Gesmed Edition garantiza el cumplimiento del RGPD

Gesmed Edition ha sido diseñado con un enfoque de privacy by design específico para el sector sanitario. Las características que facilitan el cumplimiento del RGPD clínicas médicas incluyen:

  • Cifrado AES-256: todos los datos de pacientes se almacenan cifrados tanto en reposo como en tránsito, utilizando el estándar de cifrado más robusto disponible.
  • Servidores ISO 27001 en la Unión Europea: los datos se alojan en centros de datos certificados ISO 27001 dentro de la UE, garantizando el cumplimiento de las exigencias de localización de datos del RGPD.
  • Permisos granulares por rol: el sistema permite definir perfiles de acceso detallados para cada tipo de usuario (médico, enfermero, administrativo, dirección), asegurando que cada persona accede únicamente a la información necesaria para su función.
  • Log de auditoría completo: todo acceso a datos de pacientes queda registrado con identificación del usuario, fecha, hora, tipo de operación y datos consultados, proporcionando la trazabilidad que exige la normativa.
  • Copias de seguridad automáticas: el sistema realiza copias de seguridad cifradas de forma automática, eliminando el riesgo de pérdida de datos por fallos técnicos o ataques informáticos.
  • Gestión del consentimiento: herramientas integradas para recabar, documentar y gestionar los consentimientos informados de los pacientes.
  • Contrato de encargado del tratamiento: Gesmed formaliza con cada clínica cliente un contrato conforme al artículo 28 del RGPD, detallando todas las garantías de seguridad y protección de datos.

Conclusión: la protección de datos no es opcional en sanidad

El RGPD clínicas médicas es una de las áreas de cumplimiento normativo con mayor riesgo de sanción en España. Los datos de salud son la categoría más protegida del reglamento, la AEPD inspecciona activamente el sector sanitario y las sanciones reales demuestran que ningún centro está exento de riesgo: desde consultas individuales hasta grandes hospitales han recibido multas significativas.

Las 8 obligaciones descritas en este artículo no son opcionales ni negociables. Designar un DPO, realizar la evaluación de impacto, implementar cifrado y control de accesos, formalizar contratos con encargados del tratamiento y gestionar adecuadamente las brechas de seguridad son requisitos legales cuyo incumplimiento puede acarrear sanciones de hasta 20 millones de euros o el 4 % del volumen de negocio anual (las que sean mayores), según el artículo 83 del RGPD.

¿Necesitas un software de gestión clínica que cumpla el RGPD desde el diseño? Gesmed Edition ofrece cifrado AES-256, servidores ISO 27001 en la UE, permisos granulares, log de auditoría y copias de seguridad automáticas. Todo lo que tu clínica necesita para proteger los datos de tus pacientes y cumplir la normativa sin complicaciones. Descubre Gesmed Edition y da el paso hacia una gestión segura y conforme.

Fuentes y referencias:

Posts relacionados

Desbloquea tu Potencial con Soluciones Vanguardistas

Potencia tu éxito con nuestras herramientas innovadoras. Acepta el futuro de la eficiencia y la excelencia.

Solicita una demo Contáctanos

Utilizamos cookies propias y de terceros para mejorar la web mediante el análisis de la navegación y personalizar el contenido mediante tus preferencias. Para más información puedes consultar nuestra Política de Cookies.

Puedes aceptar todas las cookies mediante el botón “Aceptar todas”.

Puedes configurar o rechazar su uso pulsando en “Configuración de cookies”.

Cookies técnicas esenciales:
Son necesarias para gestionar la navegación dentro de la web o para mantener al usuario conectado. No se pueden desactivar porque afectaría al funcionamiento de la web.