El dentista comparte la radiografía de un paciente por su WhatsApp personal con el laboratorio para agilizar la prótesis. Esa misma foto se sincroniza esa noche en la copia de seguridad de Google Drive de su móvil, fuera de cualquier control de la clínica. Multiplica ese gesto cotidiano por todo un equipo y todo un año: historiales en carpetas abiertas en recepción, un software de gestión sin contrato firmado, fotos de "antes y después" subidas a Instagram sin consentimiento separado.
No es mala fe ni descuido del personal: es que casi nadie se sentó nunca a mapear qué datos maneja la clínica y qué exige la ley para cada uno. Y ese hueco es justo el que la Agencia Española de Protección de Datos revisa cuando llega una reclamación. La buena noticia: cumplir el RGPD en una clínica dental no requiere un departamento legal propio, solo entender seis obligaciones concretas y tenerlas resueltas. Esta guía explica qué datos manejas, cuáles son de categoría especial, qué obligaciones implican y cómo cubrirlas una por una.
Qué datos trata una clínica dental y por qué no todos son iguales
Una clínica dental maneja dos tipos de datos con regímenes legales distintos:
Datos ordinarios
Nombre, apellidos, DNI, dirección, teléfono, email, fecha de nacimiento, datos de facturación. Requieren base legal (contrato de servicio con el paciente) y medidas de seguridad estándar, pero no el régimen reforzado de datos especiales.
Datos de categoría especial (artículo 9 RGPD)
Todo lo que revela información de salud: odontograma, periodontograma, radiografías, diagnósticos, tratamientos realizados, medicación, alergias documentadas, historia clínica completa, consentimientos informados con diagnóstico implícito, presupuestos con desglose de patología. Cualquier dato que permita inferir el estado de salud bucodental de una persona es categoría especial.
El régimen de categoría especial implica:
- Base legal reforzada (consentimiento explícito del paciente o necesidad sanitaria documentada).
- Medidas de seguridad técnicas y organizativas adicionales.
- Contrato de encargado del tratamiento con cada proveedor que accede a esos datos.
- Registro de actividades de tratamiento actualizado.
- Análisis de impacto de protección de datos (AIPD) si el tratamiento es de alto riesgo.
- Plan de gestión de brechas de seguridad.
Las 6 obligaciones concretas de una clínica dental
1. Informar al paciente antes de recoger sus datos
En el primer contacto (formulario web, recepción física, WhatsApp inicial) el paciente debe recibir información sobre:
- Quién trata sus datos (nombre y datos de la clínica como responsable).
- Para qué se usan (prestación del servicio dental, facturación, recordatorios).
- Con quién se comparten (software de gestión, laboratorio dental, proveedor de email).
- Cuánto tiempo se conservan.
- Cuáles son sus derechos (acceso, rectificación, supresión, portabilidad, oposición).
- Cómo ejercerlos (email de contacto o formulario).
La cláusula informativa en papel en recepción cumple si está bien redactada. El formulario web necesita enlace a política de privacidad antes del envío. El WhatsApp de captación no tiene solución perfecta: lo más razonable es incluir enlace a política de privacidad en el primer mensaje de bienvenida.
2. Documentar la base legal
Para datos de salud, la base legal más usada en clínica dental es:
- Artículo 9.2.h RGPD: tratamiento necesario para la prestación de asistencia sanitaria. Cubre la historia clínica y los tratamientos.
- Artículo 9.2.a RGPD: consentimiento explícito del paciente. Cubre usos no estrictamente sanitarios (marketing, newsletter, fotos de antes y después con fines promocionales).
El consentimiento para fotos de antes/después con fines de marketing debe ser separado del consentimiento para el tratamiento y revocable en cualquier momento. No se puede condicionar la atención al paciente a que dé ese consentimiento.
3. Firmar contrato de encargado del tratamiento con cada proveedor externo
Cualquier empresa externa que acceda a datos de pacientes de la clínica es un encargado del tratamiento. La clínica debe tener un contrato firmado con cada uno antes de que accedan a ningún dato:
- Software de gestión clínica: el más crítico. Tiene acceso completo a toda la historia clínica.
- Proveedor de email corporativo (Google Workspace, Microsoft 365): los emails con citas y recordatorios contienen nombre y motivo de visita.
- Plataforma de recordatorios WhatsApp (si es API, no personal): accede a nombre, teléfono y fecha de cita.
- Laboratorio dental externo: recibe nombre del paciente y datos del trabajo protésico.
- Servicio de gestión contable o facturación externo: accede a datos de facturación del paciente.
- Gestoría externa: si accede a facturas con datos de pacientes.
El contrato de encargado debe incluir: descripción del tratamiento realizado, medidas de seguridad aplicadas, prohibición de uso para fines propios, obligación de borrado o devolución al terminar la relación, y compromiso de notificación de brechas.
Un proveedor que se niega a firmar este contrato no puede utilizarse para gestionar datos de pacientes. Punto.
4. Conservar la historia clínica el tiempo que marca la ley
La Ley 41/2002 establece un mínimo de 5 años desde la última asistencia. Pero las normativas autonómicas varían:
| Comunidad Autónoma | Plazo mínimo de conservación |
|---|---|
| Madrid | 15 años desde la última asistencia |
| Cataluña | 15 años desde la última asistencia |
| Andalucía | 5 años desde la última asistencia |
| Comunidad Valenciana | 10 años desde la última asistencia |
| País Vasco | 10 años desde la última asistencia |
| Castilla-La Mancha | 5 años desde la última asistencia |
Una clínica dental debe conocer el plazo de su comunidad autónoma. El software de gestión debe garantizar que los datos no se borran durante ese plazo aunque el paciente pida la supresión (en cuyo caso se le informa de que hay obligación legal de conservación).
Para menores: el plazo comienza cuando el menor cumple 18 años, no desde la última asistencia.
5. Aplicar medidas de seguridad técnicas y organizativas
Para datos de categoría especial, la AEPD espera medidas mínimas:
- Acceso por roles: solo el personal que necesita ver la historia clínica puede verla. La administrativa de facturación no necesita acceso al odontograma.
- Contraseñas robustas y autenticación de doble factor para acceso al software de gestión.
- Cifrado en reposo de la base de datos donde residen las historias clínicas.
- Cifrado en tránsito (HTTPS) en todas las comunicaciones del software.
- Copias de seguridad con frecuencia mínima diaria y verificación periódica.
- Registro de accesos: quién accedió a qué historia clínica y cuándo. Auditable.
- Protocolo de bloqueo de pantalla en los dispositivos de la clínica.
- Política de uso de dispositivos personales del personal (BYOD).
6. Tener un plan de brechas de seguridad
Si hay un incidente (robo de ordenador con historias clínicas, hackeo del software, email enviado al destinatario equivocado con datos de paciente), la clínica tiene 72 horas para notificarlo a la AEPD si el riesgo para los pacientes es alto. El plazo corre desde que se detecta el incidente, no desde que se evalúa.
Sin un plan documentado, la reacción en 72 horas es imposible. El plan no tiene que ser complejo: una página con los pasos a seguir, el contacto del DPO o asesor RGPD y el formulario de notificación de la AEPD guardado en un lugar accesible.
Los errores que la AEPD sanciona una y otra vez
Error 1: Software de gestión sin contrato de encargado firmado. El más frecuente y el que genera sanciones más altas. Si el software que usas no te ha enviado un contrato de encargado del tratamiento para firmar, estás en infracción.
Error 2: Historia clínica en carpetas físicas sin control de acceso. Las carpetas en una balda abierta en recepción no cumplen el requisito de acceso por roles. Cualquier paciente que espere en recepción puede ver etiquetas con nombres y datos.
Error 3: Fotos de antes/después en Instagram sin consentimiento explícito separado. El consentimiento del tratamiento no cubre el uso de imágenes con fines de marketing. Necesita consentimiento específico, por escrito, para ese uso concreto.
Error 4: WhatsApp personal del dentista como canal de comunicación de salud. Los datos enviados por WhatsApp personal pueden sincronizarse con copias de seguridad de iCloud o Google Drive, accesibles fuera del control de la clínica. No hay contrato de encargado posible con Meta para uso personal.
Error 5: Ignorar los derechos de los pacientes. Un paciente que pide acceso a su historia clínica tiene derecho a recibirla en 30 días. Si la clínica no tiene un proceso para gestionar esa solicitud, la respuesta por defecto es que "no está el doctor" o similar. La AEPD sanciona la falta de respuesta con la misma contundencia que la infracción técnica.
Lo que un buen software hace por ti sin que lo pidas
Un software de gestión bien diseñado automatiza la mayor parte del cumplimiento:
- Acceso por roles configurado desde el primer día: el dentista ve la historia clínica, la administrativa ve la agenda y la facturación.
- Registro de accesos automático: cada vez que alguien abre una historia clínica, el sistema registra quién y cuándo.
- Plantillas de consentimiento informado digitales, firmadas por el paciente en tablet y guardadas en su ficha.
- Exportación del historial del paciente en formato estándar para atender derechos de portabilidad y acceso.
- Eliminación o anonimización controlada cuando vence el plazo de conservación.
- Cifrado en reposo y en tránsito como estándar de infraestructura, no como opción.
- Contrato de encargado del tratamiento firmado con la clínica antes de empezar.
Intelidatia opera sobre Supabase en región EU (Fráncfort), cifrado en reposo y en tránsito, acceso por roles configurable por la clínica, y facilita el contrato de encargado del tratamiento firmado. Los datos de los pacientes nunca salen del Espacio Económico Europeo.
Para profundizar en la gestión de tu clínica dental
- Qué debe incluir el software completo de una clínica dental: guía de software dental.
- Cómo reducir no-shows con recordatorios automáticos y sin perder el cumplimiento RGPD: guía de recordatorios automáticos.
- Por qué el WhatsApp como sistema de citas tiene riesgos legales además de operativos: agenda online vs WhatsApp.
Si tienes dudas sobre si tu software actual cumple el contrato de encargado del tratamiento o sobre cómo está configurado el acceso por roles, contacta con Intelidatia — respondemos en horas.