Ir al contenido principal

Cómo preparar tu consulta para una auditoría de la AEPD: guía completa

Por Equipo Automatizar Consulta

En resumen

Las consultas médicas son objetivo frecuente de la AEPD porque tratan datos de salud, la categoría más sensible del RGPD. Una inspección puede desencadenarse por una denuncia de un paciente, una brecha de seguridad o un control aleatorio. Esta guía te explica qué documentación necesitas, qué medidas técnicas debe tener tu consulta, los errores que más sanciones generan, y un plan de acción de 30 días para estar preparado.

En 2025, la AEPD impuso más de 600 sanciones en el sector sanitario español, con multas que van desde 2.000 EUR hasta varios cientos de miles. Las consultas de profesionales autónomos no están exentas: de hecho, representan el 35% de las denuncias del sector sanitario, según datos del propio organismo.

La causa más frecuente no es un ciberataque sofisticado ni una brecha masiva de datos. Es mucho más mundano: un paciente descontento que denuncia porque recibió un SMS con información clínica visible, porque le enviaron los resultados de otro paciente por error, o porque le negaron el acceso a su historial. Ese tipo de incidentes cotidianos son los que abren expedientes.

La buena noticia: prepararse no es complicado ni caro. La mayoría de los requisitos son organizativos y documentales, no tecnológicos. Si dedicas un par de tardes a ordenar tu documentación RGPD, reduces drásticamente tu riesgo.

Consulta médica preparada para una auditoría de protección de datos con checklist de cumplimiento RGPD

Por qué la AEPD puede fijarse en tu consulta

Las inspecciones de la AEPD se inician por tres vías:

1. Denuncia de un paciente

La vía más frecuente. Cualquier persona puede presentar una reclamación gratuita ante la AEPD a través de su sede electrónica. Las denuncias más habituales en el sector sanitario:

  • Envío de información clínica a persona equivocada (email, SMS, WhatsApp).
  • Acceso denegado al historial clínico propio.
  • Comunicaciones comerciales no consentidas (newsletter, promociones).
  • Cámaras de videovigilancia en zonas de consulta.
  • Publicación de fotos de pacientes (antes/después) sin consentimiento explícito.

2. Notificación de brecha de seguridad

Si sufres un incidente de seguridad que afecta a datos personales (robo de portátil, ransomware, acceso no autorizado a tu software), estás obligado a notificarlo a la AEPD en un plazo de 72 horas. Esta notificación puede derivar en una investigación si la AEPD detecta que las medidas de seguridad eran insuficientes. Consulta nuestra guía de ciberseguridad para consultas médicas.

3. Investigación de oficio o plan sectorial

La AEPD realiza periódicamente planes de inspección sectoriales dirigidos a sectores de riesgo. El sector sanitario es uno de los más inspeccionados. Estas inspecciones pueden ser aleatorias — no necesitas haber hecho nada mal para ser seleccionado.

Documentación obligatoria que debes tener preparada

La AEPD va a pedir estos documentos. Si los tienes, respondes en 48 horas y demuestras diligencia. Si no los tienes, ya estás en infracción:

1. Registro de Actividades de Tratamiento (RAT)

El documento más importante. Describe todos los tratamientos de datos que realizas en tu consulta. Debe incluir:

  • Nombre del responsable del tratamiento (tú) y datos de contacto.
  • Finalidad de cada tratamiento (asistencia sanitaria, facturación, marketing, etc.).
  • Categorías de interesados (pacientes, empleados, proveedores).
  • Categorías de datos (datos identificativos, datos de salud, datos económicos).
  • Base legal de cada tratamiento (consentimiento, interés vital, obligación legal, etc.).
  • Destinatarios (aseguradoras, laboratorios, administración sanitaria).
  • Transferencias internacionales (si usas software con servidores fuera de la UE).
  • Plazos de conservación de los datos.
  • Medidas de seguridad generales.

2. Política de privacidad

Debe estar visible en tu web y disponible en tu consulta (cartel o documento entregable). Incluye información sobre quién eres, qué datos tratas, por qué, durante cuánto tiempo y cómo ejercer los derechos. Tu web profesional debe incluir esta política de forma accesible.

3. Cláusulas informativas y consentimientos

  • Cláusula informativa en la primera visita: el paciente debe ser informado del tratamiento de sus datos antes de la primera consulta. Puede ser un documento firmado o un formulario digital.
  • Consentimiento específico para comunicaciones comerciales: si envías newsletters, recordatorios promocionales o campañas de email marketing, necesitas consentimiento separado y explícito.
  • Consentimiento para fotos/vídeos clínicos: si fotografías lesiones, evoluciones o resultados (habitual en dermatología, estética, odontología), necesitas consentimiento escrito con finalidad específica.

4. Contratos de encargado de tratamiento

Con todos los proveedores que acceden a datos de tus pacientes:

  • Tu software de gestión clínica (CLINIC CLOUD, Nubimed, Doctoralia...).
  • Tu proveedor de email (Gmail, Outlook — sí, también).
  • Tu plataforma de telemedicina.
  • Tu servicio de backup en la nube.
  • Tu gestoría (accede a datos de facturación).
  • Empresas de limpieza (si acceden a zonas con documentación).
  • Servicio de destrucción de documentos.

Error frecuente

Muchos profesionales tienen contrato con su software médico pero olvidan el resto. La AEPD verifica TODOS los encargados de tratamiento, no solo el más obvio. Revisa tu lista de proveedores y asegúrate de tener contrato firmado (art. 28 RGPD) con cada uno que acceda a datos personales.

5. Análisis de riesgos

Un documento que identifica los riesgos para los datos personales en tu consulta y las medidas que aplicas para mitigarlos. No necesita ser un documento de 100 páginas — para una consulta pequeña, un análisis de 3-5 páginas es suficiente. La guía RGPD para consultas médicas incluye orientaciones sobre cómo hacerlo.

6. Protocolo de brechas de seguridad

Un procedimiento documentado que describe qué hacer si se produce una brecha: quién detecta, quién decide, cómo se evalúa, cuándo se notifica a la AEPD (72 horas) y cuándo se comunica a los afectados.

7. Protocolo de ejercicio de derechos

Procedimiento para atender los derechos de acceso, rectificación, supresión, portabilidad, limitación y oposición de los pacientes. Plazo máximo de respuesta: 1 mes.

Checklist de cumplimiento RGPD para consultas médicas

Usa esta lista para evaluar tu situación actual. Cada ítem debe estar resuelto antes de considerarte «preparado» ante una posible inspección:

Registro de Actividades de Tratamiento (RAT) actualizado y accesible.
Política de privacidad en la web y visible en la consulta.
Cláusula informativa firmada por todos los pacientes activos.
Consentimiento explícito para comunicaciones comerciales (si aplica).
Contratos de encargado de tratamiento con todos los proveedores que acceden a datos.
Análisis de riesgos documentado.
Protocolo de brechas de seguridad documentado.
Protocolo de derechos ARCO documentado.
Cifrado de datos en reposo y en tránsito para datos de salud.
Control de acceso con usuario y contraseña únicos para cada persona que accede al sistema.
Copias de seguridad periódicas y verificadas de los datos clínicos.
Formación del personal en protección de datos (documentada).
Videovigilancia con cartel informativo y sin cámaras en zonas de consulta.

Medidas técnicas que la AEPD verificará

Además de la documentación, la AEPD evalúa las medidas de seguridad técnicas que proteges los datos de tus pacientes:

Cifrado

  • En tránsito: toda comunicación con datos de salud debe ir cifrada (HTTPS en tu web, TLS en email, cifrado en plataformas de telemedicina). Verifica que tu plataforma de telemedicina use cifrado de extremo a extremo.
  • En reposo: los datos almacenados en tu ordenador, servidor o nube deben estar cifrados. Windows ofrece BitLocker, macOS ofrece FileVault — ambos gratuitos y fáciles de activar.

Control de acceso

  • Cada persona que accede al sistema debe tener un usuario y contraseña únicos (no compartir credenciales).
  • Las contraseñas deben ser robustas (mínimo 12 caracteres, combinando letras, números y símbolos).
  • Autenticación en dos factores (2FA) recomendada para el acceso al software clínico.
  • Bloqueo automático de pantalla tras 5 minutos de inactividad.

Copias de seguridad

  • Backup diario de la base de datos clínica.
  • Almacenamiento del backup en ubicación diferente al sistema principal (nube o disco externo cifrado que se guarda fuera de la consulta).
  • Verificación periódica de que el backup se puede restaurar (un backup que no se ha probado no es un backup).

Actualizaciones y antivirus

  • Sistema operativo y software actualizado con los últimos parches de seguridad.
  • Antivirus activo y actualizado.
  • Firewall activado.

Destrucción segura de datos

  • Documentos en papel: destructora de nivel P-4 o superior (corte cruzado).
  • Datos digitales: borrado seguro (no basta con vaciar la papelera) al dar de baja equipos o soportes.

Los 10 errores más sancionados en consultas sanitarias

Basado en resoluciones publicadas por la AEPD entre 2023 y 2025:

  1. Enviar información clínica al paciente equivocado — el error humano más sancionado. Solución: verificar siempre el destinatario, usar el portal del paciente en lugar de email para información sensible.
  2. No tener contratos de encargado de tratamiento — especialmente con el software clínico y la plataforma de email. Solución: revisa y firma contratos con todos tus proveedores.
  3. Acceso no autorizado a historiales — personal que accede a fichas de pacientes que no atiende. Solución: perfiles de acceso limitados en tu historia clínica digital.
  4. No informar al paciente del tratamiento de datos — entregar la cláusula informativa y registrar la entrega.
  5. Videovigilancia sin cartel informativo o con cámaras en zonas de consulta.
  6. Publicar fotos de pacientes sin consentimiento — especialmente en redes sociales (antes/después en estética, odontología).
  7. No atender derechos en plazo — si un paciente pide acceso a su historial y no respondes en 1 mes, ya estás en infracción.
  8. Enviar comunicaciones comerciales sin consentimiento — el «recordatorio» que incluye una oferta de blanqueamiento dental es publicidad y necesita consentimiento.
  9. No notificar brechas de seguridad — si te roban el portátil con datos de pacientes y no lo notificas a la AEPD en 72 horas, doble infracción.
  10. Conservar datos más allá del plazo legal — datos de pacientes que ya no son necesarios y no se han anonimizado o eliminado.

Qué hacer si recibes un requerimiento de la AEPD

Si recibes una comunicación de la AEPD (normalmente por correo certificado o notificación electrónica), sigue estos pasos:

1. No entres en pánico

Un requerimiento no es una sanción. Es una solicitud de información. Si respondes correctamente y demuestras cumplimiento, el expediente puede archivarse sin consecuencias.

2. Lee atentamente el requerimiento

Identifica: quién denuncia (si es una reclamación), qué hechos se investigan, qué documentación piden y cuál es el plazo de respuesta (normalmente 10-15 días hábiles). No dejes pasar el plazo bajo ningún concepto.

3. Contacta a un profesional

Si no tienes experiencia con la AEPD, contacta a un abogado especializado en protección de datos o a un consultor RGPD. El coste de la asesoría (500-2.000 EUR) es insignificante comparado con una sanción potencial.

4. Reúne la documentación

Prepara toda la documentación que te piden (RAT, contratos, políticas, evidencia de medidas de seguridad). Si detectas que algo falta, prepáralo inmediatamente — la AEPD valora positivamente la diligencia y la corrección voluntaria.

5. Responde por escrito y dentro del plazo

La respuesta debe ser formal, completa y con evidencia adjunta. Describe las medidas que ya tenías implementadas y, si has detectado carencias, las medidas correctivas que has adoptado.

Consejo clave

La AEPD aplica el principio de «responsabilidad proactiva» (accountability). Si demuestras que tenías medidas de protección implementadas ANTES de la inspección, las sanciones son significativamente menores — e incluso puede archivarse el caso. La documentación preventiva es tu mejor defensa.

Sanciones: cuánto puede costar el incumplimiento

Tipo Ejemplos Sanción
LeveRAT incompleto, cartel de videovigilancia ausenteHasta 40.000 EUR
GraveSin contratos de encargado, sin análisis de riesgos, no atender derechos40.001 - 300.000 EUR
Muy graveTratar datos sin base legal, transferencias ilegales fuera de la UE300.001 - 20 M EUR

En la práctica, las sanciones a consultas pequeñas suelen situarse entre 2.000 y 60.000 EUR. La AEPD tiene en cuenta el tamaño de la organización, la intencionalidad, la reincidencia y las medidas correctoras adoptadas. La buena conducta posterior al incidente reduce significativamente la sanción.

Compara esto con el coste de estar preparado: una consultoría RGPD completa para una consulta pequeña cuesta entre 500 y 1.500 EUR (pago único). El mantenimiento anual, si lo haces tú con las herramientas adecuadas, es prácticamente gratuito.

Plan de acción: ponte al día en 30 días

Semana 1: Documentación base

  1. Crea o actualiza tu Registro de Actividades de Tratamiento. La AEPD ofrece una herramienta gratuita: FACILITA RGPD.
  2. Redacta o actualiza tu política de privacidad para la web y la consulta.
  3. Prepara la cláusula informativa para nuevos pacientes.

Semana 2: Contratos y consentimientos

  1. Lista todos tus proveedores que acceden a datos personales.
  2. Solicita y firma contratos de encargado de tratamiento (la mayoría de proveedores SaaS ya tienen un DPA estándar — solo tienes que firmarlo).
  3. Prepara el consentimiento para comunicaciones comerciales si haces marketing.

Semana 3: Medidas técnicas

  1. Activa el cifrado del disco (BitLocker/FileVault) en todos los equipos con datos de pacientes.
  2. Configura copias de seguridad automáticas y haz una prueba de restauración.
  3. Revisa contraseñas y accesos: contraseñas robustas, 2FA donde sea posible, perfiles de acceso adecuados.
  4. Actualiza sistema operativo, software y antivirus.

Semana 4: Protocolos y formación

  1. Documenta tu protocolo de brechas de seguridad (quién detecta, quién decide, cómo se notifica).
  2. Documenta tu protocolo de derechos (cómo atiendes acceso, rectificación, supresión).
  3. Si tienes personal, haz una sesión de formación de 1 hora sobre protección de datos — y documenta que la hiciste.
  4. Haz el análisis de riesgos usando la herramienta FACILITA de la AEPD.

Con estas 4 semanas de trabajo (dedicando 3-4 horas por semana), tu consulta estará en una posición sólida frente a cualquier inspección. Y lo más importante: estarás protegiendo realmente los datos de tus pacientes, que es el objetivo final del RGPD.

Preguntas frecuentes

¿Cuánto tarda una inspección de la AEPD?
Desde que recibes la notificación hasta la resolución pueden pasar entre 6 y 18 meses. La fase de investigación (en la que debes aportar documentación) suele durar 2-4 meses. Durante este tiempo, la AEPD puede requerirte información adicional, solicitar acceso a tus instalaciones o pedir declaraciones. Es importante responder siempre dentro del plazo indicado (normalmente 10-15 días hábiles) y no ignorar ningún requerimiento — la falta de colaboración es una infracción independiente.
¿Puede la AEPD inspeccionar mi consulta sin previo aviso?
Sí, la AEPD tiene potestad para realizar inspecciones presenciales sin previo aviso, aunque en la práctica es más frecuente que la investigación se inicie con un requerimiento por escrito (postal o electrónica) solicitando documentación. En caso de inspección presencial, los inspectores deben identificarse y puedes solicitar la orden de inspección. Tienes derecho a que esté presente tu abogado, aunque no puedes negarte a la inspección ni obstruirla.
¿Qué sanciones puede imponer la AEPD a una consulta médica?
Las sanciones varían según la gravedad: Infracciones leves (ej: no tener actualizado el registro de actividades de tratamiento): multa de hasta 40.000 EUR. Infracciones graves (ej: no tener contrato con un encargado de tratamiento, no realizar evaluación de impacto cuando es obligatorio): multa de hasta 300.000 EUR. Infracciones muy graves (ej: tratar datos de salud sin base legal, transferencias internacionales sin garantías): multa de hasta 20 millones de EUR o el 4% de la facturación. En la práctica, para una consulta pequeña, las sanciones suelen estar en el rango de 2.000-60.000 EUR.
¿Necesito un Delegado de Protección de Datos (DPO) en mi consulta?
Depende. El RGPD exige DPO cuando el tratamiento lo realiza un organismo público o cuando la actividad principal del responsable consiste en el tratamiento a gran escala de datos de categoría especial (como datos de salud). La AEPD ha indicado que los profesionales sanitarios individuales que actúan a título particular generalmente NO necesitan DPO. Sin embargo, si tu consulta trata un volumen significativo de pacientes o trabaja con historiales electrónicos a gran escala, puede ser recomendable nombrarlo. En caso de duda, consulta con un especialista en protección de datos.
¿Puedo usar WhatsApp para comunicarme con pacientes sin problemas con la AEPD?
WhatsApp estándar no cumple los requisitos del RGPD para datos de salud porque los servidores están en EE.UU. y no ofrece garantías suficientes de confidencialidad. WhatsApp Business es más aceptable, pero sigue teniendo limitaciones. La AEPD recomienda: 1) No enviar datos de salud por WhatsApp (diagnósticos, resultados, informes). 2) Si lo usas para citas y recordatorios, obtener consentimiento explícito. 3) Usar plataformas de mensajería con servidores en la UE y cifrado end-to-end para datos clínicos. Consulta nuestra guía de WhatsApp Business para consultas médicas para más detalles.

Siguiente paso

¿Ya tienes tu documentación RGPD en orden? Refuerza la seguridad de tu consulta con nuestra guía de ciberseguridad para consultas médicas, implementa el consentimiento informado digital y consulta las particularidades de protección de datos en psicología si es tu especialidad.

¿Quieres más guías como esta?

Nuevos artículos cada semana sobre automatización de consultas médicas.

Ver todos los artículos