RGPD para consultas médicas: guía práctica

Si diriges una consulta médica, un gabinete de psicología o cualquier práctica sanitaria independiente en España, el Reglamento General de Protección de Datos (RGPD) no es algo que puedas ignorar. No es una normativa pensada solo para grandes hospitales o multinacionales tecnológicas: afecta directamente a cualquier profesional que trate datos de pacientes, sin importar el tamaño de su consulta.

El problema es que la mayoría de guías sobre RGPD están escritas en lenguaje jurídico denso, pensadas para departamentos legales con recursos. Esta guía es diferente. Está escrita para profesionales de la salud que trabajan solos o con equipos pequeños, y que necesitan saber exactamente qué tienen que hacer para cumplir la normativa sin dedicar semanas a interpretarla.

Qué es el RGPD y por qué te afecta como profesional de la salud

El RGPD (Reglamento UE 2016/679) es la normativa europea de protección de datos personales que entró en vigor en mayo de 2018. Aplica a cualquier persona o entidad que recoja, almacene o trate datos personales de ciudadanos de la UE. Si tienes pacientes, tienes datos personales. Y si esos datos incluyen información sobre su salud —que es prácticamente siempre en una consulta médica—, estás tratando una categoría especial de datos que exige medidas de protección reforzadas.

Lo que muchos profesionales no entienden es que el RGPD no distingue entre un hospital con 500 empleados y un psicólogo autónomo que atiende desde un despacho. La obligación de cumplir es la misma. Lo que cambia es la escala de las medidas, pero no su existencia.

En la práctica, esto significa que desde el momento en que un paciente te da su nombre, número de teléfono y motivo de consulta —sea por teléfono, por un formulario web o por WhatsApp—, ya estás realizando un tratamiento de datos personales sujeto al RGPD.

¿Quién es el responsable del tratamiento?

Tú. Como titular de la consulta, eres el responsable del tratamiento de datos. Esto implica que debes garantizar que los datos de tus pacientes se recogen, almacenan y tratan de forma lícita, segura y transparente. Si contratas un software de gestión de citas o un servicio de email marketing, esos proveedores son encargados del tratamiento, pero la responsabilidad última sigue siendo tuya.

Datos de salud como categoría especial (artículo 9 del RGPD)

El artículo 9 del RGPD clasifica los datos de salud como «categorías especiales de datos personales». Esto incluye cualquier información relativa a la salud física o mental de una persona, pasada, presente o futura. En una consulta médica, prácticamente toda la información que manejas entra en esta categoría:

• Historias clínicas y diagnósticos
• Resultados de pruebas y análisis
• Tratamientos prescritos y medicación
• Informes psicológicos y notas de sesión
• Datos biométricos (si los recoges)
• Información sobre discapacidades o alergias

El tratamiento de estos datos está prohibido con carácter general, salvo que se cumpla alguna de las excepciones del artículo 9.2. Las más relevantes para profesionales de la salud son:

• Consentimiento explícito del interesado (art. 9.2.a): el paciente debe dar su consentimiento de forma clara, específica e informada.
• Fines de medicina preventiva, diagnóstico médico o tratamiento sanitario (art. 9.2.h): esta es la base legal principal para los profesionales sanitarios. Permite tratar datos de salud sin consentimiento explícito cuando es necesario para la prestación asistencial, siempre que el tratamiento lo realice un profesional sujeto a secreto profesional.
• Interés público en el ámbito de la salud pública (art. 9.2.i): aplicable en situaciones como pandemias o registros obligatorios de enfermedades.

Es importante entender que, aunque la base legal del artículo 9.2.h te permite tratar datos de salud para la prestación asistencial sin consentimiento explícito, sigues necesitando informar al paciente sobre el tratamiento de sus datos (principio de transparencia) y obtener consentimiento para finalidades distintas de la asistencial, como el envío de comunicaciones comerciales o la cesión de datos a terceros.

Obligaciones concretas para tu consulta

1. Registro de actividades de tratamiento

Todo profesional que trate datos de salud debe mantener un registro de actividades de tratamiento (art. 30 RGPD). Este documento describe qué datos recoges, con qué finalidad, durante cuánto tiempo los conservas, a quién los cedes y qué medidas de seguridad aplicas. No es necesario registrarlo ante la AEPD (eso era con la antigua LOPD), pero debes tenerlo disponible si te lo piden.

Un registro básico para una consulta debería incluir al menos estas actividades: gestión de pacientes (historias clínicas), gestión de citas, facturación, comunicaciones con pacientes y, si aplica, videoconferencias para teleconsulta.

2. Consentimiento informado para tratamiento de datos

Debes informar a tus pacientes sobre el tratamiento de sus datos antes de recogerlos. Esto se materializa en un documento de información y consentimiento que debe incluir: identidad del responsable (tú), finalidad del tratamiento, base legal, destinatarios de los datos, plazo de conservación y derechos del paciente (acceso, rectificación, supresión, portabilidad, oposición y limitación).

Este consentimiento es distinto del consentimiento informado clínico. Uno es para el tratamiento de datos personales (RGPD), otro para el procedimiento médico (Ley 41/2002). Ambos son obligatorios y deben gestionarse por separado.

3. Delegado de Protección de Datos (DPD)

La LOPDGDD (art. 34.1.l) obliga a designar un DPD a los «centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes». En la práctica, esto afecta a la mayoría de consultas, incluso las individuales. La AEPD ha interpretado esta obligación de forma amplia.

La buena noticia es que el DPD puede ser externo. Existen servicios especializados en protección de datos sanitarios que ofrecen el servicio de DPD externo por entre 50 y 150 euros mensuales, dependiendo del volumen de la consulta. Es una inversión pequeña comparada con las sanciones potenciales.

4. Medidas de seguridad técnicas y organizativas

El RGPD no prescribe medidas concretas, sino que exige que sean «adecuadas al riesgo». Para una consulta que maneja datos de salud, las medidas mínimas razonables incluyen:

• Cifrado de dispositivos que almacenen datos de pacientes (portátiles, tablets, móviles)
• Contraseñas robustas y autenticación en dos factores
• Copias de seguridad periódicas y verificadas
• Control de acceso: solo personal autorizado accede a los datos
• Destrucción segura de documentación en papel (destructora de corte cruzado)
• Software actualizado y antivirus
• Si usas servicios en la nube, verificar que el proveedor cumple con el RGPD y los datos se alojan en la UE (o país con decisión de adecuación)

5. Evaluación de Impacto en Protección de Datos (EIPD)

Cuando el tratamiento de datos entraña un alto riesgo para los derechos de los interesados —y el tratamiento de datos de salud se considera de alto riesgo—, es obligatorio realizar una EIPD antes de iniciar el tratamiento (art. 35 RGPD). La AEPD ha publicado una lista de tratamientos que obligatoriamente requieren EIPD, y los tratamientos a gran escala de datos de salud están incluidos.

Para consultas pequeñas, la AEPD ha matizado que el tratamiento «no a gran escala» por un profesional sanitario individual puede no requerir EIPD. Sin embargo, es recomendable hacer al menos un análisis de riesgos documentado para demostrar diligencia.

6. Gestión de brechas de seguridad

Si sufres una brecha de seguridad (pérdida de un portátil, acceso no autorizado a historiales, ransomware), tienes 72 horas desde que tengas conocimiento para notificarlo a la AEPD. Si la brecha supone un alto riesgo para los derechos de los pacientes afectados, también debes comunicárselo directamente a ellos.

Tener un protocolo de actuación ante brechas documentado antes de que ocurra el incidente es fundamental. No solo facilita la respuesta, sino que demuestra a la AEPD que actuaste con diligencia.

LOPDGDD: particularidades españolas

La Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD) adapta el RGPD al ordenamiento jurídico español. Para profesionales de la salud, las particularidades más relevantes son:

• Ampliación del listado de sujetos obligados a designar DPD (art. 34): incluye expresamente a centros sanitarios.
• Tratamiento de datos de personas fallecidas (art. 3): los herederos pueden ejercer derechos sobre los datos del fallecido, con ciertas limitaciones.
• Menores de edad (art. 7): el consentimiento para el tratamiento de datos de menores de 14 años debe ser otorgado por los padres o tutores. Para menores de entre 14 y 18 años, pueden consentir ellos mismos en muchos casos, pero en el ámbito sanitario hay que considerar también la normativa de autonomía del paciente.
• Sistemas de denuncias internas (art. 24): si tienes empleados, puedes establecer sistemas de denuncia interna para infracciones de protección de datos.
• Régimen sancionador: la LOPDGDD desarrolla el régimen sancionador del RGPD con categorías de infracciones leves, graves y muy graves.

Además, hay que tener en cuenta la Ley 41/2002 de Autonomía del Paciente y las normativas autonómicas de salud, que pueden establecer requisitos adicionales sobre la conservación y gestión de historias clínicas.

Sanciones reales de la AEPD

La AEPD no es un organismo pasivo. Actúa de oficio y por denuncias de pacientes, y las sanciones son significativas incluso para consultas pequeñas. Algunos ejemplos que ilustran los riesgos:

• Enviar informes médicos por email sin cifrar: sanciones entre 2.000 y 10.000 euros por vulnerar las medidas de seguridad exigidas para datos de categoría especial.
• No tener registro de actividades de tratamiento: apercibimientos y sanciones de hasta 40.000 euros, dependiendo de la gravedad y reiteración.
• Publicar datos de pacientes en redes sociales (incluso involuntariamente, como una foto en la consulta donde se vea una pantalla con datos): sanciones que pueden superar los 60.000 euros.
• No notificar una brecha de seguridad: sanciones entre 40.000 y 300.000 euros, independientemente de la brecha en sí.
• Cámaras de videovigilancia sin cartel informativo: una de las infracciones más comunes, con sanciones habituales de 1.000 a 5.000 euros.

El RGPD permite sanciones de hasta 20 millones de euros o el 4% del volumen de negocio anual (lo que sea mayor). En la práctica, la AEPD aplica el principio de proporcionalidad, pero incluso las sanciones «pequeñas» pueden ser devastadoras para un profesional autónomo.

Lo más importante: la AEPD tiene en cuenta la diligencia del responsable. Si puedes demostrar que tenías medidas implementadas, que actuaste de buena fe y que colaboraste con la investigación, las sanciones se reducen significativamente. La negligencia o la falta total de medidas, por el contrario, agrava las sanciones.

Checklist práctica para cumplir con el RGPD en tu consulta

Esta lista resume las acciones concretas que necesitas implementar. Puedes usarla como punto de partida y revisarla con tu DPD o asesor de protección de datos:

Cumplir con el RGPD no requiere un presupuesto enorme, pero sí requiere dedicar tiempo a implementar las medidas correctas. Si automatizas parte de la gestión de tu consulta —como las citas, los recordatorios o la comunicación con pacientes—, asegúrate de que las herramientas que uses cumplan con la normativa. Puedes consultar nuestra guía de automatización de consultas para conocer las opciones disponibles.

Preguntas frecuentes

Si necesitas profundizar en cómo la protección de datos afecta a la comunicación digital con pacientes, consulta nuestra guía sobre WhatsApp Business para consultas médicas, donde abordamos las implicaciones del RGPD en la mensajería con pacientes.