En una frase. Hospitales, clínicas y consultas que tratan datos de salud lo hacen sobre datos de categoría especial (art. 9 RGPD): necesitan doble base jurídica, control estricto de accesos a la historia clínica, delegado de protección de datos obligatorio y un protocolo de brechas capaz de notificar a la AEPD en 72 horas.
Puntos clave
- Los datos de salud son categoría especial del art. 9 RGPD: su tratamiento parte de una prohibición general con excepciones tasadas.
- La base habitual en asistencia sanitaria es el art. 9.2.h (medicina preventiva, diagnóstico, prestación de asistencia) combinada con una base del art. 6.
- El acceso indebido a historiales es la causa más frecuente de sanción al sector: control de accesos con trazabilidad es obligatorio de facto.
- El DPO es obligatorio para centros que gestionan historias clínicas (art. 34 LOPDGDD).
- La historia clínica se conserva un mínimo de 5 años desde el alta del proceso (Ley 41/2002), plazo que muchas comunidades amplían.
1. Por qué la sanidad es un sector de máximo riesgo
El sector salud combina las tres circunstancias que más agravan un expediente sancionador: datos de categoría especial, volumen elevado de interesados y personal numeroso con acceso a sistemas comunes. Un hospital mediano puede tener miles de usuarios con credenciales de acceso a la historia clínica electrónica, cada uno de ellos una superficie potencial de acceso indebido. La Agencia Española de Protección de Datos aplica agravantes sistemáticos cuando el tratamiento afecta a datos del art. 9, de modo que un fallo que en otro sector se saldaría con apercibimiento aquí puede convertirse en sanción de cinco cifras para una clínica privada.
Conviene separar dos regímenes desde el principio. Los centros del Sistema Nacional de Salud y las administraciones sanitarias reciben apercibimiento en lugar de multa económica (art. 77 LOPDGDD), como analizamos en las sanciones AEPD a administraciones públicas. Las clínicas privadas, laboratorios, centros de estética médica, consultas dentales y odontológicas, y las aseguradoras de salud sí reciben multa económica: el detalle sectorial está en nuestra guía de sanciones AEPD en sanidad y salud.
2. Base jurídica: la doble condición del art. 6 y el art. 9
Tratar datos de salud exige superar dos filtros simultáneos. El primero es una base de licitud del art. 6 RGPD (normalmente ejecución de contrato o cumplimiento de una obligación legal). El segundo es levantar la prohibición del art. 9.1 mediante una de las excepciones del art. 9.2 RGPD.
| Finalidad | Base art. 6 | Excepción art. 9.2 |
|---|---|---|
| Asistencia sanitaria y diagnóstico | Contrato / obligación legal | 9.2.h (medicina preventiva y asistencial) |
| Salud pública, vigilancia epidemiológica | Obligación legal | 9.2.i |
| Investigación clínica | Interés público / consentimiento | 9.2.j |
| Marketing, fidelización, boletines | Consentimiento | 9.2.a (consentimiento explícito) |
| Gestión de RRHH sanitario | Obligación legal laboral | 9.2.b |
El error recurrente es dar por hecho que el consentimiento informado clínico de la Ley 41/2002 cubre todo. No lo hace: autoriza el acto asistencial, no la publicación de imágenes en redes, ni el envío de comunicaciones comerciales, ni la cesión a terceros. Cada finalidad ajena a la asistencia necesita su propia base, casi siempre consentimiento explícito y separado. Sobre cómo articularlo, ver consentimiento RGPD: ejemplos.
3. Historia clínica: acceso, trazabilidad y conservación
La historia clínica es el activo más sensible del centro. Tres controles son imprescindibles:
- Control de accesos por relación asistencial. Solo el profesional con relación asistencial activa con el paciente puede consultar su historial. El acceso «por curiosidad» a historiales de familiares, vecinos, compañeros o personas conocidas es la infracción estrella del sector.
- Trazabilidad (logs). El sistema debe registrar quién accede, cuándo y a qué. Sin logs, el centro no puede acreditar el principio de responsabilidad proactiva (art. 5.2) ni investigar un acceso sospechoso.
- Conservación. La Ley 41/2002 fija un mínimo de 5 años desde el alta de cada proceso asistencial; varias comunidades autónomas amplían el plazo (frecuentemente 15 años o más para determinada documentación). Superado el plazo y la finalidad, procede el bloqueo o la disociación, en línea con la limitación de la conservación.
La política de accesos debe documentarse y auditarse: un muestreo periódico de logs, con alertas para accesos a pacientes VIP o a historiales del propio personal, es el estándar que la AEPD espera encontrar.
4. DPO obligatorio y registro de actividades
El art. 37.1.c RGPD y el art. 34 LOPDGDD hacen obligatorio el delegado de protección de datos cuando la actividad principal implica tratamiento a gran escala de datos de salud, y la LOPDGDD incluye expresamente a los centros sanitarios legalmente obligados a mantener historias clínicas y a los establecimientos farmacéuticos. Ver cuándo es obligatorio el DPO en España y las funciones del delegado.
El registro de actividades de tratamiento debe desglosarse por servicio: admisión, historia clínica, laboratorio, farmacia hospitalaria, RRHH, investigación, facturación y videovigilancia. Cada entrada asocia finalidad, base jurídica, categorías de datos, plazos y medidas de seguridad.
5. Evaluación de impacto (EIPD)
El tratamiento masivo de datos de salud figura en la lista de tratamientos que exigen evaluación de impacto publicada por la AEPD. Una EIPD es obligatoria, entre otros, para: implantación de una nueva historia clínica electrónica, plataformas de telemedicina, proyectos de investigación con datos de pacientes, sistemas de apoyo a la decisión clínica basados en IA y programas de cribado poblacional. La EIPD debe realizarse antes de iniciar el tratamiento y revisarse ante cambios sustanciales.
6. Encargados del tratamiento en sanidad
El hospital o clínica raramente trata solo. Proveedores de historia clínica electrónica, empresas de digitalización y custodia de archivo, laboratorios externos, servicios de teleradiología, plataformas de cita previa y proveedores cloud son encargados del tratamiento y exigen contrato del art. 28. Nuestra guía de obligaciones del artículo 28 RGPD detalla las cláusulas mínimas. Puntos críticos en sanidad:
- Prohibición de subcontratación sin autorización.
- Localización de los servidores y análisis de transferencias internacionales si hay proveedores fuera del EEE.
- Medidas de seguridad alineadas con el Esquema Nacional de Seguridad, obligatorio para los sistemas que soportan servicios sanitarios públicos y buena práctica en el sector privado.
7. Seguridad: ransomware y notificación de brechas
Los hospitales son objetivo prioritario del ransomware por la criticidad de sus sistemas. El régimen de seguridad combina el art. 32 RGPD, el ENS y, cuando sea aplicable, la futura transposición de NIS2 para entidades esenciales del sector salud. Ante una brecha:
- Contención y evaluación del alcance.
- Notificación a la AEPD en 72 horas si hay riesgo para los derechos (art. 33).
- Comunicación a los pacientes afectados si el riesgo es alto (art. 34).
- Coordinación con el CCN-CERT y la autoridad sanitaria.
- Documentación completa en el registro de violaciones.
El protocolo detallado está en nuestra guía de brecha de seguridad RGPD. La notificación tardía es en sí misma una infracción autónoma que la AEPD sanciona con dureza.
8. Imágenes de pacientes, redes sociales y estética
Publicar fotografías de pacientes (antes/después, casos clínicos, testimonios) en redes o en la web del centro requiere consentimiento explícito y específico para esa finalidad concreta (art. 9.2.a), además de la cesión de derechos de imagen de la LO 1/1982. Es un foco de sanción habitual en cirugía estética, odontología, dermatología y clínicas capilares. El consentimiento asistencial nunca cubre el uso promocional.
9. Telemedicina y aplicaciones de salud
La telemedicina y las apps de salud añaden capas de riesgo: grabación de consultas, geolocalización, integración con wearables. Exigencias mínimas: cifrado extremo a extremo de la comunicación, contrato del art. 28 con la plataforma, información al paciente sobre canales y conservación de grabaciones, y garantías del art. 46 si hay tratamiento fuera del EEE. Si se graban vídeos, hace falta una política de retención específica.
10. Cómo cumplir el RGPD en un centro sanitario
- Control de accesos por relación asistencial, con logs y alertas.
- DPO con dependencia funcional de la dirección y recursos reales.
- Registro de actividades por servicio y EIPD de los tratamientos de riesgo.
- Contratos del art. 28 con todos los encargados, revisados y firmados.
- Protocolo de brechas con plantilla de notificación preformateada.
- Formación obligatoria y periódica al personal sanitario y administrativo.
- Auditoría RGPD anual con muestreo de accesos.
Mantener toda esta documentación viva y en español es precisamente donde una plataforma como Legiscope ahorra el trabajo manual de registro, EIPD y contratos de encargado, dejando al DPO tiempo para decidir. Para una visión general de las herramientas, ver software de cumplimiento RGPD, y para el marco español completo, la checklist RGPD España y las diferencias LOPDGDD vs RGPD.
Véase también: NIS2 en el sector sanitario.
Preguntas frecuentes
¿Qué base jurídica usa un hospital para tratar datos de salud?
La combinación del art. 6 (habitualmente contrato u obligación legal) y del art. 9.2.h RGPD, que levanta la prohibición general para la prestación de asistencia sanitaria, diagnóstico y medicina preventiva realizada por profesionales sujetos a secreto. Las finalidades no asistenciales (marketing, investigación, imágenes) necesitan su propia base, casi siempre consentimiento explícito.
¿Puede un profesional consultar mi historial sin atenderme?
No. Solo el personal con relación asistencial activa puede acceder. El acceso sin esa relación es infracción sancionable y debe comunicarse al DPO del centro, que dispone de los logs para investigarlo.
¿Cuánto tiempo se conserva la historia clínica?
Un mínimo de 5 años desde el alta de cada proceso asistencial según la Ley 41/2002, plazo que varias comunidades autónomas amplían. Determinada documentación relevante puede conservarse mucho más; superado el plazo y la finalidad, procede bloqueo o disociación.
¿Es obligatorio el delegado de protección de datos en una clínica?
Sí cuando la actividad principal implica tratamiento a gran escala de datos de salud. El art. 34 LOPDGDD incluye expresamente a los centros obligados a mantener historias clínicas y a los establecimientos farmacéuticos.
Conclusión
El cumplimiento RGPD en sanidad no es un ejercicio de plantillas: gira en torno a un control de accesos verificable a la historia clínica, una base jurídica correcta que distingue asistencia de todo lo demás, un DPO con recursos y un protocolo de brechas que funcione bajo presión. La AEPD trata cada dato de salud como categoría especial, y sus agravantes convierten fallos menores en sanciones serias para el sector privado. La prioridad operativa es demostrar, con logs y documentación viva, quién accede a qué y por qué.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial