Proteccion de datos

RGPD sanitario

Los datos de salud son la categoría más protegida del RGPD: su tratamiento incorrecto acarrea multas de hasta 20 millones de euros o el 4 % de la facturación global. Ayudamos a clínicas, consultas médicas, centros de diagnóstico y residencias a cumplir con exactitud, sin paralizar la actividad asistencial.

Norma aplicableRGPD (UE) 2016/679 · LOPDGDD 3/2018
PerfilClínicas, consultas, centros de diagnóstico, residencias
ModalidadPresencial y remoto · CyL y Canarias

El sector sanitario acumula datos especialmente sensibles: diagnósticos, tratamientos, resultados de pruebas, historiales clínicos. El artículo 9 del RGPD los clasifica como categoría especial y exige medidas técnicas y organizativas reforzadas. Para un centro de salud privado o una consulta especializada, esto no es burocracia opcional: la Agencia Española de Protección de Datos (AEPD) ha impuesto sanciones millonarias a clínicas dentales, laboratorios y hospitales por deficiencias en el consentimiento, accesos sin control o notificación tardía de brechas.

El problema más habitual no es la mala fe, sino la desorganización: registros de actividades incompletos, consentimientos informados que mezclan finalidades asistenciales y comerciales, contratos insuficientes con proveedores de software clínico o servicios de limpieza, y ausencia de un protocolo real de respuesta a incidentes. Cuando se produce una filtración o una queja ante la AEPD, el centro descubre que no tiene documentación que demuestre que actuó correctamente.

Summum Consultoría lleva desde 2007 acompañando a empresas en proyectos de cumplimiento normativo. En el ámbito sanitario trabajamos codo a codo con el responsable del centro para levantar un sistema de protección de datos que el equipo pueda mantener en el día a día, sin depender de cada consulta de un abogado externo. Coordinamos con Summum Sistemas cuando la solución pasa por reforzar controles técnicos en el software clínico, y con Summum IA cuando el centro utiliza herramientas de diagnóstico asistido o tratamiento automatizado de datos.

El proceso de RGPD sanitario.

El proceso · cuatro tiempos
01

Diagnóstico inicial

Análisis de los flujos de datos del centro: qué información se recoge, quién accede, con qué sistemas y bajo qué contratos. Identificamos las brechas respecto al RGPD y la LOPDGDD 3/2018 y priorizamos las actuaciones según riesgo real.

02

Implantación documental

Redactamos o actualizamos el registro de actividades de tratamiento, las políticas de privacidad y los formularios de consentimiento informado diferenciados por finalidad (asistencial, investigación, comunicaciones). Revisamos y completamos los contratos con encargados del tratamiento: laboratorios, software clínico, servicios externalizados.

03

Medidas técnicas y organizativas

Definimos la política de control de accesos, la gestión de contraseñas, el cifrado de historiales y la trazabilidad de consultas. Establecemos el procedimiento de notificación de brechas a la AEPD (plazo máximo 72 horas) y el protocolo de atención a derechos de los pacientes (acceso, rectificación, supresión, portabilidad).

04

Formación y mantenimiento

Formamos al personal administrativo y asistencial en sus obligaciones concretas. Ofrecemos revisión anual del sistema, actualización ante cambios normativos y, opcionalmente, el servicio de Delegado de Protección de Datos externo (DPO) que exige el RGPD a determinados centros sanitarios.

Qué incluye

Qué incluye RGPD sanitario.

El detalle operativo: lo que entregamos como parte del trabajo y lo que mantenemos vivo después.

  • Registro de actividades de tratamiento

    Documento central exigido por el artículo 30 RGPD. Lo elaboramos para todos los tratamientos del centro: historia clínica, gestión de citas, facturación, videovigilancia, recursos humanos.

  • Evaluación de impacto (EIPD)

    Obligatoria cuando el tratamiento entraña alto riesgo (sistemas de diagnóstico automatizado, datos genéticos, tratamiento a gran escala). Realizamos el análisis y documentamos las medidas adoptadas.

  • Contratos con encargados del tratamiento

    Revisión y firma de los acuerdos con proveedores de software clínico, laboratorios externos, servicios de limpieza y mantenimiento, telefonía y cualquier tercero que acceda a datos del centro.

  • Consentimientos y cláusulas informativas

    Redacción de formularios de consentimiento informado diferenciados por finalidad, cláusulas RGPD en contratos con pacientes, avisos legales web y política de cookies adaptada a la actividad sanitaria.

  • Protocolo de brechas de seguridad

    Procedimiento interno de detección, contención, notificación a la AEPD en 72 horas y comunicación a los afectados cuando sea exigible, conforme al artículo 33 RGPD.

  • DPO externo (opcional)

    Servicio de Delegado de Protección de Datos para centros obligados (clínicas con tratamiento a gran escala de datos de salud) o que deseen contar con un experto independiente acreditado ante la AEPD.

Cluster Summum

Cómo se cruza con las hermanas.

El cumplimiento normativo sanitario toca transversalmente a las cinco divisiones de Grupo Summum: la consultoría legal corre por nuestra parte, los controles técnicos en el software clínico los refuerza Summum Sistemas, y los proyectos de diagnóstico asistido o IA sanitaria los acompaña Summum IA con la lente del AI Act y el RGPD.

Preguntas frecuentes sobre RGPD sanitario.

¿Qué centros sanitarios están obligados a designar un DPO?

El RGPD obliga a designar un Delegado de Protección de Datos a los responsables cuyo objeto principal sea el tratamiento a gran escala de categorías especiales de datos (artículo 37.1.c). La AEPD ha indicado que hospitales, clínicas con un volumen significativo de pacientes y laboratorios de análisis clínicos entran en esta obligación. Para consultas individuales o centros pequeños no siempre es obligatorio, pero sí muy recomendable como medida de responsabilidad proactiva.

¿Qué ocurre si un paciente solicita que se borren sus datos?

El derecho de supresión del artículo 17 RGPD tiene excepciones relevantes en sanidad: los datos de la historia clínica deben conservarse conforme a la legislación autonómica de salud (habitualmente 5 años desde el alta, aunque varía por comunidad autónoma). El centro debe responder en el plazo de un mes, explicar la base legal de la conservación y suprimir únicamente los datos que no estén amparados por esa obligación legal.

¿Cuánto tiempo tenemos para notificar una brecha de datos a la AEPD?

El artículo 33 del RGPD fija un plazo máximo de 72 horas desde que el responsable tiene conocimiento de la brecha, siempre que sea probable que entrañe un riesgo para los derechos de los afectados. En sanidad, casi cualquier brecha que afecte a historiales clínicos supera ese umbral. La notificación tardía o la omisión son infracciones graves. Tener el protocolo preparado de antemano es la única forma de cumplir el plazo en la práctica.

¿El consentimiento informado médico equivale al consentimiento RGPD?

No son lo mismo. El consentimiento informado del paciente para una intervención o tratamiento médico se rige por la Ley 41/2002 de autonomía del paciente. El consentimiento para el tratamiento de datos personales lo regula el RGPD y tiene sus propios requisitos: debe ser libre, informado, específico e inequívoco, y separado por finalidades. Un mismo documento puede cubrir ambos aspectos, pero hay que redactarlo con cuidado para que los dos bloques sean jurídicamente correctos.

¿Qué pasa con los proveedores de software de gestión clínica?

Son encargados del tratamiento y el centro está obligado a suscribir con ellos un contrato de encargo conforme al artículo 28 RGPD, que regule qué datos manejan, con qué finalidad, durante cuánto tiempo y qué medidas de seguridad aplican. Si el proveedor no ofrece ese contrato o sus condiciones son deficientes, el centro sigue siendo responsable ante la AEPD. Revisamos esos contratos como parte del proyecto de adecuación.