Checklist RGPD para clínicas dentales: lo que la AEPD revisa primero
5 Errores de RGPD que ponen en riesgo a tu clínica dental — y cómo corregirlos antes de una inspección
La AEPD no avisa. Inspecciona, sanciona y publica la resolución. Conoce los 5 puntos críticos que revisa en cada visita a una clínica dental.
En 2024, la AEPD impuso una sanción de 20.000 euros a una clínica dental en Valencia por no tener contratos con sus encargados de tratamiento. Veinte mil euros. Una clínica de barrio, con dos sillones.
Las clínicas dentales manejan datos de salud — categoría especial según el RGPD — y eso las coloca en el punto de mira.
¿Tu clínica está realmente protegida? Estos 5 puntos son los que la AEPD comprueba sistemáticamente. Si fallas en uno, estás expuesto. Si fallas en tres o más, una inspección puede acabar en sanción pública y multa de cinco cifras.
Usuarios compartidos en el software de gestión
El RGPD exige que cada profesional acceda con sus propias credenciales. Si tres auxiliares entran con el mismo usuario y contraseña, es imposible saber quién consultó, modificó o descargó los datos de un paciente.
Login único compartido entre recepción y auxiliares: clinica / clinica123. Nadie sabe quién hizo qué.
Crear un usuario nominal por cada profesional. La mayoría de software dental (Gesden, Dolphin, Carestream) lo permite. Tarda menos de una tarde.
Riesgo: Sin trazabilidad de accesos, la AEPD considera que no existe control efectivo sobre los datos de salud.
Consentimientos no granulares: el «acepto todo» no vale
El consentimiento para tratar datos clínicos (obligatorio para prestarte el servicio) no puede mezclarse en el mismo checkbox con el consentimiento para enviarte publicidad, newsletters o compartir datos con terceros. Cada finalidad diferente requiere su propio consentimiento, libre e inequívoco.
Formulario de admisión con un solo checkbox: «Acepto el tratamiento de mis datos para la prestación de los servicios dentales, comunicaciones comerciales y cesión a laboratorios.»
Tres checkboxes separados: (1) tratamiento clínico, (2) comunicaciones comerciales, (3) cesión a laboratorio. El primero es obligatorio para atenderte; los otros, opcionales.
Ventaja adicional: Con consentimientos granulares puedes hacer marketing legal a pacientes que sí lo aceptaron, sin riesgo de sanción.
WiFi mezclada: pacientes y sistemas clínicos en la misma red
Ofrecer WiFi a los pacientes en la sala de espera está muy bien. El problema es cuando esa red y la red interna donde viajan las radiografías y los historiales clínicos son la misma. Cualquier dispositivo conectado a la WiFi del paciente puede, potencialmente, intentar acceder a los sistemas internos.
Un único router doméstico con la misma red para el ordenador clínico, el tablet de recepción y el WiFi de la sala de espera.
Crear una red de invitados (VLAN o red separada) para los pacientes, completamente aislada de los sistemas con datos clínicos. La mayoría de routers actuales lo permiten sin coste adicional.
Backups sin cifrar en discos externos o USB
Hacer copia de seguridad es una buena práctica. Hacerla en un USB que luego se deja en el cajón de recepción sin cifrar es una brecha de seguridad esperando ocurrir. Los datos de salud requieren medidas de seguridad reforzadas — el cifrado no es opcional, es exigible.
Disco USB sin contraseña con el backup completo de la base de datos del software dental. Si se pierde o lo roba alguien, toda la información de todos los pacientes queda expuesta.
Usar discos externos con cifrado hardware (BitLocker en Windows, FileVault en Mac) o soluciones de backup en la nube cifradas. Documentar el procedimiento de backup en el Registro de Actividades.
Recuerda: Una pérdida de datos de salud debe notificarse a la AEPD en 72 horas. Sin cifrado, la brecha es automáticamente grave.
Encargados de tratamiento sin contrato firmado
Toda empresa o profesional externo que acceda a datos de tus pacientes — el laboratorio dental, el software en la nube, tu asesoría contable que ve las facturas, el técnico de informática que mantiene los equipos — es un encargado de tratamiento. Y con cada uno, el RGPD exige un contrato específico (DPA) que regule cómo tratan esos datos.
Esta fue exactamente la razón de la sanción de 20.000€ en Valencia. Sin ese contrato, eres responsable de lo que haga el tercero con los datos de tus pacientes.
Llevar años trabajando con el mismo laboratorio dental sin ningún papel firmado sobre protección de datos. La relación es de confianza, pero no está documentada.
Firmar un contrato de encargado de tratamiento con cada proveedor que acceda a datos. Muchos proveedores de software ya tienen un DPA estándar; solo hay que pedirlo y firmarlo.
Proveedores habituales que necesitan DPA: laboratorio dental, software de gestión en cloud, servicio de radiología digital, asesoría fiscal/contable, técnico de mantenimiento informático.
Los 3 errores que concentran el 80% de las sanciones
Si solo puedes actuar en algo esta semana, empieza por aquí.
¿Cuántos de estos 5 puntos tienes cubiertos?
En una revisión de 60 minutos identificamos exactamente qué falta, qué es urgente y qué puede esperar. Sin compromiso ni letra pequeña.
Preguntas frecuentes
¿Mi clínica necesita un Delegado de Protección de Datos (DPO)?
En general, las clínicas dentales no están obligadas a designar un DPO por ley. Sin embargo, como tratan datos de salud a gran escala o de forma sistemática, muchas optan por un DPO externo para cubrir esa responsabilidad. Consulta con un especialista si tu volumen de pacientes es elevado.
¿La AEPD puede inspeccionarme sin previo aviso?
Sí. La AEPD puede iniciar una investigación de oficio (sin denuncia previa) o tras una queja de un paciente. El proceso puede incluir solicitud de documentación, inspecciones remotas y, en casos graves, visitas presenciales. No siempre hay aviso previo.
¿Cuánto cuesta ponerse en regla con el RGPD?
Para una clínica pequeña (1-3 dentistas), el coste de un servicio externo de adaptación suele estar entre 800 y 2.500€ en la implantación inicial, más una cuota de mantenimiento anual. Comparado con una sanción de 20.000€ (o más), la relación coste-beneficio es clara.
¿Sirven los documentos de protección de datos que firmé hace 5 años?
Probablemente no en su totalidad. El RGPD entró en vigor en mayo de 2018 y ha habido actualizaciones de criterios interpretativos de la AEPD desde entonces. Si tu documentación es anterior a 2020, conviene revisarla: los textos sobre derechos de los interesados, los registros de actividades y los contratos con encargados suelen necesitar actualizaciones.
La AEPD no avisa. Tú sí puedes prepararte.
Solicita un diagnóstico gratuito y en 60 minutos sabrás exactamente en qué estado está tu clínica y qué pasos dar — por orden de prioridad.
Quiero mi diagnóstico gratuito
Sin coste · Sin compromiso · Resultado en 48 horas
