📚 Intermedio

Privacidad y RGPD en Datos Sanitarios

Marco legal y técnico para proteger datos personales y sanitarios de pacientes en sistemas IA.

¿Por qué los datos sanitarios tienen protección especial?

El Reglamento General de Protección de Datos (RGPD) de la Unión Europea, aplicable en España desde 2018 y complementado por la LOPDGDD, establece que los datos relativos a la salud son datos de categoría especial, sujetos a restricciones y obligaciones adicionales respecto a los datos personales ordinarios.

Esto es relevante para cualquier clínica que use un asistente IA, porque el sistema procesa información sobre los pacientes: nombres, teléfonos, motivos de consulta, historial de citas, y en algunos casos descripciones de sintomatología. Toda esta información puede calificarse como dato sanitario según el contexto.

El incumplimiento no es un riesgo teórico: las multas bajo RGPD pueden alcanzar el 4% de la facturación anual global de la organización infractora, o 20 millones de euros, lo que resulte mayor.

Las obligaciones clave para clínicas con asistente IA

1. Informar al paciente del tratamiento automatizado

El paciente tiene derecho a saber que su llamada es gestionada por un sistema automatizado y qué datos se procesan. Esto debe incluirse en la política de privacidad de la clínica y comunicarse en el primer contacto con el asistente, mediante una locución de bienvenida que identifique el sistema.

2. Base jurídica para el tratamiento de datos

Para el tratamiento de datos con fines de gestión de citas, la base jurídica habitual es la ejecución del contrato (el servicio de salud que presta la clínica). Para comunicaciones de marketing o seguimiento post-tratamiento no relacionado directamente con la cita, se requiere consentimiento explícito adicional.

3. DPA con el proveedor de IA

La clínica es el responsable del tratamiento; el proveedor de IA es el encargado del tratamiento. Esta relación debe formalizarse en un Acuerdo de Tratamiento de Datos (DPA, Data Processing Agreement) que defina:

  • Qué datos se tratan y con qué finalidad
  • Dónde se almacenan y procesan (debe ser dentro de la UE o con garantías equivalentes)
  • Medidas de seguridad técnicas y organizativas aplicadas
  • Procedimientos ante brechas de seguridad
  • Derechos y obligaciones de cada parte

CAi firma DPA con todas las clínicas y procesa datos exclusivamente en infraestructura europea.

4. Servidores en la Unión Europea

La transferencia de datos sanitarios a países fuera del EEE (como Estados Unidos) está restringida bajo RGPD. Los proveedores de IA que operan en servidores norteamericanos sin mecanismos de transferencia adecuados (como Cláusulas Contractuales Tipo) pueden exponer a la clínica a sanciones.

Verificar dónde procesa los datos el proveedor de IA es una de las preguntas fundamentales antes de contratar cualquier sistema.

Derechos de los pacientes que el sistema debe respetar

Los pacientes tienen derecho a:

  • Acceso: saber qué datos suyos tiene la clínica y el proveedor de IA.
  • Rectificación: corregir datos inexactos.
  • Supresión (“derecho al olvido”): solicitar la eliminación de sus datos cuando ya no sean necesarios.
  • Portabilidad: recibir sus datos en formato estructurado.
  • Oposición al tratamiento automatizado: no ser objeto de decisiones basadas únicamente en procesamiento automatizado que le afecten significativamente.

La clínica debe tener procedimientos para gestionar estas solicitudes dentro de los plazos establecidos (generalmente 30 días).

Retención de datos: cuánto tiempo y qué

Una de las preguntas más frecuentes es cuánto tiempo puede conservarse la grabación de las llamadas y los datos de las conversaciones.

Las grabaciones de llamadas quedan sujetas a la normativa sanitaria española, que exige conservar datos de salud durante al menos 5 años (15 años para determinados datos clínicos). Las grabaciones que incluyan información médica entran en este ámbito.

Los datos de contacto y citas deben conservarse mientras exista relación con el paciente y el tiempo necesario para gestionar posibles reclamaciones (mínimo 3 años).

Los datos para marketing solo se mantienen durante el período de consentimiento activo.

Lo más práctico es establecer una política de retención clara por categoría de dato, con eliminación automática al vencer el plazo.

Medidas técnicas y organizativas mínimas

Además de los aspectos legales, el RGPD exige medidas técnicas apropiadas:

  • Cifrado en tránsito y en reposo de todos los datos de pacientes.
  • Control de acceso basado en roles: solo el personal que necesita los datos puede acceder.
  • Registro de actividades de tratamiento (obligatorio para organizaciones con tratamiento de datos sanitarios).
  • Procedimiento de notificación de brechas: obligación de notificar a la AEPD (Agencia Española de Protección de Datos) en 72 horas si hay brecha que afecte a derechos de pacientes.

Preguntas frecuentes

¿Necesito actualizar mi política de privacidad si implemento un asistente IA? Sí. La política de privacidad debe reflejar el tratamiento automatizado de datos, el nombre del proveedor de IA como encargado de tratamiento, las finalidades del tratamiento y los derechos del paciente. La mayoría de las políticas de privacidad de clínicas no contemplan el uso de IA.

¿El consentimiento del paciente al registrarse cubre el uso de IA? Para la gestión de citas (base jurídica: ejecución del contrato), el consentimiento específico para IA no es estrictamente necesario, pero sí la información. Para usos secundarios (análisis, mejora del sistema), se requiere consentimiento explícito.

¿Qué pasa si el proveedor de IA sufre una brecha de seguridad? El proveedor debe notificarte sin demora indebida. Como responsable del tratamiento, tienes 72 horas para valorar si debes notificar a la AEPD y a los pacientes afectados. El DPA debe regular este proceso.

¿La inteligencia artificial puede tomar decisiones autónomas sobre pacientes? El asistente IA puede gestionar citas de forma autónoma, pero no debe tomar decisiones que afecten significativamente al paciente (como rechazar servicios o clasificar pacientes por riesgo) sin supervisión humana. El RGPD prohíbe las decisiones puramente automatizadas con efectos significativos sobre las personas sin intervención humana.

Puntos Clave

  • Los datos de salud son "categoría especial" bajo RGPD — el proveedor de IA debe procesar y almacenar estos datos en servidores europeos o con garantías equivalentes
  • La clínica (no el proveedor de IA) es responsable de cumplir RGPD — elegir un proveedor que firme un DPA y cumpla normativa es obligación legal del gestor
  • Informar al paciente que habla con un sistema automatizado no solo es ético sino obligatorio bajo normativa europea de servicios digitales
  • Una brecha de datos sanitarios puede resultar en multas de hasta el 4% de la facturación anual global — el cumplimiento normativo no es opcional

Nivel de Dificultad

Requiere comprensión básica de tecnología. Conocimiento previo útil.

Más recursos

Términos relacionados, soluciones e integraciones para tu clínica.

📚 Glosario

Integración de Software

Conexión entre dos sistemas de software que permite compartir datos y funcionalidades.

📚 Glosario

Sincronización de Datos

Proceso de asegurar que datos en múltiples sistemas estén siempre actualizados y consistentes.

👥 Perfil

CAi para Quiropráctica

Descubre cómo CAi ayuda a clínicas de Quiropráctica

🔗 Integración

PracticeHub + CAi

Integración nativa para Quiropráctica

Entiende Mejor Cómo Funciona CAi

Explora nuestra documentación completa y descubre cómo privacidad y rgpd en datos sanitarios mejora tu clínica con CAi.

Ver Integraciones