RGPD y datos de voz en clínicas: guía práctica de cumplimiento
Especialistas en IA para clínicas de salud · QuiroAds
El error de enfoque que dispara la mayoría de sanciones en clínicas
Europa cerró 2025 con unos 1.200 millones de euros en sanciones RGPD acumuladas, según el informe anual de DLA Piper (enero 2026). España encabeza la lista de países con más multas emitidas: 651 expedientes sancionadores, según datos de Statista (2024), y la AEPD ha puesto el foco en los últimos años sobre el sector sanitario. Marina Salud, un servicio sanitario público, terminó investigada por no facilitar contratos con proveedores tecnológicos que manejaban datos de salud, genéticos y otros datos especialmente sensibles.
La mayoría de clínicas que tropiezan con el RGPD no lo hacen por mala fe. Tropiezan por un error de encuadre. Tratan las grabaciones de llamadas como si fueran archivos de audio. El RGPD las trata como datos de salud cuando se producen en un contexto clínico. Esa diferencia cambia la base legal aplicable, el plazo de retención, el contrato con el proveedor y los derechos del paciente.
Esta guía ordena los puntos que una clínica debe tener resueltos antes de grabar una sola llamada, y los que hay que revisar cuando se contrata un asistente de voz con IA. Está pensada para quiroprácticos, fisioterapeutas y osteópatas que operan en España u otros países de la UE.
Qué considera el RGPD un “dato de voz” en una clínica
La voz, por sí misma, es un dato personal. La AEPD lo ha confirmado en varias resoluciones recogidas por Edora Consulting: el timbre y las características biométricas de una voz permiten identificar a una persona, y por eso entran en el ámbito de protección del RGPD.
En una clínica el matiz va más allá. Cuando un paciente llama para pedir cita, explicar síntomas o preguntar por un tratamiento, la conversación contiene información sobre su salud. Esa información pasa a ser dato de salud, incluida en el artículo 9 del RGPD como categoría especial. El tratamiento de datos de salud exige un régimen reforzado: una base legal del artículo 6 y una excepción del artículo 9 que permita procesarlos.
No es lo mismo grabar una llamada de una gestoría que grabar una llamada de un fisioterapeuta. El contenido clínico de la segunda convierte el archivo de audio en un registro sanitario, aunque el paciente solo haya pedido hora para una sesión.
La base legal: cuándo sirve el consentimiento y cuándo es interés legítimo
El artículo 6.1 del RGPD admite seis bases legales para tratar datos personales: consentimiento, ejecución de contrato, obligación legal, intereses vitales, interés público e interés legítimo. El consentimiento no es la única, y para grabaciones de llamadas en clínicas hay que elegir con criterio.
El consentimiento es la base más limpia cuando se graba con finalidad de formación, control de calidad o mejora del servicio. Debe ser libre, específico, informado e inequívoco, y el paciente tiene que poder retirarlo en cualquier momento. Una cuña al inicio de la llamada del tipo “esta llamada puede ser grabada” ya no basta: la AEPD exige que el paciente pueda oponerse sin perder el servicio.
El interés legítimo cabe cuando la grabación sirve para acreditar la operación (por ejemplo, confirmar que el paciente aceptó una cita o un presupuesto). IAPP publicó un análisis (2024) que aclara que los call centers pueden apoyarse en interés legítimo para grabaciones de servicio, siempre que hagan el test de ponderación y el interés del paciente no prevalezca.
La ejecución del contrato funciona para la parte administrativa de la llamada (reservar, confirmar, cancelar), pero no cubre los datos de salud que aparezcan dentro. Para esos datos hay que sumar una excepción del artículo 9: normalmente, consentimiento explícito del paciente o necesidad para fines de medicina preventiva, diagnóstico o prestación de asistencia sanitaria.
La combinación que mejor funciona en una clínica suele ser: interés legítimo para grabar la parte operativa, más consentimiento explícito para tratar el contenido clínico de la conversación y para almacenarlo.
Si tu asistente de voz es una IA que procesa la llamada en tiempo real, nuestra guía sobre seguridad y cumplimiento entra en más detalle sobre los aspectos técnicos de la infraestructura.
Los cinco requisitos mínimos para grabar llamadas sin exponerte
Primero, informar antes de grabar. El RGPD prohíbe grabaciones silenciosas. El paciente tiene que saber que la llamada se graba, con qué finalidad, quién es el responsable del tratamiento y cómo puede ejercer sus derechos. Esa información se puede dar con una locución breve al inicio de la llamada más un enlace a la política de privacidad para el detalle.
Segundo, minimizar los datos. Solo se graba y almacena lo necesario para la finalidad declarada. Si el objetivo es confirmar la cita, no tiene sentido guardar cinco minutos de conversación clínica. Los asistentes de voz con IA bien configurados solo retienen la transcripción estructurada de la cita, no el audio completo.
Tercero, cifrar los datos en tránsito y en reposo. TLS 1.2 o superior para el transporte y AES-256 para el almacenamiento son los estándares mínimos que exige la AEPD en sus inspecciones al sector sanitario. El cifrado hay que poder demostrarlo con documentación del proveedor.
Cuarto, alojar los datos en la UE. El alojamiento fuera del Espacio Económico Europeo requiere una transferencia internacional con salvaguardas (cláusulas contractuales tipo, decisión de adecuación). Complicar eso para una clínica pequeña rara vez compensa. Si el proveedor no aloja en la UE de forma nativa, ese es un punto de fricción a discutir antes de firmar.
Quinto, firmar un contrato de encargado de tratamiento. Es el documento que regula qué hace el proveedor con los datos de tus pacientes. Sin ese contrato, la responsabilidad recae entera sobre tu clínica. El proveedor serio lo ofrece de serie.
Retención de datos: qué plazos son razonables
El RGPD no fija plazos concretos: exige que los datos no se conserven más tiempo del necesario para la finalidad. Esa formulación deja margen, pero hay referencias prácticas.
Para llamadas de servicio en call centers generales, el criterio habitual es de 12 a 24 meses, según el análisis publicado por NiCE (2024). Para llamadas con contenido clínico, ese plazo se reduce bastante. En la práctica, 90 días es el límite razonable para conservar un audio crudo de una llamada sanitaria. Pasado ese plazo, lo sensato es conservar solo la transcripción estructurada (fecha, hora, motivo, cita confirmada) y borrar el audio.
La excepción son las llamadas que formen parte de un expediente médico. En ese caso aplican los plazos sanitarios: en España, la Ley 41/2002 obliga a conservar la documentación clínica un mínimo de cinco años desde el alta. Pero eso aplica al contenido clínico relevante, no a la grabación íntegra de cada llamada de agenda.
Un error frecuente es conservar todas las llamadas “por si acaso”. La AEPD interpreta eso como tratamiento sin finalidad definida, y es una de las causas más habituales de sanciones por retención excesiva en el sector servicios.
Los derechos del paciente que el proveedor tiene que saber resolver
El paciente tiene seis derechos principales bajo el RGPD: acceso, rectificación, supresión, oposición, limitación y portabilidad. Para grabaciones de voz, los cuatro primeros son los que generan fricción.
Acceso. Si el paciente pide una copia de sus grabaciones, la clínica tiene un mes para entregarla, según el artículo 12.3 del RGPD. El proveedor del asistente de voz tiene que permitir exportar las grabaciones identificadas por paciente. Si no puede, tu clínica incumple.
Supresión. El derecho al olvido implica borrar de forma permanente el audio y las transcripciones. Un proveedor que solo “marca como eliminado” sin borrar físicamente los ficheros no cumple. Lo mismo aplica a las copias de seguridad: el plazo de rotación de backups debe estar documentado.
Rectificación. Si el paciente detecta que una transcripción contiene un error (un diagnóstico mal atribuido, por ejemplo), tiene derecho a que se corrija. En audio puro eso es más complicado, por eso las transcripciones estructuradas facilitan el cumplimiento.
Oposición. El paciente puede oponerse a la grabación. Si la base legal era consentimiento, la retirada es inmediata. Si era interés legítimo, la clínica tiene que hacer una nueva ponderación y explicar por qué ese interés prevalece, cosa que rara vez ocurre.
Qué preguntar a tu proveedor antes de firmar
Una lista corta y práctica de cuestiones que conviene poner sobre la mesa en la reunión de contratación:
| Pregunta | Qué respuesta aceptar |
|---|---|
| ¿Dónde se alojan los datos de voz? | UE, con región confirmada por escrito |
| ¿Qué cifrado usáis en tránsito y en reposo? | TLS 1.2+ y AES-256, con documentación |
| ¿Cuánto tiempo retenéis el audio y la transcripción? | Audio: 90 días máx. Transcripción: configurable |
| ¿Cómo se gestiona un derecho de acceso o supresión? | Panel con exportación y borrado por paciente |
| ¿Hay contrato de encargado de tratamiento? | Sí, antes de firmar el contrato principal |
| ¿Qué subencargados tenéis? | Lista pública y actualizable |
| ¿Cómo notificáis una brecha de seguridad? | En menos de 72h al responsable (tu clínica) |
| ¿Habéis tenido alguna inspección de la AEPD? | Respuesta transparente, con referencias |
La pregunta sobre subencargados es la que más proveedores esquivan. Todo asistente de voz IA se apoya en varios proveedores detrás (modelo de lenguaje, transcripción, telefonía, almacenamiento). La lista tiene que estar disponible y actualizada, y cada uno debe tener su propio contrato de encargado.
Si quieres comparar con alternativas humanas donde el RGPD se aplica distinto, puedes revisar nuestra comparativa con recepcionista tradicional y la página de alternativas. Para ver cómo gestiona CAi estos puntos en la práctica, tienes la demo disponible.
Preguntas frecuentes
¿Necesito consentimiento explícito del paciente para grabar la llamada?
Para grabar la parte operativa (reservar, confirmar, cancelar) puedes apoyarte en interés legítimo si pasas el test de ponderación. Para tratar el contenido clínico que aparezca en la conversación, sí necesitas consentimiento explícito del paciente, al amparo del artículo 9 del RGPD. En la práctica, una locución informativa al inicio combinada con un consentimiento documentado en la ficha del paciente suele ser la vía más clara.
¿Cuánto tiempo puedo conservar las grabaciones de llamadas?
No hay un plazo fijo. El criterio RGPD es no conservar más de lo necesario. Para llamadas sanitarias, 90 días es un plazo razonable para el audio completo. Pasado ese periodo, lo habitual es conservar solo la transcripción estructurada (fecha, motivo, cita). Si la grabación forma parte del expediente clínico del paciente, aplican los plazos sanitarios (mínimo cinco años en España según la Ley 41/2002).
¿Puedo usar un asistente de voz IA cuyo proveedor aloje los datos en EEUU?
Sí, pero añade complejidad. Tendrías que firmar cláusulas contractuales tipo, documentar una transferencia internacional y evaluar el nivel de protección del país de destino. Para una clínica pequeña rara vez compensa. La opción más limpia es un proveedor con alojamiento nativo en la UE, idealmente con región confirmada por escrito en el contrato.
¿Qué pasa si un paciente ejerce su derecho al olvido?
Tu clínica tiene un mes para responder. El proveedor del asistente de voz debe permitirte identificar todas las grabaciones y transcripciones asociadas a ese paciente y borrarlas de forma permanente, incluidos los backups. Si el proveedor solo “marca como eliminado” sin borrado físico, el cumplimiento es incompleto y la responsabilidad queda en tu clínica.
¿Quién es el responsable si hay una brecha de seguridad en el proveedor?
La clínica es la responsable del tratamiento frente al paciente y frente a la AEPD. El proveedor es el encargado del tratamiento, y responde ante la clínica según lo pactado en el contrato. Por eso ese contrato tiene que detallar obligaciones de seguridad, notificación en menos de 72 horas y asistencia en caso de requerimiento de la autoridad. Sin contrato, toda la responsabilidad se concentra en la clínica.