AI Empire
Todos los artículos
Legal · 15 min lectura

Chatbot médico en España · qué regulación tienes que cumplir en 2026

·Jonatan Contell

Si tienes un chatbot conversando con pacientes en España hay 3 regulaciones que te aplican simultáneamente. Esta es la guía operativa · no académica · de qué tienes que tener cubierto antes de que llegue una inspección o una queja.

1 · Los 3 pilares legales que se aplican

Cuando un chatbot interactúa con pacientes en España · estás bajo el paraguas simultáneo de:

  • AI Act (Reglamento UE 2024/1689) · enforcement agosto 2026 · regula sistemas de IA por nivel de riesgo
  • RGPD + LOPD-GDD · datos personales · Art. 9 categoría especial (salud)
  • LGPDS · Ley General Defensa Consumidores · Ley 41/2002 derechos paciente · información clínica · consentimiento informado

Ningún pilar sustituye a otro. Cumplir RGPD no te exonera del AI Act · y al revés.

2 · Pilar 1 · AI Act · qué categoría de riesgo tiene tu chatbot

El AI Act clasifica sistemas IA en 4 niveles. Para chatbot clínico:

  • Riesgo inaceptable (Art. 5) · prohibido si manipula emociones · infiere salud por biometría · puntúa socialmente. No es tu caso si haces conversación útil sin manipulación.
  • Alto riesgo (Anexo III) · si tu bot toma decisiones automatizadas que afectan acceso a salud · sí aplicas. La mayoría de chatbots de recepción que solo agendan citas y resuelven dudas NO entran aquí.
  • Riesgo limitado (Art. 50) · aquí cae la mayoría de chatbots clínicos · obligación principal es transparencia.
  • Riesgo mínimo · no es tu caso si el bot interactúa con pacientes con datos personales.

Obligaciones Art. 50 (riesgo limitado)

  • Disclosure explícito · "estás hablando con un asistente de IA · no con una persona". Debe aparecer al inicio o cuando el paciente pregunte.
  • Información clara accesible · qué hace · qué no hace
  • Mecanismo de escalado humano cuando el paciente pida
  • Marcado de contenido sintético si aplicara

3 · Pilar 2 · RGPD · datos de salud son Art. 9

Cualquier mensaje en el que el paciente diga "me duele el molar" · "tengo caries" · "estoy embarazada" · es categoría especial Art. 9 RGPD. Requiere:

  • Base legal específica Art. 9.2 · típicamente "consentimiento explícito" (9.2.a) o "asistencia sanitaria" (9.2.h)
  • Cifrado en reposo · TLS en tránsito · acceso restringido
  • Evaluación impacto (EIPD/DPIA) recomendada si tratas a gran escala
  • DPO recomendado pero no obligatorio para clínica pequeña
  • DPA Art. 28 con cada subprocesador (Meta · OpenAI · etc.)

4 · Pilar 3 · Ley 41/2002 · derechos del paciente

La Ley 41/2002 (autonomía del paciente) establece que el paciente tiene derecho a información clínica veraz y a saber quién la da. Implicaciones para tu bot:

  • El bot NO es profesional sanitario · no puede dar diagnóstico
  • Si el bot orienta sobre tratamiento debe quedar claro que es "información general · no consulta médica"
  • Consentimiento informado para tratamientos sigue siendo presencial · firmado · NO sustituible por bot
  • El bot puede recoger info pre-consulta · NUNCA decidir si un tratamiento es adecuado

5 · Documentación que debe existir antes de operar

Lista mínima de docs · si una de estas no existe · tienes gap legal:

  • Política de privacidad · linkada en widget + primer mensaje WhatsApp
  • Disclosure IA · texto explícito Art. 50 AI Act
  • Registro de actividades de tratamiento (RAT) · Art. 30 RGPD · obligatorio aunque seas pequeña
  • DPAs firmados con Meta · proveedor LLM · hosting · proveedor de bot
  • EIPD/DPIA · si tratas más de unos cientos de pacientes/mes
  • Procedimiento ejercicio derechos GDPR · accesible y respondido en 30 días
  • Política retention · cuánto guardas qué
  • Procedimiento brechas seguridad · 72h notificación AEPD

6 · Disclosure · cómo redactarlo correctamente

Texto típico que cumple Art. 50 AI Act + LOPD-GDD · ejemplo:

"Hola · soy el asistente virtual de [Clínica X] · te atiendo con inteligencia artificial. Puedo agendarte citas y resolver dudas sobre nuestros servicios y horarios. Para cualquier consulta clínica te derivo a un profesional sanitario. Tus datos se tratan según nuestra política de privacidad: [link]. ¿En qué te puedo ayudar?"

Reglas clave: bot se identifica como IA · marca límites (clínico → humano) · link a política · pide consentimiento implícito por seguir conversando.

7 · Escalado humano · cuándo es obligatorio

Hay situaciones donde el bot DEBE pasar a humano · no negociable:

  • Paciente pide hablar con persona explícitamente
  • Paciente describe síntoma agudo (dolor severo · sangrado · etc.)
  • Bot detecta confusión repetida (3+ intentos fallidos)
  • Paciente menciona menor sin tutor
  • Queja formal · reclamación · daño percibido
  • Cualquier pregunta que el bot no sabe responder con confianza

Si tu chatbot no tiene mecanismo claro de handoff · estás expuesta a queja AEPD + acción civil del paciente.

8 · AESIA · la nueva autoridad supervisora

España creó AESIA (Agencia Española de Supervisión de IA) · operativa desde 2025. Junto con AEPD pueden inspeccionar tu sistema IA. Lo que pueden pedirte:

  • Categoría de riesgo asignada y justificación
  • Documentación técnica del sistema
  • Logs de interacciones (anonimizados)
  • Pruebas de disclosure y consentimiento
  • Procedimiento gestión incidentes

Una inspección típica te pide responder en 10-15 días con evidencia. Si todo está documentado por adelantado · pasas. Si tienes que generar docs reactivamente · es complicado.

9 · Multas y enforcement realista

Rangos sancionadores:

  • RGPD · Art. 83.4 · hasta 10M€ o 2% facturación global (lo que sea mayor) · multa leve típica 5-30k€
  • AI Act · hasta 35M€ o 7% facturación global para violaciones prohibiciones (Art. 5) · 15M€ o 3% para alto riesgo · 7,5M€ o 1% para riesgo limitado
  • LOPD-GDD · multas autonómicas · 600-300k€

Para una clínica privada pequeña la multa realista por un primer incumplimiento sin reincidencia es 3.000-30.000€ · pero el coste de daño reputacional puede ser mayor.

10 · Checklist accionable · 10 puntos

  • 1 · Clasificar tu sistema en categoría AI Act
  • 2 · Redactar disclosure IA en primer mensaje
  • 3 · Firmar DPAs con todos los proveedores
  • 4 · Crear/actualizar política privacidad
  • 5 · Crear procedimiento ejercicio derechos GDPR
  • 6 · Configurar handoff humano por keyword o detección
  • 7 · Implementar logs auditoría con retención configurada
  • 8 · Hacer EIPD si vuelvas a gran escala
  • 9 · Registrar en RAT Art. 30 RGPD
  • 10 · Designar persona contacto interno (no obligatorio DPO)

11 · Cómo AI Empire encaja

Diseñamos AI Empire con esto pre-resuelto:

  • Disclosure Art. 50 AI Act automático en primer mensaje
  • Handoff humano por keyword + detección clínica
  • Logs auditoría inmutables · retention configurable
  • DPA propio + cadena DPAs proveedores documentada
  • Portal paciente con derechos GDPR pre-implementados
  • Guardrails clínicos · bot no diagnostica · solo informa
  • Documentación técnica disponible para AESIA on-demand

Disclaimer: este artículo es informativo · NO asesoramiento legal. Para tu caso específico · consulta con abogado especializado en RGPD/AI Act y compliance sanitario. AI Empire facilita el cumplimiento pero no sustituye revisión jurídica de tu operativa concreta.

Lectura relacionada

Otros artículos que pueden ayudarte a profundizar en lo mismo.

Legal · 12 min

RGPD + WhatsApp en clínicas privadas · guía práctica 2026

Qué necesitas legalmente para usar WhatsApp Business en tu clínica privada cumpliendo RGPD. DPAs · opt-in · retention · derechos GDPR · sin

Leer artículo
Legal · 14 min

AI Act timeline 2026 · qué tiene que hacer tu clínica privada antes de agosto

Enforcement agosto 2026 · Art. 50 transparencia · obligaciones chatbot riesgo limitado · checklist accionable para clínicas privadas. Sin te

Leer artículo
Operativa · 11 min

WhatsApp Business API vs WhatsApp normal · cuál necesita tu clínica (y cuándo)

Comparativa honesta entre WhatsApp Business App y Cloud API Meta. DPA · trazabilidad · costes reales 2026 · cuándo tiene sentido el salto.

Leer artículo

Deja de regalar ingresos.
Activa tu Revenue OS.

14 días gratis · setup completo incluido · sin permanencia. Si en 14 días no recuperas mínimo 1 cita atribuible al bot · te devolvemos lo pagado y archivamos sin preguntas.

Activar gratis 14 díasAgendar demo 15 min

¿Prefieres ver demo grabada antes? · analiza tus reseñas gratis · audit pre-onboarding para tu clínica · 5 min · cero compromiso.