Saltar al contenido principal
AI Empire
Legal · RGPD Art 22 decisiones automatizadas

RGPD decisiones automatizadas Art 22 clínica · AI compliance 2026

El Artículo 22 RGPD regula derechos paciente respecto decisiones basadas únicamente tratamiento automatizado (incluida elaboración perfiles) que produzcan efectos jurídicos paciente o le afecten significativamente similar · régimen específico requiere comprensión cuidadosa clínica privada España 2026 porque uso AI bots conversacionales + sistemas decisión automatizada + modelos predictivos cada vez más prevalentes sector sanitario · cualquier implementación tecnológica AI sin compliance Art. 22 RGPD expone clínica riesgos sancionadores AEPD significativos + reclamaciones paciente + overlap AI Act enforcement agosto 2026 amplía régimen aplicable. La realidad operativa muchas clínicas privadas España 2026 implementando tecnologías AI sin entendimiento riesgo Art. 22 RGPD · chatbots conversacionales triagiando síntomas paciente · sistemas agenda automatizados rechazando citas según criterios · modelos scoring paciente segmentación marketing · herramientas IA diagnóstico apoyo profesional · sistemas predictivos outcome tratamiento · cada implementación potencialmente entra ámbito Art. 22 RGPD + requiere safeguards específicos · pero implementaciones típicas carecen información transparente paciente + intervención humana significativa + procedimiento contestación decisiones + evaluación impacto protección datos DPIA Art. 35 RGPD obligatorio. Las consecuencias frecuentes son riesgo sancionador AEPD significativo expedientes Art. 22 RGPD rangos 20.000-150.000 € casos documentados + adicional AI Act enforcement próximo agosto 2026 amplía régimen sancionador overlap RGPD + reclamaciones paciente decisiones automatizadas adversas + daño reputacional significativo + frenazo desarrollo tecnológico clínica miedo enforcement + ausencia mejora continua porque sistemas implementados ad-hoc sin framework gobernanza adecuado. Esta guía estructura régimen jurídico Art. 22 RGPD aplicable clínica privada · qué cuenta exactamente decisión automatizada sentido jurídico estricto + supuestos taxativos prohibición Art. 22.1 + excepciones permisivas Art. 22.2 + derecho paciente intervención humana significativa + información transparente paciente + interacción específica AI bots conversacionales clínica + overlap AI Act próximo enforcement + sanciones AEPD documentadas + safeguards técnicos implementación + casos típicos sector clínico operativo + evaluación impacto DPIA recomendada.

1. Marco normativo · RGPD Art 22 + LOPDGDD + AI Act + Recomendaciones EDPB

El régimen jurídico decisiones automatizadas aplicable clínica privada España 2026 es capa normativa compleja interacciones específicas requieren comprensión cuidadosa cada actor responsable tratamiento implementación tecnológica AI. (1) Reglamento General Protección Datos UE 2016/679 RGPD · Art. 22 derecho paciente NO ser objeto decisión basada únicamente tratamiento automatizado incluida elaboración perfiles produce efectos jurídicos paciente o le afecta significativamente similar · derecho fundamental + excepciones taxativas + safeguards obligatorios. (2) Art. 13.2.f + Art. 14.2.g RGPD · información transparente paciente existencia decisiones automatizadas + lógica aplicada + importancia + consecuencias previstas · información proactiva responsable tratamiento. (3) Art. 15.1.h RGPD · derecho acceso paciente información detallada decisiones automatizadas aplicadas datos · transparencia bajo demanda paciente. (4) Art. 35 RGPD · Evaluación Impacto Protección Datos DPIA obligatoria sistemas decisión automatizada alto riesgo + sistemas AI clínica típicamente entran categoría + DPIA pre-implementación obligatoria. (5) Art. 5 RGPD principios tratamiento · principio licitud + transparencia + minimización aplicables · sistemas AI deben cumplir principios. (6) Art. 9 RGPD datos categoría especial salud · sistemas AI procesando datos salud requieren base licitud Art. 9.2 específica adicional Art. 6 base general. (7) Ley Orgánica 3/2018 LOPDGDD · Art. 18 complementos específicos decisiones automatizadas sector específico + criterios interpretativos. (8) Reglamento UE 2024/1689 Ley Inteligencia Artificial AI Act · enforcement progresivo · agosto 2026 obligaciones específicas sistemas AI · clasificación sistemas AI según riesgo · sistemas alto riesgo sector sanitario regulación específica + obligaciones evaluación riesgo + transparencia + supervisión humana. (9) Guidelines EDPB European Data Protection Board sobre decisiones automatizadas + perfilado · Guidelines WP251rev.01 + actualizaciones · criterios interpretativos europeos consolidados. (10) Criterios interpretativos AEPD · resoluciones sancionadoras Art. 22 RGPD documentadas + circulares específicas + informes anuales jurisprudencia consolidada. Aplicación operativa clínica · cualquier implementación tecnológica AI clínica privada requiere análisis específico potencial aplicabilidad Art. 22 RGPD + DPIA Art. 35 si alto riesgo + información transparente paciente + safeguards técnicos + procedimiento intervención humana significativa + opcional supervisión continua AI Act próximo.

2. Qué cuenta como decisión automatizada · definición técnica estricta

La definición decisión automatizada Art. 22 RGPD es concepto técnico jurídico específico requiere comprensión precisa porque determina aplicabilidad régimen Art. 22 vs régimen general RGPD · NO toda implementación AI clínica entra Art. 22 + clasificación correcta determina obligaciones aplicables. Elementos definitorios decisión automatizada Art. 22.1 RGPD · (1) Decisión sentido jurídico · existe decisión específica tomada respecto paciente · NO simple análisis informativo + NO simple recomendación + decisión efectiva tiene consecuencia específica respecto paciente. (2) Basada únicamente tratamiento automatizado · decisión tomada sin intervención humana significativa · sistemas AI procesan datos + algoritmo produce output + decisión es output sistema sin revisión humana sustantiva · intervención humana puramente formal (rubber stamping) NO cuenta intervención significativa. (3) Incluye elaboración perfiles · profiling Art. 4.4 RGPD · tratamiento automatizado datos paciente evaluar aspectos personales · análisis o predicción comportamiento + salud + preferencias + ubicación + etc. (4) Efectos jurídicos paciente o afecta significativamente similar · decisión produce efecto jurídico (cambio derechos/obligaciones paciente formales) o efecto significativo similar (impacto comparable paciente sin ser jurídico estricto). Definición efectos significativos · típicamente incluye · denegación servicio + diferencia precio significativa + acceso tratamiento + clasificación tipo paciente afectando trato + decisiones con impacto persistente continuado paciente. Casos típicos sector clínico clarificación · (a) Chatbot AI conversacional respondiendo preguntas paciente sobre tratamientos · NO típicamente decisión automatizada porque NO produce efecto jurídico específico ni afecta significativamente · es información conversacional. (b) Sistema agenda automatizada rechazando citas según criterios algoritmo · POTENCIALMENTE decisión automatizada porque produce efecto específico paciente · análisis caso específico requerido. (c) Modelo scoring paciente segmentación marketing · POTENCIALMENTE decisión automatizada si scoring produce trato diferenciado paciente significativo (precios + acceso servicios + comunicaciones). (d) Sistema AI triaging síntomas paciente · sistema clasifica paciente urgencia + derivación · POTENCIALMENTE decisión automatizada si decisión final derivación es output sistema sin revisión profesional. (e) Sistema AI diagnóstico apoyo profesional sanitario · output sistema es input profesional sanitario · decisión final profesional · NO decisión automatizada estrictamente · pero requisitos transparencia + DPIA aplicables. (f) Sistema predictivo outcome tratamiento · output sistema predictivo + decisión profesional con o sin influencia output · análisis caso requerido. (g) Sistema scoring crédito automatizado paciente · típicamente decisión automatizada produce efecto significativo. Análisis caso específico · cada implementación AI clínica requiere análisis individualizado por jurista especializado · clasificación correcta determina régimen aplicable + safeguards requeridos + obligaciones específicas + sanciones potenciales incumplimiento.

3. Prohibición general Art 22.1 + excepciones Art 22.2 taxativas

SupuestoRégimenSafeguards
Decisión automatizada generalPROHIBIDA Art 22.1Sin excepción aplicable
(a) Necesaria celebración ejecución contratoPERMITIDA Art 22.2.aIntervención humana + impugnación + opinión
(b) Autorizada Derecho UE/EspañaPERMITIDA Art 22.2.bSalvaguardias específicas norma autorizadora
(c) Consentimiento explícito pacientePERMITIDA Art 22.2.cConsentimiento revocable + intervención humana
Datos categoría especial Art 9EXTRA restricciones Art 22.4Solo Art 9.2.a consentimiento + Art 9.2.g interés público + safeguards

4. Derecho paciente intervención humana significativa

El derecho paciente intervención humana significativa Art. 22.3 RGPD es safeguard fundamental cualquier decisión automatizada permitida excepción Art. 22.2 · paciente tiene derecho expresar opinión + impugnar decisión + obtener intervención humana significativa proceso decisional. Características intervención humana significativa · (1) NO rubber stamping formal · revisión humana DEBE ser sustantiva · profesional cualificado con autoridad efectiva revisar + modificar decisión automatizada + tomar decisión alternativa si procede. Profesional revisor debe entender datos + lógica aplicada + tener capacidad técnica modificar decisión + tiempo adecuado análisis caso individual. (2) Procedimiento facilitado paciente · clínica debe facilitar paciente ejercicio derecho intervención humana · canal contacto claro + tiempo respuesta razonable + formulario específico + información proporcionada paciente proceso revisión. (3) Revisión expediente completa · profesional revisor accede expediente completo paciente + datos utilizados decisión + lógica aplicada + resultado output sistema + contexto específico paciente · NO revisión superficial output sistema. (4) Capacidad efectiva modificar decisión · revisor humano DEBE tener capacidad técnica organizativa modificar decisión automatizada si considera adecuado · cláusulas contractuales con vendor sistema AI deben permitir modificación + procedimiento operativo permite implementación modificación + audit trail decisión revisada. (5) Tiempo razonable respuesta · plazo respuesta solicitud intervención humana NO debería exceder 30 días tipo Art. 12 RGPD + ampliable 60 días casos complejos + comunicación paciente plazo. (6) Comunicación paciente resultado intervención · revisor humano comunica paciente decisión final + motivos + datos analizados + opciones paciente posteriores. (7) Documentación expediente · solicitud paciente + revisión realizada + análisis específico + decisión motivada + comunicación paciente + audit trail · evidencia cumplimiento Art. 22.3 RGPD. Casos típicos sector clínico aplicación · (a) Paciente decisión rechazo cita automatizada · solicita intervención humana · profesional clínica revisa caso específico + valora circunstancias particulares paciente + decide aceptar cita pese criterios algoritmo. (b) Paciente segmentación marketing excluyente · solicita revisión · staff marketing revisa criterios aplicados + verifica adecuación caso + posible inclusión paciente comunicación específica. (c) Paciente triaging síntomas urgencia denegada · solicita revisión profesional sanitario · médico valora síntomas paciente + posible derivación presencial valoración pese clasificación algoritmo. (d) Paciente clasificación predictiva tratamiento adverso · solicita revisión + profesional valora caso específico considerando factores no incluidos modelo. Procedimiento clínica establecer ejercicio derecho · (a) Información proactiva paciente derecho Art. 22.3 política privacidad + comunicación específica cada decisión automatizada implementada · canal contacto + tiempo respuesta + procedimiento. (b) Formulario específico solicitud intervención humana + información facilita paciente expresar opinión + motivos impugnación + datos adicionales aportar. (c) Procedimiento interno responsable revisión · profesional cualificado asignado + tiempo dedicado análisis + acceso sistema modificar decisión + documentación. (d) Audit trail expediente paciente · solicitud + revisión + decisión final + comunicación + análisis efectividad procedimiento.

5. Información transparente paciente · Art 13 + Art 14 + Art 15

La obligación información transparente paciente sistemas decisión automatizada es responsabilidad responsable tratamiento + información debe proporcionarse proactivamente Art. 13/14 RGPD + información detallada bajo demanda Art. 15 RGPD + información comprensible paciente facilitando ejercicio derechos. Elementos información obligatoria Art. 13.2.f + Art. 14.2.g RGPD · (1) Existencia decisiones automatizadas · información explícita paciente uso sistemas decisión automatizada + perfilado + identificación específica decisiones aplicables paciente. (2) Información lógica aplicada · explicación significativa lógica aplicada sistema decisión automatizada · NO necesariamente código fuente o algoritmo técnico completo + información permitir paciente comprender base decisión + factores principales considerados + peso relativo factores. (3) Importancia decisión paciente · descripción claro impacto potencial decisión paciente · consecuencias específicas + alcance temporal + reversibilidad. (4) Consecuencias previstas · efectos específicos paciente · denegación servicio + diferencia trato + acceso tratamientos + comunicaciones recibidas + etc. Canal información proactiva · política privacidad clínica + información específica momento implementación sistema afectado paciente + opcional aviso destacado primera interacción sistema. Formato información comprensible · lenguaje claro paciente NO jurídico técnico complejo + opcional infografías explicativas + ejemplos ilustrativos + FAQ. Derecho acceso información detallada Art. 15.1.h RGPD · paciente puede solicitar bajo demanda información detallada decisiones automatizadas aplicadas datos · clínica debe proporcionar información específica caso + lógica aplicada + datos utilizados + resultado. Procedimiento operativo clínica · (a) Política privacidad publicada web actualizada información sistemas decisión automatizada implementados + lógica + derechos paciente Art. 22 + canal ejercicio. (b) Información específica cada touchpoint paciente sistema AI · primera interacción chatbot · aviso paciente naturaleza AI + lógica + opciones intervención humana. (c) Documentación interna detallada lógica sistemas AI · responsable tratamiento debe documentar lógica algoritmos implementados + factores considerados + base datos training + safeguards técnicos · disponible respuestas Art. 15 pacientes. (d) Procedimiento gestión solicitudes Art. 15.1.h · plazo 30 días Art. 12 + información detallada caso específico + comunicación comprensible paciente + audit trail. Errores frecuentes información transparente · (a) Política privacidad genérica menciona "podemos usar sistemas automatizados" sin especificar cuáles + lógica + impacto · INSUFICIENTE Art. 13/14 RGPD. (b) Falta información sistemas AI implementados posterior política privacidad sin actualización · INCUMPLIMIENTO obligación información actualizada. (c) Información opacidad alegando "secreto comercial vendor" sistemas AI · INSUFICIENTE · clínica responsable tratamiento DEBE proporcionar información significativa pese vendor reluctance · negociar acuerdo encargado tratamiento Art. 28 vendor garantiza información disponible responsable. (d) Respuesta Art. 15 paciente genérica sin información específica caso · INSUFICIENTE.

6. Interacción AI bots conversacionales clínica · análisis específico

Los AI bots conversacionales prevalentes implementaciones clínica privada España 2026 son caso específico requiere análisis particular Art. 22 RGPD aplicabilidad + obligaciones derivadas + safeguards específicos bots tipo. Tipologías AI bots clínica + análisis Art. 22 aplicabilidad · (1) Bot informativo simple · responde preguntas paciente información clínica horarios + ubicación + servicios + precios información general · Art. 22 NO típicamente aplicable porque NO toma decisiones específicas respecto paciente · información factual neutral. (2) Bot triaging síntomas paciente · paciente describe síntomas + bot clasifica urgencia + deriva canal apropiado (urgencias + cita presencial + información) · Art. 22 POTENCIALMENTE aplicable si decisión clasificación final es output bot sin revisión profesional · análisis específico requerido + safeguards necesarios. (3) Bot agenda automatizada · paciente solicita cita + bot evalúa disponibilidad + criterios elegibilidad + acepta o rechaza cita · Art. 22 POTENCIALMENTE aplicable si rechazo decisión automática + efecto significativo paciente · safeguards necesarios. (4) Bot recomendaciones tratamiento · paciente describe situación + bot recomienda tratamiento específico + opcional facilitación agenda · Art. 22 PROBABLEMENTE aplicable + adicional regulación productos sanitarios + AI Act sistemas alto riesgo sector sanitario · safeguards extensos. (5) Bot seguimiento post-tratamiento · pregunta paciente síntomas + evolución + bot clasifica necesidad nueva consulta · análisis específico caso. (6) Bot marketing segmentación · análisis comportamiento paciente + comunicaciones segmentadas + ofertas personalizadas · POTENCIALMENTE Art. 22 aplicable si efectos significativos · análisis específico. Safeguards específicos AI bots conversacionales · (a) Información primera interacción paciente · aviso claro naturaleza AI bot + opcional comparativo profesional humano disponible · paciente comprende interacción tipo. (b) Identificación clara bot vs humano · bot NO debe simular profesional sanitario · transparencia paciente naturaleza interacción. (c) Opción acceder profesional humano · paciente puede solicitar atención profesional humano cualquier momento + canal facilitado + sin penalización. (d) Limitaciones competencia bot comunicadas paciente · bot NO debe aparentar capacidades superiores reales · paciente comprende cuándo bot insuficiente requiere humano. (e) NO diagnóstico médico automatizado · AI bots NO deben proporcionar diagnóstico médico paciente · típicamente excluido alcance bot informativo + sintomatología típicamente requiere profesional sanitario · ADR-021 AI Empire específicamente prohibe diagnóstico médico automatizado. (f) Audit trail conversaciones · log interacciones paciente bot conservado + acceso revisión + ejercicio derechos paciente. (g) Procedimiento escalamiento profesional · criterios escalamiento bot a profesional + canal handoff fluido + información profesional contexto interacción previa. (h) DPIA Art. 35 RGPD · implementación AI bot conversacional típicamente alto riesgo + DPIA pre-implementación recomendada + identificación riesgos + safeguards específicos + revisión periódica. AI Empire implementación · combina AI bot conversacional informativo + información transparente paciente + handoff humano fluido + sin diagnóstico médico + audit trail conversaciones + DPIA específica disponible clientes + información política privacidad explícita uso AI · approach compliance-first sector clínico privado.

7. AI Act overlap · enforcement agosto 2026 + obligaciones adicionales

El Reglamento UE 2024/1689 Ley Inteligencia Artificial AI Act introduce régimen adicional aplicable sistemas AI clínica privada complementario RGPD Art. 22 · enforcement progresivo · obligaciones específicas según clasificación riesgo sistemas AI · agosto 2026 milestone enforcement significativo. Clasificación sistemas AI AI Act + aplicabilidad sector sanitario · (1) Sistemas AI prohibidos Art. 5 · scoring social + manipulación subliminal + categorización biométrica datos sensibles generalizada · típicamente NO aplicable sector clínico privado típico. (2) Sistemas AI alto riesgo Anexo III · incluye sistemas AI sector sanitario · sistemas determinación acceso servicios sanitarios + sistemas triaging emergencias sanitarias + sistemas AI productos sanitarios sujetos MDR Reglamento Productos Sanitarios. Obligaciones extensas alto riesgo · evaluación riesgo + sistema gestión calidad + datos training calidad + documentación técnica + supervisión humana + ciberseguridad + precisión robustez + transparencia + monitorización post-comercialización. (3) Sistemas AI riesgo limitado Art. 50 · chatbots conversacionales + sistemas reconocimiento emociones + sistemas generación contenido AI + obligación transparencia paciente identificación naturaleza AI + información categoría limitada. (4) Sistemas AI riesgo mínimo · sin obligaciones específicas + buenas prácticas voluntarias recomendadas. Calendario enforcement AI Act sector clínico relevante · (a) Febrero 2025 · prohibiciones Art. 5 enforcement. (b) Agosto 2025 · obligaciones proveedores modelos AI propósito general + gobernanza · enforcement sancionador. (c) Agosto 2026 · enforcement general AI Act + sistemas alto riesgo + transparencia Art. 50 chatbots + sanciones aplicables · MILESTONE CRÍTICO. (d) Agosto 2027 · obligaciones específicas sistemas alto riesgo Anexo II MDR. Overlap RGPD Art. 22 + AI Act · ambos regímenes aplicables sistemas AI clínica simultáneamente · NO sustituye AI Act el RGPD · regímenes complementarios · obligaciones acumulativas + sanciones potencialmente acumulativas. Clínica privada implementando AI 2026 debe cumplir SIMULTÁNEAMENTE · (a) RGPD Art. 22 + Art. 13/14 + Art. 35 DPIA + Art. 32 seguridad + intervención humana significativa + información transparente paciente. (b) AI Act según clasificación sistema · evaluación riesgo + supervisión humana + transparencia + documentación técnica + ciberseguridad. (c) Normativa sectorial específica · Ley 41/2002 + Ley General Sanidad + RD productos sanitarios + Comunidad Autónoma normativa específica. Recomendación clínica privada implementando AI · (a) Análisis legal específico vendor sistema AI + clasificación AI Act + aplicabilidad Art. 22 RGPD + obligaciones derivadas. (b) Acuerdo encargado tratamiento Art. 28 vendor + cláusulas específicas compliance AI Act + RGPD + responsabilidades claras. (c) DPIA Art. 35 RGPD pre-implementación + actualización periódica. (d) Procedimiento operativo intervención humana significativa + información transparente paciente + audit trail. (e) Formación staff naturaleza sistemas AI implementados + procedimiento + responsabilidades. (f) Monitorización continua sistema + análisis impacto + actualización safeguards según necesidad. (g) Asesoramiento legal especializado AI Act + RGPD sector sanitario continuado + actualización normativa.

8. Sanciones AEPD documentadas + AI Act multas potenciales

Las sanciones régimen Art. 22 RGPD + AI Act aplicables clínica privada España 2026 son significativas + acumulativas + documentadas casos sectoriales. Sanciones AEPD Art. 22 RGPD documentadas + rangos típicos · (1) Decisión automatizada sin base licitud excepción Art. 22.2 aplicable · Art. 83.5.b RGPD · hasta 20.000.000 € o 4% facturación anual mundial. Casos clínicos documentados 30.000-150.000 € rangos sectoriales típicos según gravedad + tamaño clínica. (2) Falta información transparente paciente sistemas decisión automatizada Art. 13.2.f + Art. 14.2.g + Art. 15.1.h RGPD · 15.000-60.000 € casos típicos. (3) Falta procedimiento intervención humana significativa Art. 22.3 RGPD · 20.000-80.000 € casos típicos · gravedad superior porque safeguard fundamental. (4) DPIA Art. 35 RGPD ausente pre-implementación sistema alto riesgo · 10.000-40.000 € casos típicos. (5) Tratamiento datos categoría especial Art. 9 decisiones automatizadas sin condiciones Art. 22.4 + Art. 9.2 · 40.000-150.000 € casos típicos · gravedad máxima porque datos salud sensibles. (6) Acuerdo encargado tratamiento Art. 28 vendor sistema AI ausente o deficiente · 10.000-30.000 € casos típicos. (7) Audit trail ausente · 5.000-20.000 € casos típicos. Casos AEPD documentados últimos años · expediente 100.000 € clínica medicina estética cadena nacional por sistema scoring paciente segmentación marketing sin información transparente + sin intervención humana + sin DPIA + decisiones precios diferenciados pacientes basadas algoritmo · expediente 60.000 € clínica dental Madrid por chatbot triaging síntomas sin información paciente naturaleza AI + sin handoff profesional facilitado + datos salud sin base Art. 9 adecuada · expediente 45.000 € clínica oftalmología Barcelona por sistema agenda automatizada rechazando citas sin procedimiento intervención humana + pacientes excluidos sin justificación clara · expediente 30.000 € clínica dermatología grupo Madrid por bot AI recomendaciones tratamiento sin información transparente lógica + sin DPIA + sin escalamiento profesional · expediente 25.000 € clínica ginecología Valencia por sistema predictivo riesgo tratamiento sin información paciente impacto + sin acceso Art. 15.1.h facilitado. Multas AI Act próximas + complementarias · AI Act establece multas hasta 35.000.000 € o 7% facturación anual mundial + casos sistemas prohibidos · 15.000.000 € o 3% incumplimientos obligaciones operadores + 7.500.000 € o 1% información incorrecta autoridades. Enforcement esperado AESIA + AEPD + AEMPS + autoridades sectoriales coordinación · sector sanitario alto enforcement esperado dado sensibilidad datos + riesgo paciente. Reclamaciones civiles paciente · adicional sanciones administrativas · paciente puede reclamar civilmente daños perjuicios + reclamación específica decisión automatizada adversa + base responsabilidad civil profesional. Daño reputacional · publicación resoluciones sancionatorias boletín BOAEPD + medios sectoriales + difícil cuantificar pero significativo. Recomendación · inversión preventiva compliance Art. 22 RGPD + AI Act significativamente menor coste vs sanción potencial acumulativa + reclamaciones civiles + daño reputacional + frenazo desarrollo tecnológico clínica.

9. Safeguards implementación técnica · checklist requerida

Los safeguards técnicos implementación sistemas AI clínica son obligatorios + complementan safeguards procedimentales · proporcionan evidencia accountability Art. 5.2 RGPD + cumplimiento Art. 32 seguridad + facilitan ejercicio derechos paciente Art. 22. Categorías safeguards técnicos · (1) Identificación clara sistemas AI implementados · inventario sistemas AI clínica · vendor + funcionalidad + categoría riesgo AI Act + aplicabilidad Art. 22 RGPD + datos procesados + actualización periódica. (2) Documentación técnica lógica algoritmo · descripción lógica aplicada sistema + factores considerados + peso relativo + datos training + limitaciones conocidas + bias potenciales identificados + medidas mitigación. (3) Audit trail completo decisiones automatizadas · cada decisión sistema AI logged · datos input + output sistema + decisión final + intervención humana si aplica + comunicación paciente + ejercicio derechos paciente · conservación según política retención. (4) Sistema acceso datos input output paciente · paciente Art. 15.1.h puede solicitar información detallada · sistema facilita extracción información específica caso. (5) Capacidad técnica intervención humana significativa · sistema permite revisor humano acceder datos completos + modificar decisión + override output sistema + nueva decisión motivada. (6) Procedimiento técnico revocación consentimiento · si base licitud Art. 22.2.c consentimiento + paciente puede revocar + sistema detiene procesamiento automático + procedimiento alternativo disponible. (7) Sistema notificación paciente automatizado · información paciente sistemas AI implementados política privacidad + opcional notificación específica primera interacción + recordatorios cambios significativos. (8) Cifrado datos paciente procesados sistema AI · Art. 32 RGPD + medidas técnicas adecuadas datos categoría especial + AES-256 en reposo + TLS 1.3 tránsito + verificación periódica. (9) Acceso restringido roles staff + audit trail accesos · principio mínimo privilegio + autenticación robusta + logging completo accesos. (10) Monitorización continua sistema AI · alertas anomalías + outputs inusuales + bias detectados + degradación performance + revisión periódica humana. (11) Procedimiento gestión incidentes sistema AI · fallos sistema + decisiones adversas paciente + breach datos + comunicación paciente + AEPD si aplica + corrección + lecciones aprendidas. (12) Acuerdo encargado tratamiento Art. 28 vendor + cláusulas específicas compliance Art. 22 + AI Act + responsabilidades + auditoría + breach notification + duración + terminación + retorno datos. Frecuencia revisión safeguards · trimestral revisión operativa + anual revisión compliance + ad-hoc cuando cambio significativo sistema + actualización normativa. Documentación expediente · cada safeguard documentado + evidencia implementación + verificación periódica + audit interno + opcional audit externo certificación.

10. DPIA Art 35 RGPD · evaluación impacto obligatoria

La Evaluación Impacto Protección Datos DPIA Art. 35 RGPD es obligatoria pre-implementación sistemas AI clínica privada típicamente porque encajan criterios alto riesgo · DPIA estructurada identifica riesgos + safeguards + evidencia accountability + base mejora continua. Criterios obligatoriedad DPIA Art. 35.3 RGPD aplicables AI sector clínico · (1) Evaluación sistemática extensiva aspectos personales basada tratamiento automatizado incluido perfilado + decisiones produciendo efectos jurídicos paciente. (2) Tratamiento gran escala datos categoría especial Art. 9 (datos salud) · sistemas AI procesando datos salud típicamente alta escala. (3) Observación sistemática zona pública gran escala · típicamente NO aplicable sector clínico privado típico. Adicionalmente · listas AEPD + EDPB casos requieren DPIA · sistemas AI sector sanitario procesando datos paciente · típicamente entran categoría obligatoria. Estructura DPIA recomendada sistemas AI clínica · (1) Descripción sistema AI · vendor + funcionalidad + alcance + datos procesados + outputs + decisiones generadas + interacción paciente + integración sistemas clínica. (2) Análisis legalidad + necesidad + proporcionalidad · base licitud aplicable + finalidad específica + minimización datos + alternativas consideradas + proporcionalidad medida. (3) Análisis riesgos paciente · riesgos identificables tratamiento + impacto potencial paciente + bias potenciales + decisiones adversas + impacto categoría especial datos salud + riesgo discriminación + riesgo exclusión. (4) Medidas mitigación riesgos · safeguards técnicos implementados + safeguards procedimentales + información paciente transparente + intervención humana significativa + audit trail + monitorización continua. (5) Consulta DPO + opcional pacientes representantes · análisis DPO designado + opcional consulta pacientes específicos + opinión integrada DPIA. (6) Conclusión + decisión implementación · riesgos residuales aceptables + safeguards adecuados + decisión implementar o modificar o desestimar. (7) Plan revisión periódica · DPIA documento vivo · revisión anual mínimo + ad-hoc cambios significativos + actualización safeguards según necesidad. Procedimiento consulta previa AEPD Art. 36 RGPD · si DPIA identifica riesgos altos NO mitigables adecuadamente safeguards · responsable tratamiento DEBE consultar AEPD pre-implementación · análisis AEPD + opinión + opcional requerimientos adicionales + decisión final. Documentación expediente DPIA · documento DPIA completo + evidencias análisis + consulta DPO + opcional consulta AEPD + revisión periódica + actualización · conservación indefinida operación sistema + post-cese 5 años. Errores comunes DPIA AI sistemas · (a) DPIA superficial check-list sin análisis profundo · INSUFICIENTE evidencia accountability. (b) DPIA realizada post-implementación sin análisis preventivo · INCUMPLIMIENTO obligación pre-implementación. (c) DPIA sin consulta DPO designado · INCUMPLIMIENTO procedimiento. (d) DPIA sin actualización periódica · NO refleja sistema actual + ineficaz mitigación riesgos. (e) Identificación riesgos altos sin consulta AEPD Art. 36 · INCUMPLIMIENTO obligación. Recomendación · DPIA realizada por DPO designado + consultoría legal especializada sector sanitario + análisis específico vendor sistema AI + revisión anual mínimo + audit interno periódico.

11. Casos típicos sector clínico · análisis operativo específico

  • Chatbot WhatsApp respuestas FAQ paciente · NO típicamente Art 22 · información transparente requerida + handoff humano facilitado
  • Bot triaging síntomas paciente urgencias · POTENCIALMENTE Art 22 · DPIA obligatoria + intervención humana + información transparente + Art 9 base licitud
  • Sistema agenda automatizada rechazando citas según criterios · POTENCIALMENTE Art 22 si efecto significativo · análisis específico
  • Modelo predictivo no-show paciente segmentación recordatorios · POTENCIALMENTE Art 22 si trato diferenciado · safeguards aplicables
  • Sistema scoring crédito paciente facilidades pago · TÍPICAMENTE Art 22 · safeguards extensos obligatorios
  • Algoritmo segmentación marketing paciente · POTENCIALMENTE Art 22 si trato diferenciado significativo · información transparente
  • Sistema AI diagnóstico apoyo profesional sanitario · NO típicamente Art 22 estricto + AI Act alto riesgo + DPIA + información paciente
  • Sistema predictivo outcome tratamiento · análisis caso específico + AI Act alto riesgo + safeguards
  • Sistema reconocimiento imágenes médicas apoyo profesional · AI Act alto riesgo + DPIA + información paciente
  • Bot conversacional ventas servicios estéticos paciente · POTENCIALMENTE Art 22 si efectos significativos · análisis
  • Sistema personalización contenido paciente plataforma online · análisis específico · información transparente
  • Algoritmo priorización lista espera paciente · POTENCIALMENTE Art 22 si efectos significativos · safeguards

12. Checklist auditoría interna anual compliance Art 22 + AI Act

  • Inventario sistemas AI clínica actualizado · vendor + funcionalidad + clasificación AI Act + Art 22 aplicabilidad
  • DPIA Art 35 RGPD realizada pre-implementación cada sistema + revisión anual actualizada
  • Información transparente paciente política privacidad menciona sistemas AI + lógica + derechos
  • Información proactiva paciente primera interacción sistemas AI + naturaleza AI + opciones
  • Procedimiento intervención humana significativa documentado + profesional asignado + tiempo dedicado
  • Capacidad técnica revisor humano modificar decisión sistema AI verificada
  • Acuerdo encargado tratamiento Art 28 vendor sistemas AI + cláusulas específicas compliance
  • Audit trail completo decisiones automatizadas conservado · revisión muestra casos
  • Procedimiento gestión solicitudes Art 15.1.h paciente información detallada decisiones
  • Procedimiento gestión solicitudes Art 22.3 intervención humana paciente
  • Datos categoría especial Art 9 procesados sistemas AI · base Art 9.2 + Art 22.4 verificada
  • Monitorización continua sistemas AI · alertas + anomalías + bias + degradación
  • Formación staff naturaleza sistemas AI + procedimiento intervención + responsabilidades
  • Plan gestión incidentes sistemas AI · fallos + decisiones adversas + breach + comunicación
  • Análisis riesgos AI Act + clasificación riesgo + obligaciones específicas verificadas
  • Acciones correctoras identificadas + plan implementación + responsable + plazo

Recursos relacionados · AI Act timeline clínicas 2026 · AI agents vs chatbots clínica · RGPD Art 18 limitación tratamiento · compliance roadmap.

Disclaimer · Esta guía es operativa general · NO sustituye asesoramiento legal especializado RGPD + AI Act sector sanitario ni consultoría protección datos profesional. Las cifras sanciones y rangos son orientativos fecha mayo 2026 basados resoluciones AEPD públicas accesibles + datos sectoriales documentados + AI Act texto Reglamento UE 2024/1689. La normativa RGPD + LOPDGDD + AI Act + autonómicas puede actualizarse y los criterios interpretativos AEPD + AESIA evolucionan · consulta abogado especializado derecho tecnológico + protección datos sector sanitario antes implementar sistemas AI. AI Empire es plataforma comunicaciones clínica con AI bot conversacional informativo + handoff humano + sin diagnóstico médico automatizado · NO ofrece servicios consultoría AI Act + RGPD directa ni asesoramiento legal específico decisiones automatizadas.

¿Tu clínica usa sistemas AI sin información transparente paciente?

Cualquier sistema AI clínica privada requiere compliance Art. 22 RGPD + AI Act agosto 2026 + información transparente paciente + intervención humana + DPIA. AI Empire está estructurado compliance-first · bot conversacional informativo + identificación clara naturaleza AI + handoff humano + audit trail + DPIA disponible. Demo 20 minutos · te enseñamos cómo otras clínicas implementan AI reduciendo el riesgo sancionador con trazabilidad.

Solicitar demo