Saltar al contenido principal
AI Empire
Legal · RGPD Art 18 limitación tratamiento

RGPD derecho limitación tratamiento Art 18 clínica · cómo gestionar 2026

El Artículo 18 RGPD reconoce paciente clínica privada el derecho obtener responsable tratamiento la limitación tratamiento sus datos personales · derecho específico "bloqueo" procesamiento datos sin borrarlos definitivamente · ámbito aplicación restringido 4 supuestos específicos taxativos + efectos jurídicos particulares + interacción compleja con obligación legal conservación historia clínica Ley 41/2002 + requisitos técnicos implementación particulares · es uno derechos paciente más técnicamente complejos implementar correctamente clínica privada porque requiere capacidad sistema diferenciar datos "limitados" vs "no limitados" + bloqueo procesamiento activo sin borrado + audit trail completo decisiones + notificación cesionarios datos. Las sanciones AEPD por incumplimiento Art. 18 RGPD están documentadas sector clínico privado España rangos 10.000-60.000 € casos típicos + consecuencias operativas frecuentes son denegación inadecuada solicitud + procesamiento continuado pese limitación solicitada + falta notificación cesionarios datos + ausencia audit trail decisiones + confusión con derecho supresión Art. 17 o derecho oposición Art. 21 régimen distinto aplicable. La realidad operativa muchas clínicas privadas España 2026 · ausencia procedimiento documentado limitación + staff sin formación distinguir limitación vs supresión vs oposición + sistema PMS clínico sin capacidad técnica bloqueo selectivo procesamiento + interacción incorrecta con obligación conservación historia clínica Ley 41/2002 + sin verificación identidad robusta solicitante + sin notificación cesionarios datos paciente. Esta guía estructura régimen jurídico limitación Art. 18 RGPD aplicable clínica privada · qué significa exactamente "limitación tratamiento" + 4 supuestos específicos aplicación taxativos + cómo implementar bloqueo procesamiento técnicamente + interacción específica Ley 41/2002 conservación historia clínica + audit trail completo decisiones + notificación cesionarios datos + sanciones AEPD documentadas + diferencia clave con derecho supresión Art. 17 + derecho oposición Art. 21 + ejemplo flow operativo completo paso a paso recomendado.

1. Marco normativo · RGPD Art 18 + LOPDGDD + Ley 41/2002

El derecho limitación tratamiento datos paciente clínica privada España 2026 está regulado por capa normativa específica con interacciones particulares sector sanitario que requieren comprensión cuidadosa cada actor responsable tratamiento. (1) Reglamento General Protección Datos UE 2016/679 RGPD · Art. 18 derecho obtención limitación tratamiento · derecho específico responsable tratamiento bloquee procesamiento datos personales en 4 supuestos taxativos + efectos jurídicos particulares. (2) Art. 12 RGPD ejercicio derechos · plazo 30 días respuesta ampliable 60 días + medios facilitar ejercicio + información estado solicitud. (3) Art. 19 RGPD obligación notificación cesionarios datos · cualquier cesionario datos personales debe ser notificado limitación salvo imposible o esfuerzo desproporcionado + información paciente cesionarios identificados. (4) Art. 5 RGPD principios tratamiento · principio minimización + exactitud + integridad + confidencialidad aplicables procesamiento limitado. (5) Art. 32 RGPD seguridad tratamiento · medidas técnicas organizativas adecuadas implementación efectiva limitación + cifrado datos especialmente datos categoría especial salud Art. 9. (6) Ley Orgánica 3/2018 LOPDGDD · Art. 16 derecho limitación + complementos sector sanitario específicos. (7) Ley 41/2002 autonomía paciente · obligaciones conservación historia clínica mínimo 5 años post-última atención (autonómicas pueden ampliar Catalunya 15-20 años · Andalucía 5 años · Madrid 5 años) + criterios acceso + tratamiento historia clínica · interactúa críticamente Art. 18 RGPD limitación (obligación legal Art. 6.1.c puede justificar tratamiento continuado pese limitación solicitada en supuestos específicos). (8) Guidelines 8/2020 European Data Protection Board EDPB derechos paciente sanitarios · criterios interpretativos europeos consolidados aplicables sector sanitario. (9) Criterios interpretativos AEPD Agencia Española Protección Datos · resoluciones sancionadoras clarificadoras específicas limitación + circulares + informes anuales jurisprudencia consolidada. Aplicación operativa clínica privada · cualquier solicitud paciente expresada como "bloquead mis datos" / "no uséis mis datos para nada" / "no quiero que procese mis datos pero no los borréis" / "suspended el tratamiento mis datos mientras revisáis exactitud" requiere clasificación correcta como limitación Art. 18 RGPD vs supresión Art. 17 vs oposición Art. 21 + procesamiento adecuado régimen específico aplicable + comunicación clarificación paciente opciones disponibles + procesamiento régimen elegido específico.

2. Qué significa "limitación tratamiento" · definición técnica

La limitación tratamiento Art. 18 RGPD es concepto técnico jurídico específico requiere comprensión precisa · NO equivale supresión datos · NO equivale oposición tratamiento · es estado intermedio donde datos conservados pero procesamiento activo bloqueado salvo excepciones taxativas. Definición técnica RGPD · Art. 4.3 RGPD · "limitación tratamiento" significa marcado datos personales conservados con objetivo limitar tratamiento futuro. Implicaciones prácticas estado limitación · (1) Datos conservados sistemas responsable tratamiento · NO se borran físicamente · NO se anonimizan irreversiblemente · permanecen disponibles desbloqueo posterior si proceda. (2) Procesamiento activo datos bloqueado · responsable tratamiento NO puede procesar datos limitados para finalidades originales o nuevas · NO puede consultar datos rutinariamente · NO puede usar datos comunicaciones paciente comerciales · NO puede ceder datos terceros nueva finalidad. (3) Procesamiento excepcional permitido pese limitación · (a) Conservación datos · operación técnica almacenamiento permitida Art. 18.2 RGPD. (b) Consentimiento paciente específico · paciente puede autorizar procesamiento específico pese limitación general. (c) Formulación ejercicio defensa reclamaciones · litigio paciente clínica datos pueden ser procesados defensa. (d) Protección derechos otra persona física o jurídica · supuestos limitados conflicto derechos terceros. (e) Razones importante interés público · supuestos excepcionales sanidad pública + investigación científica específica. (4) Marcado técnico datos limitados · sistema PMS clínico debe marcar técnicamente datos limitados + bloqueo accesos rutinarios + visualización clara estado limitado staff + audit trail accesos excepcionales + autorización específica desbloqueo procesamiento excepcional. (5) Notificación previa paciente desbloqueo · responsable tratamiento DEBE notificar paciente previamente cualquier desbloqueo procesamiento + motivo desbloqueo + base licitud aplicada · Art. 18.3 RGPD obligación expresa. (6) Duración limitación · típicamente temporal mientras causa motivadora persiste · supuesto exactitud impugnada hasta verificación + supuesto licitud impugnada hasta verificación + supuesto necesidad reclamaciones hasta finalización + supuesto oposición Art. 21 pendiente verificación interés legítimo prevalente. (7) Diferenciación visual / técnica esencial · sistema debe distinguir claramente datos limitados vs normales · marcado visual + alertas + restricciones acceso · evita procesamiento accidental incumplimiento. Concepto erróneo frecuente · limitación NO es "pausa" temporal procesamiento que se reanuda automáticamente fecha límite · es estado jurídico activo continuado mientras causa motivadora persiste + requiere acción específica responsable tratamiento finalización limitación + notificación paciente.

3. Supuestos aplicación · 4 casos taxativos Art 18.1

Supuesto Art 18.1CausaDuración
(a) Exactitud impugnadaPaciente impugna exactitud datosHasta verificación responsable
(b) Licitud impugnadaTratamiento ilícito + paciente solicita limitación lugar supresiónIndefinida solicitud paciente
(c) Necesidad reclamacionesResponsable ya no necesita datos · paciente requiere reclamacionesHasta finalización reclamaciones
(d) Oposición Art 21 pendientePaciente ejerció Art 21 oposición · pendiente verificación interés legítimoHasta resolución oposición
Solicitud sin supuesto válidoPaciente solicita limitación sin causa Art 18.1DENEGACIÓN motivada

4. Supuesto exactitud impugnada · análisis detallado

El supuesto Art. 18.1.a RGPD aplica cuando paciente impugna exactitud datos personales tratados clínica · derecho limitación durante plazo permite responsable tratamiento verificación exactitud datos antes procesamiento continuado + protección paciente datos potencialmente incorrectos. Procesamiento operativo supuesto exactitud impugnada · (1) Recepción solicitud paciente impugnación exactitud datos específicos + especificación datos cuestionados + razones impugnación + corrección propuesta opcional. (2) Limitación inmediata datos cuestionados · bloqueo procesamiento mientras verificación pendiente · NO necesario verificar impugnación previa limitación porque limitación es protección paciente. (3) Verificación exactitud datos cuestionados · revisión expediente paciente + consulta paciente clarificación + verificación documentación soporte + opcional profesional originador datos. (4) Plazo verificación razonable · no especificado RGPD pero típicamente 7-30 días según complejidad + comunicación intermedia paciente estado verificación. (5) Resolución verificación · (a) Datos confirmados inexactos · rectificación Art. 16 RGPD + finalización limitación + comunicación paciente rectificación realizada + notificación cesionarios rectificación. (b) Datos confirmados exactos · comunicación paciente confirmación exactitud + motivos + finalización limitación + opción paciente impugnación adicional + información AEPD reclamación. (c) Datos parcialmente exactos · rectificación parcial + finalización limitación + comunicación paciente. Casos típicos sector clínico · (a) Paciente impugna fecha nacimiento registrada · verificación DNI + corrección + finalización limitación. (b) Paciente impugna diagnóstico médico elaborado profesional · análisis complejo profesional originador + opcional segunda opinión + decisión motivada · datos derivados análisis profesional típicamente NO rectificables fácilmente porque son opinión profesional motivada · pero limitación durante análisis es obligatoria. (c) Paciente impugna registro consentimiento específico tratamiento · verificación documentación original + audit trail + rectificación si justificado. (d) Paciente impugna importe factura registrada · verificación facturación + corrección si error administrativo. Documentación expediente · solicitud paciente original + análisis exactitud realizado + resolución motivada + comunicación paciente + audit trail decisiones + rectificación aplicada si procede. Duración típica limitación supuesto exactitud · 7-30 días típicamente · comunicación intermedia paciente si requiere más tiempo + razones + estimación nueva.

5. Supuesto licitud impugnada · alternativa supresión Art 17

El supuesto Art. 18.1.b RGPD aplica cuando tratamiento datos paciente es ilícito y paciente solicita limitación en lugar supresión Art. 17 · derecho paciente preservar datos pese ilicitud tratamiento + posibilidad ejercicio derechos posteriores requieren datos preservados. Cuándo aplica · (1) Tratamiento datos identificado como ilícito · ausencia base licitud Art. 6 RGPD válida + tratamiento fuera ámbito consentimiento + tratamiento más allá finalidad declarada. (2) Paciente prefiere limitación vs supresión · razones típicas · (a) Posibilidad reclamación civil daños perjuicios contra clínica requiere preservación datos evidencia. (b) Posibilidad denuncia AEPD requiere datos evidencia infracción. (c) Posibilidad reclamación responsabilidad profesional médica requiere preservación. (d) Preferencia paciente preservar histórico aunque sin procesamiento futuro. Procesamiento operativo · (1) Recepción solicitud paciente con identificación tratamiento ilícito + preferencia limitación vs supresión. (2) Análisis legal responsabilidad tratamiento · verificación ilicitud alegada + análisis interno + opcional consultoría legal especializada + decisión motivada. (3) Si confirmada ilicitud + paciente prefiere limitación · implementación limitación inmediata + comunicación paciente decisión + procedimiento gestión datos limitados. (4) Si NO confirmada ilicitud · comunicación paciente análisis + motivos rechazo limitación + información derecho reclamación AEPD + opciones alternativas paciente. (5) Documentación robusta · expediente debe contener análisis legal detallado + decisión motivada + comunicación paciente + audit trail · ilicitud confirmada es admisión responsable tratamiento + base reclamaciones posteriores. Duración limitación supuesto licitud impugnada · indefinida solicitud paciente · típicamente hasta paciente solicita supresión definitiva o finalización reclamaciones legales + datos limitados permanecen sistemas responsable. Notificación cesionarios ilicitud · obligación notificación cesionarios datos ilícitamente cedidos + comunicación rectificación tratamiento + verificación cesionarios cesan procesamiento + audit trail notificaciones.

6. Supuestos (c) necesidad reclamaciones + (d) oposición Art 21 pendiente

Los supuestos Art. 18.1.c RGPD necesidad datos reclamaciones + Art. 18.1.d oposición Art. 21 pendiente son supuestos específicos requieren procesamiento particular. Supuesto (c) necesidad reclamaciones · responsable tratamiento ya NO necesita datos personales paciente finalidades originales pero paciente los requiere formulación + ejercicio + defensa reclamaciones · típico caso paciente relación finalizada clínica pero potencial reclamación pendiente · clínica tendría derecho borrado por NO necesidad pero paciente impide borrado vía limitación. Procesamiento operativo (c) · (1) Identificación clínica datos paciente NO necesarios finalidad original · típicamente paciente sin relación activa años posteriores + finalidad original cesada. (2) Solicitud paciente limitación + justificación reclamación pendiente o potencial · ejemplo "reclamación responsabilidad profesional pendiente Juzgado · necesito datos disponibles defensa" + documentación reclamación si procede. (3) Análisis legitimidad solicitud · verificación reclamación efectivamente pendiente o razonablemente potencial + datos efectivamente relevantes reclamación. (4) Implementación limitación · bloqueo procesamiento operativo + preservación disponibilidad datos paciente requerimiento reclamaciones. (5) Duración limitación · hasta finalización reclamaciones efectivas · típicamente requerimiento paciente comunicación finalización + verificación responsable + decisión limitación finalizada + comunicación paciente. Supuesto (d) oposición Art. 21 pendiente · paciente ejerció derecho oposición Art. 21 RGPD + responsable tratamiento debe verificar existencia motivos legítimos imperiosos justifican tratamiento continuado pese oposición · durante verificación limitación es obligatoria + protección paciente procesamiento durante análisis. Procesamiento operativo (d) · (1) Recepción solicitud paciente oposición Art. 21 + automáticamente limitación tratamiento mientras verificación. (2) Análisis interés legítimo prevalente · revisión interés legítimo responsable tratamiento Art. 6.1.f vs intereses derechos libertades fundamentales paciente + ponderación equilibrada + análisis circunstancias específicas paciente. (3) Resolución oposición · (a) Aceptación oposición · cese tratamiento + opcional supresión Art. 17 si aplica + comunicación paciente. (b) Rechazo oposición · motivos legítimos imperiosos justifican tratamiento continuado + comunicación paciente motivos + información derecho reclamación AEPD + reanudación procesamiento + finalización limitación. (4) Duración limitación supuesto (d) · típicamente 7-30 días verificación + comunicación intermedia paciente si más tiempo necesario + razones. Casos típicos sector clínico · (a) Paciente oposición comunicaciones marketing clínica vía interés legítimo · típicamente aceptación oposición fácil + cese inmediato + finalización limitación. (b) Paciente oposición tratamiento datos comunicaciones operativas vía interés legítimo · análisis complejo necesidad operativa clínica vs derecho paciente + decisión motivada. (c) Paciente oposición conservación datos historia clínica · NO aplica Art. 21 oposición porque base licitud es obligación legal Art. 6.1.c (Ley 41/2002) + análisis adecuado debe comunicar paciente régimen aplicable distinto.

7. Cómo bloquear procesamiento técnicamente · implementación

La implementación técnica bloqueo procesamiento datos limitados Art. 18 RGPD requiere capacidades específicas sistema PMS clínico + procesamiento sistemas relacionados + audit trail completo + restricciones acceso staff. Capacidades técnicas requeridas sistema PMS clínico · (1) Marcado técnico datos limitados · campo específico registro paciente / dato específico que indica estado limitación + fecha inicio + supuesto Art. 18.1 aplicable + responsable decisión. (2) Visualización clara estado limitación staff · cualquier visualización registro paciente debe mostrar prominentemente estado limitación + información supuesto aplicable + restricciones procesamiento + procedimiento desbloqueo excepcional. (3) Bloqueo accesos rutinarios · funcionalidades sistema típicas no pueden operar datos limitados sin autorización específica · ejemplo · envío comunicaciones marketing automatizadas debe excluir datos limitados + reporting general debe excluir datos limitados + análisis estadísticos debe excluir datos limitados + cesión datos terceros debe excluir datos limitados. (4) Restricciones acceso visualización · acceso datos limitados restringido roles específicos staff + logging completo cada acceso + justificación obligatoria acceso excepcional. (5) Bloqueo modificaciones · datos limitados típicamente no pueden modificarse sin autorización específica + audit trail modificaciones. (6) Procedimiento desbloqueo excepcional · workflow específico autorización procesamiento excepcional (consentimiento paciente + reclamaciones + protección derechos terceros + interés público) + documentación + audit trail + notificación previa paciente. (7) Audit trail completo · cada interacción datos limitados logged · acceso + intento modificación + procesamiento excepcional autorizado + finalización limitación + preservación logs mínimo 5 años. Sistemas relacionados clínica · (1) Sistema CRM marketing · exclusión datos limitados campañas + integración API estado limitación. (2) Plataforma email marketing · exclusión automática listas envío. (3) Sistema WhatsApp comunicaciones · exclusión envíos automatizados + bloqueo iniciativa comunicación clínica + permitido respuesta paciente iniciado. (4) Sistema reporting analytics · exclusión datos limitados informes operativos. (5) Sistema cesiones terceros · aseguradoras + laboratorios + colaboradores · exclusión cesión nueva + notificación cesionarios existentes. (6) Sistema facturación · gestión específica facturación pendiente + cobros + reclamaciones. Implementación práctica · (a) Auditoría capacidades sistema PMS actual · identificación gaps + plan inversión adecuación si necesario. (b) Procedimiento manual contingencia si sistema no soporta · marcado manual + comunicación staff + verificación periódica + transición sistema adecuado. (c) Formación staff procedimiento + responsabilidades + casos típicos + escalación responsable protección datos. (d) Documentación procedimiento + actualización + revisión periódica + audit interno + audit externo opcional.

8. Interacción Ley 41/2002 · historia clínica obligación conservación

La limitación tratamiento datos historia clínica paciente interacciona críticamente con obligación legal conservación documentación clínica Ley 41/2002 · base licitud obligación legal Art. 6.1.c RGPD genera supuestos donde tratamiento continuado debe mantenerse pese limitación general solicitada + requiere comunicación cuidadosa paciente régimen aplicable. Principios distinción · (1) Limitación Art. 18 RGPD aplica datos cualquier base licitud RGPD · pero efectos limitación son procesamiento bloqueado salvo excepciones taxativas Art. 18.2. (2) Conservación obligación legal historia clínica Ley 41/2002 base Art. 6.1.c RGPD obligación legal · procesamiento "conservación" es operación técnica permitida Art. 18.2.a incluso durante limitación. (3) Tratamientos historia clínica más allá conservación · acceso profesional sanitario continuidad asistencial + comunicación profesional otro centro + cesión administraciones sanitarias obligaciones legales · pueden requerir análisis específico vs limitación solicitada paciente. (4) Comunicación clarificación obligatoria paciente · responsable tratamiento DEBE comunicar paciente limitación NO afecta obligación legal conservación historia clínica + acceso continuidad asistencial profesional + obligaciones reporting administraciones sanitarias específicas + comunicación cesiones obligatorias legales. Casos típicos sector clínico · (1) Paciente solicita "no proceséis datos para nada" interpretación limitación general · clarificación paciente · datos historia clínica deben conservarse obligación legal Ley 41/2002 mínimo 5 años post-última atención · NO podemos borrar antes plazo · comunicaciones marketing + cesiones voluntarias terceros pueden limitarse efectivamente. (2) Paciente solicita limitación tratamiento durante litigio responsabilidad profesional pendiente · tratamientos defensa reclamaciones permitido Art. 18.2.c · conservación historia clínica obligatoria · NO afecta limitación procesamiento marketing y comunicaciones operativas. (3) Paciente solicita limitación + cesión administración sanitaria obligatoria pendiente · obligación legal cesión Art. 6.1.c puede prevalecer requerimientos específicos administración + comunicación paciente régimen aplicable. (4) Paciente solicita limitación + investigación científica clínica en curso autorizada · análisis específico régimen aplicable investigación + potencial conflicto + decisión motivada + comunicación paciente. Recomendación operativa · (a) Política privacidad clínica + información ejercicio derechos debe explicar interacción Art. 18 RGPD vs Ley 41/2002 con claridad. (b) Procedimiento operativo · comunicación paciente solicitud limitación incluye clarificación qué procesamientos pueden limitarse efectivamente vs cuáles permanecen vigentes obligación legal. (c) Confirmación paciente comprensión + opciones específicas elegir. (d) Documentación expediente decisiones específicas + base licitud cada decisión + audit trail.

9. Diferencia con derecho supresión Art 17 + derecho oposición Art 21

La diferenciación correcta limitación Art. 18 RGPD vs supresión Art. 17 vs oposición Art. 21 es esencial procesamiento operativo · staff clínica privada debe distinguir régimen aplicable cada solicitud paciente + procesar régimen específico + comunicar paciente clarificación opciones. Diferencias principales · (1) Derecho supresión Art. 17 RGPD "derecho olvido" · paciente solicita borrado definitivo datos + 6 supuestos taxativos aplicación (ya no necesarios + retirada consentimiento + oposición Art. 21 + tratamiento ilícito + obligación legal supresión + datos menores Art. 8) + efecto · borrado definitivo + notificación cesionarios + posible imposibilidad ejecución obligación legal conservación Ley 41/2002 historia clínica casos sector sanitario. (2) Derecho limitación Art. 18 RGPD · paciente solicita bloqueo procesamiento + conservación datos + 4 supuestos taxativos aplicación + efecto · datos conservados procesamiento bloqueado salvo excepciones + datos permanecen disponibles desbloqueo posterior + compatible obligación conservación Ley 41/2002. (3) Derecho oposición Art. 21 RGPD · paciente opone tratamiento específico + aplica tratamientos base interés legítimo Art. 6.1.f o misión interés público Art. 6.1.e + responsable debe cesar tratamiento salvo motivos legítimos imperiosos prevalentes + típicamente supresión Art. 17 sigue aceptación oposición. Casos típicos clarificación clínica · (a) Paciente solicita "borrad todos mis datos" · típicamente solicitud supresión Art. 17 + clarificación obligación conservación historia clínica Ley 41/2002 + procesamiento parcial supresión datos no afectados obligación legal. (b) Paciente solicita "no procesad mis datos pero no los borréis" · típicamente limitación Art. 18 + análisis supuesto específico aplicable + procesamiento limitación si aplica. (c) Paciente solicita "no me mandéis más comunicaciones marketing" · típicamente oposición Art. 21 si comunicaciones base interés legítimo o retirada consentimiento Art. 7 si base consentimiento + típicamente fácil procesar + finalización envíos. (d) Paciente solicita "bloquead mis datos hasta verifiquéis exactitud diagnóstico" · típicamente limitación Art. 18.1.a exactitud impugnada + verificación + decisión motivada. Procedimiento clarificación · staff recepción solicitud paciente NO debe asumir régimen específico · comunicación paciente clarificación · "¿quiere borrado definitivo (Art. 17)? · ¿quiere bloqueo procesamiento conservando datos (Art. 18)? · ¿quiere cese tratamiento específico marketing (Art. 21)? · ¿retira consentimiento tratamiento específico?" · confirmación paciente régimen elegido + procesamiento específico régimen + comunicación posterior decisiones + finalización. Documentación expediente esencial · solicitud original + clarificación comunicada + confirmación paciente + régimen procesado + decisiones tomadas + comunicación paciente · evita confusión posterior + protege responsable tratamiento reclamaciones paciente régimen incorrecto procesado.

10. Sanciones AEPD documentadas · rangos + casos reales

Las sanciones AEPD por incumplimiento derecho limitación Art. 18 RGPD son documentadas sector clínico privado España · resoluciones públicas accesibles AEPD permiten benchmarking riesgos. Tipología infracciones + rangos sanciones · (1) Denegación inadecuada solicitud limitación sin motivación correcta · Art. 83.5.b RGPD · hasta 20.000.000 € o 4% facturación anual. Documentadas sector clínico 10.000-60.000 € casos típicos. (2) Procesamiento continuado datos pese limitación solicitada confirmada · 20.000-80.000 € casos típicos · gravedad superior porque genera procesamiento ilícito continuado. (3) Plazo 30 días respuesta solicitud incumplido sin ampliación motivada · 5.000-25.000 € casos típicos. (4) Verificación identidad inadecuada generando aplicación limitación datos paciente distinto · 15.000-50.000 € + obligación notificación violación seguridad. (5) Falta notificación cesionarios datos limitación Art. 19 RGPD · 10.000-30.000 € casos típicos. (6) Sistema técnico inadecuado implementación limitación · procesamiento accidental datos limitados · 15.000-50.000 €. (7) Confusión con derecho supresión Art. 17 generando borrado incorrecto historia clínica obligación legal · 20.000-60.000 € + posible adicional infracción Ley 41/2002 sector sanitario. (8) Falta procedimiento documentado limitación · 5.000-25.000 €. (9) Audit trail inexistente o incompleto · 5.000-20.000 €. Casos documentados últimos años · expediente AEPD 60.000 € clínica medicina estética Madrid por procesamiento continuado comunicaciones marketing pese limitación solicitada paciente 6 meses + sin notificación cesionarios datos + sin DPO designado + procedimiento indocumentado · expediente AEPD 35.000 € clínica dental cadena Barcelona por denegación limitación alegando obligación legal conservación sin distinguir tratamientos sujetos vs no sujetos + verificación identidad inadecuada · expediente AEPD 25.000 € clínica oftalmología Valencia por confusión limitación Art. 18 vs supresión Art. 17 generando borrado incorrecto historia clínica obligación legal + posterior reclamación paciente no disponibilidad datos defensa propia · expediente AEPD 20.000 € clínica dermatología Sevilla por sistema PMS sin capacidad técnica bloqueo selectivo + procesamiento accidental comunicaciones pese marcado manual + sin audit trail accesos · expediente AEPD 15.000 € clínica ginecología grupo Madrid por ausencia notificación cesionarios datos paciente limitación + comunicación ineficiente paciente régimen aplicable. Adicionalmente · publicación resolución sancionatoria boletín BOAEPD genera daño reputacional permanente difícil cuantificar pero significativo. Recomendación · inversión preventiva procedimiento documentado limitación + formación staff + sistema técnico adecuado capacidad bloqueo selectivo + audit trail robusto significativamente menor coste vs sanción potencial + reclamación civil paciente + daño reputacional.

11. Flow operativo recomendado · paso a paso ejemplo completo

  • Día 0 · Recepción solicitud paciente vía canal autorizado · registro expediente
  • Día 1-2 · Acuse recibo paciente con número expediente + plazo respuesta máximo + persona contacto
  • Día 1-3 · Verificación identidad solicitante método robusto + documentación archivada
  • Día 3-5 · Clarificación solicitud · comunicación paciente opciones Art 17 supresión vs Art 18 limitación vs Art 21 oposición
  • Día 5-7 · Confirmación paciente régimen elegido + supuesto específico Art 18 aplicable si limitación
  • Día 7-10 · Análisis admisibilidad supuesto · exactitud impugnada / licitud impugnada / reclamaciones / oposición pendiente
  • Día 10-15 · Si supuesto válido · implementación técnica limitación + marcado sistema PMS + bloqueo accesos rutinarios
  • Día 15-20 · Notificación cesionarios datos paciente limitación Art 19 RGPD si aplica
  • Día 20-25 · Comunicación paciente · limitación implementada + sistemas afectados + procesamientos restantes obligación legal + duración estimada
  • Día 25-30 · Confirmación paciente comprensión + opciones adicionales + información derecho reclamación AEPD
  • Post-implementación · Monitorización procesamiento accidental + audit trail accesos + verificación cumplimiento
  • Periódico · Revisión causa motivadora persistente · verificación supuesto sigue aplicando + valoración finalización
  • Cuando proceda · Finalización limitación · notificación previa paciente + motivos finalización + base licitud aplicada
  • Reanudación procesamiento · gradual + verificación paciente notificado + audit trail completo
  • Documentación expediente · solicitud + análisis + decisiones + comunicación paciente + audit trail + conservación 5 años

12. Checklist auditoría interna anual procedimiento limitación

  • Procedimiento operativo POE limitación documentado actualizado mínimo 2 años
  • Staff formado distinguir limitación Art 18 vs supresión Art 17 vs oposición Art 21
  • Capacidad técnica sistema PMS bloqueo selectivo procesamiento verificada
  • Marcado visual datos limitados claramente visible staff cualquier visualización
  • Bloqueo accesos rutinarios funcional · marketing + reporting + cesiones excluyen automáticamente
  • Procedimiento desbloqueo excepcional documentado + autorización requerida + audit trail
  • Notificación cesionarios datos sistema implementado · listado cesionarios actualizado
  • Plantillas comunicación paciente predefinidas · acuse + clarificación + implementación + finalización
  • Procedimiento verificación identidad robusta documentado + métodos aceptables establecidos
  • Audit trail completo cada solicitud limitación expediente conservación 5 años
  • Revisión muestra aleatoria 5 limitaciones último año · verificación cumplimiento procedimiento
  • Revisión limitaciones activas pendientes · verificación causa persiste + valoración finalización
  • Métricas agregadas año · número limitaciones + tipos supuestos + duración promedio
  • Verificación información política privacidad publicada clínica derecho Art 18 + canal ejercicio
  • Verificación encargados tratamiento Art 28 respetan obligaciones cooperación limitación
  • Acciones correctoras identificadas + plan implementación + responsable + plazo

Recursos relacionados · derecho oposición Art 21 RGPD · derecho portabilidad Art 20 RGPD · derecho supresión Art 17 RGPD · política privacidad · compliance roadmap.

Disclaimer · Esta guía es operativa general · NO sustituye asesoramiento legal especializado RGPD sector sanitario ni consultoría protección datos profesional. Las cifras sanciones y rangos son orientativos fecha mayo 2026 basados resoluciones AEPD públicas accesibles + datos sectoriales documentados. La normativa RGPD + LOPDGDD + Ley 41/2002 + autonómicas puede actualizarse y los criterios interpretativos AEPD evolucionan · consulta abogado especializado derecho sanitario + protección datos antes implementar procedimientos. AI Empire es plataforma comunicaciones clínica · NO ofrece servicios consultoría protección datos directa ni asesoramiento legal RGPD específico.

¿Tu clínica puede bloquear procesamiento datos paciente técnicamente?

La limitación Art. 18 RGPD requiere capacidad técnica sistema PMS bloqueo selectivo procesamiento + audit trail + restricción acceso staff. AI Empire estructura comunicaciones paciente con marcado técnico datos + bloqueo automatizado + audit trail completo + notificación cesionarios. Demo 20 minutos · te enseñamos cómo otras clínicas gestionan derechos paciente sin fricción técnica.

Solicitar demo