RGPD derecho oposición paciente Art 21 clínica · cómo gestionar 2026

1. Marco normativo · RGPD Art 21 + LOPDGDD + Ley 41/2002

El derecho oposición paciente clínica privada España 2026 está regulado capa normativa acumulable con interacciones específicas sector sanitario que requieren interpretación cuidadosa. (1) Reglamento General Protección Datos UE 2016/679 RGPD · Art. 21 derecho oposición tratamiento datos personales · 4 supuestos diferenciados según base licitud · oposición general tratamientos base interés legítimo Art. 6.1.f o misión interés público Art. 6.1.e (Art. 21.1) · oposición marketing directo absoluto (Art. 21.2-3) · oposición investigación científica histórica estadística (Art. 21.6) · derecho específico decisiones automatizadas elaboración perfiles Art. 22 RGPD. (2) Art. 22 RGPD decisiones individuales automatizadas elaboración perfiles · derecho específico no estar sujeto decisión basada únicamente tratamiento automatizado producir efectos jurídicos significativos. (3) Art. 12 RGPD ejercicio derechos · plazo 30 días respuesta ampliable 60 días + medios facilitar ejercicio. (4) Art. 7.3 RGPD revocación consentimiento · régimen específico diferente oposición · revocación efecto sin necesidad motivos pero NO retroactivo + no afecta licitud tratamientos previos. (5) Ley Orgánica 3/2018 LOPDGDD · Art. 18 derecho oposición + Art. 21 publicidad correo electrónico requiere consentimiento previo expreso receptor. (6) Ley 41/2002 autonomía paciente · obligaciones conservación historia clínica mínimo 5 años post-última atención (autonómicas pueden ampliar) crea limitación oposición tratamiento historia clínica con base obligación legal (NO oposición procedente datos conservación obligación legal). (7) LSSI Ley 34/2002 Servicios Sociedad Información · Art. 21 comunicaciones comerciales electrónicas no solicitadas · paciente puede oponerse expresamente cualquier momento mediante mecanismo opt-out inmediato. (8) Criterios interpretativos AEPD Agencia Española Protección Datos · resoluciones sancionadoras clarificadoras específicas sector sanitario aplicación Art. 21 RGPD. (9) Códigos deontológicos colegiales · matices ética profesional gestión relación paciente posterior oposición tratamiento. Aplicación operativa clínica privada · cualquier solicitud paciente expresada como "no quiero recibir" / "no quiero que uséis" / "quiero oponerme" / "que no me llaméis" requiere clasificación correcta como oposición Art. 21 RGPD o revocación consentimiento Art. 7.3 + procesamiento adecuado régimen específico aplicable.

2. Oposición marketing directo · derecho absoluto sin motivos

Art. 21.2 RGPD establece derecho oposición marketing directo absoluto · paciente puede oponerse cualquier momento sin necesidad alegar motivos + responsable tratamiento DEBE suprimir inmediatamente comunicaciones marketing sin discusión + Art. 21.3 obliga informar paciente derecho oposición explícitamente primera comunicación + cada comunicación posterior debe facilitar opt-out simple. Características oposición marketing · (1) Derecho absoluto · NO requiere motivos · NO ponderación intereses · NO balancing test · obligación supresión inmediata responsable tratamiento. (2) Aplicable cualquier comunicación marketing directo · email + WhatsApp + SMS + llamada telefónica + correo postal + publicidad personalizada online + cualquier comunicación finalidad promoción servicios. (3) Aplicable también profiling marketing · segmentación CRM finalidad publicitaria + perfiles paciente cross-selling + segmentación pacientes según probabilidad respuesta campañas. (4) Aplicable también terceros responsables tratamiento si paciente datos cedidos terceros finalidad marketing (típicamente NO aplicable clínica privada que NO cede datos terceros marketing). (5) Plazo obligado supresión · "sin dilación indebida" RGPD interpretado AEPD máximo razonable 7 días · idealmente 24-48 horas si proceso automatizado. (6) Granularidad oposición · paciente puede oponerse específicamente canal (ejemplo · "no quiero emails marketing pero acepto WhatsApp") · responsable debe respetar granularidad solicitada. Procedimiento operativo clínica privada · (1) Recepción oposición marketing · canal cualquiera disponible paciente · respuesta "STOP" WhatsApp/SMS + click unsubscribe email + email DPO + formulario web + presencial + verbalmente recepción. (2) Verificación identidad simplificada · paciente contacto activo + datos contacto coincidentes registrados · NO requiere verificación exhaustiva DNI excepto duda razonable identidad. (3) Procesamiento inmediato sistemas marketing · supresión activa canal específico opuesto + mantenimiento otros si oposición parcial. (4) Confirmación paciente · email o WhatsApp confirmando supresión efectuada + fecha + canal específico procesado. (5) Audit trail registro · fecha solicitud + canal recepción + canal/canales opuestos + fecha procesamiento + responsable interno procesó. (6) Documentación supresión vigencia indefinida · oposición marketing NO caduca · paciente puede revocar oposición voluntariamente otorgando nuevo consentimiento marketing pero clínica NO puede asumir cambio sin nuevo consentimiento explícito. Errores frecuentes infracción Art. 21.2 · (1) Continuar email marketing post-opt-out porque "se quedó pendiente campaña ya programada". (2) Continuar WhatsApp marketing post-oposición email asumiendo "solo opuso email". (3) Borrar consentimiento marketing pero NO añadir supresión activa lista campañas → riesgo recurrencia futura. (4) No comunicar opt-out a plataforma marketing tercera (encargado tratamiento) generando comunicación continuada. (5) Cuestionar paciente motivos oposición intentar disuadir · inadecuado + degrada relación.

3. Tabla decisión · clasificación correcta solicitud paciente

4. Oposición Art 21.1 interés legítimo · balancing test obligatorio

Art. 21.1 RGPD establece derecho oposición tratamientos datos base interés legítimo Art. 6.1.f RGPD o misión interés público Art. 6.1.e RGPD · pero NO es derecho absoluto · paciente debe alegar "motivos relacionados con su situación particular" + responsable tratamiento debe evaluar balancing test ponderación intereses · si intereses legítimos responsable prevalecen motivos paciente + protección bienes jurídicos terceros · oposición puede no proceder motivadamente. Características oposición interés legítimo · (1) Paciente debe alegar motivos específicos situación particular · NO basta oposición genérica sin motivos. (2) Responsable tratamiento debe evaluar caso individual cada solicitud · NO automatización procesamiento igual marketing. (3) Balancing test documentado obligatorio · análisis (a) finalidad tratamiento + necesidad + proporcionalidad + (b) impacto razonable paciente + (c) protección bienes jurídicos terceros + (d) salvaguardas implementadas + (e) expectativas razonables paciente. (4) Si balancing test favorable paciente · oposición procede + supresión tratamiento + documentación. (5) Si balancing test desfavorable paciente · oposición no procede + respuesta motivada documentada paciente + información derecho reclamación AEPD. (6) Plazo respuesta 30 días Art. 12 RGPD + 60 ampliable si complejidad. Casos típicos clínica privada · (1) Oposición tratamiento datos analíticas web finalidad mejora servicios · típicamente paciente puede oponerse efectivamente porque alternativa cookies opt-in suficiente. (2) Oposición tratamiento datos finalidad envío newsletter informativo no comercial · típicamente paciente puede oponerse porque interés legítimo informativo no prevalece preferencia paciente. (3) Oposición tratamiento datos finalidad investigación científica interna no autorizada paciente · típicamente paciente puede oponerse salvo investigación específica autorizada ética. (4) Oposición tratamiento datos finalidad gestión administrativa clínica (facturación pendientes · gestión reservas · etc.) · típicamente NO procede oposición porque finalidad imprescindible relación contractual asistencial vigente. (5) Oposición tratamiento datos seguridad informática prevención fraude · típicamente NO procede oposición porque interés legítimo seguridad y protección bienes jurídicos terceros prevalece. (6) Oposición uso datos contacto emergencias clínicas · típicamente NO procede oposición porque interés vital paciente + bienes jurídicos protección. Plantilla balancing test documentado mínima · (a) Identificación tratamiento concreto + base licitud Art. 6.1.f + finalidad específica. (b) Necesidad tratamiento + proporcionalidad alternativas evaluadas. (c) Motivos específicos alegados paciente solicitud oposición. (d) Impacto razonable paciente continuación tratamiento + medidas mitigación si proceden. (e) Salvaguardas implementadas protección datos paciente. (f) Expectativas razonables paciente momento aceptación servicios clínica. (g) Comparación interés legítimo responsable vs derechos fundamentales paciente. (h) Decisión motivada · oposición procedente vs improcedente. (i) Información paciente derecho reclamación AEPD si discrepa. Documentación obligatoria audit balancing test mínimo 5 años conservación · disponible inspección AEPD si requiere.

5. Plazo 30 días respuesta · cómputo + ampliación

El plazo respuesta oposición paciente es 1 mes desde recepción solicitud según Art. 12.3 RGPD · ampliable hasta 2 meses adicionales (3 meses total) si complejidad o número solicitudes lo justifica. Cómputo exacto plazo · (1) Día inicial · día siguiente recepción solicitud formal paciente · ejemplo · solicitud recibida martes 14 mayo → plazo empieza miércoles 15 mayo. (2) Día final · mismo día numérico mes siguiente · ejemplo · plazo 1 mes desde 15 mayo termina 15 junio. Si día siguiente mes no existe (ejemplo · 31 enero + 1 mes = 28/29 febrero) cómputo último día mes. (3) Si día final cae sábado · domingo · festivo nacional · autonómico o local · plazo prorroga primer día hábil siguiente. (4) Festividades autonómicas y locales aplican según ubicación clínica responsable tratamiento. (5) Verano · plazos no se interrumpen agosto · pero gestión vacaciones recepción / DPO puede generar respuestas tardías · clínica debe planificar cobertura interna. (6) Recepción válida solicitud puede ser email DPO · email general clínica · formulario web ejercicio derechos · postal · presencial firmada · respuesta directa "STOP" canal comunicación · cualquier canal documentado clínica disponible paciente. Especificidad oposición marketing Art. 21.2 · plazo respuesta 30 días aplica formalmente pero supresión activa lista marketing debe ser inmediata · no esperar 30 días iniciar supresión técnica · respuesta formal paciente confirmando supresión puede emitirse plazo 30 días. Ampliación plazo 60 días adicionales · puede aplicarse cuando · (1) Complejidad oposición justifica · ejemplo · oposición interés legítimo requiere balancing test elaborado con consulta servicios jurídicos. (2) Volumen oposiciones acumuladas momento concreto · ejemplo · post-campaña marketing extensa con oleada opt-outs requiere procesamiento ordenado. (3) Verificación identidad complicada requiere documentación adicional paciente. Procedimiento ampliación · clínica DEBE comunicar paciente dentro plazo inicial 30 días · ampliación + motivo específico + nuevo plazo definitivo · si no comunica oportunamente pierde derecho ampliación y queda en infracción. Riesgo incumplimiento plazo · sanción AEPD probable 10.000-50.000 € sector clínico privado documentado + posibilidad reclamación civil paciente daño moral 500-5.000 € casos típicos cuando comunicaciones marketing post-oposición continuadas + posibilidad propio cliente boca a boca negativo significativo.

6. Diferenciación oposición vs revocación consentimiento

La distinción correcta entre oposición Art. 21 RGPD vs revocación consentimiento Art. 7.3 RGPD es crítica procesar adecuadamente solicitud paciente · ambos derechos válidos pero régimen jurídico diferente con implicaciones operativas y legales distintas. Diferencias clave · (1) Base licitud tratamiento opuesto · oposición Art. 21 aplica tratamientos base interés legítimo Art. 6.1.f o misión interés público Art. 6.1.e (Art. 21.1) o marketing directo cualquier base (Art. 21.2-3) o investigación científica (Art. 21.6). Revocación Art. 7.3 aplica EXCLUSIVAMENTE tratamientos base consentimiento Art. 6.1.a o Art. 9.2.a categoría especial salud. (2) Motivación requerida · oposición Art. 21.1 interés legítimo requiere motivos relacionados situación particular paciente · oposición Art. 21.2 marketing directo NO requiere motivos · revocación Art. 7.3 NO requiere motivos. (3) Efectos · oposición procedente cesa tratamiento futuro · revocación cesa tratamiento futuro pero NO afecta licitud tratamientos previos al consentimiento. (4) Evaluación responsable tratamiento · oposición Art. 21.1 requiere balancing test · oposición Art. 21.2 marketing automática · revocación Art. 7.3 automática efecto inmediato. (5) Procedimiento operativo · oposición Art. 21.1 puede denegarse motivadamente balancing test favorable responsable · oposición Art. 21.2 + revocación NUNCA pueden denegarse. Casos típicos clasificación errónea clínica privada · (1) Paciente expresa "retiro mi consentimiento marketing" → es revocación Art. 7.3 (si marketing base consentimiento) NO oposición Art. 21.2 · efecto práctico mismo (cesar marketing) pero régimen jurídico distinto importante audit trail correcto. (2) Paciente expresa "no quiero más comunicaciones marketing" → es oposición Art. 21.2 (técnicamente derecho oposición marketing directo) · efecto idéntico. (3) Paciente expresa "no autorizo más uso mis datos para investigación" → si base consentimiento es revocación Art. 7.3 · si base interés público es oposición Art. 21.6. (4) Paciente expresa "no quiero analíticas web" → es oposición Art. 21.1 interés legítimo · requiere balancing test típicamente favorable paciente. Implicación práctica clasificación · (1) Audit trail debe distinguir clasificación legal correcta solicitud · facilita defensa eventual inspección AEPD. (2) Procedimiento interno debe rutear solicitud canal procesamiento adecuado régimen aplicable. (3) Comunicación respuesta paciente debe citar base legal correcta · profesionalidad + transparencia. (4) Plantilla respuesta debe ser específica régimen ejercido · oposición vs revocación. Recomendación operativa · staff formado clasificación correcta + responsable DPO supervisa casos dudosos + plantillas respuesta separadas oposición vs revocación + audit trail distingue tipo solicitud cada caso.

7. Interacción Ley 41/2002 · obligación conservación historia clínica

La oposición tratamiento datos historia clínica paciente interacciona específicamente con obligación legal conservación documentación clínica Ley 41/2002 · base licitud "obligación legal" Art. 6.1.c RGPD NO admite oposición Art. 21 RGPD (Art. 21 aplica solo bases interés legítimo + misión interés público + marketing). Principios consolidados doctrina AEPD + jurisprudencia · (1) Conservación historia clínica obligación legal Ley 41/2002 Art. 17 mínimo 5 años post-última atención + autonómicas pueden ampliar (Catalunya 15-20 años · Andalucía 5 años · Madrid 5 años · etc.). (2) Base licitud conservación historia clínica · obligación legal Art. 6.1.c RGPD + datos categoría especial salud Art. 9.2.h fines medicina preventiva + diagnóstico + tratamiento + gestión sistema asistencial. (3) Paciente NO puede oponerse Art. 21 conservación historia clínica durante plazo obligatorio · base licitud no admite oposición. (4) Paciente puede oponerse usos secundarios datos historia clínica NO base obligación legal · ejemplo · investigación científica interna sin autorización ética · marketing · estadísticas comerciales · cesión terceros voluntaria. (5) Pasado plazo obligación legal conservación · paciente puede solicitar supresión Art. 17 RGPD datos historia clínica. (6) Excepción · datos imprescindibles defensa eventual reclamaciones responsabilidad civil profesional plazos prescripción pueden ampliarse mantenimiento limitado bloqueo Art. 32 LOPDGDD. Casos típicos clínica privada · (1) Paciente solicita "borrad mi historia clínica" · respuesta motivada clínica explicando obligación legal conservación plazo restante + supresión efectiva paso plazo legal + ofrecimiento oposición usos secundarios paralelos. (2) Paciente solicita "no uséis mis datos clínicos investigación" · típicamente procedente oposición Art. 21 + supresión inclusión investigación + conservación datos finalidad asistencial continúa. (3) Paciente solicita "no ceded mis datos seguro" · si cesión base consentimiento contrato seguro → revocación Art. 7.3 procede + comunicación seguro · si cesión base obligación legal → puede no proceder oposición. (4) Paciente solicita "no compartáis mis datos con laboratorio análisis" · si compartición imprescindible asistencia → NO procede oposición porque base relación contractual asistencial + interés vital paciente · clínica debe explicar al paciente. (5) Paciente fallecido familia solicita oposición tratamientos datos · régimen específico Art. 3 LOPDGDD herederos + Art. 18 personas vinculadas · plazos específicos + restricciones. Comunicación paciente cuando oposición no procede obligación legal · respuesta motivada + cita normativa específica + información derecho reclamación AEPD si discrepa + ofrecimiento alternativas si proceden (ejemplo · supresión usos secundarios paralelos no obligados ley).

8. Verificación identidad solicitante · evitar fraude

La verificación identidad solicitante oposición es responsabilidad clínica responsable tratamiento · suprimir comunicaciones / tratamientos solicitud persona no autorizada puede ser fraude facilitado + posible incumplimiento principio exactitud datos. Métodos verificación identidad aceptables · (1) Petición presencial paciente clínica · presentar DNI / NIE / pasaporte vigente + firma documento solicitud + fotocopia documento archivada · más sencillo y seguro · recomendado oposiciones afectan tratamientos sensibles. (2) Petición telemática email o formulario web · debe contener datos identificación paciente completos · respuesta solicitud entregada misma dirección email registrada paciente histórica activa verificable (criterio AEPD admite si email reciente verificable). (3) Petición postal · documento firma manuscrita + copia DNI/NIE/pasaporte + dirección postal coincidente registrada paciente. (4) Respuesta directa "STOP" mensaje WhatsApp / SMS desde número paciente registrado · verificación implícita propiedad línea telefónica + suficiente oposición marketing limitada canal específico. (5) Click unsubscribe link email enviado dirección paciente · verificación implícita propiedad email + suficiente oposición canal específico. (6) Petición vía representante legal · ejemplo · abogado paciente · familiar autorizado mediante poder · debe acreditar representación documento poder específico + identificación representante + identificación representado. (7) Petición vía representante paciente menor edad · padre/madre/tutor legal · presentación libro familia + DNI representante + DNI/identificación menor + acreditación patria potestad/tutela vigente. Criterios verificación insuficiente que generan riesgo · (1) Email cualquiera sin verificación adicional contra registro histórico clínica · alguien externo conoce email paciente puede solicitar oposición fraudulenta (intencionalidad maliciosa rara pero documentada casos específicos). (2) Llamada telefónica sin protocolo verificación robusto (preguntas seguridad documento registro histórico + último tratamiento + última factura · etc.). (3) Solicitud verbal recepcionista sin documentación firmada. (4) DNI escaneado calidad insuficiente · no verificable autenticidad. Buena práctica · oposición marketing limitada canal específico verificación simplificada aceptable (STOP WhatsApp · click unsubscribe email · etc.) · oposición compleja tratamientos interés legítimo requiere verificación robusta + balancing test elaborado + documentación amplia. Cualquier petición oposición debe documentarse audit trail completo independientemente método verificación · trazabilidad responsabilidad y defensa eventual reclamaciones.

9. Granularidad oposición · canales + finalidades específicas

La granularidad oposición paciente debe respetarse específicamente solicitud · paciente puede oponerse específicamente canal comunicación + tipo finalidad específica + mantener consentimientos otros canales / finalidades distintos · automatización inadecuada agrega oposiciones generando supresión excesiva o insuficiente. Granularidad típica oposiciones paciente clínica · (1) Canal específico · oposición email marketing pero acepta WhatsApp operativo + recordatorios cita SMS · oposición SMS comerciales pero acepta email newsletter + WhatsApp operativo · oposición llamadas teléfono pero acepta digital. (2) Finalidad específica · oposición newsletter mensual + reactivación inactivos pero acepta confirmación cita + recordatorio cita + información clínica administrativa · oposición campañas comerciales servicios adicionales pero acepta comunicaciones tratamiento actual curso · oposición investigación científica pero acepta tratamiento finalidad asistencial. (3) Periodicidad temporal · oposición temporal vacaciones · oposición indefinida total. (4) Tipo contenido · oposición contenido marketing pero acepta contenido informativo educativo · oposición seguimiento postoperatorio detallado pero acepta confirmaciones operativas administrativas. Procedimiento operativo respeto granularidad · (1) Formulario oposición clínica debe permitir granularidad específica · checkboxes específicas canal + finalidad · NO oposición todo/nada simplista. (2) Sistema CRM clínica debe permitir flags granulares consentimientos / oposiciones · campo específico cada canal + cada finalidad. (3) Workflows marketing automation deben verificar flags granulares antes envío cada comunicación · NO solo flag general "marketing OK". (4) Confirmación paciente debe detallar específicamente qué se suprime + qué se mantiene + facilitar modificaciones posteriores. (5) Audit trail debe registrar específicamente granularidad oposición ejercida. Errores frecuentes · (1) Suprimir TODO marketing cuando paciente solo solicita email marketing · supresión excesiva pierde oportunidad relación paciente preferiría mantener WhatsApp. (2) Suprimir SOLO email cuando paciente claramente expresa "no quiero ningún tipo marketing" · supresión insuficiente continúa WhatsApp / SMS marketing post-oposición. (3) Aplicar oposición un tipo cuenta paciente pero NO sistema secundario CRM o plataforma email marketing tercera (encargado tratamiento) · comunicación continúa canal aislado. (4) Periodicidad temporal mal procesada · paciente expresa oposición temporal vacaciones pero clínica aplica indefinida o viceversa. Recomendación práctica · clínica debe disponer formulario gestión preferencias comunicación accesible paciente portal paciente o solicitud directa · paciente modifica granularmente preferencias cualquier momento + sistema CRM aplica automáticamente cambios.

10. Sanciones AEPD documentadas · rangos + casos reales

Las sanciones AEPD por incumplimiento derecho oposición Art. 21 RGPD son frecuentes sector clínico privado España · y la AEPD publica resoluciones públicas accesibles consultables. Tipología infracciones + rangos sanciones · (1) Continuación comunicaciones marketing post-oposición Art. 21.2 RGPD · Art. 83.5.b RGPD · hasta 20.000.000 € o 4% facturación anual. Documentadas sector clínico 10.000-100.000 € casos típicos clínica privada según volumen comunicaciones + persistencia. (2) Denegación oposición Art. 21.1 interés legítimo sin balancing test documentado · 20.000-75.000 € casos típicos. (3) Plazo incumplido sin ampliación motivada · 5.000-30.000 € casos típicos. (4) Verificación identidad inadecuada generando supresión datos paciente legítimo fraude tercero · 15.000-60.000 € casos típicos. (5) Confusión oposición vs revocación procesamiento incorrecto régimen · 5.000-20.000 €. (6) Falta procedimiento documentado tratamiento oposiciones derechos paciente · 5.000-30.000 €. (7) Audit trail inexistente o incompleto oposiciones · 5.000-25.000 €. (8) Granularidad oposición no respetada (suprimir excesivo o insuficiente) · 5.000-25.000 €. Casos documentados últimos años · expediente AEPD 75.000 € clínica estética Madrid por continuación email marketing 8 meses post-oposición paciente reiterada · expediente AEPD 45.000 € clínica dental cadena Barcelona por procesamiento incorrecto oposición clasificándola revocación consentimiento sin distinguir + plazo 30 días incumplido reiteradamente · expediente AEPD 30.000 € clínica medicina estética Valencia por denegación oposición Art. 21.1 tratamiento datos analíticas web sin balancing test documentado · expediente AEPD 25.000 € clínica oftalmología grupo Madrid por continuación llamadas telefónicas comerciales post-oposición + inclusión Lista Robinson ignorada · expediente AEPD 12.000 € clínica dermatología Sevilla por granularidad oposición no respetada (paciente opuso SOLO SMS marketing pero clínica suprimió todo perdiendo email funcional). Adicionalmente · publicación resolución sancionatoria boletín BOAEPD genera daño reputacional permanente difícil cuantificar pero significativo · acceso público pacientes potenciales conocer infracciones previas clínica.

11. Plantilla procedimiento operativo POE recomendada

• Recepción solicitud oposición · canal recibido + fecha + responsable recibió
• Clasificación legal correcta · oposición Art 21.1 / 21.2 / 21.6 / revocación Art 7.3
• Verificación identidad solicitante · método adecuado complejidad solicitud
• Determinación base licitud tratamiento afectado · obligación legal vs interés legítimo vs consentimiento
• Si oposición marketing Art 21.2 · supresión inmediata automática absoluta + confirmación
• Si oposición interés legítimo Art 21.1 · elaboración balancing test documentado por DPO
• Si revocación consentimiento Art 7.3 · supresión inmediata efecto futuro + audit trail
• Si oposición conservación obligación legal · respuesta motivada explicando + ofrecimiento alternativas
• Asignación responsable interno procesamiento · DPO + responsable clínica + auxiliar autorizado
• Granularidad oposición respetada · checkboxes específicas canal + finalidad procesadas correctamente
• Comunicación intermedia paciente · acuse recibo + aclaraciones + ampliación plazo si aplica
• Ejecución supresión sistemas internos · CRM + plataforma marketing + WhatsApp + email + SMS
• Notificación encargados tratamiento Art 28 RGPD afectados · plataforma email marketing tercera
• Respuesta formal paciente · resultado oposición + base legal + información derecho AEPD si denegación
• Archivo expediente completo audit trail mínimo 5 años conservación
• Métricas internas trimestrales · número oposiciones · tiempo medio respuesta · % cumplimiento plazo
• Revisión periódica anual procedimiento por DPO · oportunidades mejora + actualizaciones normativas

12. Checklist auditoría interna anual procedimiento

• Procedimiento operativo POE oposición documentado actualizado mínimo 2 años
• Staff formado distinguir oposición Art 21 vs revocación Art 7.3 · certificado formación
• Sistema CRM con flags granulares consentimientos / oposiciones funcionando · log accesible auditoría
• Workflows marketing verifican flags granulares antes envío cada comunicación
• Plantillas comunicación paciente predefinidas legal · acuse recibo + respuesta + denegación motivada
• Documentación balancing test estándar oposiciones interés legítimo disponible
• Revisión muestra aleatoria 10 oposiciones último año · verificación cumplimiento procedimiento
• Revisión solicitudes pendientes plazo no vencido · seguimiento activo
• Revisión solicitudes denegadas / parciales · adecuación motivación legal documentada
• Métricas agregadas año · número oposiciones + tiempos respuesta + % cumplimiento
• Identificación tipo solicitudes recurrentes · oportunidad mejora calidad consentimientos origen
• Verificación funcionamiento canal recepción solicitudes (email DPO · formulario web · STOP WhatsApp)
• Verificación información política privacidad publicada clínica derecho Art. 21 + canal ejercicio
• Verificación encargados tratamiento marketing terceros respetan oposiciones comunicadas
• Acciones correctoras identificadas + plan implementación + responsable + plazo

Recursos relacionados · derecho rectificación Art 16 RGPD · política privacidad · política retención datos · compliance roadmap.