RGPD derecho portabilidad paciente Art 20 clínica · cómo gestionar 2026

1. Marco normativo · RGPD Art 20 + LOPDGDD + Ley 41/2002

El derecho portabilidad datos paciente clínica privada España 2026 está regulado por capa normativa específica con interacciones particulares sector sanitario que requieren comprensión cuidadosa cada actor responsable tratamiento. (1) Reglamento General Protección Datos UE 2016/679 RGPD · Art. 20 derecho portabilidad datos personales · derecho específico recibir datos formato estructurado + uso común + lectura mecánica + transmitir otro responsable sin obstáculos · ámbito aplicación restringido tratamientos base consentimiento Art. 6.1.a o ejecución contrato Art. 6.1.b + efectuados medios automatizados. (2) Art. 12 RGPD ejercicio derechos · plazo 30 días respuesta ampliable 60 días + medios facilitar ejercicio + información estado solicitud. (3) Art. 5 RGPD principios tratamiento · principio minimización + exactitud + integridad + confidencialidad aplicables proceso portabilidad. (4) Art. 32 RGPD seguridad tratamiento · medidas técnicas organizativas adecuadas + cifrado datos especialmente datos categoría especial salud Art. 9 transmisión electrónica. (5) Ley Orgánica 3/2018 LOPDGDD · Art. 17 derecho portabilidad + Art. 32 medidas seguridad sector sanitario específicas. (6) Ley 41/2002 autonomía paciente · obligaciones conservación historia clínica mínimo 5 años post-última atención (autonómicas pueden ampliar Catalunya 15-20 años · Andalucía 5 años · Madrid 5 años) + criterios acceso historia clínica + transmisión profesional otro centro continuidad asistencial · NO confundible con portabilidad RGPD (régimen jurídico distinto pero potencialmente concurrente solicitudes paciente). (7) Real Decreto 1093/2010 conjunto mínimo datos historia clínica digital · estándares específicos interoperabilidad nacional Sistema Nacional Salud potencialmente referenciables formato portabilidad. (8) Reglamento Europeo Servicios Digitales DSA + Reglamento Mercados Digitales DMA · interactúan portabilidad servicios digitales específicos no aplicables directamente clínica privada típicamente. (9) Guidelines 8/2020 European Data Protection Board EDPB derecho portabilidad · criterios interpretativos europeos consolidados aplicables sector sanitario. (10) Criterios interpretativos AEPD Agencia Española Protección Datos · resoluciones sancionadoras clarificadoras específicas portabilidad + circulares + informes anuales jurisprudencia consolidada. Aplicación operativa clínica privada · cualquier solicitud paciente expresada como "quiero copia mis datos para llevarlos otra clínica" / "necesito portabilidad mis datos" / "envíame todo lo que tenéis sobre mí en formato digital" requiere clasificación correcta como portabilidad Art. 20 RGPD vs acceso Art. 15 RGPD vs solicitud específica historia clínica Ley 41/2002 + procesamiento adecuado régimen específico aplicable.

2. Ámbito aplicación · qué datos están sujetos portabilidad

El ámbito aplicación derecho portabilidad Art. 20 RGPD es específicamente restringido · solo aplica datos que cumplen simultáneamente 3 criterios + categoría datos específica · clínica privada debe identificar correctamente qué datos historia clínica + datos administrativos están sujetos vs excluidos. Criterios acumulativos aplicación Art. 20 RGPD · (1) Criterio base licitud · tratamiento basado consentimiento explícito Art. 6.1.a RGPD o Art. 9.2.a RGPD categoría especial + tratamientos basados ejecución contrato Art. 6.1.b RGPD. NO aplica tratamientos basados obligación legal Art. 6.1.c + interés vital Art. 6.1.d + misión interés público Art. 6.1.e + interés legítimo Art. 6.1.f. (2) Criterio modo tratamiento · datos tratados medios automatizados (sistemas digitales · CRM · PMS clínico digital · email · WhatsApp · etc.). NO aplica datos tratados manualmente sin sistemas automatizados (archivos físicos papel tradicional exclusivamente). (3) Criterio origen datos · datos proporcionados directamente paciente interesado responsable tratamiento. Incluye (a) datos suministrados activamente paciente · formularios + cuestionarios + comunicaciones + fotografías subidas · y (b) datos observados generados actividad paciente · historial citas + comunicaciones · pero NO incluye (c) datos derivados inferidos por responsable tratamiento mediante análisis · diagnósticos médicos elaborados profesional + planes tratamiento elaborados + evaluaciones clínicas + perfiles riesgo elaborados. Categorías datos típicas clínica privada análisis aplicación · (1) Datos identificativos paciente proporcionados · nombre + apellidos + DNI + fecha nacimiento + dirección + teléfono + email + sexo + etc. SUJETO portabilidad base consentimiento o contrato. (2) Datos clínicos proporcionados paciente · síntomas reportados + antecedentes médicos suministrados + alergias declaradas + medicación actual reportada + información personal salud proporcionada cuestionarios. SUJETO portabilidad. (3) Fotografías + imágenes suministradas paciente · selfies + fotografías zona tratamiento previa atención. SUJETO portabilidad. (4) Historial citas + comunicaciones WhatsApp/email paciente clínica · datos observados generados actividad paciente. SUJETO portabilidad base contrato asistencial. (5) Pagos efectuados paciente + recibos + facturas emitidas. SUJETO portabilidad base contrato. (6) Datos categoría especial salud Art. 9 paciente · análisis sangre + radiografías + diagnósticos + tratamientos indicados profesional + planes tratamiento elaborados · DEPENDE · análisis + radiografías proporcionadas paciente externamente SUJETO + análisis radiografías realizadas clínica + diagnósticos profesional elaborados + planes tratamiento NO SUJETO (datos derivados análisis profesional NO suministrados directamente paciente). (7) Notas clínicas profesional médico · observaciones + diagnóstico diferencial + razonamiento clínico. NO SUJETO portabilidad (datos derivados análisis profesional). (8) Datos categoría especial salud base obligación legal conservación Ley 41/2002. NO SUJETO portabilidad Art. 20 (base licitud no aplica) · pero sí derecho acceso Art. 15 RGPD + derecho transmisión profesional otro centro continuidad asistencial Ley 41/2002. Implicación práctica · clínica debe separar técnicamente datos sujetos portabilidad vs NO sujetos cada solicitud + exportar específicamente datos aplicables Art. 20 + documentar exclusiones motivadas datos NO aplicables.

3. Tabla clasificación datos clínica · sujetos vs excluidos portabilidad

4. Formato estructurado machine-readable · JSON / XML / CSV obligatorio

El criterio "formato estructurado · uso común · lectura mecánica" Art. 20.1 RGPD es requisito esencial cumplimiento portabilidad · entrega formato no estructurado (PDF imagen escaneada · documento Word texto plano sin estructura · captura pantalla · etc.) NO cumple Art. 20 + constituye infracción sancionable. Criterios formato aceptable EDPB Guidelines 8/2020 + AEPD · (1) Formato estructurado · datos organizados campos identificables consistentes + estructura jerárquica clara + relaciones entre campos definidas. JSON + XML + CSV cumplen + PDF estructurado con marcado semántico cumple parcialmente. (2) Uso común · formato ampliamente adoptado industria + soportado herramientas estándar mercado + NO formato propietario específico vendor sin alternativas. JSON + XML + CSV cumplen ampliamente · formatos PMS propietarios típicamente NO cumplen. (3) Lectura mecánica · permite procesamiento automatizado sin intervención humana + interpretable software estándar. JSON + XML + CSV cumplen + Excel XLSX cumple parcialmente + PDF escaneado imagen NO cumple. Formatos recomendados específicos clínica privada · (1) JSON JavaScript Object Notation · estándar moderno ampliamente soportado + estructura jerárquica clara + procesable casi cualquier software desarrollo + recomendado primer opción. Ejemplo estructura · { "paciente":{ "id": "12345", "nombre": "...", "apellidos": "...", "fecha_nacimiento": "AAAA-MM-DD", "contacto": { "email": "...", "telefono": "..." } }, "citas": [{"fecha": "...", "profesional": "...", "servicio": "..."}], "comunicaciones": [...], "pagos": [...] }. (2) XML eXtensible Markup Language · estándar maduro + estructura jerárquica + ampliamente soportado + verbose vs JSON pero válido. (3) CSV Comma Separated Values · formato tabular simple + máxima compatibilidad herramientas + adecuado datos planos sin jerarquía compleja + requiere múltiples ficheros datos relacionados (paciente.csv + citas.csv + pagos.csv) + esquema relacional documentado. (4) HL7 FHIR Fast Healthcare Interoperability Resources · estándar específico sanitario internacional + máxima recomendación interoperabilidad sector salud + complejidad implementación alta + requiere herramientas específicas + recomendable clínicas grandes infraestructura técnica desarrollada. (5) PDF / A estructurado con marcado semántico · aceptable parcialmente datos textuales + NO recomendado datos estructurados como alternativa principal. Formatos NO aceptables específicamente · (1) PDF imagen escaneada · NO estructurado + NO machine-readable + infracción clara. (2) Word documento texto plano sin estructura · NO machine-readable típicamente. (3) Captura pantalla imagen · NO formato + NO estructurado. (4) Formato propietario PMS clínico específico sin documentación esquema accesible · NO uso común + NO machine-readable terceros. (5) Email texto plano + adjuntos desordenados · NO estructurado. Documentación esquema obligatoria entrega · cualquier formato exportado debe incluir documentación esquema datos · diccionario campos + tipos datos + relaciones + significado cada campo · paciente y nuevo responsable pueden interpretar datos correctamente. Recomendación práctica clínica privada principiante · JSON + diccionario datos + cifrado AES-256 transmisión + verificación entrega exitosa.

5. Plazo 30 días respuesta · cómputo + ampliación motivada

El plazo respuesta solicitud portabilidad paciente es 1 mes desde recepción solicitud según Art. 12.3 RGPD · ampliable hasta 2 meses adicionales (3 meses total) si complejidad o número solicitudes lo justifica + comunicación motivada paciente. Cómputo exacto plazo · (1) Día inicial · día siguiente recepción solicitud formal paciente · ejemplo · solicitud recibida martes 14 mayo → plazo empieza miércoles 15 mayo. (2) Día final · mismo día numérico mes siguiente · ejemplo · plazo 1 mes desde 15 mayo termina 15 junio. Si día numérico no existe (ejemplo · 31 enero + 1 mes = 28/29 febrero) cómputo último día mes. (3) Si día final cae sábado · domingo · festivo nacional · autonómico o local · plazo prorroga primer día hábil siguiente. (4) Festividades autonómicas y locales aplican según ubicación clínica responsable tratamiento. (5) Verano · plazos no se interrumpen agosto · pero gestión vacaciones recepción / DPO puede generar respuestas tardías · clínica debe planificar cobertura interna. (6) Recepción válida solicitud puede ser email DPO · email general clínica · formulario web ejercicio derechos · postal · presencial firmada · cualquier canal documentado clínica disponible paciente. Ampliación plazo 60 días adicionales · puede aplicarse cuando · (1) Volumen datos solicitados extenso · paciente larga relación clínica con miles registros datos requiere extracción procesamiento intensivo. (2) Complejidad técnica formato específico solicitado · paciente solicita formato HL7 FHIR que clínica debe desarrollar exportador específico. (3) Múltiples sistemas internos datos paciente distribuidos · PMS + CRM + plataforma email + WhatsApp + sistema facturación · requieren extracción coordinada múltiples sistemas. (4) Verificación identidad complicada requiere documentación adicional paciente. (5) Volumen solicitudes acumuladas momento concreto. Procedimiento ampliación · clínica DEBE comunicar paciente dentro plazo inicial 30 días · ampliación + motivo específico + nuevo plazo definitivo · si no comunica oportunamente pierde derecho ampliación y queda en infracción. Riesgo incumplimiento plazo · sanción AEPD probable 10.000-50.000 € sector clínico privado documentado + posibilidad reclamación civil paciente daño moral + posibilidad propio cliente boca a boca negativo significativo. Es buena práctica · acuse recibo automático solicitud paciente dentro 7 días + comunicación intermedia 15 días + entrega final dentro 30 días salvo ampliación motivada. Plantilla acuse recibo recomendada · "Estimado paciente · acusamos recibo solicitud portabilidad datos personales presentada [fecha] · referencia expediente [código] · plazo respuesta máximo [fecha + 30 días] · contactaremos durante proceso cualquier aclaración necesaria. Atentamente · Responsable Protección Datos clínica".

6. Interacción Ley 41/2002 · historia clínica obligación conservación

La portabilidad datos historia clínica paciente interacciona específicamente con obligación legal conservación documentación clínica Ley 41/2002 · NO confundir portabilidad Art. 20 RGPD con derecho específico historia clínica Ley 41/2002 + régimen jurídico diferenciado pero potencialmente concurrente solicitud paciente. Principios distinción · (1) Portabilidad Art. 20 RGPD aplica datos base consentimiento o contrato + datos suministrados paciente + datos observados actividad paciente · NO aplica datos base obligación legal conservación (Ley 41/2002 base obligación legal Art. 6.1.c RGPD excluida Art. 20). (2) Derecho historia clínica Ley 41/2002 Art. 18 paciente puede solicitar copia completa historia clínica + Art. 19 conservación mínimo 5 años post-última atención + Art. 20 transmisión otro centro continuidad asistencial. (3) Ambos derechos pueden ejercerse simultáneamente con régimen distinto · paciente puede solicitar (a) portabilidad Art. 20 RGPD datos sujetos + (b) copia historia clínica Ley 41/2002 datos derivados profesional excluidos Art. 20. (4) Formato entrega distinto · portabilidad Art. 20 estructurado machine-readable obligatorio + copia historia clínica Ley 41/2002 formato libre habitualmente PDF aceptable · paciente puede solicitar formato específico cualquiera. (5) Plazo entrega distinto · portabilidad 30 días Art. 12 RGPD + copia historia clínica plazos autonómicos específicos típicamente 30 días + criterios excepcionales más cortos urgencia médica. Recomendación operativa procesamiento solicitud paciente · (1) Analizar qué solicita exactamente paciente · "quiero copia mis datos para llevarlos otra clínica" puede ser portabilidad + Ley 41/2002 simultáneamente. (2) Comunicar paciente clarificación opciones disponibles · derecho portabilidad datos específicos + derecho copia historia clínica completa + derecho transmisión profesional otro centro · paciente puede elegir uno + ambos · clarificación evita confusión expectativas. (3) Procesar régimen aplicable cada parte solicitud · datos sujetos portabilidad en formato estructurado machine-readable + datos historia clínica obligación legal en formato copia historia clínica habitual Ley 41/2002. (4) Documentar separadamente expediente cada derecho ejercido + fechas + formato entregado + audit trail. (5) Comunicación clara paciente entrega final · "adjuntamos (a) datos sujetos portabilidad Art. 20 RGPD formato JSON estructurado + (b) copia historia clínica completa Ley 41/2002 formato PDF + (c) si solicita transmisión profesional otro centro continuidad asistencial indique nombre + datos contacto profesional receptor". Casos típicos clínica privada · (1) Paciente cambia clínica zona + solicita "datos llevar nueva clínica" · típicamente portabilidad + transmisión continuidad asistencial. (2) Paciente requiere segunda opinión profesional + solicita "datos analizados otro doctor" · típicamente copia historia clínica + transmisión profesional. (3) Paciente investigación legal médica + solicita "todo expediente médico" · típicamente copia historia clínica completa Ley 41/2002. (4) Paciente preocupación privacidad + solicita "qué datos tenéis sobre mí formato manipulable" · típicamente portabilidad + acceso Art. 15. Cada caso régimen distinto aplicable + comunicación clarificación opciones evita procesamiento incorrecto + queja paciente posterior.

7. Verificación identidad solicitante · evitar fraude datos salud

La verificación identidad solicitante portabilidad datos paciente es responsabilidad crítica clínica responsable tratamiento · entrega datos categoría especial salud Art. 9 paciente equivocado puede ser fraude facilitado + filtración datos sensibles + incumplimiento Art. 32 RGPD seguridad tratamiento + sanción muy alta. Métodos verificación identidad aceptables portabilidad · (1) Petición presencial paciente clínica · presentar DNI / NIE / pasaporte vigente + firma documento solicitud + fotocopia documento archivada audit + entrega física soporte cifrado pendrive USB con cifrado AES-256 + contraseña verbal comunicada momento entrega · método más seguro recomendado datos sensibles. (2) Petición telemática email firmado electrónicamente · sistema certificado digital + Cl@ve + DNIe certificado + solicitud firmada electrónicamente válida prueba identidad robusta + entrega vía email cifrada PGP o canal seguro autenticado. (3) Petición vía formulario web identificación robusta · sistema portal paciente acceso autenticado contraseña + 2FA + solicitud presentada autenticada + entrega vía descarga portal autenticado cifrada. (4) Petición postal · documento firma manuscrita + copia DNI/NIE/pasaporte + dirección postal coincidente registrada paciente + entrega postal certificada soporte cifrado físico + contraseña separada comunicación independiente. (5) Petición vía representante legal · ejemplo · abogado paciente · familiar autorizado mediante poder notarial · debe acreditar representación documento poder específico + identificación representante + identificación representado + verificación adicional caso datos especialmente sensibles. (6) Petición vía representante paciente menor edad · padre/madre/tutor legal · presentación libro familia + DNI representante + DNI/identificación menor + acreditación patria potestad/tutela vigente + consideración madurez menor + criterios consentimiento Art. 7 LOPDGDD (mayores 14 años autonomía respecto datos personales habitualmente). Criterios verificación insuficiente generan riesgo · (1) Email cualquiera sin verificación adicional contra registro histórico clínica · alguien externo conoce email paciente puede solicitar portabilidad fraudulenta. (2) Llamada telefónica sin protocolo verificación robusto (preguntas seguridad documento registro histórico + último tratamiento + última factura · etc.). (3) Solicitud verbal recepcionista sin documentación firmada. (4) DNI escaneado calidad insuficiente · no verificable autenticidad + posibilidad falsificación digital. Buena práctica · portabilidad datos clínica privada SIEMPRE requiere verificación identidad robusta · alternativa acceso Art. 15 RGPD puede tolerar verificación más simplificada. Documentación verificación · método específico aplicado + documentación recogida + persona verificó + fecha verificación + archivo expediente. En caso duda razonable identidad · responsable tratamiento PUEDE solicitar información adicional verificación Art. 12.6 RGPD + plazo respuesta queda suspendido hasta verificación completada · comunicación clara paciente motivo solicitud información adicional.

8. Seguridad transmisión · cifrado obligatorio datos salud

La seguridad transmisión datos portabilidad es responsabilidad crítica clínica · datos categoría especial salud Art. 9 RGPD requieren medidas técnicas organizativas reforzadas Art. 32 RGPD + LOPDGDD + violación seguridad transmisión genera obligación notificación AEPD 72h + posiblemente paciente + sanción muy alta. Medidas seguridad obligatorias transmisión portabilidad · (1) Cifrado datos contenido · cifrado simétrico AES-256 mínimo recomendado datos categoría especial salud + algoritmos aprobados ENISA/ENS + clave robusta longitud mínima 32 caracteres aleatoria. (2) Cifrado transmisión canal · TLS 1.3 mínimo conexiones telemáticas + HTTPS obligatorio formularios web + protocolos seguros canal email PGP o S/MIME si email + envío vía portal paciente autenticado preferido. (3) Soporte físico si transmisión presencial · pendrive USB cifrado hardware + contraseña separada comunicación independiente paciente (NO mismo soporte) + soporte único uso destrucción posterior si retorno. (4) Comunicación contraseña descifrado canal independiente · si datos enviados email → contraseña SMS o llamada · si datos enviados USB → contraseña email separado o presencial · principio múltiples factores autenticación. (5) Verificación entrega exitosa · acuse recibo paciente confirmando entrega + verificación apertura datos por paciente + soporte técnico ante dudas interpretación esquema datos. (6) Tiempo limitado disponibilidad descarga si portal · enlace descarga expira 7-14 días + acceso limitado IP paciente si aplica + auditoría completa accesos. (7) Eliminación segura copias temporales trabajo clínica post-entrega · trabajo extracción exportación deja archivos temporales · eliminación segura wipe + verificación. Casos problemáticos seguridad evitar · (1) Envío email plano sin cifrado adjunto JSON datos clínicos paciente · violación grave Art. 32 RGPD + obligación notificación AEPD 72h. (2) Subida datos clínicos servicios cloud gratuitos (Dropbox + Google Drive cuentas paciente personal) · sin garantías seguridad + potencial transferencia internacional datos categoría especial salud sin garantías. (3) Envío pendrive USB sin cifrado correo postal ordinario · pérdida postal genera filtración datos. (4) Comunicación contraseña descifrado mismo canal datos · anulación factor seguridad cifrado. (5) Verificación entrega inexistente + clínica no sabe si paciente recibió datos exitosamente. Documentación seguridad proceso · expediente cada portabilidad debe incluir (a) método cifrado aplicado + algoritmo + longitud clave · (b) canal transmisión utilizado · (c) verificación entrega exitosa · (d) eliminación copias temporales trabajo + verificación · (e) cualquier incidencia seguridad detectada + acción correctora. Plantilla email entrega recomendada · "Estimado paciente · adjuntamos archivo cifrado datos portabilidad solicitada · archivo: datos_paciente_[código].zip · cifrado AES-256 contraseña comunicada vía SMS al número registrado · instrucciones descifrado + diccionario datos incluidos. Por favor confirme recepción y descifrado exitoso. Cualquier duda interpretación datos contacte responsable protección datos. Atentamente · clínica".

9. Transmisión directa otro responsable · cuando técnicamente posible

Art. 20.2 RGPD reconoce paciente derecho solicitar transmisión directa datos portabilidad clínica origen → clínica destino cuando técnicamente posible · sin obligación general clínica origen implementar capacidad transmisión directa pero recomendable facilitar cuando viable + obligación cooperación buena fe. Supuestos transmisión directa típicos sector clínico privado · (1) Paciente cambia clínica zona misma especialidad · transmisión directa datos podría facilitar continuidad asistencial sin paciente intermediario manejar archivos técnicamente complejos. (2) Paciente movilidad geográfica nueva ciudad + inicio relación clínica nueva ubicación. (3) Paciente segunda opinión profesional + nueva clínica requiere datos referencia. (4) Cierre clínica origen + transmisión datos pacientes acumulados nueva clínica continuadora. Criterios "técnicamente posible" · (1) Existencia estándar interoperabilidad común entre PMS clínica origen + PMS clínica destino · sector clínico privado España 2026 fragmentado · estándar HL7 FHIR + RD 1093/2010 no ampliamente implementados clínicas privadas pequeñas · típicamente NO técnicamente posible transmisión directa automatizada. (2) Existencia infraestructura técnica ambas partes · APIs + intercambio seguro datos + autenticación mutua. (3) Compatibilidad formatos datos + esquemas. (4) Seguridad transmisión garantizada ambos extremos + canal seguro intermedio. Si NO técnicamente posible transmisión directa · clínica origen DEBE entregar datos paciente formato portabilidad Art. 20.1 estándar + paciente actúa intermediario llevando datos clínica destino. Procedimiento recomendado transmisión directa cuando técnicamente posible · (1) Paciente comunica clínica origen solicitud transmisión directa + identificación clínica destino + persona contacto + datos contacto. (2) Clínica origen verifica viabilidad técnica + comunica clínica destino solicitud + acuerdo procedimiento técnico + canal seguro transmisión. (3) Acuerdo temporal encargado tratamiento Art. 28 RGPD entre clínicas + cláusulas específicas + responsabilidades + audit + cifrado + plazos eliminación copias intermedias. (4) Verificación identidad paciente + consentimiento específico transmisión directa + información destino datos + plazo eliminación copias intermedias. (5) Transmisión cifrada extremo a extremo + verificación recepción + acuse recibo clínica destino. (6) Notificación paciente completión proceso. (7) Audit trail completo ambas partes. Recomendación práctica clínicas privadas 2026 · típicamente NO disponen infraestructura transmisión directa automatizada · clarificar paciente "transmisión directa no técnicamente posible nuestra infraestructura · entregamos datos formato portabilidad usted lleva clínica destino · alternativa transmisión copia historia clínica continuidad asistencial Ley 41/2002 procedimiento separado". Inversión futura infraestructura interoperabilidad recomendable medio plazo · estándar HL7 FHIR consolidándose sector + RD 1093/2010 referencia nacional.

10. Sanciones AEPD documentadas · rangos + casos reales

Las sanciones AEPD por incumplimiento derecho portabilidad Art. 20 RGPD son documentadas sector clínico privado España · resoluciones públicas accesibles AEPD permiten benchmarking riesgos. Tipología infracciones + rangos sanciones · (1) Denegación inadecuada solicitud portabilidad sin motivación correcta · Art. 83.5.b RGPD · hasta 20.000.000 € o 4% facturación anual. Documentadas sector clínico 15.000-80.000 € casos típicos. (2) Entrega formato no estructurado machine-readable (PDF escaneado · imagen · etc.) en lugar JSON/XML/CSV · 10.000-40.000 € casos típicos. (3) Plazo 30 días incumplido sin ampliación motivada comunicada · 5.000-30.000 € casos típicos. (4) Verificación identidad inadecuada generando entrega datos paciente fraude tercero · 30.000-100.000 € + obligación notificación AEPD violación seguridad. (5) Cifrado transmisión inadecuado generando filtración datos categoría especial salud · 25.000-100.000 € + obligación notificación AEPD + paciente. (6) Datos derivados / inferidos profesional exportados incorrectamente como sujetos portabilidad · 5.000-15.000 € típicamente menor por error técnico. (7) Falta procedimiento documentado tratamiento portabilidad · 5.000-25.000 €. (8) Audit trail inexistente o incompleto · 5.000-20.000 €. Casos documentados últimos años · expediente AEPD 80.000 € clínica medicina estética Madrid por denegación portabilidad reiterada paciente 4 meses + entrega final PDF escaneado historia clínica completa + comunicación insultante paciente + sin DPO designado · expediente AEPD 45.000 € clínica dental cadena Barcelona por entrega formato no estructurado + plazo 30 días incumplido 3 meses + cifrado transmisión inadecuado · expediente AEPD 35.000 € clínica oftalmología Valencia por denegación portabilidad alegando datos historia clínica obligación legal Ley 41/2002 sin distinguir datos sujetos Art. 20 + ausencia DPO + procedimiento indocumentado · expediente AEPD 25.000 € clínica dermatología Sevilla por verificación identidad insuficiente generando entrega datos paciente equivocado + obligación notificación AEPD violación seguridad + comunicación paciente afectado · expediente AEPD 15.000 € clínica ginecología grupo Madrid por entrega datos derivados profesional incorrectamente exportados como sujetos portabilidad + posterior reclamación paciente confusión interpretación datos. Adicionalmente · publicación resolución sancionatoria boletín BOAEPD genera daño reputacional permanente difícil cuantificar pero significativo · acceso público pacientes potenciales conocer infracciones previas clínica. Recomendación · inversión preventiva procedimiento documentado portabilidad + formación staff + infraestructura técnica adecuada (extractor JSON + cifrado + verificación identidad robusta) significativamente menor coste vs sanción potencial + reclamación civil paciente + daño reputacional.

11. Flow operativo recomendado · paso a paso ejemplo completo

• Día 0 · Recepción solicitud portabilidad paciente vía canal autorizado · registro expediente
• Día 1-2 · Acuse recibo paciente con número expediente + plazo respuesta máximo + persona contacto
• Día 1-3 · Verificación identidad solicitante método robusto + documentación archivada
• Día 3-5 · Clasificación solicitud · portabilidad Art 20 + acceso Art 15 + copia historia clínica Ley 41/2002
• Día 5-7 · Comunicación paciente clarificación opciones + confirmación derecho específico ejercido
• Día 7-10 · Identificación datos sujetos portabilidad · base licitud + medios automatizados + origen paciente
• Día 10-15 · Extracción datos sistemas internos · PMS + CRM + WhatsApp + facturación + email
• Día 15-20 · Estructuración formato JSON / XML / CSV + diccionario datos + esquema documentado
• Día 20-25 · Cifrado AES-256 archivo + verificación integridad + generación contraseña robusta
• Día 25-28 · Entrega paciente método seguro · email cifrado + portal autenticado + presencial USB cifrado
• Día 28-30 · Comunicación contraseña descifrado canal independiente · SMS / llamada / postal
• Día 30 · Verificación recepción exitosa paciente + acuse recibo + soporte interpretación esquema
• Post-entrega · Eliminación segura copias temporales trabajo clínica + verificación wipe
• Post-entrega · Documentación expediente completo audit trail + conservación 5 años mínimo
• Post-entrega · Revisión periódica trimestral procedimiento + mejoras identificadas

12. Checklist auditoría interna anual procedimiento portabilidad

• Procedimiento operativo POE portabilidad documentado actualizado mínimo 2 años
• Staff formado distinguir portabilidad Art 20 vs acceso Art 15 vs copia historia clínica Ley 41/2002
• Capacidad técnica exportación datos formato estructurado JSON / XML / CSV verificada
• Diccionario datos exportables actualizado + esquema documentado disponible
• Sistema cifrado AES-256 + gestión claves robustas + verificación integridad implementado
• Canal entrega segura disponible · email cifrado + portal autenticado + USB cifrado
• Plantillas comunicación paciente predefinidas · acuse recibo + clarificación + entrega + verificación
• Procedimiento verificación identidad robusta documentado + métodos aceptables establecidos
• Audit trail completo cada solicitud portabilidad expediente conservación 5 años
• Revisión muestra aleatoria 5 portabilidades último año · verificación cumplimiento procedimiento
• Revisión solicitudes pendientes plazo no vencido · seguimiento activo
• Métricas agregadas año · número portabilidades + tiempos respuesta + % cumplimiento plazo
• Identificación tipo solicitudes recurrentes · oportunidad mejora flujos onboarding paciente origen
• Verificación información política privacidad publicada clínica derecho Art. 20 + canal ejercicio
• Verificación encargados tratamiento Art 28 respetan obligaciones cooperación portabilidad
• Acciones correctoras identificadas + plan implementación + responsable + plazo

Recursos relacionados · derecho oposición Art 21 RGPD · política privacidad · política retención datos · gestión claves cifrado · compliance roadmap.