Saltar al contenido principal
AI Empire
Legal · RGPD

RGPD derecho supresión paciente clínica · cómo gestionar 2026

El derecho de supresión RGPD ("derecho al olvido") es el más complicado de procesar en clínica privada porque colisiona con normativa sanitaria que exige conservar historia clínica 5+ años. La respuesta correcta no es ni "sí · borramos todo" (ilegal · incumple Ley 41/2002) ni "no · no podemos borrar nada" (incumple Art 17 RGPD · sanción AEPD). La respuesta correcta es matizada: supresión parcial · pseudonimización · conservación bloqueada · timeline definido · audit trail completo. Esta guía estructura el proceso interno para responder a peticiones supresión paciente sin incurrir en infracción dual sanitaria/protección datos.

1. Marco normativo · Art 17 RGPD + excepciones LOPDGDD

Art 17 RGPD reconoce derecho supresión datos personales cuando: (a) ya no son necesarios para finalidad recogida · (b) interesado retira consentimiento + no hay otra base jurídica · (c) interesado se opone tratamiento sin motivos legítimos prevalentes · (d) datos tratados ilícitamente · (e) obligación legal supresión · (f) datos menor edad recogidos servicios sociedad información. Pero Art 17.3 RGPD enumera excepciones donde el derecho no aplica: ejercicio libertad expresión · cumplimiento obligación legal del responsable · razones interés público salud · fines archivo / investigación científica · ejercicio defensa reclamaciones. LOPDGDD (LO 3/2018) en Art 15 desarrolla derecho supresión + remite excepciones sectoriales. Ley 41/2002 Art 17 obliga conservar historia clínica mínimo 5 años desde alta cada proceso asistencial · normativas autonómicas pueden ampliar (Cataluña 15 años · Andalucía indefinido para algunas patologías). Esto es la excepción Art 17.3.b RGPD (obligación legal).

2. Qué datos paciente se pueden borrar · qué datos NO

El reflejo "borramos todo" es incorrecto. Distinción fundamental: (1) Datos clínicos de la historia (anamnesis · diagnósticos · tratamientos · evolución · pruebas complementarias · radiografías · consentimientos firmados) — NO se pueden borrar mientras esté vigente plazo legal conservación (mínimo 5 años desde último proceso asistencial · puede ser más según CCAA y patología). (2) Datos administrativos identificación necesarios para vincular historia (NIF · nombre · fecha nacimiento) — tampoco se pueden borrar si la historia debe conservarse. (3) Datos contacto comercial-marketing (email para newsletter · teléfono para promociones) — SÍ se pueden borrar inmediatamente si la finalidad era marketing. (4) Datos comportamiento web/cookies analytics — SÍ se pueden borrar inmediatamente. (5) Datos en aplicaciones secundarias (CRM marketing · ESP newsletter · sistema reservas online) — SÍ se pueden borrar manteniendo solo la historia clínica en el sistema gestión clínica principal. La supresión es por finalidad · no global.

3. Pseudonimización vs eliminación · cuándo usar cada una

Pseudonimización (Art 4.5 RGPD) es técnica donde datos personales no pueden atribuirse a interesado concreto sin información adicional almacenada separadamente. Aplicación en historia clínica: cuando paciente solicita supresión y historia debe conservarse legalmente · se puede pseudonimizar: sustituir nombre · NIF · contacto por código único · separar la tabla de equivalencia (código ↔ identidad) en almacén cifrado con acceso restringido solo a perfiles autorizados ante requerimiento judicial. La historia clínica sigue existiendo y cumple Ley 41/2002 · pero deja de ser identificable directamente. Eliminación total (anonimización irreversible) solo aplica si: (a) ha transcurrido todo el plazo legal conservación (5+ años) · (b) no hay reclamaciones pendientes · (c) no hay obligación fiscal pendiente facturas (4-6 años) · (d) no hay obligación jurídica concreta vigente. Anonimización adecuada (no reversible) sale del ámbito RGPD por dejar de ser dato personal.

4. Plazo respuesta · 30 días + posible prórroga 60 días

Art 12.3 RGPD establece plazo: responsable debe responder petición ejercicio derechos en plazo máximo 1 mes desde recepción solicitud. Prorrogable 2 meses adicionales en casos complejos o número elevado solicitudes (debiendo informar al interesado de la prórroga + motivos dentro del primer mes). El plazo cuenta desde recepción solicitud · no desde verificación identidad. Si plazo se incumple: interesado puede reclamar AEPD · sanción potencial 20.000–300.000 € sector privado dependiendo gravedad y reincidencia. Recomendación operativa: gestionar peticiones objetivo plazo 15 días para tener margen seguro · log fechas todas etapas · respuesta formal por escrito firmada por DPD o responsable autorizado.

5. Verificación identidad solicitante · evitar suplantación

Antes de procesar cualquier supresión hay que verificar que quien solicita es realmente el titular datos (o representante legal acreditado). Verificación mínima: (1) Solicitud por escrito firmada (papel o firma digital · email genérico no suficiente). (2) Copia DNI/NIE/pasaporte vigente · que coincida con datos del paciente en historia. (3) Si firma electrónica: certificado válido (FNMT · DNIe · Cl@ve PIN o equivalente). (4) Si representante legal (menor · incapacitado · fallecido): poder notarial + DNI representante + acreditación parentesco/tutela. (5) Si por email · llamada confirmación a número teléfono registrado en historia para confirmar verbalmente petición (doble factor). Sin verificación adecuada el riesgo es ejecutar supresión solicitada por terceros con mala fe · que vulnera derechos del paciente real y genera responsabilidad clínica.

6. Proceso interno paso a paso · 7 etapas

EtapaAcciónPlazo objetivo
1. RecepciónRegistro entrada · timestamp · canal · número expedienteDía 0
2. Verificación identidadDNI + firma + cotejo historia · contacto confirmaciónDía 0-3
3. Análisis aplicabilidadDPD revisa qué datos pueden suprimirse vs conservarseDía 3-7
4. Ejecución técnicaBorrado marketing/CRM · pseudonimización historia · notificación encargadosDía 7-15
5. Notificación encargadosESP · CRM · sistemas terceros propagar supresión Art 19 RGPDDía 7-15
6. Respuesta formalEscrito firmado: qué se ha borrado · qué se conserva y por qué · base legal · plazo conservación restanteDía 15-25
7. Archivo audit trailExpediente cerrado con todas las evidencias 6 años mínimoDía 25-30

7. Plantilla respuesta formal supresión · qué decir y qué no

La respuesta formal debe ser por escrito · firmada · clara · sin tecnicismos vacíos. Contenido mínimo: (1) Acuse recibo con fecha solicitud + fecha respuesta + nº expediente. (2) Identificación responsable tratamiento (clínica · NIF · domicilio · DPD si aplica). (3) Verificación identidad realizada. (4) Datos suprimidos efectivamente · lista concreta: "se han eliminado tus datos en nuestro CRM marketing · base datos boletín · sistema reservas online". (5) Datos conservados + base legal específica: "conservamos tu historia clínica completa hasta [fecha + 5 años] en cumplimiento Art 17 Ley 41/2002 que obliga a conservación 5 años mínimo desde último proceso asistencial". (6) Estado pseudonimización si aplica: "los datos identificativos de tu historia se han pseudonimizado · accesibles únicamente bajo requerimiento judicial". (7) Derechos pendientes: "puedes reclamar AEPD si consideras tratamiento inadecuado · web aepd.es". (8) Datos contacto seguimiento DPD/responsable.

8. Notificación a encargados tratamiento · Art 19 RGPD

Art 19 RGPD obliga al responsable a comunicar la supresión a cada destinatario al que se hayan comunicado los datos · salvo imposible o esfuerzo desproporcionado. En clínica esto significa: si paciente está en ESP newsletter (Brevo · Mailchimp) · sistema reservas online (Doctoralia · Cal.com · Calendly) · CRM marketing (HubSpot · Salesforce) · laboratorio prótesis externo · plataforma teleconsulta · etc · debes notificar a cada uno la supresión. Operativamente: listado encargados actualizado en RAT (Registro Actividades Tratamiento) · script de notificación estándar · log fechas + respuestas confirmación encargados. El paciente tiene derecho saber a quién se ha comunicado (Art 19 in fine) si lo solicita. Esto es el motivo por el que reducir número encargados externos es buena práctica preventiva.

9. Excepciones complejas · casos límite frecuentes

Casos donde la decisión no es obvia: (1) Paciente menor cuya supresión solicitan ahora padres separados — quién tiene patria potestad · si discrepan requiere autorización judicial. (2) Paciente fallecido cuya familia solicita supresión — Art 3 LOPDGDD reconoce derechos digitales causahabientes salvo voluntad expresa contraria fallecido · pero historia clínica conservación independiente. (3) Solicitud durante procedimiento judicial vigente — Art 17.3.e RGPD permite conservación para ejercicio defensa reclamaciones · suspende derecho hasta resolución. (4) Paciente que pide borrado solo de "un episodio concreto vergonzoso" de su historia — no se puede borrar parcialmente historia · es integral · puede pseudonimizarse completa si procede. (5) Solicitud verbal en consulta — no procesar verbalmente · solicitar entrada formal escrita con DNI. Cada caso límite documentar consulta jurídica especializada en sanidad antes de actuar.

10. Errores frecuentes que generan sanciones AEPD

  • Borrar historia clínica completa antes plazo legal por "complacer paciente" · incumple Ley 41/2002
  • No verificar identidad solicitante · suprimir datos por terceros (suplantación)
  • Responder pasados 30 días sin notificar prórroga formal en mes inicial
  • Respuesta genérica sin detallar qué se ha hecho concretamente · "se ha gestionado su petición"
  • No propagar supresión a encargados (Art 19 RGPD) · datos siguen en ESP/CRM mientras dices que están borrados
  • Tarifar coste por gestionar derecho (es gratuito salvo solicitudes manifiestamente infundadas/repetitivas)
  • Negarse a admitir solicitud por canal no oficial sin alternativa fácil acceso
  • No conservar audit trail prueba de la gestión · si AEPD pide evidencia no la tienes
  • Confundir baja del newsletter (1 click) con derecho supresión integral (proceso formal)
  • No registrar petición en RAT en actividad "Atención derechos interesados"

11. Documentación complementaria · qué tener preparado

Antes de recibir la primera petición tu clínica debería tener listo: (1) Procedimiento escrito "Gestión derechos interesados" como parte del Programa Cumplimiento RGPD. (2) Plantilla solicitud descargable web (no obligatoria · facilita al paciente). (3) Plantilla respuesta formal con bloques personalizables según caso. (4) Listado actualizado encargados tratamiento (RAT) con datos contacto técnico cada uno. (5) Procedimiento técnico pseudonimización historia clínica documentado (qué campos · cómo · quién accede tabla equivalencias). (6) Designación responsable interno (DPD si es obligatorio · responsable RGPD si no) con email contacto público en web política privacidad. (7) Plantilla informe interno por petición (etapas · fechas · decisiones · evidencias). (8) Archivo seguro audit trail 6 años. Sin esta preparación previa cada petición es un caos improvisado.

12. Cuándo escalar a abogado especializado · 4 supuestos claros

No todas las peticiones requieren abogado · pero algunas sí: (1) Paciente acompaña solicitud con amenaza explícita reclamación AEPD o medio comunicación (gestión técnica + legal coordinada). (2) Caso afecta menor con padres en conflicto patria potestad. (3) Solicitud durante procedimiento judicial vigente afectando clínica. (4) Petición masiva (varias solicitudes coordinadas mismo día sospecha campaña organizada). (5) Familiar paciente fallecido reclama datos en disputa herencia. (6) Petición incluye datos especialmente sensibles (orientación sexual · ideología · religión · datos genéticos) con potencial discriminación. Coste asesoría puntual sanitario-RGPD: 150-400 € consulta · barato comparado con sanción mal gestionada. Tener abogado especializado de referencia · no improvisar el primer día que pasa.

Cierre · derecho supresión es proceso · no decisión binaria

El derecho de supresión RGPD aplicado a clínica privada no se resuelve con un sí/no rápido. Es un proceso estructurado: verificar identidad · analizar aplicabilidad por finalidad · ejecutar supresión parcial donde proceda · pseudonimizar donde aplique · conservar lo que la ley obliga · propagar a encargados · documentar todo · responder formalmente en plazo. Gestionado correctamente convierte una potencial fricción en muestra de profesionalidad que el paciente valora. Gestionado mal genera sanción AEPD + pérdida confianza + posible noticia reputacional. Empieza esta semana por: redactar procedimiento interno · revisar RAT encargados · preparar plantillas · designar responsable seguimiento.

Para política retención datos completa ver /data-retention-policy. Para roadmap cumplimiento RGPD completo ver /compliance-roadmap. Para política privacidad y seguridad técnica ver /privacidad y /security.

¿Quieres revisar el proceso de derechos RGPD de tu clínica?

Reservamos 30min para revisar tu procedimiento actual gestión derechos GDPR · gap analysis con normativa vigente · plan implementación 30 días. Sin compromiso comercial · solo conversación útil.

Reservar revisiónVer roadmap compliance

Disclaimer: Información orientativa para clínicas privadas España 2026. No constituye consultoría legal vinculante. El derecho de supresión en contexto sanitario combina RGPD UE 2016/679 · LOPDGDD LO 3/2018 · Ley 41/2002 autonomía paciente · normativa autonómica sanitaria específica · y guías AEPD interpretativas que pueden evolucionar. Cada petición de supresión debe analizarse caso a caso considerando todas las normas aplicables y la situación clínica concreta del paciente. Recomendamos asesoría especializada en derecho sanitario y protección de datos antes de implementar el procedimiento o ante casos complejos. Plazos legales y umbrales sancionadores pueden actualizarse por desarrollo normativo posterior a la fecha de publicación. Última revisión: mayo 2026.