AI Empire
Todos los artículos
Legal · 16 min lectura

AEPD para clínicas privadas · checklist 22 puntos para auditoría 2026

·Jonatan Contell

La AEPD inspecciona unas 200-300 clínicas privadas al año en España · entre denuncias de pacientes y barridos sectoriales. Cuando llega la carta de inicio de procedimiento · tienes 10-15 días hábiles para responder con documentación. Este es el checklist real de 22 puntos que de verdad miran · ordenado por probabilidad de petición · sin paja.

Cómo funciona una inspección AEPD · contexto previo

La inspección puede llegar por tres vías principales:

  • Denuncia de paciente · suele ser por derechos no atendidos (acceso · supresión) · brecha conocida · o envío comercial sin consentimiento. ~70% de inspecciones.
  • Barrido sectorial · AEPD selecciona muestra aleatoria de clínicas privadas tras detectar patrón problemático en el sector. ~20%.
  • Auto-denuncia por brecha · te ves obligado a notificar (Art. 33 RGPD · 72h) · y eso activa revisión formal de tu cumplimiento. ~10%.

Las sanciones para clínica privada en 2024-2025 oscilaron entre 3000€ y 80000€ · con media en torno a 12000€. La mayoría se cierra con apercibimiento + plan de adecuación si demuestras buena fe y documentación previa. La diferencia entre 3000€ y 80000€ casi siempre está en si tenías el RAT actualizado y un DPO documentado · o no.

Bloque 1 · Documentación organizativa (puntos 1-6)

1 · Registro de Actividades de Tratamiento (RAT)

Base legal:Art. 30 RGPD. Obligatorio para cualquier clínica · sin importar tamaño (la excepción de <250 empleados NO aplica a datos de salud · que son categoría especial Art. 9).

  • Documento Excel o Word con todas las actividades de tratamiento · responsable · finalidad · base legal · datos · categorías de interesados · destinatarios · plazos · medidas.
  • Mínimo 6-10 actividades típicas en clínica: gestión pacientes · historia clínica · facturación · marketing · web/cookies · videovigilancia · WhatsApp · recordatorios · gestión RRHH.
  • Lo que miran: que esté firmado · fechado · con versión · y actualizado en los últimos 12 meses.

2 · Designación de DPO o justificación

Base legal:Art. 37 RGPD + LOPDGDD Art. 34. Clínicas que traten datos de salud "a gran escala" deben designar DPO. AEPD considera gran escala >5000 pacientes activos en su criterio orientativo. Por debajo · documenta por qué no aplica.

  • Si tienes DPO · publica contacto en web (email · formulario) · y comunica a AEPD via sede electrónica.
  • Si no tienes · escribe documento de 1 página justificando con tu volumen · sin DPO formal pero con responsable interno designado.

3 · Política de privacidad pública

  • En web · en formulario de contacto · en formulario de cita · en tu landing de WhatsApp.
  • Debe incluir: responsable · datos contacto · DPO si aplica · finalidades · base legal · destinatarios · transferencias internacionales · plazos · derechos · forma de ejercerlos · derecho de reclamación AEPD.
  • Última actualización visible. Si no la has tocado en 2 años · ya es señal roja.

4 · Cláusulas informativas en formularios

  • Cada formulario (cita · contacto · WhatsApp opt-in · web) debe tener checkbox NO pre-marcado + texto informativo resumido + link a política completa.
  • Doble capa: información resumida visible · información detallada en link.

5 · Contrato laboral con cláusula de confidencialidad

  • Todo personal con acceso a historia clínica debe firmar cláusula específica · más allá del genérico del contrato.
  • Incluye obligaciones tras finalización del contrato · y régimen sancionador interno.

6 · Política interna de protección de datos

  • Documento de 5-10 páginas con normas internas: contraseñas · bloqueo de pantalla · uso de USB · email · WhatsApp personal vs profesional · manejo de papel.
  • Distribuido y firmado por todos los empleados. Renovación anual recomendada.

Bloque 2 · Contratos con terceros (puntos 7-9)

7 · DPA (Data Processing Agreement) con cada processor

Base legal: Art. 28 RGPD. Cualquier proveedor que toque datos de pacientes necesita DPA firmado por escrito.

  • Lista típica clínica: software gestión (Doctoralia · Gesden · Klinikare) · email marketing (Mailchimp) · WhatsApp BSP · Cal.com · Stripe · proveedor hosting · gestoría laboral · fabricante de prótesis · Google Workspace · TPV.
  • Lo que miran: firma de ambas partes · fecha · cláusulas Art. 28.3 · auditoría · subprocessors · transferencias internacionales con SCCs cuando aplique.

8 · Análisis de transferencias internacionales

  • Inventario de processors fuera de EEA: Stripe (Irlanda · OK) · OpenAI (US · necesita SCCs + TIA) · Meta WhatsApp (US · DPA cubre) · Google Workspace (US · SCCs + EU DPF).
  • TIA (Transfer Impact Assessment) documentado por cada transferencia a país sin decisión de adecuación.

9 · Registro de subprocesadores

  • Lista pública (preferible · web) o disponible a petición · con todos los subprocesadores · país · finalidad.

Bloque 3 · Datos y seguridad técnica (puntos 10-15)

10 · Cifrado en reposo y tránsito

  • Historia clínica cifrada AES-256 en servidor (la mayoría de software ya lo hace · pero verifica).
  • TLS 1.2+ en todo el tráfico web y app.
  • Backups cifrados con clave gestionada · no en mismo proveedor que el server.

11 · Política de accesos · principio de mínimo privilegio

  • Cada empleado solo accede a lo que necesita para su rol. Recepción no ve historiales clínicos completos. Auxiliar no ve datos económicos.
  • Roles documentados · matriz de accesos · revisión trimestral.
  • Logs de acceso a historia clínica · trazabilidad mínimo 5 años (LOPDGDD Disp. 16ª).

12 · Política de contraseñas

  • Mínimo 12 caracteres · complejidad · MFA en sistemas críticos (software gestión · email empresa · admin web).
  • Bloqueo automático tras 5 min inactividad. No compartidas. Rotación tras incidente.

13 · Borrado seguro y retención

  • Política de retención por tipo de dato: historia clínica 15 años (Ley 41/2002 · variable por CCAA) · facturación 6 años (Código Comercio) · marketing 2 años desde último contacto · WhatsApp 12-24 meses.
  • Procedimiento documentado de borrado tras plazo · y de borrado seguro al deshacer equipos.

14 · Copias de seguridad probadas

  • Backups diarios · retención mínimo 30 días + snapshot mensual 12 meses.
  • Lo que NO miran a menudo pero deberías hacer:test de restauración trimestral documentado. Un backup que no has probado no es un backup.

15 · DPIA (Evaluación de Impacto) cuando aplica

Base legal: Art. 35 RGPD. Obligatorio si tu tratamiento es "de alto riesgo". AEPD lista 12 criterios. Si cumples 2+ · DPIA obligatoria.

  • Casos típicos en clínica que sí necesitan DPIA:
  • WhatsApp Business automatizado con IA (datos salud + IA + scoring conducta de pago).
  • Cámaras videovigilancia con reconocimiento facial.
  • Marketing comportamental (cookies + retargeting + remarketing pacientes).
  • Si lo necesitas y no lo tienes · es de las primeras cosas que mira AEPD.

Bloque 4 · Procedimientos operativos (puntos 16-20)

16 · Procedimiento de derechos GDPR

Base legal: Art. 12-22 RGPD. Debes responder a peticiones de acceso · rectificación · supresión · oposición · portabilidad · limitación · en plazo de 1 mes (prorrogable a 3 con justificación).

  • Procedimiento interno documentado: quien recibe · quien verifica identidad · quien ejecuta · quien responde.
  • Registro de peticiones (fecha · solicitante · derecho · respuesta · plazo).
  • Email/canal específico publicado (privacidad@tuclinica.es).

17 · Procedimiento de brechas de seguridad

Base legal: Art. 33-34 RGPD. Notificar a AEPD en 72h desde detección si la brecha implica riesgo para derechos · y a los interesados sin demora si el riesgo es alto.

  • Plantilla preparada de notificación AEPD (sede electrónica).
  • Procedimiento interno: detección · evaluación riesgo · contención · notificación interna · notificación externa · comunicación a afectados · postmortem.
  • Registro histórico de brechas (aunque no requieran notificación · debes registrarlas internamente).

18 · Formación documentada del personal

  • Mínimo anual · firma de asistencia · contenido (RGPD básico · procedimiento brechas · derechos pacientes · phishing · contraseñas).
  • Onboarding específico para nuevas incorporaciones antes de dar accesos.

19 · Consentimiento explícito para datos de salud

Base legal: Art. 9.2.h RGPD + LOPDGDD Art. 9. Aunque el tratamiento principal use base "asistencia sanitaria" · cualquier finalidad adicional necesita consentimiento expreso.

  • Marketing · recordatorios no asistenciales · uso de fotos pre-post · investigación · todos requieren checkbox separado · no pre-marcado · informado.
  • Registro de consentimientos con fecha · IP · texto firmado · versión política.

20 · Cookie banner conforme

  • Guía AEPD cookies enero 2024: rechazar tan fácil como aceptar (mismo nivel jerárquico).
  • Ningún tracker antes de consentimiento (Google Analytics · Meta Pixel · TikTok Pixel · todos esperan).
  • Granularidad: técnicas · analíticas · marketing · separadas.

Bloque 5 · Específico clínica (puntos 21-22)

21 · Videovigilancia conforme AEPD

  • Cartel informativo visible en entrada (modelo AEPD).
  • Cámaras NO en zonas de tratamiento clínico · NO en aseos · NO grabar audio salvo justificación específica.
  • Retención máxima 30 días salvo incidencia documentada.

22 · WhatsApp y mensajería · marco específico

  • Opt-in expreso del paciente para usar WhatsApp (no asumir por dar el número en historia).
  • Separar canal asistencial (historia clínica · pruebas · diagnóstico) de canal logístico (citas · recordatorios · facturación). Datos clínicos NO por WhatsApp salvo excepciones documentadas.
  • DPA con Meta firmado (si usas Cloud API).
  • Política de retención conversaciones (12-24 meses típico).
  • Backup conversaciones para historia clínica si forma parte de la asistencia (cita Sentencia TS 545/2021 sobre WhatsApp como prueba documental).

Cómo se puntúa una clínica en inspección AEPD

AEPD no publica score formal · pero el patrón de resoluciones últimos 3 años muestra un peso aproximado:

  • RAT · DPO · política privacidad: 30% del peso.
  • Contratos terceros (DPAs): 20%.
  • Seguridad técnica + retención: 20%.
  • Procedimiento derechos + brechas: 15%.
  • Consentimientos + cookies + videovigilancia: 15%.

Si tienes los puntos 1-9 sólidos (documentación organizativa + contratos) · ya estás en buena posición. Los huecos en seguridad técnica suelen cerrarse con plan de adecuación en 3-6 meses · sin sanción.

Plan de acción · 30 días

  • Día 1-5: auditar lo que tienes · marcar rojo · ámbar · verde sobre los 22 puntos.
  • Día 6-15: cerrar rojos críticos (RAT · política privacidad · DPAs principales · cookie banner).
  • Día 16-25: cerrar ámbares (DPIA si aplica · procedimientos · formación).
  • Día 26-30: testar restauración backup · ensayar simulacro de brecha · revisión final con asesor legal.

Cómo AI Empire encaja en este checklist

AI Empire es un processor más en tu RAT · necesitas DPA firmado con nosotros antes de procesar primer dato real. Aportamos:

  • Plantilla de DPA firmable por ambas partes.
  • Documento técnico-organizativo para tu DPIA si lo necesitas.
  • Mapa de subprocesadores actualizado · transferencias internacionales documentadas.
  • Logs de acceso · trazabilidad de cada mensaje · retención configurable por clínica.

No vendemos cumplimiento AEPD. Aportamos los documentos técnicos del tramo que nos toca. El RAT · el DPO · la formación interna y la política pública son trabajo del responsable (la clínica) · y normalmente con asesoría jurídica externa.

Disclaimer: este artículo es orientativo general · NO sustituye asesoramiento jurídico especializado. La regulación AEPD evoluciona con resoluciones y guías cuasi-anuales. Consulta con abogado especializado en protección de datos antes de tomar decisiones sobre tu cumplimiento. AI Empire NO ofrece servicios jurídicos.

Lectura relacionada

Otros artículos que pueden ayudarte a profundizar en lo mismo.

Legal · 13 min

¿Es legal grabar llamadas en tu clínica? · análisis honesto España 2026

Análisis legal honesto sobre grabación de llamadas en clínica privada · consentimiento expreso · LOPDGDD · finalidad · retención · base legi

Leer artículo
Legal · 13 min

PCI DSS en clínicas privadas · cómo cumplir vía Stripe (sin SAQ-D)

Análisis honesto cumplimiento PCI DSS en clínica privada vía Stripe 2026. SAQ-A vs SAQ-D · Stripe Elements iframe · evitar PCI scope · escen

Leer artículo
Legal · 13 min

Seguro de responsabilidad civil profesional clínica · análisis 2026

Análisis honesto del seguro RC profesional en clínicas privadas españolas 2026. Cobertura mínima · franquicias · qué cubre y qué no · trampa

Leer artículo

Deja de regalar ingresos.
Activa tu Revenue OS.

14 días gratis · setup completo incluido · sin permanencia. Si en 14 días no recuperas mínimo 1 cita atribuible al bot · te devolvemos lo pagado y archivamos sin preguntas.

Activar gratis 14 díasAgendar demo 15 min

¿Prefieres ver demo grabada antes? · analiza tus reseñas gratis · audit pre-onboarding para tu clínica · 5 min · cero compromiso.