AI Empire
Todos los artículos
Legal · 14 min lectura

Derechos del paciente bajo LOPDGDD · formularios y procedimientos clínica 2026

·Jonatan Contell

Todo paciente puede ejercer 6 derechos sobre sus datos personales · y la clínica privada tiene obligación de responder en plazo. Si no lo haces bien · la AEPD puede multar. Esta es la guía práctica con plantillas formulario · plazos · casos sensibles · y cuándo puedes negarte legítimamente.

Los 6 derechos · ARCO-POL

El acrónimo viene de los 6 derechos reconocidos por RGPD (UE 2016/679) y LOPDGDD (LO 3/2018):

  • A · Acceso (Art. 15 RGPD) · el paciente puede pedir copia de todos los datos personales que tienes sobre él.
  • R · Rectificación (Art. 16 RGPD) · el paciente puede pedir corregir datos inexactos o incompletos.
  • C · Cancelación / Supresión (Art. 17 RGPD) · el famoso "derecho al olvido". El paciente puede pedir borrar sus datos · con limitaciones importantes en sanidad.
  • O · Oposición (Art. 21 RGPD) · el paciente puede oponerse a un tratamiento concreto (marketing · publicidad · perfilado).
  • P · Portabilidad (Art. 20 RGPD) · el paciente puede pedir sus datos en formato estructurado para llevárselos a otro proveedor.
  • L · Limitación (Art. 18 RGPD) · el paciente puede pedir que dejes de tratar sus datos temporalmente mientras se aclara una reclamación.

Algunos manuales mencionan también derechos relacionados con decisiones automatizadas (Art. 22 RGPD) que aplican si tu clínica usa IA para decisiones con efecto jurídico significativo sobre el paciente · cosa rara en clínica privada salvo casos muy concretos.

Plazos · cuánto tiempo tienes

  • Plazo general: 1 mes desde la recepción de la solicitud.
  • Prórroga: puedes ampliar 2 meses más (total 3 meses) si la solicitud es compleja · pero debes notificar al paciente la prórroga dentro del primer mes.
  • Negativa: si decides no atender la solicitud · también tienes 1 mes para comunicarlo · con motivación y recordando que puede reclamar ante AEPD.

Pasarse del plazo es una infracción tipificada. La AEPD lo tiene en cuenta al fijar sanción.

Verificación de identidad · el primer paso

Antes de dar acceso a datos sensibles · debes verificar que la persona que pide es realmente el paciente. Es obligación legal · si entregas datos a quien no es · es una brecha de seguridad notificable.

  • Solicitud presencial: exigir DNI o pasaporte · comprobar foto. Anotar fecha y persona que verificó.
  • Solicitud email: debe venir desde el email que tienes en ficha del paciente. Si viene de otro · pide al paciente que envíe foto DNI por canal seguro · o que pase por clínica a verificar.
  • Solicitud WhatsApp: el número emisor debe coincidir con el del paciente en ficha. Si no coincide · pide verificación adicional.
  • Representante legal: menor de 14 años · incapacitado · familiar de paciente fallecido. Pedir documentación que acredite representación (DNI del menor · DNI del progenitor · libro familia · testamento o documentación judicial).
  • Tercero autorizado: el paciente puede autorizar a un tercero (gestor · abogado) por escrito firmado · con copia de DNI del paciente y del autorizado.

Casos sensibles · qué entregar y qué no

Derecho de acceso · historia clínica completa

Esto es el caso más frecuente. El paciente pide su historia clínica. Tienes que entregar:

  • Datos identificativos · contacto · seguros · datos fiscales
  • Historial visitas · diagnósticos · tratamientos realizados
  • Pruebas diagnósticas · radiografías · escáneres · análisis
  • Documentos consentimiento firmados
  • Facturas y pagos

Excepción importante: anotaciones subjetivas del profesional (juicios clínicos · observaciones personales sin valor diagnóstico) están protegidas por Ley 41/2002 autonomía paciente y derechos obligaciones información clínica · Art. 18. No es obligatorio entregarlas si afectan privacidad profesional · pero la línea es fina · consultar abogado en caso de duda.

Derecho de supresión · el difícil

El paciente pide "borre todos mis datos". Aquí colisionan derechos. La clínica tiene obligación legal de conservar historia clínica:

  • Ley 41/2002 Art. 17: conservación mínima 5 años desde la fecha del alta de cada proceso asistencial.
  • Normativas autonómicas: algunas comunidades autónomas extienden a 15 años (Cataluña · Galicia · etc.).
  • Plazos fiscales: facturas y documentación contable 6 años por Código Comercio.

Por tanto · NO puedes borrar la historia clínica completa mientras esté en plazo legal de conservación. Sí puedes:

  • Borrar datos de marketing · listas comerciales · campañas
  • Borrar datos no esenciales (preferencias · notas comerciales · fotos publicitarias si las hay)
  • Tras agotar plazo legal · proceder a supresión efectiva

La respuesta al paciente debe ser clara: "borramos lo que podemos · conservamos lo que la ley obliga · y tras [X años] se borrará el resto". Razonado con referencia normativa.

Derecho de oposición · marketing

El paciente dice "no quiero más newsletters · no quiero ofertas WhatsApp". Esto es inmediato y absoluto. Debes:

  • Sacar del segmento marketing
  • Mantener únicamente comunicaciones imprescindibles para la prestación sanitaria (recordatorios cita · resultados pruebas · seguimiento clínico)
  • Documentar fecha de revocación

Derecho de portabilidad · cambio de clínica

El paciente quiere llevarse sus datos a otra clínica. La portabilidad RGPD aplica a datos tratados con base legal de consentimiento o contrato · y en formato estructurado de uso común.

  • Entregar copia en formato CSV · PDF · JSON · legible por máquina
  • Idealmente · habilitar entrega directa a la nueva clínica si el paciente lo solicita
  • Datos clínicos suelen quedar fuera del derecho estricto de portabilidad (no son consentimiento ni contrato puro · son obligación legal sanitaria) · pero por buena práctica se entregan vía derecho de acceso

Cuándo puedes negarte legítimamente

  • Solicitud manifiestamente infundada o excesiva: mismo paciente pide acceso 20 veces al mes sin novedad. Art. 12.5 RGPD permite negar o cobrar coste razonable.
  • Imposibilidad de identificar al solicitante:no verificas identidad · no entregas. Documentar intento.
  • Conservación legal obligatoria: ya visto · supresión bloqueada por plazo Ley 41/2002.
  • Cuando afecta derechos de terceros:si los datos incluyen información de otra persona (familiar mencionado en historia · etc.) · puedes censurar esa parte.
  • Interés público / cumplimiento legal:obligación de comunicar a autoridades (judicial · Sanidad · etc.) · no puedes borrar contra requerimiento.

Plantilla formulario solicitud · adaptable

Estructura recomendada (consulta plantilla oficial AEPD en su web · versión 2026):

  • Datos identificativos solicitante: nombre · DNI · email · teléfono
  • Derecho que ejerce (marcar): acceso · rectificación · supresión · oposición · portabilidad · limitación
  • Descripción concreta: qué datos · qué tratamiento · qué pide exactamente
  • Si actúa por representación · documentación acreditativa adjunta
  • Canal preferido para respuesta (presencial · email · postal)
  • Firma y fecha

Disponible en clínica y descargable desde la web. Política de privacidad debe referenciar dónde se encuentra.

Plantilla respuesta · estructura

Cada respuesta a un derecho debe contener:

  • Referencia número expediente interno + fecha recepción
  • Confirmación de identidad verificada (sin volcar datos identificativos en la respuesta)
  • Acción realizada: qué se ha entregado · qué se ha modificado · qué se ha suprimido · qué se ha bloqueado
  • Si hay negativa parcial o total: motivación con referencia legal específica
  • Recordatorio del derecho a reclamar ante AEPD si el paciente no está conforme · con datos contacto AEPD
  • Firma responsable tratamiento o DPO

Errores típicos a evitar

  • Responder verbalmente o por teléfono sin documentar · no tienes prueba de que cumpliste
  • Pasarse del plazo de 1 mes sin notificar prórroga
  • Negar acceso sin motivación legal específica
  • Cobrar una tarifa por acceso (debe ser gratuito · salvo solicitudes excesivas con coste razonable bien justificado)
  • No entregar pruebas diagnósticas (radiografías · ortopantomografías) cuando se piden · sí forman parte de historia clínica
  • Borrar todo en cuanto el paciente lo pide · violando la conservación obligatoria por ley sanitaria
  • No mantener registro interno de solicitudes ARCO recibidas y respondidas · auditoría AEPD lo pide

Cómo AI Empire encaja

Las clínicas que usan AI Empire reciben solicitudes ARCO también por WhatsApp · y el sistema lo gestiona con flujo dedicado:

  • Detección de mensajes tipo "quiero ver mis datos" / "borren mis datos" / "no quiero más mensajes"
  • Handoff inmediato a humano con tag "ARCO" para procesar como solicitud formal
  • Registro automático en log interno con timestamp · para auditoría AEPD
  • Opt-out marketing inmediato cuando el paciente escribe "STOP" o equivalente
  • Retención configurable según política clínica y normativa autonómica

Disclaimer: este artículo es legal general · NO sustituye asesoramiento jurídico específico. La gestión de derechos ARCO en clínica privada requiere conocimiento de RGPD · LOPDGDD · Ley 41/2002 · normativa autonómica · y código deontológico profesional. Consulta con abogado especializado y DPO antes de definir tu procedimiento. AI Empire NO ofrece servicio jurídico.

Lectura relacionada

Otros artículos que pueden ayudarte a profundizar en lo mismo.

Legal · 16 min

AEPD para clínicas privadas · checklist 22 puntos para auditoría 2026

Checklist accionable de 22 puntos para preparar tu clínica para una inspección AEPD en 2026. Sin tecnicismos · sin promesas vacías · sólo lo

Leer artículo
Legal · 13 min

¿Es legal grabar llamadas en tu clínica? · análisis honesto España 2026

Análisis legal honesto sobre grabación de llamadas en clínica privada · consentimiento expreso · LOPDGDD · finalidad · retención · base legi

Leer artículo
Legal · 13 min

PCI DSS en clínicas privadas · cómo cumplir vía Stripe (sin SAQ-D)

Análisis honesto cumplimiento PCI DSS en clínica privada vía Stripe 2026. SAQ-A vs SAQ-D · Stripe Elements iframe · evitar PCI scope · escen

Leer artículo

Deja de regalar ingresos.
Activa tu Revenue OS.

14 días gratis · setup completo incluido · sin permanencia. Si en 14 días no recuperas mínimo 1 cita atribuible al bot · te devolvemos lo pagado y archivamos sin preguntas.

Activar gratis 14 díasAgendar demo 15 min

¿Prefieres ver demo grabada antes? · analiza tus reseñas gratis · audit pre-onboarding para tu clínica · 5 min · cero compromiso.