Saltar al contenido principal
AI Empire
Todos los artículos
Legal · 3 min lectura

RGPD + WhatsApp en clínicas privadas · guía práctica 2026

·Jonatan Contell

Usar WhatsApp Business en una clínica privada no es ilegal · pero es regulado. Esta es la guía honesta · sin marketing fluff · que un abogado de tu clínica querría leer.

1 · WhatsApp Business API · NO WhatsApp normal

Primer punto crítico: NO uses WhatsApp normal (la app de tu móvil personal) para comunicación con pacientes. Razones:

  • Sin cifrado E2E controlado · Meta puede leer mensajes
  • Sin auditoría · sin trazabilidad · sin export
  • Sin DPA firmable con Meta como Encargado
  • Sin opt-in formal · sin opt-out registrable

Usa WhatsApp Business API (Cloud API) oficial de Meta. Esa sí permite firmar DPA · trazabilidad · opt-in/out formal · y cumplimiento RGPD.

2 · DPA · Contrato Encargado del Tratamiento

Tu clínica es el Responsable del tratamiento (Art. 4.7 RGPD). Cada herramienta que procesa datos de tus pacientes es un Encargado (Art. 4.8 RGPD). Necesitas contrato Art. 28 con cada uno:

  • Meta WhatsApp Business · Meta Business Solution Terms
  • OpenAI · Data Processing Addendum + ZDR opcional
  • Supabase / Postgres / Cloudflare · DPAs estándar
  • Tu proveedor de chatbot AI (ej. AI Empire) · DPA propio

Sin DPAs firmados · estás violando Art. 28 RGPD. Multa AEPD típica: 5.000-30.000€ leve · hasta 10M€ Art. 83.4 graves.

3 · Opt-in explícito · NO opt-out asumido

El paciente debe dar consentimiento explícito antes de que tu sistema le envíe mensajes proactivos (recordatorios · marketing · seguimientos).

Formas válidas:

  • Checkbox físico en formulario consulta (NO pre-tickado · Art. 7 RGPD)
  • Primer mensaje WhatsApp del paciente HACIA tu clínica = opt-in implícito para CONVERSACIÓN (no para marketing)
  • Doble opt-in WhatsApp: paciente escribe · bot responde con política privacidad · paciente confirma "Sí acepto"

4 · Derechos GDPR · debes implementarlos

Cada paciente puede ejercer (Arts. 15-22 RGPD):

  • Acceso (Art. 15) · obtener copia de sus datos
  • Rectificación (Art. 16) · corregir datos incorrectos
  • Supresión (Art. 17) · "derecho al olvido"
  • Portabilidad (Art. 20) · export JSON/CSV
  • Oposición (Art. 21) · cesar tratamiento marketing

Tu sistema debe permitir ejecutar estos derechos en 30 días (Art. 12 RGPD). Si usas un proveedor (ej. AI Empire), el portal paciente con derechos GDPR debería ya incluirlos.

5 · Retention · cuánto tiempo guardas datos

Art. 5.1.e RGPD: limitación temporal. No puedes guardar datos "para siempre". Política típica clínica:

  • Conversaciones WhatsApp activas · 24 meses · borrado automático
  • Historial médico · 5 años (Ley 41/2002 · derechos del paciente)
  • Datos contables (facturación) · 6 años (LGT Art. 66)
  • Datos opt-out · permanente con marca "no contactar" (NO borrado · es prueba de cumplimiento)

6 · AI Act · Aug 2026 enforcement clave

Si usas IA conversacional con pacientes:

  • Art. 50 · transparencia · el bot DEBE decirle al paciente que es IA (no humano)
  • Art. 5 · prohibiciones · NO inferir emociones · NO clasificación biométrica
  • Tu chatbot clínico = "sistema de riesgo limitado" Art. 50 (no es high-risk salvo que tome decisiones clínicas automáticas)

7 · Lo que NO necesitas (mitos)

  • NO necesitas DPO obligatorioa menos que proceses Art. 9 a gran escala (>5.000 pacientes aproximadamente, según AEPD).
  • NO necesitas notificar a AEPD antes de empezar (la inscripción es voluntaria · no obligatoria).
  • NO necesitas servidor en España si tu proveedor está en UE/EEA con DPA firmado.

8 · Cómo AI Empire encaja

Diseñamos AI Empire para que tu compliance sea más fácil:

  • DPA Art. 28 listo para firmar antes del onboarding
  • Portal paciente con 5 derechos GDPR pre-implementados
  • Política retention configurable por clínica · 24m default
  • Disclosure Art. 50 AI Act en primer mensaje bot
  • Auditoría completa · cada mensaje queda registrado
  • Cifrado AES-256 reposo · TLS 1.2+ tránsito · EU-hosted

Disclaimer: este artículo es informativo · NO asesoramiento legal. Para tu caso específico · consulta con abogado especializado en RGPD/protección datos. AI Empire facilita el cumplimiento pero no sustituye revisión legal de tu operativa.

Lectura relacionada

Otros artículos que pueden ayudarte a profundizar en lo mismo.

Legal · 25 min

RGPD consentimiento explícito vs tácito clínica · cuándo aplica 2026

Distinción consentimiento explícito vs tácito RGPD clínica privada España 2026: datos salud Art 9 RGPD requieren consent explícito vs datos

Leer artículo
Legal · 80 min

DPO obligatorio clínica · cuándo aplica RGPD 2026

Cuándo clínica privada España 2026 necesita Delegado Protección Datos DPO obligatorio Art. 37 RGPD: processing categoría especial datos salu

Leer artículo
Legal · 16 min

Consentimiento menores edad clínica · RGPD + Ley 41/2002 2026

Cómo gestionar consentimiento menores edad clínica privada España 2026: menor maduro vs no maduro Ley 41/2002 + firma padres tutores legales

Leer artículo

Deja de regalar ingresos.
Activa tu Revenue OS.

Desde €49/mes · setup completo incluido · sin permanencia. Si no encaja, te ayudamos a desinstalar limpio.

Hablar con el founder
Agendar demo 15 min

¿Prefieres ver demo grabada antes? · analiza tus reseñas gratis · audit pre-onboarding para tu clínica · 5 min · cero compromiso.