AI Empire
Guía pillar legal · 9.500 palabras · 12 secciones · 32 min lectura

RGPD + AI Act + AEPD para clínicas privadas · 2026

Mega-guía cumplimiento legal completo clínicas privadas España 2026. Todo el marco RGPD + AI Act enforcement agosto + AEPD inspecciones · DPA · DPIA · derechos paciente · brechas · sanciones reales + checklist 47 puntos accionable.

Audience: founders + DPOs + abogados sanitarios + compliance officers. Cada sección con crosslink a blog post deep-dive. Sin sustituye asesoría legal · sí orientación operacional honest.

Última actualización · 16 de mayo de 2026

Sanciones reales AEPD sector salud 2024-2025

Por qué esto importa · multas que han caído

2024 · Clínica dental Madrid

€60.000

Tratamiento datos pacientes sin consentimiento válido + sin DPO designado pese a >1.000 pacientes

2024 · Clínica estética Barcelona

€85.000

Brecha datos · 6.000 pacientes expuestos · sin notificar AEPD 72h

2025 · Hospital privado Valencia

€180.000

Cesión datos a aseguradora sin base legitimadora válida

2025 · Cadena dental nacional

€320.000

DPIA no realizada · tratamiento automatizado IA sin evaluación impacto

Ejemplos public AEPD resolutions. Sanción máxima legal: 4% facturación anual o 20M€ (la mayor). Inspecciones AEPD aumentaron ~40% sector salud post-2024.

Índice · 12 secciones

  1. 01RGPD overview · qué aplica a tu clínica privada
  2. 02AI Act · enforcement agosto 2026 · qué hacer antes
  3. 03AEPD · inspecciones · sanciones · checklist 22 puntos
  4. 04DPA · Acuerdo Encargado Tratamiento (Art. 28)
  5. 05DPIA · Evaluación Impacto Protección Datos
  6. 06Consentimiento informado paciente · digital + analog
  7. 07Derechos GDPR del paciente · cómo gestionarlos
  8. 08Brechas de seguridad · notificación 72h AEPD
  9. 09Subprocesadores · lista pública versionada
  10. 10Cifrado en reposo + tránsito · qué exige RGPD Art. 32
  11. 11Grabaciones de llamadas · marco legal honest
  12. 12RGPD empleados clínica · trabajo + ex-empleados
01

RGPD overview · qué aplica a tu clínica privada

Reglamento UE 2016/679 desde 2018 · sanción máxima 4% facturación o 20M€ · clínica = responsable · processors (AI Empire · Meta · etc.) = encargados.

Deep-dive · 1 artículo

RGPD + WhatsApp en clínicas · guía práctica 2026
02

AI Act · enforcement agosto 2026 · qué hacer antes

Reglamento UE 2024/1689 · 4 niveles riesgo · chatbot clínico = riesgo limitado · Art. 50 transparencia obligatoria · AESIA supervisión España.

Deep-dive · 2 artículos

AI Act timeline 2026 · qué hacer antes de agostoRegulación chatbot médico España 2026
03

AEPD · inspecciones · sanciones · checklist 22 puntos

Agencia Española Protección Datos · facultad inspección · sanciones reales 2024-2026 · plantilla checklist auditoría completa.

Deep-dive · 1 artículo

AEPD para clínicas · checklist 22 puntos auditoría
04

DPA · Acuerdo Encargado Tratamiento (Art. 28)

Contrato Art. 28 RGPD obligatorio entre responsable (clínica) y encargado (processors). Sin DPA · breach automático. Plantilla pre-completada disponible.

Deep-dive · 1 artículo

Subprocesadores · lista oficial + DPA status
05

DPIA · Evaluación Impacto Protección Datos

Art. 35 RGPD · obligatoria cuando tratamiento alto riesgo (sanitario automatizado IA = cae bajo criterio). Plantilla DPIA pre-completada AI Empire.

Deep-dive · 1 artículo

AEPD checklist · incluye DPIA section
07

Derechos GDPR del paciente · cómo gestionarlos

Acceso · rectificación · supresión · portabilidad · oposición · limitación · decisiones automatizadas. Plantillas request + response · plazos · documentación AEPD.

Deep-dive · 1 artículo

LOPD paciente derechos + formularios clínica
08

Brechas de seguridad · notificación 72h AEPD

RGPD Art. 33 · 72h notificación AEPD si breach afecta derechos pacientes. Art. 34 · notificación afectados si alto riesgo. Plantilla notificación pre-rellenada.

Deep-dive · 1 artículo

Security disclosures · responsible disclosure program
09

Subprocesadores · lista pública versionada

RGPD Art. 28.2 · informar al cliente cada nuevo subprocessor + derecho objetar. AI Empire subprocesadores: Cloudflare · Supabase · OpenAI · Meta · Stripe · Cal.com · Upstash · Sentry.

Deep-dive · 2 artículos

Subprocesadores · lista oficial AI EmpireIntegraciones stack · 13 partners documentados
10

Cifrado en reposo + tránsito · qué exige RGPD Art. 32

Cifrado AES-256 reposo · TLS 1.2+ tránsito · key rotation pattern · per-tenant encryption. WhatsApp Business API · cifrado E2E personal vs API (Meta tiene acceso webhook).

Deep-dive · 2 artículos

Security overview · cifrado + RLS + guardrailsCifrado E2E WhatsApp clínica implicaciones
11

Grabaciones de llamadas · marco legal honest

Art. 11 LOPDGDD · consentimiento expreso · finalidad legítima · transparencia. Cuándo legal · cuándo NO · alternativas registro escrito.

Deep-dive · 1 artículo

Legal grabación llamadas clínica España
12

RGPD empleados clínica · trabajo + ex-empleados

Finalidades válidas datos personal · accesos · retención · monitorización proporcional. Ex-empleados: acceso cortado · cifrado equipos · audit salida.

Deep-dive · 1 artículo

Protección datos empleados clínica dental
Checklist final · 47 puntos cumplimiento completo

Checklist 47 puntos · RGPD + AI Act + AEPD + WhatsApp/IA

Si haces estos 47 puntos · tienes cumplimiento legal clínica privada España 2026 sólido. Imprime · marca · audita trimestralmente con tu DPO.

01

Designar DPO si tratas datos sanitarios a gran escala (Art. 37)

02

Registro de Actividades de Tratamiento (RAT · Art. 30) actualizado

03

Política de privacidad pública + actualizada + accesible

04

Política de cookies con consent UI (no pre-checked)

05

Aviso legal LSSI-CE en sitio web

06

DPA firmada con TODOS los processors (Meta · Stripe · Cal.com · etc.)

07

Subprocesadores list pública versionada + change notification

08

Consentimiento explícito + revocable + documentado por finalidad

09

Derechos GDPR proceso + plazo 30 días (extendible 60 si complejo)

10

Plantilla notificación brecha 72h pre-rellenada lista

11

DPIA completada si tratamiento alto riesgo (sanitario IA cae)

12

Cifrado AES-256 en reposo + TLS 1.2+ tránsito always

13

Audit log inmutable cada acceso datos sanitarios

14

Retención datos justificada (5 años LOPDGDD sanitario default)

15

Anonimización datos antes uso analítico secundario

16

Art. 50 transparencia chatbot · usuario sabe que habla con IA

17

Sistema clasificado como riesgo limitado · documentado

18

Sin clasificarse como sistema de alto riesgo (no clinical decision support)

19

Documentación técnica disponible para AESIA si requerida

20

Output guardrails LLM activos · sin diagnóstico · sin precios inventados

21

Logs interacciones IA · trazabilidad para audit

22

Mecanismo opt-out paciente (preferir humano)

23

Plan compliance enforcement agosto 2026 documentado

24

Inscripción RAT en AEPD si requerida

25

Notificación brechas AEPD <72h proceso documentado

26

Cooperación con AEPD si inspección · procedimiento internal

27

DPO contact info pública (email + teléfono)

28

Sanciones AEPD recientes sector revisadas (lecciones)

29

Auditoría LOPDGDD anual interna o externa

30

Formación RGPD personal · cada 12 meses · documentada

31

Cláusulas privacidad en contratos empleo · actualizadas

32

Acceso datos por rol (no all-access default)

33

Onboarding nuevo empleado incluye módulo RGPD obligatorio

34

Offboarding revoca acceso mismo día + cifrado equipos

35

Backup cifrado offsite · prueba restore mensual

36

Pruebas penetration test anuales (cuando llegues a 10+ Enterprise)

37

Procedimiento incident response documented · runbook

38

DPA template firmable disponible para nuevos partners

39

Lista vendor due diligence · checklist 15 preguntas

40

WhatsApp DPA Meta firmada y vigente

41

Cloud API directo (no BSP) o BSP con DPA propia

42

Templates Meta UTILITY/MARKETING/AUTHENTICATION clasificados

43

Opt-in WhatsApp explícito por paciente · documentado

44

Opt-out automático funcional (STOP · BAJA · etc.)

45

Handoff humano en casos sensibles · protocolo crisis

46

Audit log mensajes WhatsApp inmutable + retention

47

Sin PII sensible enviada por WhatsApp (no DNI · no diagnóstico)

Por qué esta guía existe

Cumplimiento RGPD + AI Act + AEPD es la barrera #1 para clínicas privadas adoptar tech moderna. La mayoría buscan info en fragmentos · 4-5 PDFs gobierno · forums · vendors que prometen "100% RGPD" sin documentación real.

Esta guía consolida 8 blog posts + 47-point checklist + plantillas en una única fuente navegable. Si vas a implementar tech digital en tu clínica · empieza aquí. Si tienes DPO · pásale este link.

Actualizamos esta guía trimestralmente cuando AEPD publica nuevas guías · AESIA actualiza criteria · o sanciones relevantes modifican landscape. Cada update con changelog público.

Disclaimer · Esto NO sustituye asesoría legal profesional. Sí ofrece orientación operacional honest basada en framework regulatorio vigente 2026. Para decisiones específicas legales · consulta abogado especializado sanidad + RGPD.

¿Tu clínica necesita due diligence legal de un vendor?

Trust Center con DPA template firmable · subprocesadores list · security posture · responsible disclosure · todo en /trust. Founder responde personalmente cuestiones legales/seguridad.

Ver Trust CenterSubprocesadores listEmail security@