Análisis de riesgos para la protección de datos

Gabinete de medicina estética (U.48) · Andalucía · julio 2026

Objeto. Documentar el análisis de riesgos que exigen los arts. 24 y 32 del RGPD para cualquier tratamiento, aunque no proceda una Evaluación de Impacto (EIPD). Sirve para (1) demostrar diligencia y responsabilidad proactiva ante la AEPD y (2) motivar por escrito por qué esta consulta individual no está obligada a EIPD, y en qué supuestos sí lo estaría.

Por qué existe este documento. El RGPD desacopla dos cosas: el análisis de riesgos es obligatorio siempre (art. 24/32); la EIPD (art. 35) solo cuando el tratamiento es de alto riesgo. No hacer EIPD no exime de analizar el riesgo: exige dejar constancia del análisis y de la conclusión. Este documento es esa constancia.

Metodología. Sigue la Guía de la AEPD "Gestión del riesgo y evaluación de impacto en tratamientos de datos personales" (02D Guia gestion riesgo y EIPD). Es coherente con la Guía RGPD y el RAT ya redactados en 03 Proteccion Datos y no los sustituye: el RAT describe qué se trata; este documento evalúa qué puede salir mal y cómo se mitiga.


1. Método (resumen operativo de la guía AEPD)

El análisis de riesgos se orienta a los derechos y libertades del paciente, no solo a la seguridad de la organización. El ciclo:

  Finalidades  ──►  Descripción del   ──►  Riesgo INHERENTE   ──►  Tratamiento del riesgo
  del                tratamiento           (amenazas ×             (medidas y garantías
  tratamiento        (inventario/RAT)      probabilidad ×          = "controles")
                                           impacto, antes de            │
                                           medidas)                     ▼
                                                              Riesgo RESIDUAL  ──►  ¿aceptable?
                                                              (después de medidas)      │
                                                                    ▲                   │ no
                                                                    └───────────────────┘
                                                              Revisión periódica y ante
                                                              cambios de naturaleza, ámbito,
                                                              contexto o fines.

Puntos que la guía subraya y que aplico:

1.1 Escalas de valoración

Probabilidad de que la amenaza se materialice:

Nivel Criterio
Baja (1) Improbable con las medidas y el contexto actuales
Media (2) Posible; ha ocurrido en entornos similares
Alta (3) Frecuente o esperable si no se actúa

Impacto sobre los derechos y libertades del paciente:

Nivel Criterio
Bajo (1) Molestia menor, reversible, sin datos sensibles
Medio (2) Perjuicio apreciable; datos de contacto/económicos
Alto (3) Daño serio: exposición de datos de salud o imagen, discriminación, daño reputacional
Muy alto (4) Daño grave e irreversible (difusión masiva de historia clínica/imágenes íntimas)

Nivel de riesgo = Probabilidad × Impacto. Matriz:

P \ I Bajo (1) Medio (2) Alto (3) Muy alto (4)
Alta (3) Medio Alto Crítico Crítico
Media (2) Bajo Medio Alto Crítico
Baja (1) Bajo Bajo Medio Alto

Umbral: todo lo que quede en Alto o Crítico exige medidas hasta bajarlo a Medio/Bajo (riesgo residual aceptable) o justificar por qué se asume.


2. Inventario de tratamientos (alineado con el RAT)

Cuatro tratamientos, los mismos del RAT (REGISTRO DE ACTIVIDADES DE TRATAMIENTO (RAT)):

# Tratamiento Datos Base jurídica Sensibilidad
T1 Pacientes / asistencia e historia clínica Identificativos, contacto y salud (art. 9) + fotografía clínica asistencial 6.1.b + 9.2.h Muy alta
T2 Facturación y contabilidad Identificativos, contacto, económicos 6.1.c + 6.1.b Media
T3 Marketing e imagen (RRSS/web) Contacto, imagen; en "antes/después" la imagen es dato de salud 6.1.a / 9.2.a para imagen + LO 1/1982 Alta
T4 Videovigilancia (si hay cámaras) Imagen 6.1.f (art. 22 LOPDGDD) Media

3. Catálogo de amenazas

Amenazas típicas del sector salud (la AEPD las identifica como las más frecuentes en brechas sanitarias). Cada una se valora por tratamiento en §4.

Cód. Amenaza Ejemplo en el gabinete
A1 Acceso no autorizado interno Personal que consulta HC sin necesidad asistencial (curiosidad)
A2 Acceso no autorizado externo / ciberataque Robo de credenciales, ransomware sobre el software de HC
A3 Pérdida de disponibilidad Borrado accidental, fallo de disco, cifrado por ransomware sin copia
A4 Brecha de confidencialidad Exfiltración o publicación de HC/imágenes
A5 Envío erróneo Email/WhatsApp con informe o foto al destinatario equivocado
A6 Pérdida/robo de dispositivo Portátil o móvil con datos en claro
A7 Destrucción indebida de papel/soporte Tirar HC en papel a la basura común
A8 Encargado sin contrato o sin garantías Software/gestoría/agencia que trata datos sin contrato del art. 28
A9 Uso de imagen sin consentimiento válido Publicar "antes/después" sin consentimiento explícito y granular
A10 Transferencia internacional sin garantía Software o RRSS con servidores fuera del EEE sin cláusulas art. 46

4. Valoración por tratamiento (riesgo inherente → medidas → residual)

Plantilla rellenable. Los valores propuestos son un punto de partida razonado; ajústalos a tu configuración real (proveedores, si hay papel, si hay cámaras). P = probabilidad, I = impacto.

T1, Pacientes / historia clínica (núcleo del riesgo)

Amenaza P·I inherente Medidas / garantías (controles) P·I residual
A1 Acceso interno 3·3 = Crítico Acceso individualizado need-to-know; registro de accesos (logs) con alertas; deber de secreto firmado; formación 1·3 = Medio
A2 Ciberataque 2·4 = Crítico Cifrado en reposo y tránsito; 2FA; antivirus/firewall/actualizaciones; software de HC con medidas art. 32 1·4 = Alto → vigilar
A3 Indisponibilidad 2·3 = Alto Copias 3-2-1 cifradas con restauración probada; plan de continuidad 1·3 = Medio
A4 Confidencialidad 2·4 = Crítico Cifrado; control de acceso; minimización; contrato de encargado 1·4 = Alto → vigilar
A5 Envío erróneo 3·3 = Crítico Doble verificación de destinatario; canal seguro (no WhatsApp para clínica); plantillas; formación 1·3 = Medio
A6 Pérdida dispositivo 2·4 = Crítico Nunca datos de salud en claro en portátil/móvil; cifrado de disco; borrado remoto 1·4 = Alto → vigilar
A7 Destrucción papel 2·3 = Alto Destructora; empresa de destrucción certificada (encargado); minimizar papel 1·2 = Bajo
A8 Encargado sin contrato 2·4 = Crítico Contrato art. 28 con software, gestoría, IT, destrucción, marketing (ver 03_Proteccion_Datos/05_...) 1·4 = Alto → cerrar contratos
A10 Transferencia internacional 2·4 = Crítico Alojamiento en EEE o cláusulas tipo art. 46; verificar ubicación de servidores 1·4 = Alto → verificar

T2, Facturación

Amenaza P·I inherente Medidas / garantías P·I residual
A2/A4 Acceso/brecha 2·2 = Medio Control de acceso; cifrado; separación de los datos clínicos 1·2 = Bajo
A5 Envío erróneo 2·2 = Medio Verificación de destinatario; sin datos de salud en la factura más allá del servicio genérico 1·2 = Bajo
A8 Encargado (gestoría) 2·2 = Medio Contrato art. 28 con la gestoría 1·2 = Bajo

T3, Marketing e imagen

Amenaza P·I inherente Medidas / garantías P·I residual
A9 Imagen sin consentimiento 3·3 = Crítico Consentimiento explícito, granular y por finalidad (art. 9.2.a + LO 1/1982); prueba conservada; procedimiento de revocación y retirada 1·3 = Medio
A8 Encargado (agencia/email) 2·3 = Alto Contrato art. 28 con agencia y plataforma de email 1·2 = Bajo
A10 Transferencia internacional (RRSS) 3·3 = Crítico Consciencia de que las plataformas alojan fuera del EEE; información al interesado; cláusulas art. 46 donde apliquen 2·3 = Alto → asumido/informado

A9 es la infracción más sancionada del sector estético (publicar "antes/después" sin consentimiento específico). El consentimiento "con fines médicos" no habilita a publicar en redes: son finalidades distintas y consentimientos distintos.

T4, Videovigilancia (si aplica)

Amenaza P·I inherente Medidas / garantías P·I residual
A4 Acceso indebido a grabaciones 2·2 = Medio Acceso restringido; cartel informativo; no captar zona asistencial 1·2 = Bajo
A3 Conservación excesiva 2·2 = Medio Borrado automático ≤ 30 días (art. 22.3 LOPDGDD) 1·1 = Bajo

5. Catálogo de medidas y garantías (controles transversales)

Aplican a todos los tratamientos según proporción. Referencia técnica: art. 32 RGPD y, como marco de buenas prácticas, el ENS (RD 311/2022).

Ámbito Control Estado [ ]
Confidencialidad Cifrado en reposo y en tránsito de datos de salud [ ]
Acceso Usuario individual + contraseña robusta + 2FA/MFA [ ]
Acceso Perfiles need-to-know; registro de accesos (logs) y alertas [ ]
Disponibilidad Copias 3-2-1, cifradas, con restauración probada [ ]
Diseño Seudonimización/minimización; separar identificativos de clínicos en usos secundarios [ ]
Soportes Destrucción segura de papel; borrado seguro de dispositivos [ ]
Encargados Contrato art. 28 con todo tercero que trate datos (ver §6) [ ]
Personas Compromiso de confidencialidad firmado + formación (deber de secreto, art. 5 LOPDGDD) [ ]
Brechas Procedimiento de detección y notificación (72 h AEPD, art. 33) + registro interno [ ]
Transparencia Cláusula informativa entregada (art. 13); consentimientos de imagen archivados [ ]
Transferencias Ubicación de proveedores verificada; cláusulas tipo art. 46 donde aplique [ ]

Encargados con los que firmar el contrato del art. 28 (mapa del RAT): software de HC en la nube, hosting/correo, gestoría, mantenimiento IT, empresa de destrucción documental, agencia de marketing/community manager, plataforma de email. Sin ese contrato, cada acceso es una comunicación ilícita.


6. Conclusión motivada sobre la EIPD (art. 35 RGPD)

Conclusión: en su configuración actual (consulta individual de escala reducida) este gabinete NO está obligado a realizar una EIPD. Se motiva así:

  1. La EIPD es obligatoria, entre otros, para el tratamiento a gran escala de categorías especiales (datos de salud). La "gran escala" se valora por número de afectados, volumen y variedad de datos, permanencia y extensión geográfica.
  2. Una consulta individual con un número limitado de pacientes no es "gran escala". La propia AEPD ejemplifica que el médico o dentista que trata datos de sus pacientes no de forma masiva no está obligado a EIPD.
  3. La Lista de la AEPD del art. 35.4 (02D Lista tratamientos requieren EIPD art35-4) presume alto riesgo cuando concurren ≥ 2 criterios (datos sensibles + gran escala + perfilado + datos de vulnerables + tecnologías innovadoras + impedir el ejercicio de derechos, etc.). Aquí concurre uno (datos sensibles de salud) , pero no se alcanza el segundo en la operativa descrita.
  4. El análisis de riesgos del art. 24/32 sí se ha realizado (§§1–5). El riesgo residual solo es aceptable si los controles se implantan de forma efectiva: contratos de encargado (art. 28) firmados con el software clínico y los demás proveedores, cifrado, prohibición de tratar datos de paciente por WhatsApp/email no seguro y verificación de que los servidores están en el EEE. Mientras alguno de esos controles no esté implantado (singularmente en el software en la nube, la mensajería, las fotografías, el control de accesos y las transferencias internacionales) , el riesgo residual de esa amenaza no es aceptable, y no debe iniciarse ese tratamiento hasta cerrarlo o documentar una aceptación motivada del riesgo.

Esta conclusión no es permanente. Debe revisarse cuando cambie la naturaleza, el ámbito, el contexto o los fines del tratamiento.

6.1 Cuándo SÍ habría que hacer EIPD (revisar en cada hito)

Bastaría cumplir ≥ 2 criterios de la lista, o alcanzar "gran escala". Se dispararía la EIPD si:

Si marcas cualquiera, para y abre una EIPD antes de iniciar ese tratamiento (herramienta AEPD Gestiona RGPD para riesgo alto; Facilita RGPD solo cubre bajo riesgo).


7. Revisión, versión y firma

Campo Contenido
Responsable del tratamiento [Nombre y apellidos de la médica]
Fecha del análisis [ ]
Versión [ ]
Próxima revisión prevista [ ] (y ante cualquier cambio de tratamiento)
DPD [No designado / obligatorio si se incorpora personal sanitario auxiliar — art. 34.1.o LOPDGDD]
Firma [ ]

8. Pendientes de verificación


Documento de trabajo basado en normativa vigente a julio 2026. Elaborado conforme a la Guía AEPD de gestión del riesgo y EIPD. Coherente con el RAT y la Guía RGPD de 03 Proteccion Datos. Revísalo cuando cambie cualquier tratamiento.