Análisis de riesgos para la protección de datos
Gabinete de medicina estética (U.48) · Andalucía · julio 2026
Objeto. Documentar el análisis de riesgos que exigen los arts. 24 y 32 del RGPD para cualquier tratamiento, aunque no proceda una Evaluación de Impacto (EIPD). Sirve para (1) demostrar diligencia y responsabilidad proactiva ante la AEPD y (2) motivar por escrito por qué esta consulta individual no está obligada a EIPD, y en qué supuestos sí lo estaría.
Por qué existe este documento. El RGPD desacopla dos cosas: el análisis de riesgos es obligatorio siempre (art. 24/32); la EIPD (art. 35) solo cuando el tratamiento es de alto riesgo. No hacer EIPD no exime de analizar el riesgo: exige dejar constancia del análisis y de la conclusión. Este documento es esa constancia.
Metodología. Sigue la Guía de la AEPD "Gestión del riesgo y evaluación de impacto en tratamientos de datos personales" (02D Guia gestion riesgo y EIPD). Es coherente con la Guía RGPD y el RAT ya redactados en 03 Proteccion Datos y no los sustituye: el RAT describe qué se trata; este documento evalúa qué puede salir mal y cómo se mitiga.
1. Método (resumen operativo de la guía AEPD)
El análisis de riesgos se orienta a los derechos y libertades del paciente, no solo a la seguridad de la organización. El ciclo:
Finalidades ──► Descripción del ──► Riesgo INHERENTE ──► Tratamiento del riesgo
del tratamiento (amenazas × (medidas y garantías
tratamiento (inventario/RAT) probabilidad × = "controles")
impacto, antes de │
medidas) ▼
Riesgo RESIDUAL ──► ¿aceptable?
(después de medidas) │
▲ │ no
└───────────────────┘
Revisión periódica y ante
cambios de naturaleza, ámbito,
contexto o fines.
Puntos que la guía subraya y que aplico:
- Riesgo inherente = nivel de riesgo antes de medidas. Riesgo residual = nivel después de aplicar controles. El objetivo es llevar el residual a un nivel aceptable.
- Impacto muy elevado: cuando el impacto sobre el paciente es altísimo (datos de salud, imagen), el factor de riesgo se gestiona aunque su probabilidad sea baja.
- Las medidas no son solo de seguridad: incluyen gobernanza, protección desde el diseño y por defecto, transparencia y derechos y gestión de brechas.
- El impacto se valora sobre el individuo y la sociedad, no solo sobre la relación con la clínica.
1.1 Escalas de valoración
Probabilidad de que la amenaza se materialice:
| Nivel | Criterio |
|---|---|
| Baja (1) | Improbable con las medidas y el contexto actuales |
| Media (2) | Posible; ha ocurrido en entornos similares |
| Alta (3) | Frecuente o esperable si no se actúa |
Impacto sobre los derechos y libertades del paciente:
| Nivel | Criterio |
|---|---|
| Bajo (1) | Molestia menor, reversible, sin datos sensibles |
| Medio (2) | Perjuicio apreciable; datos de contacto/económicos |
| Alto (3) | Daño serio: exposición de datos de salud o imagen, discriminación, daño reputacional |
| Muy alto (4) | Daño grave e irreversible (difusión masiva de historia clínica/imágenes íntimas) |
Nivel de riesgo = Probabilidad × Impacto. Matriz:
| P \ I | Bajo (1) | Medio (2) | Alto (3) | Muy alto (4) |
|---|---|---|---|---|
| Alta (3) | Medio | Alto | Crítico | Crítico |
| Media (2) | Bajo | Medio | Alto | Crítico |
| Baja (1) | Bajo | Bajo | Medio | Alto |
Umbral: todo lo que quede en Alto o Crítico exige medidas hasta bajarlo a Medio/Bajo (riesgo residual aceptable) o justificar por qué se asume.
2. Inventario de tratamientos (alineado con el RAT)
Cuatro tratamientos, los mismos del RAT (REGISTRO DE ACTIVIDADES DE TRATAMIENTO (RAT)):
| # | Tratamiento | Datos | Base jurídica | Sensibilidad |
|---|---|---|---|---|
| T1 | Pacientes / asistencia e historia clínica | Identificativos, contacto y salud (art. 9) + fotografía clínica asistencial | 6.1.b + 9.2.h | Muy alta |
| T2 | Facturación y contabilidad | Identificativos, contacto, económicos | 6.1.c + 6.1.b | Media |
| T3 | Marketing e imagen (RRSS/web) | Contacto, imagen; en "antes/después" la imagen es dato de salud | 6.1.a / 9.2.a para imagen + LO 1/1982 | Alta |
| T4 | Videovigilancia (si hay cámaras) | Imagen | 6.1.f (art. 22 LOPDGDD) | Media |
3. Catálogo de amenazas
Amenazas típicas del sector salud (la AEPD las identifica como las más frecuentes en brechas sanitarias). Cada una se valora por tratamiento en §4.
| Cód. | Amenaza | Ejemplo en el gabinete |
|---|---|---|
| A1 | Acceso no autorizado interno | Personal que consulta HC sin necesidad asistencial (curiosidad) |
| A2 | Acceso no autorizado externo / ciberataque | Robo de credenciales, ransomware sobre el software de HC |
| A3 | Pérdida de disponibilidad | Borrado accidental, fallo de disco, cifrado por ransomware sin copia |
| A4 | Brecha de confidencialidad | Exfiltración o publicación de HC/imágenes |
| A5 | Envío erróneo | Email/WhatsApp con informe o foto al destinatario equivocado |
| A6 | Pérdida/robo de dispositivo | Portátil o móvil con datos en claro |
| A7 | Destrucción indebida de papel/soporte | Tirar HC en papel a la basura común |
| A8 | Encargado sin contrato o sin garantías | Software/gestoría/agencia que trata datos sin contrato del art. 28 |
| A9 | Uso de imagen sin consentimiento válido | Publicar "antes/después" sin consentimiento explícito y granular |
| A10 | Transferencia internacional sin garantía | Software o RRSS con servidores fuera del EEE sin cláusulas art. 46 |
4. Valoración por tratamiento (riesgo inherente → medidas → residual)
Plantilla rellenable. Los valores propuestos son un punto de partida razonado; ajústalos a tu configuración real (proveedores, si hay papel, si hay cámaras). P = probabilidad, I = impacto.
T1, Pacientes / historia clínica (núcleo del riesgo)
| Amenaza | P·I inherente | Medidas / garantías (controles) | P·I residual |
|---|---|---|---|
| A1 Acceso interno | 3·3 = Crítico | Acceso individualizado need-to-know; registro de accesos (logs) con alertas; deber de secreto firmado; formación | 1·3 = Medio |
| A2 Ciberataque | 2·4 = Crítico | Cifrado en reposo y tránsito; 2FA; antivirus/firewall/actualizaciones; software de HC con medidas art. 32 | 1·4 = Alto → vigilar |
| A3 Indisponibilidad | 2·3 = Alto | Copias 3-2-1 cifradas con restauración probada; plan de continuidad | 1·3 = Medio |
| A4 Confidencialidad | 2·4 = Crítico | Cifrado; control de acceso; minimización; contrato de encargado | 1·4 = Alto → vigilar |
| A5 Envío erróneo | 3·3 = Crítico | Doble verificación de destinatario; canal seguro (no WhatsApp para clínica); plantillas; formación | 1·3 = Medio |
| A6 Pérdida dispositivo | 2·4 = Crítico | Nunca datos de salud en claro en portátil/móvil; cifrado de disco; borrado remoto | 1·4 = Alto → vigilar |
| A7 Destrucción papel | 2·3 = Alto | Destructora; empresa de destrucción certificada (encargado); minimizar papel | 1·2 = Bajo |
| A8 Encargado sin contrato | 2·4 = Crítico | Contrato art. 28 con software, gestoría, IT, destrucción, marketing (ver 03_Proteccion_Datos/05_...) |
1·4 = Alto → cerrar contratos |
| A10 Transferencia internacional | 2·4 = Crítico | Alojamiento en EEE o cláusulas tipo art. 46; verificar ubicación de servidores | 1·4 = Alto → verificar |
T2, Facturación
| Amenaza | P·I inherente | Medidas / garantías | P·I residual |
|---|---|---|---|
| A2/A4 Acceso/brecha | 2·2 = Medio | Control de acceso; cifrado; separación de los datos clínicos | 1·2 = Bajo |
| A5 Envío erróneo | 2·2 = Medio | Verificación de destinatario; sin datos de salud en la factura más allá del servicio genérico | 1·2 = Bajo |
| A8 Encargado (gestoría) | 2·2 = Medio | Contrato art. 28 con la gestoría | 1·2 = Bajo |
T3, Marketing e imagen
| Amenaza | P·I inherente | Medidas / garantías | P·I residual |
|---|---|---|---|
| A9 Imagen sin consentimiento | 3·3 = Crítico | Consentimiento explícito, granular y por finalidad (art. 9.2.a + LO 1/1982); prueba conservada; procedimiento de revocación y retirada | 1·3 = Medio |
| A8 Encargado (agencia/email) | 2·3 = Alto | Contrato art. 28 con agencia y plataforma de email | 1·2 = Bajo |
| A10 Transferencia internacional (RRSS) | 3·3 = Crítico | Consciencia de que las plataformas alojan fuera del EEE; información al interesado; cláusulas art. 46 donde apliquen | 2·3 = Alto → asumido/informado |
A9 es la infracción más sancionada del sector estético (publicar "antes/después" sin consentimiento específico). El consentimiento "con fines médicos" no habilita a publicar en redes: son finalidades distintas y consentimientos distintos.
T4, Videovigilancia (si aplica)
| Amenaza | P·I inherente | Medidas / garantías | P·I residual |
|---|---|---|---|
| A4 Acceso indebido a grabaciones | 2·2 = Medio | Acceso restringido; cartel informativo; no captar zona asistencial | 1·2 = Bajo |
| A3 Conservación excesiva | 2·2 = Medio | Borrado automático ≤ 30 días (art. 22.3 LOPDGDD) | 1·1 = Bajo |
5. Catálogo de medidas y garantías (controles transversales)
Aplican a todos los tratamientos según proporción. Referencia técnica: art. 32 RGPD y, como marco de buenas prácticas, el ENS (RD 311/2022).
| Ámbito | Control | Estado [ ] |
|---|---|---|
| Confidencialidad | Cifrado en reposo y en tránsito de datos de salud | [ ] |
| Acceso | Usuario individual + contraseña robusta + 2FA/MFA | [ ] |
| Acceso | Perfiles need-to-know; registro de accesos (logs) y alertas | [ ] |
| Disponibilidad | Copias 3-2-1, cifradas, con restauración probada | [ ] |
| Diseño | Seudonimización/minimización; separar identificativos de clínicos en usos secundarios | [ ] |
| Soportes | Destrucción segura de papel; borrado seguro de dispositivos | [ ] |
| Encargados | Contrato art. 28 con todo tercero que trate datos (ver §6) | [ ] |
| Personas | Compromiso de confidencialidad firmado + formación (deber de secreto, art. 5 LOPDGDD) | [ ] |
| Brechas | Procedimiento de detección y notificación (72 h AEPD, art. 33) + registro interno | [ ] |
| Transparencia | Cláusula informativa entregada (art. 13); consentimientos de imagen archivados | [ ] |
| Transferencias | Ubicación de proveedores verificada; cláusulas tipo art. 46 donde aplique | [ ] |
Encargados con los que firmar el contrato del art. 28 (mapa del RAT): software de HC en la nube, hosting/correo, gestoría, mantenimiento IT, empresa de destrucción documental, agencia de marketing/community manager, plataforma de email. Sin ese contrato, cada acceso es una comunicación ilícita.
6. Conclusión motivada sobre la EIPD (art. 35 RGPD)
Conclusión: en su configuración actual (consulta individual de escala reducida) este gabinete NO está obligado a realizar una EIPD. Se motiva así:
- La EIPD es obligatoria, entre otros, para el tratamiento a gran escala de categorías especiales (datos de salud). La "gran escala" se valora por número de afectados, volumen y variedad de datos, permanencia y extensión geográfica.
- Una consulta individual con un número limitado de pacientes no es "gran escala". La propia AEPD ejemplifica que el médico o dentista que trata datos de sus pacientes no de forma masiva no está obligado a EIPD.
- La Lista de la AEPD del art. 35.4 (02D Lista tratamientos requieren EIPD art35-4) presume alto riesgo cuando concurren ≥ 2 criterios (datos sensibles + gran escala + perfilado + datos de vulnerables + tecnologías innovadoras + impedir el ejercicio de derechos, etc.). Aquí concurre uno (datos sensibles de salud) , pero no se alcanza el segundo en la operativa descrita.
- El análisis de riesgos del art. 24/32 sí se ha realizado (§§1–5). El riesgo residual solo es aceptable si los controles se implantan de forma efectiva: contratos de encargado (art. 28) firmados con el software clínico y los demás proveedores, cifrado, prohibición de tratar datos de paciente por WhatsApp/email no seguro y verificación de que los servidores están en el EEE. Mientras alguno de esos controles no esté implantado (singularmente en el software en la nube, la mensajería, las fotografías, el control de accesos y las transferencias internacionales) , el riesgo residual de esa amenaza no es aceptable, y no debe iniciarse ese tratamiento hasta cerrarlo o documentar una aceptación motivada del riesgo.
Esta conclusión no es permanente. Debe revisarse cuando cambie la naturaleza, el ámbito, el contexto o los fines del tratamiento.
6.1 Cuándo SÍ habría que hacer EIPD (revisar en cada hito)
Bastaría cumplir ≥ 2 criterios de la lista, o alcanzar "gran escala". Se dispararía la EIPD si:
- [ ] Volumen alto de pacientes o varias sedes (deja de ser escala reducida)
- [ ] Uso de biometría (reconocimiento facial, análisis de imagen para identificación)
- [ ] IA / perfilado de pacientes con decisiones que les afecten
- [ ] App de telemedicina o portal del paciente con historiales en la nube a gran escala
- [ ] Combinación de datos de salud con otras fuentes a gran escala
- [ ] Almacenamiento masivo de historiales
Si marcas cualquiera, para y abre una EIPD antes de iniciar ese tratamiento (herramienta AEPD Gestiona RGPD para riesgo alto; Facilita RGPD solo cubre bajo riesgo).
7. Revisión, versión y firma
| Campo | Contenido |
|---|---|
| Responsable del tratamiento | [Nombre y apellidos de la médica] |
| Fecha del análisis | [ ] |
| Versión | [ ] |
| Próxima revisión prevista | [ ] (y ante cualquier cambio de tratamiento) |
| DPD | [No designado / obligatorio si se incorpora personal sanitario auxiliar — art. 34.1.o LOPDGDD] |
| Firma | [ ] |
8. Pendientes de verificación
- Ubicación de servidores del software de HC, facturación y email (dentro/fuera del EEE) y
garantía aplicada. Cierra A10 en T1/T2/T3.
[verificar] - Contratos del art. 28 efectivamente firmados con cada encargado (§5).
[verificar] - ¿Habrá videovigilancia? Si no, elimina T4; si sí, confirma cartel y borrado ≤ 30 días.
[verificar] - Plazo ampliado de conservación de la HC por litigiosidad (más allá de los 5 años del art. 17
Ley 41/2002): fijar y reflejar en el RAT.
[verificar] - Reevaluar la conclusión de EIPD al abrir segunda sede, adquirir biometría o desplegar
telemedicina.
[verificar en cada hito]
Documento de trabajo basado en normativa vigente a julio 2026. Elaborado conforme a la Guía AEPD de gestión del riesgo y EIPD. Coherente con el RAT y la Guía RGPD de 03 Proteccion Datos. Revísalo cuando cambie cualquier tratamiento.