Dossier RGPD — Gabinete de Medicina Estética (local propio, Andalucía)

Contexto: médica que abre gabinete de medicina estética con local propio en Andalucía. Trata datos de salud, fotografías clínicas e historia clínica. Fecha de referencia: julio 2026. La responsable del tratamiento es la propia médica (persona física que ejerce por cuenta propia); si constituye sociedad, la responsable es la sociedad.

Fuentes primarias verificadas: RGPD (Reglamento UE 2016/679), LOPDGDD (LO 3/2018), Ley 41/2002 de autonomía del paciente, guías y modelos de la AEPD. URLs inline.


1. Base jurídica para tratar datos de SALUD (art. 6 y art. 9 RGPD)

Los datos de salud son categoría especial (art. 9.1 RGPD): su tratamiento está prohibido salvo que concurra una excepción del art. 9.2. Para tratar datos de salud lícitamente hacen falta dos capas simultáneas: una base del art. 6 (licitud general) y una excepción del art. 9 (levantamiento de la prohibición de categorías especiales).

Para la asistencia sanitaria en consulta privada, la combinación correcta NO es el consentimiento, sino:

Papel del consentimiento vs. la asistencia sanitaria (punto clave y fuente de error frecuente): - Para prestar la asistencia, la AEPD es explícita: no es necesario recabar el consentimiento del paciente para recoger y tratar sus datos cuando se usan para diagnóstico, prestación de asistencia o tratamiento sanitario. La base es 6.1.b + 9.2.h, no el consentimiento. Ver AEPD "16.1 Salud": <https://www.aepd.es/preguntas-frecuentes/16-salud/1-salud> y Guía para profesionales del sector sanitario: <https://www.aepd.es/guias/guia-profesionales-sector-sanitario.pdf> - El consentimiento explícito (art. 9.2.a) SÍ es la base para tratamientos que NO son asistenciales: publicación de fotos en redes/marketing, envío de comunicaciones comerciales, cesión a terceros no amparada por ley, uso de imágenes con fines docentes/científicos, testimonios. Aquí el consentimiento debe ser libre, específico, informado, inequívoco y explícito, y revocable. - Consentimiento informado clínico ≠ consentimiento RGPD. El consentimiento informado de la Ley 41/2002 (aceptar el acto médico/riesgos) es una figura distinta del consentimiento de protección de datos. No se pueden fusionar ni sustituir uno por otro. La distinción entre asistencia (aporta la base 9.2.h) y usos secundarios (requieren 9.2.a) hay que documentarla por separado.

Consecuencia práctica: el documento que firma el paciente al alta como paciente no es un "consentimiento de datos", sino una cláusula informativa (deber de información del art. 13 RGPD). El consentimiento explícito se reserva y se recaba por separado para imágenes/marketing/usos secundarios.


2. HISTORIA CLÍNICA (Ley 41/2002)

Norma consolidada: <https://www.boe.es/buscar/act.php?id=BOE-A-2002-22188>

2.1 Contenido mínimo (art. 15 Ley 41/2002)

La HC incorpora la información que se considere trascendental para el conocimiento veraz y actualizado del estado de salud. En una consulta de medicina estética ambulatoria, el contenido relevante incluye: - Identificación del paciente y del profesional. - Anamnesis y exploración física. - Antecedentes, alergias, medicación habitual. - Evolución y hojas de seguimiento de cada proceso/tratamiento. - Órdenes/prescripciones y hoja de tratamiento (p. ej. producto, lote, dosis, zona en toxina/relleno). - Consentimientos informados de cada procedimiento (Ley 41/2002 arts. 8-10). - Informes de pruebas complementarias y de anatomía patológica si las hubiera. - Fotografías clínicas (forman parte de la HC cuando tienen finalidad asistencial). - Informe/hoja de alta o evolutivo de cada proceso asistencial.

La HC debe ser única por paciente dentro del centro (art. 15.4) e integrar toda la información de sus procesos.

2.2 Plazo de CONSERVACIÓN — art. 17 Ley 41/2002

2.3 Derechos del paciente sobre su HC (arts. 18 y 19 Ley 41/2002)

2.4 Custodia (art. 19 Ley 41/2002 + art. 32 RGPD)


3. Registro de Actividades de Tratamiento (RAT) — art. 30 RGPD

Obligatorio. La excepción del art. 30.5 RGPD (menos de 250 empleados) NO aplica cuando se tratan categorías especiales de datos (salud). Una consulta de estética trata datos de salud → RAT obligatorio siempre, con independencia del tamaño. AEPD: <https://www.aepd.es/preguntas-frecuentes/2-tus-obligaciones-como-responsable-del-tratamiento/7-registro-de-actividades-de-tratamiento> y cómo elaborarlo: <https://www.aepd.es/preguntas-frecuentes/2-tus-obligaciones-como-responsable-del-tratamiento/7-registro-de-actividades-de-tratamiento/FAQ-0250-como-elaborar-el-rat>

Contenido mínimo (art. 30.1) para cada actividad de tratamiento: - (a) Nombre y datos de contacto del responsable (y del DPD si lo hubiera). - (b) Fines del tratamiento (asistencia sanitaria; facturación; agenda/citas; marketing; etc.). - (c) Descripción de categorías de interesados (pacientes) y de datos (identificativos, contacto, salud, imágenes). - (d) Categorías de destinatarios (encargados, otros profesionales, Administración). - (e) Transferencias internacionales (relevante si el software cloud aloja fuera del EEE). - (f) Plazos de conservación previstos (≥5 años HC + criterio ampliado). - (g) Descripción general de las medidas de seguridad (art. 32).

Formato libre (Word/Excel/herramienta). Documento interno, a disposición de la AEPD si lo requiere. La herramienta FACILITA_RGPD genera un RAT base. Conviene registrar tratamientos separados (Pacientes/Asistencia, Facturación, Marketing/RRSS, Cámaras si hay videovigilancia).


4. Evaluación de Impacto (EIPD / DPIA) — art. 35 RGPD

Conclusión con criterio: para una consulta estética individual de escala reducida, la EIPD NO es obligatoria de forma automática; sí es obligatoria si el tratamiento alcanza "gran escala" o cumple ≥2 criterios de riesgo. Debe evaluarse caso a caso y dejar constancia del análisis aunque la conclusión sea negativa.

Razonamiento: - El art. 35.3.b y la Lista de tratamientos de la AEPD (art. 35.4) exigen EIPD para el tratamiento a gran escala de categorías especiales (salud). Lista AEPD: <https://www.aepd.es/documento/listas-dpia-es-35-4.pdf> - La "gran escala" se valora por: nº de interesados afectados, volumen y variedad de datos, duración/permanencia y extensión geográfica. Una consulta individual con un número limitado de pacientes no es "gran escala" — la propia AEPD ejemplifica que el médico o dentista que trata datos de sus pacientes no de forma masiva no está obligado a EIPD. - La lista AEPD presume alto riesgo (y por tanto EIPD) cuando concurren ≥2 criterios de una serie (datos sensibles + tratamiento a gran escala + perfilado + datos de vulnerables + uso innovador/nuevas tecnologías + impedir ejercicio de derechos, etc.). AEPD sobre supuestos: <https://www.aepd.es/preguntas-frecuentes/2-tus-obligaciones-como-responsable-del-tratamiento/10-evaluacion-de-impacto/FAQ-0226-en-que-supuestos-es-necesario-realizar-una-evaluacion-de-impacto>

Cuándo SÍ se dispararía la EIPD en este gabinete: volumen alto de pacientes/varias sedes; uso de biometría (reconocimiento facial); IA/perfilado de pacientes; app de telemedicina; combinación de datos de salud a gran escala con otras fuentes; almacenamiento masivo de historiales en la nube.

Análisis de riesgos mínimo exigible (siempre, aunque no haya EIPD): el art. 24/32 RGPD obliga a un análisis de riesgos proporcionado para cualquier tratamiento. Mínimo: 1. Inventario de tratamientos y flujos (quién accede, dónde se almacena, quién es encargado). 2. Identificación de amenazas (acceso indebido, pérdida, envío erróneo, exfiltración). 3. Valoración de probabilidad × impacto sobre derechos del paciente. 4. Medidas de mitigación (cifrado, control de acceso, copias, contratos de encargado) y riesgo residual. 5. Documentar y revisar periódicamente. Metodología oficial: Guía AEPD "Gestión del riesgo y evaluación de impacto en tratamientos de datos personales": <https://www.aepd.es/guias/gestion-riesgo-y-evaluacion-impacto-en-tratamientos-datos-personales.pdf>


5. Delegado de Protección de Datos (DPD) — art. 37 RGPD / art. 34 LOPDGDD

Regla general (art. 34.1.o LOPDGDD): los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas deben nombrar DPD. PERO existe una excepción expresa: "Se exceptúan los profesionales de la salud que, aun estando legalmente obligados al mantenimiento de las historias clínicas de los pacientes, ejerzan su actividad a título individual."

Conclusión para esta consulta: - Médica ejerciendo a título individual, sin apenas estructura organizativaNO obligatorio designar DPD. - Matiz importante (criterio AEPD): si la consulta cuenta con personal auxiliar sanitario (p. ej. enfermería que asiste a pacientes) además de administración, deja de considerarse "a título individual" y el DPD pasa a ser obligatorio. Una simple auxiliar administrativa en recepción no dispara la obligación; personal de enfermería/sanitario sí puede hacerlo. AEPD: <https://www.aepd.es/preguntas-frecuentes/4-dpd/1-delegado-de-proteccion-de-datos/FAQ-0402-cuando-se-debe-nombrar-un-dpd> - Aunque no sea obligatorio, designarlo es recomendable y, si se designa (voluntario u obligatorio), hay que comunicarlo a la AEPD en 10 días (art. 34.3 LOPDGDD) y publicar sus datos de contacto.

Recomendación: valorar según la plantilla real del gabinete. Si habrá enfermería/DUE, presupuestar un DPD externo.


6. Medidas de seguridad (art. 32 RGPD) y DEBER DE SECRETO

Datos de salud = alto riesgo → medidas reforzadas. Sin un catálogo cerrado en el RGPD, la referencia técnica es el Esquema Nacional de Seguridad (ENS, RD 311/2022) — obligatorio para el sector público pero excelente marco de referencia para el privado sanitario.

Medidas técnicas y organizativas recomendables: - Cifrado de datos de salud: en reposo (disco/BD) y en tránsito. La AEPD y la doctrina consideran el cifrado prácticamente obligatorio para centros sanitarios. Nunca datos de salud en claro en dispositivos móviles/portátiles. - Control de acceso individualizado: usuario/contraseña robusta + doble factor (2FA/MFA) en correo, software de gestión y accesos cloud. Acceso según necesidad (need-to-know). - Registro de accesos (logs) y trazabilidad: quién accede a qué HC y cuándo, con alertas ante accesos anómalos (mitiga la brecha típica: acceso indebido del propio personal). - Copias de seguridad automáticas, cifradas y con restauración probada (no basta con hacer backup; hay que verificar que se restaura). Regla 3-2-1. - Seudonimización/minimización donde sea posible; separación de datos identificativos y clínicos en usos secundarios. - Gestión de dispositivos y soportes: destrucción segura de papel y borrado seguro de soportes; política de puesto de trabajo. - Actualizaciones/antivirus/firewall y plan de continuidad. Referencia AEPD (brechas sector salud): <https://www.aepd.es/areas-de-actuacion/salud/brechas-de-datos-personales-en-el-sector-de-la-salud>

Deber de secreto (obligación reforzada): - Art. 5 LOPDGDD: deber de confidencialidad, complementario al deber de secreto profesional, que subsiste aun finalizada la relación. - Art. 9.3 RGPD + art. 16.6 Ley 41/2002: el personal que accede a datos de salud está sujeto al deber de secreto. - Todo el personal (sanitario y administrativo, y en su caso becarios/subcontratados) debe firmar un compromiso de confidencialidad por escrito y recibir formación. La violación del secreto puede constituir infracción RGPD e ilícito penal (art. 199 Código Penal).


7. ENCARGADOS DE TRATAMIENTO — art. 28 RGPD

Hay que firmar contrato de encargado de tratamiento (art. 28.3 RGPD) con todo tercero que acceda o trate datos de pacientes por cuenta de la médica. Sin ese contrato, cada cesión/acceso es una comunicación ilícita. Modelo/cláusulas generables con FACILITA_RGPD.

Con quién firmar (mapa para este gabinete):

Proveedor ¿Encargado? Nota
Software de historia clínica / gestión de citas en la nube (crítico) Aloja datos de salud. Verificar ubicación de servidores (EEE) y transferencias internacionales; exigir cifrado y medidas art. 32.
Alojamiento web / hosting / correo profesional SÍ, si accede a datos Especialmente si el formulario web recoge datos de pacientes.
Gestoría / asesoría fiscal-laboral Trata datos de facturación de pacientes y de empleados.
Laboratorio de análisis / anatomía patológica Matizado Si actúa por cuenta de la consulta → encargado. Si el laboratorio determina fines propios → puede ser responsable independiente (comunicación amparada en asistencia). Analizar caso a caso.
Empresa de destrucción de documentación Destrucción certificada de HC en papel/soportes.
Agencia de marketing / community manager / plataforma de email Si gestiona datos de pacientes o publica sus imágenes.
Mantenimiento informático / soporte técnico con acceso a sistemas Acceso potencial a datos de salud.
Pasarela de pago / TPV Normalmente responsable propio Verificar según servicio.

Requisitos mínimos del contrato (art. 28.3): objeto, duración, naturaleza y finalidad; tipo de datos y categorías de interesados; obligaciones de confidencialidad; tratar solo según instrucciones; medidas de seguridad; régimen de subencargados (autorización); asistencia al responsable en derechos y brechas; devolución/supresión al finalizar; auditoría. Ver art. 28 y Directrices EDPB 07/2020 responsable/encargado: <https://www.edpb.europa.eu/system/files/2023-10/edpb_guidelines_202007_controllerprocessor_final_es.pdf>


8. FOTOGRAFÍAS clínicas y uso en redes/marketing

Doble régimen — separar SIEMPRE finalidad asistencial de finalidad promocional:

  1. Fotografía clínica con fin asistencial (seguimiento, evolución del tratamiento): forma parte de la HC. Base 9.2.h (asistencia), sin consentimiento RGPD específico, pero informando al paciente y aplicando medidas de seguridad reforzadas.
  2. Uso en redes sociales, web, publicidad, "antes y después", testimonios, fines docentes/científicos: NO amparado por la asistencia. Requiere consentimiento explícito, específico, informado, separado y por escrito (art. 9.2.a RGPD) + consentimiento por derecho a la propia imagen (LO 1/1982). Debe indicar: finalidad concreta (qué red/soporte), alcance, duración, que es revocable en cualquier momento, y si se anonimiza o no.

Reglas críticas (aprendidas de sanciones reales): - El consentimiento debe ser granular y por finalidad: consentir fotos "con fines médicos" NO habilita a publicarlas en redes. Precedente AEPD: sanción a clínica estética por publicar "antes y después" en Facebook/Instagram sin consentimiento específico (infracción arts. 6 y 9 RGPD). <https://www.aepd.es/> y cobertura: <https://sapd.com.es/una-clinica-estetica-sancionada-con-una-multa-de-10-000-euros-por-publicar-imagenes-del-antes-y-despues-sin-consentimiento/> - Revocabilidad real: si el paciente revoca, hay que retirar las imágenes (incluidas republicaciones controlables). - Anonimización insuficiente: recortar la cara puede no anonimizar (tatuajes, marcas, contexto identifican). Si es identificable → sigue siendo dato personal. - El consentimiento no puede ser condición para recibir el tratamiento (libertad del consentimiento). - Menores: régimen específico; consentimiento de titulares de la patria potestad. - Conservar la prueba del consentimiento y su versión informada.

Riesgo: publicar imágenes sin consentimiento específico es de las infracciones más sancionadas en el sector estético, con daño reputacional añadido.


9. Brechas de seguridad — arts. 33 y 34 RGPD

Guía AEPD: <https://www.aepd.es/guias/guia-brechas-seguridad.pdf> · Notificación electrónica (sede): <https://sedeaepd.gob.es/sede-electronica-web/vistas/formBrechaSeguridad/nbs/procedimientoBrechaSeguridad.jsf> · Herramienta Asesora Brecha para decidir si notificar.


Documentos oficiales AEPD descargados

Ruta: H:\IA-projects\U48 Andalucia\10_Formularios_Oficiales\ (prefijo 02D_)

Archivo Fuente
02D Guia profesionales sector sanitario <https://www.aepd.es/guias/guia-profesionales-sector-sanitario.pdf>
02D Guia notificacion brechas seguridad <https://www.aepd.es/guias/guia-brechas-seguridad.pdf>
02D Guia gestion riesgo y EIPD <https://www.aepd.es/guias/gestion-riesgo-y-evaluacion-impacto-en-tratamientos-datos-personales.pdf>
02D Guia deber informar clausula informativa <https://www.aepd.es/guias/guia-modelo-clausula-informativa.pdf>
02D Lista tratamientos requieren EIPD art35-4 <https://www.aepd.es/documento/listas-dpia-es-35-4.pdf>
02D Modelo clausula informativa clientes <https://www.aepd.es/documento/modelo-de-clausula-informativa-de-pd-clientes.docx>
02D Formulario derecho acceso <https://www.aepd.es/documento/formulario-derecho-de-acceso.pdf>
02D Guia proteccion datos por defecto <https://www.aepd.es/guias/guia-privacidad-desde-diseno.pdf>

Herramientas online (no descargables, usar directamente): - FACILITA RGPD (genera RAT, cláusulas informativas, cláusulas de encargado y medidas de seguridad para bajo riesgo): <https://www.aepd.es/guias-y-herramientas/herramientas/facilita-rgpd> - Gestiona RGPD (para tratamientos de riesgo más alto): <https://www.aepd.es/en/guides-and-tools/tools/gestiona2> - Asesora Brecha (decisión de notificar brechas): vía sede AEPD.

No localizado como archivo descargable único: modelo RAT para responsables privados (se genera vía FACILITA) y modelo de contrato de encargado (se genera vía FACILITA / hay que redactarlo). Ver §7.


Fuentes primarias