Dossier RGPD — Gabinete de Medicina Estética (local propio, Andalucía)
Contexto: médica que abre gabinete de medicina estética con local propio en Andalucía. Trata datos de salud, fotografías clínicas e historia clínica. Fecha de referencia: julio 2026. La responsable del tratamiento es la propia médica (persona física que ejerce por cuenta propia); si constituye sociedad, la responsable es la sociedad.
Fuentes primarias verificadas: RGPD (Reglamento UE 2016/679), LOPDGDD (LO 3/2018), Ley 41/2002 de autonomía del paciente, guías y modelos de la AEPD. URLs inline.
1. Base jurídica para tratar datos de SALUD (art. 6 y art. 9 RGPD)
Los datos de salud son categoría especial (art. 9.1 RGPD): su tratamiento está prohibido salvo que concurra una excepción del art. 9.2. Para tratar datos de salud lícitamente hacen falta dos capas simultáneas: una base del art. 6 (licitud general) y una excepción del art. 9 (levantamiento de la prohibición de categorías especiales).
Para la asistencia sanitaria en consulta privada, la combinación correcta NO es el consentimiento, sino:
- Art. 6.1.b RGPD — ejecución de un contrato del que el paciente es parte (la prestación del servicio médico contratado). (La Guía AEPD del sector sanitario también encuadra el sector público en 6.1.c — obligación legal; en la privada aplica típicamente 6.1.b.)
- Art. 9.2.h RGPD — tratamiento necesario para fines de medicina preventiva, diagnóstico médico, prestación de asistencia o tratamiento sanitario, cuando lo realiza un profesional sujeto a obligación de secreto (art. 9.3). Este es el encaje nuclear de la historia clínica.
- Refuerzo en Derecho español: art. 9.2 LOPDGDD (permite tratar categorías especiales de salud cuando lo ampara una ley) y Disposición Adicional 17ª LOPDGDD (tratamientos de datos de salud amparados en la Ley 41/2002 y demás legislación sanitaria).
Papel del consentimiento vs. la asistencia sanitaria (punto clave y fuente de error frecuente): - Para prestar la asistencia, la AEPD es explícita: no es necesario recabar el consentimiento del paciente para recoger y tratar sus datos cuando se usan para diagnóstico, prestación de asistencia o tratamiento sanitario. La base es 6.1.b + 9.2.h, no el consentimiento. Ver AEPD "16.1 Salud": <https://www.aepd.es/preguntas-frecuentes/16-salud/1-salud> y Guía para profesionales del sector sanitario: <https://www.aepd.es/guias/guia-profesionales-sector-sanitario.pdf> - El consentimiento explícito (art. 9.2.a) SÍ es la base para tratamientos que NO son asistenciales: publicación de fotos en redes/marketing, envío de comunicaciones comerciales, cesión a terceros no amparada por ley, uso de imágenes con fines docentes/científicos, testimonios. Aquí el consentimiento debe ser libre, específico, informado, inequívoco y explícito, y revocable. - Consentimiento informado clínico ≠ consentimiento RGPD. El consentimiento informado de la Ley 41/2002 (aceptar el acto médico/riesgos) es una figura distinta del consentimiento de protección de datos. No se pueden fusionar ni sustituir uno por otro. La distinción entre asistencia (aporta la base 9.2.h) y usos secundarios (requieren 9.2.a) hay que documentarla por separado.
Consecuencia práctica: el documento que firma el paciente al alta como paciente no es un "consentimiento de datos", sino una cláusula informativa (deber de información del art. 13 RGPD). El consentimiento explícito se reserva y se recaba por separado para imágenes/marketing/usos secundarios.
2. HISTORIA CLÍNICA (Ley 41/2002)
Norma consolidada: <https://www.boe.es/buscar/act.php?id=BOE-A-2002-22188>
2.1 Contenido mínimo (art. 15 Ley 41/2002)
La HC incorpora la información que se considere trascendental para el conocimiento veraz y actualizado del estado de salud. En una consulta de medicina estética ambulatoria, el contenido relevante incluye: - Identificación del paciente y del profesional. - Anamnesis y exploración física. - Antecedentes, alergias, medicación habitual. - Evolución y hojas de seguimiento de cada proceso/tratamiento. - Órdenes/prescripciones y hoja de tratamiento (p. ej. producto, lote, dosis, zona en toxina/relleno). - Consentimientos informados de cada procedimiento (Ley 41/2002 arts. 8-10). - Informes de pruebas complementarias y de anatomía patológica si las hubiera. - Fotografías clínicas (forman parte de la HC cuando tienen finalidad asistencial). - Informe/hoja de alta o evolutivo de cada proceso asistencial.
La HC debe ser única por paciente dentro del centro (art. 15.4) e integrar toda la información de sus procesos.
2.2 Plazo de CONSERVACIÓN — art. 17 Ley 41/2002
- Mínimo estatal: 5 años contados desde la fecha del alta de cada proceso asistencial (no desde la última visita global, sino desde el cierre de cada proceso).
- Andalucía NO fija plazo propio. Verificado: Andalucía carece de normativa autonómica específica sobre conservación de HC, por lo que aplica el mínimo estatal de 5 años de la Ley 41/2002. (Contraste con otras CCAA: Cataluña 15/20 años y hasta 20 desde el fallecimiento; Navarra 20 años; Galicia conservación indefinida de documentos clave. Fuente comparativa: <https://blog.psnsercon.com/los-plazos-de-conservacion-de-las-historias-clinicas-en-las-distintas-comunidades-autonomas/>)
- Excepciones que obligan a conservar más allá de 5 años (art. 17.2): razones judiciales (mientras exista o pueda existir reclamación — relevante en estética por la conflictividad de resultados), epidemiológicas, de investigación, o de organización y funcionamiento del SNS.
- Criterio recomendado para estética: dada la alta litigiosidad y el plazo de prescripción de acciones de responsabilidad, es prudente conservar la HC más allá del mínimo de 5 años (orientativo: hasta la prescripción de posibles reclamaciones), justificándolo en el RAT.
- El plazo de conservación debe informarse al paciente (art. 13.2.a RGPD) y constar en el RAT (art. 30.1.f). No informarlo es incumplimiento habitual.
2.3 Derechos del paciente sobre su HC (arts. 18 y 19 Ley 41/2002)
- Derecho de acceso a su documentación clínica y a obtener copia (art. 18.1). Compatible/coordinado con el derecho de acceso RGPD (art. 15).
- Límites: no perjudica el derecho de terceros a la confidencialidad; no ampara el acceso a las anotaciones subjetivas del profesional (art. 18.3), que el facultativo puede reservar.
- Acceso por representación (menores, incapacidad) y régimen de pacientes fallecidos (art. 18.4): acceso por personas vinculadas salvo prohibición del fallecido; nunca en perjuicio de terceros ni de las anotaciones subjetivas.
- Otros derechos RGPD aplicables: rectificación, supresión (limitada por la obligación de conservación clínica), oposición, portabilidad y limitación. La AEPD detalla el régimen: <https://www.aepd.es/areas-de-actuacion/salud/tus-derechos-en-relacion-con-tus-datos-de-salud>
2.4 Custodia (art. 19 Ley 41/2002 + art. 32 RGPD)
- El centro (la médica) es responsable de la gestión y custodia de las HC y debe garantizar su conservación, seguridad y confidencialidad. Deber de custodia y de secreto reforzado. Ver AEPD sobre acceso y custodia (documento sector sanitario, arriba).
3. Registro de Actividades de Tratamiento (RAT) — art. 30 RGPD
Obligatorio. La excepción del art. 30.5 RGPD (menos de 250 empleados) NO aplica cuando se tratan categorías especiales de datos (salud). Una consulta de estética trata datos de salud → RAT obligatorio siempre, con independencia del tamaño. AEPD: <https://www.aepd.es/preguntas-frecuentes/2-tus-obligaciones-como-responsable-del-tratamiento/7-registro-de-actividades-de-tratamiento> y cómo elaborarlo: <https://www.aepd.es/preguntas-frecuentes/2-tus-obligaciones-como-responsable-del-tratamiento/7-registro-de-actividades-de-tratamiento/FAQ-0250-como-elaborar-el-rat>
Contenido mínimo (art. 30.1) para cada actividad de tratamiento: - (a) Nombre y datos de contacto del responsable (y del DPD si lo hubiera). - (b) Fines del tratamiento (asistencia sanitaria; facturación; agenda/citas; marketing; etc.). - (c) Descripción de categorías de interesados (pacientes) y de datos (identificativos, contacto, salud, imágenes). - (d) Categorías de destinatarios (encargados, otros profesionales, Administración). - (e) Transferencias internacionales (relevante si el software cloud aloja fuera del EEE). - (f) Plazos de conservación previstos (≥5 años HC + criterio ampliado). - (g) Descripción general de las medidas de seguridad (art. 32).
Formato libre (Word/Excel/herramienta). Documento interno, a disposición de la AEPD si lo requiere. La herramienta FACILITA_RGPD genera un RAT base. Conviene registrar tratamientos separados (Pacientes/Asistencia, Facturación, Marketing/RRSS, Cámaras si hay videovigilancia).
4. Evaluación de Impacto (EIPD / DPIA) — art. 35 RGPD
Conclusión con criterio: para una consulta estética individual de escala reducida, la EIPD NO es obligatoria de forma automática; sí es obligatoria si el tratamiento alcanza "gran escala" o cumple ≥2 criterios de riesgo. Debe evaluarse caso a caso y dejar constancia del análisis aunque la conclusión sea negativa.
Razonamiento: - El art. 35.3.b y la Lista de tratamientos de la AEPD (art. 35.4) exigen EIPD para el tratamiento a gran escala de categorías especiales (salud). Lista AEPD: <https://www.aepd.es/documento/listas-dpia-es-35-4.pdf> - La "gran escala" se valora por: nº de interesados afectados, volumen y variedad de datos, duración/permanencia y extensión geográfica. Una consulta individual con un número limitado de pacientes no es "gran escala" — la propia AEPD ejemplifica que el médico o dentista que trata datos de sus pacientes no de forma masiva no está obligado a EIPD. - La lista AEPD presume alto riesgo (y por tanto EIPD) cuando concurren ≥2 criterios de una serie (datos sensibles + tratamiento a gran escala + perfilado + datos de vulnerables + uso innovador/nuevas tecnologías + impedir ejercicio de derechos, etc.). AEPD sobre supuestos: <https://www.aepd.es/preguntas-frecuentes/2-tus-obligaciones-como-responsable-del-tratamiento/10-evaluacion-de-impacto/FAQ-0226-en-que-supuestos-es-necesario-realizar-una-evaluacion-de-impacto>
Cuándo SÍ se dispararía la EIPD en este gabinete: volumen alto de pacientes/varias sedes; uso de biometría (reconocimiento facial); IA/perfilado de pacientes; app de telemedicina; combinación de datos de salud a gran escala con otras fuentes; almacenamiento masivo de historiales en la nube.
Análisis de riesgos mínimo exigible (siempre, aunque no haya EIPD): el art. 24/32 RGPD obliga a un análisis de riesgos proporcionado para cualquier tratamiento. Mínimo: 1. Inventario de tratamientos y flujos (quién accede, dónde se almacena, quién es encargado). 2. Identificación de amenazas (acceso indebido, pérdida, envío erróneo, exfiltración). 3. Valoración de probabilidad × impacto sobre derechos del paciente. 4. Medidas de mitigación (cifrado, control de acceso, copias, contratos de encargado) y riesgo residual. 5. Documentar y revisar periódicamente. Metodología oficial: Guía AEPD "Gestión del riesgo y evaluación de impacto en tratamientos de datos personales": <https://www.aepd.es/guias/gestion-riesgo-y-evaluacion-impacto-en-tratamientos-datos-personales.pdf>
5. Delegado de Protección de Datos (DPD) — art. 37 RGPD / art. 34 LOPDGDD
Regla general (art. 34.1.o LOPDGDD): los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas deben nombrar DPD. PERO existe una excepción expresa: "Se exceptúan los profesionales de la salud que, aun estando legalmente obligados al mantenimiento de las historias clínicas de los pacientes, ejerzan su actividad a título individual."
Conclusión para esta consulta: - Médica ejerciendo a título individual, sin apenas estructura organizativa → NO obligatorio designar DPD. - Matiz importante (criterio AEPD): si la consulta cuenta con personal auxiliar sanitario (p. ej. enfermería que asiste a pacientes) además de administración, deja de considerarse "a título individual" y el DPD pasa a ser obligatorio. Una simple auxiliar administrativa en recepción no dispara la obligación; personal de enfermería/sanitario sí puede hacerlo. AEPD: <https://www.aepd.es/preguntas-frecuentes/4-dpd/1-delegado-de-proteccion-de-datos/FAQ-0402-cuando-se-debe-nombrar-un-dpd> - Aunque no sea obligatorio, designarlo es recomendable y, si se designa (voluntario u obligatorio), hay que comunicarlo a la AEPD en 10 días (art. 34.3 LOPDGDD) y publicar sus datos de contacto.
Recomendación: valorar según la plantilla real del gabinete. Si habrá enfermería/DUE, presupuestar un DPD externo.
6. Medidas de seguridad (art. 32 RGPD) y DEBER DE SECRETO
Datos de salud = alto riesgo → medidas reforzadas. Sin un catálogo cerrado en el RGPD, la referencia técnica es el Esquema Nacional de Seguridad (ENS, RD 311/2022) — obligatorio para el sector público pero excelente marco de referencia para el privado sanitario.
Medidas técnicas y organizativas recomendables: - Cifrado de datos de salud: en reposo (disco/BD) y en tránsito. La AEPD y la doctrina consideran el cifrado prácticamente obligatorio para centros sanitarios. Nunca datos de salud en claro en dispositivos móviles/portátiles. - Control de acceso individualizado: usuario/contraseña robusta + doble factor (2FA/MFA) en correo, software de gestión y accesos cloud. Acceso según necesidad (need-to-know). - Registro de accesos (logs) y trazabilidad: quién accede a qué HC y cuándo, con alertas ante accesos anómalos (mitiga la brecha típica: acceso indebido del propio personal). - Copias de seguridad automáticas, cifradas y con restauración probada (no basta con hacer backup; hay que verificar que se restaura). Regla 3-2-1. - Seudonimización/minimización donde sea posible; separación de datos identificativos y clínicos en usos secundarios. - Gestión de dispositivos y soportes: destrucción segura de papel y borrado seguro de soportes; política de puesto de trabajo. - Actualizaciones/antivirus/firewall y plan de continuidad. Referencia AEPD (brechas sector salud): <https://www.aepd.es/areas-de-actuacion/salud/brechas-de-datos-personales-en-el-sector-de-la-salud>
Deber de secreto (obligación reforzada): - Art. 5 LOPDGDD: deber de confidencialidad, complementario al deber de secreto profesional, que subsiste aun finalizada la relación. - Art. 9.3 RGPD + art. 16.6 Ley 41/2002: el personal que accede a datos de salud está sujeto al deber de secreto. - Todo el personal (sanitario y administrativo, y en su caso becarios/subcontratados) debe firmar un compromiso de confidencialidad por escrito y recibir formación. La violación del secreto puede constituir infracción RGPD e ilícito penal (art. 199 Código Penal).
7. ENCARGADOS DE TRATAMIENTO — art. 28 RGPD
Hay que firmar contrato de encargado de tratamiento (art. 28.3 RGPD) con todo tercero que acceda o trate datos de pacientes por cuenta de la médica. Sin ese contrato, cada cesión/acceso es una comunicación ilícita. Modelo/cláusulas generables con FACILITA_RGPD.
Con quién firmar (mapa para este gabinete):
| Proveedor | ¿Encargado? | Nota |
|---|---|---|
| Software de historia clínica / gestión de citas en la nube | SÍ (crítico) | Aloja datos de salud. Verificar ubicación de servidores (EEE) y transferencias internacionales; exigir cifrado y medidas art. 32. |
| Alojamiento web / hosting / correo profesional | SÍ, si accede a datos | Especialmente si el formulario web recoge datos de pacientes. |
| Gestoría / asesoría fiscal-laboral | SÍ | Trata datos de facturación de pacientes y de empleados. |
| Laboratorio de análisis / anatomía patológica | Matizado | Si actúa por cuenta de la consulta → encargado. Si el laboratorio determina fines propios → puede ser responsable independiente (comunicación amparada en asistencia). Analizar caso a caso. |
| Empresa de destrucción de documentación | SÍ | Destrucción certificada de HC en papel/soportes. |
| Agencia de marketing / community manager / plataforma de email | SÍ | Si gestiona datos de pacientes o publica sus imágenes. |
| Mantenimiento informático / soporte técnico con acceso a sistemas | SÍ | Acceso potencial a datos de salud. |
| Pasarela de pago / TPV | Normalmente responsable propio | Verificar según servicio. |
Requisitos mínimos del contrato (art. 28.3): objeto, duración, naturaleza y finalidad; tipo de datos y categorías de interesados; obligaciones de confidencialidad; tratar solo según instrucciones; medidas de seguridad; régimen de subencargados (autorización); asistencia al responsable en derechos y brechas; devolución/supresión al finalizar; auditoría. Ver art. 28 y Directrices EDPB 07/2020 responsable/encargado: <https://www.edpb.europa.eu/system/files/2023-10/edpb_guidelines_202007_controllerprocessor_final_es.pdf>
8. FOTOGRAFÍAS clínicas y uso en redes/marketing
Doble régimen — separar SIEMPRE finalidad asistencial de finalidad promocional:
- Fotografía clínica con fin asistencial (seguimiento, evolución del tratamiento): forma parte de la HC. Base 9.2.h (asistencia), sin consentimiento RGPD específico, pero informando al paciente y aplicando medidas de seguridad reforzadas.
- Uso en redes sociales, web, publicidad, "antes y después", testimonios, fines docentes/científicos: NO amparado por la asistencia. Requiere consentimiento explícito, específico, informado, separado y por escrito (art. 9.2.a RGPD) + consentimiento por derecho a la propia imagen (LO 1/1982). Debe indicar: finalidad concreta (qué red/soporte), alcance, duración, que es revocable en cualquier momento, y si se anonimiza o no.
Reglas críticas (aprendidas de sanciones reales): - El consentimiento debe ser granular y por finalidad: consentir fotos "con fines médicos" NO habilita a publicarlas en redes. Precedente AEPD: sanción a clínica estética por publicar "antes y después" en Facebook/Instagram sin consentimiento específico (infracción arts. 6 y 9 RGPD). <https://www.aepd.es/> y cobertura: <https://sapd.com.es/una-clinica-estetica-sancionada-con-una-multa-de-10-000-euros-por-publicar-imagenes-del-antes-y-despues-sin-consentimiento/> - Revocabilidad real: si el paciente revoca, hay que retirar las imágenes (incluidas republicaciones controlables). - Anonimización insuficiente: recortar la cara puede no anonimizar (tatuajes, marcas, contexto identifican). Si es identificable → sigue siendo dato personal. - El consentimiento no puede ser condición para recibir el tratamiento (libertad del consentimiento). - Menores: régimen específico; consentimiento de titulares de la patria potestad. - Conservar la prueba del consentimiento y su versión informada.
Riesgo: publicar imágenes sin consentimiento específico es de las infracciones más sancionadas en el sector estético, con daño reputacional añadido.
9. Brechas de seguridad — arts. 33 y 34 RGPD
Guía AEPD: <https://www.aepd.es/guias/guia-brechas-seguridad.pdf> · Notificación electrónica (sede): <https://sedeaepd.gob.es/sede-electronica-web/vistas/formBrechaSeguridad/nbs/procedimientoBrechaSeguridad.jsf> · Herramienta Asesora Brecha para decidir si notificar.
- Notificación a la AEPD (art. 33): plazo máximo 72 horas desde que se tiene constancia de la brecha (cuenta fines de semana y festivos). Salvo que sea improbable que constituya un riesgo para derechos y libertades. Si se supera el plazo, hay que justificar la demora.
- Comunicación al interesado (art. 34): cuando sea probable un ALTO riesgo para sus derechos y libertades (p. ej. exposición de datos de salud), hay que comunicarlo también al paciente afectado, sin dilación indebida y en lenguaje claro. Excepciones (art. 34.3): datos cifrados/ininteligibles, medidas posteriores que eliminan el alto riesgo, o esfuerzo desproporcionado (→ comunicación pública).
- Registro interno de brechas (art. 33.5): documentar toda brecha (aunque no se notifique), con hechos, efectos y medidas — es obligatorio y la AEPD lo exige en inspección.
- Contenido de la notificación: naturaleza de la brecha, categorías y nº aproximado de afectados y de registros, datos de contacto del DPD/punto de contacto, consecuencias probables y medidas adoptadas/propuestas.
- En el sector salud las brechas típicas son: acceso indebido del propio personal a HC, envío de documentación a destinatario erróneo (email/WhatsApp), destrucción incorrecta de papel, pérdida de dispositivos.
Documentos oficiales AEPD descargados
Ruta: H:\IA-projects\U48 Andalucia\10_Formularios_Oficiales\ (prefijo 02D_)
Herramientas online (no descargables, usar directamente): - FACILITA RGPD (genera RAT, cláusulas informativas, cláusulas de encargado y medidas de seguridad para bajo riesgo): <https://www.aepd.es/guias-y-herramientas/herramientas/facilita-rgpd> - Gestiona RGPD (para tratamientos de riesgo más alto): <https://www.aepd.es/en/guides-and-tools/tools/gestiona2> - Asesora Brecha (decisión de notificar brechas): vía sede AEPD.
No localizado como archivo descargable único: modelo RAT para responsables privados (se genera vía FACILITA) y modelo de contrato de encargado (se genera vía FACILITA / hay que redactarlo). Ver §7.
Fuentes primarias
- RGPD (Reglamento UE 2016/679): <https://eur-lex.europa.eu/legal-content/ES/TXT/?uri=CELEX%3A32016R0679>
- LOPDGDD (LO 3/2018): <https://www.boe.es/buscar/act.php?id=BOE-A-2018-16673>
- Ley 41/2002 (autonomía del paciente): <https://www.boe.es/buscar/act.php?id=BOE-A-2002-22188>
- AEPD — Salud (FAQ): <https://www.aepd.es/preguntas-frecuentes/16-salud/1-salud>
- AEPD — Tus derechos sobre datos de salud: <https://www.aepd.es/areas-de-actuacion/salud/tus-derechos-en-relacion-con-tus-datos-de-salud>