Protocolos RGPD para clínicas dentales en 2026: qué necesitas tener y qué te falta

El dato de salud de un paciente es, según el RGPD, un dato de «categoría especial». La categoría más protegida que existe. Más protegida que los datos financieros, que los datos laborales, que cualquier otro dato personal. Y tu clínica dental maneja miles de estos datos cada día: historiales clínicos, radiografías, diagnósticos, tratamientos, alergias, medicación.

La Agencia Española de Protección de Datos (AEPD) puede sancionar con hasta 20 millones de euros o el 4% de la facturación global a quien incumpla el RGPD con datos de categoría especial. ¿Es probable que te caiga la multa máxima? No. ¿Es posible que te inspeccionen y te sancionen por no tener los protocolos básicos? Absolutamente sí. Especialmente si un paciente se queja.

Este artículo te da la lista completa de protocolos RGPD que tu clínica dental necesita en 2026, explicados sin jerga legal y con soluciones prácticas para cada uno.

Por qué las clínicas dentales están en el punto de mira del RGPD

Las clínicas dentales combinan tres factores que las convierten en un objetivo especial para la AEPD:

1. Tratan datos de salud. Categoría especial del RGPD (art. 9). Cualquier incumplimiento con datos de salud se considera más grave que con datos ordinarios.
2. Tratan muchos datos. Historiales, radiografías, fotografías intraorales, consentimientos informados, datos de contacto, datos de pago. Cada paciente genera decenas de registros.
3. La mayoría no tienen departamento legal. Las grandes empresas tienen un DPO (Delegado de Protección de Datos) a tiempo completo. Las clínicas dentales no. Y esa falta de estructura hace que los incumplimientos sean más frecuentes.

Los 10 protocolos RGPD que tu clínica dental necesita en 2026

1. Registro de Actividades de Tratamiento (ROPA)

Qué es: un documento que describe cada actividad de tratamiento de datos que realiza tu clínica: qué datos recoges, para qué, de quién, durante cuánto tiempo, a quién los comunicas y qué medidas de seguridad aplicas.

¿Es obligatorio? Sí. Para todas las organizaciones que tratan datos de categoría especial (art. 30 RGPD). Es decir, para todas las clínicas dentales.

Lo que la mayoría no tiene: la mayoría de clínicas no tienen un ROPA o tienen uno genérico que no refleja sus actividades reales. Un ROPA que dice «gestión de pacientes» sin detallar tipos de datos, bases legales y plazos de conservación no cumple.

2. Protocolo de gestión de brechas de seguridad

Qué es: un plan documentado de qué hacer si se produce una filtración de datos. Incluye: cómo detectarla, cómo evaluarla, a quién notificar (AEPD en menos de 72 horas si afecta a derechos), cómo comunicárselo a los afectados y cómo documentar todo el proceso.

¿Es obligatorio? Sí (art. 33 y 34 RGPD).

El riesgo real: un portátil robado con historiales de pacientes, un email enviado a la persona equivocada con datos clínicos, un hackeo del software de gestión. Todo eso es una brecha. Y si no tienes un protocolo documentado de respuesta, la sanción por no notificar a tiempo se suma a la sanción por la brecha en sí.

3. Consentimientos informados actualizados

Qué es: los documentos que firman los pacientes autorizando el tratamiento de sus datos. No confundir con el consentimiento informado clínico (que autoriza el tratamiento médico). Son documentos distintos.

¿Es obligatorio? Sí. El consentimiento para tratar datos de salud debe ser explícito, específico e informado (art. 9.2.a RGPD).

Errores comunes: usar el mismo consentimiento de hace 5 años sin actualizarlo, mezclar el consentimiento clínico con el de protección de datos en un solo documento confuso, no informar de todas las finalidades (ej: envío de comunicaciones comerciales).

4. Textos legales de la web

Qué necesitas:

• Aviso legal: identificación del responsable, datos de contacto, NIF (obligatorio por la LSSI).
• Política de privacidad: qué datos recoges en la web, para qué, base legal, plazos de conservación, derechos del usuario.
• Política de cookies: qué cookies usas, para qué, cómo desactivarlas (obligatorio si usas cookies no esenciales).
• Condiciones de servicio: si ofreces registro, reserva online o cualquier servicio a través de la web.

El error del copy-paste: copiar los textos legales de otra web es una de las infracciones más comunes. Los textos deben ser específicos para tu clínica, con tus datos, tus finalidades y tus proveedores.

El generador de textos legales de Kandent Tools crea aviso legal, privacidad y cookies personalizados para tu clínica dental en minutos. Sin abogado. Sin plantillas genéricas.

5. Protocolo de ejercicio de derechos

Qué es: un procedimiento documentado para gestionar las solicitudes de los pacientes cuando ejercen sus derechos: acceso, rectificación, supresión, portabilidad, oposición y limitación del tratamiento.

¿Es obligatorio? Sí. Debes responder en un máximo de 30 días (art. 12.3 RGPD).

El escenario: un paciente te envía un email diciendo «quiero que borréis todos mis datos». ¿Qué haces? ¿Puedes borrarlos todos? (No, los historiales clínicos tienen un plazo de conservación legal de 5 años mínimo.) ¿Quién responde? ¿En qué plazo? Sin un protocolo, cada solicitud se convierte en un caos improvisado.

6. Protocolo antiacoso

Qué es: un protocolo de prevención y actuación frente al acoso laboral y sexual en el centro de trabajo.

¿Es obligatorio? Sí, para todas las empresas independientemente de su tamaño (Ley Orgánica 3/2007 y RD 901/2020).

Lo que la mayoría no sabe: muchas clínicas creen que el protocolo antiacoso solo es obligatorio para empresas grandes. No es así. Toda empresa con al menos 1 trabajador debe tenerlo. La inspección de trabajo puede solicitarlo en cualquier visita.

7. Acuerdos de confidencialidad del equipo

Qué es: documentos firmados por cada empleado comprometiéndose a guardar la confidencialidad de los datos de pacientes a los que acceden en su trabajo.

¿Es obligatorio? Sí, es una medida de seguridad exigible (art. 32 RGPD).

El riesgo: una auxiliar que comenta con su familia el caso de un paciente famoso. Una recepcionista que envía datos de un paciente por WhatsApp personal. Sin acuerdos de confidencialidad firmados, la responsabilidad de estas acciones recae íntegramente en la clínica.

8. Contratos de encargado de tratamiento

Qué es: contratos con todos los terceros que acceden a datos de tus pacientes: software de gestión clínica, laboratorio dental, servicio de email marketing, gestoría, empresa de limpieza que accede a las instalaciones…

¿Es obligatorio? Sí (art. 28 RGPD).

Lo que suele faltar: la mayoría de clínicas tienen contrato con su software de gestión, pero no con el laboratorio dental (que recibe nombres de pacientes y datos de tratamientos) ni con la empresa de limpieza (que tiene acceso físico a las instalaciones donde hay datos).

9. Análisis de riesgos

Qué es: una evaluación documentada de los riesgos que afectan a la seguridad de los datos que tratas, y las medidas que aplicas para mitigarlos.

¿Es obligatorio? Sí. Es la base del principio de responsabilidad proactiva del RGPD (art. 24).

Ejemplos de riesgos: pérdida o robo de dispositivos con datos de pacientes, acceso no autorizado al software de gestión, envío de datos por canales no seguros (WhatsApp personal), falta de copias de seguridad.

10. Protocolo ARSULIPO (si aplica)

Qué es: el Protocolo para la Asistencia al Registro de la Situación de Incapacidad por Contingencias Profesionales. Aplica si tienes empleados y gestionas datos de bajas laborales o accidentes de trabajo.

¿Es obligatorio? Depende de tu situación específica, pero si gestionas partes de baja, sí.

El Diagnóstico Legal de Kandent Tools: tu checklist automático

El Diagnóstico Legal de Kandent Tools evalúa 72 obligaciones legales aplicables a clínicas dentales en España, incluidas todas las del RGPD, LOPD, normativa laboral y sanitaria. En 15 minutos tienes un informe con:

• Qué cumples y qué no
• Nivel de riesgo de cada incumplimiento
• Plan de acción priorizado (qué resolver primero)
• Estimación de sanciones potenciales

Y el generador de protocolos de cumplimiento te crea los documentos que te faltan: ROPA, protocolo de brechas, protocolo antiacoso, acuerdos de confidencialidad y ARSULIPO. Todo generado con IA, personalizado para clínica dental y en español.

Las 5 sanciones más comunes de la AEPD a clínicas dentales

1. Enviar comunicaciones comerciales sin consentimiento (emails, SMS). Sanción típica: 3.000-10.000 €.
2. No responder a una solicitud de derechos en plazo. Sanción típica: 5.000-20.000 €.
3. No notificar una brecha de seguridad en 72 horas. Sanción típica: 10.000-50.000 €.
4. No tener ROPA. Sanción típica: 3.000-10.000 €.
5. Publicar fotos de pacientes sin consentimiento explícito (redes sociales con fotos de «antes y después»). Sanción típica: 5.000-30.000 €.

Ninguna de estas sanciones es de las «máximas». Son las habituales. Y cualquiera de ellas puede poner en apuros a una clínica pequeña.

Plan de acción: de 0 a cumplimiento en 30 días

1. Semana 1: Haz el diagnóstico legal para saber dónde estás. Identifica los gaps más urgentes.
2. Semana 2: Genera los protocolos que te falten con el generador de protocolos: ROPA, brechas, antiacoso, confidencialidad.
3. Semana 3: Actualiza los textos legales de tu web con el generador de textos legales. Revisa los consentimientos informados.
4. Semana 4: Revisa los contratos con terceros (encargados de tratamiento). Firma los acuerdos de confidencialidad con el equipo.

30 días. Sin abogado (salvo que tengas una situación especial). Con herramientas que hacen el trabajo pesado por ti.

Preguntas frecuentes

¿Las clínicas dentales necesitan un Delegado de Protección de Datos (DPO)?

Depende. El RGPD exige DPO a las organizaciones que tratan datos de salud «a gran escala» (art. 37). La AEPD no ha definido un umbral exacto para clínicas dentales. Las clínicas pequeñas y medianas generalmente no están obligadas, pero sí deben designar un responsable interno de protección de datos. Las cadenas dentales con múltiples sedes sí suelen necesitar DPO.

¿Puedo publicar fotos de antes y después de pacientes en redes sociales?

Sí, pero SOLO con consentimiento explícito, específico y por escrito del paciente. El consentimiento debe detallar exactamente dónde se publicarán (Instagram, web, etc.) y el paciente debe poder revocarlo en cualquier momento. Las fotos deben ser anónimas (sin identificar al paciente) salvo que el consentimiento incluya explícitamente la identificación.

¿Cuánto tiempo tengo que conservar los historiales clínicos?

Mínimo 5 años desde la última asistencia (Ley 41/2002 de autonomía del paciente). Algunas comunidades autónomas establecen plazos mayores (hasta 15 años). Después de ese plazo, puedes eliminarlos, pero debes hacerlo de forma segura y documentada.

¿Puedo enviar recordatorios de cita por WhatsApp?

Sí, si tienes el consentimiento del paciente para comunicarte por ese canal y si el contenido del mensaje no incluye información clínica sensible. Un recordatorio tipo «Tienes cita el jueves a las 10:00» es correcto. Un mensaje tipo «Recuerda que tienes cita para tu tratamiento de implantes» puede revelar información de salud y debería evitarse por WhatsApp personal (no cifrado extremo a extremo con garantías).

¿Qué hago si la AEPD abre una investigación contra mi clínica?

No entres en pánico. Colabora, no te resistas. Aporta toda la documentación que tengas (ROPA, protocolos, consentimientos, contratos). Si tienes los protocolos documentados aunque tengas algún gap, la AEPD valorará tu «responsabilidad proactiva» y las sanciones serán menores. Si no tienes nada documentado, la sanción será significativamente mayor.