Normativa

RGPD en el sector salud: guia practica 2026

El Reglamento General de Proteccion de Datos (RGPD) tiene implicaciones especialmente relevantes para el sector sanitario, donde se manejan datos de categoria especial. En esta guia te explicamos todo lo que necesitas saber para cumplir con la normativa en tu clinica o farmacia.

¿Por que el RGPD es especialmente importante en salud?

Los datos de salud estan clasificados como datos de categoria especial segun el articulo 9 del RGPD. Esto significa que tienen un nivel de proteccion mas elevado y su tratamiento esta sujeto a condiciones mas estrictas.

Obligaciones clave para clinicas y farmacias

1. Registro de actividades de tratamiento

Toda clinica o farmacia debe mantener un registro documentado de las actividades de tratamiento de datos que realiza. Este registro debe incluir:

• Finalidades del tratamiento
• Categorias de datos tratados
• Categorias de destinatarios
• Plazos de conservacion
• Medidas de seguridad implementadas

2. Base legal del tratamiento

Actividad	Base legal
Historia clinica	Obligacion legal (Ley 41/2002)
Gestion de citas	Ejecucion de contrato
Envio de recordatorios	Consentimiento del paciente
Comunicaciones comerciales	Consentimiento explicito
Facturacion	Obligacion legal

3. Consentimiento informado

El consentimiento para el tratamiento de datos de salud debe ser:

• Explicito: No vale el consentimiento tacito
• Informado: El paciente debe saber exactamente que datos se tratan y con que finalidad
• Libre: No puede estar condicionado a la prestacion del servicio (cuando no sea necesario)
• Revocable: El paciente debe poder retirar su consentimiento en cualquier momento

4. Derechos de los pacientes

Los pacientes tienen los siguientes derechos respecto a sus datos:

• Acceso: Conocer que datos se tratan sobre ellos
• Rectificacion: Corregir datos inexactos
• Supresion: Solicitar la eliminacion (con limitaciones en historias clinicas)
• Portabilidad: Recibir sus datos en formato electronico
• Oposicion: Oponerse al tratamiento en determinados casos
• Limitacion: Restringir el uso de sus datos

Medidas de seguridad recomendadas

El RGPD exige implementar medidas tecnicas y organizativas apropiadas al riesgo:

Medidas tecnicas

• Cifrado de datos en reposo y en transito (TLS 1.2 o superior)
• Control de acceso basado en roles (RBAC)
• Autenticacion robusta (contraseñas seguras, doble factor)
• Copias de seguridad cifradas y periodicas
• Registro de accesos a datos sensibles (auditorias)

Medidas organizativas

• Formacion periodica del personal en proteccion de datos
• Politica de mesas limpias y pantallas bloqueadas
• Acuerdos de confidencialidad con empleados y colaboradores
• Protocolo de notificacion de brechas de seguridad
• Evaluaciones de impacto (EIPD) cuando sea necesario

Notificacion de brechas de seguridad

En caso de una brecha de seguridad que afecte a datos personales:

1. Detectar y contener: Actuar inmediatamente para limitar el impacto
2. Evaluar el riesgo: Determinar la gravedad y los datos afectados
3. Notificar a la AEPD: En un plazo maximo de 72 horas si hay riesgo para los afectados
4. Informar a los afectados: Si el riesgo es alto, comunicar directamente a los pacientes
5. Documentar: Registrar todo el incidente y las acciones tomadas

Checklist de cumplimiento RGPD

• Registro de actividades de tratamiento actualizado
• Clausulas de informacion y consentimiento en formularios
• Contratos con encargados del tratamiento (proveedores)
• Protocolo para atender derechos de los pacientes
• Medidas de seguridad documentadas e implementadas
• Plan de respuesta ante brechas de seguridad
• Formacion del personal documentada
• Delegado de Proteccion de Datos (si es obligatorio)