NUDAYOSH

BLOG · 2026-05-15

Checklist RGPD para clínicas dentales (versión 2026)

Si tu clínica dental procesa datos de pacientes (que sí, todos), hay un mínimo legal que cumplir. Este es el checklist práctico que aplicamos en clínicas reales — sin paja jurídica.

1. Registro de actividades de tratamiento

Tienes obligación legal de mantener un documento donde detallas qué datos personales tratas, para qué, con qué base legal, cuánto tiempo los conservas y a quién se los cedes. En clínicas dentales suele incluir:

  • Datos identificativos de pacientes (nombre, DNI, dirección, teléfono).
  • Datos de salud (categoría especial — requiere consentimiento explícito o base sanitaria).
  • Datos económicos (presupuestos, financiación, IBAN si se domicilia).
  • Imágenes (radiografías, fotos clínicas — datos sensibles).

2. Consentimiento informado del paciente

Cada tratamiento debe contar con un consentimiento informado firmado antes de la intervención. Lo importante:

  • Firma con fecha y trazabilidad (no vale un PDF subido genérico — tiene que estar vinculado al paciente).
  • Información sobre el tratamiento, riesgos y alternativas.
  • Posibilidad de revocar el consentimiento en cualquier momento.
  • Firma digital con timestamp es válida (Ley 6/2020 sobre servicios electrónicos de confianza).

3. Encargados del tratamiento

Cualquier proveedor que toque datos de tus pacientes (laboratorio dental, gestoría, software de gestión, email marketing) es un encargado del tratamiento. Necesitas un contrato firmado con cada uno regulando cómo tratan esos datos.

En la práctica: pídeles a cada uno su acuerdo de encargado del tratamiento. La mayoría lo tienen como PDF estándar. Si alguno no te lo facilita, considera cambiar de proveedor — legalmente respondes tú.

4. Software de gestión: ¿cumple?

Tu software de citas y gestión clínica debe:

  • Cifrar los datos en reposo (la BD) y en tránsito (HTTPS obligatorio).
  • Tener servidores en la UE (ojo con software americano sin acuerdo Schrems II).
  • Permitir exportar todos los datos de un paciente (derecho a la portabilidad).
  • Permitir el borrado seguro (derecho al olvido — con excepciones por obligación de conservación sanitaria).
  • Tener registro de accesos (quién consultó la ficha y cuándo).

Nuestro software para clínicas dentales cumple todo esto desde el día 1, con servidores en España.

5. Brecha de seguridad: tienes 72 horas

Si detectas una brecha (hackeo, pérdida de un dispositivo, fuga de datos), tienes 72 horas para notificar a la AEPD. Si afecta a derechos de los pacientes, también debes informarles a ellos.

Por eso es crítico tener monitorización activa de tu web y de tu sistema. Si te enteras una semana después de que pasó, ya estás en problema. Con NUDAYOSH Security recibes alerta cuando algo cambia.

6. Cookies y web pública

Tu web pública también tiene obligaciones:

  • Banner de cookies con opciones reales (aceptar / rechazar / configurar — no solo "aceptar").
  • Política de privacidad actualizada y accesible desde el footer.
  • Política de cookies separada.
  • Aviso legal con datos de la empresa.

7. Auditoría interna anual

Una vez al año (mínimo), revisa:

  1. ¿Sigue siendo válido el registro de actividades de tratamiento?
  2. ¿Han cambiado proveedores? Actualizar encargados.
  3. ¿Has tenido alguna brecha? Documentarla.
  4. ¿Sigue el personal formado en protección de datos? Charla de refresco.
  5. ¿Funciona la auditoría de accesos al software?

¿Necesitas ayuda?

Si quieres una auditoría rápida del estado RGPD de tu clínica (web + software + procesos), escríbenos. Hacemos checklist completo y plan de acción en menos de 2 semanas.

¿Te ha sido útil este artículo? Compártelo o hablemos.

Analiza tu web gratis

10 capas de detección. Sin email obligatorio. 30 segundos.

Probar el scanner →