RGPD en clínica dental: guía completa de cumplimiento 2026

Las clínicas dentales tratan datos de salud. Eso, bajo el RGPD (Reglamento General de Protección de Datos), las coloca en una categoría especial que implica obligaciones reforzadas. No es como una tienda de ropa que recoge nombres y emails. Tu clínica dental maneja historiales clínicos, radiografías, diagnósticos, alergias, medicaciones. Todo eso son datos de categoría especial. Y el incumplimiento del RGPD en clínica dental puede suponer sanciones de 751 € hasta 20 millones de euros.

La mayoría de clínicas dentales no saben qué les falta en materia de RGPD hasta que llega una inspección de la AEPD (Agencia Española de Protección de Datos) o hasta que un paciente ejerce un derecho que no saben gestionar. Y entonces, la carrera por cumplir a última hora sale más cara y más estresante que haber hecho las cosas bien desde el principio.

Esta guía te explica todo lo que tu clínica dental necesita para cumplir con el RGPD: qué datos tratas, qué obligaciones tienes, qué sanciones enfrentas y cómo cumplir sin necesitar un despacho de abogados.

¿Qué datos trata tu clínica dental bajo el RGPD?

Más de los que crees. Y más sensibles de lo que imaginas. El RGPD clasifica los datos en varias categorías, y tu clínica dental los trata prácticamente todos:

• Datos personales básicos: nombre, apellidos, teléfono, email, dirección, DNI, fecha de nacimiento
• Datos financieros: facturas, presupuestos, datos de pago, información bancaria para domiciliaciones
• Datos de salud (categoría especial RGPD): historiales clínicos, radiografías, diagnósticos, planes de tratamiento, alergias, medicación actual, antecedentes médicos
• Datos de imagen: fotografías intraorales, fotografías faciales, escáneres 3D
• Datos de menores: si tratas pacientes infantiles, aplican obligaciones adicionales de consentimiento

Los datos de salud son «categoría especial» bajo el RGPD. Esto significa que su tratamiento requiere una base legal reforzada (normalmente, consentimiento explícito o necesidad para fines de medicina preventiva o laboral) y medidas de seguridad adicionales.

Las 7 obligaciones del RGPD que tu clínica dental debe cumplir

Obligación 1: ROPA (Registro de Actividades de Tratamiento)

El ROPA es un documento interno obligatorio que describe todos los tratamientos de datos que realiza tu clínica dental: qué datos recoges, para qué, con qué base legal, a quién los comunicas, cuánto tiempo los conservas y qué medidas de seguridad aplicas. Es obligatorio para todas las empresas que traten datos personales, sin excepción de tamaño.

No es un documento que se publique en la web. Es interno. Pero la AEPD puede pedirlo en cualquier momento y debes tenerlo listo.

Obligación 2: Política de privacidad en la web

Tu web necesita una política de privacidad que informe de forma clara y completa sobre: quién es el responsable del tratamiento, qué datos recoge, para qué finalidades, con qué base legal, a quién los comunica, cuánto tiempo los conserva, y cómo pueden los usuarios ejercer sus derechos.

Para una clínica dental bajo el RGPD, esta política debe mencionar específicamente el tratamiento de datos de salud y las medidas de seguridad reforzadas que aplicas. También debe listar todos los encargados de tratamiento (laboratorio, software de gestión, herramientas digitales) con los que compartes datos de pacientes.

Obligación 3: Aviso legal y política de cookies

Además de la privacidad, tu web necesita: aviso legal (obligatorio por la LSSI-CE con datos del responsable), política de cookies (detallando cada cookie, su finalidad y cómo desactivarla) y un banner de cookies que permita aceptar Y rechazar antes de que se instalen. Un botón de «Aceptar todas» sin opción de rechazar no cumple con el RGPD.

El auditor legal web de Kandent Tools escanea tu web en 2 minutos y detecta automáticamente qué textos legales faltan, cuáles están incompletos y qué cookies no declaras. Y el generador de textos legales crea los 3 documentos personalizados para tu clínica dental en 10 minutos.

Obligación 4: Consentimientos informados actualizados

Cada paciente debe firmar un consentimiento informado que incluya no solo el consentimiento clínico sino también el consentimiento para el tratamiento de sus datos personales y de salud. Estos consentimientos deben ser específicos, informados, libres e inequívocos. Las casillas premarcadas no valen.

Obligación 5: Protocolo de brechas de seguridad

Si sufres una brecha de seguridad que afecte a datos personales (un hackeo, un USB perdido con historiales, un email enviado por error con datos de pacientes), debes notificarlo a la AEPD en un plazo máximo de 72 horas. Para eso necesitas un protocolo definido de antemano: quién detecta la brecha, quién evalúa su gravedad, quién notifica y cómo se documenta.

Obligación 6: Compromiso de confidencialidad del equipo

Todo el personal de tu clínica dental que acceda a datos personales debe firmar un compromiso de confidencialidad. Esto incluye recepcionistas, auxiliares, higienistas, doctores y cualquier otra persona con acceso a historiales, agendas o datos de pacientes.

Obligación 7: Formación del equipo en protección de datos

Todo el personal de tu clínica dental que acceda a datos personales debe recibir formación básica en RGPD: qué son datos personales, qué significa confidencialidad, qué no hacer (compartir historiales por WhatsApp personal, dejar pantallas desbloqueadas, hablar de pacientes en zonas comunes). Una sesión de 1-2 horas al año reduce drásticamente el riesgo de incumplimientos involuntarios del RGPD en clínica dental.

Obligación 8: Procedimiento de derechos ARSULIPO

Los pacientes tienen derecho a: Acceso, Rectificación, Supresión, Limitación, Portabilidad y Oposición (ARSULIPO). Tu clínica dental debe tener un procedimiento documentado para gestionar estas solicitudes en los plazos legales (máximo 1 mes). Si un paciente pide que elimines sus datos y no sabes cómo gestionarlo, tienes un problema serio con el RGPD.

Con el diagnóstico legal de Kandent Tools puedes evaluar tus 72 obligaciones legales de RGPD en clínica dental en 15 minutos y obtener un plan de acción priorizado por riesgo e impacto.

¿Cuánto cuesta incumplir el RGPD en clínica dental?

Las sanciones teóricas del RGPD llegan hasta 20 millones de euros o el 4% de la facturación anual global. En la práctica, para clínicas dentales en España, las sanciones de la AEPD suelen oscilar entre 3.000 y 75.000 € dependiendo de la gravedad.

Los incumplimientos más sancionados en clínicas dentales

• Enviar comunicaciones comerciales sin consentimiento: newsletters, SMS promocionales o WhatsApp sin autorización explícita. Sanción habitual: 3.000-10.000 €.
• No tener política de privacidad en la web: o tenerla pero incompleta/desactualizada. Sanción: 1.000-5.000 €.
• No notificar brechas de seguridad: el caso clásico es un robo de portátil con datos de pacientes que no se comunica a la AEPD. Sanción: 10.000-50.000 €.
• No atender derechos ARSULIPO: un paciente pide sus datos y no recibes respuesta en el plazo. Sanción: 5.000-20.000 €.

Tu web de clínica dental también tiene que cumplir el RGPD

Tu web es una de las áreas de mayor riesgo en el RGPD de tu clínica dental porque recoge datos a través de formularios, instala cookies de terceros y a menudo tiene deficiencias documentales que son fácilmente detectables por cualquier inspección.

Checklist rápido del RGPD para tu web dental

• Aviso legal con datos del responsable, CIF, dirección y email de contacto
• Política de privacidad específica para clínica dental (mencionando datos de salud)
• Política de cookies actualizada con todas las cookies que usa tu web
• Banner de cookies que permita aceptar Y rechazar
• Casilla de consentimiento no premarcada en cada formulario
• Enlace a la política de privacidad en cada formulario
• HTTPS en toda la web (certificado SSL)

Si alguno de estos puntos falla, el auditor legal web te lo detecta automáticamente y te dice exactamente cómo arreglarlo.

Errores comunes del RGPD en clínica dental

Enviar WhatsApp sin consentimiento

WhatsApp Business es fantástico para comunicarte con pacientes, pero necesitas su consentimiento previo para enviarles mensajes comerciales. Recordatorios de cita: sí, se amparan en la relación asistencial. Promociones del mes: necesitas consentimiento explícito. Muchas clínicas dentales incumplen el RGPD al usar WhatsApp Business sin distinguir entre comunicaciones asistenciales y comerciales.

Dejar historiales clínicos a la vista

¿Las carpetas de pacientes están en estanterías abiertas detrás de recepción? ¿La pantalla del ordenador de recepción es visible para los pacientes en sala de espera? Estos son incumplimientos del RGPD en clínica dental que se detectan en cualquier inspección presencial. Los historiales clínicos deben estar bajo llave o en sistemas digitales con acceso controlado.

No tener acuerdos de encargado de tratamiento

Si tu laboratorio accede a datos de pacientes (nombres, fotos intraorales, radiografías), necesitas un acuerdo de encargado de tratamiento firmado con ellos. Lo mismo aplica a tu gestoría, tu proveedor de software de gestión clínica y cualquier tercero que acceda a datos personales. Es una de las obligaciones del RGPD que más se incumple en clínicas dentales porque nadie se acuerda de que el laboratorio también trata datos.

¿Necesita tu clínica dental un DPO (Delegado de Protección de Datos)?

La obligación de designar un DPO aplica a organizaciones que tratan datos de salud «a gran escala». La interpretación de «gran escala» no está definida con precisión para clínicas dentales. En general, las clínicas pequeñas y medianas (menos de 50 profesionales sanitarios) no están obligadas a tener un DPO formal. Pero sí deben tener un responsable interno que se ocupe del cumplimiento del RGPD.

Si dudas, consulta con un profesional de protección de datos. Pero ten en cuenta que «gran escala» se mide por el número de pacientes tratados, no por el número de empleados. Una clínica con 3 empleados pero 5.000 pacientes en su base de datos podría considerarse «gran escala» en algunos contextos. El RGPD en clínica dental requiere una evaluación caso a caso para determinar si necesitas un DPO formal o basta con un responsable interno.

Muchas clínicas contratan un servicio externo de DPO que les cuesta entre 50 y 200 €/mes. Para clínicas pequeñas, las herramientas de cumplimiento de Kandent Tools pueden cubrir la mayor parte de las necesidades sin necesidad de un DPO externo, aunque una consulta puntual con un profesional especializado es recomendable para casos complejos.

Las redes sociales y el RGPD en clínica dental

Las redes sociales de tu clínica dental son un campo minado de RGPD si no se gestionan bien. Publicar fotos de pacientes (incluso intraorales donde no se ve la cara) sin consentimiento, compartir antes/después sin autorización firmada, grabar vídeos en la clínica donde aparece un paciente de fondo… Todo eso puede generar una sanción.

Para cumplir el RGPD en las redes sociales de tu clínica dental: obtén consentimiento firmado y específico para cada uso (web, Instagram, Facebook, formación), informa al paciente de cómo se va a usar la imagen, permite la revocación del consentimiento en cualquier momento, y nunca publiques datos identificativos (nombre, radiografía con datos del paciente visibles, etc.).

El RGPD en clínica dental y las herramientas digitales

Cada herramienta digital que usas en tu clínica dental procesa datos personales y debe ser contemplada en tu cumplimiento del RGPD. El software de gestión clínica, el sistema de citas online, el CRM de pacientes, la herramienta de email marketing, el chatbot de la web, WhatsApp Business, Google Analytics, las redes sociales, Zoom para teleconsultas… Cada una de estas herramientas requiere:

• Mención en la política de privacidad
• Si el proveedor es estadounidense, verificar que cumple con el marco de transferencia de datos UE-EEUU
• Acuerdo de encargado de tratamiento con el proveedor
• Evaluación de las medidas de seguridad del proveedor

Es un trabajo inicial significativo pero que, una vez hecho, solo requiere actualización cuando cambias de herramienta. El diagnóstico legal de Kandent Tools te guía por cada una de estas obligaciones y te dice exactamente qué te falta para cumplir el RGPD en clínica dental.

Cómo cumplir el RGPD en clínica dental paso a paso

• Semana 1: Haz el diagnóstico legal para saber dónde estás y qué te falta
• Semana 2: Genera los textos legales de tu web (privacidad, cookies, aviso legal)
• Semana 3: Crea el ROPA y los compromisos de confidencialidad para el equipo
• Semana 4: Documenta el protocolo de brechas y el procedimiento de derechos ARSULIPO
• Trimestral: Revisa y actualiza si has añadido herramientas, servicios o datos nuevos

Con el generador de protocolos de Kandent Tools puedes crear todos estos documentos personalizados para tu clínica dental sin necesidad de un abogado para la mayoría de los casos.

Conclusión

El RGPD en clínica dental no es algo que puedas postergar indefinidamente. Tratas datos de salud — la categoría más sensible — y las sanciones son proporcionalmente severas. La buena noticia es que cumplir con el RGPD en clínica dental no es tan difícil como parece cuando tienes las herramientas adecuadas y un proceso claro.

Kandent Tools incluye un ecosistema completo de cumplimiento legal para clínicas dentales: diagnóstico legal (72 obligaciones), auditor legal web, generador de textos legales y generador de protocolos. Todo lo que necesitas para que el RGPD de tu clínica dental deje de ser una preocupación y pase a ser un check.

Preguntas frecuentes

¿Es obligatorio cumplir el RGPD en todas las clínicas dentales de España?

Sí, sin excepciones. El RGPD aplica a cualquier organización que trate datos personales de residentes en la UE, independientemente de su tamaño o número de empleados. Todas las clínicas dentales en España deben cumplir el RGPD en clínica dental y su normativa complementaria (LOPDGDD).

¿Cuánto cuesta a una clínica dental cumplir con el RGPD?

Depende de cómo lo hagas. Un despacho de abogados puede cobrarte entre 500 y 3.000 € por la adaptación inicial, más una cuota anual de mantenimiento. Con herramientas como Kandent Tools, el coste está incluido en el plan (desde 29 €/mes) y puedes generar los documentos tú mismo. Para casos complejos, una consulta puntual con un abogado especializado complementa perfectamente.

¿Puedo generar yo mismo los documentos del RGPD para mi clínica dental?

Para la mayoría de clínicas dentales pequeñas y medianas, sí. Los generadores de textos legales y protocolos de Kandent Tools crean documentos válidos y personalizados. Si tienes situaciones especiales (investigación clínica, colaboraciones internacionales, tratamiento masivo de datos), una revisión profesional es recomendable.

¿Qué pasa si un paciente de mi clínica dental pide que borre todos sus datos?

Debes responder en un plazo máximo de 1 mes. Puedes negarte si existe una obligación legal de conservación (como los historiales clínicos, que deben conservarse un mínimo de 5 años según la Ley de Autonomía del Paciente). En ese caso, debes explicar al paciente por qué no puedes eliminar todos sus datos y qué datos sí puedes suprimir.

¿Las fotografías intraorales de pacientes están protegidas por el RGPD en mi clínica dental?

Sí. Las fotografías de pacientes son datos personales (permiten identificar a la persona) y, en el caso de fotografías intraorales, pueden considerarse datos de salud. Necesitas consentimiento específico para tomarlas, almacenarlas y, especialmente, para usarlas en redes sociales, web o formación. El RGPD exige que el consentimiento sea explícito e informado.

¿Cada cuánto debo actualizar el cumplimiento del RGPD en mi clínica dental?

Como mínimo, una revisión anual. Pero debes actualizar cada vez que: cambies de herramienta digital (nuevo software, nuevo CRM, nuevo sistema de citas), añadas nuevos servicios que impliquen tratamiento de datos, cambien proveedores que accedan a datos de pacientes, o se modifique la normativa aplicable. El RGPD es cumplimiento vivo, no un trámite puntual.