Sector · Sanidad dental privada

Tu clínica
sin sustos AEPD.

Historia clínica conforme Ley 41/2002, fotos antes/después con consentimiento específico, contrato Art. 28 con tu software de gestión, brechas de seguridad con protocolo 72h y cesión a aseguradoras minimizada. Razonamiento auditable sobre la Guía AEPD sanidad, la doctrina sancionadora dental y el régimen MDR aplicado al software dental que usas.

Empezar gratis → Reservar demo (15 min)
SANCIONES AEPD DOCUMENTADAS

Videovigilancia en gabinete y derechos de los pacientes: focos habituales de sanción a clínicas dentales

Cámara en zona de tratamiento: 5.000 € (reducible) · no atender derechos del paciente: ~5.000 € · captación laboral excesiva: ~3.000 €

AEPD · cámara en gabinete
5.000 €
La AEPD sancionó con 5.000 € (reducida a 3.000 € por pago voluntario, dic. 2024) a una clínica dental por instalar cámaras dentro del gabinete de atención, grabando imagen y sonido durante los tratamientos a los pacientes. Vulnera el principio de minimización (Art. 5.1.c RGPD): es un tratamiento desproporcionado para la finalidad de seguridad.
Causa: Videovigilancia desproporcionada en zona de tratamiento (Art. 5.1.c RGPD + Art. 22 LOPDGDD)
AEPD · control laboral por cámaras
3.000 €
En el mismo expediente, la AEPD impuso una segunda sanción de 3.000 € (reducida a 2.400 €) por la captación excesiva de los puestos de trabajo del personal de la clínica. Vigilar a los empleados exige información previa y proporcionalidad (Art. 89 LOPDGDD + Art. 20.3 ET).
Causa: Captación laboral excesiva (Art. 89 LOPDGDD + Art. 20.3 ET)
PS/00520/2014
5.000 €
Clínica dental sancionada con 5.000 € por negarse a entregar a una paciente su historia clínica (incluidas las radiografías panorámicas) tras ejercer el derecho de acceso, y por no atender el requerimiento de la AEPD. Lo último que debe hacer una entidad ante un requerimiento de la AEPD es no responderlo.
Causa: No atender el derecho de acceso a la historia clínica ni el requerimiento de la AEPD
AEPD · WhatsApp sin consentimiento
2.000 €
Comunicarse con pacientes por WhatsApp o enviarles comunicaciones comerciales sin su consentimiento expreso es un patrón sancionado: WhatsApp comparte datos con terceros y su uso requiere consentimiento informado. Aplica también el Art. 21 LSSI a los recordatorios y campañas.
Causa: Comunicaciones a pacientes sin consentimiento (Art. 6-7 RGPD + Art. 21 LSSI)
Ley 41/2002 · historia clínica
5.000 €
La historia clínica del paciente debe conservarse al menos 5 años desde el alta de cada proceso asistencial (Art. 17 Ley 41/2002), con las medidas de seguridad propias de un dato de salud (categoría especial, Art. 9 RGPD). No conservarla, perderla o no protegerla adecuadamente expone a la clínica a sanción.
Causa: Conservación y seguridad de la historia clínica (Ley 41/2002 + Art. 9 y 32 RGPD)
Casos del día a día

Los 7 problemas reales,
ya resueltos.

CASO 01

Alta de paciente y apertura de historia clínica

EL PROBLEMA

Cada nuevo paciente firma un consentimiento al alta que muchas clínicas usan como cajón de sastre: asistencia, marketing, fotos, cesiones. Cuando llega una inspección AEPD, ese consentimiento genérico no protege nada.

QUÉ EXIGE LA NORMATIVA

Información Art. 13 RGPD entregada por escrito · base jurídica Art. 6.1.b (contrato) + Art. 9.2.h RGPD (asistencia sanitaria) · consentimientos diferenciados para finalidades secundarias (fotos, marketing, cesiones) · conservación según Ley 41/2002 + autonómica.

CÓMO LO RESUELVE ÆGIS

Documento de alta paramétrico: información Art. 13 + consentimientos diferenciados por finalidad concreta · el agente te indica qué consentimientos necesitas según los servicios que ofreces (sedación, ortodoncia, implantes, ortodoncia infantil) y genera el formulario.

SANCIÓN TÍPICA SI SE INCUMPLE: 3.000 € - 10.000 €
CASO 02

Fotos antes/después en redes sociales

EL PROBLEMA

Tu marketing depende de Instagram, TikTok y la web. Los pacientes firman al alta pero el consentimiento no menciona expresamente difusión publicitaria. La AEPD ya sancionó 18.000 € a una clínica de Madrid por esto.

QUÉ EXIGE LA NORMATIVA

Consentimiento ESPECÍFICO Art. 7 RGPD para finalidad publicitaria · documento separado del consentimiento clínico · información previa: canales (Instagram, TikTok, web), duración, alcance, revocación · registro auditable · menores: consentimiento de la patria potestad.

CÓMO LO RESUELVE ÆGIS

Plantilla de consentimiento publicitario separado · registro auditable exportable si AEPD inspecciona · checklist para menores · protocolo de retirada cuando el paciente revoca.

SANCIÓN TÍPICA SI SE INCUMPLE: 10.000 € - 25.000 €
CASO 03

Contrato Art. 28 con software dental (Gesden, Klinikare, Odontonet)

EL PROBLEMA

Tu software de gestión aloja la historia clínica de miles de pacientes en sus servidores. Sin contrato formal de encargo Art. 28, la AEPD considera infracción autónoma.

QUÉ EXIGE LA NORMATIVA

Contrato Art. 28 RGPD con todas las cláusulas: instrucciones documentadas · confidencialidad personal · medidas Art. 32 específicas datos salud · subencargados identificados · transferencias internacionales · asistencia · brechas · destino al finalizar · auditoría.

CÓMO LO RESUELVE ÆGIS

Modelo de contrato Art. 28 específico para software sanitario · adaptaciones para los principales proveedores (Gesden, Dental Easy, Klinikare, Odontonet) · verificación de certificaciones (ISO 27001, ENS Alta) · registro de actividades del tratamiento.

SANCIÓN TÍPICA SI SE INCUMPLE: 10.000 € - 30.000 €
CASO 04

Brecha de seguridad · ransomware o robo

EL PROBLEMA

El ransomware ha golpeado al sector dental con frecuencia creciente. Si te pasa, tienes 72 horas para notificar a la AEPD. Pagar el rescate NO te exime de notificar ni de responsabilidad.

QUÉ EXIGE LA NORMATIVA

Notificación AEPD < 72h (Art. 33 RGPD) · notificación a pacientes si alto riesgo (Art. 34 RGPD) · activación protocolo continuidad asistencial · evaluación riesgo · coordinación INCIBE-CERT · registro Art. 33.5 · revisión post-incidente.

CÓMO LO RESUELVE ÆGIS

Workflow guiado de notificación 72h con borrador AEPD-ready · comunicación tipo a pacientes · checklist de evaluación retrospectiva (¿cifrado? ¿backups? ¿formación?) · protocolo de continuidad asistencial · registro automático del incidente.

SANCIÓN TÍPICA SI SE INCUMPLE: 20.000 € - 60.000 € + civil
CASO 05

Cesión de informe a aseguradora (Sanitas, Adeslas, Asisa)

EL PROBLEMA

La aseguradora pide la historia completa para autorizar un tratamiento. Si la envías íntegra, la AEPD te sanciona por desproporción.

QUÉ EXIGE LA NORMATIVA

Consentimiento ESPECÍFICO para esa cesión concreta · minimización: solo los datos estrictamente necesarios · base jurídica Art. 6.1.a + Art. 9.2.a RGPD · información previa: qué se cede, a quién, para qué · registro de la cesión auditable.

CÓMO LO RESUELVE ÆGIS

Modelo de informe minimizado por tipo de tratamiento (ortodoncia, implantes, periodoncia) · consentimiento específico para cada cesión · registro de cesiones exportable · alerta cuando un consentimiento genérico antiguo no cubre una cesión nueva.

SANCIÓN TÍPICA SI SE INCUMPLE: 3.000 € - 15.000 €
CASO 06

Ejercicio de derecho de acceso del paciente

EL PROBLEMA

Un paciente pide copia de su historia. Si entregas resumen sin radiografías ni ortopantomografías, la AEPD te sanciona por entrega incompleta (cf. PS/00520/2014, 5.000 € por no atender el derecho de acceso).

QUÉ EXIGE LA NORMATIVA

Entrega íntegra de la historia incluyendo imágenes · plazo máximo 1 mes (Art. 12 RGPD) · formato útil (papel o electrónico estructurado) · excepción: anotaciones subjetivas del facultativo no son objeto del derecho · registro del ejercicio del derecho.

CÓMO LO RESUELVE ÆGIS

Workflow paramétrico para atender el derecho: checklist del contenido obligatorio · exportación de historia completa desde Gesden u otros · alerta sobre anotaciones subjetivas exentas · modelo de respuesta al paciente · registro auditable.

SANCIÓN TÍPICA SI SE INCUMPLE: 2.000 € - 8.000 €
CASO 07

Software CAD/CAM y planificación de implantes (MDR clase IIa)

EL PROBLEMA

El software que usas para planificar implantes y diseñar prótesis CAD/CAM es producto sanitario MDR clase IIa. ¿Verificas el marcado CE? ¿Tienes registrada la formación del personal? ¿Reportas incidentes al fabricante?

QUÉ EXIGE LA NORMATIVA

Verificación marcado CE conforme MDR Reg 2017/745 · formación del personal según manual del fabricante · registro UDI del software instalado · vigilancia post-comercialización · notificación de incidentes al fabricante y a AEMPS.

CÓMO LO RESUELVE ÆGIS

Inventario de software dental con marcado CE · checklist de verificación previo a la compra · registro de formación del personal · workflow de notificación de incidentes (FSCA, MDR Art. 87) · documentación lista para inspección AEMPS.

SANCIÓN TÍPICA SI SE INCUMPLE: Variable AEMPS + responsabilidad civil
Entregables incluidos

8 plantillas listas para usar.

Generadas a partir de tu caso real con los datos de tu administradora o comunidad. PDF y Word editables.

PLANTILLA 01

Documento de alta del paciente · información + consentimientos diferenciados

Información Art. 13 RGPD completa + consentimientos separados para cada finalidad secundaria (fotos marketing, cesiones, recordatorios SMS, encuestas satisfacción). Adaptable por servicios ofrecidos.

BASE LEGAL: Art. 13 RGPD + Art. 9.2.h RGPD + Ley 41/2002
FORMATO: PDF + Word editable
PLANTILLA 02

Consentimiento fotos antes/después con fines publicitarios

Documento separado del consentimiento clínico. Detalla canales (Instagram, TikTok, web, anuncios), duración, alcance geográfico, revocación. Versión menores.

BASE LEGAL: Art. 7 RGPD + Art. 8 LOPDGDD (menores)
FORMATO: PDF + Word editable
PLANTILLA 03

Contrato Art. 28 RGPD con proveedor de software dental

Adaptado a software de gestión sanitaria con cláusulas específicas para categoría especial Art. 9 + medidas Art. 32 sectoriales. Versiones para Gesden, Dental Easy, Klinikare, Odontonet y plantilla genérica.

BASE LEGAL: Art. 28 RGPD + Guía AEPD historia clínica (Cap. 4)
FORMATO: PDF + Word editable
PLANTILLA 04

Protocolo brecha 72h específico clínica dental

Workflow paso a paso desde detección hasta cierre. Borrador AEPD-ready + comunicación a pacientes + coordinación INCIBE-CERT + checklist post-incidente.

BASE LEGAL: Arts. 33 + 34 RGPD + Guía AEPD notificación brechas
FORMATO: PDF + Word editable
PLANTILLA 05

Modelo de informe minimizado para aseguradora

Plantillas por tipo de tratamiento (ortodoncia, implantes, periodoncia, endodoncia) con solo los datos estrictamente necesarios + consentimiento específico del paciente para esa cesión concreta.

BASE LEGAL: Art. 6.1.a + Art. 9.2.a RGPD + Art. 5.1.c RGPD
FORMATO: PDF + Word editable
PLANTILLA 06

Atención del derecho de acceso del paciente

Checklist de contenido obligatorio (incluye imágenes), modelo de respuesta al paciente, registro auditable del ejercicio del derecho, plazos del Art. 12 RGPD.

BASE LEGAL: Art. 15 RGPD + Art. 18 Ley 41/2002
FORMATO: PDF + Word editable
PLANTILLA 07

Inventario de software dental MDR + registro de formación

Plantilla de inventario con marcado CE, UDI, versión instalada, fecha de actualización, personal formado y vigilancia post-comercialización.

BASE LEGAL: MDR Reg (UE) 2017/745 Art. 27 + Art. 87
FORMATO: PDF + Word editable
PLANTILLA 08

Registro de Actividades de Tratamiento (RAT) · clínica dental

RAT preconfigurado con los 12 tratamientos típicos de una clínica dental (asistencia, gestión citas, facturación, fotos marketing, cesiones aseguradoras, videovigilancia, RRHH, contabilidad, etc.) con base jurídica, conservación y medidas técnicas.

BASE LEGAL: Art. 30 RGPD
FORMATO: PDF + Word editable
Mercado

~12.000 clínicas dentales privadas en España · 28.000-30.000 dentistas colegiados activos.

Disposición a pagar de referencia: 500-1.500 €/año por clínica pequeña/mediana · 2.000-5.000 €/año para grupos clínicos multi-centro..

Empieza hoy

¿Listo para dormir tranquilo?

Plan Free abierto sin tarjeta. Si necesitas las plantillas operacionales y el agente razonando sobre tu sector, el plan Pro va por 29 €/mes con garantía de devolución 60 días.

Empezar gratis → Ver planes