Sector · Atención a personas mayores

Tu residencia
sin sustos AEPD.

Consentimiento informado por representación legal acreditado, cesión a familiares solo a personas autorizadas, videovigilancia en zonas comunes con cartel Art. 13, contrato Art. 28 con tu software de gestión, protocolo de brecha en 72h, comunicación al SAAD documentada. Razonamiento auditable sobre la Guía AEPD de residencias, Ley 41/2002 autonomía paciente, Ley 39/2006 dependencia y la doctrina sancionadora real.

Empezar gratis → Reservar demo (15 min)
SANCIONES AEPD DOCUMENTADAS

Datos de salud de personas vulnerables: el sector trata categorías especiales (Art. 9), donde el riesgo sancionador es máximo

Datos de salud sin base legal: muy grave · cámaras en zonas privadas: muy grave · correos sin copia oculta: ~1.000 €

PS/00139/2025
6.600 €
Farmacia que dispensaba pañales a residentes geriátricos accediendo al sistema sanitario con credenciales ajenas y sin consentimiento de los residentes. Dos infracciones muy graves (Art. 83.5 RGPD), multa reducida a 6.600 € por pago voluntario. Resolución pública en aepd.es/documento/ps-00139-2025.pdf.
Causa: Tratamiento de datos de salud (Art. 9) sin base legal + falta de información (Art. 13)
AEPD · correos sin copia oculta
1.000 €
Enviar correos masivos a familiares de residentes sin usar la copia oculta (CCO), exponiendo todas las direcciones y nombres al resto de destinatarios, es un patrón sancionado por la AEPD (en torno a 1.000 €). Vulnera las medidas básicas del Art. 32 RGPD.
Causa: Falta de medidas técnicas básicas en comunicaciones (Art. 32 RGPD)
AEPD · brecha de datos de salud
0 €
Una brecha de seguridad que afecte a datos de salud de los residentes (Art. 9) y no se notifique a la AEPD en el plazo de 72 horas incumple el Art. 33 RGPD. En entidades sin ánimo de lucro la AEPD puede optar por apercibimiento y medidas correctoras, pero la obligación de notificar es la misma.
Causa: Notificación de brecha de datos de salud fuera de plazo (Art. 33 RGPD)
AEPD · cámaras en zonas privadas
30.000 €
Instalar cámaras en habitaciones u otras zonas privadas de los residentes sin consentimiento del titular con capacidad o de su representante legal es una infracción especialmente grave: trata datos de categoría especial e invade la intimidad (Art. 18 CE). La videovigilancia nunca puede captar zonas íntimas.
Causa: Videovigilancia en zonas privadas (Art. 9 RGPD + Art. 22 LOPDGDD + Art. 18 CE)
AEPD · imagen de residentes
8.000 €
Publicar fotos identificables de residentes en redes sociales o en la web amparándose en una cláusula genérica del contrato de admisión es un patrón sancionado: el consentimiento para la imagen debe ser específico, granular y separado (Art. 7 RGPD), y revocable.
Causa: Consentimiento de imagen no específico ni separado (Art. 7 RGPD)
Casos del día a día

Los 6 problemas reales,
ya resueltos.

CASO 01

Cámara en habitación con consentimiento de un familiar sin representación legal

EL PROBLEMA

La hija de una residente con Alzheimer avanzada pide instalar una cámara en la habitación para 'controlar que la cuiden bien'. La residente nunca fue declarada incapaz judicialmente y la hija no es tutora ni curadora con representación. ¿Se puede instalar?

QUÉ EXIGE LA NORMATIVA

RGPD Art. 9 (categoría especial · datos de salud y vida privada) · Art. 22 LOPDGDD videovigilancia · Art. 8 LOPDGDD consentimiento por representación · Art. 18 CE intimidad. Si la residente tiene capacidad, decide ella. Si no tiene capacidad, solo el representante legal con resolución judicial puede consentir.

CÓMO LO RESUELVE ÆGIS

El agente identifica que el parentesco NO equivale a representación legal, te facilita el texto motivado de la denegación al familiar, te recuerda que la única vía es resolución judicial + plan terapéutico documentado, y te sugiere derivar a Inspección autonómica si hay sospecha real de maltrato.

SANCIÓN TÍPICA SI SE INCUMPLE: Multa AEPD 8.000-40.000 € documentada para este supuesto.
CASO 02

Software de gestión SaaS sin contrato Art. 28 firmado

EL PROBLEMA

Llevamos 4 años usando un software de gestión de residencia (planes de cuidados, medicación, registros) sin haber firmado nunca contrato con el proveedor. ¿Es esto un problema serio?

QUÉ EXIGE LA NORMATIVA

Art. 28 RGPD · contrato escrito entre responsable (la residencia) y encargado (el proveedor SaaS) con todos los elementos del Art. 28.3 (objeto, duración, finalidad, tipo de datos, obligaciones de seguridad, sub-encargados, asistencia, etc.).

CÓMO LO RESUELVE ÆGIS

Plantilla DPA-residencia ÆGIS lista con todas las cláusulas Art. 28 incluidas seguridad Art. 32, sub-encargados, transferencias internacionales y SCC si proveedor extracomunitario. Lista de verificación de proveedores típicos del sector (Resiplus, Geriatric, Ekon, ServiSenior).

SANCIÓN TÍPICA SI SE INCUMPLE: Multa AEPD potencial hasta 10M € o 2% facturación Art. 83.4.a RGPD.
CASO 03

Foto del cumpleaños del residente publicada en Facebook

EL PROBLEMA

Publicamos fotos del 95º cumpleaños del residente en Facebook alegando que firmó al ingreso una cláusula genérica de 'uso de imagen para actividades del centro'. Su hijo nos reclama.

QUÉ EXIGE LA NORMATIVA

Art. 7 RGPD · consentimiento libre, específico, informado, inequívoco. Las cláusulas genéricas en el contrato de plaza son nulas según criterio EDPB Guidelines 05/2020. El consentimiento debe ser GRANULAR (separado del servicio principal).

CÓMO LO RESUELVE ÆGIS

Formulario de consentimiento separado y granular generado por ÆGIS, que distingue: foto/vídeo individual, foto/vídeo grupal, redes sociales internas, redes sociales externas (Facebook, Instagram), página web pública, materiales promocionales. Workflow de validación previa a publicación + protocolo de retirada inmediata.

SANCIÓN TÍPICA SI SE INCUMPLE: Multa AEPD 5.000-12.000 € documentada para este supuesto.
CASO 04

Brecha por extravío de tablet de enfermería

EL PROBLEMA

La tablet que enfermería usa para registro de medicación ha desaparecido durante el fin de semana. Tenía la sesión del software abierta. Contenía datos de medicación de 47 residentes de los últimos 6 meses.

QUÉ EXIGE LA NORMATIVA

Art. 33 RGPD · notificación a la AEPD en 72h si hay riesgo. Art. 34 RGPD · comunicación a interesados si hay alto riesgo (datos de salud Art. 9 SIEMPRE son alto riesgo). Sin notificación a tiempo: apercibimiento documentado (Asilo Santo 2024).

CÓMO LO RESUELVE ÆGIS

Workflow de brecha guiado paso a paso: registro hora conocimiento, bloqueo remoto si MDM, formulario PSN30 AEPD, carta a residentes/representantes con alto riesgo, plan de contingencia (cifrado, MDM obligatorio en futuros dispositivos).

SANCIÓN TÍPICA SI SE INCUMPLE: Apercibimiento + medidas correctoras → multa 5.000-15.000 € si no se notifica.
CASO 05

Hermano del residente con capacidad pide su historia clínica

EL PROBLEMA

El hermano de un residente de 72 años con plena capacidad de obrar nos solicita por escrito copia completa de la historia clínica 'por preocupación por su salud'. ¿Se la entregamos?

QUÉ EXIGE LA NORMATIVA

Ley 41/2002 Art. 5 · el titular del derecho a la información asistencial es el paciente. Los familiares solo reciben información en la medida que el paciente lo permita. Art. 18.4 Ley 41/2002. Entregar sin autorización es infracción Art. 83.5.a RGPD.

CÓMO LO RESUELVE ÆGIS

Plantilla de acuse de recibo + formulario para preguntar al residente con capacidad si autoriza. Si autoriza: plantilla de entrega con verificación de identidad. Si deniega: plantilla de denegación motivada al hermano sin revelar la motivación del residente.

SANCIÓN TÍPICA SI SE INCUMPLE: Multa AEPD 2.000-10.000 € documentada para cesiones indebidas a familiares.
CASO 06

Inspección autonómica pide acceso a expedientes de residentes

EL PROBLEMA

La Inspección de servicios sociales de la CCAA realiza visita ordinaria y pide acceder a expedientes de 10 residentes para revisar planes de cuidados. ¿Tenemos que entregárselos?

QUÉ EXIGE LA NORMATIVA

Art. 6.1.c RGPD obligación legal (potestad inspectora regulada en ley autonómica) + Art. 9.2.h RGPD (medicina preventiva). La cesión está permitida sin consentimiento, pero hay que verificar identidad y orden, registrar la cesión en el RAT, y NO entregar datos de residentes no incluidos en la solicitud.

CÓMO LO RESUELVE ÆGIS

Protocolo guiado de respuesta a inspección: verificación credenciales + orden, plantilla de acta de cesión motivada, registro automático en el RAT de cesiones, recordatorio de minimización (solo lo pedido, no más).

SANCIÓN TÍPICA SI SE INCUMPLE: Cero si se atiende correctamente. Multa 5.000-15.000 € si se obstaculiza la inspección.
Entregables incluidos

8 plantillas listas para usar.

Generadas a partir de tu caso real con los datos de tu administradora o comunidad. PDF y Word editables.

PLANTILLA 01

RAT residencia · Art. 30 RGPD

Registro de Actividades de Tratamiento con 11 tratamientos típicos pre-cargados: gestión asistencial, historia clínica, medicación, videovigilancia común, cesión SAAD, cesión sanidad, cesión familiares, imagen, RRHH, brechas, marketing.

BASE LEGAL: Art. 30 RGPD · obligatorio para todas las residencias
FORMATO: PDF + Word editable
PLANTILLA 02

Contrato Art. 28 RGPD con software de gestión residencial

Modelo completo de DPA para proveedores tipo Resiplus, Geriatric, Ekon, ServiSenior. Incluye seguridad Art. 32, sub-encargados, transferencias internacionales y SCC.

BASE LEGAL: Art. 28 RGPD · contrato escrito con encargados
FORMATO: PDF + Word editable
PLANTILLA 03

Consentimiento granular de imagen del residente

Formulario separado del contrato general con consentimiento granular: foto individual, foto grupal, redes internas, redes externas, página web, marketing. Revocable por escrito.

BASE LEGAL: Art. 7 RGPD + Art. 6.b LOPDGDD · consentimiento granular
FORMATO: PDF + Word editable
PLANTILLA 04

Protocolo de videovigilancia en residencia

Política completa: zonas comunes con base interés legítimo Art. 6.1.f + cartel Art. 13, habitaciones privadas con consentimiento explícito o necesidad terapéutica documentada, registros de acceso, política de conservación 30 días.

BASE LEGAL: Art. 22 LOPDGDD + Art. 6.1.f RGPD + Art. 18 CE
FORMATO: PDF + Word editable
PLANTILLA 05

Protocolo de comunicación de datos a familiares

Formulario al ingreso de personas autorizadas por el residente con capacidad. Procedimiento para residentes sin capacidad con representante legal. Protocolo para urgencia vital. Modelo de respuesta a solicitudes de familiares no autorizados.

BASE LEGAL: Ley 41/2002 Art. 5 + Art. 6 RGPD + Art. 8 LOPDGDD
FORMATO: PDF + Word editable
PLANTILLA 06

Protocolo de brecha de seguridad · 72h

Workflow paso a paso: registro hora conocimiento, valoración riesgo, formulario PSN30 AEPD, comunicación a interesados con alto riesgo (siempre en datos Art. 9), comunicación a Inspección autonómica si procede, plan de medidas correctoras.

BASE LEGAL: Art. 33 + Art. 34 RGPD
FORMATO: PDF + Word editable
PLANTILLA 07

Checklist RGPD al ingreso del residente

Lista de comprobación: cláusula informativa Art. 13, designación de personas autorizadas, consentimientos granulares separados (imagen, marketing, datos terceros), registro testamento vital, identificación representante legal.

BASE LEGAL: Art. 13 + Art. 7 RGPD + Ley 41/2002 Art. 11
FORMATO: PDF + Word editable
PLANTILLA 08

Modelo de respuesta a ejercicio de derechos RGPD

Plantillas para acceso del residente, acceso de familiar autorizado, acceso post-fallecimiento (Art. 18 Ley 41/2002), rectificación, supresión, oposición, portabilidad. Con plazos y motivación obligatoria de denegaciones.

BASE LEGAL: Arts. 15-22 RGPD + Ley 41/2002 Arts. 5 y 18
FORMATO: PDF + Word editable
Mercado

~5.500 residencias en España · ~390.000 plazas residenciales · mayoría centros familiares con menos de 100 plazas sin DPO interno.

Disposición a pagar de referencia: 600-1.500 €/año para residencias <50 plazas · 1.500-4.500 €/año para residencias medianas 50-150 plazas..

Empieza hoy

¿Listo para dormir tranquilo?

Plan Free abierto sin tarjeta. Si necesitas las plantillas operacionales y el agente razonando sobre tu sector, el plan Pro va por 29 €/mes con garantía de devolución 60 días.

Empezar gratis → Ver planes