Hemos elaborado esta guía de protección de datos para clínica dental, en la que revisamos los aspectos clave de la normativa de protección de datos para dentistas y/o gestores de este tipo de clínicas.
En este artículo hablamos de:
- ¿Es obligatorio cumplir la Ley de protección de Datos en una clínica dental o el dentista?
- LOPD para clínicas dentales y dentistas
- RGPD para clínicas dentales y dentistas
- ¿Cómo adaptar la protección de datos en la clínica dental?
- Identifica los datos personales que se tratan en la clínica dental
- Análisis de riesgos
- Evaluación de Impacto
- Confeccionar el Registro de Actividades de Tratamiento (RAT)
- Firmar con los encargados de tratamiento
- Plazos de conservación de las historias clínicas
- Proporcionar información sobre recogida de datos
- Derechos de los interesados
- Contrato de confidencialidad
- Delegado de Protección de Datos en una clínica dental
- Auditorías periódicas
- Sanciones por no cumplir la protección de datos en clínicas dentales
- Modelo de consentimiento de protección de datos para clínica dental
- ¿Cuánto cuesta adaptar a la ley de protección de datos mi clínica dental?
- Resumen protección de datos en dentistas o clínicas dentales
¿Es obligatorio cumplir la Ley de protección de Datos en una clínica dental o el dentista?
Sí, la Ley de Protección de Datos en una clínica dental es de obligado cumplimiento.
Como cualquier otra empresa o negocio, la clínica dental o el dentista trata con datos de carácter personal, tanto de sus clientes como de sus empleados e, incluso, de aquellos trabajadores autónomos que pueda tener contratados. Esto ya es motivo suficiente para cumplir con la protección de datos en clínicas dentales.
Pero además, en estos centros también se tratan datos sensibles, también llamados de categorías especiales, como los relacionados con la salud, que están especialmente protegidos, por lo que es muy posible que las clínicas dentales y dentistas aun tengan que atender obligaciones más exigentes en materia de protección de datos para autónomos o empresas.
LOPD para clínicas dentales y dentistas
La Ley de Protección de Datos de carácter personal (LOPD o LOPDGDD) incorporó a la legislación española todas las obligaciones que regulaba el RGPD, cambiando el consentimiento tácito por la obligación de recabar el consentimiento expreso para el tratamiento de datos personales, eliminando la obligación de la inscripción de ficheros y la elaboración del documento de seguridad, que pasaban a combinarse en el registro de actividades de tratamiento, un documento de carácter interno. Además, concretó algunos aspectos normativos que el RGPD trata de forma genérica y que deja a la legislación de cada Estado miembro.
Además, estableció a la AEPD (Agencia Española de Protección de Datos) como autoridad competente para la inspección e imposición de sanciones y como aquella autoridad a la que es necesario notificar las brechas de seguridad que afecten a datos personales en un plazo máximo de 72 horas.
En cualquier caso, podemos decir que al cumplir la LOPD el dentista o la clínica dental están cumpliendo también el RGPD.
RGPD para clínicas dentales y dentistas
El Reglamento General de Protección de Datos (RGPD) lleva en vigor en España desde 2018 y con él se actualizó la LOPD al marco europeo.
El RGPD para el dentista o clínica dental establece las siguientes obligaciones (que detallaremos más adelante):
- Realizar un registro de actividades de tratamiento
- Hacer un análisis de riesgos
- Realizar una evaluación de impacto (en ciertas circunstancias)
- Firmar contratos de encargo de tratamiento
- Recabar el consentimiento de los clientes/pacientes
- Facilitar los derechos en protección de datos de los interesados
- Firmar acuerdo de confidencialidad con los empleados
- Nombrar un Delegado de Protección de Datos (DPO)
- Notificar brechas de seguridad
¿Cómo adaptar la protección de datos en la clínica dental?
Ahora que ya tienes localizada la normativa de protección de datos para dentistas y clínicas dentales, veamos cómo debes cumplir con las obligaciones que estas exigen.

¿Cómo implantar el RGPD y la LOPDGDD en una clínica dental?
Identifica los datos personales que se tratan en la clínica dental
El primer paso en la protección de datos en odontología es identificar los datos personales que vas a tratar, tanto de tus pacientes como de tus empleados, porque así podrás determinar el tipo de tratamiento que harás de ellos y la categoría de datos a las que pertenecen.
Aparte de datos personales genéricos (como pueden ser el DNI, nombre y apellidos, finanzas personales, dirección postal, email…), en tu clínica dental vas a tratar datos relacionados con la salud, que son considerados, como decíamos más arriba, datos de categorías especiales, que deben ser tratados con mayor cuidado y que pueden implicar más obligaciones de cara a cumplir con la normativa.
Análisis de riesgos
La ley de protección de datos para clínica dental también obliga a elaborar un análisis de riesgos, que te sirva para determinar qué tipo de riesgos o amenazas para la protección de datos pueden derivar de su tratamiento (filtraciones, pérdidas, destrucción, etc.).
El análisis de riesgos debe servirnos para establecer una serie de medidas técnicas y organizativas para garantizar la seguridad de los datos, es decir, para minimizar las probabilidades de que esos riesgos puedan ocurrir y, en caso de que ocurran, reducir su gravedad.
Evaluación de Impacto
La evaluación de impacto del RGPD no es obligatoria siempre, pero si en tu clínica dental vas a tratar un gran volumen de datos, teniendo en cuenta que muchos de ellos estarán relacionados con la salud de tus clientes, deberás realizarla.
Del informe resultante de esta evaluación de impacto, el responsable del tratamiento deberá tomar aquellas medidas que sirvan para minimizar la posibilidad de que los riesgos se materialicen.
Confeccionar el Registro de Actividades de Tratamiento (RAT)
Por cada tratamiento de datos que realices en tu clínica dental, será necesario elaborar un registro de actividades de tratamiento. Se trata de un documento en el que se detalla de forma sucinta toda la información relativa a cada tratamiento de datos personales, desde las categorías de datos afectadas, hasta las medidas de seguridad implantadas.
El registro de actividades de tratamiento es un documento interno, pero que debe estar siempre actualizado y a disposición de la AEPD, si esta lo solicita en algún momento.
El registro de actividades de tratamiento es obligatorio para cumplir la protección de datos en una clínica dental y debe contener la siguiente información:
- Datos identificativos y de contacto del responsable del tratamiento, y, en caso de que los haya, del encargado del tratamiento y del DPO
- Fines del tratamiento
- Descripción de categorías de interesados y datos
- Descripción de categorías de destinatarios de datos (existentes o previstos)
- Si las hay o se prevén, toda la documentación pertinente y legitimación de las transferencias internacionales de datos
- Plazo de conservación de los datos
- Descripción de las medidas de seguridad
Firmar con los encargados de tratamiento
Las clínicas dentales necesitan ceder datos personales a terceros, tanto de sus pacientes como de sus empleados, por ejemplo, a un dentista especialista autónomo que tengan contratado o a la gestoría que lleva las nóminas.
La ley de protección de datos para clínicas dentales señala que siempre que se cedan datos a terceros, es obligatorio que el responsable del tratamiento firme un contrato de encargado de tratamiento, que especifique las obligaciones de protección de datos que tiene este.
Plazos de conservación de las historias clínicas
El principio de Accountability (responsabilidad, proactividad y compromiso) del RGPD establece la necesidad informar del plazo de conservación de los datos personales que se recaban.
En líneas generales, los plazos de conservación de la historia clínica y expedientes del paciente suele ser de 5 años a contar desde el último tratamiento.
No obstante, dependiendo de la Comunidad Autónoma donde ejerzas hay diferentes plazos para diferente documentación clínica.
Proporcionar información sobre recogida de datos
La protección de datos en la clínica dental obliga a que el consentimiento sea expreso, pero otro de sus requisitos es que sea informado, es decir, es necesario informar a los afectados por el tratamiento de, al menos:
- Nombre del responsable del tratamiento
- Legitimación para la recogida de los datos, es decir, el por qué del tratamiento de los datos
- Finalidad del tratamiento
- Plazo de conservación de los datos
- Dónde y cómo pueden ejercer sus derechos ARSULIPO (acceso, rectificación, supresión, limitación, portabilidad y oposición)
Esta información se puede suministrar como anexo a la autorización de protección de datos de la clínica dental o como un documento aparte.
Derechos de los interesados
El responsable del tratamiento debe responder a las solicitudes de los derechos ARSULIPO de los interesados:
- Acceso
- Rectificación
- Supresión
- Limitación del tratamiento
- Portabilidad
- Oposición
Para ello, la normativa establece un plazo determinado (como norma general, 30 días desde la recepción de la solicitud). Los pacientes podrán, además, solicitar el acceso a su historia clínica y, como con el resto de derechos, no se deberá cobrar ningún canon (salvo que la solicitud sea repetitiva, infundada o excesiva).
En caso de denegar la solicitud, se debe justificar y motivar adecuadamente.
Contrato de confidencialidad
Aquellos de nuestros empleados que puedan tener acceso a información sensible o datos personales de los clientes de la clínica dental, también tienen el deber de guardar secreto sobre los mismos. Para ello se recomienda firmar acuerdos de confidencialidad con los empleados, en los que, además, se especifique qué consecuencias pueden enfrentar de no respetarlos.
Delegado de Protección de Datos en una clínica dental
Como ya dijimos respecto a la evaluación de impacto, dada la naturaleza de los datos personales que se tratan en la clínica dental y si se guardan historiales clínicos completos, será necesario nombrar a un delegado de protección de datos.
El delegado de protección de datos de una clínica dental se encargará de la supervisión del cumplimiento normativo y de asesorar y ayudar al responsable del tratamiento, además de tratar con la AEPD cuando es necesario.
Señalar que, si bien el Delegado de Protección de Datos es obligatorio, la normativa permite que este pueda ser tanto un empleado interno de la clínica como contratado externo. En cualquier caso, es necesario que tenga conocimientos suficientes sobre protección de datos para desempeñar su labor.
Auditorías periódicas
El RGPD y la LOPDGDD no especifican la obligación de hacer auditorías periódicas, pero sí exigen evaluar y demostrar la eficiencia de las medidas de seguridad implantadas para la protección de datos y la mejor forma de llevar esto a cabo es a través de las auditorías periódicas.
La auditoría en la LOPD sí era obligatoria para aquellos datos que podían suponer un riesgo alto para los derechos y libertades de los interesados y debía hacerse cada dos años o cuando se produjera un cambio sustancial en los sistemas de información de la entidad.
Seguir con este plan de auditorías bienales te ayudará a comprobar que tu sistema cumple con las exigencias de la normativa y si tus medidas de seguridad son suficientes o es necesario mejorarlas o reforzarlas.
Sanciones por no cumplir la protección de datos en clínicas dentales
El RGPD establece sanciones por incumplimiento de la normativa de protección de datos por una cuantía máxima de 20 millones de euros o el 4% de la facturación anual (la cuantía que sea mayor).
La LOPDGDD gradúa estas sanciones en función de la gravedad de la infracción, de si se ha mantenido en el tiempo, si es producto de una negligencia o se debe a una acción intencional, entre otros factores.
De manera que tenemos las siguientes horquillas:
- Infracciones leves (art. 74): hasta 40.000 euros
- Infracciones graves (art. 73): de 40.001 euros a 300.000 euros
- Infracciones muy graves (art. 72): de 300.001 euros a 20 millones de euros o el 4% de la facturación anual (la cuantía que resulte superior)
Modelo de consentimiento de protección de datos para clínica dental
A continuación os dejamos para descargar un modelo de protección de datos para clínica dental:
¿Cuánto cuesta adaptar a la ley de protección de datos mi clínica dental?
Como hemos visto a lo largo de esta entrada, cumplir con la normativa vigente en materia de protección de datos es importante no solo para proteger la información sensible de nuestros pacientes y trabajadores, sino también para evitar denuncias y sanciones. No olvidemos que los datos de la salud, además, están especialmente protegidos.
También hemos visto que desempeñar esta tarea consume tiempo y esfuerzo, además de estar pendientes de cualquier posible cambio o modificación normativa que se puede incorporar a la ley. Por ello, adaptar nuestra clínica a esta normativa es una función que podemos delegar en profesionales externos. En Grupo Atico34 ayudamos a los dentistas a adaptarse a la LOPDGDD y el RGPD con un precio desde 280 € al año*.
Si necesitas más información sobre protección de datos para tu clínica dental, rellena el formulario y nos pondremos en contacto contigo.