ProductosBeneficiosCasos de usoFAQPreciosNoticias
Acceder →Solicitar demo gratuita
Legal·11 min de lectura

RGPD en clínicas dentales en 2026: qué datos tratas, qué debes tener y cómo estar tranquilo

Las clínicas dentales tratan datos de salud, que son datos especialmente sensibles según el RGPD. Las obligaciones son claras, pero muchas clínicas aún no las cumplen completamente.

Equipo ImpulsoDent

Cumplimiento normativo

Una clínica dental trata, por su propia naturaleza, datos de salud de sus pacientes. Historial odontológico, radiografías, diagnósticos, tratamientos realizados: todo eso es información de salud, y el RGPD la califica como categoría especial de datos, con el nivel de protección más alto.

Esto no significa que gestionar el cumplimiento sea imposible. Significa que hay que hacerlo con rigor. Y en 2026, con la AEPD cada vez más activa en el sector sanitario privado, esperar a "cuando haya tiempo" no es una opción razonable.

Los datos que trata una clínica dental

  • Datos identificativos de pacientes (nombre, DNI, fecha de nacimiento, dirección, teléfono, email).
  • Datos de salud: historial clínico, diagnósticos, tratamientos, radiografías, fotografías intraorales.
  • Datos de pago y facturación.
  • Datos de empleados: nóminas, contratos, registros de jornada, evaluaciones.
  • Datos de comunicaciones: correos con pacientes, whatsapps de confirmación de cita.

Las obligaciones básicas que toda clínica debe cumplir

Registro de actividades de tratamiento

Toda clínica debe tener documentado un registro de todas las actividades de tratamiento de datos que realiza: qué datos recoge, para qué, con qué base legal, durante cuánto tiempo los conserva y con quién los comparte.

Información a los pacientes

Antes de tratar los datos de un paciente, la clínica debe informarle de forma clara y comprensible: quién es el responsable del tratamiento, para qué se usan los datos, cuáles son sus derechos y durante cuánto tiempo se conservarán los datos.

Base jurídica del tratamiento

Para los datos de salud, la base jurídica es habitualmente la ejecución del contrato (prestación del servicio sanitario) y, en algunos casos, el consentimiento explícito del paciente (por ejemplo, para comunicaciones comerciales).

Contratos con encargados del tratamiento

Cualquier proveedor externo que acceda a datos de pacientes (software de gestión clínica, plataforma de recordatorio de citas, laboratorio digital, empresa de limpieza con acceso a las instalaciones) debe tener firmado un contrato de encargado del tratamiento (DPA).

La AEPD impuso en 2025 sanciones a clínicas dentales por un importe total superior a 800.000€. Las causas más frecuentes: falta de contrato con el software de gestión, no informar correctamente a los pacientes y conservar historiales clínicos más tiempo del necesario.

Los plazos de conservación de datos en clínicas dentales

Uno de los incumplimientos más habituales en clínicas dentales es conservar los datos de pacientes más tiempo del necesario o, al contrario, eliminarlos antes de que expire el plazo legal.

  • Historial clínico: mínimo 5 años desde la última atención, según la Ley 41/2002 de autonomía del paciente. Muchas comunidades autónomas establecen plazos más largos (10-15 años).
  • Documentación contable y fiscal: 6 años (Código de Comercio) + 4 años para obligaciones tributarias.
  • Contratos de trabajo y nóminas: 4 años (prescripción de obligaciones laborales y de SS).
  • Registros de jornada laboral: 4 años (RDL 8/2019).
  • Consentimientos informados: hasta 5 años después de la última atención.

RGPD y el software de gestión: qué exigir a tu proveedor

Si usas una plataforma SaaS para gestionar datos de tu clínica —sea para el back-office, los fichajes o el reporting—, ese proveedor actúa como encargado del tratamiento. Debes tener firmado con él un DPA que incluya: dónde se almacenan los datos (preferiblemente en la UE), quién puede acceder y bajo qué condiciones, qué medidas de seguridad se aplican y qué pasará con los datos cuando termines el contrato.

En ImpulsoDent, todos los clientes reciben automáticamente un contrato de encargado del tratamiento. Los datos se almacenan en servidores ubicados en Europa, con acceso restringido y cifrado en reposo y en tránsito.

Checklist de cumplimiento RGPD para clínicas dentales en 2026

  • ✓ Registro de actividades de tratamiento documentado y actualizado.
  • ✓ Cláusulas informativas en el formulario de recogida de datos de nuevos pacientes.
  • ✓ Cláusulas informativas en los contratos de trabajo.
  • ✓ Contrato DPA firmado con todos los proveedores que acceden a datos de pacientes.
  • ✓ Política de privacidad en la web actualizada a RGPD y LOPDGDD.
  • ✓ Procedimiento de respuesta a ejercicio de derechos (acceso, rectificación, supresión, portabilidad).
  • ✓ Procedimiento de notificación de brechas de seguridad (72 horas a la AEPD).
  • ✓ Copias de seguridad de datos con acceso controlado.
  • ✓ Contraseñas robustas y autenticación en dos factores para sistemas con datos de pacientes.
← Volver a NoticiasSolicitar demo gratuita →