Blog
Clínicas dentales y datos de salud: EIPD, DPO y consentimientos
Información general sobre normativa. No sustituye el asesoramiento de un abogado ni el análisis de tu caso concreto.
Respuesta directa: una clínica dental trata datos de salud en cada historia clínica, lo que activa el nivel más estricto del RGPD (art. 9). En la práctica, esto significa tres cosas: necesitas delegado de protección de datos (DPO) salvo que ejerzas completamente solo (art. 34.1.l LOPDGDD), conviene hacer una evaluación de impacto (EIPD) cuando la historia clínica se junta con otro factor de riesgo, como pacientes menores (art. 35 RGPD), y los consentimientos de fotos o marketing van siempre separados de la atención clínica. Esta guía, revisada el 16 de julio de 2026, explica cada punto con su base legal.
Sumario
- ¿Por qué una clínica dental tiene obligaciones reforzadas?
- ¿Qué datos de salud trata una clínica dental y con qué base legal?
- ¿Necesita mi clínica un delegado de protección de datos (DPO)?
- ¿Cuándo hace falta una EIPD en una clínica dental?
- ¿Qué consentimientos hay que pedir a los pacientes?
- ¿Qué pasa si no se cumple? Un caso real
- Checklist en 15 minutos
- Preguntas frecuentes
¿Por qué una clínica dental tiene obligaciones reforzadas?
El RGPD distingue entre datos personales normales y datos de categoría especial: salud, origen étnico, religión, orientación sexual, huella o cara, entre otros (art. 9 RGPD). Estos datos tienen más protección porque un uso indebido puede hacer más daño a la persona.
La historia clínica de un paciente dental encaja de lleno ahí: antecedentes médicos, alergias, medicación, diagnóstico, tratamiento y, con frecuencia, radiografías o fotografías intraorales. Por ley (Ley 41/2002, de autonomía del paciente, arts. 14 y 17), además, estás obligado a llevarla y conservarla un mínimo de tiempo — no es una decisión de negocio, es una obligación sanitaria que arrastra obligaciones de protección de datos.
Esa combinación —dato delicado + obligación legal de conservarlo— es la razón de que una clínica dental tenga un recorrido de cumplimiento más largo que, por ejemplo, una peluquería o un taller mecánico. No es papeleo porque sí: es proporcional al riesgo real para tus pacientes.
¿Qué datos de salud trata una clínica dental y con qué base legal?
En la práctica, una clínica dental maneja varios tratamientos de datos distintos, cada uno con su propia base legal:
- Historia clínica del paciente (nombre, antecedentes médicos, alergias, diagnóstico, tratamiento, radiografías). Base legal: ejecución del contrato de asistencia (art. 6.1.b RGPD) más la obligación legal de conservarla (Ley 41/2002). Para el dato de salud en sí, la base especial es el art. 9.2.h RGPD (asistencia sanitaria) — aquí no hace falta pedir consentimiento al paciente: firmar la hoja de información no es firmar un consentimiento, son cosas distintas.
- Datos de pacientes menores de edad, cuando haces odontopediatría: firma quien tiene la patria potestad o la tutela (art. 7 LOPDGDD, por debajo de 14 años).
- Fotografías clínicas del antes y el después: si son para el expediente, van con la historia clínica. Si son para tu web o tus redes, es un tratamiento distinto y necesita su propio consentimiento (art. 9.2.a RGPD).
- Citas y recordatorios: no son dato de salud en sí, pero conviene que el mensaje no diga qué tratamiento es, solo el día y la hora.
Un matiz importante para el día a día: el laboratorio protésico también recibe datos del paciente (molde, medidas, a veces el nombre) cuando le encargas una pieza. Eso lo convierte en encargado del tratamiento y necesita un contrato del art. 28 RGPD. La práctica más prudente es mandarle un código de paciente en vez de su nombre completo.
¿Necesita mi clínica un delegado de protección de datos (DPO)?
Aquí es donde más dudas hay, y la respuesta tiene una base legal muy concreta. El art. 34.1.l de la LOPDGDD obliga a designar un delegado de protección de datos a «los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes».
Una clínica dental encaja: es un centro sanitario (sujeto a autorización de la comunidad autónoma) y está legalmente obligada a llevar y conservar la historia clínica de sus pacientes (Ley 41/2002). Por tanto, la obligación del DPO se aplica por defecto.
Hay una excepción, escrita en la misma letra de la ley, no es una interpretación: quedan fuera los profesionales de la salud que ejercen a título individual, sin sociedad ni plantilla. Si eres un dentista que trabaja completamente solo, es probable que no te haga falta un DPO — pero conviene que lo confirme tu gestoría caso por caso, porque la frontera entre «ejercer solo» y «con estructura» no siempre es obvia (una clínica con un solo dentista pero con recepción o higienista en plantilla ya tiene estructura).
Un detalle que se suele pasar por alto: si nombras un DPO —incluso de forma voluntaria, sin estar obligado— tienes que comunicarlo a la AEPD en un plazo de diez días (art. 34.3 LOPDGDD, art. 37.7 RGPD). El DPO puede ser alguien de tu equipo con conocimientos suficientes, o un servicio externo, como el que suele ofrecer una gestoría o consultoría de protección de datos.
¿Cuándo hace falta una EIPD en una clínica dental?
La EIPD (evaluación de impacto relativa a la protección de datos) es un análisis que la ley exige antes de tratar datos cuando el tratamiento puede suponer un riesgo alto para las personas (art. 35 RGPD). No es una multa disfrazada de trámite: es, en esencia, pararse a pensar qué puede salir mal y qué haces para evitarlo, por escrito.
Aquí conviene ser precisos, porque no cualquier tratamiento de datos de salud activa automáticamente la EIPD por el simple hecho de ser dato de salud. El art. 35.3.b RGPD la exige cuando el tratamiento de datos especiales se hace «a gran escala» — una clínica de barrio con cinco o seis personas puede razonablemente discutir que no llega a esa escala.
Por eso el fundamento más sólido no es ese artículo aislado, sino el art. 35.4 RGPD junto con el listado de tipos de tratamiento que requieren EIPD publicado por la AEPD, que funciona por acumulación de criterios de riesgo (perfilado, datos de categoría especial, sujetos vulnerables, entre otros). En una clínica dental, ese umbral se suele alcanzar por la combinación de datos de salud (historia clínica) más pacientes menores de edad (odontopediatría), que es una categoría de sujetos especialmente vulnerable.
El criterio prudente —y el que recomendamos— es hacer la EIPD cuando esa combinación se da, aunque la clínica sea pequeña: el documento es breve, queda archivado como prueba de responsabilidad proactiva (art. 24 RGPD), y evita tener que discutir después, ante una eventual inspección, si tu volumen llegaba o no a «gran escala».
¿Qué consentimientos hay que pedir a los pacientes?
Una regla fija en protección de datos, y que en una clínica dental es especialmente fácil de romper por descuido: un consentimiento por finalidad, nunca uno que agrupe varias cosas distintas. Tres casos concretos:
- Atender al paciente: no necesita consentimiento como tal (ver más arriba, art. 9.2.h RGPD). Sí necesita que le informes de forma clara de qué haces con sus datos.
- Fotos para redes sociales o web: consentimiento aparte, específico, informado y que el paciente pueda retirar cuando quiera. Nunca la misma casilla que la foto clínica del expediente.
- Publicidad y novedades: casilla vacía por defecto, nunca premarcada. Ojo con un error habitual en el sector: segmentar ofertas según el tratamiento del paciente («implantes solo a quien necesita implantes») usa un dato de salud con fines comerciales y exige un consentimiento explícito aparte (art. 9.2.a RGPD) — no basta el consentimiento genérico de marketing.
Y con pacientes menores, quien firma el consentimiento y recibe la información es el padre, la madre o el tutor, no el menor (art. 7 LOPDGDD para menores de 14 años).
¿Qué pasa si no se cumple? Un caso real
La AEPD vigila el sector salud como uno de sus focos de actuación (puedes consultar sus reclamaciones publicadas en materia de salud). Un caso recogido por prensa jurídica especializada ilustra bien el tipo de fallo más habitual, y no es exclusivo de clínicas: según ForLOPD y El Economista Jurídico, la AEPD sancionó con 16.000 euros a una farmacia que guardaba en un archivo Excel, sin cifrar ni proteger con las medidas adecuadas, identificadores sanitarios, la medicación solicitada y el médico prescriptor de sus pacientes — sin haberles informado de ese tratamiento.
No hace falta un ataque informático sofisticado para tener un problema: la causa más frecuente es una hoja de cálculo con datos de salud, guardada en un ordenador compartido, sin informar a nadie y sin control de acceso. En una clínica dental, el equivalente sería un listado de pacientes con su diagnóstico guardado fuera del programa de gestión clínica, en el escritorio de un ordenador que ve todo el mostrador.
Por eso este artículo no cierra con una cifra de multa como argumento: cierra con la solución concreta. La historia clínica va en tu programa de gestión clínica, con usuario y contraseña propios de cada persona; nada de datos de salud sueltos en hojas de cálculo, carpetas compartidas o el móvil personal de nadie.
Checklist en 15 minutos
Para saber dónde está tu clínica hoy mismo, revisa estos seis puntos:
- ¿Tu historia clínica está en un programa con usuario y contraseña propios de cada persona, no en papel suelto ni en Excel?
- ¿Sabes si te corresponde tener DPO (¿ejerces solo o con equipo/sociedad?) y, si te corresponde, está comunicado a la AEPD?
- ¿Tienes hecha la EIPD si atiendes a menores o combinas la historia clínica con otro tratamiento de riesgo?
- ¿Las fotos para tu web o Instagram tienen un consentimiento aparte del expediente clínico, firmado y con opción de retirarlo?
- ¿Tu laboratorio protésico tiene firmado un contrato de encargado del tratamiento (art. 28 RGPD)?
- ¿El mensaje del recordatorio de cita evita decir qué tratamiento es?
Si alguna respuesta es «no lo sé», es exactamente el punto de partida del wizard de Tranquilia para el perfil de clínica dental: hace estas preguntas por ti y genera los documentos que faltan.
Preguntas frecuentes
¿Una clínica dental necesita delegado de protección de datos? Sí, casi siempre, salvo que ejerzas completamente solo, sin sociedad ni plantilla. Lo exige el art. 34.1.l LOPDGDD para los centros sanitarios obligados a llevar historias clínicas.
¿Toda clínica dental tiene que hacer una EIPD? Cuando el tratamiento de la historia clínica se junta con otro factor de riesgo, como pacientes menores de edad, lo prudente es hacerla. Se apoya en el art. 35.4 RGPD y en el listado de tratamientos de la AEPD, no solo en el criterio de «gran escala» del art. 35.3.b, que una clínica pequeña puede discutir.
¿La foto de un tratamiento dental necesita consentimiento? La foto clínica para el expediente no necesita un consentimiento aparte: forma parte de la historia clínica (art. 9.2.h RGPD). La foto para tu web o tus redes sociales sí necesita un consentimiento separado, específico y que se pueda retirar (art. 9.2.a RGPD).
¿Hace falta consentimiento del paciente para tratar su historia clínica? No. La base legal es la ejecución del contrato de asistencia y la obligación legal de conservarla (art. 6.1.b y 6.1.c RGPD, Ley 41/2002), junto con el art. 9.2.h RGPD para el dato de salud. Informar al paciente sí es obligatorio; pedirle que firme un consentimiento para ser atendido, no.
Informe elaborado con Tranquilia — no constituye una certificación oficial ni un dictamen jurídico. Para tu caso concreto, habla con tu gestoría.
¿Quieres ver exactamente qué documentos genera Tranquilia para una clínica dental? Consulta el caso de uso completo con el recorrido paso a paso: Clínica dental en Tranquilia.
Revisión: Artículo redactado con apoyo de IA a partir de fuentes primarias (AEPD, BOE) y moderado antes de publicación. Ver la página «Política editorial» para el proceso completo. No es un dictamen jurídico: para tu caso concreto, habla con tu gestoría.
Pon a tus clientes en regla con el RGPD en 15 minutos.
Sin tarjeta. Sin comerciales. Dos empresas gratis, sin límite de tiempo.