---
title: "Clínicas dentales y datos de salud: EIPD, DPO y consentimientos"
description: "Qué obligaciones RGPD tiene una clínica dental por tratar datos de salud: cuándo hace falta un delegado de protección de datos (DPO), cuándo toca hacer una EIPD y qué consentimientos pedir a los pacientes. Con fuentes oficiales y un caso real de sanción."
published: "2026-07-16"
updated: "2026-07-16"
author: "Tranquilia"
canonical: "https://tranquilia.es/es/blog/clinicas-dentales-datos-salud-eipd-dpo-consentimientos"
note: "Información general sobre normativa. No sustituye el asesoramiento de un abogado ni el análisis de tu caso concreto."
---


# Clínicas dentales y datos de salud: EIPD, DPO y consentimientos

**Respuesta directa:** una clínica dental trata datos de salud en cada
historia clínica, lo que activa el nivel más estricto del RGPD (art. 9). En
la práctica, esto significa tres cosas: necesitas delegado de protección de
datos (DPO) salvo que ejerzas completamente solo (art. 34.1.l LOPDGDD),
conviene hacer una evaluación de impacto (EIPD) cuando la historia clínica se
junta con otro factor de riesgo, como pacientes menores (art. 35 RGPD), y los
consentimientos de fotos o marketing van siempre separados de la atención
clínica. Esta guía, revisada el 16 de julio de 2026, explica cada punto con
su base legal.

## Sumario

1. [¿Por qué una clínica dental tiene obligaciones reforzadas?](#por-que-reforzadas)
2. [¿Qué datos de salud trata una clínica dental y con qué base legal?](#que-datos)
3. [¿Necesita mi clínica un delegado de protección de datos (DPO)?](#dpo)
4. [¿Cuándo hace falta una EIPD en una clínica dental?](#eipd)
5. [¿Qué consentimientos hay que pedir a los pacientes?](#consentimientos)
6. [¿Qué pasa si no se cumple? Un caso real](#que-pasa-si-no-cumplo)
7. [Checklist en 15 minutos](#checklist)
8. [Preguntas frecuentes](#faq)

## ¿Por qué una clínica dental tiene obligaciones reforzadas? {#por-que-reforzadas}

El RGPD distingue entre datos personales normales y **datos de categoría
especial**: salud, origen étnico, religión, orientación sexual, huella o cara,
entre otros (art. 9 RGPD). Estos datos tienen más protección porque un uso
indebido puede hacer más daño a la persona.

La historia clínica de un paciente dental encaja de lleno ahí: antecedentes
médicos, alergias, medicación, diagnóstico, tratamiento y, con frecuencia,
radiografías o fotografías intraorales. Por ley (Ley 41/2002, de autonomía
del paciente, arts. 14 y 17), además, estás obligado a llevarla y
conservarla un mínimo de tiempo — no es una decisión de negocio, es una
obligación sanitaria que arrastra obligaciones de protección de datos.

Esa combinación —dato delicado + obligación legal de conservarlo— es la
razón de que una clínica dental tenga un recorrido de cumplimiento más largo
que, por ejemplo, una peluquería o un taller mecánico. No es papeleo porque
sí: es proporcional al riesgo real para tus pacientes.

## ¿Qué datos de salud trata una clínica dental y con qué base legal? {#que-datos}

En la práctica, una clínica dental maneja varios tratamientos de datos
distintos, cada uno con su propia base legal:

- **Historia clínica del paciente** (nombre, antecedentes médicos, alergias,
  diagnóstico, tratamiento, radiografías). Base legal: ejecución del contrato
  de asistencia (art. 6.1.b RGPD) más la obligación legal de conservarla (Ley
  41/2002). Para el dato de salud en sí, la base especial es el art. 9.2.h
  RGPD (asistencia sanitaria) — **aquí no hace falta pedir consentimiento al
  paciente**: firmar la hoja de información no es firmar un consentimiento,
  son cosas distintas.
- **Datos de pacientes menores de edad**, cuando haces odontopediatría: firma
  quien tiene la patria potestad o la tutela (art. 7 LOPDGDD, por debajo de
  14 años).
- **Fotografías clínicas** del antes y el después: si son para el expediente,
  van con la historia clínica. Si son para tu web o tus redes, es un
  tratamiento distinto y necesita su propio consentimiento (art. 9.2.a RGPD).
- **Citas y recordatorios**: no son dato de salud en sí, pero conviene que el
  mensaje no diga qué tratamiento es, solo el día y la hora.

Un matiz importante para el día a día: **el laboratorio protésico también
recibe datos del paciente** (molde, medidas, a veces el nombre) cuando le
encargas una pieza. Eso lo convierte en encargado del tratamiento y necesita
un contrato del art. 28 RGPD. La práctica más prudente es mandarle un código
de paciente en vez de su nombre completo.

## ¿Necesita mi clínica un delegado de protección de datos (DPO)? {#dpo}

Aquí es donde más dudas hay, y la respuesta tiene una base legal muy
concreta. El art. 34.1.l de la LOPDGDD obliga a designar un delegado de
protección de datos a **«los centros sanitarios legalmente obligados al
mantenimiento de las historias clínicas de los pacientes»**.

Una clínica dental encaja: es un centro sanitario (sujeto a autorización de
la comunidad autónoma) y está legalmente obligada a llevar y conservar la
historia clínica de sus pacientes (Ley 41/2002). Por tanto, **la obligación
del DPO se aplica por defecto**.

Hay una excepción, escrita en la misma letra de la ley, no es una
interpretación: **quedan fuera los profesionales de la salud que ejercen a
título individual**, sin sociedad ni plantilla. Si eres un dentista que
trabaja completamente solo, es probable que no te haga falta un DPO — pero
conviene que lo confirme tu gestoría caso por caso, porque la frontera entre
«ejercer solo» y «con estructura» no siempre es obvia (una clínica con un
solo dentista pero con recepción o higienista en plantilla ya tiene
estructura).

Un detalle que se suele pasar por alto: si nombras un DPO —incluso de forma
voluntaria, sin estar obligado— tienes que **comunicarlo a la AEPD en un
plazo de diez días** (art. 34.3 LOPDGDD, art. 37.7 RGPD). El DPO puede ser
alguien de tu equipo con conocimientos suficientes, o un servicio externo,
como el que suele ofrecer una gestoría o consultoría de protección de datos.

## ¿Cuándo hace falta una EIPD en una clínica dental? {#eipd}

La EIPD (evaluación de impacto relativa a la protección de datos) es un
análisis que la ley exige antes de tratar datos cuando el tratamiento puede
suponer un riesgo alto para las personas (art. 35 RGPD). No es una multa
disfrazada de trámite: es, en esencia, pararse a pensar qué puede salir mal
y qué haces para evitarlo, por escrito.

Aquí conviene ser precisos, porque no cualquier tratamiento de datos de
salud activa automáticamente la EIPD por el simple hecho de ser dato de
salud. El art. 35.3.b RGPD la exige cuando el tratamiento de datos especiales
se hace **«a gran escala»** — una clínica de barrio con cinco o seis personas
puede razonablemente discutir que no llega a esa escala.

Por eso el fundamento más sólido no es ese artículo aislado, sino el **art.
35.4 RGPD junto con el listado de tipos de tratamiento que requieren EIPD
publicado por la AEPD**, que funciona por acumulación de criterios de riesgo
(perfilado, datos de categoría especial, sujetos vulnerables, entre otros).
En una clínica dental, ese umbral se suele alcanzar por la combinación de
**datos de salud (historia clínica) más pacientes menores de edad**
(odontopediatría), que es una categoría de sujetos especialmente vulnerable.

El criterio prudente —y el que recomendamos— es hacer la EIPD cuando esa
combinación se da, aunque la clínica sea pequeña: el documento es breve,
queda archivado como prueba de responsabilidad proactiva (art. 24 RGPD), y
evita tener que discutir después, ante una eventual inspección, si tu volumen
llegaba o no a «gran escala».

## ¿Qué consentimientos hay que pedir a los pacientes? {#consentimientos}

Una regla fija en protección de datos, y que en una clínica dental es
especialmente fácil de romper por descuido: **un consentimiento por
finalidad, nunca uno que agrupe varias cosas distintas**. Tres casos
concretos:

- **Atender al paciente**: no necesita consentimiento como tal (ver más
  arriba, art. 9.2.h RGPD). Sí necesita que le informes de forma clara de qué
  haces con sus datos.
- **Fotos para redes sociales o web**: consentimiento aparte, específico,
  informado y que el paciente pueda retirar cuando quiera. Nunca la misma
  casilla que la foto clínica del expediente.
- **Publicidad y novedades**: casilla vacía por defecto, nunca premarcada.
  Ojo con un error habitual en el sector: segmentar ofertas según el
  tratamiento del paciente («implantes solo a quien necesita implantes») usa
  un dato de salud con fines comerciales y exige un consentimiento explícito
  aparte (art. 9.2.a RGPD) — no basta el consentimiento genérico de
  marketing.

Y con pacientes menores, quien firma el consentimiento y recibe la
información es el padre, la madre o el tutor, no el menor (art. 7 LOPDGDD
para menores de 14 años).

## ¿Qué pasa si no se cumple? Un caso real {#que-pasa-si-no-cumplo}

La AEPD vigila el sector salud como uno de sus focos de actuación (puedes
consultar sus reclamaciones publicadas en materia de salud). Un caso
recogido por prensa jurídica especializada ilustra bien el tipo de fallo más
habitual, y no es exclusivo de clínicas: según ForLOPD y El Economista
Jurídico, la AEPD sancionó con **16.000 euros** a una farmacia que guardaba
en un archivo Excel, sin cifrar ni proteger con las medidas adecuadas,
identificadores sanitarios, la medicación solicitada y el médico prescriptor
de sus pacientes — sin haberles informado de ese tratamiento.

No hace falta un ataque informático sofisticado para tener un problema: la
causa más frecuente es una hoja de cálculo con datos de salud, guardada en un
ordenador compartido, sin informar a nadie y sin control de acceso. En una
clínica dental, el equivalente sería un listado de pacientes con su
diagnóstico guardado fuera del programa de gestión clínica, en el escritorio
de un ordenador que ve todo el mostrador.

Por eso este artículo no cierra con una cifra de multa como argumento: cierra
con la solución concreta. La historia clínica va en tu programa de gestión
clínica, con usuario y contraseña propios de cada persona; nada de datos de
salud sueltos en hojas de cálculo, carpetas compartidas o el móvil personal
de nadie.

## Checklist en 15 minutos {#checklist}

Para saber dónde está tu clínica hoy mismo, revisa estos seis puntos:

1. ¿Tu historia clínica está en un programa con usuario y contraseña propios
   de cada persona, no en papel suelto ni en Excel?
2. ¿Sabes si te corresponde tener DPO (¿ejerces solo o con equipo/sociedad?)
   y, si te corresponde, está comunicado a la AEPD?
3. ¿Tienes hecha la EIPD si atiendes a menores o combinas la historia
   clínica con otro tratamiento de riesgo?
4. ¿Las fotos para tu web o Instagram tienen un consentimiento aparte del
   expediente clínico, firmado y con opción de retirarlo?
5. ¿Tu laboratorio protésico tiene firmado un contrato de encargado del
   tratamiento (art. 28 RGPD)?
6. ¿El mensaje del recordatorio de cita evita decir qué tratamiento es?

Si alguna respuesta es «no lo sé», es exactamente el punto de partida del
wizard de Tranquilia para el perfil de clínica dental: hace estas preguntas
por ti y genera los documentos que faltan.

## Preguntas frecuentes {#faq}

**¿Una clínica dental necesita delegado de protección de datos?**
Sí, casi siempre, salvo que ejerzas completamente solo, sin sociedad ni
plantilla. Lo exige el art. 34.1.l LOPDGDD para los centros sanitarios
obligados a llevar historias clínicas.

**¿Toda clínica dental tiene que hacer una EIPD?**
Cuando el tratamiento de la historia clínica se junta con otro factor de
riesgo, como pacientes menores de edad, lo prudente es hacerla. Se apoya en
el art. 35.4 RGPD y en el listado de tratamientos de la AEPD, no solo en el
criterio de «gran escala» del art. 35.3.b, que una clínica pequeña puede
discutir.

**¿La foto de un tratamiento dental necesita consentimiento?**
La foto clínica para el expediente no necesita un consentimiento aparte:
forma parte de la historia clínica (art. 9.2.h RGPD). La foto para tu web o
tus redes sociales sí necesita un consentimiento separado, específico y que
se pueda retirar (art. 9.2.a RGPD).

**¿Hace falta consentimiento del paciente para tratar su historia clínica?**
No. La base legal es la ejecución del contrato de asistencia y la obligación
legal de conservarla (art. 6.1.b y 6.1.c RGPD, Ley 41/2002), junto con el
art. 9.2.h RGPD para el dato de salud. Informar al paciente sí es
obligatorio; pedirle que firme un consentimiento para ser atendido, no.

---

*Informe elaborado con Tranquilia — no constituye una certificación oficial
ni un dictamen jurídico. Para tu caso concreto, habla con tu gestoría.*

**¿Quieres ver exactamente qué documentos genera Tranquilia para una clínica
dental?** Consulta el caso de uso completo con el recorrido paso a paso:
[Clínica dental en Tranquilia](/casos-de-uso/clinica-dental).
