Cluster · Salud privada

RGPD y datos de salud: cómo firmar electrónicamente cumpliendo con la AEPD

Los datos de salud son categoría especial en el RGPD. Esta guía explica cómo firmar electrónicamente consentimientos y documentos clínicos sin que la AEPD te abra expediente — con casos reales y multas comparadas.

Equipo Estipula· Especialistas en firma electrónica + RGPD9 min de lectura

Datos de salud: por qué son «especiales»#

El Art. 9 RGPD clasifica los datos de salud como categoría especial. La razón: información especialmente sensible que puede generar discriminación si se filtra (acceso a empleo, seguros, crédito).

El régimen es más estricto:

  • Tratamiento prohibido por defecto salvo causas tasadas del Art. 9.2.
  • Requiere medidas técnicas reforzadas (cifrado, control de accesos, registro de actividades).
  • Sanciones más altas en caso de brecha (hasta €20M o 4% facturación global).
  • DPO obligatorio si el tratamiento es sistemático a gran escala.
«Quedarán prohibidos el tratamiento de datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, la afiliación sindical, [...] datos relativos a la salud o datos relativos a la vida sexual u orientación sexual de una persona física.»
RGPD, Art. 9.1 — categorías especiales de datos

La firma electrónica trata datos de salud cuando firma consentimientos clínicos, anamnesis, presupuestos médicos, autorizaciones. Por eso la elección de plataforma no es trivial — es decisión de cumplimiento.

Las 7 obligaciones operativas para una clínica privada#

1. Base legitimadora correcta#

El Art. 9.2 RGPD permite tratar datos de salud bajo:

  • 9.2.h — asistencia sanitaria. La habitual en clínicas. No requiere consentimiento RGPD explícito adicional para el tratamiento clínico.
  • 9.2.a — consentimiento explícito específico. Necesario para usos secundarios (marketing, RRSS, formación, investigación con finalidad distinta de la asistencia).
  • 9.2.b — obligaciones laborales (en mutuas, prevención laboral).
  • 9.2.f — defensa legal en juicio.

Error común: pedir consentimiento RGPD para el tratamiento clínico cuando no hace falta. Confunde al paciente y debilita la posición. La asistencia sanitaria no necesita consentimiento RGPD — el consentimiento informado es para la actuación clínica, no para el tratamiento de datos.

2. Información transparente al paciente#

El paciente debe saber cómo tratas sus datos antes del primer contacto. La cláusula informativa (Art. 13 RGPD) debe estar visible:

  • En la web de la clínica (privacy policy actualizada).
  • En el primer documento que firma el paciente (anamnesis, consentimiento general).
  • En el email de bienvenida o agendamiento.

Información mínima: responsable, finalidad, base legitimadora, conservación, derechos, contacto del DPO.

3. Medidas técnicas y organizativas (Art. 32)#

Para datos de salud, mínimo:

  • Cifrado en reposo (AES-256) y en tránsito (TLS 1.3).
  • Control de accesos con mínimo privilegio (no todos los empleados acceden a todo).
  • Registro de actividades de tratamiento (quién accede, cuándo, qué).
  • Backup cifrado con prueba de restauración periódica.
  • Pseudonimización cuando se pueda separar identidad del dato clínico (investigación, estadística).
  • Plan de continuidad ante incidentes.

La plataforma de firma electrónica debe cumplir estas medidas — verifica en el contrato.

4. Datos en la Unión Europea#

El RGPD permite transferencias internacionales pero las limita estrictamente. Para EE.UU., el marco actual es EU-U.S. Data Privacy Framework (sucesor del Privacy Shield invalidado). Aún así, la AEPD recomienda datos en UE para categoría especial.

Estipula y los proveedores europeos serios (Signaturit, Yousign) almacenan en UE por defecto. DocuSign y Adobe Sign almacenan en EE.UU. con add-on UE de pago.

Caso real AEPD: clínica con servidores EE.UU.

La AEPD sancionó en 2023 a una clínica privada con €40.000 por almacenar consentimientos de pacientes en servidores estadounidenses sin las garantías adicionales documentadas. La invocación del Privacy Shield (ya invalidado) no salvó el caso. Verifica que tu proveedor tiene datos en UE de forma documentada.

5. DPA con tu proveedor de firma electrónica#

El Data Processing Agreement (DPA) es el contrato que firmas con la plataforma de firma electrónica como encargado de tratamiento. Debe incluir (Art. 28 RGPD):

  • Objeto, duración, naturaleza y finalidad del tratamiento.
  • Tipos de datos personales tratados.
  • Categorías de interesados.
  • Obligaciones del encargado.
  • Subprocesadores (si los hay).
  • Medidas técnicas y organizativas.
  • Asistencia al responsable.
  • Devolución/eliminación al fin del contrato.

Estipula tiene DPA estandarizado disponible bajo demanda. Otros proveedores también lo ofrecen en sus planes profesionales.

6. Plazos de conservación#

La Ley 41/2002 marca mínimo 5 años desde la última asistencia. Para procedimientos invasivos se recomienda 10-15 años por prescripción de responsabilidad civil. Para menores: hasta 18+5 años.

La plataforma debe permitir conservación cifrada a largo plazo sin que la firma electrónica pierda validez. Estipula soporta storage ilimitado en plan Basic.

7. Ejercicio de derechos ARCO-POL#

El paciente puede ejercer:

  • Acceso: ver qué datos tienes de él.
  • Rectificación: corregir datos inexactos.
  • Supresión: pedir borrado (limitado por Ley 41/2002 conservación clínica).
  • Oposición: oponerse a usos secundarios (marketing, formación).
  • Portabilidad: recibir datos en formato estructurado.
  • Limitación: bloquear temporalmente.

La clínica debe responder en máximo 1 mes. Tu plataforma de firma debe permitir extracción rápida de los datos firmados de un paciente concreto.

Cuándo necesitas DPO (Delegado de Protección de Datos)#

El Art. 37.1.c RGPD lo exige si tratas datos de categoría especial a gran escala. La AEPD interpreta «gran escala» con flexibilidad pero típicamente:

  • >500 pacientes anuales ya activa la obligación en interpretación conservadora.
  • Hospital, residencia, mutua: claramente sí.
  • Consulta unipersonal: no necesariamente, pero buena práctica.

El DPO puede ser interno o externo. Para clínicas pequeñas-medianas, externo (consultor RGPD especializado) es lo habitual y barato (~€100-300/mes).

DPO no exime del cumplimiento operativo

Tener DPO designado no te exime de las medidas técnicas. El DPO asesora y supervisa, pero el responsable del tratamiento (la clínica) sigue siendo quien implementa. La firma electrónica con audit trail facilita la supervisión del DPO.

Multas reales de la AEPD a clínicas#

AñoSanciónCausa
2024€200.000Brecha de seguridad: BBDD de pacientes accesible vía URL pública
2023€100.000Foto de paciente en Instagram sin consentimiento explícito
2023€40.000Consentimientos almacenados en servidores EE.UU. sin garantías
2022€60.000Falta de medidas de cifrado en historial clínico digital
2022€25.000Acceso de personal no autorizado a historial clínico
2021€50.000Ausencia de DPO en clínica con >2.000 pacientes/año

La firma electrónica bien implantada previene la mayoría de estos casos: cifrado nativo, control de accesos, audit trail con quién accedió cuándo, datos en UE.

Estipula

Estipula es RGPD-first para sanidad privada

Datos en UE (Frankfurt), cifrado AES-256, DPA estandarizado disponible, audit trail completo. Plan Free 10 firmas/mes para validar.

Probar gratis Hablar con el equipo

Cómo Estipula cumple para datos de salud#

  • Datos en UE: servidores Frankfurt (Supabase), sin transferencia fuera de UE.
  • Cifrado en reposo: AES-256 en bucket privado.
  • Cifrado en tránsito: TLS 1.3.
  • Control de accesos: roles ADMIN/PREPARER/SIGNER con mínimo privilegio.
  • Audit trail completo: timestamp, IP, dispositivo, hash, evidencia consentimiento.
  • DPA disponible bajo demanda en cualquier plan.
  • DPO interno en Estipula como encargado.
  • Backup automático Supabase con prueba de restauración semanal.
  • Conservación a largo plazo sin caducidad de la firma.
  • Exportación de datos del paciente para ejercicio de derechos ARCO-POL en menos de 24h.

Errores frecuentes en RGPD + firma electrónica salud#

  1. Pedir consentimiento RGPD para tratamiento clínico — no hace falta (Art. 9.2.h cubre).
  2. No separar consentimiento clínico de información RGPD — son cosas distintas.
  3. Almacenar consentimientos en servidores EE.UU. sin garantías documentadas.
  4. No tener DPA con la plataforma de firma electrónica.
  5. No designar DPO cuando la clínica trata >500 pacientes/año.
  6. No permitir revocación de consentimiento marketing/imagen.
  7. Conservar más tiempo del necesario sin justificación.
  8. No documentar las medidas Art. 32 en un registro de actividades.

Preguntas frecuentes#

¿Necesito consentimiento RGPD para tratar datos clínicos?#

No, si la base legitimadora es Art. 9.2.h (asistencia sanitaria). El consentimiento informado es para la actuación clínica concreta, no para el tratamiento de datos. Sí necesitas información transparente (Art. 13). Para usos secundarios (marketing, formación, investigación) sí necesitas consentimiento explícito específico.

¿Puedo usar DocuSign o Adobe Sign para datos de salud en España?#

Técnicamente sí, pero con add-on «EU Resident Data» y verificando que cubre tu plan. Estipula y los proveedores europeos almacenan en UE por defecto, sin add-on. Para evitar fricción RGPD recurrente, datos en UE garantizados es lo recomendable.

¿La AEPD audita clínicas privadas?#

Sí, especialmente tras quejas de pacientes o brechas reportadas. Las inspecciones revisan: registro de actividades, cláusulas informativas, DPA con encargados, medidas Art. 32, designación de DPO, ejercicio de derechos ARCO-POL.

¿Qué hago si un paciente pide borrar todos sus datos?#

Aplicar derecho de supresión limitado. La Ley 41/2002 obliga a conservar datos clínicos al menos 5 años desde la última asistencia. Puedes borrar datos de marketing/imagen pero NO el historial clínico durante el plazo legal. Documenta la respuesta y comunícala al paciente.

¿Cuánto tarda implementar cumplimiento RGPD desde cero en una clínica?#

  • Auditoría inicial: 2-4 semanas.
  • Documentación + DPA + cláusulas: 4-6 semanas.
  • Implementación de medidas técnicas + formación equipo: 8-12 semanas.
  • DPO + procedimientos operativos: continuo.

Total proyecto formal: 3-4 meses. La firma electrónica es uno de los pilares — empezar con plataforma RGPD-compliant ahorra tiempo en compliance.

¿Las multas de AEPD aplican también a autónomos sanitarios?#

Sí. Cualquier responsable de tratamiento — independientemente de si es persona jurídica o física — está sometido al RGPD. Una consulta unipersonal puede recibir multa si comete infracción grave (típicamente €5.000-30.000 para infracciones de gravedad media).

¿Qué pasa si se filtra el historial clínico de un paciente?#

Es brecha de seguridad de categoría especial. Obligación de:

  1. Notificar a la AEPD en 72 horas.
  2. Notificar al paciente sin dilación indebida.
  3. Documentar el incidente en registro propio.
  4. Aplicar medidas correctivas.

Multa probable de €50.000-500.000 según gravedad. Asegúrate de tener plan de respuesta a incidentes documentado.

Conclusión#

El RGPD para datos de salud es exigente pero no inalcanzable con las herramientas correctas. La firma electrónica bien elegida (datos UE, cifrado, DPA, audit trail) simplifica el cumplimiento en lugar de complicarlo.

Lo que diferencia una clínica con riesgo bajo de una con multa probable:

  • Plataforma con datos en UE garantizados (no add-on opcional).
  • DPA firmado y documentado.
  • DPO designado si tu volumen lo exige.
  • Cifrado en reposo y control de accesos auditable.
  • Procedimiento de respuesta a derechos ARCO-POL operativo.

Probar Estipula gratis (10 firmas/mes, sin tarjeta, datos UE) o hablar con el equipo sobre tu caso concreto.

Recursos relacionados: