Normativa RGPD para Webs Sanitarias en España: Guía Práctica

Tu web de salud está sujeta a cuatro marcos legales principales. No es una, no son dos: son cuatro normativas que se solapan y complementan.

• RGPD (Reglamento General de Protección de Datos): la normativa europea que regula cómo recoges, almacenas y tratas datos personales. Es de aplicación directa en España desde 2018.
• LOPDGDD (Ley Orgánica 3/2018): la adaptación española del RGPD. Complementa y concreta aspectos como el Delegado de Protección de Datos (DPO), los derechos digitales y las sanciones.
• LSSI-CE (Ley 34/2002): la Ley de Servicios de la Sociedad de la Información y del Comercio Electrónico. Regula el aviso legal, las cookies y las comunicaciones comerciales por email.
• Ley 41/2002 de Autonomía del Paciente: regula los derechos del paciente sobre su información clínica, la historia clínica y el consentimiento informado. Si tu web gestiona datos de pacientes, esta ley también te afecta.

Las tres primeras aplican a cualquier web en España. La cuarta es específica del sector sanitario y añade una capa extra de obligaciones sobre confidencialidad y gestión de datos de salud.

Toda web en España necesita tres documentos legales visibles y accesibles. En una web sanitaria, estos documentos requieren contenido específico adicional:

1. Aviso Legal

Obligatorio por la LSSI-CE (artículo 10). Debe incluir:

• Nombre o denominación social del titular (el profesional o la clínica).
• NIF o CIF.
• Domicilio social.
• Datos de contacto: email y teléfono.
• Datos de inscripción en el Registro Mercantil (si aplica).
• Número de colegiado y colegio profesional (específico de webs sanitarias).
• Número de registro sanitario del centro (si es una clínica).

2. Política de Privacidad

Obligatoria por el RGPD (artículos 13 y 14). En una web sanitaria debe especificar:

• Identidad del responsable del tratamiento.
• Datos de contacto del Delegado de Protección de Datos (DPO), si es obligatorio.
• Finalidades del tratamiento: gestión de citas, envío de comunicaciones, etc.
• Base legal: consentimiento explícito para datos de salud (categoría especial, artículo 9 RGPD).
• Destinatarios de los datos y si hay transferencias internacionales.
• Plazo de conservación de los datos.
• Derechos del usuario: acceso, rectificación, supresión, portabilidad, oposición y limitación.
• Derecho a presentar reclamación ante la AEPD.

3. Política de Cookies

Obligatoria por la LSSI-CE (artículo 22.2) y complementada por la Guía de la AEPD sobre cookies. Debe incluir:

• Qué cookies utiliza tu web (propias y de terceros).
• Finalidad de cada cookie (analítica, funcional, publicitaria).
• Duración de cada cookie.
• Cómo desactivarlas o revocar el consentimiento.
• Banner de cookies que permita aceptar, rechazar o configurar antes de instalar cookies no esenciales.

Estos tres textos deben estar enlazados desde todas las páginas de tu web, normalmente en el footer. No basta con tenerlos: deben ser fáciles de encontrar y estar actualizados.

Los datos de salud son una categoría especial de datos según el artículo 9 del RGPD. Esto significa que están sometidos a una protección reforzada y que su tratamiento está, en principio, prohibido, salvo excepciones.

¿Qué son datos de salud en el contexto de una web?

• Formularios de cita previa que preguntan por el motivo de consulta.
• Formularios de contacto donde el paciente describe síntomas o patologías.
• Cualquier dato que revele directa o indirectamente el estado de salud de una persona.

Para tratar estos datos de forma legal necesitas:

• Consentimiento explícito e inequívoco: una casilla de verificación (no premarcada) donde el usuario acepte expresamente el tratamiento de sus datos de salud. No vale con un "Al enviar este formulario aceptas nuestra política de privacidad".
• Información clara sobre la finalidad: para qué vas a usar esos datos, durante cuánto tiempo y quién tendrá acceso a ellos.
• Medidas de seguridad reforzadas: cifrado, control de acceso, registros de actividad.

Si tu formulario de contacto pregunta "¿Qué le ocurre?" o "Describa su problema", ya estás recogiendo datos de salud. Y necesitas cumplir con el artículo 9 del RGPD.

Los formularios son el punto más crítico de cumplimiento legal en una web sanitaria. Es donde recoges datos personales (y potencialmente de salud) de tus pacientes.

Requisitos de cada formulario:

• Casilla de consentimiento no premarcada: el usuario debe marcarla activamente. Si tienes un formulario de cita y otro de contacto, cada uno necesita su propia casilla.
• Texto informativo junto a la casilla: quién es el responsable, con qué finalidad se tratan los datos, la base legal y un enlace a la política de privacidad completa.
• Doble capa informativa: la AEPD recomienda una primera capa breve junto al formulario y una segunda capa con toda la información en la política de privacidad.
• Si preguntas por motivo de consulta o síntomas: necesitas una casilla adicional de consentimiento explícito para datos de categoría especial (salud).

Ejemplo de texto para la primera capa:

"He leído y acepto la política de privacidad. Consiento el tratamiento de mis datos para gestionar mi solicitud de cita. Responsable: [Nombre Clínica]. Finalidad: gestión de citas. Derechos: acceso, rectificación, supresión. Más información en nuestra política de privacidad."

Además, debes guardar prueba del consentimiento: la fecha, hora, IP, versión del texto aceptado y qué casillas marcó el usuario.

Delegado de Protección de Datos (DPO)

El artículo 37 del RGPD y la LOPDGDD establecen que es obligatorio designar un DPO cuando:

• El tratamiento lo realiza un organismo público.
• Se tratan datos de categorías especiales (como datos de salud) a gran escala.
• Se realiza observación habitual y sistemática de personas a gran escala.

En la práctica, los hospitales y grandes clínicas necesitan DPO. Para un profesional autónomo con una consulta individual, la AEPD ha indicado que no suele ser obligatorio, aunque siempre es recomendable tener un responsable de privacidad.

Evaluación de Impacto en Protección de Datos (EIPD)

El artículo 35 del RGPD exige realizar una EIPD cuando el tratamiento de datos entraña un alto riesgo para los derechos y libertades de las personas. El tratamiento de datos de salud a gran escala es uno de los supuestos específicos que la requiere.

Una EIPD debe incluir:

• Descripción de los tratamientos y sus finalidades.
• Evaluación de la necesidad y proporcionalidad del tratamiento.
• Análisis de riesgos para los derechos de los pacientes.
• Medidas previstas para mitigar esos riesgos.

Si no estás seguro de si necesitas DPO o EIPD, consulta con un especialista en protección de datos. Las sanciones por no tenerlos cuando son obligatorios pueden ser graves.

Una brecha de seguridad es cualquier incidente que provoque la destrucción, pérdida, alteración o divulgación no autorizada de datos personales. En una web sanitaria, esto puede ir desde un hackeo hasta un email enviado a la persona equivocada con datos médicos.

Protocolo obligatorio ante una brecha:

• Notificar a la AEPD en un máximo de 72 horas desde que se detecta la brecha (artículo 33 del RGPD). No desde que se produce, sino desde que se conoce.
• Notificar a los afectados si la brecha supone un alto riesgo para sus derechos y libertades (artículo 34 del RGPD). Con datos de salud, este umbral es más bajo.
• Documentar el incidente: qué ha pasado, qué datos se han visto comprometidos, cuántas personas están afectadas y qué medidas se han tomado.

La AEPD pone a disposición un canal de notificación de brechas de seguridad en su sede electrónica. Tener un protocolo documentado antes de que ocurra un incidente es fundamental.

En el sector sanitario, donde los datos son especialmente sensibles, una brecha puede suponer sanciones graves y un daño reputacional enorme para la clínica.

Usa esta checklist para auditar tu web actual:

• ☐ La web tiene aviso legal con datos del titular, NIF, domicilio, contacto y número de colegiado.
• ☐ Existe política de privacidad completa con responsable, finalidades, base legal, plazos y derechos.
• ☐ Hay política de cookies con detalle de cada cookie, su finalidad y duración.
• ☐ El banner de cookies permite aceptar, rechazar y configurar sin cookies premarcadas.
• ☐ Los formularios tienen casilla de consentimiento no premarcada con texto informativo.
• ☐ Si el formulario recoge datos de salud, tiene una casilla adicional de consentimiento explícito.
• ☐ Se guarda prueba del consentimiento (fecha, hora, IP, versión del texto).
• ☐ La web tiene certificado HTTPS activo.
• ☐ Existe un registro de actividades de tratamiento actualizado.
• ☐ Se ha evaluado la necesidad de designar un DPO.
• ☐ Se ha valorado si es necesaria una Evaluación de Impacto (EIPD).
• ☐ Existe un protocolo de brechas de seguridad documentado.
• ☐ Los textos legales están enlazados en el footer de todas las páginas.
• ☐ Los textos legales están actualizados (revisados en los últimos 12 meses).

Si cumples 12 o más puntos, tu web tiene una base legal sólida. Si cumples menos de 9, necesitas actuar con urgencia: la AEPD puede imponer multas incluso sin que haya una denuncia de un paciente.

Las sanciones de la AEPD a centros sanitarios son reales y frecuentes. Algunos ejemplos:

• 48.000 € a un hospital (HM Hospitales) por no obtener correctamente el consentimiento de un paciente para tratar sus datos personales.
• 150.000 € a un centro médico por permitir el acceso sin restricción al historial clínico de los pacientes por parte de todo el personal.
• 60.101 € a un médico por arrojar envases de biopsias con datos personales a la vía pública.
• 6.000 € a una clínica de Cartagena por usar datos personales de clientes de una empresa fusionada sin consentimiento.

La escala de sanciones del RGPD establece:

• Infracciones leves: hasta 40.000 €.
• Infracciones graves: de 40.001 € a 300.000 €.
• Infracciones muy graves: de 300.001 € a 20 millones de € (o el 4% del volumen de facturación anual).

Y estos son los errores que vemos con más frecuencia en webs sanitarias:

• Formulario sin casilla de consentimiento o con casilla premarcada.
• Política de privacidad genérica copiada de otra web que no refleja los tratamientos reales de la clínica.
• Banner de cookies que solo permite "Aceptar" sin opción de rechazar.
• Aviso legal sin número de colegiado ni registro sanitario.
• Datos de salud sin protección reforzada: formularios que preguntan por síntomas sin el consentimiento específico del artículo 9 RGPD.
• No tener protocolo de brechas: cuando ocurre un incidente, se pierde el plazo de 72 horas por no saber cómo actuar.
• Textos legales desactualizados que mencionan la antigua LOPD en lugar del RGPD y la LOPDGDD.

El cumplimiento legal no es solo evitar multas. Es una señal de profesionalidad y confianza que tus pacientes valoran, y que Google tiene en cuenta como parte de su evaluación de E-E-A-T (Experience, Expertise, Authoritativeness, Trustworthiness).

Si tu clínica es de medicina estética, consulta además nuestra guía específica de normativa 2026 para clínicas de estética, que cubre el número de colegiado, el registro U.48 y la prohibición de marcas comerciales.