Las 7 leyes que afectan a tu web sanitaria
RGPD, LSSI-CE, Ley de Autonomía del Paciente, publicidad sanitaria, accesibilidad web, telemedicina y EHDS — explicados con referencias a artículos concretos.
RGPD y LOPDGDD
Reglamento (UE) 2016/679 + Ley Orgánica 3/2018, de 5 de diciembre
Los datos de salud se clasifican como "categoría especial" bajo el artículo 9 del RGPD, lo que exige medidas reforzadas de protección. El tratamiento de estos datos está generalmente prohibido salvo excepciones específicas como el consentimiento explícito, obligación legal o protección de intereses vitales. Cualquier web que recoja datos de pacientes — incluso un simple formulario de contacto — debe cumplir estos requisitos. Las sanciones pueden alcanzar los 20 millones de euros o el 4% de la facturación global.
Política de privacidad accesible desde todas las páginas
Debe detallar: responsable del tratamiento, finalidad, base jurídica (art. 6 y 9 RGPD), destinatarios, plazos de conservación y derechos ARCO-POL (acceso, rectificación, cancelación, oposición, portabilidad, olvido, limitación).
Consentimiento explícito para datos de salud
No vale con casillas premarcadas. El paciente debe aceptar activamente el tratamiento de sus datos de salud mediante casilla desmarcada por defecto. Para menores de 14 años se necesita consentimiento del tutor legal (art. 7 LOPDGDD).
Registro de actividades de tratamiento (RAT)
Documento interno obligatorio (art. 30 RGPD) que describe cada operación de tratamiento: qué datos se recogen, para qué, quién los trata y durante cuánto tiempo.
Evaluación de impacto (EIPD)
Obligatoria cuando el tratamiento conlleva alto riesgo para los derechos de los pacientes (art. 35 RGPD). La AEPD la recomienda especialmente para historiales clínicos digitales, apps de salud o plataformas de teleasistencia.
Delegado de Protección de Datos (DPD/DPO)
Obligatorio para centros sanitarios que traten datos de salud a gran escala (art. 37 RGPD). Para consultas individuales es recomendable aunque no siempre obligatorio.
Protocolo de brechas de seguridad
Si se produce una filtración de datos, hay 72 horas para notificar a la AEPD (art. 33 RGPD). Se debe tener un protocolo documentado para detectar, gestionar y comunicar brechas.
LSSI-CE
Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y Comercio Electrónico
Toda web profesional que ofrezca servicios — incluidas las consultas sanitarias — debe cumplir esta ley. Regula la información que debe facilitar el prestador de servicios y las comunicaciones comerciales electrónicas. Las modificaciones de 2025 refuerzan la transparencia y el control del usuario, con mayor exigencia en la obtención del consentimiento. Las sanciones pueden llegar hasta 600.000 €.
Aviso legal completo y visible
Debe incluir: denominación social o nombre completo, NIF/CIF, domicilio, email de contacto, datos de inscripción registral si aplica y número de colegiado. Para sociedades, además el registro mercantil (art. 10 LSSI).
Número de colegiado y colegio profesional
Los profesionales sanitarios deben mostrar su número de colegiación y el colegio al que pertenecen. En caso de centros, el número de registro del centro sanitario según la normativa autonómica.
Política de cookies con consentimiento granular
Banner que permita aceptar, rechazar y configurar categorías (técnicas, analíticas, publicitarias). Las cookies no esenciales NO pueden cargarse hasta que el usuario acepte (art. 22.2 LSSI).
Condiciones de contratación si se venden servicios online
Si ofreces reservas de cita o pagos online, necesitas condiciones de contratación: precio, forma de pago, plazos, política de cancelación y derecho de desistimiento (arts. 23-29 LSSI).
Identificación clara de comunicaciones comerciales
Los emails de marketing deben identificarse como tales. Se prohíbe el envío de comunicaciones comerciales no solicitadas (spam). El opt-in previo es obligatorio (art. 21 LSSI).
Ley 41/2002 de Autonomía del Paciente
Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente
Regula los derechos y obligaciones de pacientes, usuarios y profesionales sanitarios en materia de información y documentación clínica. Aunque orientada a la práctica clínica, tiene implicaciones directas sobre qué información puedes publicar en tu web y cómo gestionas datos clínicos online. La dignidad de la persona, la autonomía de su voluntad y su intimidad orientan toda actividad relativa a la información y documentación clínica.
Consentimiento informado digital
Si tu web permite agendar tratamientos o recoger información clínica, el consentimiento informado debe ser tan riguroso como en formato presencial: naturaleza del procedimiento, riesgos, alternativas y consecuencias previsibles (arts. 8-10).
Confidencialidad de datos clínicos
Toda información clínica de pacientes es confidencial (art. 7). Testimonios, antes/después y casos clínicos requieren autorización expresa y por escrito del paciente.
Derecho de acceso a la historia clínica
Los pacientes tienen derecho a acceder a su historia clínica y obtener copia (art. 18). Si gestionas historiales digitales, debes facilitar un procedimiento claro para ejercer este derecho.
Información sanitaria veraz y comprensible
La información sobre tratamientos y servicios en tu web debe ser verdadera, adecuada y comprensible para el paciente, evitando tecnicismos sin explicación (art. 4).
Normativa de Publicidad Sanitaria
RD 1907/1996 + Ley General de Publicidad + normativa autonómica + nuevo RD en tramitación
La publicidad de servicios sanitarios está especialmente regulada en España. El Gobierno está tramitando un nuevo Real Decreto que actualizará las reglas de publicidad de productos sanitarios. A partir de 2026, será obligatorio que toda publicidad de servicios médicos incluya de forma clara: nombre del profesional, número de colegiado y número de registro sanitario del centro. Las comunidades autónomas vigilan activamente las webs y redes sociales, enviando requerimientos de cese inmediato ante incumplimientos.
Prohibición de publicidad engañosa o que genere falsas expectativas
No puedes prometer resultados garantizados. Expresiones como "el mejor tratamiento", "resultados 100% garantizados" o "sin efectos secundarios" están prohibidas. Usa siempre lenguaje realista y basado en evidencia.
Identificación obligatoria del profesional y titulación
Toda publicidad debe identificar al profesional o centro y su titulación oficial. A partir de 2026: nombre y apellidos, número de colegiado y número de registro sanitario del centro, de forma clara y visible.
Restricciones en fotos de antes/después
Especialmente en medicina estética y odontología, muchas CCAA prohíben o limitan el uso de imágenes de antes y después. Cataluña, Madrid, Andalucía y Valencia tienen regulaciones específicas adicionales.
Autorización autonómica para publicidad sanitaria
Los mensajes publicitarios en cualquier medio, incluido internet, que impacten en el público general requieren autorización previa de la comunidad autónoma correspondiente.
Restricciones en testimonios de pacientes
Los testimonios deben ser reales y no pueden incluir declaraciones que constituyan diagnóstico o promesa terapéutica. Siempre con consentimiento escrito del paciente.
Prohibición de publicitar medicamentos con receta al público
No puede realizarse publicidad dirigida al público de medicamentos que requieran receta (como la toxina botulínica). Tampoco pueden mencionarse de forma indirecta mediante términos, siglas o hashtags.
Accesibilidad Web
European Accessibility Act (desde 28 junio 2025) · Ley 11/2023 · RD 193/2023
Desde el 28 de junio de 2025, la accesibilidad web es obligatoria para la mayoría de empresas en la UE gracias al European Accessibility Act, integrado en España mediante la Ley 11/2023 y el RD 193/2023. Las webs sanitarias, por su naturaleza de servicio esencial, tienen una responsabilidad especial. Las multas por incumplimiento pueden alcanzar hasta 1 millón de euros.
Cumplimiento WCAG 2.1 nivel AA y UNE-EN 301549
El estándar mínimo exigido. Incluye: contraste de color suficiente (4.5:1 para texto normal), texto alternativo en imágenes, navegación por teclado, subtítulos en vídeos y formularios etiquetados correctamente. La norma UNE-EN 301549 extiende los requisitos más allá del frontend.
Declaración de accesibilidad pública
Página pública que declare el nivel de conformidad, las limitaciones conocidas, fecha de última revisión y los datos de contacto para comunicar problemas de accesibilidad.
Formularios accesibles
Los formularios de contacto y reserva de cita deben ser operables con teclado, tener etiquetas (labels) correctas, mensajes de error descriptivos y no depender solo del color para comunicar información.
Contenido multimedia accesible
Vídeos con subtítulos, audio con transcripción, y documentos PDF accesibles. Especialmente importante en contenido educativo para el paciente.
Telemedicina y Consultas Online
RD 81/2014 · Código Deontológico Médico (art. 103) · Normativa autonómica
España no cuenta con una ley específica que regule la telemedicina como modalidad asistencial. La regulación se apoya en el RD 81/2014 (asistencia transfronteriza), el Código Deontológico Médico y normativas autonómicas fragmentadas. Una consulta virtual es legalmente equivalente a una presencial: el profesional asume la misma responsabilidad y debe cumplir las mismas obligaciones legales. Si tu web ofrece consultas online o videollamadas, existen requisitos adicionales.
Registro como centro sanitario (según CCAA)
Las plataformas de telemedicina que faciliten actos médicos pueden necesitar autorización como centro sanitario. Cada comunidad autónoma tiene sus propios criterios de registro.
Cifrado y seguridad en comunicaciones
Las videollamadas y mensajes con contenido clínico deben usar cifrado adecuado. Plataformas certificadas o con cumplimiento sanitario son preferibles a herramientas genéricas de videollamada.
Almacenamiento seguro de datos clínicos
Los datos generados en teleconsultas deben almacenarse en servidores dentro del EEE con medidas de seguridad adecuadas, alineadas con el RGPD y la LOPDGDD.
Equivalencia con la consulta presencial
Según el art. 103 del Código de Deontología Médica, la teleconsulta es aceptable como medio para decisiones profesionales. El profesional debe garantizar la misma calidad asistencial y consentimiento informado que en consulta física.
Espacio Europeo de Datos de Salud (EHDS)
Reglamento (UE) 2025/327, de 11 de febrero de 2025 · Aplicación progresiva desde 2027
El nuevo Reglamento europeo, en vigor desde el 25 de marzo de 2025, establece el marco para un Espacio Europeo de Datos de Salud. Aunque su aplicación completa será progresiva (2027-2031), marca la dirección hacia la que deben prepararse los centros sanitarios digitales en los próximos años.
Derecho del paciente a sus datos electrónicos de salud
Las personas tendrán derecho a descargar de forma gratuita una copia electrónica de sus datos de salud en formato europeo de intercambio. Los centros deben preparar la infraestructura para facilitarlo.
Interoperabilidad de historias clínicas
Los datos de salud deberán presentarse en formatos que los profesionales sanitarios puedan usar fácilmente. A partir de 2029 comenzará el intercambio de categorías prioritarias: resúmenes de paciente y ePrescripciones.
Autoridad nacional de salud digital
España debe designar una o varias autoridades de salud digital responsables del cumplimiento del reglamento antes de marzo de 2027. El Ministerio de Sanidad está preparando una ley adaptativa.
Control del paciente sobre sus datos
Los pacientes tendrán mayor control sobre el uso que se hace de sus datos de salud electrónicos, pudiendo restringir el acceso en determinadas circunstancias.