Protección de Datos en Clínicas Privadas (RGPD + EHDS)

¿Qué obligaciones de protección de datos tiene una clínica privada?

Las clínicas privadas en España deben cumplir el RGPD y la LOPDGDD. En concreto: necesita un Delegado de Protección de Datos (en sanidad es obligatorio, no opcional). Tiene que llevar un Registro de Actividades de Tratamiento (Art. 30 RGPD). Debe hacer una Evaluación de Impacto cada vez que procese datos de salud. Si hay una brecha de seguridad, tiene 72 horas para notificar a la AEPD. Y necesita contratos de tratamiento de datos con todos sus proveedores (Art. 28 RGPD). Muchas clínicas no cumplen alguno de estos puntos y no lo saben.

¿Qué sanciones impone la AEPD al sector sanitario?

La AEPD está sancionando más al sector sanitario, y la tendencia va a más (2024-2026). Las multas van de 10.000 a más de 300.000 euros. ¿Los motivos más frecuentes? Personal que cotillea historiales de pacientes sin autorización — lo que la AEPD llama "acceso por curiosidad." Consentimientos mal recogidos. Medidas de seguridad que no dan la talla. Y no haber hecho la EIPD antes de implantar un nuevo sistema clínico.

¿Qué añade el EHDS a las obligaciones del RGPD?

Punto importante: el EHDS no reemplaza al RGPD. Se suma. Encima de todo lo que ya exige el RGPD, el EHDS añade: registro de auditoría completo (quién accedió, cuándo, a qué), autenticación individual obligatoria (se acabaron las cuentas compartidas), cifrado en reposo y en tránsito, y derechos del paciente ampliados que van más allá del RGPD — acceso electrónico directo, portabilidad en formato estándar y restricción granular de acceso.