TL;DR — Resumen ejecutivo
- Los datos de salud son categoría especial del art. 9 RGPD: necesitan base jurídica reforzada, no basta con el consentimiento genérico que usas para una newsletter.
- Un chatbot SÍ puede gestionar citas, recordatorios, confirmaciones y FAQs administrativas sin tocar dato clínico alguno.
- Un chatbot NO debe interpretar síntomas, dar recomendaciones médicas ni registrar información clínica sin cifrado y contrato de encargo de tratamiento firmado.
- 4 preguntas obligatorias a cualquier proveedor: dónde se alojan las conversaciones, si firma DPA, si hay servidor en la UE y si hace falta DPO.
- Es resoluble: con cifrado, acceso restringido y contratos de encargo de tratamiento bien diseñados, un chatbot administrativo es perfectamente compatible con el RGPD.
Hay una pregunta que se hace prácticamente todo gerente de clínica antes de dar el paso de automatizar la gestión de citas: «esto que estoy a punto de contratar, ¿es legal con los datos de mis pacientes?». No es una duda menor ni paranoica. Los datos de salud son categoría especial según el artículo 9 del RGPD, y el temor a una sanción —no el coste de la herramienta— es probablemente el mayor freno a la adopción de IA en el sector sanitario privado español.
Este artículo responde a esa pregunta con la mayor precisión posible: qué hace que los datos sanitarios sean diferentes, qué puede hacer un chatbot sin ningún problema, qué no debe hacer nunca sin supervisión humana, y qué preguntas exigir a cualquier proveedor antes de firmar.
Por qué los datos de salud son diferentes a cualquier otro dato
El RGPD no trata todos los datos personales igual. El nombre y el teléfono de un cliente de una zapatería son datos personales «normales». El motivo de consulta de un paciente, su diagnóstico, su historial de tratamientos o incluso el simple hecho de que haya pedido cita en una clínica de un tipo concreto (por ejemplo, salud mental o reproductiva) son categorías especiales de datos según el artículo 9 del RGPD.
Esta distinción no es burocrática. Tiene consecuencias muy concretas:
- Base jurídica reforzada. El tratamiento de datos de salud está prohibido por defecto (art. 9.1) y solo se permite si se cumple una de las excepciones tasadas del art. 9.2: consentimiento explícito (no el genérico, uno específico e inequívoco), necesidad para fines de medicina preventiva o diagnóstico, o cumplimiento de obligaciones en el ámbito del derecho laboral y de seguridad social, entre otras. Un simple «acepto la política de privacidad» al pie de un formulario web no es suficiente para cubrir el tratamiento de un dato clínico.
- Obligación casi automática de Delegado de Protección de Datos (DPO). El artículo 37 RGPD exige DPO cuando la actividad principal implica tratamiento a gran escala de categorías especiales. Una clínica que gestiona historiales médicos prácticamente siempre entra en este supuesto, tenga o no chatbot.
- Evaluación de Impacto relativa a la Protección de Datos (EIPD) cuando hay riesgo alto. El artículo 35 RGPD obliga a realizar una EIPD antes de implementar un tratamiento que, por su naturaleza, alcance o finalidad, suponga un alto riesgo para los derechos de los pacientes. Introducir un sistema automatizado —como un chatbot con IA— que procese datos de salud es uno de los escenarios típicos en los que la Agencia Española de Protección de Datos (AEPD) recomienda o exige esta evaluación previa.
- Medidas de seguridad reforzadas. Cifrado en tránsito y en reposo, control de accesos granular, registro de auditoría de quién consulta qué dato y cuándo. Lo que para un dato comercial es buena práctica, para un dato de salud es prácticamente obligatorio.
El error más habitual que veo en clínicas que se plantean automatizar es tratar el proyecto de chatbot como un proyecto de software cualquiera, cuando en realidad es, antes que nada, un proyecto de cumplimiento normativo con una capa tecnológica encima.
Lo que SÍ puede hacer un chatbot sin problema
La buena noticia —y la que pocas veces se explica con claridad— es que la inmensa mayoría de lo que un gerente de clínica quiere automatizar no toca en ningún momento un dato de categoría especial. Si el chatbot de atención al cliente de tu clínica se limita a lo siguiente, estás en terreno seguro:
Tareas administrativas sin riesgo especial
- Gestión de citas. Comprobar disponibilidad, agendar, modificar o cancelar una cita usando solo nombre, teléfono y franja horaria.
- Recordatorios automáticos. Avisar al paciente el día anterior de su cita, sin mencionar el motivo de la consulta ni el especialista si eso pudiera revelar información sensible (por ejemplo, evitar nombrar «consulta de psiquiatría» en un recordatorio que pueda leer un tercero).
- Confirmaciones y reprogramaciones. Que el paciente confirme su asistencia o pida cambiar la hora mediante un mensaje sencillo de sí/no o selección de franja.
- FAQs puramente administrativas. Horarios de apertura, ubicación y parking, métodos de pago aceptados, política de cancelación, documentación necesaria para la primera visita, información sobre seguros con los que trabaja la clínica.
- Gestión de listas de espera. Avisar automáticamente si se libera un hueco antes de la fecha prevista, sin necesidad de mencionar el motivo médico de la cita original.
En estos casos, el dato que circula es nombre, teléfono, fecha y hora: información personal corriente, no categoría especial. Eso no significa que no haya que protegerla —sigue siendo un dato personal sujeto al RGPD general—, pero el nivel de exigencia es muy distinto al de un historial clínico.
Lo que NO debe hacer sin supervisión humana
El problema empieza cuando, por comodidad o por mal diseño del sistema, el chatbot empieza a acercarse al terreno clínico. Hay una línea clara que nunca debería cruzar sin que una persona del equipo médico esté en el bucle:
- Interpretar síntomas. Que un paciente escriba «me duele el pecho y me cuesta respirar» y el chatbot responda algo parecido a un diagnóstico, una valoración de urgencia o un consejo médico es un riesgo serio, tanto legal como de seguridad del paciente.
- Dar recomendaciones médicas. Sugerir tratamientos, dosis de medicación, interpretación de resultados de pruebas o cualquier orientación que sustituya el criterio de un profesional sanitario colegiado.
- Registrar información clínica sin cifrado ni contrato de encargo de tratamiento. Si el chatbot pide «cuéntame brevemente el motivo de tu consulta» y esa respuesta se almacena en un sistema sin cifrar o en un proveedor que no ha firmado un contrato de encargado de tratamiento, ya hay un dato de salud circulando fuera de las garantías que exige el art. 9 RGPD.
El riesgo no es solo legal. Es lo que en el sector se conoce como «alucinación clínica»: un modelo de IA generativa puede producir una respuesta verosímil pero clínicamente incorrecta con total seguridad aparente. En atención al cliente de una tienda online, una alucinación es una molestia. En una clínica, puede tener consecuencias sobre la salud de una persona.
Esta distinción es, en el fondo, la diferencia entre un agente administrativo y un asistente clínico. El primero gestiona logística: citas, recordatorios, preguntas operativas. El segundo entraría en el terreno de informar, orientar o decidir sobre la salud del paciente, y ese terreno pertenece exclusivamente a los profesionales sanitarios, no a un modelo de lenguaje. Cualquier proyecto serio de automatización para una clínica debe declarar explícitamente, desde el diseño, que el sistema es lo primero y nunca lo segundo. Si quieres ver con más detalle cómo se diseña un agente conversacional bien delimitado para atención al cliente, puedes consultar nuestra guía completa de chatbot con IA para atención al cliente, que es la base técnica sobre la que se construye después la capa específica de cumplimiento sanitario.
Las 4 preguntas que hacerle a cualquier proveedor de chatbot
Antes de firmar con cualquier proveedor de chatbot —ya sea una herramienta genérica adaptada o una solución diseñada específicamente para clínicas— hay cuatro preguntas que deberían tener respuesta clara y por escrito:
Checklist de diligencia debida
- 1. ¿Dónde se alojan las conversaciones? Necesitas saber en qué país y en qué infraestructura se almacenan los mensajes, durante cuánto tiempo y con qué política de borrado. Una respuesta vaga aquí es una señal de alarma.
- 2. ¿Firma un contrato de encargo de tratamiento (DPA)? Conforme al art. 28 RGPD, todo proveedor que trate datos personales por cuenta de tu clínica debe firmar este contrato. Si no puede o no quiere firmarlo, no es una opción viable, sin importar lo atractivo de su funcionalidad.
- 3. ¿Hay servidor en la Unión Europea? Las transferencias internacionales de datos fuera del Espacio Económico Europeo están sujetas a garantías adicionales (cláusulas contractuales tipo, decisiones de adecuación). Tener servidor en la UE simplifica enormemente el cumplimiento, especialmente con datos de categoría especial.
- 4. ¿Hace falta un DPO para supervisar esta implementación? Tu clínica probablemente ya necesita DPO por su actividad asistencial general. Pregunta específicamente si el proveedor tiene experiencia trabajando bajo supervisión de un DPO y si puede facilitar la documentación que tu DPO necesitará para la EIPD, si procede.
Si un proveedor no puede responder a estas cuatro preguntas con claridad y rapidez, es razonable interpretarlo como una falta de madurez en el cumplimiento normativo, independientemente de lo bien que funcione su demo comercial.
Cómo lo diseña SANCANTIA
El miedo a la sanción no debería paralizar la digitalización de una clínica: debería orientar cómo se diseña. El planteamiento que seguimos en SANCANTIA para los proyectos del sector sanitario, tal y como se recoge en nuestra página de soluciones de IA para clínicas y centros de salud, se apoya en tres pilares: cifrado de la información en tránsito y en reposo, acceso restringido según el principio de mínimo privilegio (solo accede a cada dato quien realmente lo necesita para su función), y contratos de encargo de tratamiento firmados con cada proveedor tecnológico que intervenga en la cadena, conforme al RGPD y la LOPDGDD.
En la práctica, esto significa delimitar desde el primer día qué hace el chatbot (gestión administrativa de citas y comunicación con el paciente) y qué no hace nunca (interpretar síntomas o sustituir criterio médico), separar técnicamente el flujo de datos administrativos del flujo de datos clínicos, y documentar cada decisión de diseño para que, si la AEPD pregunta, exista un rastro claro de las medidas adoptadas. No es una promesa de cero riesgo —ningún sistema lo es—, pero sí la prueba de que el problema es perfectamente resoluble con el diseño adecuado, no un motivo para seguir gestionando las citas a mano por miedo a una sanción. Si tu clínica está en Cantabria, también puedes consultar el enfoque específico que aplicamos en IA para clínicas en Santander y en IA para clínicas en Cantabria, donde detallamos casos de uso y rangos de inversión.
Una nota adicional: el cumplimiento normativo no depende solo de la tecnología que elijas, sino de que el equipo administrativo entienda los límites de la herramienta que está usando cada día. SANCANTIA también forma al personal de recepción y administración en el uso correcto de estos sistemas —qué preguntar al chatbot, qué tipo de información nunca debe introducirse manualmente en él y cuándo derivar a un compañero o a un profesional sanitario—, como complemento natural a la implementación técnica. Puedes ver el alcance de estos programas en formación en IA para empresas.
Conviene también situar esta conversación en el marco regulatorio más amplio que viene: el Reglamento Europeo de IA (EU AI Act) clasifica como «alto riesgo» buena parte de los sistemas de IA usados en el ámbito sanitario, lo que en los próximos años añadirá obligaciones de transparencia y supervisión humana específicas, en paralelo —no en sustitución— a las que ya impone el RGPD sobre los datos de salud.
Preguntas frecuentes sobre RGPD y chatbots en clínicas
1. ¿Necesita mi clínica un Delegado de Protección de Datos (DPO) para usar un chatbot?
Sí, casi con total seguridad. El artículo 37 del RGPD exige DPO cuando la actividad principal del responsable implica un tratamiento a gran escala de categorías especiales de datos, y los datos de salud lo son por definición. Una clínica privada que trata historiales médicos ya necesita DPO independientemente de si usa o no un chatbot. Si el chatbot añade además recogida de datos clínicos, refuerza esa obligación; si solo gestiona citas y datos no clínicos, no cambia la necesidad de DPO que la clínica ya tiene por su actividad asistencial.
2. ¿Puedo usar ChatGPT u otra IA generativa genérica para redactar informes clínicos?
No es recomendable sin medidas adicionales muy específicas. Las versiones gratuitas o estándar de herramientas de IA generativa de propósito general no suelen ofrecer un contrato de encargado de tratamiento (DPA) adaptado a datos de salud, ni garantizan que la información introducida no se use para entrenar modelos. Introducir un historial clínico real en una de estas herramientas sin un acuerdo contractual específico y sin anonimizar antes el contenido es un riesgo de incumplimiento del RGPD. Existen versiones empresariales con DPA y configuración de no entrenamiento, pero su idoneidad para datos de salud debe valorarse caso por caso con asesoramiento legal.
3. ¿Hace falta una Evaluación de Impacto (EIPD) para un chatbot que solo gestiona citas?
Depende de qué datos toca exactamente el chatbot, no del nombre de la herramienta. Si el chatbot únicamente gestiona nombre, teléfono, fecha y hora de cita —sin tocar el motivo de la consulta ni ningún dato clínico— el riesgo es bajo y una EIPD puede no ser obligatoria, aunque sí recomendable documentar esa valoración de riesgo. Si el chatbot pide o registra el motivo de la visita, síntomas o cualquier dato de salud, la EIPD pasa a ser obligatoria por tratarse de categoría especial de datos a través de un sistema automatizado nuevo.
4. ¿Quién es responsable si el chatbot da una información incorrecta a un paciente?
La responsabilidad recae sobre la clínica como responsable del tratamiento y, en última instancia, como prestador del servicio sanitario, no sobre el proveedor de la tecnología salvo que el contrato establezca lo contrario. Por eso es crítico que el chatbot tenga límites claros y verificables: que nunca interprete síntomas ni dé recomendaciones médicas, y que cualquier consulta que se acerque a ese terreno se derive de inmediato a una persona del equipo. El diseño correcto no elimina el riesgo legal, pero sí lo reduce drásticamente al evitar que la IA emita contenido clínico sin supervisión.
5. ¿Un chatbot de citas necesita firmar un contrato de encargado de tratamiento con la clínica?
Sí, siempre. Cualquier proveedor que procese datos personales por cuenta de la clínica —incluso si son solo nombre y teléfono para una cita— actúa como encargado de tratamiento según el artículo 28 del RGPD y debe firmar un contrato de encargo de tratamiento (DPA) antes de empezar a operar. Si el proveedor se niega a firmarlo o no puede acreditar dónde se alojan los datos, es una señal de alarma que debería descartar esa herramienta independientemente de lo atractiva que parezca su funcionalidad.
El RGPD no es un obstáculo que impida digitalizar una clínica privada: es el marco que define cómo hacerlo sin asumir riesgos innecesarios. La diferencia entre una clínica que automatiza con tranquilidad y otra que sigue gestionando todo a mano por miedo a una sanción no está en el presupuesto disponible, sino en si el proyecto se ha diseñado desde el primer día con el cumplimiento normativo como parte integral del sistema, y no como un trámite añadido al final.
