El error de encuadre que dispara la mayoría de problemas RGPD en clínicas
Europa cerró 2025 con unos 1.200 millones de euros en multas RGPD acumuladas (DLA Piper, enero 2026). España lidera los países de la UE por número de sanciones, con 651 expedientes en registro (Statista, 2024), y la AEPD ha mantenido el sector salud bajo vigilancia estrecha.
La mayoría de clínicas que se mete en líos con el RGPD no lo hace de mala fe. Lo hace por un error de encuadre. Tratan las grabaciones de llamadas (o los hilos de WhatsApp) como si fueran simples ficheros de audio o logs de chat. El RGPD los trata como datos de salud cuando ocurren en contexto clínico. Esa única diferencia cambia la base legal aplicable, el periodo de retención, el contrato con el proveedor y los derechos del paciente que tienes que soportar.
Esta guía cubre los puntos que una clínica necesita resueltos antes de grabar una sola llamada o guardar un solo mensaje de WhatsApp, y los que conviene revisar cuando metes un asistente IA. Está pensada para quiroprácticos, fisioterapeutas y osteópatas que operan en España o en cualquier otro país de la UE.
Qué considera el RGPD “datos de voz” y “datos de WhatsApp” en una clínica
La voz, por sí sola, es dato personal. La AEPD lo ha confirmado en varias resoluciones: el timbre y los rasgos biométricos de una voz permiten identificar a un individuo, lo que mete a la voz bajo el RGPD.
La misma lógica aplica a los mensajes de WhatsApp: número de teléfono, contenido completo del mensaje, adjuntos, marcas de tiempo. Todo dato personal.
Dentro de una clínica el matiz va más allá. Cuando un paciente llama o escribe para reservar cita, describir síntomas o preguntar por un tratamiento, la conversación contiene información sobre su salud. Esa información se convierte en dato de salud, cubierto por el artículo 9 del RGPD como categoría especial. Tratar datos de salud requiere un régimen reforzado: una base legal del artículo 6 más una excepción del artículo 9 que permita manejarlos.
Grabar una llamada en Hacienda no es lo mismo que grabarla en una clínica de fisio. El contenido clínico de la segunda convierte el fichero de audio (o el hilo de WhatsApp) en un registro de salud, aunque el paciente solo te haya contactado para reservar una sesión.
La base legal: cuándo funciona el consentimiento y cuándo el interés legítimo
El artículo 6.1 del RGPD lista seis bases legales para tratar datos personales. El consentimiento no es la única, y para comunicaciones clínicas hay que elegir con cuidado.
Consentimiento es la base más limpia cuando grabas o almacenas para formación, control de calidad o mejora del servicio. Tiene que ser libre, específico, informado e inequívoco, y el paciente tiene que poder retirarlo en cualquier momento. La frase de una línea al inicio de la llamada (“esta llamada puede ser grabada”) ya no es suficiente: la AEPD espera que los pacientes puedan oponerse sin perder el servicio.
Interés legítimo encaja cuando la grabación o almacenamiento de mensajes sirve para documentar la operación (probar que el paciente aceptó una cita o un presupuesto). IAPP (2024) explicó que los call centers pueden apoyarse en interés legítimo para grabaciones de servicio, siempre que pasen el test de balance y el interés del paciente no prevalezca.
Ejecución de contrato funciona para la parte administrativa de la interacción (reservar, confirmar, cancelar), pero no cubre los datos de salud que aparecen dentro de la conversación. Para eso hay que añadir encima una excepción del artículo 9: normalmente consentimiento explícito del paciente, o necesidad de medicina preventiva, diagnóstico o prestación de asistencia sanitaria.
La combinación que mejor funciona en una clínica suele ser: interés legítimo para los datos operativos, más consentimiento explícito para el contenido clínico de la conversación.
Cinco requisitos mínimos para manejar voz y WhatsApp sin exponer la clínica
1. Informar antes de grabar o almacenar. El RGPD prohíbe grabaciones silenciosas. El paciente tiene que saber que la llamada se graba o que sus mensajes de WhatsApp se guardan, con qué finalidad, quién es el responsable y cómo ejercer sus derechos. Una nota de audio breve al inicio de la llamada más un enlace a la política de privacidad funciona. Para WhatsApp, un mensaje de onboarding de una sola vez cubriendo los mismos puntos.
2. Minimiza los datos. Solo graba y almacena lo necesario para la finalidad declarada. Si el objetivo es confirmar una reserva, no hay motivo para guardar cinco minutos de conversación clínica. Los asistentes IA bien configurados retienen la transcripción estructurada de la reserva, no el audio completo. Misma lógica para WhatsApp: guarda lo necesario para continuidad de servicio, borra el resto.
3. Cifra en tránsito y en reposo. TLS 1.2 o superior para transporte y AES-256 para almacenamiento son los mínimos que la AEPD mira en inspecciones del sector salud. El cifrado tiene que ser demostrable con documentación del proveedor.
4. Aloja en la UE. Alojar fuera del Espacio Económico Europeo requiere una transferencia internacional con salvaguardas (cláusulas contractuales tipo, decisión de adecuación). Para una clínica pequeña raramente compensa. Si el proveedor no puede alojar nativamente en la UE, es una fricción que conviene resolver antes de firmar.
5. Firma un contrato de encargo del tratamiento (DPA). Es el documento que regula qué hace el proveedor con los datos de tus pacientes. Sin él, la responsabilidad recae enteramente sobre tu clínica. Los proveedores serios lo entregan por defecto. HeyCAi incluye el DPA antes del contrato principal.
Retención: periodos razonables y qué espera la AEPD
El RGPD no fija periodos de retención. Exige no guardar más de lo necesario para la finalidad. Esa redacción deja margen, pero hay referencias prácticas.
Para llamadas de servicio en call centers generales, el rango común está entre 12 y 24 meses (NiCE, 2024). Para llamadas con contenido clínico ese periodo se reduce bastante. En la práctica, 90 días es un tope razonable para audio bruto de una llamada sanitaria. Después, lo sensato es conservar solo la transcripción estructurada (fecha, hora, motivo, reserva confirmada) y borrar el audio.
Para WhatsApp, lógica similar. Los mensajes operativos (confirmaciones, cambios de cita) pueden guardarse más tiempo para trazabilidad, pero cualquier cosa con contenido clínico debería seguir el tope de 90 días salvo que pase a formar parte de la historia clínica.
La excepción son las llamadas o mensajes que se convierten en parte del historial médico. En ese caso aplica la retención sectorial: en España, la Ley 41/2002 obliga a conservar la documentación clínica al menos cinco años desde el alta. Pero eso aplica al contenido clínicamente relevante, no a la grabación completa de cada llamada de reserva.
Un error común es guardar todo “por si acaso”. La AEPD lo lee como tratamiento sin finalidad definida, y es una de las causas más frecuentes de multas por retención en el sector servicios.
Derechos del paciente que tu proveedor tiene que poder gestionar
Los pacientes tienen seis derechos principales bajo RGPD: acceso, rectificación, supresión, oposición, restricción y portabilidad. Para grabaciones de voz e hilos de WhatsApp, los primeros cuatro son donde aparece la fricción.
Acceso. Si el paciente pide una copia de sus grabaciones o mensajes, la clínica tiene un mes para entregarla (artículo 12.3 RGPD). El proveedor de IA tiene que dejarte exportar los datos identificados por paciente. Si no puede, tu clínica está fuera de cumplimiento.
Supresión. El derecho al olvido significa borrar audio, transcripciones y mensajes de forma permanente. Un proveedor que solo “marca como borrado” sin eliminación física no cumple. Los backups siguen la misma regla: el calendario de rotación debe estar documentado.
Rectificación. Si el paciente detecta un error en una transcripción (un síntoma mal atribuido, por ejemplo), tiene derecho a que se corrija. Más fácil sobre transcripciones estructuradas que sobre audio bruto.
Oposición. El paciente puede oponerse a ser grabado o contactado por mensaje. Si la base legal era consentimiento, la retirada es inmediata. Si era interés legítimo, la clínica tiene que hacer un nuevo test de balance, que raramente acaba a favor de la clínica.
Qué preguntar a tu proveedor de IA antes de firmar
Lista corta y práctica:
| Pregunta | Respuesta a aceptar |
|---|---|
| ¿Dónde se alojan los datos? | UE, con la región confirmada por escrito |
| ¿Cifrado en tránsito y en reposo? | TLS 1.2+ y AES-256, documentado |
| ¿Retención de audio y transcripciones? | Audio: 90 días máx. Transcripciones: configurable |
| ¿Retención de mensajes WhatsApp? | Configurable, con reglas para contenido clínico |
| ¿Cómo se gestiona acceso/borrado? | Dashboard con exportación y borrado por paciente |
| ¿Contrato de encargo del tratamiento? | Sí, firmado antes del contrato principal |
| ¿Sub-encargados usados? | Lista pública, mantenida |
| ¿Notificación de brecha? | Menos de 72h al responsable (tu clínica) |
La pregunta de los sub-encargados es la que más esquivan los proveedores. Cada asistente IA se apoya en varios proveedores por debajo (modelo de lenguaje, transcripción, telefonía, almacenamiento, BSP de WhatsApp). La lista debe estar disponible y actualizada, y cada uno debería tener su propio contrato de tratamiento.
Preguntas frecuentes
¿Necesito consentimiento explícito del paciente para grabar la llamada o guardar mensajes de WhatsApp?
Para grabar la parte operativa (reservar, confirmar, cancelar) puedes apoyarte en interés legítimo si pasas el test de balance. Para el contenido clínico que aparece dentro de la conversación, sí necesitas consentimiento explícito del paciente según el artículo 9 RGPD. En la práctica, una nota al inicio de la llamada más consentimiento documentado en la ficha del paciente es el camino más limpio. Para WhatsApp, un mensaje de onboarding con consentimiento al primer contacto.
¿Cuánto tiempo puedo conservar las grabaciones y los mensajes de WhatsApp?
No hay periodo fijo. La regla RGPD es no guardar más de lo necesario. Para llamadas sanitarias, 90 días es un tope razonable de audio bruto. Después, la práctica común es conservar solo la transcripción estructurada (fecha, motivo, reserva). Si la grabación pasa a formar parte de la historia clínica, aplica la retención específica del sector (al menos 5 años en España bajo Ley 41/2002).
¿Puedo usar un asistente IA cuyo proveedor aloja datos en EE.UU.?
Sí, pero añade complejidad. Tendrías que firmar cláusulas contractuales tipo, documentar una transferencia internacional y evaluar el nivel de protección del país destino. Para una clínica pequeña raramente compensa. La opción más limpia es un proveedor con alojamiento nativo en la UE, idealmente con la región confirmada por escrito.
HeyCAi aloja en la UE por defecto.
¿Qué pasa si un paciente ejerce su derecho al olvido?
Tu clínica tiene un mes para responder. El proveedor de IA tiene que dejarte identificar cada grabación, transcripción y mensaje de WhatsApp asociado a ese paciente y borrarlos permanentemente, incluidos backups. Si el proveedor solo “marca como borrado” sin eliminación física, el cumplimiento es parcial y la responsabilidad se queda en tu clínica.
¿Quién responde si hay una brecha de seguridad en el proveedor?
Tu clínica es la responsable del tratamiento y responde ante el paciente y la autoridad de protección de datos. El proveedor es el encargado y responde ante la clínica según el contrato firmado. Por eso el contrato tiene que detallar obligaciones de seguridad, notificación de brecha en menos de 72 horas y asistencia si la autoridad lo solicita. Sin ese contrato, toda la responsabilidad se concentra en la clínica.
Si quieres ver cómo HeyCAi gestiona estos puntos de cumplimiento en la práctica, recibe una llamada demo en 30 segundos. Para la parte de voz específicamente (donde las preocupaciones RGPD son más agudas), HeyCAi Voz en callcai.ai entra más a fondo.