Esta es la pregunta que más recibo cuando hablo con dentistas en Madrid y el resto de España:
"Me interesa lo que haces, pero tengo una duda. ¿Es legal que tú accedas a los datos de mis pacientes? ¿No me meto en un lío con la LOPD?"
Es una pregunta muy razonable. Los datos de los pacientes son datos de salud, y eso es lo más sensible que existe en materia de protección de datos. Así que vamos a explicarlo con claridad, sin tecnicismos innecesarios, y con la respuesta directa al principio: sí, es completamente legal. Y hay una forma concreta y regulada de hacerlo.
Primero lo primero: LOPD o RGPD, ¿qué aplica en España?
Mucha gente habla de "la LOPD" por costumbre, pero desde 2018 la norma principal en España es el RGPD (Reglamento General de Protección de Datos de la Unión Europea), complementado por la LOPDGDD (Ley Orgánica 3/2018). El resultado práctico es el mismo: existe un marco legal claro para gestionar datos de pacientes, también cuando interviene un tercero externo.
El organismo que supervisa todo esto en España es la AEPD (Agencia Española de Protección de Datos).
Los datos de tus pacientes son "categoría especial": ¿qué significa eso?
El RGPD clasifica los datos de salud como datos de categoría especial (artículo 9). Eso significa que tienen protección adicional respecto a otros datos personales. Es lógico: si alguien sabe que tienes una enfermedad, tiene información muy sensible sobre ti.
¿Implica eso que no puedes compartirlos con nadie? No. Implica que debes hacerlo correctamente. Y la ley define exactamente cómo.
El papel que juega cada uno: Responsable y Encargado
El RGPD distingue dos figuras clave cuando un profesional externo accede a datos de pacientes:
- Responsable del tratamiento: Eres tú, el dentista. Tú decides para qué se usan los datos de tus pacientes y cómo se tratan. La responsabilidad última es tuya.
- Encargado del tratamiento: Soy yo, la persona que accede a esos datos para prestarte un servicio. Solo puedo tratar los datos según tus instrucciones y para el fin concreto que me has encomendado.
Esta distinción no es nueva. La usa tu asesoría fiscal cuando trata datos de tus proveedores. La usa la empresa de informática que mantiene tu servidor. La usa el laboratorio que procesa pruebas de tus pacientes. Es un mecanismo legal maduro y ampliamente utilizado.
El documento que lo hace todo legal: el Contrato de Encargado del Tratamiento
El RGPD (artículo 28) obliga a que cuando un responsable encarga a un tercero el tratamiento de datos personales, exista un contrato escrito entre ambas partes. Se llama Contrato de Encargado del Tratamiento (o DPA en inglés, Data Processing Agreement).
Este contrato debe recoger, como mínimo:
- Qué datos se tratan y con qué finalidad
- Que el encargado solo tratará los datos según las instrucciones del responsable
- Las medidas de seguridad aplicadas
- El deber de confidencialidad
- Qué ocurre con los datos cuando termina la relación
- La prohibición de subcontratar sin autorización
Con ese contrato firmado, la externalización es legal, está regulada y es auditable. Sin él, habría un incumplimiento. Por eso es el primer documento que firmo con cada dentista con el que trabajo.
¿Quieres saber cómo funciona el proceso completo? En la llamada de valoración te explico exactamente qué documentos firmamos, a qué datos accedo y cómo protejo la información de tus pacientes.
Solicitar valoración gratuita →¿A qué datos accedo exactamente cuando gestiono tu consulta?
Esta pregunta también es importante. No accedo a historiales clínicos, diagnósticos ni información médica. Los datos con los que trabajo son los estrictamente necesarios para la gestión administrativa:
- Nombre y teléfono del paciente (para confirmaciones y llamadas)
- Citas programadas (para confirmar, cubrir cancelaciones y gestionar la agenda)
- Presupuestos pendientes (importe y estado, para hacer seguimiento)
- Fecha de última visita (para identificar pacientes inactivos)
Nada más. No necesito su diagnóstico, su historial médico ni sus datos bancarios para hacer bien mi trabajo. El principio de minimización de datos del RGPD (usar solo los datos necesarios) está cubierto por defecto.
¿Qué pasa con el acceso al programa de gestión?
La mayoría de dentistas con los que trabajo usan Gesden, Dentidesk o Clinic Cloud. Estos programas permiten crear usuarios con distintos niveles de acceso. Puedo trabajar con un acceso restringido que me permita ver agenda y datos de contacto, pero sin acceso a historiales clínicos.
Así el dentista mantiene el control total sobre qué puedo ver y qué no. Si en algún momento quiere revisar qué acciones he realizado, hay registros de actividad. Transparencia completa.
Qué obligaciones tiene el dentista al externalizar
Externalizar la gestión no traslada la responsabilidad al encargado. El dentista sigue siendo el responsable del tratamiento. Eso significa que debe:
- Firmar el Contrato de Encargado del Tratamiento con la persona o empresa externa
- Informar a sus pacientes (en su política de privacidad) de que puede haber terceros que colaboren en la gestión
- Asegurarse de que el encargado cumple las medidas de seguridad adecuadas
En la práctica, los dos primeros puntos se resuelven con los documentos correctos al inicio de la relación. El tercero se resuelve trabajando con alguien serio que aplique buenas prácticas de seguridad.
Comparativa: ¿es diferente a contratar una recepcionista?
Mucha gente no lo sabe, pero una recepcionista contratada en nómina también accede a datos personales de pacientes. Y también hay obligaciones legales al respecto: cláusula de confidencialidad en el contrato, formación básica en protección de datos, acceso limitado a lo necesario.
La diferencia con una gestora externa es que el marco legal está más formalizado (existe un contrato específico de encargado del tratamiento), mientras que con personal interno muchas consultas operan de forma más informal y, técnicamente, con menos garantías documentadas.
Dicho de otra forma: externalizar bien, con los documentos correctos, puede ser más seguro desde el punto de vista legal que tener a alguien en nómina sin los documentos en regla.
Multas de la AEPD: ¿de qué magnitud estamos hablando?
Es justo hablar también del lado del riesgo, para que la decisión sea informada. El RGPD contempla multas de hasta el 4% de la facturación anual global o 20 millones de euros (lo que sea mayor) para las infracciones más graves.
En la práctica, para una clínica dental pequeña, las sanciones de la AEPD por infracciones relacionadas con datos de salud suelen estar en el rango de 3.000€ a 40.000€, dependiendo de la gravedad y la intencionalidad.
El riesgo no está en externalizar con las garantías correctas. El riesgo está en no tener los documentos en regla, ya sea con una gestora externa o con tu propio personal.
Resumen práctico: cómo se hace correctamente
- Firma un Contrato de Encargado del Tratamiento con la gestora o persona externa. Sin esto, no hay cobertura legal.
- Revisa tu política de privacidad y asegúrate de que menciona la posibilidad de colaboradores externos en la gestión administrativa.
- Configura el acceso al programa de gestión para que la persona externa solo vea lo necesario.
- Documenta la relación: qué datos se tratan, para qué y durante cuánto tiempo.
Con eso hecho, estás cubierto. Y puedes delegar la gestión con total tranquilidad.
La conclusión
La protección de datos no es un obstáculo para externalizar la gestión de tu consulta dental. Es un marco que regula cómo hacerlo correctamente. Y hacerlo correctamente es más sencillo de lo que parece.
Si tienes dudas específicas sobre tu situación, te recomiendo consultarlo con un profesional especializado en protección de datos del sector sanitario. Pero si la pregunta es "¿es legal en principio externalizar la gestión con las garantías adecuadas?", la respuesta es sí.
Muchos dentistas en Madrid y toda España ya lo hacen. Con los documentos correctos. Con acceso controlado. Con total transparencia hacia sus pacientes.
El miedo a la LOPD no debería ser lo que te impide delegar la gestión que te está quitando tiempo y dinero.