RGPD para clínicas dentales: gestión de llamadas y datos de pacientes

Las clínicas dentales tratan datos especialmente protegidos —datos de salud— desde el primer contacto telefónico. El Reglamento General de Protección de Datos (RGPD) y la legislación española imponen obligaciones concretas que muchas clínicas no tienen formalizadas.

¿Qué datos se recogen en una llamada telefónica?

Una llamada de recepción en una clínica dental puede implicar la recogida de:

• Nombre completo del paciente
• Número de teléfono
• Motivo de la llamada (que puede revelar información de salud)
• Solicitud de cita vinculada a un tratamiento específico

Cuando el motivo de la llamada incluye información sobre el estado de salud del paciente, el dato se clasifica como categoría especial según el art. 9 del RGPD, y exige una base de legitimación reforzada.

Obligaciones principales para la clínica

La clínica actúa como responsable del tratamiento. Sus obligaciones mínimas incluyen:

• Informar al paciente de quién trata sus datos y con qué finalidad (deber de información activa).
• Documentar la base legal del tratamiento para cada tipo de dato.
• Formalizar un contrato de encargado de tratamiento con cualquier proveedor que acceda a datos de pacientes.
• Implementar medidas técnicas y organizativas adecuadas al riesgo del tratamiento.
• Llevar un registro de actividades de tratamiento si la clínica trata datos de salud de forma habitual.
• Garantizar el ejercicio efectivo de los derechos de los interesados.

¿Qué ocurre cuando se externaliza la recepción telefónica?

Cuando una clínica contrata un sistema externo para gestionar llamadas, ese proveedor accede a datos de pacientes y actúa como encargado del tratamiento. El RGPD (art. 28) exige que esta relación quede regulada mediante un contrato escrito que incluya:

• El objeto y la duración del tratamiento
• La naturaleza y finalidad del tratamiento
• El tipo de datos y las categorías de interesados
• Las obligaciones y derechos del responsable
• Las medidas de seguridad técnicas y organizativas aplicadas

Contratar un proveedor sin este contrato expone a la clínica a una infracción directa del RGPD.

Bases legales para el tratamiento de datos en recepción

La base legal más habitual para el tratamiento de datos en recepción clínica es la ejecución de un contrato (art. 6.1.b RGPD) cuando el paciente solicita una cita, o el consentimiento explícito (art. 9.2.a RGPD) cuando se trata de datos de salud recogidos sin relación contractual previa.

En ningún caso el interés legítimo del responsable es una base legal válida para tratar datos de salud de categoría especial.

Grabación de llamadas

La grabación de llamadas es opcional y configurable según la política de cada clínica. Cuando el sistema genera grabaciones de voz o transcripciones, la clínica debe:

• Informar al paciente antes o al inicio de la llamada, con indicación de la finalidad y el plazo de conservación.
• Documentar la base legal de la grabación (habitualmente el consentimiento explícito del interesado).
• Asegurar que las grabaciones se eliminan una vez cumplido el plazo de conservación establecido.

Retención y plazos de conservación

El RGPD exige que los datos no se conserven más tiempo del necesario para la finalidad del tratamiento. Los plazos de conservación de los registros de llamadas son configurables según la política de la clínica. La clínica es responsable de definir y documentar esos plazos en su registro de actividades de tratamiento. Recepcionista Dental aplica los plazos que la clínica establezca y elimina los datos cuando el tratamiento finaliza o se solicita su supresión.

Subencargados tecnológicos

El servicio de recepción automatizada se apoya en proveedores tecnológicos especializados (síntesis y reconocimiento de voz, infraestructura cloud, procesamiento de lenguaje natural). Estos proveedores actúan como subencargados del tratamiento, conforme al art. 28.4 del RGPD. La relación con cada subencargado está regulada mediante acuerdos de tratamiento de datos que imponen las mismas obligaciones de confidencialidad y seguridad exigibles al encargado principal. La clínica puede solicitar información sobre los subencargados utilizados.

Derechos de los interesados

Los pacientes cuyas llamadas gestiona el sistema conservan todos los derechos reconocidos por el RGPD frente a la clínica como responsable del tratamiento:

• Derecho de acceso — conocer qué datos se tratan y con qué finalidad.
• Derecho de rectificación — corregir datos inexactos.
• Derecho de supresión (eliminación) — solicitar la eliminación de los datos cuando ya no sean necesarios o se retire el consentimiento.
• Derecho a la limitación del tratamiento — restringir el uso de los datos en determinadas circunstancias.
• Derecho de oposición — oponerse al tratamiento en los supuestos previstos por la ley.

Las solicitudes de ejercicio de derechos dirigidas a Recepcionista Dental como encargado del tratamiento se remitirán a la clínica responsable para su resolución. La clínica dispone de los mecanismos necesarios para dar respuesta en los plazos establecidos por el RGPD.

Medidas técnicas y organizativas

Recepcionista Dental aplica medidas técnicas y organizativas orientadas a garantizar un nivel de seguridad adecuado al riesgo del tratamiento. Entre ellas:

• Cifrado de los datos en tránsito (TLS) y en reposo.
• Acceso restringido a los datos mediante controles de autenticación.
• Eliminación de datos conforme a los plazos configurados por la clínica.
• Acuerdos de tratamiento de datos con todos los subencargados tecnológicos.

Estas medidas se documentan y revisan periódicamente. No se realizan afirmaciones absolutas sobre la ausencia de riesgos: ningún sistema de tratamiento de datos puede garantizar la eliminación total de riesgos de seguridad. Para una descripción detallada de la arquitectura, la separación entre clínicas y el control de acceso, consulta la página de seguridad y protección de datos.

Cómo trabaja Recepcionista Dental con los datos

Recepcionista Dental actúa como encargado del tratamiento conforme al art. 28 del RGPD. Eso implica que:

• Los datos de los pacientes pertenecen y son controlados por la clínica, no por Recepcionista Dental.
• Se firma un contrato de encargado de tratamiento antes del inicio del servicio.
• Los datos se transmiten cifrados en tránsito y se almacenan cifrados en reposo.
• Los plazos de conservación son configurables según la política de cada clínica.
• No se utilizan los datos de pacientes para ningún fin distinto al de la prestación del servicio a la clínica.
• La eliminación de datos se ejecuta cuando finaliza el contrato o cuando la clínica lo solicita.

Para más información sobre el tratamiento de los datos del sitio web, consulta la Política de Privacidad.

Para conocer en detalle las funciones del sistema de recepción y sus requisitos de cumplimiento, consulta la guía completa sobre la recepcionista virtual para clínica dental.

Contrato de encargado de tratamiento

Recepcionista Dental actúa como encargado del tratamiento conforme al artículo 28 del RGPD. Antes de la activación del servicio se firma un contrato de encargado de tratamiento con cada clínica.

Preguntas frecuentes

¿Los pacientes saben que hablan con una IA? +

El sistema actúa con transparencia y nunca se presenta falsamente como una persona. Cuando corresponde, informa de que se trata de una asistente virtual especializada en gestión telefónica y atención administrativa.

Nota importante

Esta página tiene carácter informativo y orientativo. No constituye asesoramiento jurídico. Cada clínica debe evaluar su situación específica con el apoyo de un delegado de protección de datos (DPD) o asesor jurídico especializado en protección de datos sanitarios.