risk · clinicas-medicas
Checklist LOPD para automatizar una clínica médica
Publicado el · por Equipo técnico de Fluxo Services · actualizado 25/5/2026
Diez puntos LOPD/RGPD que toda clínica médica debe revisar antes de automatizar recordatorios, captación o seguimiento. Validado contra guías AEPD 2024.
Automatizar recordatorios, captación y seguimiento en una clínica médica es perfectamente legal en España, pero requiere tener diez puntos bajo control antes de pulsar el botón de "activar". Esta es la lista que aplicamos en cada implantación de Fluxo Services para clínicas médicas.
El checklist
1. Consentimiento expreso documentado por canal
No vale "el paciente ya consintió a la consulta". El consentimiento es por finalidad y por canal. Si vas a mandar WhatsApp, tiene que poner literal "consiento recibir recordatorios y comunicaciones por WhatsApp" con timestamp.
2. Doble opt-in cuando proceda
La AEPD recomienda doble opt-in (confirmar por SMS o email tras el alta) para canales de alta intrusividad como WhatsApp.
3. Encargado de tratamiento firmado
Antes de tocar nada, firmar contrato de encargo de tratamiento con cada proveedor que vaya a tocar dato personal: Fluxo Services, software médico, pasarela de pago. Cláusulas obligatorias del Art. 28 RGPD.
4. Registro de actividades actualizado
Toda automatización nueva entra en el RAT (Registro de Actividades de Tratamiento) con finalidad, base legitimadora, plazo de conservación y destinatarios.
5. WhatsApp Business API, nunca personal
El WhatsApp personal del personal queda fuera. Hay que usar WhatsApp Business API (Meta) con plantillas aprobadas. Cualquier mensaje fuera de plantilla en menos de 24h desde el último contacto del paciente requiere consentimiento explícito.
6. Cifrado en tránsito y en reposo
HTTPS obligatorio (Fluxo lo trae por defecto), cifrado de base de datos en reposo, y rotación de claves al menos anual.
7. Acceso por roles
Recepción ve nombre + cita; profesional sanitario ve historial; dirección ve agregados. El sistema audita cada acceso.
8. Brechas de seguridad: protocolo de 72 horas
Si hay incidente, la clínica tiene 72h para notificar a la AEPD. El proveedor (Fluxo) tiene la obligación de notificar al responsable en menos de 24h. Definir el canal de notificación.
9. Plazos de conservación y borrado certificado
Datos de paciente activo: mientras dure la relación + plazos sanitarios legales (5 años HC). Datos de lead no convertido: 12 meses máx. Borrado con certificado.
10. Publicidad sanitaria conforme
Si vas a automatizar captación, cada landing y mensaje pasa por revisión de Ley 34/1988 General de Publicidad y normativa autonómica (Cataluña, Madrid y Andalucía tienen guías más estrictas).
Qué pasa si saltas alguno
Las sanciones de la AEPD para tratamiento sin consentimiento adecuado parten de 40.000 € y han llegado a más de 300.000 € en clínicas en 2024. El coste de implantar el checklist completo es menos del 5% de una sanción mínima.
Siguiente paso
- Revisa la solución completa para clínicas médicas.
- Pide diagnóstico LOPD gratuito (incluido en cada propuesta).
Sigue leyendo
Otros artículos sobre clinicas-medicas o con el frame risk.
decision · clinicas-medicas
Cómo elegir software para una clínica médica privada — 8 criterios
Ocho criterios para elegir software de gestión y automatización en una clínica médica privada en España, con foco en cumplimiento LOPD y volumen de pacientes.
outcome · clinicas-medicas
ROI real de automatizar una clínica médica privada pequeña
Cuánto ahorra y cuánto factura más una clínica médica de 4 profesionales tras automatizar recordatorios, captación y postventa. Cifras y modelo de cálculo.
risk · reformas
Riesgos de automatizar reformas sin control de cambios firmado
Automatizar presupuestos en reformas sin control de cambios firmado dispara conflictos contractuales y reclamaciones. Cuatro riesgos típicos y cómo blindarlos.