Clínicas pequeñas y centros médicos: accesos internos mal controlados

Cuando se habla de sanciones GDPR en el sector sanitario, muchas clínicas pequeñas piensan:

“Eso será para hospitales grandes, no para nosotros.”

La realidad es justo la contraria.

Las clínicas pequeñas y centros médicos privados (consultas, fisioterapia, odontología, psicología, centros de diagnóstico) aparecen con frecuencia en resoluciones de la AEPD por accesos internos indebidos a datos de salud.

No se trata de ciberataques ni hackers externos.
El problema suele estar dentro.

---

1. ¿Por qué este tema es especialmente sensible?

Los datos de salud están considerados categoría especial de datos según el GDPR (art. 9).

Esto implica:

• Mayor nivel de protección
• Menor margen de error
• Mayor impacto en sanciones, incluso para pymes

? No importa el tamaño de la clínica.
La responsabilidad es la misma.

---

2.Caso 1: Accesos indebidos a historiales médicos sin justificación

2.1 Resolución AEPD: PS/00208/2021

Entidad: clínica / centro sanitario privado
Multa: 50.000 € (con atenuantes)

2.2 Qué ocurrió?

La AEPD comprobó que:

• Empleados accedían a historias clínicas que no necesitaban para su trabajo
• No existía una política clara de perfiles de acceso
• La clínica no podía justificar por qué determinadas personas habían accedido a ciertos historiales

No hubo filtración externa. El problema fue el acceso interno injustificado.

---

2.3 Error clave

• Acceso “generalizado” a historiales
• Falta de control por roles
• Ausencia de auditoría de accesos

? En muchas clínicas:

“Todos entran porque es más cómodo.”

Ese argumento no lo acepta la AEPD.

---

3. Caso 2: Falta de control interno y perfiles mal definidos

3.1 Resolución AEPD: PS/00162/2022

Entidad: pequeña clínica / centro asistencial
Multa: 10.000 €

3.2 ¿Qué detectó la AEPD?

• Sistemas informáticos sin diferenciación clara de perfiles
• Accesos no limitados por función (administración, sanitario, recepción)
• Falta de medidas organizativas documentadas

La clínica alegó que no conocía el acceso indebido, pero eso no exime responsabilidad.

---

3.3 ¿Qué artículos del GDPR se vulneraron?

En ambos casos, la AEPD aplicó principalmente:

• Art. 5 GDPR – Confidencialidad e integridad
• Art. 9 GDPR – Datos de salud
• Art. 24 GDPR – Responsabilidad del responsable
• Art. 32 GDPR – Medidas técnicas y organizativas

? No se exige software sofisticado, pero sí control real y documentado.

---

4. Errores muy comunes en clínicas pequeñas (que siguen ocurriendo)

• ❌ Todos los empleados ven todos los historiales
• ❌ Software médico sin roles personalizados
• ❌ No revisar logs de acceso
• ❌ Usuarios genéricos compartidos
• ❌ Falta de formación específica en protección de datos

Estos errores son habituales en clínicas de 1–10 empleados.

---

5. ¿Cómo se habría evitado la sanción?

Con medidas organizativas básicas, no costosas:

✔️ Definir perfiles de acceso por puesto
✔️ Limitar accesos solo a pacientes asignados
✔️ Registrar y revisar accesos
✔️ Formación específica al personal
✔️ Política interna clara y documentada

? En muchos casos, una revisión de pocas horas habría evitado miles de euros en sanción.

---

6. Lección práctica para clínicas y centros médicos

El mayor riesgo no es el hacker externo,
sino el acceso interno sin control.

La AEPD no sanciona errores técnicos aislados, sino la falta de organización y diligencia.

---

7. Checklist rápido para tu clínica

Respóndete con sinceridad:

• Cada empleado tiene su propio usuario
• No todos acceden a todos los historiales
• Existen perfiles diferenciados
• Se revisan accesos periódicamente
• El personal ha recibido formación específica

Si alguna respuesta es “no”, el riesgo es real, no teórico.

---

8. Relacionado

• Casos reales: WhatsApp y email en pymes: sanciones AEPD
• Guía práctica: Protección de datos en clínicas pequeñas

---

9. CTA suave (perfecta para este sector)

En clínicas pequeñas, los ajustes internos más simples suelen ser los que evitan las sanciones más graves.