Una clínica puede usar un agente de IA para atender llamadas y agendar citas sin incumplir el RGPD, siempre que respete cuatro condiciones: tener una base jurídica adecuada para tratar los datos, firmar un contrato de encargado del tratamiento con el proveedor, informar al paciente y aplicar medidas de seguridad proporcionadas a que se manejan datos de salud. La legalidad no la decide la tecnología, sino cómo se implementa.
El punto de partida es que los datos de una clínica no son datos personales corrientes. Son datos de salud, una categoría con protección reforzada, y eso condiciona todo lo demás.
Esta guía es orientativa y práctica, no un dictamen jurídico. Recorre lo esencial para contratar un agente de IA con cabeza, pero cada clínica tiene su caso particular: para una valoración concreta conviene contar con un delegado de protección de datos o con asesoría especializada.
Por qué los datos de una clínica son "categoría especial"
El RGPD distingue entre datos personales corrientes y categorías especiales de datos, sometidas a una protección mucho más estricta. Los datos de salud están en el segundo grupo.
Qué dice el artículo 9 del RGPD
El artículo 9 del RGPD regula el tratamiento de las categorías especiales de datos personales. Entre ellas incluye expresamente los datos relativos a la salud. Y establece, como regla general, una prohibición: estos datos no se pueden tratar, salvo que se aplique alguna de las excepciones que el propio artículo 9.2 enumera.
Dicho de otro modo: para los datos normales basta con tener una base de licitud; para los datos de salud hay que tener, además, una de esas excepciones que levantan la prohibición.
Qué se considera dato de salud en una clínica
No solo el diagnóstico. Se considera dato de salud cualquier dato personal que aporte información sobre el estado de salud físico o mental de una persona, pasado, presente o futuro. En una llamada a una clínica, eso aparece enseguida: el motivo de la consulta, el tratamiento que sigue el paciente, la especialidad solicitada o incluso el simple hecho de que alguien es paciente de un determinado centro.
IDEA CLAVE
Que una persona sea paciente de una clínica de fisioterapia, de salud mental o de cualquier especialidad es, en sí mismo, un dato de salud. Por eso la cautela empieza antes del diagnóstico: cualquier sistema que gestione esas llamadas trata categoría especial desde la primera frase.
Qué base jurídica usar para tratar esos datos
Para tratar datos de salud hacen falta dos piezas encajadas: una base de licitud del artículo 6 y una excepción del artículo 9.2 que levante la prohibición general.
La excepción habitual en el ámbito sanitario
El artículo 9.2 contempla varias excepciones. En el contexto de una clínica, la más relevante suele ser la relativa a fines de medicina preventiva, diagnóstico médico y prestación de asistencia o tratamiento sanitario —la letra h del artículo 9.2—. La Agencia Española de Protección de Datos recoge estas bases de legitimación en su información para responsables del tratamiento.
El consentimiento explícito del paciente es otra de las vías posibles. Cuál encaja en cada clínica y para cada finalidad concreta —agendar una cita es distinto de enviar comunicaciones comerciales— es justamente el tipo de análisis que conviene revisar con asesoría especializada.
El principio de minimización: pide solo lo necesario
El RGPD obliga a tratar únicamente los datos necesarios para la finalidad. Aplicado a un agente de IA: si la finalidad es agendar una cita, el agente necesita el nombre, un teléfono de contacto y el motivo general de la visita. No necesita el historial clínico completo ni detalles que no usará. Un sistema bien diseñado pide lo justo y nada más.
El proveedor de IA como encargado del tratamiento
Cuando una clínica contrata un agente de IA externo —lo que muchos centros llaman una recepcionista virtual—, aparece una segunda figura jurídica que hay que definir bien.
Quién es responsable y quién es encargado
La clínica es la responsable del tratamiento: decide para qué se tratan los datos de sus pacientes y cómo. El proveedor del agente de IA trata esos datos por cuenta de la clínica y siguiendo sus instrucciones, así que es el encargado del tratamiento.
El contrato del artículo 28
El artículo 28 del RGPD exige que esa relación se formalice mediante un contrato de encargado del tratamiento. Ese contrato regula qué datos se tratan, con qué finalidad, durante cuánto tiempo, qué medidas de seguridad se aplican y qué pasa con los datos al terminar la relación.
El mismo artículo impone una obligación a la clínica: elegir un encargado que ofrezca garantías suficientes de cumplimiento. No vale contratar a cualquiera; hay que comprobar que el proveedor toma en serio la protección de datos.
Antes de firmar, pide el contrato de encargado del tratamiento, pregunta dónde se alojan los datos y los servidores, qué subencargados intervienen, qué se hace con las grabaciones y durante cuánto tiempo se conservan. Un proveedor serio responde a esto sin rodeos. Si esquiva las preguntas, es una señal.
Un agente de voz pensado para clínicas españolas
Recepción 24/7 atiende llamadas y agenda citas con infraestructura en la UE. Te explicamos sin rodeos cómo se tratan los datos y firmamos el contrato de encargado.
Ver cómo funciona Recepción 24/7 →Qué hay que contar al paciente
La transparencia es uno de los pilares del RGPD. El paciente tiene derecho a saber qué pasa con sus datos.
La información del artículo 13
Cuando se recogen datos de una persona, el artículo 13 del RGPD exige informarle de una serie de cosas: la identidad del responsable (la clínica), la finalidad del tratamiento, la base jurídica, los posibles destinatarios de los datos y los derechos que puede ejercer (acceso, rectificación, supresión, etcétera).
Esta información suele vivir en la política de privacidad de la clínica. Puedes ver un ejemplo de cómo se estructura en nuestra propia política de privacidad.
Información escalonada en una llamada
En una llamada telefónica no se puede leer al paciente una política de privacidad entera. La práctica admitida es la información por capas: un aviso breve y claro al inicio de la llamada —quién trata los datos, con qué fin, si se graba— y un acceso posterior a la información ampliada, por ejemplo remitiendo a la web de la clínica.
Avisar de que se habla con una IA
Que el interlocutor sepa que está hablando con un asistente automático y no con una persona es una buena práctica de transparencia. Además, el Reglamento de IA de la UE introduce obligaciones específicas de transparencia para los sistemas de IA que interactúan con personas. Lo tratamos en la guía sobre la Ley de IA de la UE para pymes. Lo razonable es que el agente lo indique al inicio.
Grabaciones de llamadas: cuándo se pueden y cuándo no
Grabar las llamadas puede ser útil para calidad o para dejar constancia, pero no es algo que se pueda hacer sin más.
Las tres condiciones
Para grabar una llamada con datos de un paciente deben darse, como mínimo, tres condiciones:
- Base jurídica: una razón legítima que justifique la grabación, no grabar "porque sí".
- Proporcionalidad: la grabación debe responder a una finalidad concreta y no ir más allá de lo necesario para esa finalidad.
- Información previa: el paciente debe ser informado antes de que la grabación tenga lugar.
La AEPD admite que esa información se facilite de forma escalonada: un aviso breve al inicio de la llamada y acceso posterior a información ampliada, un criterio que la agencia ha aplicado en distintos pronunciamientos sobre grabación de llamadas.
Qué no hacer
No se debe grabar por defecto todas las llamadas sin una finalidad clara, ni conservar las grabaciones de forma indefinida. Hay que fijar un plazo de conservación razonable y vinculado a la finalidad, y suprimir las grabaciones cuando ese plazo vence. Si el agente de IA no necesita grabar para funcionar, la opción más prudente es no grabar.
Checklist para contratar un agente de IA conforme
Reuniendo todo lo anterior, esto es lo que conviene revisar antes de poner en marcha un agente de IA en una clínica.
| Punto a revisar | Qué comprobar |
|---|---|
| Base jurídica | Tener identificada la base de licitud y la excepción del art. 9.2 para cada finalidad (agendar, recordar, etc.). |
| Contrato de encargado | Contrato del art. 28 firmado con el proveedor, con finalidades, plazos y medidas de seguridad. |
| Ubicación de los datos | Saber dónde se alojan los datos y los servidores, y qué subencargados intervienen. |
| Información al paciente | Aviso por capas en la llamada y política de privacidad actualizada con esta finalidad. |
| Grabaciones | Decidir si se graba; si se graba, base jurídica, aviso previo y plazo de conservación definido. |
| Minimización | El agente pide solo los datos necesarios para agendar, no más. |
| Evaluación de impacto | Valorar con asesoría si el tratamiento exige una evaluación de impacto (alto riesgo). |
| Derechos del paciente | Tener un canal claro para que el paciente ejerza acceso, rectificación o supresión. |
Si tu clínica trabaja con un agente de IA, puedes apoyarte en un proyecto de automatizaciones e integraciones para que el flujo de datos entre el agente, la agenda y la ficha del paciente esté bien diseñado desde el principio, también desde el punto de vista de protección de datos.
Preguntas frecuentes
¿Es legal usar un agente de IA para atender el teléfono de una clínica?
Sí, usar un agente de IA para gestionar la atención telefónica de una clínica es legal, siempre que se cumpla el RGPD. Eso implica tener una base jurídica adecuada para tratar los datos, firmar un contrato de encargado del tratamiento con el proveedor del agente, informar a los pacientes y aplicar medidas de seguridad acordes a que se manejan datos de salud, que son categoría especial. La legalidad no depende de la tecnología, sino de cómo se implementa.
¿Por qué los datos de una clínica son categoría especial?
El artículo 9 del RGPD clasifica los datos relativos a la salud como categoría especial de datos personales y, por defecto, prohíbe su tratamiento salvo que se aplique una de las excepciones del propio artículo 9.2. Los datos de una clínica revelan información sobre el estado de salud físico o mental de una persona, por lo que reciben esa protección reforzada. No basta con la base jurídica general: hay que apoyarse además en una de esas excepciones.
¿El proveedor del agente de IA es responsable o encargado del tratamiento?
Normalmente es encargado del tratamiento. La clínica decide para qué y cómo se usan los datos, así que es la responsable del tratamiento. El proveedor del agente de IA trata esos datos por cuenta de la clínica y siguiendo sus instrucciones, lo que lo convierte en encargado. El artículo 28 del RGPD exige formalizar esa relación mediante un contrato de encargado del tratamiento.
¿Hay que avisar al paciente de que habla con una inteligencia artificial?
Es una buena práctica recomendable y, además, la transparencia sobre el uso de IA conversacional es una exigencia que introduce el Reglamento de IA de la UE. Con independencia de ese reglamento, el RGPD obliga a informar de quién trata los datos y con qué fin. Lo razonable es que el agente indique al inicio de la llamada que es un asistente automático y que la llamada puede grabarse, si se graba.
¿Se pueden grabar las llamadas de los pacientes?
Solo si hay una base jurídica que lo justifique, la grabación es proporcionada a una finalidad concreta y se informa al paciente antes de grabar. La información se puede dar de forma escalonada: un aviso breve al inicio de la llamada y acceso a información ampliada después. No se debe grabar por defecto ni conservar las grabaciones indefinidamente; hay que definir un plazo y una finalidad claros.
¿Necesito una evaluación de impacto para usar un agente de IA?
Puede ser necesaria. El RGPD exige una evaluación de impacto relativa a la protección de datos cuando un tratamiento entraña un alto riesgo para los derechos de las personas, algo más probable cuando se tratan datos de salud a gran escala o con tecnologías nuevas. Si tu clínica no cuenta con un delegado de protección de datos o asesoría especializada, lo prudente es consultarlo antes de implantar el sistema.
Conclusión — cómo plantear el cumplimiento según tu clínica
El RGPD no prohíbe usar agentes de IA en una clínica; exige hacerlo con orden. La diferencia entre un sistema conforme y uno problemático está en la preparación, no en la tecnología.
Si todavía estás valorando si dar el paso: empieza por entender que tratas datos de categoría especial y que necesitarás base jurídica, contrato de encargado e información al paciente. No es un obstáculo insalvable, pero tampoco un trámite que se improvise.
Si ya has decidido contratar un agente de IA: usa el checklist de este artículo como guion de la conversación con el proveedor. Exige el contrato de encargado, pregunta dónde están los datos y decide con criterio si grabas o no las llamadas.
Si tu clínica trata un volumen alto de datos o tiene dudas concretas: consúltalo con un delegado de protección de datos o con asesoría jurídica especializada antes de implantar el sistema. Este artículo orienta; tu caso particular merece una revisión específica.
Hecho con cabeza, un agente de IA es perfectamente compatible con el respeto a la privacidad de los pacientes. El trabajo está en la implantación.
¿Quieres un agente de voz que respete la privacidad de tus pacientes?
Te explicamos sin rodeos cómo se tratan los datos en Recepción 24/7 y qué necesitas para que el cumplimiento esté cubierto desde el primer día.