RGPD y agentes de IA en clínicas dentales: lo que necesitas saber

La pregunta que más nos hacen los dueños de clínica dental cuando hablamos de automatización con IA no es sobre el precio ni sobre cómo funciona. Es esta: ¿puedo hacer esto legalmente con los datos de mis pacientes?

La respuesta corta es sí. Pero con matices que vale la pena entender antes de contratar cualquier herramienta.

Este artículo es una guía práctica, no asesoramiento legal. Si tienes dudas específicas sobre tu situación, consulta con un especialista en protección de datos del sector sanitario.

Por qué los datos de una clínica dental son especiales

El RGPD distingue entre datos personales normales (nombre, teléfono, email) y datos de categoría especial. Los datos de salud están en la segunda categoría, junto con datos genéticos, biométricos, religiosos o de orientación sexual.

Eso no significa que no puedas tratarlos. Significa que el listón es más alto: necesitas una base legal más sólida para procesarlos, y las obligaciones de seguridad son mayores.

Cuando un paciente te escribe por WhatsApp preguntando por un implante, ya estás gestionando datos de salud. El nombre del paciente asociado a una consulta sobre odontología es, a efectos legales, un dato de salud. Esto aplica aunque la conversación no haya llegado a ningún diagnóstico.

Qué implica usar un chatbot o agente de IA

Cuando conectas una herramienta de automatización a tu WhatsApp o Instagram, esa herramienta procesa las conversaciones de tus pacientes. Dependiendo de cómo esté configurada, esos datos pueden:

Quedarse en tu infraestructura: si usas herramientas self-hosted (como n8n instalado en tu propio servidor), los datos de la conversación no salen de tu entorno. Solo salen los fragmentos de texto que se envían a la API del modelo de IA (OpenAI, Anthropic, etc.) para generar la respuesta, que también tienen sus propias políticas de privacidad.

Pasar por servidores de terceros: si usas plataformas en la nube como Manychat, Tidio, ManyChat u otras similares, las conversaciones de tus pacientes se almacenan en sus servidores. Técnicamente, eso los convierte en encargados del tratamiento y debes tener firmado un contrato de encargo de tratamiento (DPA) con ellos.

El problema real: la mayoría de clínicas que usan plataformas de chatbot en la nube no tienen firmado ningún DPA con el proveedor, no mencionan el uso de IA en su política de privacidad y no han informado a sus pacientes de que sus conversaciones son procesadas por un sistema automatizado. Si la AEPD (Agencia Española de Protección de Datos) revisara esto, habría problemas.

Lo que exige el RGPD en la práctica

No voy a reproducir el texto legal porque no ayuda a nadie. Voy a decirte qué tienes que hacer en términos prácticos si quieres usar automatización con IA en tu clínica y hacerlo bien:

✓ Actualizar tu política de privacidad. Tienes que mencionar que usas sistemas automatizados para gestionar consultas, qué datos recoges en esas conversaciones y cómo los tratas. Si usas un proveedor externo, tienes que indicarlo.
✓ Firmar un DPA con tu proveedor de IA. Si el proveedor almacena datos de tus pacientes en sus servidores, necesitas un contrato de encargo de tratamiento. La mayoría de plataformas serias tienen uno disponible. Si tu proveedor no sabe qué es un DPA, cambia de proveedor.
✓ Informar al paciente. Cuando alguien contacta con tu clínica por WhatsApp, debe saber (o poder saber fácilmente) que sus datos se gestionan con herramientas automatizadas. No es obligatorio que el agente se identifique como IA en cada mensaje, pero sí que esa información esté disponible.
✓ Limitar los datos que procesas. El agente solo debería recoger la información necesaria para gestionar la consulta: nombre, teléfono, qué tratamiento le interesa. No necesita más.
✓ Tener claro dónde se almacenan los datos. ¿En España? ¿En la UE? ¿En Estados Unidos? Si los datos salen de la UE, hay requisitos adicionales. OpenAI y Anthropic tienen procesos para esto, pero tienes que conocerlos.

La opción que minimiza el riesgo: infraestructura propia

La forma más segura de usar IA en tu clínica desde el punto de vista del RGPD es con herramientas self-hosted. El ejemplo más práctico es n8n instalado en un servidor propio o en un servidor europeo dedicado.

Con esta configuración, los datos de la conversación (nombre del paciente, número de teléfono, qué tratamiento pregunta) se quedan en tu servidor. Lo único que sale es el texto que se envía al modelo de IA para generar la respuesta — y eso puede minimizarse enviando solo lo necesario, sin incluir datos identificativos si no son necesarios para la respuesta.

No elimina el riesgo por completo (sigues usando APIs externas), pero lo reduce considerablemente y simplifica mucho el cumplimiento.

Qué pasa si no haces nada de esto

Siendo honesto: la probabilidad de que la AEPD inspeccione una clínica dental pequeña por cómo gestiona sus chatbots es baja. Las inspecciones reactivas (tras una denuncia) son más frecuentes que las proactivas.

Pero hay razones más prácticas para hacerlo bien que el miedo a una multa. Los pacientes de medicina privada — que son los que acuden a clínicas dentales independientes — tienen mayor conciencia sobre privacidad que la media. Si un paciente pregunta cómo gestionas sus datos y no tienes una respuesta clara, eso genera desconfianza. Y en un sector donde la confianza es todo, eso importa.

La pregunta que deberías hacerle a tu proveedor

Antes de contratar cualquier solución de automatización para tu clínica, pregunta esto: ¿dónde se almacenan los datos de las conversaciones de mis pacientes y qué documentación me proporcionas para el cumplimiento del RGPD?

Si la respuesta es vaga, si no saben qué es un DPA o si te dicen que "no os preocupéis por eso", preocúpate. Un proveedor serio tiene respuestas claras a esta pregunta.

¿Quieres saber cómo gestionamos el RGPD en Nikia?

Usamos n8n self-hosted. Te explicamos exactamente qué datos salen de tu entorno y qué no, y te proporcionamos la documentación para tu política de privacidad.

HABLAR CON NOSOTROS