RGPD y fotos de pacientes: lo que tu clínica debe tener atado
Tu clínica vive de la imagen (antes/después, historia clínica fotográfica, redes) y cada una de esas fotos es un dato personal de los delicados. La buena noticia: cumplir es sobre todo cuestión de orden, no de dejar de hacer cosas. Esta guía repasa lo esencial sin jerga.
Por qué una foto clínica es un dato delicado
Una fotografía de la cara identifica a la persona; hecha en una clínica, además, revela información de salud: qué le preocupa, qué tratamiento busca o ha recibido. Eso la coloca en el terreno del artículo 9 del RGPD, el de las “categorías especiales de datos”, donde la regla general es que el tratamiento está prohibido salvo excepciones, y la excepción que usarás casi siempre es el consentimiento explícito.
“Explícito” tiene consecuencias prácticas: no vale el consentimiento tácito, ni una casilla premarcada, ni un “al continuar aceptas”. Hace falta una acción afirmativa clara del paciente, documentada, para una finalidad concreta.
Una finalidad, una casilla
El error más común en clínicas es el consentimiento “paraguas”, y casi nunca por mala fe. Un solo documento donde el paciente lo acepta todo (la historia clínica, las fotos, el marketing) no vale, porque el RGPD exige que el consentimiento sea específico. En la práctica:
- Fotografía clínica (documentar el tratamiento y su evolución): su propia casilla.
- Publicación (web, redes, material comercial): otra casilla, separada, y con la posibilidad real de decir que no sin que pase nada.
- Comunicaciones comerciales: otra distinta.
Y el reverso: el consentimiento se puede revocar. Necesitas saber qué fotos tienes, dónde, y poder retirarlas de la web, de las redes y del disco compartido de la clínica cuando una paciente lo pida.
Cuánto tiempo puedes (y debes) guardarlas
La fotografía integrada en la historia clínica sigue los plazos de conservación de la documentación sanitaria de tu comunidad autónoma. Pero la copia que vive en el móvil de la doctora, en un WhatsApp o en una carpeta de marketing no tiene esa cobertura: es una copia con otra finalidad, y cada finalidad necesita su base y su plazo. La disciplina que funciona es simple: las fotos viven en un único sitio controlado, y todo lo demás son excepciones justificadas y temporales.
Herramientas externas: el contrato del artículo 28
Casi toda clínica usa hoy software que toca fotos de pacientes: el programa de gestión, la nube donde se hacen copias, o herramientas como un simulador de resultados. En todos los casos el esquema legal es el mismo: tu clínica es la responsable del tratamiento y el proveedor es tu encargado, y esa relación exige un contrato conforme al artículo 28 del RGPD que fije para qué se usan los datos, cuánto se conservan, qué subencargados hay y con qué garantías.
Es también tu mejor filtro de compra: un proveedor serio te pone ese contrato delante antes de que lo pidas, te explica dónde se procesan las imágenes y qué pasa con ellas después. En Visualait, por ejemplo, la paciente consiente de forma explícita antes de simular, las fotos se borran automáticamente tras la entrega del resultado y el contrato de encargo forma parte del alta de cada clínica, porque asumimos que la primera pregunta de tu asesor será esa.
Los cinco errores que más se repiten
- El consentimiento paraguas: una firma para todo. Específico por finalidad o no es consentimiento.
- El antes/después “anonimizado” con una franja en los ojos: si la paciente es reconocible (y casi siempre lo es: tatuajes, lunares, contexto), sigue siendo dato personal.
- Fotos clínicas en móviles personales: fuera del control de la clínica, sin cifrado, sincronizadas con nubes personales. Es la fuga más habitual.
- Publicar con permiso verbal: sin registro, no puedes acreditar nada, y la carga de la prueba es tuya.
- Herramientas sin contrato de encargo: apps gratuitas o servicios de consumo donde ni siquiera sabes en qué país acaba la imagen.
Preguntas frecuentes
¿Una foto de la cara de un paciente es un dato biométrico?
Una fotografía es dato biométrico en sentido estricto cuando se procesa con medios técnicos que permiten identificar de forma unívoca a la persona (por ejemplo, reconocimiento facial). Pero aunque no llegue a serlo, una foto clínica revela información de salud (qué tratamiento busca o recibe el paciente), y eso ya la sitúa entre las categorías especiales del artículo 9 del RGPD, que exigen consentimiento explícito.
¿Vale el consentimiento general que firma el paciente al darse de alta?
No. El consentimiento debe ser específico por finalidad: una casilla para el tratamiento clínico, otra para hacer y conservar fotografías, y otra distinta si quieres publicarlas en redes o web. Casillas separadas, sin premarcar, y revocables en cualquier momento.
¿Puedo publicar antes/después en Instagram con el permiso verbal de la paciente?
No. La publicación en redes es una finalidad propia que exige consentimiento explícito y documentado, separado del consentimiento clínico. El permiso verbal no te permite acreditarlo, y la carga de la prueba es tuya. Además, la paciente puede revocarlo: necesitas un proceso para retirar el contenido cuando eso ocurra.
Si uso una herramienta externa que procesa fotos, ¿quién responde?
Tu clínica sigue siendo la responsable del tratamiento; el proveedor es encargado. Necesitas firmar con él un contrato de encargo conforme al artículo 28 del RGPD que fije finalidad, conservación, subencargados y garantías. Si el proveedor no te ofrece ese contrato, esa es toda la información que necesitas sobre ese proveedor.