IA GDPR-Compliant para
Clínicas y Centros de Salud
en España (2026)
El RGPD y el EU AI Act no son un coste extra. Son el motivo por el que tus pacientes pueden confiar en tu clínica. Los chatbots de SAPIENSDATAAI son FAQ bots: solo responden horarios, servicios y precios. No procesan datos clínicos. Riesgo BAJO en EU AI Act. Hosting 100% en la UE.
El problema real: la mayoría de chatbots SaaS para clínicas almacenan datos en servidores de EEUU, carecen de DPA y no identifican al usuario que está hablando con una IA. Tres incumplimientos simultáneos con multas acumuladas de hasta 35 millones de euros.
Por qué el compliance es una ventaja competitiva, no un coste
Una clínica que puede demostrar a sus pacientes que su IA no toca datos clínicos, está alojada en Europa y cumple el EU AI Act tiene un argumento de confianza que ningún chatbot SaaS americano puede replicar.
Sin datos a EEUU
Hosting Hetzner Frankfurt. Ningún dato abandona la UE. Schrems II cumplido de fábrica.
FAQ bots, no clínica digital
Horarios, servicios y precios. Sin historial clínico. GDPR Art. 9 no aplica. Riesgo EU AI Act: BAJO.
DPA incluido en el contrato
Firmado antes del primer día. Documentación técnica lista para auditoría AEPD.
Qué exige el RGPD para IA en centros de salud
El Reglamento General de Protección de Datos (RGPD) clasifica los datos de salud como categoría especial (Art. 9). Cualquier sistema que los procese necesita base legal explícita, medidas técnicas reforzadas y contratos específicos con proveedores.
Datos de salud = categoría especial (Art. 9)
Diagnósticos, medicación, historiales clínicos e incluso la mera solicitud de cita para ciertos especialistas pueden considerarse datos de salud. Procesarlos sin base legal explícita es una infracción grave.
Contrato de encargado de tratamiento (Art. 28)
Cualquier proveedor tecnológico que acceda a datos de pacientes debe firmar un DPA antes de empezar. Sin él, la clínica responde solidariamente de los incumplimientos del proveedor.
Transferencias internacionales (Cap. V)
Desde la sentencia Schrems II (2020), transferir datos a EEUU sin mecanismo legal válido es ilegal. Los servidores en EEUU de proveedores SaaS son el vector de riesgo más frecuente en clínicas.
Seguridad técnica y organizativa (Art. 32)
Cifrado en tránsito (TLS) y en reposo, control de acceso por rol, logs de auditoría y política de retención de datos son obligatorios, no opcionales.
Qué exige el EU AI Act para clínicas
El Reglamento Europeo de IA (2024/1689) clasifica los sistemas según riesgo. Para clínicas con FAQ bots el impacto es mínimo. Para sistemas de diagnóstico asistido por IA, las obligaciones son sustanciales.
Riesgo BAJO / MÍNIMO
Ejemplos
FAQ bots de horarios, servicios y precios. Automatización de agendas.
Obligaciones
Solo aviso de interacción IA al inicio de la conversación. Sin certificación adicional.
Chatbots SAPIENSDATAAI → aquí.
Riesgo ALTO
Ejemplos
Sistemas de diagnóstico asistido, triaje clínico con IA, decisiones sobre tratamientos.
Obligaciones
Documentación técnica exhaustiva, evaluación de conformidad, registro en base de datos EU, supervisión humana obligatoria.
SAPIENSDATAAI NO implementa sistemas de diagnóstico.
Cómo lo cumplimos: requisito por requisito
Cada chatbot de SAPIENSDATAAI se entrega con documentación de cumplimiento. Esta tabla resume los requisitos aplicables, cómo los cubrimos y qué ocurre si no se cumplen.
| Requisito legal | Cómo lo cumplimos | Si no se cumple |
|---|---|---|
Datos alojados en la UE | Servidores Hetzner (Frankfurt). Sin transferencias a EEUU. | Transferencia ilegal (Art. 44-49 RGPD). Multa hasta 20M€. |
Contrato DPA (Art. 28 RGPD) | DPA incluido en todos los contratos antes del inicio. | Infracción grave. Multa hasta 10M€ o 2% facturación global. |
No procesamiento datos Art. 9 (salud) | FAQ bots solo gestionan horarios/servicios/precios. Sin historial clínico. | Categoría especial sin base legal → multa hasta 20M€. |
Aviso interacción IA (EU AI Act Art. 52) | Mensaje de bienvenida indica claramente que es un asistente IA. | Multa hasta 7,5M€ o 1,5% facturación global. |
Clasificación riesgo EU AI Act | Riesgo BAJO/LIMITADO documentado. Sin diagnóstico clínico. | Sin clasificación = incumplimiento obligaciones agosto 2026. |
Cifrado en tránsito y en reposo | TLS 1.3 en tránsito. AES-256 en reposo. Certificados válidos. | Violación medidas seguridad (Art. 32 RGPD). Multa hasta 10M€. |
Registro de actividades de tratamiento | RAT actualizado e incluido en documentación de entrega. | Infracción formal. Sanción hasta 10M€ o 2% facturación. |
Caso real: de chatbot genérico a GDPR-compliant en 11 días
Una clínica dental española con 3 centros y unas 600 citas mensuales usaba un chatbot SaaS con servidores en Irlanda (filial UE de empresa americana). Al revisar los términos de servicio descubrieron que los datos podían accederse desde EEUU bajo la Cloud Act, y que no tenían DPA firmado con el proveedor.
Situación inicial
- ·Chatbot SaaS sin DPA
- ·Servidores con acceso potencial desde EEUU
- ·Sin aviso de interacción IA
- ·Sin clasificación de riesgo EU AI Act
Migración (11 días)
- ·Auditoría de flujos existentes
- ·Replicación FAQ en infraestructura EU
- ·DPA firmado antes del go-live
- ·Aviso IA integrado en bienvenida
Resultado
- ·Riesgo RGPD: eliminado
- ·EU AI Act: documentado (riesgo bajo)
- ·Mismo tiempo de respuesta (<2s)
- ·Sin interrupción de servicio al paciente
* Caso anonimizado. Clínica real en España. Datos aproximados para proteger la confidencialidad del cliente.
7 preguntas que hacerle a tu proveedor de IA antes de contratar
Si tu proveedor no puede responder estas 7 preguntas con documentación, estás asumiendo el riesgo regulatorio tú solo.
¿Dónde están los servidores? ¿Están en la UE o en EEUU?
Las transferencias fuera de la UE sin mecanismo legal válido son ilegales bajo el RGPD.
¿El contrato incluye un DPA (Data Processing Agreement) firmado?
Sin DPA, la clínica incumple el Art. 28 RGPD desde el primer día.
¿El chatbot accede o almacena datos clínicos, diagnósticos o medicación?
Los datos de salud son categoría especial (Art. 9). Procesarlos requiere base legal específica.
¿El sistema avisa al paciente que está hablando con una IA?
Obligatorio desde agosto 2026 (EU AI Act Art. 52). Multa hasta 7,5M€ sin aviso.
¿El proveedor tiene documentación técnica del sistema IA disponible?
El EU AI Act exige documentación técnica para auditorías de la AEPD o autoridades de mercado.
¿Qué subencargados (modelos IA, CDN, analytics) procesan los datos?
Cada subencargado fuera de la UE puede generar una transferencia ilegal independiente.
¿El proveedor puede entregar el código fuente o los datos si quieres cambiarte?
El RGPD reconoce el derecho a la portabilidad. El lock-in tecnológico puede impedirlo.
¿Quieres el checklist en PDF para compartir con tu equipo?
Solicítalo en la auditoría gratuita y te lo enviamos junto con el análisis de tu situación actual.
Solicitar auditoría + checklist PDFPreguntas frecuentes sobre IA GDPR-compliant en salud
¿Los chatbots de SAPIENSDATAAI procesan datos de salud del paciente?
No. Los chatbots que implantamos son FAQ bots: responden preguntas sobre horarios, servicios, precios y cómo llegar. No tienen acceso al historial clínico, diagnósticos, recetas ni ningún dato clasificado como "categoría especial" bajo el RGPD (Art. 9). Al no procesar datos de salud, el nivel de riesgo en el EU AI Act es BAJO y las obligaciones son mínimas: aviso de interacción IA y documentación básica.
¿Dónde se almacenan los datos que recoge el chatbot?
En servidores dentro de la Unión Europea (Hetzner, Frankfurt o equivalente EU-hosted). Ningún dato abandona el territorio de la UE. No utilizamos infraestructura de AWS us-east, Azure US ni Google Cloud US. Esto cumple el requisito de transferencias internacionales del RGPD (Cap. V) sin necesitar cláusulas contractuales tipo (SCCs) adicionales.
¿Qué es el EU AI Act y qué implica para una clínica dental o médica?
El Reglamento UE 2024/1689 (EU AI Act) clasifica los sistemas de IA según su nivel de riesgo. Para las clínicas, lo relevante es: (1) Los chatbots FAQ de horarios/servicios son riesgo BAJO o LIMITADO — solo requieren aviso de interacción IA. (2) Los sistemas de diagnóstico clínico asistido por IA son riesgo ALTO — requieren certificación y documentación exhaustiva. Las obligaciones para sistemas de riesgo limitado entran en vigor el 2 de agosto de 2026. Multas por incumplimiento: hasta 7,5M€ o 1,5% facturación global para obligaciones de transparencia.
¿Necesito un DPA (contrato de encargado de tratamiento) con SAPIENSDATAAI?
Sí, y lo incluimos en todos nuestros contratos. El DPA formaliza que SAPIENSDATAAI actúa como encargado del tratamiento según el Art. 28 RGPD, define las instrucciones de tratamiento, las medidas de seguridad aplicadas y los subencargados involucrados (modelos de IA, infraestructura). La clínica mantiene la condición de responsable del tratamiento. El DPA se firma antes de iniciar cualquier proyecto.
¿Qué pasa si mi clínica usa un chatbot SaaS americano sin DPA?
Es una infracción del RGPD que puede acarrear multas de hasta el 4% de la facturación anual global o 20M€ (el importe mayor). Adicionalmente, si el chatbot transfiere datos a EEUU sin mecanismo legal válido (Schrems II), la AEPD puede ordenar la suspensión del tratamiento. Desde agosto 2026, añade el incumplimiento del EU AI Act (falta de aviso de interacción IA y documentación técnica). La combinación de ambas normativas eleva el riesgo regulatorio sustancialmente.
¿Tu chatbot actual cumple RGPD y EU AI Act?
Analizamos tu situación actual en 30 minutos. Te decimos exactamente qué cumple, qué no y qué riesgo real tienes. Sin tecnicismos, con cifras reales.
