← Recursos

Plantillas legales

Checklist HIPAA / RGPD / LGPD

Cumplimiento práctico para clínicas dentales y centros radiológicos que manejan datos sensibles de salud

Plantilla pública

Esta lista cubre los principios comunes a HIPAA (EE.UU.), GDPR/RGPD (UE), LGPD (Brasil) y leyes equivalentes en LATAM. No reemplaza la asesoría legal específica para tu jurisdicción y modelo de negocio.

Las imágenes radiológicas y los datos clínicos de pacientes son datos sensibles de salud — la categoría más estrictamente regulada por las leyes modernas de protección de datos. Esta checklist te ayuda a auditar tu nivel de cumplimiento de forma práctica, sin jerga legal innecesaria.

Por qué importa

Una multa típica por incumplimiento de RGPD puede llegar a 20 millones de euros o el 4% de la facturación global. Bajo HIPAA, las multas civiles pueden ir de USD 100 a USD 50.000 por violación, hasta USD 1,5 millones por categoría/año. Pero más importante que las multas: la confianza del paciente. Una sola filtración de imágenes médicas puede destruir la reputación construida en años.

1. Inventario y clasificación de datos

  • Identifico qué datos sensibles de salud (PHI / categoría especial) maneja mi clínica: nombre del paciente, fecha de nacimiento, identificadores, imágenes DICOM, informes radiológicos, historia clínica, datos de seguros
  • Tengo un registro de tratamiento de datos (ROPA según GDPR Art. 30 / equivalentes locales) con: qué datos, finalidad, base legal, plazo de conservación
  • Sé dónde se almacenan físicamente los datos (servidor on-premise, nube, prestador externo, papel) y en qué jurisdicciones

2. Base legal del tratamiento

  • Cada tratamiento de datos tiene una base legal documentada (consentimiento explícito del paciente, contrato sanitario, obligación legal, interés vital)
  • Para tratamientos basados en consentimiento: el consentimiento es libre, específico, informado e inequívoco — y se puede retirar en cualquier momento
  • Los datos se usan solo para los fines declarados al paciente; cualquier uso secundario (investigación, marketing, formación) requiere base legal adicional

3. Derechos del paciente

  • Existe un canal claro para ejercer derechos (email dedicado, formulario en web): acceso, rectificación, oposición, portabilidad, supresión
  • El plazo de respuesta a solicitudes de derechos está documentado (típicamente 30 días bajo RGPD)
  • Existe un procedimiento para entregar datos en formato portable (DICOM, PDF, etc.) cuando el paciente lo solicita
  • Existe un procedimiento de eliminación de datos al cerrar el ciclo asistencial (respetando los plazos legales mínimos de conservación clínica)

4. Encriptación y seguridad técnica

  • Los datos en tránsito viajan cifrados (TLS 1.2+ en cualquier comunicación con servidores)
  • Los datos en reposo están cifrados (AES-256 o equivalente) en bases de datos y almacenamiento de archivos DICOM
  • Las contraseñas se almacenan hasheadas con algoritmo seguro (bcrypt, Argon2), nunca en texto plano
  • Existe autenticación de dos factores para accesos administrativos al sistema
  • Los backups están cifrados y se prueban periódicamente las restauraciones

5. Control de acceso

  • Cada miembro del equipo tiene su propia cuenta personal (no se comparten cuentas)
  • Los permisos siguen el principio de mínimo privilegio: cada usuario accede solo a lo que necesita para su rol
  • Se revocan accesos al instante cuando un empleado deja la clínica
  • Existe registro de auditoría (audit log) de quién accedió a qué datos y cuándo
  • Las contraseñas tienen requisitos de complejidad y caducidad razonables

6. Proveedores y subencargados

  • Tengo identificados todos los proveedores que procesan datos sensibles en mi nombre (visor DICOM en la nube, gestor de pacientes, contabilidad, email transaccional, etc.)
  • Existe un Data Processing Agreement (DPA) firmado con cada proveedor que actúa como Encargado/Operador
  • Los proveedores tienen certificaciones razonables (SOC 2, ISO 27001) y están listados en mi política de privacidad
  • Si transfiero datos a terceros países, dispongo de mecanismos de transferencia válidos (Cláusulas Contractuales Tipo de la Comisión Europea, decisión de adecuación, etc.)

7. Notificación de violaciones de seguridad

  • Existe un procedimiento documentado de respuesta a brechas de seguridad
  • Sé que tengo 72 horas (RGPD) o "sin demora indebida" (HIPAA) para notificar a la autoridad de control y al paciente cuando aplique
  • Mi proveedor SaaS (visor DICOM, gestor) me notificará si hay brecha en su infraestructura
  • Tengo plantilla preparada de notificación al paciente y a la autoridad

8. Documentación legal

  • Tengo política de privacidad pública y actualizada
  • Tengo aviso de privacidad / declaración de privacidad para mostrar al paciente al inicio del tratamiento
  • Tengo consentimiento informado específico para CBCT y otros estudios
  • Tengo registro de actividad de tratamiento (ROPA) actualizado
  • Tengo evaluación de impacto de protección de datos (DPIA) para tratamientos de alto riesgo cuando corresponda

9. Formación del personal

  • Todo el personal recibió formación inicial en protección de datos al ingresar
  • Existen reciclajes periódicos (al menos anualmente)
  • El personal sabe identificar un email de phishing y a quién avisar
  • El personal sabe qué es un dato sensible y cómo manejarlo (no fotos del DICOM en WhatsApp personal, no dejar el equipo desbloqueado, etc.)

10. Compartir datos con pacientes y colegas

  • Cuando comparto un examen con el paciente o un colega, uso un canal seguro (link único con token, no descarga directa pública)
  • Si uso WhatsApp/email para comunicar, verifico el destinatario antes de enviar
  • Cuando un colega solicita datos de un paciente común, verifico la autorización del paciente o me amparo en la base legal correspondiente
  • Los links de compartición tienen fecha de expiración y/o pueden revocarse

11. Retención y eliminación

  • Conozco el plazo legal mínimo de conservación de historia clínica en mi jurisdicción (típicamente 5–15 años en LATAM, depende del país)
  • Tras el plazo legal, los datos se eliminan de forma definitiva (también de backups y proveedores)
  • Tengo procedimiento para responder a solicitudes de "derecho al olvido" cuando aplique
  • Los archivos físicos se destruyen con método seguro (trituradora, no basura común)

12. Designaciones formales

  • Si mi clínica supera el umbral, he designado un Delegado de Protección de Datos (DPD/DPO) y registrado su contacto
  • Bajo HIPAA: he designado un Privacy Officer y un Security Officer
  • Estos roles están documentados, comunicados al equipo y publicados al paciente

Riesgos comunes en clínicas dentales y centros radiológicos

  • Compartir DICOM por WhatsApp del consultorio: el grupo del staff tiene acceso completo a las imágenes. Si un celular se pierde o el chat se filtra, la clínica responde por esa exposición. Usa siempre canales con control de acceso.
  • Computadora del recepcionista sin bloqueo: deja visible la lista de pacientes a cualquiera que pase. Bloqueo automático tras 5 minutos resuelve el 90% del riesgo.
  • Email personal del odontólogo para mandar exámenes: datos sensibles en proveedores no contratados oficialmente, sin DPA, sin trazabilidad. Usar siempre el sistema oficial.
  • Backups en disco externo en la recepción: sin cifrado, accesible físicamente. Si el disco se pierde, los datos no protegidos son una brecha grave.
  • Accesos compartidos: "el password del sistema es 1234 y lo sabe todo el equipo". Imposible auditar quién hizo qué. Requiere cuenta individual por persona.

Cómo CBCTHub te ayuda con el cumplimiento

  • Encriptación TLS 1.3 en tránsito y AES-256 en reposo
  • Procesamiento DICOM 100% en el navegador del usuario (los píxeles no pasan por servidores)
  • Audit log exportable a CSV (para auditorías)
  • Portabilidad de datos GDPR Art. 20 (descarga ZIP completo)
  • Eliminación de cuenta autoservicio
  • DPA público descargable en /legal/dpa
  • Cuenta individual por usuario con MFA opcional
  • Links de compartir con expiración y PIN opcional

¿Te resultó útil este recurso?

Ver más recursosCrear cuenta gratis en CBCTHub

CBCTHub · cbcthub.com — Documento de referencia. No reemplaza el criterio profesional ni la normativa local vigente.