Guía práctica de LOPD y RGPD para nutricionistas y dietistas en España: qué datos son sensibles, qué obligaciones tienes y cómo organizar tu consulta para cumplir sin complicarte.
Nota legal: contenido informativo general. No sustituye asesoría legal, fiscal u operativa personalizada.
Cuando atiendes a un cliente en consulta de nutrición, recoges información que va mucho más allá del nombre y el teléfono: peso, talla, composición corporal, patologías asociadas, analíticas, hábitos alimentarios, historial médico relevante. Todos esos datos están clasificados como datos de salud bajo el RGPD —el artículo 9 del reglamento europeo— y eso tiene consecuencias directas para cómo debes tratarlos.
No es lo mismo tener datos de salud que tener una lista de contactos. Los datos de salud son una categoría especial que exige medidas adicionales de protección, consentimiento explícito y obligaciones específicas que muchos nutricionistas autónomos no tienen bien resueltas.
Para tratar datos de salud necesitas una base legal específica. En el contexto de una consulta de nutrición, la más habitual es el consentimiento explícito del paciente (artículo 9.2.a del RGPD) o la necesidad del tratamiento para la prestación del servicio asistencial (artículo 9.2.h). Lo importante es que esa base quede documentada, no solo presupuesta.
Antes de recoger datos de un cliente nuevo, debes informarle de forma clara de quién eres, para qué usas sus datos, cuánto tiempo los conservas, a quién los cedes (si es que los cedes) y qué derechos tiene. Eso incluye el derecho de acceso, rectificación, supresión y portabilidad.
En la práctica, esto se materializa en una cláusula informativa en el formulario de alta del cliente y una política de privacidad accesible si tienes web o usas reservas online.
El consentimiento para tratar datos de salud debe ser explícito —no puede ser una casilla pre-marcada— y el cliente debe poder revocarlo en cualquier momento. Eso significa que debes tener un proceso para eliminar o anonimizar los datos de un cliente que ejerce su derecho al olvido, incluyendo el historial dietético y las anotaciones de evolución.
Si tratas datos de forma habitual y a escala —lo cual aplica a cualquier consulta con varios clientes activos— estás obligado a mantener un registro de las actividades de tratamiento. Es un documento interno que describe qué datos recoges, con qué finalidad, quién tiene acceso y durante cuánto tiempo los conservas. No tienes que enviarlo a nadie, pero debes tenerlo disponible si la AEPD lo solicita.
Un Excel en el ordenador local con datos de salud de 50 clientes, sin contraseña y sin copia de seguridad, es un problema legal serio. Si ese ordenador se pierde, te lo roban o lo accede alguien no autorizado, estás ante una brecha de datos que debes notificar a la AEPD en 72 horas. El cifrado no es opcional cuando manejas datos de salud.
WhatsApp no es una plataforma segura para comunicar datos de salud. Enviar por chat el plan nutricional, los resultados de analítica o las anotaciones de evolución no cumple con los requisitos de seguridad del RGPD. Además, los datos quedan almacenados en los servidores de Meta fuera del ámbito de aplicación europeo.
Cuando un cliente deja de venir, sus datos no desaparecen solos. Debes tener definido durante cuánto tiempo conservas la historia nutricional —habitualmente entre 5 y 10 años por si hay reclamaciones— y qué pasa con los datos después de ese periodo. Sin proceso definido, simplemente acumulas datos de clientes inactivos indefinidamente, lo que no cumple con el principio de minimización del RGPD.
En la mayoría de casos, un nutricionista autónomo o una consulta pequeña no está obligado a designar un DPO. La obligación aplica a organizaciones que realizan tratamientos a gran escala de datos de categorías especiales. Si tienes una consulta individual o un centro pequeño, con tener bien documentados el registro de actividades, las cláusulas informativas y el consentimiento explícito es suficiente para cumplir con lo básico.
Si estás empezando desde cero con la protección de datos, el orden de prioridades es claro: primero, asegúrate de que el consentimiento informado de cada cliente queda documentado; segundo, revisa cómo almacenas los historiales y añade protección básica; tercero, crea la política de privacidad y la cláusula informativa para nuevos clientes; por último, documenta el registro de actividades de tratamiento.
No tienes que hacerlo todo en un día, pero sí tienes que empezar. La AEPD ha sancionado en los últimos años a profesionales sanitarios y de la salud por incumplimientos que eran perfectamente evitables con medidas básicas.
Si este tema te resultó útil, aquí tienes guías relacionadas para seguir mejorando tu día a día.
Un software específico para fisioterapia gestiona ficha clínica del paciente, consentimientos informados, agenda multiprofesional y facturación con tratamiento correcto del IVA (exento para servicios terapéuticos). Uno genérico maneja agenda y cobros pero se queda corto en los aspectos clínicos y legales del sector.
Sí, para tratamientos con riesgo potencial. La Ley 41/2002 obliga a informar al paciente y obtener su consentimiento. En la práctica, un documento por tipo de tratamiento (o digital con firma) cubre este requisito. El software debe facilitar este paso, no ignorarlo.
Los datos de salud son datos especialmente protegidos (Art. 9 RGPD). Necesitas base legal explícita (consentimiento), medidas de seguridad adecuadas (acceso por roles, cifrado), y un registro de actividades de tratamiento. El software debe restringir quién ve qué según su función.
Con un proceso ordenado, en 2–3 semanas puedes tener la agenda, fichas de pacientes activos y facturación funcionando. La clave es migrar primero los pacientes activos (últimos 6 meses) y el resto del historial después, sin parar la actividad del centro.
Si quieres, te ayudamos a aplicarlo en tu centro
Sin cambiar todo de golpe. Te enseñamos un flujo simple para ordenar agenda, pacientes y operativa diaria.
Demo guiada y enfocada a tu caso
Usamos siempre cookies esenciales para seguridad y funcionamiento. Las cookies de análisis son opcionales. Ver nuestra política de cookies.