Cumplimiento RGPD

RGPD para Laboratorios Dentales: Lo Que Necesitas Saber en 2026

Por Salvador Frutos V. II, Fundador — TrazaLab

Tu laboratorio manipula datos de salud de pacientes cada dia. Eso te convierte en encargado del tratamiento bajo el RGPD, con obligaciones legales concretas que la mayoria de laboratorios desconoce.

Marzo 2026
12 min lectura
Guia de referencia
20M EUR
sancion maxima RGPD
72 h
para notificar brechas
Art. 9
datos de salud = categoria especial
0
labs dentales con guia clara
Contenido de esta guia
  1. 01Por que el RGPD afecta a tu laboratorio
  2. 02Los 7 principios aplicados al lab
  3. 03Responsable vs. encargado del tratamiento
  4. 04Checklist: esta tu lab en cumplimiento?
  5. 055 infracciones comunes en laboratorios
  6. 06Como el software ayuda al cumplimiento
  7. 07Comparativa: WhatsApp vs Email vs TrazaLab
  8. 08Preguntas frecuentes
Contexto legal

Por que el RGPD afecta directamente a tu laboratorio dental

La mayoria de laboratorios dentales en Espana operan bajo una idea equivocada: "nosotros no tratamos con pacientes, asi que el RGPD no nos aplica." Esta creencia es incorrecta y potencialmente costosa.

Cada vez que tu laboratorio recibe un nombre de paciente asociado a un escaneo intraoral, una fotografia de tono, un archivo STL con metadatos identificativos o una receta con datos clinicos, estas tratando datos de salud. Y los datos de salud no son datos personales ordinarios.

El articulo 9 del RGPD clasifica los datos relativos a la salud como categorias especiales de datos personales. Su tratamiento esta prohibido por defecto, salvo que se cumpla alguna de las excepciones del articulo 9.2, como el consentimiento explicito del interesado o la necesidad para fines de medicina preventiva o laboral.

Dato clave: El Reglamento (UE) 2016/679 (RGPD) establece sanciones de hasta 20 millones de euros o el 4% de la facturacion anual global por infracciones graves, como tratar datos de salud sin las medidas tecnicas adecuadas. La Ley Organica 3/2018 (LOPDGDD) complementa el RGPD en Espana con un regimen sancionador propio que afecta igualmente a pymes y microempresas.

Que datos de pacientes maneja un laboratorio dental

Es importante entender que el concepto de "dato personal" en el RGPD es amplio. No se limita al nombre del paciente. Incluye cualquier informacion que, por si sola o combinada con otros datos, permita identificar a una persona fisica. En un laboratorio dental, estos datos tipicamente incluyen:

  • Datos identificativos: nombre del paciente, numero de historia clinica, numero de caso
  • Datos de salud: diagnostico, tipo de tratamiento, piezas afectadas, estado periodontal, alergias a materiales
  • Imagenes clinicas: fotografias intraorales, fotografias de tono dental, radiografias CBCT
  • Archivos digitales: escaneos STL con metadatos del paciente, archivos DICOM, disenos CAD
  • Comunicaciones: mensajes entre clinica y laboratorio que mencionan al paciente, notas del tecnico

Cada uno de estos elementos puede contener datos de salud protegidos por el articulo 9 del RGPD. Un archivo STL, por ejemplo, puede parecer un modelo 3D anonimo, pero si el nombre del archivo o los metadatos incluyen el nombre del paciente o un identificador unico, ya es un dato personal vinculado a informacion de salud.

La AEPD (Agencia Espanola de Proteccion de Datos) ha dejado claro en multiples resoluciones que la responsabilidad no depende del tamano de la empresa. Un laboratorio de tres tecnicos tiene las mismas obligaciones de proteccion de datos que un hospital.

Articulo 5 del RGPD

Los 7 principios del RGPD aplicados a tu laboratorio

El articulo 5 del RGPD establece siete principios que deben regir cualquier tratamiento de datos personales. Asi es como se aplican al dia a dia de un laboratorio dental.

Principio 1
Licitud, lealtad y transparencia
Necesitas una base legal para tratar datos de pacientes. En tu caso, la base es el acuerdo de encargo de tratamiento con la clinica. Sin este contrato firmado, todo tratamiento de datos es ilicito, incluso si la clinica te envia los datos voluntariamente.
Principio 2
Limitacion de la finalidad
Los datos del paciente solo pueden usarse para la finalidad especifica: fabricar la protesis, la corona o el dispositivo encargado. No puedes usar esos datos para marketing, estadisticas propias o formacion de empleados sin consentimiento adicional.
Principio 3
Minimizacion de datos
Solo debes recibir y almacenar los datos estrictamente necesarios para el encargo. Si la clinica envia el historial medico completo del paciente y solo necesitas el tipo de aleacion alergenica, debes solicitar que limiten los datos al minimo indispensable.
Principio 4
Exactitud
Los datos deben ser correctos y estar actualizados. Si detectas un error en los datos del paciente (por ejemplo, un nombre mal escrito que podria causar una confusion de caso), tienes la obligacion de comunicarlo a la clinica para su correccion.
Principio 5
Limitacion del plazo de conservacion
No puedes conservar datos de pacientes indefinidamente. Una vez completado el caso y transcurrido el plazo legal de conservacion (tipicamente definido en el acuerdo con la clinica), los datos deben ser eliminados o anonimizados de forma segura.
Principio 6
Integridad y confidencialidad
Debes implementar medidas tecnicas y organizativas para proteger los datos: cifrado, control de acceso, copias de seguridad. Si un tecnico accede a datos de pacientes desde su movil personal sin cifrado, estas incumpliendo este principio.
Principio 7
Responsabilidad proactiva
No basta con cumplir: tienes que poder demostrar que cumples. Registros de actividades de tratamiento, log de acceso, formacion documentada del personal. Si la AEPD te inspecciona, la carga de la prueba recae sobre ti.
Articulo 28 del RGPD

Responsable vs. encargado: que papel tiene tu laboratorio

La distincion entre responsable y encargado del tratamiento es la piedra angular del cumplimiento RGPD en la relacion clinica-laboratorio. Confundirlos genera riesgos legales para ambas partes.

Responsable del tratamiento
La clinica dental
  • Decide que datos se recogen del paciente y para que fin
  • Obtiene el consentimiento del paciente para compartir datos con terceros
  • Selecciona al laboratorio como encargado y verifica su cumplimiento
  • Es el punto de contacto para el paciente en ejercicio de derechos ARCO
  • Notifica a la AEPD en caso de brecha de seguridad (72 horas)
  • Firma el acuerdo de encargo de tratamiento con el laboratorio
Encargado del tratamiento
Tu laboratorio dental
  • Trata datos unicamente segun las instrucciones de la clinica
  • Implementa medidas de seguridad tecnicas y organizativas
  • Mantiene un registro de actividades de tratamiento (art. 30)
  • Notifica al responsable sin dilacion indebida si detecta una brecha
  • No subcontrata sin autorizacion previa y escrita de la clinica
  • Devuelve o destruye los datos al finalizar la relacion contractual
Consecuencia practica: Si tu laboratorio no tiene firmado un acuerdo de encargo de tratamiento (contrato del art. 28 RGPD) con cada clinica que te envia casos, ambas partes estan en infraccion. La clinica por no elegir un encargado que ofrezca garantias suficientes, y tu por tratar datos sin base legal. La AEPD ofrece modelos de clausulas que pueden adaptarse a la relacion clinica-laboratorio.

Que debe incluir el acuerdo de encargo de tratamiento

El articulo 28.3 del RGPD establece el contenido minimo obligatorio:

  1. Objeto y duracion del tratamiento (tipo de protesis, duracion de la relacion)
  2. Naturaleza y finalidad del tratamiento (fabricacion de dispositivos dentales)
  3. Tipo de datos personales tratados (identificativos, de salud, imagenes)
  4. Categorias de interesados (pacientes de la clinica)
  5. Obligaciones y derechos del responsable
  6. Instrucciones documentadas del responsable al encargado
  7. Medidas de seguridad tecnicas y organizativas implementadas
  8. Regimen de subcontratacion (proveedores cloud, fresadoras externalizadas)
  9. Asistencia al responsable para atender derechos de los interesados
  10. Notificacion de brechas y procedimiento de comunicacion
  11. Destino de los datos al finalizar el servicio (devolucion o destruccion)
Autodiagnostico

Checklist: esta tu laboratorio en cumplimiento?

Estos son los 12 elementos que la AEPD verificaria en una inspeccion a tu laboratorio. Cada elemento que te falta es una vulnerabilidad legal activa.

Acuerdo de encargo de tratamiento con cada clinicaArt. 28 RGPD. Sin este contrato, todo tratamiento es ilicito.
Registro de actividades de tratamientoArt. 30 RGPD. Obligatorio para encargados. Documento interno, no publico.
Evaluacion de impacto (EIPD) si procedeArt. 35 RGPD. Necesaria si el tratamiento entraña alto riesgo.
Cifrado de datos en transito y en reposoArt. 32 RGPD. Minimo AES-256 para datos de salud almacenados.
Control de acceso basado en rolSolo quien necesita ver datos del paciente puede acceder a ellos.
Log de auditoria de accesosRegistro de quien accedio a que datos, cuando y desde donde.
Politica de retencion y eliminacion de datosPlazos definidos para cada tipo de dato. Eliminacion segura documentada.
Procedimiento de ejercicio de derechos ARCOAcceso, rectificacion, cancelacion y oposicion. Asistencia al responsable.
Procedimiento de notificacion de brechas (72h)Art. 33-34 RGPD. Protocolo escrito, no improvisado. Plazo desde deteccion.
Formacion documentada del personalCada empleado con acceso a datos debe recibir formacion anual registrada.
DPO designado (si aplica)Art. 37 RGPD. Obligatorio si hay tratamiento a gran escala de datos de salud.
Transferencias internacionales documentadasArt. 44-49. Cloud fuera de la UE? Necesitas garantias adicionales.
Consejo practico: Imprime esta lista y revisala con tu equipo. Si cumples 8 o menos de los 12 puntos, tu laboratorio tiene vulnerabilidades legales activas. Si cumples menos de 5, necesitas asesoria legal especializada en proteccion de datos antes de que una inspeccion te encuentre. La AEPD tiene la facultad de iniciar inspecciones de oficio, no solo por denuncia.
Riesgos reales

5 infracciones RGPD que cometen los laboratorios dentales

Estas no son hipotesis teoricas. Son practicas habituales en laboratorios dentales de toda Espana que constituyen infracciones del RGPD. Cualquiera de ellas puede desencadenar un procedimiento sancionador.

01
Enviar fotos de pacientes por WhatsApp
El tecnico recibe una foto de tono por WhatsApp. Esa imagen se almacena automaticamente en los servidores de Meta (fuera de la UE), se guarda en la galeria del movil personal del tecnico, no tiene cifrado verificable de extremo a extremo para adjuntos multimedia, y no genera ningun log de auditoria. Meta no firma acuerdos de encargo de tratamiento con laboratorios dentales. Cada foto es una transferencia internacional de datos de salud no documentada.
Infraccion grave - Art. 44-49 RGPD
02
Archivos STL en correo electronico personal
Un escaneo STL de 180 MB se envia por email personal (Gmail, Hotmail). El archivo queda en el servidor del proveedor de correo sin cifrado especifico, en multiples dispositivos, sin control de quien lo descarga o reenvie. No hay log de acceso, no hay politica de retencion, y si el tecnico deja la empresa, esos archivos permanecen en su cuenta personal indefinidamente.
Infraccion grave - Art. 5.1(f) y Art. 32 RGPD
03
Sin acuerdo de encargo de tratamiento con las clinicas
El laboratorio lleva anos recibiendo casos de 15 clinicas. Ninguna tiene firmado un contrato de encargo de tratamiento. El laboratorio asume que "la clinica ya tiene el consentimiento del paciente" y que eso es suficiente. No lo es. El acuerdo del articulo 28 es un requisito independiente del consentimiento del paciente. Sin el, el tratamiento carece de base legal.
Infraccion muy grave - Art. 28 RGPD
04
Datos de pacientes en dispositivos personales del tecnico
El tecnico ceramista tiene fotos de casos en su iPhone personal. Archivos de diseno en su portatil de casa. Modelos STL en un disco duro externo sin cifrar. Cuando el tecnico deja el laboratorio, esos datos se van con el. No hay forma de revocar el acceso, no hay forma de verificar la eliminacion, y el laboratorio pierde todo control sobre datos de salud de pacientes.
Infraccion grave - Art. 5.1(f) y Art. 32 RGPD
05
Sin procedimiento de notificacion de brechas
Se pierde un disco duro con datos de 200 pacientes. El laboratorio no sabe a quien avisar, en que plazo, ni que informacion incluir en la notificacion. El articulo 33 del RGPD exige notificacion a la autoridad de control en un maximo de 72 horas desde la deteccion. Sin un procedimiento predefinido, cumplir ese plazo es practicamente imposible. Y el retraso agrava la sancion.
Infraccion grave - Art. 33-34 RGPD
Solucion tecnica

Como el software facilita el cumplimiento RGPD

Cada requisito del RGPD tiene una implementacion tecnica concreta. Un software disenado para laboratorios dentales puede cubrir la mayoria de las obligaciones automaticamente.

Cifrado AES-256 en transito y reposo
Todos los archivos (STL, fotos, recetas) se cifran antes de almacenarse. Las comunicaciones viajan por TLS 1.3. Ni siquiera el administrador del servidor puede leer los datos sin la clave de descifrado.
Cumple: Art. 32 - Integridad y confidencialidad
Control de acceso basado en rol
El tecnico de CAD solo ve los archivos de diseno. La recepcionista solo ve las ordenes. El director ve todo. Cada rol tiene permisos granulares que se configuran una vez y se aplican automaticamente a cada caso.
Cumple: Art. 5.1(c) - Minimizacion de datos
Log de auditoria inmutable
Cada acceso, descarga, modificacion y eliminacion queda registrada con timestamp, usuario, IP y dispositivo. Este log no puede editarse ni borrarse. Es la prueba documental que la AEPD necesita para verificar tu cumplimiento.
Cumple: Art. 5.2 - Responsabilidad proactiva
Residencia de datos en la UE
Servidores en centros de datos europeos con certificacion ISO 27001. Sin transferencias a terceros paises salvo con las garantias del Capitulo V del RGPD. Sin servidores de Meta, Google o Microsoft procesando datos de salud.
Cumple: Art. 44-49 - Transferencias internacionales
Ver las medidas de seguridad de TrazaLab en detalle
Comparativa

WhatsApp vs. Email vs. TrazaLab: cumplimiento RGPD

No todas las herramientas son iguales ante el RGPD. Esta tabla compara las tres formas mas comunes de intercambiar datos de pacientes entre clinica y laboratorio.

Criterio RGPD WhatsApp Email TrazaLab
Cifrado de datos en reposo No verificable No (salvo PGP manual) AES-256
Cifrado en transito Parcial (adjuntos excluidos) TLS opcional TLS 1.3 obligatorio
Control de acceso por rol No existe No existe Granular por funcion
Log de auditoria No disponible No disponible Inmutable, con timestamp
Acuerdo de encargo (Art. 28) Meta no lo firma Posible con proveedores Incluido
Residencia de datos en UE Servidores Meta (EEUU) Depende del proveedor UE exclusivamente
Revocacion de acceso de empleado Datos en dispositivo Datos en dispositivo Un click, acceso cero
Eliminacion verificable de datos Imposible (copias en Meta) Copias en servidores Eliminacion certificada
Trazabilidad de archivos Sin historial Adjuntos dispersos Vinculado a la orden
Notificacion de brechas Sin procedimiento Sin procedimiento Protocolo integrado

La diferencia no es de grado: es de naturaleza. WhatsApp y el email no fueron disenados para tratar datos de salud. No es que sean "menos seguros"; es que carecen de las funcionalidades que el RGPD exige para el tratamiento de categorias especiales de datos personales.

Puedes consultar comparativas detalladas de cada herramienta: WhatsApp vs. TrazaLab, Email vs. TrazaLab.

Preguntas frecuentes

Dudas habituales sobre RGPD y laboratorios dentales

El laboratorio dental actua como encargado del tratamiento (data processor). La clinica dental es el responsable del tratamiento (data controller) porque decide la finalidad y los medios del tratamiento de datos del paciente. Esta distincion esta establecida en el articulo 28 del RGPD y determina las obligaciones contractuales entre ambas partes.

Las infracciones del RGPD se clasifican en leves (hasta 40.000 EUR), graves (hasta 300.000 EUR) y muy graves (hasta 20 millones de EUR o el 4% de la facturacion anual global). El tratamiento de datos de salud sin las medidas tecnicas adecuadas se considera infraccion grave o muy grave segun la LOPDGDD. La AEPD tiene la facultad de imponer estas sanciones directamente, sin necesidad de resolucion judicial.

No cumple con el RGPD. WhatsApp almacena metadatos en servidores de Meta fuera de la UE, no ofrece cifrado verificable de extremo a extremo para archivos adjuntos, no proporciona log de auditoria, y no permite firmar un acuerdo de encargo de tratamiento. La AEPD ha sancionado ya a organizaciones sanitarias por compartir datos de salud a traves de aplicaciones de mensajeria no conformes.

Segun el articulo 37 del RGPD, un DPO es obligatorio cuando el tratamiento principal consiste en el tratamiento a gran escala de categorias especiales de datos (como datos de salud). Un laboratorio pequeno que procesa datos para un numero limitado de clinicas puede no necesitarlo, pero es recomendable designar un responsable de proteccion de datos. La AEPD recomienda realizar un analisis caso por caso.

El RGPD exige que los datos se conserven solo durante el tiempo necesario para la finalidad del tratamiento. Para laboratorios dentales, el plazo tipico es la duracion del caso mas el plazo de prescripcion legal. La legislacion sanitaria espanola establece un minimo de 5 anos para historiales clinicos. El acuerdo de encargo de tratamiento con la clinica debe especificar los plazos exactos de conservacion y eliminacion.

Segun el articulo 28 del RGPD, el acuerdo debe incluir: el objeto y duracion del tratamiento, la naturaleza y finalidad del tratamiento, el tipo de datos personales y categorias de interesados, las obligaciones y derechos del responsable, las instrucciones del responsable al encargado, las medidas de seguridad tecnicas y organizativas, las condiciones para la subcontratacion, la obligacion de asistencia para atender los derechos de los interesados, la notificacion de brechas de seguridad, y la devolucion o destruccion de datos al finalizar el servicio.

Proximo paso

Protege los datos de tus pacientes

El cumplimiento RGPD no es opcional. TrazaLab fue disenado desde cero para que tu laboratorio cumpla con la normativa sin esfuerzo adicional. Cifrado, control de acceso, log de auditoria y residencia de datos en la UE incluidos.

Ver medidas de seguridad Solicitar prueba gratuita

Tambien disponible: Politica de privacidad · Derechos ARCO · Plataforma completa

Recursos Relacionados