RGPD y WhatsApp: lo que una clínica debe saber sobre los datos sanitarios
La comunicación con los pacientes a través de WhatsApp plantea una duda legítima: dónde se almacenan los datos, quién tiene acceso a ellos y qué ocurre en caso de inspección.

Los datos sanitarios se encuentran entre las categorías más protegidas por la RGPD, y con razón. Por ello, una clínica que decida comunicarse con sus pacientes a través de WhatsApp tiene una responsabilidad mayor que una tienda o un restaurante: no basta con que la comunicación sea eficaz, también debe cumplir con la normativa.
¿Qué cambia cuando se trata de datos sanitarios?
El mero hecho de concertar una cita ya es un dato que revela información sobre la salud de una persona: el simple hecho de que exista una cita con un especialista concreto puede ser sensible. Esto significa que cualquier sistema utilizado para gestionar esta comunicación debe cumplir los requisitos relativos al tratamiento de datos sensibles: minimización, finalidad definida y control sobre quién accede a la información.
¿Dónde se almacenan los datos?
La infraestructura propia de WhatSMS —donde se almacenan las conversaciones y los datos de contacto gestionados por la plataforma— se encuentra en servidores europeos, en consonancia con el enfoque de privacidade e protecção de dados descrito por la plataforma. Esto, por sí solo, no resuelve toda la cuestión: el WhatsApp está gestionado por Meta, y cualquier mensaje enviado por ese canal pasa por la infraestructura de Meta en calidad de subencargado del tratamiento, independientemente de dónde guarde el WhatSMS su propia copia. Una clínica que transmita datos sanitarios a través de WhatsApp debe tener esto en cuenta en su análisis de riesgos; no es una cuestión que desaparezca simplemente por elegir una plataforma con servidores en Europa.
Consentimiento y transparencia
El RGPD exige que el titular de los datos sepa cómo se está tratando su información. En la práctica, esto significa que la clínica debe informar a los pacientes de que la comunicación a través de WhatsApp se gestiona mediante una plataforma, algo que puede resolverse con una simple nota en el primer mensaje o durante el proceso de admisión del paciente.
Acceso del equipo
No todo el mundo en la clínica necesita ver todas las conversaciones. El sistema permite gestionar quién, dentro del equipo, tiene acceso a qué información, lo cual es importante cuando hay varios profesionales y solo algunos deben ver el historial de un paciente concreto.
Lo que la clínica no debe dar por sentado
Es importante ser claro en un punto: ninguna herramienta, por sí sola, hace que una clínica «cumpla automáticamente» con el RGPD. El cumplimiento normativo depende también de los procesos internos de la clínica: quién tiene acceso a qué, cómo se eliminan los datos cuando dejan de ser necesarios y cómo se responde a una solicitud de acceso o supresión por parte de un paciente. La plataforma proporciona la base técnica —datos en Europa, control de acceso, exportación de datos—, pero la política de uso sigue siendo responsabilidad de la clínica.
Si tienes dudas concretas sobre tu caso, conviene aclararlas antes de trasladar la comunicación de la clínica a cualquier nuevo canal: criar conta gratuita te permite probar el funcionamiento técnico de la plataforma mientras se lleva a cabo esa evaluación.
Preguntas frecuentes
¿Durante cuánto tiempo se conservan los datos de un paciente en la plataforma?
La conservación de datos debe ajustarse al principio de minimización del RGPD: los datos solo deben conservarse mientras sean necesarios para la finalidad de la comunicación, y la política concreta de conservación la define la clínica, no la impone la plataforma.
¿El paciente debe dar su consentimiento explícito para que se pongan en contacto con él a través de WhatsApp?
La norma RGPD exige transparencia sobre cómo se tratan los datos: la clínica debe informar al paciente de que la comunicación se realiza a través de una plataforma, por ejemplo, mediante una nota en el primer mensaje o durante el proceso de admisión.
¿Puede un paciente solicitar que se eliminen sus datos?
Sí, el derecho al olvido es uno de los derechos previstos en el RGPD, y la respuesta a dicha solicitud sigue siendo responsabilidad de la clínica, con el apoyo de las herramientas técnicas de exportación y eliminación de datos de la plataforma.
¿El uso del WhatsApp para comunicar datos sanitarios está, por sí mismo, prohibido por el RGPD?
No está prohibido, pero requiere un análisis de riesgos minucioso, ya que WhatsApp es gestionado por Meta como subencargado del tratamiento; la clínica debe tenerlo en cuenta a la hora de decidir qué información comunica a través de ese canal.
¿La plataforma hace que la clínica cumpla automáticamente con la norma RGPD?
No. La plataforma proporciona la base técnica —datos en Europa, control de acceso, exportación de datos—, pero el cumplimiento normativo depende también de los procesos internos de la clínica.
¿Listo para probar WhatSMS?
14 días gratis, sin tarjeta. Añade una tarjeta y consigue 30 días.
Empezar gratis