Checklist RGPD para automatizar una clínica estética

Automatizar captación, presupuestos y postventa en una clínica estética sin auditar RGPD y publicidad sanitaria es un riesgo regulatorio creciente. La AEPD ha sancionado a clínicas por usar WhatsApp personal con datos de paciente y la Inspección de Sanidad autonómica multa por publicidad no conforme. Este checklist cubre los diez puntos que toda clínica debe revisar antes de implantar.

Este artículo es el equivalente para clínicas estéticas del checklist LOPD para clínicas médicas, con foco en publicidad sanitaria y captación digital.

Diez puntos a auditar

1. Encargo de tratamiento firmado conforme al Art. 28 RGPD

Si Fluxo Services o cualquier proveedor procesa datos de paciente, debe haber contrato firmado que defina finalidad, datos tratados, medidas de seguridad y plazo de conservación.

2. Consentimiento expreso separado por finalidad

El consentimiento clínico del tratamiento es uno; el de comunicaciones automatizadas, otro; el de cesión a comparadores publicitarios, otro distinto. Cada uno con checkbox no premarcado.

3. WhatsApp Business API, no WhatsApp personal

El WhatsApp personal del recepcionista para hablar con pacientes es ilegal a efectos RGPD. La única vía conforme para mensajería masiva o asistida es WhatsApp Business API con plantillas aprobadas por Meta.

4. Publicidad en Instagram y TikTok conforme a Ley 34/1988

Cada anuncio debe identificar al responsable sanitario, evitar atribución taxativa ("resultados garantizados", "sin complicaciones") y cumplir el RD 1907/1996. La normativa autonómica añade requisitos: Cataluña pide registro previo, Madrid notificación, Andalucía publicidad sanitaria específica.

5. Bot calificador con consentimiento previo

Antes de que el bot pida nombre, edad o intereses estéticos, debe pedir consentimiento explícito. Si no hay consentimiento, los datos no se guardan ni se procesan.

6. Datos sensibles separados de datos comerciales

Si el paciente menciona patologías (diabetes, embarazo, alergias) durante la calificación, esos datos pasan a un sistema con cifrado adicional y acceso restringido. No conviven con datos comerciales en la misma tabla.

7. Pago de señal sin almacenar tarjeta

La pasarela (Stripe, Redsys) almacena el dato bancario, no la clínica. El sistema de Fluxo Services nunca guarda PAN ni CVV; sólo el token devuelto por la pasarela cumple PCI-DSS.

8. Retención de imágenes pre/post

Las fotos del paciente son datos sensibles. La retención por defecto es 5 años (plazo de prescripción de responsabilidad civil sanitaria) con cifrado en reposo y acceso solo del responsable clínico. Borrado tras petición de derecho de supresión en 30 días.

9. Registro de actividades de tratamiento (RAT)

Obligatorio bajo el Art. 30 RGPD. Debe describir cada flujo automatizado: captación, recordatorios, postventa, atribución publicitaria. Fluxo Services entrega plantilla rellena al cerrar la implantación.

10. Derecho de portabilidad y supresión

Si el paciente pide sus datos en formato CSV o JSON, debe entregarse en menos de 30 días. Si pide supresión, el sistema bloquea automáticamente comunicaciones, marca los datos como eliminados y borra físicamente en 90 días.

Tabla resumen de riesgos y sanciones

Riesgo	Marco	Sanción típica
WhatsApp personal con paciente	RGPD + LOPDGDD	40.000-300.000 € (AEPD)
Publicidad con resultados taxativos	Ley 34/1988	6.000-60.000 € (Sanidad autonómica)
Sin RAT	Art. 30 RGPD	20.000-150.000 € (AEPD)
Falta de encargo de tratamiento	Art. 28 RGPD	10.000-100.000 € (AEPD)
Retención excesiva de imágenes	Art. 5 RGPD	5.000-50.000 € (AEPD)

Siguiente paso

• Soluciones a medida para clínicas estéticas con cumplimiento incluido.
• Comparativa de software para clínicas estéticas 2026.
• Pide diagnóstico gratuito con auditoría RGPD incluida.