Saltar al contenido principal
WhatsApp

WhatsApp Business y el RGPD en el sector sanitario: historiales médicos y primera copia gratuita

por 26 de febrero de 2026No hay comentarios

WhatsApp Business y el RGPD sanitario: novedades para los historiales médicos

WhatsApp Business y el RGPD sanitario están cada vez más estrechamente vinculados a la gestión digital de historiales médicos y datos de pacientes. WhatsApp Business y el RGPD definen un nuevo marco de derechos, obligaciones y procesos que las empresas sanitarias ya no pueden ignorar.

La reciente sentencia del TJUE en el asunto C-307/22 confirmó definitivamente que la primera copia de los datos personales contenidos en una historia clínica es gratuita, de conformidad con el artículo 15 del RGPD (Reglamento (UE) 2016/679), incluso cuando la solicitud se realiza con fines legales. Este principio prevalece sobre las normativas nacionales que imponen cargas económicas al solicitante y se enmarca en un contexto de creciente digitalización, comunicación instantánea y automatización de los procesos sanitarios.

En el ecosistema digital moderno, donde canales como el correo electrónico, los portales web y las herramientas de conversación (incluidos los canales integrados con API como WhatsApp Business) se han vuelto parte integral de los flujos de interacción con los pacientes, la gestión adecuada de los derechos de acceso a los datos juega un papel clave en el cumplimiento, la eficiencia y la experiencia del cliente.

WhatsApp Business y el RGPD: Principios de la sentencia del TJUE C-307/22

En el centro del debate se encuentra la sentencia del Tribunal de Justicia de la Unión Europea en el asunto C-307/22, originado en Alemania. Un paciente solicitó a su dentista una copia de su historial médico para evaluar posibles errores durante el tratamiento; el dentista, de conformidad con el artículo 630g del Código Civil alemán (BGB), condicionó la entrega al reembolso de los gastos.

El paciente consideró aplicable el derecho a una copia gratuita, de conformidad con el artículo 15 del RGPD, y recurrió ante los tribunales alemanes, incluido el Bundesgerichtshof, que remitió el asunto al TJUE. El Tribunal definió algunos principios clave que también afectan a la forma en que las instituciones organizan los procesos digitales y los canales de contacto (incluidos los automatizados, como los chatbots o los sistemas integrados con WhatsApp Business) y sistemas de gestión documental.

Gratis independientemente del propósito

El TJUE ha aclarado que la obligación de proporcionar al interesado, de forma gratuita, una primera copia de los datos personales objeto de tratamiento recae en el responsable del tratamiento, incluso si la solicitud está motivada por una finalidad ajena a las indicadas en el considerando 63 del RGPD. Esto también incluye las solicitudes de acciones legales contra el profesional sanitario.

Este principio refuerza la eficacia del derecho de acceso y evita que las motivaciones “defensivas” del responsable del tratamiento —por ejemplo, el temor a litigios— limiten o hagan más gravoso el derecho del titular de los datos.

Prohibición de regulaciones nacionales onerosas

El Tribunal dictaminó que una ley nacional, incluso anterior al RGPD, no puede exigir al interesado el pago de la primera copia de sus datos personales si ello sirve para proteger los intereses económicos del responsable del tratamiento. Dicho mecanismo vulneraría el derecho de acceso consagrado en el artículo 15 y su eficacia.

Para los sistemas nacionales de salud, esto significa adaptar las regulaciones internas, las tarifas y las prácticas administrativas, pasando de un modelo basado en "derechos de autor" a uno que valore los procesos digitales eficientes, tal vez apoyados por la automatización y canales inteligentes como WhatsApp Business para la solicitud o tramitación de solicitudes (no para la entrega de datos sensibles de salud).

Definición amplia de “copia” y contenido mínimo garantizado

La definición de “copia” adoptada por el TJUE es amplia: en la relación médico-paciente, el derecho a obtener una copia de los datos personales implica la entrega de una reproducción fiel e inteligible de todos ellos. Cuando sea necesario para garantizar la exactitud, integridad e inteligibilidad, esto puede significar una copia completa de los documentos contenidos en la historia clínica.

En cualquier caso, el contenido mínimo garantizado incluye datos como diagnósticos, resultados de pruebas, opiniones de médicos tratantes, terapias o intervenciones realizadas. Para obtener más información sobre el marco regulatorio, es útil consultar el texto de la Reglamento (UE) 2016/679 y los análisis especializados disponibles, por ejemplo, en el portal de Garante de la protección de datos personales.

Acceso a datos y documentos según el RGPD: dos niveles distintos

En el contexto italiano, la sentencia puso de relieve el conflicto —solo aparente— entre el derecho de acceso a los datos personales, conforme al artículo 15 del RGPD, y el acceso a los documentos, conforme a la Ley 241/1990. Ambas instituciones, si bien posiblemente se refieran al mismo objeto material (por ejemplo, historiales médicos), tienen diferentes requisitos, finalidades y consecuencias.

Acceso a datos personales de conformidad con el art. 15 del RGPD

Es el derecho del interesado a obtener del responsable del tratamiento confirmación de si se están tratando o no datos personales que le conciernen y, en tal caso, a acceder a ellos y obtener una copia. La primera copia es gratuita, no requiere justificación y se aplica a cualquier responsable, público o privado.

El titular de los datos ejerce derechos estrictamente personales: la atención se centra en los datos, no necesariamente en el documento en sí. Por esta razón, las organizaciones deben poder distinguir, en sus flujos de trabajo y formularios, entre las solicitudes de acceso a datos (RGPD) y las solicitudes de copias de documentos administrativos.

Acceso a los documentos de conformidad con la Ley 241/1990

El acceso a los documentos administrativos, de conformidad con la Ley 241/1990, requiere un interés directo, concreto y actual, solo puede ejercerse ante las administraciones públicas y está sujeto al pago de los costes de reproducción. El objeto del documento administrativo es el documento administrativo, que puede contener o no datos personales o de salud.

La Autoridad ha criticado reiteradamente a los centros sanitarios que, al recibir solicitudes de acceso a datos personales contenidos en historiales médicos presentados de conformidad con el artículo 15 del RGPD, las han tratado como solicitudes de acceso a documentos, lo que exige el pago de una tasa. No obstante, la primera copia de los datos personales debe proporcionarse gratuitamente.

El responsable del tratamiento debe evaluar si, para garantizar la exactitud, integridad e inteligibilidad de los datos, es necesario proporcionar una copia completa de la historia clínica. Para solicitudes generales, el responsable del tratamiento puede solicitar al interesado que especifique si solicita datos personales, documentos o ambos.

Impacto organizacional en las empresas de salud y el papel de la digitalización

Es razonable suponer que la sentencia C-307/22 ha provocado un aumento significativo de las solicitudes de acceso a la historia clínica en virtud del artículo 15 del RGPD. Este aumento tiene un impacto directo en los costes y la organización interna de los centros sanitarios.

El aumento de las solicitudes

Entre los principales factores:

WhatsApp Business y el RGPD en el sector sanitario: historiales médicos y primera copia gratuita
  • Mayor conciencia:La cobertura mediática del fallo informó a los ciudadanos de su derecho a obtener la primera copia de su historial médico de forma gratuita.
  • Conveniencia económica:las tarifas por la emisión de una copia en papel o digital pueden oscilar entre 8 y más de 30 euros, lo que fomenta el uso del derecho de libre acceso.
  • Fines pre-litigantesLos bufetes de abogados y los grupos de defensa de los pacientes han promovido el uso del Artículo 15 del RGPD para analizar registros médicos en busca de posibles reclamos por negligencia médica.

Carga administrativa y costos

El aumento de solicitudes genera costos relacionados con:

  • reproducción (papel, tóner, soportes digitales, mantenimiento de equipos);
  • personal (investigación, duplicación, verificación, entrega de documentación);
  • envío (en caso de envío postal);
  • organización (capacitación, procedimientos, gestión de quejas).

Estos costes, que antes se recuperaban mediante los derechos de autor conforme a la Ley 241/1990, ahora pesan sobre los presupuestos de las empresas sanitarias, al menos para la primera copia publicada conforme al RGPD. De ahí la necesidad de acelerar los procesos de digitalización y automatización, aprovechando también herramientas de comunicación y flujo de trabajo que puedan integrar canales conversacionales como WhatsApp Business para notificaciones e interacciones no sensibles.

Historial médico digital, historial clínico electrónico y auditorías del Tribunal de Cuentas

En Italia, el impulso hacia los historiales clínicos electrónicos (HCE) tiene su base en la Ley N° 35 del 4 de abril de 2012, artículo 47-bis, que prioriza la gestión electrónica de las prácticas clínicas y, a partir del 1 de enero de 2013, permite la preservación digital de los registros en cumplimiento del Código de Administración Digital (Decreto Legislativo 82/2005) y la legislación sobre privacidad.

A pesar de ello, la mayoría de los archivos todavía se almacenan en formato analógico, lo que hace que la reproducción sea costosa, a diferencia de lo que permitiría la digitalización completa con archivos digitales nativos y la conservación estándar. Tribunal de Cuentas, con Resolución n.º 84 del 30 de mayo de 2025 (Sección de Control Regional Piamonte, ejercicio 2022), analizó las prácticas de emisión de copias de historias clínicas, destacando una fuerte disparidad de precios y aplicaciones entre las empresas de salud.

Solo la Autoridad Sanitaria Local de Turín (ASL) ha declarado su cumplimiento de la sentencia del TJUE, emitiendo la primera copia del historial médico de forma gratuita; otra empresa ha manifestado su intención de cumplir en cuanto se complete el desarrollo del historial médico digital. La Sección Regional espera una aplicación uniforme de la jurisprudencia de la UE.

Gestión de solicitudes, límites de solicitudes y soluciones operativas

Una correcta interpretación del marco regulatorio, también a la luz de las preguntas frecuentes del Garante, requiere distinguir entre el derecho de acceso a los datos personales y el derecho de acceso a la documentación. El artículo 15 del RGPD se refiere a los datos personales, no necesariamente a toda la documentación.

Triaje de solicitudes y el papel del DPO

Los centros de atención sanitaria deben adoptar procedimientos claros para distinguir:

  • solicitudes explícitas de una primera copia gratuita de conformidad con el artículo 15 del RGPD, que deben dar lugar a una entrega gratuita;
  • solicitudes genéricas, para lo cual el responsable del tratamiento deberá contactar al solicitante y aclarar si pretende ejercer el derecho de acceso a los datos personales o el de acceso a los documentos;
  • solicitudes realizadas al amparo de la Ley 241/1990, para las que se aplican tarifas de empresa.

El Delegado de Protección de Datos (DPD) debe coordinar estos flujos, garantizando una respuesta dentro de los plazos establecidos en el artículo 12 del RGPD. Las oficinas responsables de la reproducción deben registrar en un registro interno la emisión de la "primera copia" para cada expediente y para cada interesado, requisito necesario para legitimar el cobro de las copias posteriores.

Procesos digitales, automatización y tecnologías de apoyo

La solución más eficaz para contener el coste de la primera copia gratuita es optimizar los procesos internos y acelerar la digitalización. Algunas palancas clave:

  • Automatización:utilización de software de gestión que automatiza la búsqueda, extracción y generación de copias de carpetas.
  • Identidad digital:utilización del SPID/CIE para presentar solicitudes y acceder a la Historia Clínica Electrónica.
  • Capacitación: formación específica sobre los diferentes regímenes de acceso conforme al RGPD y la Ley 241/1990.

La adopción de historiales clínicos electrónicos digitalizados, la transmisión por correo electrónico certificado, correo electrónico seguro o portales específicos, y la inclusión sistemática de copias en el historial clínico electrónico reducen los costes marginales y las solicitudes formales de copias. El artículo 12, apartado 5, del RGPD establece medidas para limitar las solicitudes manifiestamente infundadas o excesivas, que permiten al responsable del tratamiento cobrar una tarifa razonable o rechazar solicitudes repetidas, siempre que pueda demostrar su carácter excesivo.

WhatsApp Business y el RGPD sanitario: impacto en el marketing y los negocios

WhatsApp Business y el RGPD para el sector sanitario van más allá del cumplimiento legal; impactan directamente en el marketing, la comunicación y el posicionamiento de las organizaciones y empresas sanitarias. La gestión del acceso a los datos, la transparencia para los pacientes y la digitalización de los flujos de trabajo influyen en la percepción y la confianza de la marca.

Un centro que se comunica con claridad, utiliza canales modernos (sitios web, portales, notificaciones de aplicaciones y canales conversacionales) y simplifica solicitudes como la copia de historiales médicos, demuestra atención a la experiencia del cliente. En este contexto, WhatsApp Business Puede convertirse en un canal de comunicación para:

  • envío de recordatorios de citas, notificaciones sobre el estado de la solicitud (sin transmitir datos sensibles en texto claro);
  • Soporte informativo automatizado vía chatbot sobre derechos, plazos y documentos requeridos;
  • Recopilar retroalimentación sobre la calidad de los servicios y la experiencia del paciente.

Para empresas de atención médica privadas, grupos clínicos, clínicas ambulatorias y compañías de seguros, WhatsApp Business y la gestión compatible con GDPR le permiten integrar el canal en los CRM de atención médica, rastrear interacciones y orquestar campañas de prevención o recordatorio de una manera que cumpla con las regulaciones y los requisitos de consentimiento.

Las oportunidades de negocio surgen de una mayor fidelización, una mayor satisfacción del paciente y una reducción de los costes de atención al cliente, gracias a la automatización de solicitudes e información repetitivas. La clave reside en separar rigurosamente los flujos de comunicación de marketing de aquellos que implican el intercambio de datos sanitarios, adoptando políticas, información y herramientas técnicas adecuadas.

Cómo SendApp puede ayudar con WhatsApp Business y el RGPD sanitario

Para gestionar WhatsApp Business y el RGPD sanitario de forma estructurada, las organizaciones sanitarias necesitan plataformas profesionales capaces de integrar API oficiales, automatización, gestión del consentimiento y control de acceso centralizado. Aquí es donde entra en juego el ecosistema de SendApp.

Con SendApp Official, las organizaciones pueden utilizar el API oficiales de WhatsApp Business Para orquestar comunicaciones escalables y seguras: notificaciones de citas, recordatorios de exámenes y alertas sobre la disponibilidad de documentos, siempre en cumplimiento con las políticas de WhatsApp y el RGPD. Las integraciones con sistemas de gestión sanitaria y CRM permiten mantener los datos en infraestructuras controladas, lo que reduce el riesgo de uso indebido.

SendApp Agent Permite gestionar las conversaciones de los pacientes en equipo, con asignaciones de chat, etiquetas personalizadas, notas internas e informes. De esta forma, la atención al cliente puede responder de forma consistente y con seguimiento a las solicitudes de información sobre derechos de acceso, estado de las solicitudes y rutas clínicas, dejando los datos sensibles de salud fuera del canal, que deberían circular por canales más seguros.

Para escenarios más avanzados, SendApp Cloud Ofrece capacidades de automatización de marketing y flujo de trabajo omnicanal: es posible configurar journeys que, previo consentimiento, informan al paciente sobre chequeos periódicos, campañas de prevención o actualizaciones de servicios, integrando WhatsApp Business con correo electrónico, SMS y otros puntos de contacto, siempre en línea con los requisitos de seguridad y privacidad.

En un contexto donde el derecho al acceso a los datos sanitarios cobra cada vez mayor importancia y la digitalización se acelera, adoptar una plataforma estructurada como SendApp permite transformar el cumplimiento normativo en una palanca de valor: menos tiempo en microtareas repetitivas, mayor enfoque en la relación con los pacientes y la calidad del servicio. Para las organizaciones sanitarias que buscan evolucionar sus comunicaciones y alinear WhatsApp Business con el RGPD sanitario, ahora es el momento ideal para considerar una consulta personalizada y comenzar una prueba gratuita de las soluciones de SendApp.

Dejar una respuesta