RGPD Art. 9 + IA en clínica privada · categoría especial

El artículo 9 del RGPD prohíbe el tratamiento de datos de categoría especial (entre ellos los datos relativos a la salud) salvo excepciones tasadas · y exige garantías adicionales sobre el RGPD ordinario · medidas técnicas y organizativas reforzadas, base de licitud específica, evaluación de impacto si procede, designación de DPO en muchos casos sanitarios. La pregunta operativa con IA generativa · ¿pegar un historial clínico en ChatGPT Team es tratamiento del Art. 9? Sí · sin matices. ¿La cuenta corporativa con DPA basta? No · porque el Art. 9 exige garantías adicionales que el DPA ordinario no entrega automáticamente. La frontera entre tareas administrativas y tareas clínicas resuelve casi toda la conversación.

Cinco familias de tareas operativas que NO implican Art. 9 RGPD y por tanto SÍ admiten asistencia IA con cuenta corporativa Team/Enterprise con DPA. Primera · plantillas de comunicación administrativa (presupuestos, condiciones generales, política de cancelación). Segunda · recordatorios genéricos de cita en castellano y catalán (sin información clínica identificable · solo nombre, fecha, hora, recomendación general). Tercera · respuestas a consultas administrativas de pacientes (horarios, formas de pago, accesos). Cuarta · gestión interna no clínica (planificación turnos administrativos, actas reuniones operativas internas). Quinta · marketing institucional (newsletters informativas no clínicas, redes sociales no diagnósticas). Las cinco familias respetan RGPD Art. 9 porque ningún dato sanitario identificable abandona el sistema clínico.

Cinco prohibiciones absolutas en clínica privada. Primera · pegar historia clínica completa o fragmento identificable en cualquier cuenta IA externa (incluida Team/Enterprise con DPA). Segunda · solicitar diagnóstico, segunda opinión o interpretación clínica a IA generativa con datos del paciente · ningún modelo está autorizado como producto sanitario. Tercera · generar consentimientos informados sanitarios sin revisión letrada · la Ley 41/2002 impone requisitos formales específicos. Cuarta · pegar resultados de pruebas diagnósticas con identificación del paciente (analíticas, imagen, biopsia). Quinta · transcribir conversación profesional sanitario-paciente sin sistema certificado para datos sanitarios. Las cinco son prohibición absoluta · saltarlas es infracción AEPD potencialmente sancionable hasta 20 millones de euros (Art. 83 RGPD).

Hay una zona gris frecuente · datos que parecen administrativos pero pueden inferir información clínica. Ejemplos · 'recordatorio cita análisis hormonal' (revela contexto ginecológico/endocrino), 'recordatorio cita oncología' (revela diagnóstico), 'plantilla pago tratamiento fertilidad' (revela tratamiento). La regla operativa · si el contenido del prompt permite inferir información clínica identificable · ya es Art. 9 · no debe pegarse en IA externa. Solución práctica · usar plantillas neutras ('su próxima cita', 'su tratamiento programado') sin especificar el motivo médico. Mantiene utilidad operativa sin cruzar la frontera Art. 9.

Tres niveles. Nivel 1 mínimo · ChatGPT Team/Enterprise, Claude for Work, Microsoft Copilot M365 Business o Gemini for Workspace · todos con DPA Art. 28 RGPD firmado. Nivel 2 reforzado · misma cuenta + política IA interna firmada por toda la plantilla con lista explícita de datos prohibidos en prompts (la lista clínica del punto anterior). Nivel 3 expediente · misma cuenta + política firmada + acreditación nominal Art. 4 EU AI Act por persona del equipo administrativo que use IA · registro de cuentas activas · procedimiento de incidencias. Los tres niveles son acumulativos · el nivel 3 es el que defiende ante una eventual inspección AEPD.

El RGPD Art. 37 obliga a designar DPO en tres supuestos · administraciones públicas, tratamiento a gran escala de datos de categoría especial, observación sistemática a gran escala. La mayoría de clínicas privadas pequeñas (4-12 personas) no superan el umbral 'gran escala' por sí mismas · pero la AEPD lo interpreta caso a caso. Recomendación operativa · si la clínica trata más de 200 pacientes activos con historia clínica electrónica, conviene DPO designado · interno o externo. El DPO valida la política IA interna · es un complemento, no un sustituto del expediente Art. 4 EU AI Act.

La tarea más frecuente de aplicación IA en clínica privada en Cataluña son los recordatorios bilingües de cita. Una clínica dental de 12 personas en Sant Cugat envía 80-120 recordatorios semanales. El uso típico operativamente seguro · el equipo administrativo abre Gemini for Workspace (si la clínica vive en Google) o ChatGPT Team · plantilla con nombre, fecha, hora, recomendación general (no ayuno si analítica, no maquillaje si cirugía menor) · adapta tono cálido bilingüe · revisión humana antes de envío. Cero datos clínicos identificables · cero información diagnóstica · solo logística de cita. Esta tarea respeta RGPD Art. 9 porque ningún dato sanitario abandona el sistema clínico de la clínica.

Una clínica de fisioterapia en Maresme realiza reuniones semanales de coordinación administrativa (turnos, presupuestos, comunicación interna, planificación vacaciones). Estas reuniones NO incluyen comité clínico ni sesión diagnóstica · solo gestión operativa. El acta operativa interna se genera tras la reunión vía ChatGPT Team con DPA · estructuración de decisiones tomadas, tareas asignadas, plazos · revisión por gerencia · circulación interna. Respeta Art. 9 porque cero datos clínicos identificables salen del sistema · todo el contenido es ámbito administrativo. La diferencia con un comité clínico es absoluta · confundir ambos sería infracción severa.

Cinco patrones observados durante 2025-2026 en clínicas privadas en Cataluña. Primero · usar ChatGPT Plus desde móvil personal del recepcionista para 'una consulta rápida' (Plus es personal · no DPA · expone Art. 9). Segundo · pegar fragmento de historial clínico para resumir tras una visita (Art. 9 absoluto · prohibido). Tercero · pedir a IA generativa segunda opinión sobre síntomas de paciente concreto (no autorizada como producto sanitario · responsabilidad civil profesional del titular). Cuarto · transcribir grabaciones de visita clínica con herramienta sin DPA (Art. 9 + Ley 41/2002). Quinto · generar consentimiento informado sin revisión letrada (Ley 41/2002 impone requisitos formales). Los cinco se evitan con política IA interna firmada por la plantilla + acreditación nominal Art. 4.

Sesión cero · firma NDA + DPA Art. 28 RGPD + Acta de Inicio + Política IA con lista explícita de datos clínicos prohibidos en prompts. Día 1 grupal · introducción + las seis reglas de oro firmadas + acreditación nominal Art. 4 inicial · marco RGPD Art. 9 + Ley 41/2002 trabajado explícitamente. Día 2 persona a persona · sobre tareas administrativas reales de la clínica con anonimización rigurosa donde aplique · cierra dos o tres prompts validados por puesto. Cierre · acta firmada + acreditación completa + cuentas corporativas con DPA + frontera Art. 9 documentada + procedimiento de incidencias activado. Producto completo en IA para clínicas.

Si la clínica privada aún no tiene política IA interna firmada por la plantilla con lista explícita de datos clínicos prohibidos en prompts, los criterios anteriores no son aspiracionales · son la base mínima para que RGPD Art. 9 admita uso de IA en tareas administrativas. La llamada de veinte minutos valida encaje sin guion comercial. Lecturas relacionadas · IA para clínicas · guía Art. 4 EU AI Act · consultoría IA Barcelona · calculadora FUNDAE para confirmar cobertura. Marco legal en otros sectores con sensibilidad reforzada · LGT Art. 95 + IA en asesoría fiscal · LOPJ Art. 542 + IA en despacho de abogados · LPH + Libro V CCC + IA en administrador de fincas.