CRM para clínicas privadas: automatizar sin violar la LOPDGDD
Cómo elegir CRM y agenda para clínica privada cumpliendo LOPDGDD: datos sanitarios, consentimiento, encargado del tratamiento, backups y log de accesos. Lo que cumple y lo que parece pero no.
Contenidos
Una clínica privada con 3 doctoras gestiona unas 300-600 citas al mes, 50-150 pacientes nuevos al año, y entre 1.000 y 3.000 historiales activos. Cada uno de esos datos es una categoría especial según RGPD/LOPDGDD: dato de salud que requiere protección reforzada. Y cada SaaS que uses (CRM, agenda, chatbot, facturación) toca esos datos.
El problema no es solo elegir un CRM cómodo. Es elegir uno que no te genere una multa de 20.000-300.000€ por no cumplir bien con los requisitos específicos de datos sanitarios. Este post explica qué cumplir, dónde están las trampas habituales y cómo distinguir software realmente compliant de marketing que solo lo dice.
TL;DR
- Categoría especial: los datos sanitarios requieren consentimiento explícito + base legal específica + cifrado + log de accesos
- Encargado del tratamiento: todo CRM que toque datos sanitarios necesita contrato firmado contigo (no plantilla genérica)
- Servidores UE obligatorio: datos sanitarios no pueden almacenarse fuera del EEE sin garantías reforzadas
- Multas: hasta 20.000.000€ o 4% facturación anual (lo que sea mayor) por violación grave
- Software apto: pocas opciones realmente preparadas para datos sanitarios · la mayoría sirve para SMB genérico pero no clínica privada
Las 6 cosas que la LOPDGDD exige específicamente para clínicas
1. Base legal específica
Para tratar datos sanitarios, una de estas debe aplicar:
- Consentimiento explícito del paciente (no implícito, no “siguiendo navegando aceptas”)
- Asistencia sanitaria (paciente que viene a tratarse · base legal directa Art. 9.2.h RGPD)
- Obligación legal (declaraciones obligatorias · vacunaciones · etc.)
- Interés vital (urgencia que pacientes inconsciente)
La mayoría de tu CRM se justifica por la base legal de “asistencia sanitaria” cuando es paciente activo. Pero el chatbot pre-consulta o el formulario web requieren consentimiento explícito específico.
2. Consentimiento informado (cuando aplica)
El consentimiento NO es marcar un checkbox tipo “He leído la política de privacidad”. Para datos sanitarios:
- Debe ser ESPECÍFICO (qué datos, para qué finalidad)
- Debe ser INFORMADO (con texto claro de qué pasará con sus datos)
- Debe ser GRANULAR (consentimiento separado para marketing vs asistencial)
- Debe ser REVOCABLE en cualquier momento
Tu formulario web no puede tener UN solo “Acepto las condiciones”. Necesita al menos 2-3 checkboxes separados (datos médicos · contacto comercial · marketing).
3. Encargado del tratamiento (contrato obligatorio)
Si usas SaaS para gestionar datos de pacientes, ese proveedor es encargado del tratamiento (Art. 28 RGPD). Necesitas contrato específico firmado con cada proveedor que toque esos datos. NO basta con aceptar los Términos de uso de la web.
Proveedores serios tienen DPA (Data Processing Agreement) descargable. Si tu SaaS no lo tiene · no cumple · busca otro.
4. Cifrado en tránsito y reposo
Datos sanitarios deben estar:
- Cifrados en tránsito (HTTPS · TLS 1.2+ obligatorio)
- Cifrados en reposo (base de datos cifrada · backups cifrados)
- Cifrado de claves independiente del cifrado de datos
Casi todos los SaaS serios cumplen tránsito. El cifrado en reposo varía mucho · pregunta específicamente.
5. Log de accesos
Debes poder auditar:
- Quién accedió a cada historial (usuario · fecha · acción)
- Cambios realizados (qué se modificó · cuándo · por quién)
- Exportaciones (quién exportó · qué · cuándo)
Si tu CRM no tiene log de accesos visible y exportable · no cumple para datos sanitarios.
6. Servidores en EEE (o garantías reforzadas)
Datos sanitarios no pueden almacenarse fuera del Espacio Económico Europeo sin garantías específicas (cláusulas contractuales tipo + análisis de transferencia). Esto excluye en la práctica casi todos los SaaS US que tengan datos en us-east-1 de AWS.
Verifica: ¿dónde están los servidores de tu SaaS? Si la respuesta es “us-east-1” o “Frankfurt + backup en us-west-2” · probablemente NO cumple sin trabajo extra legal.
Opciones reales 2026 (con caveats)
Cal.com Self-Hosted
Cumplimiento sanitario: alto. Puedes self-hostear en tu propio servidor (datos nunca salen de tu infraestructura). Cifrado configurable. Log de accesos disponible.
Trade-off: requiere equipo técnico para self-host. Si no lo tienes · queda fuera de alcance.
Para qué clínica: clínica con doctorado técnico en familia o IT externalizado serio.
SimplyBook.me Plan Premium
Cumplimiento sanitario: medio-alto. Servidores en UE (Estonia). DPA disponible. Log de accesos en plan Premium. Plantillas específicas sanitarias.
Trade-off: UI menos moderna · integraciones CRM limitadas a Zapier.
Para qué clínica: clínica pequeña-mediana sin necesidad de CRM complejo.
Doctolib España
Cumplimiento sanitario: alto · está pensado específicamente para sanidad. Servidores en EU. DPA específico sanitario. Integración con historia clínica electrónica.
Trade-off: Caro (varios cientos €/mes). Pricing opaco · te lo pasan tras demo. Ya tiene cuota grande del mercado clínicas privadas en grandes ciudades.
Para qué clínica: clínica mediana-grande que quiere estándar de mercado.
Iclinic / Doplim / Carenity
Cumplimiento sanitario: alto en su nicho. Pensados específicamente clínica privada. Algunos integrados con módulos historia clínica · facturación · receta digital.
Trade-off: Verticales · si no eres el perfil exacto se quedan cortos o se sobrepasan.
Para qué clínica: según vertical · investigar la específica de tu especialidad.
BAI Agenda + CRM (plataforma integrada)
Cumplimiento sanitario: alto. Servidores ES · DPA sanitario · cifrado tránsito+reposo · log de accesos completo. Diseñado por BAI Business desde España.
Trade-off: Producto más joven que Doctolib · funcionalidad específica clínica (historia clínica · receta digital) puede estar en roadmap no live.
Bias del autor declarado: este post lo escribe el CEO de BAI Business. Estoy parte interesada.
Para qué clínica: clínica que valora plataforma integrada (agenda+CRM+chatbot+facturación) sin contratar 4 SaaS distintos.
HubSpot · Pipedrive · Notion
Cumplimiento sanitario: insuficiente sin trabajo legal extra. Servidores US. DPA genérico no específico sanitario. Datos pacientes en CRM US = riesgo de incumplimiento.
NO usar para gestión clínica pura. Pueden valer para captación marketing pre-consulta si el dato que recoge no es sanitario aún (nombre + email + interés general).
Lo que parece compliant pero no lo es
Tres trampas habituales:
1. “Datos almacenados en Frankfurt = Europa, cumplo”
Falso. Si los servidores backup están en US (típico de muchos SaaS US “europeos”), tu dato sanitario sale del EEE sin garantías. Pregunta específicamente: “¿dónde están TODOS los datos · incluidos backups y CDN?“.
2. “El SaaS tiene certificación ISO 27001”
ISO 27001 es seguridad de la información. Es bueno pero NO suficiente para datos sanitarios. Necesitas también ISO 27018 (gestión de PII en cloud) · ISO 27799 (información sanitaria) o equivalente.
3. “DPA disponible para firmar”
Tener DPA NO basta. Léelo. Algunos DPAs genéricos no cubren datos categoría especial. Necesitas DPA específico que mencione datos sanitarios y prohíba sub-encargados fuera del EEE sin tu permiso explícito.
Coste real cumplimiento para clínica privada 2026
| Tamaño clínica | Stack típico | Coste mensual |
|---|---|---|
| 1-2 doctores | Cal.com self-host + Holded + Mailchimp UE | 30-80 € |
| 3-5 doctores | SimplyBook Premium + BAI CRM + Stripe ES | 120-250 € |
| 5-15 doctores | Doctolib o BAI Plan Pro + módulos | 300-800 € |
| 15+ doctores | Solución vertical sanitaria custom | 800-3.000+ € |
Si pagas mucho menos · probablemente no cumples bien (o si cumples es porque te falta funcionalidad). Si pagas mucho más · probablemente compras “enterprise” que no aprovechas.
Preguntas frecuentes
¿Cuál es el CRM más recomendado para una clínica privada pequeña en España?
Depende del perfil. Para clínica de 1-3 doctoras valorando coste: SimplyBook.me Premium + Holded como facturación + comunicación con Mailchimp UE. Para clínica que quiera plataforma integrada: BAI o Doctolib según presupuesto. Para clínica con doctorado técnico: Cal.com self-host + ERP propio.
¿Puedo usar Notion para gestión de pacientes?
NO directamente. Notion almacena datos en US y no tiene DPA sanitario específico. Puedes usarlo para gestión interna NO-sanitaria (cosas de equipo · tareas internas), pero los historiales clínicos NO pueden vivir en Notion.
¿Cuánta multa puede caerme por gestionar mal datos sanitarios?
Las multas RGPD para datos categoría especial llegan hasta el mayor de: 20.000.000 € o 4% facturación anual mundial. En la práctica, AEPD tiende a sancionar primer incumplimiento con cifras 5.000-50.000€ para PyME. Reincidencia o casos graves escalan rápidamente.
¿Necesito que cada paciente firme un consentimiento por papel?
No necesariamente papel. Pero sí necesitas registro auditable de cada consentimiento: cuándo se obtuvo · qué incluyó · cómo se le informó. Sistema digital con timestamp + texto firmado electrónicamente vale.
¿Mi chatbot puede preguntar al paciente por su patología antes de cita?
Solo si: (a) primero le pides consentimiento explícito específico para procesar dato sanitario · (b) el chatbot está hosted en servidores EEE · (c) los datos van a tu CRM también compliant. Si alguna de las 3 falla · NO debe preguntar.
¿Cuánto tarda implementar CRM clínica desde cero?
Realista: 2-4 semanas. Semana 1-2: configuración legal (DPA · políticas · consentimiento). Semana 2-3: configuración técnica (campos · usuarios · permisos). Semana 3-4: formación equipo + pruebas. Después: operación.
También te puede interesar
- Mejores apps de agenda con CRM integrado para PyMEs — la pieza que cubre cita + reserva en clínica privada.
- Mapa del recorrido del cliente para PyMEs — cómo organizar el viaje paciente sin fricción innecesaria.
- CRM para despachos de abogados: matters, conflict checks y facturación por horas — otro sector con CRM especializado y requisitos legales propios, útil para entender el patrón.
En resumen
CRM para clínica privada en España 2026:
- 6 requisitos clave LOPDGDD: base legal · consentimiento explícito · DPA · cifrado · log accesos · servidores EEE
- 5 opciones reales: Cal.com self-host · SimplyBook Premium · Doctolib · vertical sanitario · BAI integrado
- 3 trampas habituales: servidores backup US · ISO 27001 sola · DPA genérico
- Coste realista: 30-800 €/mes según tamaño
- Multas: hasta millones, en práctica 5.000-50.000 € primer incumplimiento PyME
Lo importante: NO escojas CRM/agenda solo por funcionalidad cómoda. Lista primero los 6 requisitos LOPDGDD · descarta los que no cumplen · después compara funcionalidad y precio entre los que sí. El orden importa.
¿Sabes cuánto pagas hoy entre todas tus herramientas? Descarga la plantilla gratuita y calcula tu stack real en 10 minutos. Descargar plantilla →
También en el blog