Automatización para clínicas
Chatbot de WhatsApp para clínicas y RGPD: cómo cumplir la ley sin complicaciones
13 de junio de 2026 · 7 min de lectura
Cuando un dueño de clínica empieza a valorar un chatbot de WhatsApp, casi siempre surge la misma duda antes que cualquier otra: «¿esto es legal? ¿puedo tener un bot hablando con mis pacientes y gestionando sus datos sin meterme en un problema con el RGPD?».
Es una pregunta razonable —en una clínica se manejan datos especialmente sensibles, los de salud— y conviene tener la respuesta clara antes de dar el paso. La buena noticia es que sí, es legal, y no es complicado de cumplir si la solución está bien configurada desde el principio.
En este artículo vas a entender si es legal usar un chatbot de WhatsApp en tu clínica, qué dice exactamente el RGPD sobre los datos de tus pacientes, cómo configurar el chatbot para cumplirlo, qué documentos necesitas tener preparados y un checklist final para repasarlo todo de un vistazo.
¿Es legal usar un chatbot de WhatsApp en una clínica?
Sí. No existe ninguna norma que prohíba usar un chatbot para atender a pacientes por WhatsApp. Lo que exige la ley —el RGPD y, en España, la LOPDGDD— es que el tratamiento de los datos que ese chatbot recoge y gestiona se haga con las mismas garantías que exigirías a cualquier otro canal de comunicación con tus pacientes.
En la práctica, esto significa que el chatbot debe informar de cómo se tratan los datos, no recoger más información de la necesaria, contar con las medidas de seguridad adecuadas y, si usa servicios de terceros —como una IA en la nube—, que ese proveedor también cumpla con sus obligaciones. Nada de esto es distinto a lo que ya deberías tener cubierto si tu clínica usa, por ejemplo, un software de gestión de pacientes o un sistema de citas online.
Dicho de otra forma: el chatbot no añade un riesgo nuevo por el hecho de ser un chatbot. El riesgo —y la responsabilidad— es la misma que ya tienes con cualquier canal donde se recogen datos de pacientes. La diferencia es que, como WhatsApp es el canal que más abren tus pacientes —entre un 95% y un 98% de los mensajes se leen—, conviene tenerlo bien configurado desde el primer día.
Qué dice el RGPD sobre el tratamiento de datos de pacientes
El RGPD clasifica los datos de salud como una categoría especial de datos, que requiere un nivel de protección más alto que otros datos personales. Esto no significa que no se puedan tratar —de hecho, una clínica trata datos de salud constantemente— sino que hay que hacerlo con especial cuidado.
Principio de minimización de datos
El chatbot solo debe recoger los datos estrictamente necesarios para atender la consulta o agendar la cita: nombre, contacto, tratamiento de interés, disponibilidad. No tiene sentido —ni es legal— que pida información clínica detallada por WhatsApp si esa información se va a recoger de todos modos en la consulta presencial.
Información clara sobre el tratamiento de datos
La persona que escribe por WhatsApp tiene derecho a saber quién trata sus datos, con qué finalidad, durante cuánto tiempo y qué derechos tiene —acceso, rectificación, supresión—. Esta información se suele ofrecer mediante un enlace a la política de privacidad, de forma accesible desde la propia conversación.
Base legal para el tratamiento
Cuando un paciente escribe voluntariamente para preguntar por un tratamiento o pedir una cita, está iniciando una relación precontractual —esa es, normalmente, la base legal que permite al chatbot responder y gestionar esos datos. Si más adelante el chatbot va a usar esos datos para otros fines, como enviar recordatorios o comunicaciones comerciales, hace falta una base legal adicional —normalmente, el consentimiento explícito.
Cómo configurar el chatbot para cumplir el RGPD
La buena noticia es que cumplir el RGPD con un chatbot de WhatsApp no requiere grandes complicaciones técnicas —se trata, sobre todo, de configurarlo correctamente desde el inicio. Esto es lo que hay que tener en cuenta.
Limitar la información que solicita el chatbot
Configura el chatbot para que recoja solo lo necesario: datos de contacto, tratamiento de interés y disponibilidad. Cualquier dato clínico más detallado debe quedar para la consulta con el profesional, no para la conversación por WhatsApp.
Incluir el aviso de privacidad en la conversación
El chatbot puede incluir, de forma natural dentro de la conversación, un enlace a la política de privacidad de tu clínica —por ejemplo, al recoger el primer dato personal o al ofrecer agendar una cita. No tiene que ser intrusivo ni interrumpir la conversación: basta con que esté disponible y accesible.
Verificar el contrato con el proveedor del chatbot
Si el chatbot usa servicios de IA de un tercero para generar las respuestas, tu clínica sigue siendo responsable del tratamiento, pero el proveedor actúa como encargado del tratamiento. Esto debe quedar reflejado en un contrato que garantice que los datos se tratan conforme al RGPD, con medidas de seguridad adecuadas y sin usos no autorizados. Para entender qué hace exactamente este tipo de agente y cómo se configura en el día a día, en chatbot de WhatsApp para clínicas estéticas lo explicamos con detalle.
Definir plazos de conservación de las conversaciones
Establece durante cuánto tiempo se conservan las conversaciones y los datos recogidos —por ejemplo, mientras dure la relación con el paciente más el plazo legal que aplique en tu sector— y asegúrate de que, pasado ese tiempo, se puedan eliminar o anonimizar.
Qué documentos necesitas: política de privacidad y consentimiento
Más allá de la configuración técnica del chatbot, hay una parte documental que no puede faltar. Estos son los documentos que conviene tener listos.
Política de privacidad actualizada
Debe incluir el canal de WhatsApp como uno de los medios por los que tu clínica recoge datos, especificando que las conversaciones pueden ser atendidas —total o parcialmente— por un sistema automatizado, y detallando quién tiene acceso a esos datos, con qué finalidad y durante cuánto tiempo se conservan.
Cláusula informativa en el primer contacto
Un breve mensaje o enlace que informe a la persona, desde el primer momento, de cómo se van a tratar sus datos —sin necesidad de que tenga que leer un documento largo para poder hacer una simple pregunta sobre precios o disponibilidad—.
Registro de actividades de tratamiento
Si tu clínica ya tiene un registro de actividades de tratamiento —obligatorio en la mayoría de casos según el RGPD— hay que actualizarlo para incluir el chatbot de WhatsApp como nuevo canal y, si corresponde, al proveedor que presta ese servicio como encargado del tratamiento.
Contrato de encargado de tratamiento con el proveedor
El documento que formaliza que el proveedor del chatbot trata los datos en nombre de tu clínica, con las garantías que exige el RGPD. Es el documento que deberías solicitar antes de contratar cualquier solución, y que cualquier proveedor serio debe poder ofrecerte sin problema.
Checklist de cumplimiento RGPD para tu chatbot
Antes de poner en marcha tu chatbot de WhatsApp, repasa estos puntos:
El chatbot recoge solo los datos necesarios para atender la consulta o agendar la cita. La política de privacidad de tu clínica incluye WhatsApp como canal y menciona el tratamiento automatizado. La persona puede acceder fácilmente a la información sobre cómo se tratan sus datos desde la propia conversación. Existe un contrato de encargado de tratamiento con el proveedor del chatbot, si usa servicios externos de IA. Están definidos los plazos de conservación de las conversaciones y el procedimiento para eliminarlas. El registro de actividades de tratamiento de tu clínica incluye este nuevo canal.
Si tienes estos puntos cubiertos, tu chatbot de WhatsApp cumple con el RGPD sin que tengas que renunciar a nada de lo que lo hace útil: responder al instante, las 24 horas, casi un 40% de las consultas que hoy llegan fuera de horario y se quedan sin atender. Si quieres ver con detalle qué puede hacer este tipo de agente por tu clínica, en qué es un chatbot de WhatsApp para clínicas estéticas tienes toda la información.