NutriManager
NutriManager

NutriManager

Producto ISAK y especialidades Centros Módulos Confianza Contacto Probar 30 días
Gestión de centro

RGPD y expediente nutricional: mínimo viable

Qué documentar, qué no guardar y cómo auditar el expediente digital sin paralizar la consulta

8 min NutriManager

El expediente nutricional contiene datos de salud: antropometría, patologías, medicación, hábitos alimentarios y, en muchos casos, fotografías corporales. El RGPD no prohíbe trabajar en digital; exige **transparencia, base legal, seguridad y trazabilidad**. Esta guía resume el mínimo viable que cualquier nutricionista o centro debería tener antes de digitalizar la consulta.

¿El RGPD aplica a mi consulta de nutrición?

, si tratas datos personales de pacientes en la UE (o ofreces servicios a residentes en la UE). Los datos de salud son categoría especial (art. 9 RGPD): requieren base legal específica y medidas de seguridad reforzadas.

Responsable del tratamiento:
- Nutricionista autónomo → tú eres responsable de tu expediente
- Centro/clínica → el centro suele ser responsable; el profesional actúa como encargado o usuario autorizado según contrato interno

Encargado del tratamiento: el proveedor del software (SaaS) que aloja los datos en su nombre. Debe existir contrato de encargado (DPA) o cláusulas equivalentes en los términos del servicio.

Base legal: no todo es «consentimiento»

Error frecuente: pedir consentimiento para todo. En nutrición clínica, las bases legales habituales son:

1. Ejecución de contrato / prestación de servicios sanitarios (art. 6.1.b + 9.2.h): elaborar y seguir el plan nutricional acordado con el paciente
2. Obligación legal (art. 6.1.c): conservación de historias clínicas según normativa sanitaria de tu país
3. Interés vital (art. 9.2.c): solo en urgencias (raro en consulta programada)
4. Consentimiento explícito (art. 9.2.a): para tratamientos no imprescindibles — p. ej. uso de fotografías en marketing, envío de newsletter, compartir datos con terceros no sanitarios

El consentimiento de privacidad en el intake cubre el tratamiento de datos para la consulta; no sustituye el consentimiento informado clínico para procedimientos concretos (valoración ISAK con fotografía, por ejemplo).

Qué debe registrar el expediente digital (mínimo RGPD)

En el alta del paciente:
- Aceptación de política de privacidad (fecha, hora, no pre-marcada)
- Identificación del responsable del tratamiento (nombre del profesional o centro)
- Finalidad: prestación del servicio nutricional

Durante el seguimiento:
- Quién accedió al expediente y cuándo (auditoría básica)
- Consentimientos específicos firmados (portal, intake, procedimientos)
- Comunicaciones relevantes registradas (no WhatsApp suelto sin copia en expediente)

Lo que NO debes guardar sin necesidad:
- Copias de DNI completas si no son obligatorias
- Datos de terceros no vinculados al tratamiento
- Notas personales del paciente sobre terceros
- Contraseñas o datos bancarios completos en notas libres

Derechos del paciente: cómo responder en 30 días

El paciente puede ejercer:

| Derecho | Qué implica en práctica |
|---------|------------------------|
| Acceso | Copia de su expediente (export PDF o extracto) |
| Rectificación | Corregir datos erróneos (nombre, alergias…) |
| Supresión | «Derecho al olvido» — limitado si hay obligación legal de conservar historia clínica |
| Limitación | Bloquear tratamientos no esenciales mientras se resuelve una disputa |
| Portabilidad | Entregar datos en formato estructurado (CSV/JSON) si es técnicamente posible |
| Oposición | Marketing directo; no a la atención clínica en curso |

Plazo: 1 mes (prorrogable 2 meses más si es complejo). Documenta cada solicitud y respuesta en un registro interno, aunque sea una hoja de cálculo al inicio.

Retención y borrado: cuánto tiempo guardar

No hay un plazo único en toda la UE; depende de la normativa sanitaria nacional. Referencia habitual en España: conservación de historias clínicas durante un mínimo de 5 años desde el último contacto asistencial (verificar con tu colegio y ley autonómica).

Buenas prácticas:
- Definir política de retención por escrito (aunque sea 1 página)
- Archivar pacientes dados de alta; no borrar datos clínicos prematuramente
- Al final del plazo: borrado seguro o anonimización irreversible
- Backups: el proveedor SaaS debe indicar plazo de retención en copias de seguridad

Borrar un expediente «porque el paciente lo pidió» sin revisar obligación legal puede generar más problemas que conservarlo con acceso restringido.

Seguridad técnica mínima (sin ser informático)

Checklist que puedes verificar con tu proveedor de software:

☐ Conexión HTTPS en toda la aplicación
☐ Contraseñas con hash (nunca en texto plano)
☐ Sesiones con timeout tras inactividad
☐ Roles diferenciados (admin centro vs. profesional vs. paciente)
☐ Copias de seguridad automáticas
☐ Servidores en UE o cláusulas de transferencia si están fuera
☐ Registro de accesos al expediente
☐ IA: anonimización del nombre del paciente si se envían datos a APIs externas

Si usas Excel en USB o email sin cifrar, el software cumple RGPD pero tu flujo manual no.

Checklist RGPD de 15 minutos para tu consulta

☐ Política de privacidad publicada y enlazada desde intake/alta
☐ Casilla de aceptación no pre-marcada en formularios
☐ Contrato o términos con el proveedor SaaS (encargado del tratamiento)
☐ Procedimiento escrito para solicitudes de acceso/supresión
☐ Formación básica del equipo: no compartir pantalla con datos en redes públicas
☐ Acceso al expediente solo para profesionales que atienden al paciente
☐ Pacientes pediátricos: tutor legal identificado y autorizado en portal
☐ Revisión anual: ¿sigue vigente la política? ¿hay nuevos módulos (IA, portal)?

¿Quieres un expediente digital con consentimiento y trazabilidad integrados?

NutriManager registra aceptación de privacidad en intake, controla accesos por rol y anonimiza datos en módulos de IA.

Probar expediente en trial Demo para mi centro

Preguntas frecuentes

Puedes, pero WhatsApp no es un sistema clínico auditado. Para cumplimiento reforzado, prioriza portal del paciente o email cifrado. Si usas WhatsApp, documenta que el paciente lo prefiere y evita datos sensibles innecesarios en el chat.

Puede elegir otro profesional o solicitar limitaciones. Si acepta el servicio, el tratamiento en software clínico con DPA es habitual y legítimo. Ofrece transparencia sobre dónde se alojan los datos.

NutriManager incluye consentimiento en intake, roles de acceso, auditoría básica y anonimización en módulos de IA. El cumplimiento global depende también de cómo configures tu centro, tu política de privacidad y tu relación con el paciente.

No hace falta un registro RGPD por cada visita. Sí debes tener un registro de actividades de tratamiento (RAT) a nivel de responsable, describiendo finalidades, categorías de datos y plazos de conservación.

Notificación a la autoridad de control en 72 h si hay riesgo para derechos de las personas, y al paciente si el riesgo es alto. Tu proveedor SaaS debe tener procedimiento de incidentes; consérvalo documentado.

guides.more_guides

Cómo documentar una valoración ISAK en consulta Centro de nutrición con varios profesionales: gestión clínica sin duplicidades Portal del paciente en nutrición clínica: qué incluir y cómo usarlo Software de nutrición deportiva: qué necesita un nutricionista de alto rendimiento IA aplicada a planes nutricionales: guía práctica sin promesas vacías Facturación en consulta de nutrición: modelos y flujo práctico Percentiles pediátricos en consulta: OMS, criterios y gráficas Intake digital del paciente: qué pedir y qué evitar Seguimiento de adherencia al plan sin saturar al paciente Biblioteca de recetas clínicas vs. recetario genérico Recursos gratuitos →