Si envías recordatorios de citas a tus pacientes por SMS o WhatsApp, estás procesando información médica protegida (PHI), incluso si el mensaje solo dice "No olvides tu cita mañana a las 10". Los reguladores a ambos lados del Atlántico se lo toman en serio, y las multas por equivocarse han dejado de ser simbólicas para volverse realmente dolorosas. La buena noticia: los recordatorios que cumplen la normativa no son complicados una vez que conoces las reglas. Esta guía recorre HIPAA, GDPR (RGPD en España), TCPA, LGPD y PIPEDA aplicadas a los [recordatorios de cita por SMS](/es/recordatorio-sms-cita-dental/) y los [recordatorios de cita por WhatsApp para dentistas](/es/recordatorio-whatsapp-cita-dental/), y te ofrece una plantilla que puedes copiar hoy mismo en tus [recordatorios por SMS](/es/recordatorio-sms-cita-dental/).  ## El mapa normativo: HIPAA, GDPR, LGPD y PIPEDA Antes de hablar de SMS y WhatsApp en concreto, identifica qué marco te aplica. La jurisdicción sigue al paciente, no a la clínica, así que si atiendes a un residente estadounidense en París o a un ciudadano de la UE en Miami, ambos marcos pueden aplicarse. - **HIPAA (Estados Unidos)** — La Health Insurance Portability and Accountability Act regula la PHI de cualquier "entidad cubierta" (las clínicas dentales incluidas) y sus "socios comerciales" (tu proveedor de recordatorios). Fija un mínimo federal; las leyes estatales pueden añadir requisitos encima. - **GDPR / RGPD (Unión Europea y Reino Unido)** — Trata cualquier información que vincule a un paciente identificable con un servicio de salud como una "categoría especial" de datos. Necesitas tanto una base jurídica (artículo 6) como una condición específica para tratar datos de salud (artículo 9). En España se complementa con la LOPDGDD. - **LGPD (Brasil)** — Inspirada de cerca en el GDPR, pero con su propia autoridad reguladora (ANPD). El consentimiento y el interés legítimo son las bases habituales; para datos sensibles de salud se exige consentimiento explícito. - **PIPEDA (Canadá)** — Ley federal de privacidad para el sector privado. Quebec, Alberta y Columbia Británica cuentan con normas provinciales equivalentes que se aplican en lugar de PIPEDA. Todas exigen conocimiento y consentimiento para recoger y divulgar datos. En Latinoamérica conviene tener presentes leyes equivalentes como la LFPDPPP (México), la Ley 1581 (Colombia) o la Ley 25.326 (Argentina), que siguen principios similares de consentimiento y minimización. Si operas en varias jurisdicciones, diseña para el estándar más estricto que te aplique (normalmente GDPR más HIPAA) y cumplirás el resto sin problema. ## HIPAA y SMS: la regla de minimización de PHI HIPAA permite los recordatorios de cita por SMS. Lo que no permite es filtrar más PHI de la estrictamente necesaria para la comunicación. Esto se conoce como el estándar del mínimo necesario, y es donde la mayoría de las clínicas tropiezan. Lo que **puedes** incluir normalmente en un SMS recordatorio: - Nombre o iniciales del paciente - Nombre de la clínica - Fecha y hora de la cita - Una forma de confirmar, reagendar o cancelar - Un motivo no clínico como "seguimiento" (generalmente aceptable) Lo que **no** deberías incluir: - El tratamiento o procedimiento específico ("seguimiento de endodoncia", "consulta de implante") - Saldos de seguros, facturación o pagos - Resultados de laboratorio, diagnósticos o referencias a imágenes - Fecha de nacimiento completa o números de identificación oficial La Office for Civil Rights no ha multado a ninguna clínica por decir "Nos vemos mañana a las 15:00"; ha multado a clínicas por enviar "Recordatorio: tu cita de tratamiento de hepatitis C". Mantenlo aburrido.  ## El BAA: por qué es innegociable Cualquier tercero que transmita, almacene o procese PHI en tu nombre es un Socio Comercial (Business Associate) bajo HIPAA, y debes firmar con él un Business Associate Agreement (BAA) antes de entrar en producción. Sin BAA = infracción automática, aunque nunca llegue a producirse una brecha. Al evaluar a un proveedor de recordatorios, busca: 1. Un BAA incluido por defecto en el plan que estás pagando, no como extra de pago ni solo en planes enterprise. 2. Cifrado en tránsito (TLS 1.2+) y en reposo (AES-256) documentado por escrito. 3. Residencia de datos en EE. UU. si eres una clínica estadounidense, u hospedaje equivalente en la UE para GDPR. 4. Registros de auditoría de cada mensaje enviado, con quién lo envió y cuándo. 5. Un SLA público de notificación de brechas (HIPAA exige notificar en 60 días; los buenos proveedores se comprometen a 72 horas). 6. Transparencia de subencargados: necesitas la lista de subproveedores (operadores de SMS, proveedores de WhatsApp) y sus propios BAA. Si un proveedor dice "no necesitamos BAA porque no almacenamos PHI", aléjate. Transmitir PHI es tratar PHI. ## Consentimiento TCPA para SMS en EE. UU.: opt-in, STOP/HELP y rastro de auditoría HIPAA se ocupa de la privacidad médica. La Telephone Consumer Protection Act (TCPA) se ocupa del consentimiento para contactar, y se aplica a cada SMS que envíes a un número de EE. UU., sin importar el contenido. Las sanciones TCPA van de 500 a 1500 USD por mensaje, y a los abogados de class actions les encanta. Las cuatro cosas que necesitas: - **Consentimiento escrito expreso** capturado antes del primer SMS. Una casilla marcada en tu formulario de admisión con un texto claro ("Acepto recibir SMS de recordatorio de cita de [clínica]. Pueden aplicarse tarifas de mensajes y datos") es suficiente. - **Gestión de la palabra clave STOP** — si el paciente responde "STOP", tu sistema debe suprimir los mensajes no transaccionales en un plazo de 24 horas. Confirma la baja con un último mensaje. - **Gestión de la palabra clave HELP** — si el paciente responde "HELP", el sistema devuelve la información de contacto y las instrucciones para darse de baja. - **Un registro de marcas de tiempo auditable** que muestre cuándo consintió cada paciente, qué texto exacto aceptó y desde qué IP o canal. Cuando llegue una queja TCPA 18 meses después, ese registro es toda tu defensa. Cualquier plataforma de recordatorios seria automatiza las cuatro. Si la tuya no lo hace, arréglalo antes que nada: la documentación [cómo enviar recordatorios](/docs/es/how-to-send-reminders/) muestra el flujo de consentimiento que recomendamos. ## Base jurídica del GDPR artículo 6 para recordatorios en la UE Para pacientes de la UE y el Reino Unido, el GDPR exige una base jurídica para cada actividad de tratamiento. Para los recordatorios de cita hay dos candidatas realistas: **Interés legítimo (art. 6(1)(f))** — Una vez que el paciente ha reservado una cita, la clínica tiene un interés legítimo obvio en reducir las inasistencias, y el paciente espera razonablemente un recordatorio. Esta es la base en la que se apoyan la mayoría de las clínicas dentales para confirmar reservas y enviar recordatorios. **Consentimiento (art. 6(1)(a))** — Obligatorio para cualquier cosa que vaya más allá de un recordatorio: marketing, campañas de recall, solicitudes de reseñas, newsletters. El consentimiento debe ser específico, granular y tan fácil de retirar como de otorgar. Dos requisitos extra para datos de salud bajo el artículo 9: - Un Registro de Actividades de Tratamiento (art. 30) que liste el canal de recordatorio, el periodo de conservación, los destinatarios y la base jurídica. - Una Evaluación de Impacto en Protección de Datos si usas perfilado o decisiones automatizadas (la mayoría de los flujos estándar de recordatorio no la activan, pero la optimización de cadencia podría hacerlo). Si tu proveedor de recordatorios aloja datos de pacientes fuera de la UE, también necesitas Cláusulas Contractuales Tipo o una decisión de adecuación vigente. Un proveedor conforme se encarga de esto por ti.  ## WhatsApp y HIPAA: ¿realmente cumple? Esta es la pregunta que más nos hacen. La respuesta honesta: WhatsApp como app de consumo **no** cumple HIPAA, porque Meta no firma BAA para WhatsApp. La WhatsApp Business API, accedida a través de un Business Solution Provider (BSP) aprobado por Meta, es otra historia. Cuando envías recordatorios por WhatsApp mediante un BSP preparado para HIPAA: - El BSP firma un BAA con tu clínica. - Los mensajes fluyen por la WhatsApp Business API oficial (no por la app de consumo). - Usas plantillas de mensaje preaprobadas para el recordatorio; la mensajería libre queda restringida a una ventana de 24 horas después de que el paciente responda. - El cifrado extremo a extremo protege el mensaje en tránsito. - Sigue aplicando la minimización de PHI: misma regla que con SMS. La integración de WhatsApp de DodoDentist corre sobre la WhatsApp Business API, ofrece BAA en los planes de EE. UU. y usa plantillas de mensaje conscientes de HIPAA por defecto. Si tu flujo actual es "un miembro del personal escribiéndole a los pacientes desde su WhatsApp personal", eso es una infracción sancionable: migra antes de tu próxima auditoría. ## Conservación de datos: cuánto tiempo guardar los registros de recordatorios Cuánto tiempo conserves el registro de recordatorios importa por dos motivos: necesitas suficiente historial para defenderte de una queja TCPA o GDPR, y debes purgar a tiempo para cumplir las reglas de minimización de datos. Orientación general por jurisdicción: - **HIPAA** — 6 años desde la creación o la última fecha efectiva, a nivel federal. Los consejos dentales estatales pueden exigir más (Texas 5 años, Nueva York 6, California 7 para adultos y más para menores). Por defecto, quédate con el plazo más largo entre el estatal y el federal. - **TCPA** — Registros de consentimiento durante 4 años (el plazo de prescripción), pero muchos abogados recomiendan 5. - **GDPR / UK GDPR** — Sin periodo fijo; conserva "no más tiempo del necesario". Para recordatorios, de 2 a 3 años tras la última cita es defendible; acompáñalo de una purga anual automatizada. - **LGPD** — Similar al GDPR; documenta tu decisión de retención en el registro de tratamiento. - **PIPEDA** — "Durante el tiempo necesario", con un mínimo de un año después de que la persona haya usado el servicio por última vez para cualquier dato empleado en tomar una decisión sobre ella. Configura la purga para que se ejecute automáticamente. Las purgas manuales no suceden, y un archivo olvidado es justo lo primero que encuentran los reguladores. ## Una plantilla de recordatorio lista para cumplir que puedes copiar hoy Aquí tienes una plantilla que satisface el mínimo necesario de HIPAA, la divulgación de TCPA y la transparencia del GDPR, y aun así cabe en un único segmento SMS (160 caracteres): > "Hola [Nombre], soy [Clínica] confirmando tu cita el [Fecha] a las [Hora]. Responde C para confirmar, R para reagendar. STOP para baja. HELP para info." Notas sobre por qué está cada pieza: - Solo el nombre: suficiente para personalizar sin filtrar la identidad completa. - Nombre de la clínica pero no del servicio: preserva la minimización de PHI. - Confirmación bidireccional: reduce inasistencias sin esfuerzo extra del personal. - Palabras clave STOP y HELP: cumplimiento TCPA incorporado. - Cabe en 160 caracteres: un solo segmento SMS, el coste más bajo y la mejor entregabilidad. Para WhatsApp, el mismo texto funciona como plantilla de utilidad aprobada: solo envíala a revisión de Meta antes de lanzar. ## Uniendo todo El cumplimiento de los recordatorios no es una configuración única. Es una disciplina: consentimiento capturado en la admisión, PHI mínima necesaria en cada mensaje, BAA y SCC firmados con proveedores, registros de auditoría conservados y una purga que realmente se ejecute. Cada pieza es pequeña; juntas marcan la diferencia entre un programa defendible y un incidente de cumplimiento. Si estás diseñando esto desde cero, empieza por la [guía completa del software de gestión para clínicas dentales](/blog/es/complete-guide-dental-practice-management-software/) para el flujo general, y después profundiza en los playbooks por canal de [cómo enviar recordatorios](/docs/es/how-to-send-reminders/). Ambos se integran con los controles de consentimiento, opt-out y retención integrados en DodoDentist. **Descarga nuestra lista de cumplimiento HIPAA + TCPA para recordatorios en una página (gratis)**: tenla junto a la recepción y márcala durante tu próxima revisión trimestral de privacidad.