¿Es legal enviar datos clínicos por correo electrónico?
Enviar información médica por email no está prohibido de forma absoluta, pero es una práctica de alto riesgo y exige garantías reforzadas. Cuando el mensaje contiene datos de salud identificables, el responsable debe justificar la base jurídica del envío y aplicar medidas técnicas adecuadas, como cifrado, control de destinatarios y minimización del contenido.
Respuesta rápida
No siempre es ilegal enviar datos clínicos por email, pero hacerlo sin garantías suficientes puede vulnerar claramente la normativa de protección de datos y el deber de confidencialidad sanitaria. Los datos de salud son una categoría especialmente protegida, así que un correo ordinario, sin cifrado ni controles adecuados, suele ser jurídicamente arriesgado y difícil de justificar.
Qué dice la ley
El RGPD considera los datos de salud una categoría especial y exige una base habilitante para tratarlos, además de medidas de seguridad adaptadas al riesgo. La LOPDGDD completa ese marco en España y la legislación sanitaria impone deberes adicionales de confidencialidad sobre la historia clínica. En la práctica, eso obliga a valorar si el envío por correo electrónico es necesario, si puede limitarse la información compartida y si existen mecanismos para evitar accesos indebidos, errores de destinatario o exposición del contenido. El problema jurídico no es solo el canal email, sino usarlo de manera insegura o desproporcionada para información especialmente sensible.
Puntos clave
- Los datos clínicos requieren un nivel de protección reforzado por su especial sensibilidad.
- El envío por email puede ser admisible solo si existe base legal y se aplican medidas de seguridad adecuadas.
- Mandar informes sin cifrado, a direcciones erróneas o sin minimizar el contenido puede generar responsabilidad y sanciones.
- El hecho de que el paciente pida recibir documentación por correo no elimina por sí solo todas las obligaciones del responsable.
Matices y excepciones
Hay contextos en los que el correo electrónico puede utilizarse, por ejemplo si el propio paciente lo solicita, si existe una necesidad asistencial o si la organización dispone de un sistema seguro de envío. Aun así, deben adoptarse cautelas como cifrado, contraseñas por canal separado, verificación del destinatario y envío de la mínima información imprescindible. No es equivalente remitir una cita o una indicación general que un informe clínico completo con diagnósticos, pruebas y tratamientos. Cuanto más sensible y completo sea el contenido, mayor debe ser el nivel de protección exigido.
Qué hacer en la práctica
Centros sanitarios y profesionales deberían preferir portales del paciente, plataformas seguras o sistemas de intercambio cifrado frente al correo ordinario. Si el email se usa de forma excepcional, conviene documentar la necesidad, comprobar la dirección de destino y limitar los datos incluidos. Si eres paciente y has recibido datos tuyos o ajenos sin control, guarda el mensaje y valora reclamar ante la entidad emisora y, si procede, ante la AEPD. Una revisión interna de riesgos y protocolos suele ser imprescindible en clínicas y consultas.
Fuentes consultadas
- EUR-Lex — Reglamento (UE) 2016/679 (RGPD)
- BOE — Ley Orgánica 3/2018 (LOPDGDD)
- BOE — Ley 41/2002 de autonomía del paciente
- AEPD — Agencia Española de Protección de Datos
Revisión editorial de fuentes: 2026-04-14