Procedimiento ARSOLIP — Responder a Solicitudes de Derechos
Flujo general
RECIBES SOLICITUD
│
▼
1. VERIFICAR IDENTIDAD (¿es quien dice ser?)
│
▼
2. REGISTRAR (fecha, derecho solicitado, canal)
│
▼
3. TRAMITAR (buscar datos, evaluar procedencia)
│
▼
4. RESPONDER (en plazo: 1 mes ampliable a 2)
│
▼
5. ARCHIVAR (evidencia de la respuesta)
Paso 1: Verificar identidad ⚠️
El punto más crítico. No puedes dar datos de salud a quien no sea el titular.
Métodos de verificación:
- Presencial: DNI/pasaporte original
- Online: Cl@ve, firma digital, video-identificación
- Email: Solo si el email está registrado + medida adicional (ej: SMS al teléfono registrado)
- Teléfono: Preguntas de verificación + llamar al número registrado
🔑 Truco: Ten procedimientos escritos para cada canal. El error más común es enviar datos por email a quien suplanta la identidad.
Paso 2: Plazos
| Derecho | Plazo | Ampliable |
|---|---|---|
| Acceso | 1 mes | 2 meses (si complejo) |
| Rectificación | 1 mes | 2 meses |
| Supresión | 1 mes | 2 meses |
| Limitación | 1 mes | 2 meses |
| Portabilidad | 1 mes | 2 meses |
| Oposición | 1 mes | 2 meses |
🔑 Truco: El plazo empieza cuando recibes la solicitud, no cuando verificas la identidad. Pon en marcha el reloj desde el día 1.
Paso 3: Denegación motivada
Si deniegas (ej: supresión de HC por obligación legal), debes:
□ Motivarlo por escrito (artículo concreto que lo impide)
□ Informar al solicitante del derecho a reclamar ante la AEPD
□ Hacerlo en el mismo plazo (1 mes)
□ Documentar por qué se deniega
Causas típicas de denegación en salud:
| Derecho | Causa de denegación |
|---|---|
| Supresión | Obligación legal de conservación (ley sanitaria) |
| Acceso | Perjuicio para la salud del paciente (muy excepcional) |
| Acceso | Revelación de datos de terceros |
| Portabilidad | Base legal no es consentimiento (es Art. 9.2.h) |
Paso 4: Plantillas de respuesta
Respuesta a solicitud de ACCESO a HC:
Estimado/a [nombre],
En respuesta a su solicitud de acceso a sus datos personales (Art. 15 GDPR),
le informamos:
- Sus datos son tratados por [empresa] con la finalidad de asistencia sanitaria
- Base legal: Art. 9.2(h) GDPR
- Se adjunta copia de su historia clínica [fechas, formato]
- Sus datos se conservarán según legislación aplicable
- Puede contactar al DPO en [email]
Atentamente,
[Departamento/DPO]
Respuesta a solicitud de SUPRESIÓN (denegada):
Estimado/a [nombre],
En respuesta a su solicitud de supresión (Art. 17 GDPR), le informamos
que **no podemos proceder** a la misma por los siguientes motivos:
[ ] Obligación legal: Ley 41/2002, de autonomía del paciente, art. X
[ ] La conservación es necesaria para la defensa de reclamaciones
Puede ejercer el derecho de limitación del tratamiento (Art. 18 GDPR)
si lo prefiere, en cuyo caso marcaremos sus datos como "bloqueados"
sin llegar a suprimirlos.
Tiene derecho a reclamar ante la AEPD (www.aepd.es).
Atentamente,
[DPO]
Paso 5: Registro de solicitudes
Lleva un registro de todas las solicitudes, aunque sean informales:
Fecha | Solicitante | Derecho | Respuesta | Plazo cumplido
01-01-2026 | Paciente X | Acceso | HC enviada | ✅
15-01-2026 | Paciente Y | Supresión | Denegado (oblig. legal) | ✅
01-02-2026 | Paciente Z | Rectificación | Aceptado parcialmente | ✅
Tiempos estimados por solicitud
| Derecho | Tiempo interno típico |
|---|---|
| Acceso a HC digital | 1-2 horas |
| Acceso a HC papel | 1-2 días |
| Rectificación | 2-4 horas |
| Supresión | 4-8 horas (por la evaluación legal) |
| Portabilidad | 4-8 horas |
| Oposición | 2-4 horas |
Referencias
- ^[raw/papers/reglamento-gdpr-ue-2016-679-es.pdf] Art. 12-23
- derechos-arsolip
- compliance-roadmap
- data-mapping-rat