Envío de informes médicos por email o WhatsApp: riesgos y soluciones seguras

Andrea Giannuzzi
Andrea Giannuzzi

CEO de Run2AI, lidera el desarrollo de soluciones de IA para el sector sanitario y la transformación digital de los centros médicos.

· Actualizado: 28 de marzo de 2025 · Privacidad en Sanidad

Explora los riesgos del envío de informes médicos por email o WhatsApp y descubre los métodos más seguros y conformes al RGPD para la comunicación médico-paciente.

Tabla de contenidos

Los riesgos de los canales WhatsApp y email

Hoy es cada vez más habitual que médicos y centros sanitarios se comuniquen con los pacientes por WhatsApp o email, enviando informes de forma cómoda en un simple mensaje. Sin embargo, los datos sanitarios están entre la información más sensible y su protección está estrictamente regulada por el Reglamento General de Protección de Datos (RGPD). Un uso poco cuidadoso de estos canales expone a las organizaciones a grandes riesgos, incluidas posibles infracciones del RGPD y, no menos importante, una pérdida de confianza de los pacientes.

RGPD y datos sanitarios: por qué la confidencialidad es esencial

Los datos sanitarios se encuadran en las "categorías especiales de datos personales" que identifica el RGPD y, por tanto, merecen una protección reforzada según el principio de integridad y confidencialidad, que exige que los datos personales se protejan para garantizar una protección adecuada frente al acceso no autorizado o ilícito.

Según un análisis de la Agencia Europea ENISA, el sector sanitario es uno de los más afectados por brechas de datos, con 215 brechas públicas notificadas entre 2021 y 2023. El 46% de los incidentes de ciberseguridad implicaron brechas de datos (amenazas a la integridad de los datos), mientras que el 30% de los ciberataques tuvieron como objetivo específico los datos de pacientes, datos con un alto valor para los delincuentes.

WhatsApp y email en la comunicación médico-paciente

El éxito de WhatsApp en la comunicación sanitaria se debe sobre todo a su inmediatez, facilidad de uso y uso generalizado en smartphones.

Según una encuesta de 2022 del Colegio de Médicos de Florencia en colaboración con el DataLifeLab (Universidad de Florencia), los médicos usan WhatsApp en el 84,3% de los casos. Otros canales muy utilizados son SMS (50,9%), email (6,6%) y aplicaciones de mensajería alternativas como Telegram o Facebook (14,5%).

Illustration of a key representing security and privacy: a symbol of the risks associated with using WhatsApp for medical reports

En concreto, WhatsApp se utiliza para muchas finalidades:

  • Para el 56,1% de los profesionales, para intercambiar información clínica sobre pacientes

  • Para el 53,9%, para comunicar a los pacientes resultados clínicos

  • En el 42% de los casos, para valorar pruebas y dar consejo terapéutico a distancia

  • Para el 40%, para gestionar citas

  • Para el 20,7%, para enviar recetas

A pesar de las conversaciones con cifrado de extremo a extremo o la protección por contraseña, el uso de email o WhatsApp conlleva riesgos importantes para la privacidad de los datos sanitarios, sobre todo cuando se trata de una aplicación de una gran empresa tecnológica no europea que puede no cumplir el RGPD europeo.

Casos reales de daños y consecuencias

Numerosos casos en Europa muestran de forma concreta qué puede ocurrir cuando los datos sanitarios no se protegen adecuadamente en las comunicaciones. Dos casos son especialmente ilustrativos:

El hospital británico NHS Lanarkshire sufrió una brecha de datos entre abril de 2020 y abril de 2022: 26 empleados tenían acceso a un grupo de WhatsApp aprobado y limitado al uso relacionado con la pandemia de Covid-19 para comunicaciones de servicio. Ese grupo se utilizó después también para compartir datos personales de pacientes. En este caso, la ICO (autoridad británica de protección de datos) intervino con una reprimenda grave a la organización sanitaria, sentando un precedente en Europa e impulsando a las organizaciones a revisar sus políticas sobre el uso de aplicaciones de mensajería para evitar incidentes similares.

La AUSL Emilia-Romagna (Italia) fue sancionada con 50.000 euros por la autoridad italiana de protección de datos en 2021 por una brecha de datos de pacientes: se facilitó información clínica confidencial de un paciente a familiares a pesar del rechazo explícito del paciente a dar su consentimiento.

Estos son solo algunos ejemplos de fugas de datos; las consecuencias pueden ir desde sanciones económicas (que pueden alcanzar decenas de miles de euros) hasta daños reputacionales, con la consiguiente pérdida de imagen y de confianza de los pacientes.

Doctor using a smartphone to communicate with patients: representation of WhatsApp use in doctor-patient communication

Qué dicen las autoridades: guías y advertencias

En los últimos años, en parte por la emergencia sanitaria del Covid-19, las autoridades europeas de protección de datos han empezado a autorizar el uso de canales digitales seguros para la desmaterialización de recetas, como la historia clínica electrónica, el email certificado (PEC), SMS o email.

Es el caso de Italia, donde la autoridad de protección de datos publicó la disposición n. 620 del 17 de octubre de 2024 (disponible aquí), con directrices precisas sobre el envío de informes médicos digitales por email. Entre ellas:

  • Enviar el informe como adjunto y no en el cuerpo del email

  • Proteger el archivo con contraseña o cifrado, comunicada por separado

  • Verificar de antemano la dirección de email del destinatario para evitar errores

A nivel europeo, ENISA y la Comisión Europea están impulsando una mayor seguridad en el tratamiento de los datos sanitarios mediante iniciativas como el Espacio Europeo de Datos Sanitarios (EHDS) y la Directiva NIS2 (2022/2555), que impone requisitos de ciberseguridad más estrictos a centros sanitarios y hospitales.

De la cola en ventanilla a la entrega digital: formas seguras de recibir documentos médicos

Hasta hace pocos años, la única forma de obtener los informes médicos era acudir físicamente a la clínica, con colas, horarios limitados e incomodidades. Este método, aunque seguro, exige tiempo y esfuerzo.

Una solución intermedia es el envío de documentos por email protegido o mediante portales dedicados, como la historia clínica electrónica con credenciales de acceso personales y SPID (sistema de identidad digital italiano). Estas herramientas ofrecen un nivel razonable de seguridad pero a menudo son complejas de usar, tanto para pacientes como para centros.

Hoy, gracias a la innovación digital, es posible optar por métodos aún más seguros y eficientes. Plataformas como RefertoSicuro permiten la transmisión de documentos médicos por canales cifrados, de modo que solo el destinatario previsto pueda acceder a ellos. Entre las medidas de protección figuran: autenticación por contraseña, códigos OTP, caducidad automática del enlace y registro de accesos.

Adoptar RefertoSicuro es muy sencillo: no exige cambios operativos por parte de médicos o centros y se integra fácilmente como canal digital alternativo. El resultado es un proceso rápido, intuitivo y conforme al RGPD que protege los documentos desde su creación hasta que el paciente los consulta.

Person typing medical reports on a laptop: representation of secure methods for digital delivery of medical documents

Conclusión: Privacidad e innovación pueden coexistir

La digitalización sanitaria ofrece grandes oportunidades pero exige responsabilidad. Canales como WhatsApp o email simplifican la comunicación pero conllevan riesgos si se usan sin las debidas precauciones. El cumplimiento del RGPD no es opcional: es esencial para proteger tanto a los pacientes como a las organizaciones sanitarias.

Invertir en soluciones seguras y formar al personal es el paso decisivo para una atención competitiva, efectiva y respetuosa con la privacidad: proteger los datos es proteger la relación de confianza con los pacientes.

Artículos relacionados

Volver al blog