Teléfono de RecuperaTusDatos900 899 002
Correo electrónico de RecuperaTusDatos info@recuperatusdatos.es
📞 Te llamamos
recuperación de datos
ES

Recuperación de Historias Clínicas Electrónicas: Obligaciones Legales y Proceso

Resumen del artículo

La pérdida de historias clínicas electrónicas (HCE) en España combina una emergencia asistencial con obligaciones legales de primer orden: Ley 41/2002, RGPD (datos de categoría especial), notificación a la AEPD en 72 horas y requisitos de conservación que en muchas CCAA llegan a 15 años. Explicamos el proceso de recuperación en sistemas Abucasis, Osabide Global, DIRAYA, HORUS y Atenea.

Empresas 24/09/2025 7 min lectura Equipo RecuperaTusDatos
Compartir:

Recuperación de Historias Clínicas Electrónicas: Obligaciones Legales y Proceso

Una historia clínica electrónica perdida o inaccesible no es solo una pérdida de datos: es una crisis de continuidad asistencial y, en el contexto español, una situación con implicaciones legales graves derivadas de la Ley 41/2002, el Reglamento General de Protección de Datos (RGPD) y las normativas autonómicas de salud. La pérdida de registros de salud activa obligaciones de notificación a la AEPD en un plazo máximo de 72 horas y puede derivar en sanciones muy elevadas. RecuperaTusDatos tiene experiencia en la recuperación de datos de los sistemas HCE más utilizados en España, con los máximos protocolos de confidencialidad.

Datos clave — Recuperación de historias clínicas electrónicas

  • Marco legal: Ley 41/2002, RGPD Art. 9 (datos de categoría especial), normativas CCAA
  • Conservación mínima: 5 años (Ley 41/2002); muchas CCAA establecen 10-15 años
  • Notificación AEPD: obligatoria en 72 horas para brechas que afecten a datos de salud
  • Sistemas: Abucasis, Osabide Global, DIRAYA, HORUS, Atenea, Mambrino, Turriano
  • Precio: 500 – 3.000 € según sistema, volumen y tipo de fallo (diagnóstico gratuito)

Sistemas de HCE en el sistema sanitario español

España tiene un sistema sanitario descentralizado por Comunidades Autónomas, lo que ha dado lugar a una gran variedad de sistemas de Historia Clínica Electrónica según la CCAA y el tipo de centro:

  • Abucasis: sistema de la Comunitat Valenciana para atención primaria y especializada. Gestiona la HCE de más de 5 millones de ciudadanos valencianos. Base de datos Oracle en servidores HP o IBM gestionados por la Conselleria de Sanitat
  • Osabide Global: sistema del Servicio Vasco de Salud (Osakidetza) para atención primaria y hospitalaria integrada. Desarrollado sobre tecnología Orion Health. Base de datos Oracle o SQL Server
  • DIRAYA: sistema de la Junta de Andalucía (Sistema Sanitario Público de Andalucía, SSPA). Uno de los sistemas de HCE más avanzados de España, con módulos de atención primaria (DIRAYA AP) y hospitalaria. Base de datos Oracle
  • HORUS: sistema de la Comunidad de Madrid para Atención Primaria (SERMAS), que ha reemplazado progresivamente a OMI-AP. Base de datos SQL Server
  • Atenea: sistema del Servicio Murciano de Salud para historia clínica única. También el nombre de uno de los módulos del sistema sanitario de Castilla y León
  • Mambrino y Turriano: sistemas de Castilla-La Mancha para atención primaria y hospitalaria respectivamente
  • Clínicas privadas: utilizan con frecuencia sistemas como Gesden (clínicas dentales), Nemon (oftalmología), MedSoft, Clinic Cloud o soluciones verticales propias sobre bases de datos Oracle, SQL Server o PostgreSQL

Obligaciones legales en la conservación de historias clínicas

La Ley 41/2002, de Autonomía del Paciente, establece en su artículo 17 los plazos mínimos de conservación de la documentación clínica:

  • Mínimo nacional: 5 años desde la última atención al paciente. Sin embargo, la propia ley permite que las CCAA establezcan plazos superiores
  • Andalucía: conservación permanente de los episodios más relevantes; 5 años para el resto
  • Cataluña: la Llei 21/2000 establece conservación durante 20 años desde el alta del proceso asistencial
  • Comunitat Valenciana: conservación durante 10 años desde la última atención
  • Euskadi: la Ley 8/1997 de Ordenación Sanitaria del País Vasco establece conservación de 15 años
  • Menores de edad: la documentación debe conservarse hasta que el paciente cumpla 18 años (aunque ya hayan pasado los 5 años mínimos) según jurisprudencia dominante

La destrucción o pérdida no autorizada de historias clínicas puede constituir una infracción muy grave según la Ley 41/2002, con multas que van de 30.001 a 600.000 euros en el ámbito sanitario, además de las sanciones del RGPD.

RGPD y datos de salud: obligaciones específicas

Los datos de salud son una "categoría especial de datos" según el artículo 9 del RGPD, con protecciones reforzadas respecto a los datos personales ordinarios. Esto implica obligaciones específicas cuando se produce una brecha de seguridad que afecta a datos de salud:

  • Notificación a la AEPD en 72 horas: cuando la pérdida de datos de salud suponga un riesgo para los derechos y libertades de los pacientes (confidencialidad, discriminación, daño reputacional), el responsable del tratamiento está obligado a notificarlo a la AEPD en un plazo máximo de 72 horas desde que tiene conocimiento del incidente. Esta obligación se aplica tanto a centros públicos como privados
  • Notificación a los afectados: cuando la brecha suponga un alto riesgo para los pacientes, el responsable debe notificarla también a los pacientes afectados "sin dilación indebida"
  • Evaluación de Impacto (DPIA): el tratamiento de datos de salud a gran escala requiere una Evaluación de Impacto relativa a la Protección de Datos previa. Si el centro ya la ha realizado, el incidente debe documentarse en el registro de actividades de tratamiento
  • Sanciones: el RGPD permite multas de hasta 20 millones de euros o el 4 % del volumen de negocio global por infracciones graves. La Ley Orgánica 3/2018 (LOPDGDD) establece el régimen sancionador español

Tipos de fallo que afectan a los sistemas de HCE

Los sistemas de historia clínica electrónica utilizan infraestructuras de base de datos de grado empresarial, pero eso no los hace inmunes a los fallos de almacenamiento:

  • Fallo de disco en servidor de base de datos: los servidores Oracle o SQL Server que sostienen los sistemas HCE utilizan almacenamiento en SAN (Storage Area Network) o en discos locales con RAID. Un fallo en un SAN o la caída simultánea de más discos de los que el RAID puede tolerar deja la base de datos inaccesible
  • Corrupción de la base de datos: los fallos de firmware, picos de tensión o actualizaciones interrumpidas pueden corromper las estructuras internas de Oracle o SQL Server, dejando la base de datos en estado "suspect" o con páginas inaccesibles
  • Ransomware: los centros de salud son un objetivo prioritario del ransomware por la sensibilidad de los datos y la urgencia de la recuperación. Los ficheros de base de datos (.DBF, .MDF, .ibd) son frecuentemente cifrados o eliminados por el ransomware
  • Error humano: DROP DATABASE accidental, truncado de tablas, borrado de ficheros de datos durante mantenimiento. En entornos con muchos administradores, los errores de este tipo son más frecuentes de lo que parece
  • Fallo en clínicas privadas: los sistemas HCE de clínicas privadas pequeñas frecuentemente se instalan en un único servidor sin redundancia, y a veces en el mismo PC del ordenador de recepción. Un fallo de disco en ese equipo puede borrar años de historiales clínicos

Bases de datos utilizadas en sistemas HCE españoles

El tipo de base de datos condiciona el proceso de recuperación. Los principales sistemas HCE españoles utilizan:

  • Oracle Database: utilizado por Abucasis (Valencia), DIRAYA (Andalucía) y numerosos hospitales. La recuperación de Oracle requiere conocimiento especializado de los ficheros de datos (.DBF), el redo log, el control file y el archive log. Oracle RMAN (Recovery Manager) es la herramienta nativa, pero cuando el almacenamiento está físicamente dañado, la recuperación debe hacerse a nivel de bloque de datos antes de intentar el RMAN
  • Microsoft SQL Server: utilizado por HORUS (Madrid), Osabide Global (parcialmente) y muchos sistemas de clínicas privadas. Los ficheros MDF y LDF son recuperables con las técnicas descritas en nuestros artículos sobre SQL Server
  • PostgreSQL: menos frecuente en sistemas públicos pero habitual en sistemas HCE de segunda generación y clínicas privadas innovadoras. La estructura de datos en PGDATA es recuperable con pg_filedump y herramientas especializadas
  • MySQL/MariaDB: utilizado en algunos sistemas HCE de clínicas privadas pequeñas, especialmente los basados en plataformas web (PHP/MySQL). La recuperación de InnoDB sigue los mismos procedimientos descritos en nuestro artículo sobre recuperación de bases de datos MySQL

Urgencia asistencial: la continuidad de la atención no puede esperar

A diferencia de otros entornos empresariales donde la pérdida de datos es costosa pero no pone vidas en riesgo, en el entorno sanitario la inaccesibilidad de la historia clínica tiene consecuencias asistenciales directas: médicos que no pueden consultar alergias a medicamentos antes de prescribir, urgencias que no saben qué patologías crónicas tiene el paciente, ciru gías que deben aplazarse por falta de informes previos. Por eso la recuperación de datos en entornos HCE siempre tiene carácter urgente.

RecuperaTusDatos tiene protocolo específico para centros sanitarios: activación inmediata del servicio urgente, coordinación con el responsable de seguridad del centro (DPO si existe) para cumplir los plazos de notificación a la AEPD, y entrega de los datos en el formato requerido por el sistema HCE del centro para la más rápida reintegración en el sistema.

Precios de recuperación de datos en sistemas HCE

Tipo de dispositivo / Servicio Escenario Precio estimado Plazo
Servidor HCE con RAID de servidor (clínica pequeña) Fallo de 1 disco, base de datos inaccesible 500 – 1.000 € 3 – 7 días
Servidor HCE con SAN (hospital o clínica media) Fallo de SAN, RAID múltiple degradado 1.000 – 2.500 € 7 – 21 días
Base de datos Oracle HCE corrompida (lógico) Corrupción de tablespace, archivo de control 800 – 2.000 € 5 – 15 días
Base de datos SQL Server HCE corrompida MDF/LDF dañado, "database suspect" 500 – 1.500 € 3 – 10 días
Sistema HCE cifrado por ransomware Ficheros de base de datos cifrados 1.000 – 3.000 € 7 – 30 días
Clínica privada (PC único, sin RAID) Disco único con HDD mecánico dañado 350 – 900 € 3 – 10 días
Cualquier escenario (urgente, activación 24/7) Prioridad máxima, trabajo ininterrumpido +50 % sobre precio estándar 24 – 72 h
Recuerda: obligación de notificación a la AEPD en 72 horas. Si la pérdida de datos de historia clínica electrónica supone un riesgo para los pacientes, el art. 33 del RGPD obliga a notificar a la AEPD en un plazo máximo de 72 horas desde que el responsable tiene conocimiento del incidente. Contamos con experiencia en coordinar la recuperación técnica con los plazos de notificación legal.
¿Tienes una emergencia con historias clínicas electrónicas? Llama ahora al 900 899 002 (gratuito, 24/7) o solicita presupuesto urgente online. Diagnóstico gratuito. Solo cobramos si recuperamos tus datos.

Preguntas frecuentes sobre recuperación de historias clínicas electrónicas

Sí, si la pérdida de datos de historia clínica electrónica supone un riesgo para los derechos y libertades de los pacientes. El artículo 33 del RGPD obliga a notificar a la autoridad de control competente (en España, la AEPD, o la autoridad autonómica si existe, como la APDCAT en Cataluña) en un plazo máximo de 72 horas desde que el responsable del tratamiento tiene conocimiento del incidente. La notificación debe incluir la naturaleza de la brecha, las categorías y el número aproximado de interesados afectados, y las medidas adoptadas para remediarla.

La Ley 41/2002 establece un mínimo de 5 años desde la última atención, pero muchas CCAA amplian este plazo: Cataluña exige 20 años, Euskadi 15 años, y la Comunitat Valenciana 10 años. La destrucción no autorizada de documentación clínica antes del plazo de conservación puede constituir una infracción muy grave con multas de hasta 600.000 euros según la Ley 41/2002, además de las sanciones del RGPD.

Es una situación urgente pero con alta tasa de recuperación si actuat correctamente: apagad el servidor inmediatamente (no intentéis acceder al sistema ni reiniciarlo repetidamente, ya que cada intento puede degradar más el disco). Llamad al 900 899 002 ahora mismo para asesoramiento inmediato. El disco debe llegar al laboratorio lo antes posible — cada hora que pasa con el disco en un servidor que intenta arrancarse puede reducir las probabilidades de recuperación.

Sí, con matices importantes. Los sistemas HCE públicos como Abucasis o DIRAYA están gestionados por las Consejerías de Sanidad de las CCAA, con infraestructuras de gran escala (servidores con redundancia, copias de seguridad) que reducen la probabilidad de pérdida total. Si se produce un fallo, los técnicos de la CCAA son los primeros en actuar. Los casos en los que un laboratorio externo como RecuperaTusDatos interviene son más frecuentes en clínicas privadas con versiones independientes de estos sistemas o con sus propios servidores locales.

En algunos casos sí. Las posibilidades dependen del tipo de ransomware, si existen copias de seguridad previas al cifrado (incluso parciales), y si el disco ha sufrido también daño físico. Si no hay copias de seguridad y el cifrado es moderno (AES-256), la recuperación de los datos cifrados directamente es prácticamente imposible sin la clave. En ese caso, la recuperación se centra en encontrar fragmentos de datos anteriores al cifrado en áreas no sobreescritas del disco. La tasa de recuperación varía mucho: desde el 0 % hasta el 80 % según el caso.

Actuamos como encargados del tratamiento según el art. 28 del RGPD, con todas las garantías que eso implica. Firmamos un contrato de encargo del tratamiento (DPA) antes de iniciar cualquier trabajo con datos de salud. El acceso a los datos está restringido al equipo técnico mínimo necesario. Los datos se eliminan de forma segura de nuestros sistemas una vez confirmada la entrega al cliente. Contamos con políticas de seguridad documentadas y experiencia en entornos con altos requisitos de protección de datos.

El precio depende del tipo de sistema, la infraestructura de almacenamiento y el tipo de fallo. Para clínicas privadas con un servidor único, los precios van de 350 a 1.000 €. Para sistemas con SAN o bases de datos Oracle dañadas, de 1.000 a 3.000 €. Para casos de ransomware, de 1.000 a 3.000 € según el alcance. El diagnóstico es siempre gratuito y solo cobramos si recuperamos los datos.

Necesitamos una breve descripción del incidente, el modelo del servidor o disco, el sistema operativo, el sistema de base de datos (Oracle, SQL Server, MySQL, PostgreSQL), el nombre del sistema HCE (Gesden, Nemon, Abucasis local, etc.) y, si es posible, los mensajes de error. Para la firma del contrato de encargo del tratamiento, necesitamos los datos de la clínica o centro sanitario como responsable del tratamiento. Todo esto puede facilitarse por teléfono o email antes del envío físico del dispositivo.

¿Necesitas recuperar datos?

Nuestro equipo técnico puede ayudarte. Diagnóstico gratuito en 4 horas, sin compromiso.

  • Precio: Desde 250€ + IVA — sin recuperación, sin coste
  • Plazo: 4–12 días laborables (urgente: 24–48 h)
  • Teléfono: 900 899 002
  • Certificación: ISO 9001 e ISO 27001 (AENOR)

Escrito por

Equipo RecuperaTusDatos

Técnico en Recuperación de Datos — RecuperaTusDatos

Técnico certificado con más de 12 años de experiencia en recuperación de datos de discos duros, SSD, RAID, memorias flash y dispositivos móviles. Laboratorio propio con sala limpia ISO Clase 5, sin intermediarios.

ISO 9001 ISO 27001 Certificado
Publicado: 24/09/2025 7 min de lectura

Servicio disponible en toda España — Recogida gratuita en 24h

Barcelona
Madrid
Valencia
Sevilla
Bilbao
Zaragoza
Málaga
Alicante
Murcia
Palma
Córdoba
Vigo

Recibe consejos y alertas de recuperación de datos

Guías prácticas, novedades y consejos para proteger tus datos. Sin spam.

Entérate de todo lo nuevo

Técnica Ingeniería y Robótica Aplicada S.L. como responsable del tratamiento tratará tus datos con la finalidad de dar respuesta a tu consulta o petición. Puedes acceder, rectificar y suprimir tus datos, así como ejercer otros derechos consultando la información adicional y detallada sobre protección de datos en nuestra Política de Privacidad.

Prometemos enviarte sólo información interesante.

Diagnóstico gratuito 900 899 002 WhatsApp WhatsApp
Llamar Te llamamos Diagnóstico

¿Necesitas recuperar datos?

Diagnóstico 100% gratuito y sin compromiso.
Si no recuperamos tus datos, no cobramos.

Solicitar diagnóstico gratuito