RGPD en la consulta psicologica: guia práctica de cumplimiento

Protección de datos en psicología: obligaciones legales del RGPD

Los psicólogos manejan datos de categoria especial según el artículo 9 del Reglamento General de Protección de Datos (RGPD, Reglamento UE 2016/679): información sobre salud mental, diagnósticos clínicos, contenido de sesiones terapéuticas y resultados de evaluaciones psicologicas. Según el informe anual de la Agencia Española de Protección de Datos (AEPD, 2024), el sector sanitario representa el 12% de las reclamaciones por tratamiento indebido de datos, con sanciones que pueden alcanzar los 20 millones de euros o el 4% de la facturación anual. Esto implica un nivel de protección superior al habitual y obligaciones específicas que todo psicólogo debe conocer y cumplir.

1. Datos de categoria especial en psicología

El artículo 9 del RGPD clasifica los datos de salud como datos de categoria especial, cuyo tratamientoestá prohibido salvo excepciones. En el ambito de la psicología, esto incluye: notas clínicas, diagnósticos, resultados de cuestionarios psicologicos, grabaciones de sesiones, informes clínicos y cualquier dato que revele información sobre el estado de salud mental del paciente.

2. Bases legales para el tratamiento

Para tratar datos de salud en la consulta, necesitas una base legal válida. Las más habituales son: el consentimiento explicito del paciente (que debe ser libre, específico, informado e inequivoco), la necesidad para fines de medicina preventiva o laboral, y el interés vital del interesado. Es fundamental documentar la base legal utilizada para cada tipo de tratamiento y conservar los consentimientos firmados.

3. Derechos ARCO-POL del paciente

Tus pacientes tienen derecho de Acceso, Rectificación, Cancelación (supresión), Oposición, Portabilidad, Olvido y Limitación del tratamiento. Debes informarles de estos derechos al inicio de la relación terapéutica y tener un procedimiento establecido para atender las solicitudes en un plazo máximo de un mes. Recuerda que la historia clínica tiene plazos de conservación mínimos legales (5 años desde el alta según la Ley de Autonomia del Paciente).

• Acceso: el paciente puede solicitar copia de sus datos
• Rectificación: corregir datos inexactos
• Supresion: eliminar datos cuando ya no sean necesarios
• Portabilidad: recibir datos en formato estructurado
• Oposición: oponerse a determinados tratamientos

4. Medidas de seguridad obligatorias

El RGPD exige implementar medidas técnicas y organizativas adecuadas al nivel de riesgo. Para una consulta psicologica esto incluye: cifrado de datos en reposo y en tránsito, control de acceso con autenticacion robusta, registro de actividades de tratamiento, copias de seguridad periodicas, y formación del personal. Psicofactu implementa cifrado AES-256 para todas las notas clínicas y datos sensibles, cumpliendo con los más altos estandares de seguridad.

5. Registro de actividades de tratamiento (RAT)

El artículo 30 del RGPD obliga a todo responsable de tratamiento a mantener un registro de actividades de tratamiento por escrito, ya sea en formato electrónico o papel. Para un psicólogo, este registro debe incluir: la identidad y datos de contacto del responsable, los fines del tratamiento (asistencia sanitaria, gestión de citas, facturación), las categorías de interesados (pacientes) y de datos (salud, identificación, económicos), las categorías de destinatarios (encargados de tratamiento como proveedores de software, laboratorios, otros profesionales sanitarios en caso de derivación), los plazos de conservación previstos y una descripción general de las medidas de seguridad técnicas y organizativas.

Aunque el RGPD solo obliga a mantener este registro a organizaciones con más de 250 empleados, el considerando 13 establece una excepción para quienes tratan datos de categoría especial, como los datos de salud. Por tanto, todo psicólogo, independientemente de si trabaja solo o en un centro, debe disponer de este registro.

6. Evaluación de impacto en protección de datos (EIPD)

El artículo 35 del RGPD exige realizar una Evaluación de Impacto en Protección de Datos cuando un tratamiento entrañe un alto riesgo para los derechos y libertades de las personas. El tratamiento a gran escala de datos de salud es uno de los supuestos que la AEPD considera de alto riesgo en su lista publicada conforme al artículo 35.4.

Para un psicólogo autónomo con un volumen moderado de pacientes, la AEPD no siempre considera obligatoria la EIPD, pero sí la recomienda como buena práctica. Si diriges un centro con varios profesionales o tratas un volumen significativo de historiales clínicos, realizar una EIPD no solo es recomendable sino probablemente obligatorio. La evaluación debe documentar los riesgos identificados, las medidas para mitigarlos y la justificación de que el tratamiento es proporcionado y necesario.

7. Brechas de seguridad: qué hacer si ocurre un incidente

El artículo 33 del RGPD establece que, en caso de una brecha de seguridad que afecte a datos personales, el responsable del tratamiento debe notificarlo a la autoridad de control competente (la AEPD en España) en un plazo máximo de 72 horas desde que tenga conocimiento de ella. Si la brecha supone un alto riesgo para los derechos y libertades de los afectados, también debes comunicárselo a los pacientes afectados sin dilación indebida (artículo 34).

Para un psicólogo, una brecha de seguridad podría ser desde la pérdida de un portátil con historiales clínicos sin cifrar hasta el acceso no autorizado a tu software de gestión. Tener los datos cifrados con AES-256 reduce significativamente el riesgo: si los datos están cifrados y la clave no se ha visto comprometida, la brecha puede no requerir notificación ya que los datos son ininteligibles para el atacante. Esta es una de las razones por las que el cifrado no es solo una buena práctica, sino una medida que puede evitarte sanciones y daños reputacionales.

8. Uso de inteligencia artificial y RGPD en la consulta

El uso de herramientas de IA en la práctica clínica plantea cuestiones específicas de protección de datos. Si utilizas cualquier herramienta de IA que procese datos de pacientes, debes asegurarte de que el proveedor de IA actúa como encargado de tratamiento conforme al artículo 28 del RGPD, que existe un contrato de encargo de tratamiento firmado, que los datos no se utilizan para entrenar modelos (Zero Data Retention), que los servidores de procesamiento están en la UE o en un país con decisión de adecuación, y que informas a tus pacientes sobre el uso de IA en el tratamiento de sus datos.

Además, el Reglamento Europeo de IA (AI Act, Reglamento UE 2024/1689), que entró en vigor en agosto de 2024, clasifica los sistemas de IA en el ámbito sanitario como de alto riesgo. Esto implica obligaciones adicionales de transparencia, supervisión humana y documentación técnica. Utilizar herramientas que ya cumplen con estos requisitos, como Psicofactu, te simplifica enormemente el cumplimiento normativo.

9. Consentimientos informados digitales

Digitalizar los consentimientos informados tiene múltiples ventajas: trazabilidad completa, fecha y hora exacta de firma, almacenamiento seguro y posibilidad de revocación. Psicofactu permite enviar consentimientos por email para firma electrónica, almacenarlos de forma cifrada y consultarlos en cualquier momento junto al expediente del paciente.

Un consentimiento informado para la consulta psicológica debe incluir como mínimo: la identidad del responsable del tratamiento, la finalidad del tratamiento de datos, las categorías de datos que se recogen, los destinatarios o categorías de destinatarios, el plazo de conservación, los derechos del paciente (acceso, rectificación, supresi��n, portabilidad, oposición y limitación), la posibilidad de retirar el consentimiento en cualquier momento, y el derecho a presentar una reclamación ante la AEPD. Si utilizas herramientas de IA, debes incluir una cláusula específica que informe al paciente sobre el uso de inteligencia artificial y la política de protección de datos asociada.

Fuentes y referencias

• Reglamento (UE) 2016/679 del Parlamento Europeo — Reglamento General de Protección de Datos (RGPD). Arts. 9, 20, 28, 30, 33, 34, 35.
• Ley Orgánica 3/2018 — Ley de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD).
• Agencia Española de Protección de Datos (2024). Informe anual de actividad — Estadísticas de reclamaciones por sector.
• Reglamento (UE) 2024/1689 — Reglamento Europeo de Inteligencia Artificial (AI Act).
• Ley 41/2002, de 14 de noviembre — Ley de Autonomía del Paciente (plazos de conservación de historia clínica).
• Instituto Nacional de Ciberseguridad (INCIBE) — Guías de seguridad para datos sanitarios.