Evaluación de Impacto de Protección de Datos
EIPD/DPIA conforme al artículo 35 del RGPD (UE) 2016/679
Última actualización: abril 2026
La presente Evaluación de Impacto de Protección de Datos (EIPD) se realiza en cumplimiento del artículo 35 del Reglamento (UE) 2016/679 (RGPD) y la Ley Organica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD). Psicofactu trata categorías especiales de datos (datos de salud) en su condición de encargado del tratamiento, lo que exige la realización de esta evaluación.
1. Descripción del tratamiento
Responsable del Tratamiento
El psicologo o centro que utiliza Psicofactu. Cada profesional es responsable del tratamiento de los datos personales de sus pacientes.
Encargado del Tratamiento
Psicofactu (la plataforma), que trata datos por cuenta del profesional conforme al contrato de encargo de tratamiento.
Finalidad del tratamiento
Gestión integral de consultas de psicología, incluyendo:
- Historias clínicas electronicas (notas de sesión, diagnósticos, cuestionarios)
- Gestión de citas y agenda
- Facturación electrónica preparada para el Reglamento Verifactu
- Comunicaciones con pacientes (email, recordatorios)
- Asistencia clínica mediante inteligencia artificial (resumen, sugerencias)
Base jurídica
Artículo 9.2(h) del RGPD: tratamiento necesario para fines de medicina preventiva o laboral, evaluación de la capacidad laboral del trabajador, diagnóstico médico, prestación de asistencia o tratamiento de tipo sanitario o social, o gestión de los sistemas y servicios de asistencia sanitaria y social.
Categorías de datos tratados
Datos identificativos
- Nombre y apellidos
- Teléfono
- DNI/NIF
- Dirección
Datos de salud (cat. especial)
- Diagnósticos (CIE-10)
- Notas clínicas de sesión
- Cuestionarios psicologicos
- Tratamientos
- Informes clínicos
Datos economicos
- Datos de facturación
- Historial de pagos
- NIF/CIF
Categorías de interesados
Pacientes de psicología atendidos por los profesionales usuarios de Psicofactu.
Destinatarios y subencargados
No se ceden datos a terceros salvo obligación legal. Los subencargados del tratamiento son:
| Subencargado | Función | Ubicación |
|---|---|---|
| MongoDB Atlas | Base de datos | UE |
| AWS | Almacenamiento de archivos | UE |
| OpenAI | IA clínica (con Zero Data Retention) | EEUU (con anonimización previa) |
| Resend | Email transaccional | UE |
| Stripe | Procesamiento de pagos | UE |
Transferencias internacionales
OpenAI (EEUU): se aplican cláusulas contractuales tipo (CCT) aprobadas por la Comisión Europea y anonimización previa de datos personales mediante el sistema redactPII. El resto de proveedores mantienen los datos dentro de la Union Europea.
Plazos de conservación
- Historias clínicas: mínimo 5 anos desde la última asistencia (Ley 41/2002, art. 17)
- Facturas: 4 anos (Ley General Tributaria)
- Datos de usuario: hasta la baja de la cuenta, sin perjuicio de las obligaciones legales de conservación
2. Necesidad y proporcionalidad
El tratamiento de datos de salud es estrictamente necesario para la prestación del servicio de asistencia psicológica. Se aplican los siguientes principios:
Minimización de datos
Solo se recogen datos estrictamente necesarios para la prestación del servicio. No se solicitan datos que no sean relevantes para la relación terapéutica o la facturación.
Encriptación en reposo
Los datos clínicos se encriptan con AES-256-GCM en reposo, garantizando que ni siquiera el equipo de Psicofactu puede acceder al contenido clínico en texto plano.
Aislamiento de datos
El acceso esta limitado al profesional tratante mediante aislamiento por psychologistId. Ningún profesional puede acceder a los datos de pacientes de otro profesional.
Anonimización para IA
Los datos enviados a servicios de inteligencia artificial se anonimizan previamente mediante el sistema redactPII, y se utiliza la política Zero Data Retention de OpenAI, lo que impide que los datos se utilicen para entrenamiento de modelos.
Sin decisiones automatizadas
No se realizan decisiones automatizadas con efectos jurídicos o significativamente similares sobre los interesados. Las sugerencias de la IA son meramente orientativas y siempre requieren la validación del profesional.
3. Evaluación de riesgos
Se identifican los siguientes riesgos para los derechos y libertades de los interesados, junto con su probabilidad, impacto y las medidas adoptadas para mitigarlos:
| Riesgo | Probabilidad | Impacto | Nivel | Medidas |
|---|---|---|---|---|
| Acceso no autorizado a datos clínicos | Bajo | Crítico | Alto | Encriptación AES-256-GCM, autenticación JWT, 2FA (TOTP), RBAC |
| Fuga de datos en transito | Bajo | Alto | Medio | TLS 1.2+, HSTS, Content Security Policy (CSP) |
| Acceso indebido por empleados del encargado | Muy bajo | Crítico | Medio | Arquitectura zero-knowledge (datos encriptados con clave del cliente) |
| Perdida de datos | Bajo | Alto | Medio | Backups automaticos MongoDB Atlas, replicas en UE |
| Uso indebido de IA con datos del paciente | Bajo | Alto | Medio | Anonimización PII previa, Zero Data Retention, no entrenamiento con datos |
| Incumplimiento de derechos ARCO+ | Bajo | Medio | Bajo | Export RGPD implementado, anonimización en borrado |
| Acceso no autorizado por profesional del centro | Bajo | Alto | Medio | Aislamiento por professionalId, audit trail |
4. Medidas de seguridad implementadas
Psicofactu implementa las siguientes medidas técnicas y organizativas para garantizar un nivel de seguridad adecuado al riesgo:
Encriptación en reposo
AES-256-GCM con claves unicas por instalación para todos los datos clínicos.
Encriptación en transito
TLS 1.2+ con HSTS (HTTP Strict Transport Security) habilitado.
Autenticación
JWT + autenticación de dos factores (2FA) mediante TOTP + códigos de recuperación.
Control de acceso
RBAC con aislamiento por psychologistId/professionalId.
Audit trail
Registro de accesos, modificaciones y eliminaciones de datos.
Anonimización IA
Sistema redactPII antes de cualquier envio a OpenAI.
Zero Data Retention
Política contractual con OpenAI que impide la retención y uso de datos para entrenamiento.
Retención legal
Bloqueo de eliminación de notas clínicas con antiguedad inferior a 5 anos.
Inmutabilidad de facturas
Las facturas emitidas no pueden ser eliminadas ni modificadas, en preparación al Reglamento Verifactu.
Copias de seguridad
MongoDB Atlas con backups automaticos y replicas dentro de la Union Europea.
Monitorización
PostHog para métricas de uso de la plataforma (sin datos clínicos).
Rate limiting
Protección contra abuso de API y ataques de fuerza bruta.
Cabeceras de seguridad
Content Security Policy (CSP), HSTS, X-Frame-Options, X-Content-Type-Options para protección contra XSS, clickjacking e inyecciones.
5. Derechos de los interesados
Psicofactu facilita al profesional las herramientas necesarias para garantizar el ejercicio de los derechos de los interesados (ARCO+):
Derecho de acceso
Exportación RGPD disponible para cada paciente. El profesional puede generar un informe completo con todos los datos del paciente en cualquier momento.
Derecho de rectificación
Edición de datos del paciente disponible desde el perfil del paciente en la plataforma.
Derecho de supresión
Anonimización completa de datos del paciente, respetando los plazos legales de conservación de historias clínicas (mínimo 5 anos).
Derecho de portabilidad
Exportación de datos del paciente en formato JSON estructurado, facilitando la migración a otro sistema.
Derecho de oposición y limitación
El profesional puede revocar el consentimiento de procesamiento de datos en cualquier momento. El paciente puede solicitar la limitación del tratamiento a través de su profesional.
Contacto con el DPD
Cada profesional puede configurar un email de contacto para el Delegado de Protección de Datos (DPD) desde los ajustes de su cuenta.
6. Conclusión
Psicofactu implementa medidas técnicas y organizativas apropiadas para el tratamiento de datos de salud, conforme a los requisitos del RGPD y la LOPDGDD. El nivel de riesgo residual se considera aceptable tras la aplicación de las medidas descritas en esta evaluación.
Recomendaciones para el profesional
- EIPD complementaria: se recomienda realizar una evaluación de impacto propia si se tratan datos a gran escala o se realizan tratamientos de alto riesgo adicionales.
- Delegado de Protección de Datos (DPD): designar un DPD si resulta obligatorio según la normativa aplicable (art. 37 RGPD, art. 34 LOPDGDD).
- Revisión periódica: esta evaluación debe revisarse periódicamente y, en todo caso, cuando se produzcan cambios significativos en el tratamiento.
Documento elaborado conforme al artículo 35 del Reglamento (UE) 2016/679 y las directrices del Grupo de Trabajo del Artículo 29 (WP 248 rev.01).
Para cualquier consulta relacionada con esta evaluación, contacte con soporte@emails.psicofactu.com.