Evaluacion de Impacto de Proteccion de Datos
EIPD/DPIA conforme al articulo 35 del RGPD (UE) 2016/679
Ultima actualizacion: abril 2026
La presente Evaluacion de Impacto de Proteccion de Datos (EIPD) se realiza en cumplimiento del articulo 35 del Reglamento (UE) 2016/679 (RGPD) y la Ley Organica 3/2018 de Proteccion de Datos Personales y garantia de los derechos digitales (LOPDGDD). PsicoFactu trata categorias especiales de datos (datos de salud) en su condicion de encargado del tratamiento, lo que exige la realizacion de esta evaluacion.
1. Descripcion del tratamiento
Responsable del Tratamiento
El psicologo o centro que utiliza PsicoFactu. Cada profesional es responsable del tratamiento de los datos personales de sus pacientes.
Encargado del Tratamiento
PsicoFactu (la plataforma), que trata datos por cuenta del profesional conforme al contrato de encargo de tratamiento.
Finalidad del tratamiento
Gestion integral de consultas de psicologia, incluyendo:
- Historias clinicas electronicas (notas de sesion, diagnosticos, cuestionarios)
- Gestion de citas y agenda
- Facturacion electronica conforme al Reglamento Verifactu
- Comunicaciones con pacientes (email, recordatorios)
- Asistencia clinica mediante inteligencia artificial (resumen, sugerencias)
Base juridica
Articulo 9.2(h) del RGPD: tratamiento necesario para fines de medicina preventiva o laboral, evaluacion de la capacidad laboral del trabajador, diagnostico medico, prestacion de asistencia o tratamiento de tipo sanitario o social, o gestion de los sistemas y servicios de asistencia sanitaria y social.
Categorias de datos tratados
Datos identificativos
- Nombre y apellidos
- Telefono
- DNI/NIF
- Direccion
Datos de salud (cat. especial)
- Diagnosticos (CIE-10)
- Notas clinicas de sesion
- Cuestionarios psicologicos
- Tratamientos
- Informes clinicos
Datos economicos
- Datos de facturacion
- Historial de pagos
- NIF/CIF
Categorias de interesados
Pacientes de psicologia atendidos por los profesionales usuarios de PsicoFactu.
Destinatarios y subencargados
No se ceden datos a terceros salvo obligacion legal. Los subencargados del tratamiento son:
| Subencargado | Funcion | Ubicacion |
|---|---|---|
| MongoDB Atlas | Base de datos | UE |
| AWS | Almacenamiento de archivos | UE |
| OpenAI | IA clinica (con Zero Data Retention) | EEUU (con anonimizacion previa) |
| Resend | Email transaccional | UE |
| Stripe | Procesamiento de pagos | UE |
Transferencias internacionales
OpenAI (EEUU): se aplican clausulas contractuales tipo (CCT) aprobadas por la Comision Europea y anonimizacion previa de datos personales mediante el sistema redactPII. El resto de proveedores mantienen los datos dentro de la Union Europea.
Plazos de conservacion
- Historias clinicas: minimo 5 anos desde la ultima asistencia (Ley 41/2002, art. 17)
- Facturas: 4 anos (Ley General Tributaria)
- Datos de usuario: hasta la baja de la cuenta, sin perjuicio de las obligaciones legales de conservacion
2. Necesidad y proporcionalidad
El tratamiento de datos de salud es estrictamente necesario para la prestacion del servicio de asistencia psicologica. Se aplican los siguientes principios:
Minimizacion de datos
Solo se recogen datos estrictamente necesarios para la prestacion del servicio. No se solicitan datos que no sean relevantes para la relacion terapeutica o la facturacion.
Encriptacion en reposo
Los datos clinicos se encriptan con AES-256-GCM en reposo, garantizando que ni siquiera el equipo de PsicoFactu puede acceder al contenido clinico en texto plano.
Aislamiento de datos
El acceso esta limitado al profesional tratante mediante aislamiento por psychologistId. Ningun profesional puede acceder a los datos de pacientes de otro profesional.
Anonimizacion para IA
Los datos enviados a servicios de inteligencia artificial se anonimizan previamente mediante el sistema redactPII, y se utiliza la politica Zero Data Retention de OpenAI, lo que impide que los datos se utilicen para entrenamiento de modelos.
Sin decisiones automatizadas
No se realizan decisiones automatizadas con efectos juridicos o significativamente similares sobre los interesados. Las sugerencias de la IA son meramente orientativas y siempre requieren la validacion del profesional.
3. Evaluacion de riesgos
Se identifican los siguientes riesgos para los derechos y libertades de los interesados, junto con su probabilidad, impacto y las medidas adoptadas para mitigarlos:
| Riesgo | Probabilidad | Impacto | Nivel | Medidas |
|---|---|---|---|---|
| Acceso no autorizado a datos clinicos | Bajo | Critico | Alto | Encriptacion AES-256-GCM, autenticacion JWT, 2FA (TOTP), RBAC |
| Fuga de datos en transito | Bajo | Alto | Medio | TLS 1.2+, HSTS, Content Security Policy (CSP) |
| Acceso indebido por empleados del encargado | Muy bajo | Critico | Medio | Arquitectura zero-knowledge (datos encriptados con clave del cliente) |
| Perdida de datos | Bajo | Alto | Medio | Backups automaticos MongoDB Atlas, replicas en UE |
| Uso indebido de IA con datos del paciente | Bajo | Alto | Medio | Anonimizacion PII previa, Zero Data Retention, no entrenamiento con datos |
| Incumplimiento de derechos ARCO+ | Bajo | Medio | Bajo | Export RGPD implementado, anonimizacion en borrado |
| Acceso no autorizado por profesional del centro | Bajo | Alto | Medio | Aislamiento por professionalId, audit trail |
4. Medidas de seguridad implementadas
PsicoFactu implementa las siguientes medidas tecnicas y organizativas para garantizar un nivel de seguridad adecuado al riesgo:
Encriptacion en reposo
AES-256-GCM con claves unicas por instalacion para todos los datos clinicos.
Encriptacion en transito
TLS 1.2+ con HSTS (HTTP Strict Transport Security) habilitado.
Autenticacion
JWT + autenticacion de dos factores (2FA) mediante TOTP + codigos de recuperacion.
Control de acceso
RBAC con aislamiento por psychologistId/professionalId.
Audit trail
Registro de accesos, modificaciones y eliminaciones de datos.
Anonimizacion IA
Sistema redactPII antes de cualquier envio a OpenAI.
Zero Data Retention
Politica contractual con OpenAI que impide la retencion y uso de datos para entrenamiento.
Retencion legal
Bloqueo de eliminacion de notas clinicas con antiguedad inferior a 5 anos.
Inmutabilidad de facturas
Las facturas emitidas no pueden ser eliminadas ni modificadas conforme al Reglamento Verifactu.
Copias de seguridad
MongoDB Atlas con backups automaticos y replicas dentro de la Union Europea.
Monitorizacion
PostHog para metricas de uso de la plataforma (sin datos clinicos).
Rate limiting
Proteccion contra abuso de API y ataques de fuerza bruta.
Cabeceras de seguridad
Content Security Policy (CSP), HSTS, X-Frame-Options, X-Content-Type-Options para proteccion contra XSS, clickjacking e inyecciones.
5. Derechos de los interesados
PsicoFactu facilita al profesional las herramientas necesarias para garantizar el ejercicio de los derechos de los interesados (ARCO+):
Derecho de acceso
Exportacion RGPD disponible para cada paciente. El profesional puede generar un informe completo con todos los datos del paciente en cualquier momento.
Derecho de rectificacion
Edicion de datos del paciente disponible desde el perfil del paciente en la plataforma.
Derecho de supresion
Anonimizacion completa de datos del paciente, respetando los plazos legales de conservacion de historias clinicas (minimo 5 anos).
Derecho de portabilidad
Exportacion de datos del paciente en formato JSON estructurado, facilitando la migracion a otro sistema.
Derecho de oposicion y limitacion
El profesional puede revocar el consentimiento de procesamiento de datos en cualquier momento. El paciente puede solicitar la limitacion del tratamiento a traves de su profesional.
Contacto con el DPD
Cada profesional puede configurar un email de contacto para el Delegado de Proteccion de Datos (DPD) desde los ajustes de su cuenta.
6. Conclusion
PsicoFactu implementa medidas tecnicas y organizativas apropiadas para el tratamiento de datos de salud, conforme a los requisitos del RGPD y la LOPDGDD. El nivel de riesgo residual se considera aceptable tras la aplicacion de las medidas descritas en esta evaluacion.
Recomendaciones para el profesional
- EIPD complementaria: se recomienda realizar una evaluacion de impacto propia si se tratan datos a gran escala o se realizan tratamientos de alto riesgo adicionales.
- Delegado de Proteccion de Datos (DPD): designar un DPD si resulta obligatorio segun la normativa aplicable (art. 37 RGPD, art. 34 LOPDGDD).
- Revision periodica: esta evaluacion debe revisarse periodicamente y, en todo caso, cuando se produzcan cambios significativos en el tratamiento.
Documento elaborado conforme al articulo 35 del Reglamento (UE) 2016/679 y las directrices del Grupo de Trabajo del Articulo 29 (WP 248 rev.01).
Para cualquier consulta relacionada con esta evaluacion, contacte con soporte@emails.psicofactu.com.