Usar IA en tu consulta es legal.
Aquí está el porqué.
El 67 % de los psicólogos cita la incertidumbre legal como su mayor barrera para adoptar IA. Esta página responde a cada pregunta con las normas exactas que aplican en España y cómo Psicofactu cumple con cada una.
Cinco normas que regulan la IA en tu consulta
No existe una ley específica que prohíba usar IA en psicología. Lo que existe es un marco de protección de datos y un nuevo reglamento europeo de IA que definen exactamente cómo hacerlo bien. Psicofactu ha sido diseñado para cumplir con todo ello desde el primer día.
Reglamento (UE) 2016/679
La norma europea de referencia en protección de datos. Los datos de salud son «categoría especial» (art. 9) y requieren medidas adicionales.
Define qué puedes hacer con los datos de tus pacientes, quién es el responsable del tratamiento y qué obligaciones tiene el proveedor de software.
Ley Orgánica 3/2018
La transposición española del RGPD. Concreta obligaciones específicas para profesionales de la salud y establece el régimen sancionador.
Establece que los datos de salud solo pueden tratarse con consentimiento explícito del paciente o cuando sea necesario para la asistencia sanitaria.
Ley de Autonomía del Paciente
Regula los derechos del paciente en materia de información clínica, consentimiento informado y acceso a la historia clínica.
Cualquier herramienta que procese información clínica —incluida la IA— debe respetar el consentimiento informado y la confidencialidad.
Reglamento (UE) 2024/1689 sobre IA
El primer marco legal mundial específico para la inteligencia artificial. Clasifica los sistemas de IA por nivel de riesgo y establece obligaciones para cada nivel.
Las herramientas de IA de apoyo al profesional (no autónomas) son de riesgo limitado. Las IA que diagnostican de forma autónoma son de riesgo alto y tienen obligaciones más exigentes.
Esquema Nacional de Seguridad
Marco de referencia de ciberseguridad del Gobierno de España. INCIBE es el organismo que guía las buenas prácticas en seguridad de datos sanitarios.
Define los estándares técnicos mínimos: cifrado AES-256, TLS 1.3, control de accesos y registro de auditoría.
Las 6 preguntas que más nos hacen
Hemos hablado con cientos de psicólogos. Estas son las dudas que aparecen siempre. Las respondemos con la referencia legal exacta, no con marketing.
«Si subo las notas de un paciente a la IA, ¿estoy cediendo sus datos a una empresa de EEUU?»
No. Los datos nunca van directamente a ninguna empresa de EEUU sin las garantías legales exigidas. Psicofactu usa la API de OpenAI bajo el acuerdo DPA (Data Processing Agreement) conforme al art. 28 RGPD, con política de Zero Data Retention: OpenAI no almacena los datos, no los usa para entrenar modelos y los elimina en cuanto responde. Además, antes de cada consulta, aplicamos anonimización automática de identificadores personales.
«¿Necesito el consentimiento del paciente para usar IA?»
Sí, y Psicofactu lo gestiona automáticamente. Antes de activar cualquier función de IA, el sistema genera un consentimiento informado específico para el tratamiento de datos con IA. El paciente lo recibe por email, lo lee y lo firma digitalmente. El documento queda custodiado en el expediente. Base jurídica: art. 9.2.a RGPD (consentimiento explícito para categorías especiales).
«¿Puede la IA cometer un error que me haga responsable?»
La IA de Psicofactu nunca toma decisiones clínicas. Genera borradores, estructuras y sugerencias que tú revisas, editas y apruebas antes de que pasen a la historia clínica. La responsabilidad clínica siempre es tuya —como lo ha sido siempre—, y el sistema está diseñado para que quede claro: ningún documento se guarda sin tu aprobación explícita.
«¿Qué pasa si la AEPD me inspecciona?»
Psicofactu te proporciona la documentación que exige la AEPD: registro de actividades de tratamiento (art. 30 RGPD), contrato de encargo de tratamiento firmado (art. 28), EIPD para tratamientos de alto riesgo (art. 35) y registro de auditoría completo. En caso de inspección, puedes acreditar que cumples con cada requisito legal.
«¿El colegio de psicólogos lo permite?»
Los colegios profesionales de psicología en España no prohíben el uso de IA de apoyo al profesional. El Consejo General de Psicología ha publicado orientaciones para el uso ético de tecnología en la práctica clínica. El criterio clave es que la IA asiste pero no sustituye el juicio clínico del profesional —exactamente el modelo de Psicofactu.
«¿Puedo usar IA con pacientes menores de edad?»
Sí, con el consentimiento del representante legal del menor. Para menores de 14 años, el RGPD exige el consentimiento de padres o tutores. Psicofactu identifica automáticamente cuando un paciente es menor de 14 años y genera el modelo de consentimiento adecuado para el representante legal.
Cada medida técnica, con su artículo legal
No basta con decir «cumplimos el RGPD». Aquí está exactamente qué hacemos y qué norma cubre cada acción.
Anonimización antes de la IA
Art. 25 RGPD — Privacidad desde el diseñoAntes de enviar cualquier texto al modelo de IA, el sistema detecta y elimina automáticamente nombres, DNI, teléfonos y otros identificadores directos. La IA trabaja con datos pseudoanonimizados.
Zero Data Retention con OpenAI
Art. 28 RGPD — Encargados del tratamientoOperamos bajo el acuerdo de procesamiento de datos (DPA) con OpenAI con política Zero Data Retention: los datos se procesan de forma efímera y no se almacenan ni se usan para entrenar modelos.
Cifrado AES-256-GCM
Art. 32 RGPD — Seguridad del tratamientoTodos los datos clínicos están cifrados en reposo con AES-256-GCM, el estándar recomendado por INCIBE para datos sanitarios. Las comunicaciones usan TLS 1.3.
Servidores exclusivamente en la UE
Arts. 44-49 RGPD — Transferencias internacionalesTodos los datos residen en servidores dentro de la Unión Europea. No se realizan transferencias internacionales de datos personales fuera del Espacio Económico Europeo.
Consentimiento informado digital
Art. 9.2.a RGPD — Base jurídica datos de saludEl sistema genera automáticamente un modelo de consentimiento para el tratamiento de datos con IA. El paciente lo firma digitalmente y el documento queda vinculado a su expediente.
Documentación legal completa
Arts. 28, 30 y 35 RGPDContrato de encargo de tratamiento (art. 28), registro de actividades de tratamiento (art. 30) y EIPD documentada (art. 35) disponibles desde el primer día.
El nuevo reglamento europeo de IA y tu consulta
El Reglamento (UE) 2024/1689 sobre Inteligencia Artificial —el AI Act— entró en vigor en 2024 y clasifica los sistemas de IA en cuatro categorías de riesgo. Entender en cuál cae Psicofactu es clave para saber si tienes obligaciones adicionales.
Riesgo inaceptable
ProhibidoManipulación subliminal, puntuación social, reconocimiento de emociones en el trabajo.
Riesgo alto
Obligaciones exigentesIA que diagnostica enfermedades de forma autónoma, IA en decisiones médicas vinculantes.
Riesgo limitado
TransparenciaChatbots, sistemas que generan texto. Solo deben indicar que son IA.
Riesgo mínimo
Sin obligaciones adicionales← PsicofactuHerramientas de apoyo al profesional que no toman decisiones autónomas.
¿Por qué Psicofactu es riesgo mínimo?
El AI Act clasifica como riesgo alto los sistemas que toman decisiones autónomas con efectos significativos sobre personas. Psicofactu nunca toma decisiones: genera borradores que tú revisas, editas y apruebas. La IA es un asistente administrativo y documental, no un sistema de diagnóstico automático. Eso la sitúa en la categoría de riesgo mínimo, sin obligaciones adicionales más allá del cumplimiento del RGPD que ya detallamos.
Lo que recibes desde el primer día
Empezar con Psicofactu no requiere que vayas a un abogado a preparar documentación RGPD. El sistema te proporciona todo lo que la ley exige, listo para usar.
Contrato de Encargo de Tratamiento
Art. 28 RGPDDefine los derechos y obligaciones entre tú (responsable) y Psicofactu (encargado). Firmado y disponible desde el registro.
Registro de Actividades de Tratamiento
Art. 30 RGPDDocumento que acredita que has analizado qué datos tratas, con qué fin y bajo qué base jurídica. Generado automáticamente.
Evaluación de Impacto (EIPD)
Art. 35 RGPDAnálisis de riesgos para el tratamiento de datos de salud con herramientas de IA. Disponible en tu panel de ajustes.
Modelo de Consentimiento Informado IA
Art. 9.2.a RGPDTexto legal para obtener el consentimiento explícito del paciente antes de usar IA con sus datos. Personalizable con tu nombre y número de colegiado.
Política de Privacidad del paciente
Arts. 13-14 RGPDDocumento de información al paciente sobre el tratamiento de sus datos, incluido el uso de IA y las transferencias al procesador.
Ya tienes la información. Ahora pruébalo.
30 días gratis, sin tarjeta, con acceso completo a todas las herramientas de IA. La documentación legal lista desde el minuto uno.