Saltar al contenido principal
🏥 Tendencias

RGPD para psicólogos: guía de cumplimiento

Protección de datos en tu consulta de psicología: documentación obligatoria, derechos ARCO-POL, consentimiento informado y software seguro.

1 de abril de 2026 10 min de lectura
RGPDLOPDGDDprotección de datosAEPD

RGPD para psicólogos: qué necesitas cumplir y cómo hacerlo sin agobio

Guía práctica sobre protección de datos en consulta: legislación, documentación, derechos de pacientes y cómo implementarlo en tu día a día.

En este artículo

  1. Por qué el RGPD importa especialmente a los psicólogos
  2. Los 7 principios del RGPD aplicados a tu consulta
  3. Base legal para tratar datos de pacientes
  4. Documentación obligatoria en tu clínica
  5. Derechos de los pacientes (ARCO-POL)
  6. Conservación y destrucción segura de datos
  7. Tu software de gestión y el RGPD
  8. Los 5 errores más frecuentes (y cómo evitarlos)

1. Por qué el RGPD importa especialmente a los psicólogos

Si trabajas como psicólogo o psicóloga, probablemente sepas que los datos de tus pacientes son información sensible. Pero el RGPD (Reglamento General de Protección de Datos, también llamado RGPD en España) va mucho más allá: los datos de salud mental son considerados categoría especial según el artículo 9 del RGPD, lo que significa que su protección es reforzada por ley.

No es solo teórico. La Agencia Española de Protección de Datos (AEPD) ha impuesto sanciones reales a centros sanitarios y profesionales por incumplimiento: desde €20.000 hasta €400.000 en casos graves. En 2023, la AEPD llevó a cabo 847 procedimientos de investigación, muchos de ellos relacionados con acceso indebido a datos de salud.

Datos de salud = máxima protección legal

Como psicólogo, tus datos de pacientes no son solo información personal: son datos especialmente protegidos. El RGPD exige un nivel de seguridad y control mucho más alto que para otros sectores. El incumplimiento no solo arriesga multas, sino también la confianza de tus pacientes y tu reputación profesional.

La buena noticia: cumplir el RGPD es totalmente factible, especialmente si lo planteas desde el inicio de tu consulta o lo implementas gradualmente. No requiere ser un especialista en protección de datos, sino seguir unos pasos claros y documentar qué haces y por qué.

2. Los 7 principios del RGPD aplicados a tu consulta

El RGPD se basa en 7 principios fundamentales. Veamos cómo se aplican en la realidad de tu consulta:

Licitud, lealtad y transparencia

Tienes que tener una razón legal válida para recopilar y procesar datos, ser honesto al respecto, y comunicarlo claramente al paciente. En tu consulta: antes de tomar un dato de un paciente, debe haber consentimiento explícito o una base legal clara (ej: obligación legal de mantener historial clínico).

Limitación de la finalidad

Solo puedes usar los datos para lo que los recogiste. Si recogiste datos para tratamiento clínico, no puedes usarlos después para investigación sin nuevo consentimiento, ni para enviarle publicidad. En tu consulta: si registras un dato, especifica claramente para qué lo usas.

Minimización de datos

Recoge solo los datos que realmente necesitas. No pidas el número de carné de identidad si solo necesitas verificar edad. No guardes datos bancarios en el historial si los procesa un tercero. En tu consulta: pregúntate antes de cada campo del formulario: ¿realmente lo necesito para tratar a este paciente?

Exactitud

Los datos deben ser correctos y actualizados. Mantén los historiales precisos (dato importante clínicamente y legalmente), y proporciona a los pacientes formas fáciles de actualizar sus datos personales cuando cambien.

Limitación del plazo de conservación

No guardes datos indefinidamente. Para datos clínicos, la Ley 41/2002 de Autonomía del Paciente exige mínimo 5 años tras la última asistencia. Después, debes eliminar o anonimizar. Algunas comunidades autónomas exigen más tiempo. En tu consulta: establece una política clara de cuándo eliminas qué datos.

Integridad y confidencialidad

Garantiza que los datos están seguros y solo personas autorizadas pueden acceder. Esto incluye cifrado, control de accesos, autenticación y auditoría de quién accede a qué. No es opcional si tratas datos de salud. Un aspecto clave es cómo almacenas tus notas clínicas de forma segura, ya que son datos especialmente sensibles.

Responsabilidad proactiva

No es suficiente cumplir pasivamente; tienes que documentar y demostrar que cumplas. Registro de actividades, análisis de riesgos, evaluaciones de impacto, consentimientos firmados: todo esto es tu evidencia de que haces las cosas bien.

3. Base legal para tratar datos de pacientes

Antes de cualquier tratamiento de datos, necesitas una base legal. No puedes simplemente recopilar datos porque sí. En psicología, tienes varias opciones:

Consentimiento explícito (artículo 9.2.a RGPD)

Para datos especiales como salud mental, el consentimiento debe ser específico e inequívoco. En tu consulta: antes de hacer la primera sesión, pídele al paciente que firme un documento de consentimiento informado donde especifiques claramente qué datos vas a tratar, para qué (tratamiento), durante cuánto tiempo, y con quiénes (ej: si compartes con seguros).

El consentimiento debe ser:

  • Previo: antes de recopilar datos
  • Informado: el paciente entiende qué consiente
  • Explícito: mediante acción afirmativa (no silencio, no casillas preseleccionadas)
  • Revocable: el paciente puede retirarlo en cualquier momento

Interés vital

Si el paciente está en peligro inmediato para su vida o la de otros (riesgo de suicidio, violencia inminente), puedes tratar datos sin consentimiento previo para proteger su vida. Siempre documentando el motivo.

Obligación legal (Ley 41/2002 de Autonomía del Paciente)

Tienes obligación legal de mantener historia clínica. Esto es base legal suficiente para tratar datos de salud sin consentimiento adicional, pero solo para los datos clínicamente necesarios. Seguirás necesitando consentimiento si quieres usar esos datos para otros fines (investigación, estadísticas, compartir con terceros no sanitarios).

¿Cuál elegir?

En la mayoría de consultas privadas: consentimiento explícito es la base más clara y defensible. Te permite documentar exactamente para qué el paciente acepta que trates sus datos. Para datos clínicos necesarios: la obligación legal te cubre, pero sigue siendo recomendable informar al paciente en tu política de privacidad.

4. Documentación obligatoria en tu clínica

"Responsabilidad proactiva" significa que necesitas documentación. Estos son los documentos clave:

Consentimiento informado

Debe incluir:

  • Identidad del responsable del tratamiento (tú y/o tu clínica)
  • Finalidad del tratamiento (atención psicológica, investigación, etc.)
  • Categorías de datos a tratar (historial clínico, datos personales, contactos, etc.)
  • Destinatarios (si comparte con seguros, colegio profesional, etc.)
  • Plazo de conservación
  • Derechos del paciente (acceso, rectificación, supresión, portabilidad, etc.)
  • Información de contacto para ejercer derechos

Registro de actividades de tratamiento (RAT)

Un inventario de todos los tratamientos de datos que realizas. Por cada actividad: qué datos tratas, para qué, quién accede, por cuánto tiempo. No tiene que ser complejo: una hoja de cálculo con tus procesos principales es un buen inicio.

Análisis de riesgos y Evaluación de Impacto (EIPD)

Para tratamientos de datos de salud, recomendable hacer un análisis de riesgos: ¿qué podría salir mal? (robo de datos, acceso no autorizado, pérdida de datos). Una evaluación de impacto es obligatoria si el tratamiento supone alto riesgo (ej: tratamiento automático, decisiones automáticas, vigilancia de salud).

En consultas pequeñas, un análisis básico es suficiente: ¿cómo protejo los datos? ¿Quién puede acceder? ¿Qué pasaría si se pierden?

Contrato de encargado de tratamiento

Si usas un software de gestión, un servidor en la nube, o cualquier tercero que procese datos en tu nombre, necesitas un contrato de encargado de tratamiento. Este documento especifica qué hará el tercero con los datos, cómo los protege, y que no los usará para otros fines.

Casi todos los proveedores de software sanitario profesional ya tienen esto disponible. Asegúrate de que tu proveedor te lo ofrezca.

Documentación mínima recomendada para empezar

1. Política de privacidad (qué datos recoges, por qué, cuánto tiempo los guardas)
2. Consentimiento informado firmado
3. Registro simple de actividades (excel con: datos que trato, finalidad, plazo)
4. Contrato de encargado con tu software de gestión

5. Derechos de los pacientes (ARCO-POL)

Los pacientes tienen derechos sobre sus datos. Memorízalos como ARCO-POL:

Acceso

El paciente puede pedirte copia de sus datos. Tienes 1 mes para proporcionar toda la información que tienes sobre él: historial clínico, datos personales, notas internas. Debe ser en formato legible (papel, PDF, Excel). Es gratuito, salvo solicitudes repetidas (puedes cobrar un coste razonable).

Rectificación

Puede pedir que corrijas datos incorrectos. Si el historial tiene un error, debes subsanarlo. Si es una nota clínica, puedes no eliminarla, pero debes notar que el paciente la disputó.

Cancelación / Supresión

Puede pedir que borres sus datos. Aquí hay una tensión: la Ley 41/2002 te obliga a guardar historia clínica 5 años. Pero si el paciente pide supresión antes de ese plazo... En la práctica: le informas de la obligación legal, y puedes anonimizar datos en lugar de suprimirlos.

Oposición

Puede oponerse a un tratamiento de datos. Ej: si usas sus datos para investigación, puede decir que no. Debes cumplir. Para datos clínicamente necesarios, no puede oponerse (son obligación legal).

Portabilidad

Puede pedir sus datos en formato estructurado, común e interoperable (CSV, XML) para cambiar de proveedor. En psicología: debe incluir el historial clínico en formato procesable.

Limitación de tratamiento

Puede pedir que limites lo que haces con sus datos mientras se resuelve una disputa. Ej: no proceses sus datos hasta que se aclare una discrepancia.

Plazo: 1 mes desde la solicitud. Si es compleja, puedes extender 2 meses más, pero debes informar al paciente.

Cómo gestionarlo en la práctica

1. Ten claro tu proceso: ¿dónde y cómo registra el paciente su solicitud? (correo, formulario, presencial)
2. Documenta: fecha de solicitud, tipo de derecho, fecha de respuesta
3. Responde en plazo: 1 mes es corto, no lo dejes para último momento
4. Ten exportable tu historial clínico: asegúrate de que tu software te permite exportar datos en formato abierto

6. Conservación y destrucción segura de datos

¿Cuánto tiempo guardar? ¿Cómo destruir?

Plazos legales

La Ley 41/2002 de Autonomía del Paciente exige que guardes historia clínica mínimo 5 años desde la última asistencia. Algunos datos (informes periciales, recetas) tienen otros plazos más largos. Algunas comunidades autónomas (Cataluña, País Vasco) exigen 10 años.

Datos no clínicos (listas de contactos, correos generales) pueden tener plazos más cortos si no tienen relación con la atención clínica.

Destrucción segura

"Borrar" un archivo no lo elimina realmente: puede recuperarse. Para cumplir RGPD:

  • Papel: destrucción mediante trituración (trituradora) o incineración
  • Digital: cifrado irreversible (sobrescritura del disco) o destrucción física del dispositivo
  • Software en la nube: solicita al proveedor certificado de destrucción de datos
Nunca hagas esto

No guardes historiales en Google Drive sin cifrar. No uses Dropbox compartido. No envíes datos de salud por WhatsApp. No guardes copias "por si acaso" en un pendrive sin cifrar en tu escritorio. Todo ello viola RGPD y pone en riesgo a tus pacientes.

7. Tu software de gestión y el RGPD

La herramienta que uses para guardar historiales es crítica. El RGPD requiere que tenga ciertos requisitos de seguridad. Aquí está tu checklist:

RequisitoQué significaPor qué importa
Cifrado AES-256Los datos están codificados con el estándar más seguro de la industriaSi alguien roba la base de datos, los datos son ilegibles sin la clave
Servidores en la UELos datos se almacenan en servidores dentro de la Unión Europea (idealmente España o Irlanda)Cumple RGPD; datos bajo jurisdicción europea; evita transferencias internacionales que complican compliance
Contrato de encargadoEl proveedor tiene contrato firmado con responsabilidades sobre protección de datosResponsabilidad legal clara; prueba de que el tercero cumple RGPD
Control de acceso (RBAC)Solo personas autorizadas pueden acceder a datos; permisos granulares (admin, terapeuta, recepcionista)Minimiza riesgo de acceso no autorizado; auditoría de quién vio qué
Copias de seguridad diariasDatos respaldados automáticamente cada día en ubicación separadaProtección contra pérdida de datos; disponibilidad en caso de desastre
Auditoría y logsRegistro de quién accedió a qué datos, cuándoDetectar accesos sospechosos; investigar brechas; documentar cumplimiento
Conformidad de privacidadProveedor certifica cumplimiento RGPD (DPA, ISO 27001, o equivalente)Tranquilidad de que el tercero se toma la seguridad en serio
Preguntas clave para tu proveedor

1. ¿Cifra los datos en reposo? (respuesta: sí, AES-256)
2. ¿Dónde están los servidores? (respuesta: UE/España/Irlanda)
3. ¿Tienen contrato de encargado disponible? (respuesta: sí, sin coste)
4. ¿Tengo control de acceso granular? (respuesta: sí, roles y permisos)
5. ¿Hacen copias de seguridad? ¿Con qué frecuencia? (respuesta: diarias, al menos)
6. Si demando mis datos, ¿pueden exportarlos en formato abierto? (respuesta: sí, en plazo X días)
7. ¿Incluye herramientas de documentación para escribir notas clínicas seguras? (respuesta: sí, con plantillas y almacenamiento cifrado)

8. Los 5 errores más frecuentes (y cómo evitarlos)

Error 1: Usar WhatsApp personal sin consentimiento explícito

El problema: Muchos psicólogos comunican con pacientes por WhatsApp personal. Esto viola RGPD por dos razones: (a) datos de salud en una app no diseñada para protección de datos, (b) sin contrato de encargado con Meta.

La solución: Si usas WhatsApp, debe ser con consentimiento explícito del paciente, debes informar que no es un canal seguro, y es mejor usar un número de negocio registrado. Mejor aún: usa el chat de tu software de gestión (cifrado) o correo.

Error 2: Almacenar historias en Google Drive sin cifrar

El problema: Google Drive es conveniente, pero no está diseñado para datos de salud. Sin cifrado de extremo a extremo, Google puede acceder a tus datos. Sin contrato DPA claro, violas RGPD.

La solución: Usa software especializado en salud con cifrado de empresa (ej: Terapli). Si insistes en Google Drive, cifra archivos antes de subirlos (7-Zip, VeraCrypt con contraseña fuerte). Un buen software de gestión integra almacenamiento seguro de tus notas clínicas con cifrado.

Error 3: No tener consentimiento informado firmado

El problema: "Supongo que el paciente sabe que trato sus datos" no es consentimiento. Necesitas documento firmado donde explícitamente acepta qué datos tratas y para qué.

La solución: Antes de la primera sesión, que firme consentimiento informado. Especifica: datos que vas a recoger, finalidad (atención clínica), plazo de conservación, derechos, información de contacto para reclamaciones.

Error 4: No tener Registro de Actividades de Tratamiento (RAT)

El problema: Si la AEPD te audita y no puedes demostrar qué datos tratas, para qué, y cómo los proteges, estás en un aprieto legal.

La solución: Crea un inventario simple: (1) Historias clínicas → finalidad: atención clínica → plazo: 5 años → ubicación: servidor Terapli cifrado. (2) Contactos pacientes → finalidad: comunicación citas → plazo: durante relación contractual. Esto es tu RAT. Mantenlo actualizado.

Error 5: Compartir datos con aseguradoras sin base legal

El problema: A veces pacientes piden que compartas datos con su aseguradora. Si lo haces sin consentimiento previo específico para ello, violas RGPD.

La solución: En tu consentimiento informado inicial, pregunta: "¿puedo compartir datos clínicos con tu aseguradora si lo solicitas?". Si dice sí, documenta para quién. Si lo pide después, confirma que consiente el compartir datos con esa aseguradora específica (por correo, formulario, o nota en historia clínica firmada).

Cumple el RGPD sin complicaciones

Terapli cifra tus datos con AES-256, almacena todo en servidores de la UE y te proporciona plantillas de consentimiento informado listas para usar. Auditorías automáticas, logs de acceso y contractos de encargado incluidos. Además, dispone de herramientas integradas para escribir notas clínicas seguras y digitalizar todos los procesos de tu consulta.

Empieza por 1 € — oferta de lanzamiento

Fuentes y referencias legislativas

  • RGPD (Reglamento (UE) 2016/679): Especialmente artículos 9 (datos especiales), 32 (seguridad), 33 (notificación de brechas), 37 (evaluación de impacto). BOE - RGPD
  • LOPDGDD (Ley Orgánica 3/2018): Normativa española que adapta RGPD a derecho nacional. Especialmente disposiciones sobre responsabilidad proactiva y penalidades. BOE - LOPDGDD
  • Ley 41/2002 de Autonomía del Paciente: Obligaciones de historia clínica, plazo de conservación 5 años. BOE - Ley 41/2002
  • Directrices AEPD: Guía sobre consentimiento, evaluaciones de impacto, derechos de interesados. Agencia Española de Protección de Datos
  • Directrices EDPB (Junta Europea de Protección de Datos): Interpretación del RGPD a nivel europeo. Especialmente WP259 (consentimiento) y WP248 (derechos de interesados). EDPB - European Data Protection Board
  • Estándares de seguridad: ISO/IEC 27001 (seguridad de información), ISO/IEC 27002 (controles de seguridad). NIST Cybersecurity Framework para evaluación de riesgos.
  • Comunicaciones AEPD: Historial de sanciones, interpretaciones sobre tratamiento de datos de salud y cumplimiento en sector sanitario. Prensa AEPD
Volver a recursos Empieza por 1 € — oferta de lanzamiento