Guía de LOPD y RGPD para psicólogos en consulta privada: qué datos son especialmente sensibles, qué obligaciones tienes, cómo gestionar el consentimiento y qué medidas de seguridad debes aplicar.
Nota legal: contenido informativo general. No sustituye asesoría legal, fiscal u operativa personalizada.
En psicología, los datos que manejas no son solo nombre, teléfono y dirección. Son motivo de consulta, diagnósticos, historiales de vida, medicación, situaciones familiares, traumas. Bajo el RGPD, todos esos datos están en la categoría de máxima protección: datos de salud, que incluyen específicamente los relativos a la salud mental.
Eso significa que las obligaciones de un psicólogo en materia de protección de datos son más estrictas que las de la mayoría de negocios. No porque la normativa esté pensada para complicar tu vida, sino porque el daño que puede causar una brecha de datos en una consulta de psicología es excepcional: el impacto para la persona afectada puede ser devastador.
El artículo 9 del RGPD prohíbe tratar datos de categorías especiales —entre los que están los datos de salud— sin una base legal específica. En el contexto de una consulta de psicología, la base habitual es el consentimiento explícito del paciente antes del inicio del proceso terapéutico.
Ese consentimiento no puede ser verbal ni implícito. Debe quedar documentado de forma que puedas demostrar quién lo dio, cuándo y para qué finalidad exacta. Un "el paciente sabe que trabajo con sus datos" no es suficiente ante una inspección de la AEPD.
Antes de recoger datos, debes informar al paciente de: quién eres (como responsable del tratamiento), para qué vas a usar sus datos, cuánto tiempo los conservarás, si los vas a ceder a alguien y en qué circunstancias, y qué derechos tiene. Eso incluye el derecho a revocar el consentimiento en cualquier momento.
En psicología hay una casuística específica que hay que abordar expresamente: la confidencialidad y sus límites legales (obligación de romper el secreto profesional en casos de riesgo vital, por ejemplo). Esa información debe estar en el documento de consentimiento.
El paciente tiene derecho a solicitar una copia de todos los datos que tienes sobre él, incluyendo las notas de sesión. Esto incomoda a muchos psicólogos, que consideran sus notas como documentos de trabajo internos. Sin embargo, desde el punto de vista de la protección de datos, si esas notas contienen datos del paciente —que las contienen— el paciente tiene derecho a acceder a ellas.
La recomendación práctica es distinguir entre la historia clínica formal y las notas de trabajo personal del terapeuta. Las segundas pueden contener impresiones, hipótesis y reflexiones del profesional que no son estrictamente datos del paciente. Esa distinción debe estar documentada.
Muchos psicólogos guardan notas de sesión en Word, en Google Docs o en aplicaciones de notas sin cifrado. Esos documentos contienen información de salud mental de primera categoría sin ninguna protección. Un acceso no autorizado, un robo del ordenador o un error de configuración en la nube puede exponer datos de decenas o cientos de pacientes.
Enviar informes psicológicos, diagnósticos o notas de evolución por email estándar no cumple con los requisitos de seguridad del RGPD para datos de salud. Si necesitas compartir información clínica —con otro profesional, con el paciente o con una entidad que lo ha derivado— debes usar canales seguros o formatos protegidos.
¿Cuánto tiempo conservas el historial de un paciente que dejó de venir hace tres años? ¿Y uno que cerró el proceso hace cinco? La normativa no fija un plazo único, pero exige que tengas uno definido y justificado. En el ámbito de la salud, el plazo mínimo habitual es de cinco años desde la última intervención, por si hay reclamaciones. Después de ese plazo, los datos deben borrarse o anonimizarse de forma efectiva.
Si tu consulta tiene más de un profesional, cada terapeuta debe acceder únicamente a los historiales de sus propios pacientes. El acceso cruzado a historiales de otros terapeutas sin necesidad justificada no está permitido. En la práctica, esto requiere un sistema de gestión con control de acceso por usuario, no una carpeta compartida donde todos ven todo.
Ninguno de esos puntos es especialmente complejo de implementar. Lo que hace que muchas consultas no lo tengan en orden es simplemente no haberlo priorizado. La AEPD ha incrementado las inspecciones y sanciones en el ámbito sanitario en los últimos años, y las consultas de salud mental están en el radar por la sensibilidad de los datos que manejan.
Si este tema te resultó útil, aquí tienes guías relacionadas para seguir mejorando tu día a día.
Un software específico para fisioterapia gestiona ficha clínica del paciente, consentimientos informados, agenda multiprofesional y facturación con tratamiento correcto del IVA (exento para servicios terapéuticos). Uno genérico maneja agenda y cobros pero se queda corto en los aspectos clínicos y legales del sector.
Sí, para tratamientos con riesgo potencial. La Ley 41/2002 obliga a informar al paciente y obtener su consentimiento. En la práctica, un documento por tipo de tratamiento (o digital con firma) cubre este requisito. El software debe facilitar este paso, no ignorarlo.
Los datos de salud son datos especialmente protegidos (Art. 9 RGPD). Necesitas base legal explícita (consentimiento), medidas de seguridad adecuadas (acceso por roles, cifrado), y un registro de actividades de tratamiento. El software debe restringir quién ve qué según su función.
Con un proceso ordenado, en 2–3 semanas puedes tener la agenda, fichas de pacientes activos y facturación funcionando. La clave es migrar primero los pacientes activos (últimos 6 meses) y el resto del historial después, sin parar la actividad del centro.
Si quieres, te ayudamos a aplicarlo en tu centro
Sin cambiar todo de golpe. Te enseñamos un flujo simple para ordenar agenda, pacientes y operativa diaria.
Demo guiada y enfocada a tu caso
Usamos siempre cookies esenciales para seguridad y funcionamiento. Las cookies de análisis son opcionales. Ver nuestra política de cookies.