Los psicólogos manejan información extremadamente sensible de sus pacientes cada día: diagnósticos, historiales clínicos, notas de sesión y detalles íntimos de la vida personal. Esta información está clasificada como datos de categoría especial bajo el RGPD (Artículo 9), lo que implica obligaciones de protección más estrictas que para cualquier otro tipo de dato personal.
Esta guía te explica exactamente qué necesitas hacer para cumplir con la normativa de protección de datos en tu consulta de psicología, sin necesidad de abogados ni documentación compleja.
Por qué los psicólogos tienen un riesgo elevado de incumplimiento
Los datos de salud mental son los más protegidos por la legislación europea. A diferencia de una tienda online que solo guarda emails y direcciones, tu consulta procesa:
- Diagnósticos y evaluaciones psicológicas
- Historiales de tratamiento
- Notas clínicas de sesiones
- Información sobre medicación
- Detalles de la vida personal del paciente
Consecuencias reales del incumplimiento:
| Tipo de sanción | Cuantía / Consecuencia |
|---|---|
| Multa RGPD (infracciones graves) | Hasta 20 millones € o 4% facturación global |
| Sanción del Colegio de Psicólogos | Desde advertencia hasta suspensión del ejercicio |
| Daño reputacional | Pérdida de pacientes y confianza profesional |
En 2024, el sector sanitario recibió 237 multas por un total de 22,8 millones de euros en Europa. La Agencia Española de Protección de Datos (AEPD) es una de las más activas, con más de 900 expedientes sancionadores anuales.
Código Deontológico y RGPD: obligaciones complementarias
Como psicólogo colegiado, tienes una doble obligación: cumplir el RGPD y respetar el Código Deontológico del Consejo General de la Psicología de España.
Artículos clave del Código Deontológico
| Artículo | Obligación | Relación con RGPD |
|---|---|---|
| Art. 40 | Toda información de la práctica profesional está sujeta a secreto profesional | Coincide con el principio de confidencialidad del RGPD |
| Art. 41 | El secreto se mantiene incluso tras el fallecimiento del paciente | Supera el requisito mínimo del RGPD |
| Art. 42 | Solo se puede romper el secreto con consentimiento expreso o mandato judicial | Alineado con las bases legales del RGPD |
Importante: Una queja deontológica puede derivar en la apertura de un expediente por la AEPD, y viceversa. Cumplir con el RGPD refuerza tu posición ante el Colegio, y cumplir el Código Deontológico te ayuda a demostrar diligencia ante la autoridad de protección de datos.
Documentos obligatorios para tu consulta
Para cumplir con el RGPD necesitas tener preparados y actualizados los siguientes documentos:
1. Política de privacidad
Debe informar a los pacientes sobre:
- Identidad del responsable del tratamiento (tú)
- Finalidades del tratamiento de datos
- Base legal para el tratamiento
- Destinatarios de los datos
- Periodos de conservación
- Derechos del paciente (acceso, rectificación, supresión, etc.)
- Datos de contacto para ejercer derechos
Dónde colocarla: En tu web (enlace en el footer), en la sala de espera, y entregar copia física al inicio de la relación terapéutica.
Crea tu política de privacidad en 5 minutos con GDPR.Direct →
2. Consentimiento informado para el tratamiento de datos
A diferencia de otros sectores, los datos de salud requieren consentimiento explícito del paciente. Este consentimiento debe ser:
- Específico: Para cada finalidad (tratamiento clínico, facturación, etc.)
- Informado: El paciente debe entender qué datos se procesan y por qué
- Inequívoco: Requiere una acción afirmativa clara (firma, checkbox marcado)
- Revocable: El paciente puede retirarlo en cualquier momento
No basta con un consentimiento verbal. Debes documentarlo por escrito y conservar prueba de su obtención.
3. Registro de actividades de tratamiento
Si procesas datos de categoría especial (y los datos de salud lo son), estás obligado a mantener un registro interno que documente:
- Qué datos recopilas
- Para qué los usas
- Con quién los compartes
- Durante cuánto tiempo los conservas
- Qué medidas de seguridad aplicas
Este registro no se entrega a los pacientes, pero la AEPD puede solicitarlo en una inspección.
4. Contrato con encargados del tratamiento
Si utilizas servicios externos que acceden a datos de pacientes, necesitas un contrato específico de protección de datos. Ejemplos comunes:
- Software de gestión de citas
- Plataformas de videollamada para terapia online
- Servicios de almacenamiento en la nube
- Gestoría o asesoría fiscal
El contrato debe especificar qué puede y qué no puede hacer el proveedor con los datos de tus pacientes.
Tratamiento de datos de salud: requisitos específicos
Base legal para el tratamiento
Para procesar datos de salud, necesitas una base legal específica del Artículo 9 del RGPD. En la práctica clínica privada, las más habituales son:
| Base legal | Cuándo aplica |
|---|---|
| Consentimiento explícito (Art. 9.2.a) | Siempre recomendable para relación terapéutica |
| Diagnóstico o tratamiento médico (Art. 9.2.h) | Cuando el tratamiento es necesario para la asistencia sanitaria |
| Interés vital (Art. 9.2.c) | Solo en emergencias donde el paciente no puede consentir |
Recomendación práctica: Obtén siempre el consentimiento explícito al inicio de la relación terapéutica. Es la base legal más robusta y te protege ante cualquier reclamación.
Medidas de seguridad obligatorias
El RGPD exige medidas “técnicas y organizativas apropiadas” para proteger los datos. Para una consulta de psicología, esto implica como mínimo:
Seguridad física:
- Archivos bajo llave si conservas documentación en papel
- Despacho con cerradura cuando no estés presente
- Trituración de documentos antes de desecharlos
Seguridad digital:
- Contraseñas robustas en todos los dispositivos y cuentas
- Cifrado del disco duro del ordenador donde guardas historiales
- Conexión segura (HTTPS) si usas software online
- Copias de seguridad periódicas
- Antivirus actualizado
Seguridad organizativa:
- No comentar casos con identificadores en espacios públicos
- Formación en protección de datos si tienes personal
- Protocolo de actuación ante brechas de seguridad
Periodos de conservación de datos clínicos
Una de las preguntas más frecuentes: ¿cuánto tiempo debo guardar los historiales de mis pacientes?
Normativa española
| Tipo de documento | Periodo mínimo | Fundamento legal |
|---|---|---|
| Historial clínico | 5 años desde última asistencia | Ley 41/2002 de autonomía del paciente |
| Documentación fiscal | 4 años | Ley General Tributaria |
| Consentimientos informados | Mientras dure el tratamiento + periodo de prescripción | RGPD + Ley 41/2002 |
Recomendación del COP
El Consejo General de la Psicología recomienda conservar la documentación clínica entre 7 y 10 años tras finalizar la relación terapéutica, especialmente en casos que involucren:
- Menores de edad
- Peritajes judiciales
- Patologías graves o crónicas
Pasado el periodo de conservación: Los datos deben eliminarse de forma segura. No basta con borrar archivos; debes usar software de borrado seguro o destrucción física de documentos.
Derechos del paciente: cómo responder a solicitudes
Tus pacientes tienen derechos específicos bajo el RGPD. Debes responder en un plazo máximo de un mes (ampliable a tres en casos complejos).
Derecho de acceso
El paciente puede solicitar una copia de todos los datos que tienes sobre él. Debes proporcionarle:
- Copia del historial clínico
- Información sobre con quién has compartido sus datos
- Los periodos de conservación que aplicas
Excepción importante: Puedes limitar el acceso a notas subjetivas del profesional si consideras que podrían perjudicar al paciente. Pero debes documentar la justificación.
Derecho de rectificación
Si el paciente identifica datos incorrectos, debes corregirlos. Esto no significa que debas modificar tu criterio clínico, pero sí los datos objetivos erróneos (fecha de nacimiento, dirección, etc.).
Derecho de supresión (“derecho al olvido”)
El paciente puede solicitar que elimines sus datos. Sin embargo, en el ámbito sanitario existen limitaciones:
- No puedes eliminar datos mientras exista obligación legal de conservarlos
- Puedes denegar la supresión si los datos son necesarios para defensa de reclamaciones
Documenta siempre la justificación si deniegras una solicitud de supresión.
Derecho a la portabilidad
El paciente puede solicitar que transfieras su historial a otro profesional. Debes proporcionarlo en formato electrónico estructurado (PDF, XML) si lo solicita.
Errores más comunes de los psicólogos
Basándonos en sanciones reales de la AEPD y quejas deontológicas, estos son los errores más frecuentes:
1. No tener política de privacidad
El problema: Web de la consulta sin enlace a política de privacidad, o política inexistente.
La sanción: Multa mínima de 40.000€ por infracción del derecho de información.
La solución: Genera tu política de privacidad ahora →
2. Formulario de contacto sin información de protección de datos
El problema: El formulario de contacto de tu web recoge nombre, email y motivo de consulta sin informar sobre el tratamiento de datos.
La sanción: Infracción del deber de información, sancionable según gravedad.
La solución: Añade una casilla de aceptación vinculada a tu política de privacidad. Lee más sobre formularios de contacto y RGPD →
3. Enviar informes por email sin cifrar
El problema: Envías informes psicológicos o diagnósticos por correo electrónico sin ninguna protección.
La sanción: Brecha de seguridad de datos de categoría especial. Multas significativas.
La solución: Usa servicios de email con cifrado, o protege los documentos con contraseña y envía la contraseña por otro canal.
4. No tener consentimiento documentado
El problema: “El paciente me dio su consentimiento verbalmente.”
La sanción: Sin prueba documental, se considera que no existe consentimiento válido.
La solución: Consentimiento por escrito, firmado, antes de iniciar el tratamiento.
5. Compartir casos en redes sociales o supervisión sin anonimizar
El problema: Publicar casos clínicos “anonimizados” pero con suficiente detalle para identificar al paciente.
La sanción: Violación del secreto profesional + infracción RGPD.
La solución: Anonimización real significa que nadie, incluyendo el propio paciente, pueda reconocerse.
Checklist de cumplimiento para tu consulta
Usa esta lista para verificar que tu práctica cumple con los requisitos básicos:
Documentación
- Tengo una política de privacidad actualizada y accesible
- Uso consentimientos informados por escrito para el tratamiento de datos
- Tengo un registro de actividades de tratamiento
- Tengo contratos firmados con proveedores que acceden a datos de pacientes
Web y comunicaciones
- Mi web tiene política de privacidad enlazada en el footer
- Mi web tiene aviso legal con datos del responsable
- Los formularios de contacto incluyen información de protección de datos
- Tengo banner de cookies si uso cookies no esenciales
- Mis emails incluyen información de protección de datos en la firma
Seguridad
- Los historiales digitales están protegidos con contraseña
- Los archivos físicos están bajo llave
- Uso conexiones seguras (HTTPS) para software online
- Tengo copias de seguridad de la documentación clínica
- Tengo protocolo para notificar brechas de seguridad
Derechos de pacientes
- Sé cómo responder a solicitudes de acceso en menos de un mes
- Tengo documentados los periodos de conservación de datos
- Conozco las excepciones al derecho de supresión en el ámbito sanitario
Código Deontológico
- Mantengo el secreto profesional incluso tras finalizar la relación terapéutica
- No comento casos identificables en contextos públicos
- Documento la justificación si debo romper el secreto profesional
Cumple en 5 minutos con GDPR.Direct
Preparar toda esta documentación manualmente puede llevarte días. Contratar un abogado especializado cuesta entre 2.000€ y 5.000€.
GDPR.Direct te permite generar todos los documentos que necesitas en minutos:
- Política de privacidad adaptada a consultas de psicología
- Registro de actividades de tratamiento pre-configurado para datos de salud
- Contratos con encargados del tratamiento
- Documentos actualizados automáticamente cuando cambia la normativa
Empieza gratis con GDPR.Direct →