Obligaciones RGPD para psicólogos en la consulta clínica
Gestionar datos de pacientes conlleva responsabilidades legales concretas. Esta guía reúne, con el rigor de la normativa vigente, todo lo que debe cumplir un profesional de la psicología en España para tratar información de salud con garantías.
Por qué el dato clínico merece una protección reforzada
Los datos que trata un psicólogo —diagnósticos, evolución terapéutica, historia clínica, transcripciones de sesión— pertenecen a la categoría especial de datos prevista en el artículo 9 del RGPD. Su régimen jurídico es más estricto que el de cualquier otro dato personal y las medidas de seguridad exigibles deben ser proporcionales a la sensibilidad de la información.
Esta guía sintetiza las cinco obligaciones nucleares que conforman el cumplimiento legal de una consulta psicológica: desde el deber de información previo al inicio del tratamiento hasta la gestión de los derechos que asisten al paciente durante y después de la relación terapéutica.
01 · Cumplimiento del Reglamento General de Protección de Datos
El RGPD es el marco legal europeo que regula cómo deben tratarse los datos personales de cualquier ciudadano de la UE. Como psicólogo, manejas datos de salud, considerados categoría especial y sujetos a protección reforzada: requieren base jurídica cualificada, medidas técnicas proporcionales al riesgo y, en ciertos casos, evaluación de impacto (EIPD).
El cumplimiento no se agota en firmar un consentimiento. Implica diseñar toda la actividad del despacho con privacidad desde el diseño y por defecto, aplicando principios de minimización, exactitud, limitación de la finalidad y responsabilidad proactiva.
02 · Deber de información al paciente
El deber de información es una obligación legal y ética fundamental. Antes de iniciar el tratamiento, el paciente debe conocer con claridad cómo se van a utilizar sus datos. Está regulado conjuntamente por la Ley 41/2002 de Autonomía del Paciente, el RGPD y la LOPDGDD.
Qué informar: Identidad del responsable, finalidad del tratamiento, base legal y derechos que asisten al paciente.
Cómo hacerlo: De forma concisa, transparente y en lenguaje comprensible, preferiblemente por escrito y con acuse de recibo.
Cuándo: Antes o en el momento de recoger los datos, nunca a posteriori.
03 · Confidencialidad y secreto profesional
Son dos caras de la misma moneda, inseparables en la práctica clínica.
Confidencialidad: el derecho del paciente a que su información personal y clínica sea protegida.
Secreto profesional: la obligación del psicólogo de no revelar esa información a terceros sin autorización expresa.
Solo existen excepciones muy limitadas: riesgo grave para el paciente u otras personas, o requerimiento judicial. En cualquier caso, toda excepción debe documentarse adecuadamente dejando constancia de la causa y la decisión tomada.
05 · Gestión de los derechos del paciente
Tus pacientes tienen derechos reconocidos por ley sobre sus propios datos. Como responsable del tratamiento, estás obligado a garantizarlos y a responder a cualquier solicitud en el plazo máximo de un mes.
- Acceso — saber qué datos tienes sobre él.
- Rectificación — corregir datos inexactos.
- Supresión — eliminar sus datos cuando proceda.
- Oposición — oponerse a determinados tratamientos.
- Portabilidad — recibir sus datos en formato reutilizable.
Disponer de un procedimiento interno documentado para atender estas solicitudes no es opcional: es parte de la responsabilidad proactiva que exige el RGPD.
Lo que toda consulta debe tener en orden
Una lista rápida para autoevaluar el estado de cumplimiento normativo de tu práctica.
Documento que entregas al paciente explicando quién trata sus datos, con qué finalidad, durante cuánto tiempo y qué derechos tiene. Debe firmarse antes de recoger cualquier información y conservarse como prueba del cumplimiento del deber de información.
Lorem ipsum dolor sit amet, consectetur adipiscing elit. Suspendisse varius enim in eros elementum tristique.
Documento obligatorio que mapea todos los flujos de datos de tu consulta: qué información tratas, con qué finalidad, durante cuánto tiempo y qué medidas de protección aplicas. Debe revisarse cada vez que cambies herramientas o procesos.
Cifrado de dispositivos, contraseñas robustas, copias de seguridad, antivirus y control de accesos. El nivel de protección debe ajustarse a la sensibilidad de los datos clínicos que gestionas, no al tamaño de tu consulta.
Un protocolo interno que describe cómo responderás si un paciente solicita acceso, rectificación, supresión, oposición o portabilidad de sus datos. Tener el proceso por escrito es parte de la responsabilidad proactiva que exige el RGPD.
Cualquier tercero que acceda a datos de tus pacientes —software de gestión, plataforma de videollamada, gestoría, servicio de facturación— debe firmar un contrato de encargado del tratamiento conforme al artículo 28 del RGPD.
Las historias clínicas deben conservarse como mínimo cinco años tras el alta, según la Ley 41/2002. Pasado ese plazo, necesitas un criterio claro sobre qué se conserva, qué se destruye y cómo se hace de forma segura.
Si sufres un incidente —un portátil robado, un correo enviado al destinatario equivocado, un acceso no autorizado— tienes 72 horas para notificarlo a la AEPD. Tener el protocolo redactado de antemano evita errores bajo presión.
Cualquier persona con acceso a datos de pacientes —recepcionista, administrativo, compañero de despacho— debe conocer las normas básicas de confidencialidad y firmar un compromiso de secreto. La formación queda documentada como prueba de diligencia.
El RGPD no es estático. Cambian herramientas, proveedores, servicios y regulación. Una auditoría interna anual permite detectar desviaciones antes de que se conviertan en infracciones y mantiene viva la responsabilidad proactiva.
