Volver al blog
Normativa
·7 min

RGPD en consulta de psicología: checklist de 10 minutos

Los 7 puntos que debes verificar y los 3 documentos que necesitas para que tu consulta cumpla con protección de datos.

Por qué el RGPD es más estricto en salud mental

Los datos de salud mental son "categoría especial" bajo RGPD. Esto significa:

  • Protección más estricta que datos normales
  • Sanciones más severas en caso de incumplimiento
  • Mayor escrutinio en caso de inspección

No es alarmismo. Es contexto legal que debes conocer.

El checklist de 10 minutos

7 puntos a verificar

✓ 1. ¿Tienes consentimiento informado firmado de cada paciente?

  • Debe ser por escrito (no vale verbal)
  • Debe especificar: qué datos, para qué, quién accede, cuánto tiempo se guardan
  • Debe estar accesible y asociado al expediente

✓ 2. ¿Sabes dónde están físicamente los datos?

  • Si usas software: ¿Servidores en España/UE?
  • Si usas papel: ¿Archivador con llave?
  • Si usas "la nube": ¿Qué proveedor exactamente?

✓ 3. ¿Tienes contrato de encargo de tratamiento con tu software?

  • Todo software en nube que guarde datos de pacientes necesita esto
  • Debería estar disponible en su web o al solicitarlo
  • Sin este documento, la relación no cumple RGPD

✓ 4. ¿Puedes responder si un paciente pregunta qué datos tienes?

  • Es su derecho de acceso (art. 15 RGPD)
  • Tienes 1 mes para responder
  • Debes poder listar todos sus datos, dónde están, para qué

✓ 5. ¿Puedes borrar datos de un paciente si lo solicita?

  • Derecho de supresión (con limitaciones por obligaciones legales sanitarias)
  • Tu software debe permitirlo técnicamente
  • Debe quedar registro de que se realizó

✓ 6. ¿Tienes política de privacidad visible y actualizada?

  • En tu web si la tienes
  • En consulta en formato físico
  • Actualizada (no de 2018 cuando entró RGPD)

✓ 7. ¿Sabes qué hacer si hay brecha de seguridad?

  • 72 horas para notificar a AEPD (si hay riesgo para derechos)
  • Mejor tener protocolo antes de necesitarlo

Los 3 documentos que necesitas

Documento 1: Consentimiento informado

Debe incluir mínimo:

  • Qué datos personales recoges
  • Para qué los usas (atención psicológica, facturación)
  • Quién tiene acceso (tú, tu software, tu gestoría)
  • Dónde se almacenan
  • Cuánto tiempo los guardas
  • Cómo ejercer derechos (acceso, rectificación, supresión, etc.)

Documento 2: Contratos de encargo de tratamiento (DPA)

Necesitas DPA con cada proveedor que trate datos:

  • Tu software de gestión
  • Tu email profesional (si usas Gmail/Outlook corporativo)
  • Tu almacenamiento en nube
  • Tu gestoría (si accede a datos)

Cómo conseguirlo: La mayoría de proveedores profesionales lo tienen disponible en su web o lo envían al solicitarlo.

Si no lo tienen: Señal de alarma. Considera cambiar de proveedor.

Documento 3: Registro de actividades de tratamiento

Documento interno que describa:

  • Qué datos tratas y con qué finalidad
  • Base legal para cada tratamiento
  • Quiénes son tus encargados de tratamiento
  • Medidas de seguridad implementadas
  • Plazos de conservación

¿Es obligatorio?: Para autónomos con menos de 250 trabajadores, solo si tratas datos sensibles de forma habitual (que es tu caso como psicólogo).

En la práctica: Sí, deberías tenerlo.

Errores comunes que veo

"Tengo el consentimiento, pero no sé dónde"

Si no puedes encontrar el consentimiento de un paciente en 2 minutos, tienes un problema de organización que puede convertirse en problema legal si hay inspección.

Solución: Digitaliza y asocia al expediente.

"Mi software está en EEUU pero es seguro"

Desde la sentencia Schrems II, transferir datos a EEUU es complejo. Puede ser legal con garantías adecuadas, pero es más simple usar proveedores con datos en UE.

"Uso WhatsApp/Gmail personal para comunicarme con pacientes"

Técnicamente problemático bajo RGPD:

  • WhatsApp personal no tiene DPA como proveedor
  • Gmail personal igual
  • Los datos de salud no deberían ir por canales no profesionales

Solución: Teléfono profesional separado o sistema de mensajería profesional.

"No me he dado de alta en AEPD"

No existe "darse de alta en AEPD" como autónomo. Lo que existe es:

  • Cumplir con RGPD en tu actividad
  • Tener los documentos necesarios
  • Notificar solo si hay brecha de seguridad

El mínimo viable para cumplir hoy

Si solo puedes hacer 3 cosas en las próximas 2 horas:

1. Verifica consentimientos: Todos los pacientes activos deben tener consentimiento firmado. Si falta alguno, consíguelo en la próxima sesión.

2. Confirma DPA de tu software: Busca en su web o escríbeles. Si no lo tienen o no responden claro, considera cambiar.

3. Localiza tus datos: Verifica que sabes exactamente dónde están los datos (servidor en qué país, proveedor con qué garantías).

El resto es importante, pero estos 3 son los críticos.

Recursos útiles

  • Guía AEPD para profesionales sanitarios: Disponible en web de AEPD
  • Tu colegio profesional: Muchos tienen modelos de consentimiento adaptados
  • Tu gestoría: Puede asesorarte en aspectos específicos de tu actividad

Con PsicoGest:

  • Datos en servidores en España/UE
  • DPA disponible en la web
  • Sistema diseñado cumpliendo RGPD desde el origen

Lo que NO necesitas hacer

❌ Contratar un DPO (Delegado de Protección de Datos) - Solo obligatorio para ciertos casos, no para consulta individual

❌ "Registrarte" en AEPD - No existe tal registro para autónomos

❌ Pagar por "sellos de cumplimiento RGPD" - No son obligatorios ni necesarios

❌ Hacer evaluaciones de impacto para cada paciente - Solo necesarias en casos muy específicos

Conclusión práctica

RGPD en psicología no es complicado si:

1. Usas herramientas profesionales (software con DPA, datos en UE)

2. Tienes los 3 documentos básicos

3. Sigues buenas prácticas (consentimientos, no WhatsApp personal, etc.)

No necesitas ser experto legal. Necesitas trabajar con proveedores que lo hagan bien y tener tu documentación en orden.

Si tienes dudas sobre un caso específico: consulta con tu colegio profesional o un asesor especializado en protección de datos sanitarios.

Equipo PsicoGest·Actualizado
Prueba PsicoGest gratis
30 días completos, sin tarjeta, todas las funcionalidades
Comenzar prueba

Artículos relacionados

Normativa · 7 min
VeriFactu para psicólogos: qué es y cómo te afecta (explicado simple)