Ir al contenido principal

Protección de datos en consultas de psicología: RGPD y ética

Por Equipo Automatizar Consulta

En resumen

Los psicólogos manejan datos de salud mental, que el RGPD clasifica como categoría especial con el nivel máximo de protección. Un error en la gestión de estos datos puede suponer sanciones de hasta 20 millones de euros, pero también — y más importante — una quiebra de la confianza terapéutica que es la base del trabajo clínico. Esta guía cubre las obligaciones legales concretas, el consentimiento informado específico para psicología, los límites del secreto profesional, las herramientas digitales seguras y un checklist de cumplimiento práctico.

La relación terapéutica en psicología se construye sobre la confianza. El paciente que acude a tu consulta comparte información que probablemente no compartiría con nadie más: miedos, traumas, conflictos familiares, adicciones, pensamientos intrusivos, experiencias de abuso. Esa información es, por definición, la más sensible que un profesional de la salud puede manejar.

El Reglamento General de Protección de Datos (RGPD) lo reconoce explícitamente: los datos relativos a la salud — y especialmente a la salud mental — son datos de categoría especial cuyo tratamiento está prohibido como regla general, con excepciones tasadas. Como psicólogo, trabajas dentro de una de esas excepciones (asistencia sanitaria), pero eso no te exime de cumplir requisitos estrictos.

A esto se suma el Código Deontológico del Psicólogo y la normativa sanitaria española. El resultado es un marco normativo complejo que muchos psicólogos autónomos desconocen o aplican de forma incompleta. Esta guía te da las claves prácticas.

Ilustración de protección de datos en consultas de psicología

Por qué la protección de datos es especialmente crítica en psicología

Todas las consultas sanitarias manejan datos sensibles, pero la psicología tiene particularidades que elevan el nivel de riesgo:

La naturaleza de los datos es extremadamente sensible

Las notas de sesión de un psicólogo pueden contener información sobre trastornos de personalidad, ideación suicida, abusos sexuales, adicciones, conflictos de pareja, infidelidades, problemas laborales con personas identificables, o secretos familiares. Una filtración de estos datos puede causar un daño irreparable al paciente: estigmatización social, pérdida de empleo, ruptura familiar, o incluso riesgo para su integridad física en casos de violencia de género.

La confianza terapéutica es el instrumento de trabajo

A diferencia de un traumatólogo que trata una fractura independientemente de la confianza del paciente, en psicología la alianza terapéutica es el instrumento principal de intervención. Si el paciente percibe que sus datos no están seguros — que alguien podría leer lo que cuenta en sesión — dejará de contar información relevante y el tratamiento perderá eficacia o fracasará directamente.

El estigma social de la salud mental persiste

A pesar de los avances en normalización, un diagnóstico de trastorno mental sigue generando discriminación en el ámbito laboral, social y familiar. Datos que en otras especialidades serían neutros (un diagnóstico de hipertensión, por ejemplo) en psicología pueden ser devastadores si se hacen públicos (un diagnóstico de trastorno límite de personalidad, una evaluación forense, un tratamiento por adicción).

Dato importante

Las sanciones del RGPD para datos de categoría especial pueden alcanzar los 20 millones de euros o el 4% de la facturación anual. Pero en la práctica, para un psicólogo autónomo el daño reputacional es aún más grave: una sola filtración de datos puede destruir años de trabajo profesional y la confianza de todos tus pacientes.

Datos de salud mental: categoría especial del RGPD

El artículo 9 del RGPD establece que el tratamiento de datos relativos a la salud está prohibido como regla general. Las excepciones que aplican a un psicólogo son:

Consentimiento explícito del interesado

El paciente debe dar su consentimiento de forma inequívoca, informada y específica para el tratamiento de sus datos de salud mental. Este consentimiento debe ser documentable — no vale un consentimiento verbal sin registro. Debe ser separado de otros consentimientos (no puede ir mezclado con el consentimiento para el tratamiento terapéutico) y revocable en cualquier momento.

Finalidad de asistencia sanitaria

Los datos se tratan exclusivamente para la prestación de asistencia sanitaria. Si quisieras usar los datos para investigación, docencia o publicación de casos clínicos, necesitarías un consentimiento adicional y específico para esa finalidad. La anonimización de datos clínicos para uso en supervisión o formación tiene requisitos propios que debes conocer.

Qué datos concretos son categoría especial

En la práctica de un psicólogo clínico, prácticamente toda la información clínica es categoría especial: diagnósticos (CIE-10/CIE-11, DSM-5), resultados de tests psicométricos (MMPI, BDI, STAI, etc.), notas de sesión, informes clínicos, genogramas con información de salud, registros de conducta, diarios terapéuticos, grabaciones de sesión (si las hay con consentimiento), y cualquier comunicación donde el paciente revele información sobre su salud mental.

Para una visión más amplia del RGPD aplicado a consultas sanitarias, consulta nuestra guía de RGPD para consultas médicas.

Consentimiento informado en psicología: más allá del formulario

El consentimiento informado en psicología tiene dos dimensiones que a menudo se confunden: el consentimiento para el tratamiento terapéutico y el consentimiento para el tratamiento de datos personales. Ambos son necesarios y deben documentarse por separado.

Consentimiento para el tratamiento terapéutico

Regulado por la Ley 41/2002 de autonomía del paciente. Debe informar al paciente sobre: el enfoque terapéutico que utilizas (cognitivo-conductual, psicodinámico, EMDR, etc.), la duración estimada del tratamiento, la frecuencia de las sesiones, los riesgos y beneficios esperados, las alternativas disponibles, y los honorarios. No es un formulario que se firma y se archiva: es un proceso continuo de información y diálogo.

Consentimiento para el tratamiento de datos

Regulado por el RGPD y la LOPDGDD. Es un documento separado que debe incluir: quién es el responsable del tratamiento (tú, como psicólogo), qué datos se van a tratar, con qué finalidad, cuál es la base legal del tratamiento, quién tendrá acceso a los datos, durante cuánto tiempo se conservarán, y qué derechos tiene el paciente (acceso, rectificación, supresión, portabilidad, oposición). Consulta nuestra guía de consentimiento informado digital para plantillas y requisitos técnicos.

Menores de edad y capacidad

En España, los menores de 14 años necesitan el consentimiento de los padres o tutores legales para el tratamiento de datos. Entre 14 y 18, pueden consentir ellos mismos salvo para datos de salud, donde la Ley 41/2002 establece matices según la edad y la madurez. En casos de conflicto entre el menor y los padres (frecuente en psicología), la prioridad es el interés superior del menor.

Atención

Un error frecuente es presentar el consentimiento de datos como un trámite más al inicio de la primera sesión, cuando el paciente está nervioso y quiere empezar cuanto antes. Dedica tiempo a explicar el documento, permite que el paciente lo lea con calma (o se lo lleve a casa) y responde a sus preguntas. Un consentimiento firmado sin comprensión real no es un consentimiento válido.

Secreto profesional y sus límites legales

El secreto profesional del psicólogo es un pilar ético y legal, pero no es absoluto. Conocer sus límites es fundamental para no cometer errores — ni por exceso (revelar información sin base legal) ni por defecto (no revelar cuando estás obligado).

El secreto profesional como norma

El Código Deontológico del Psicólogo establece el deber de confidencialidad como principio fundamental. El artículo 199 del Código Penal tipifica como delito la revelación de secretos confiados por razón de la profesión. Todo lo que el paciente te cuenta en sesión, los datos de su historia clínica, y cualquier información derivada de la relación terapéutica está cubierta por el secreto profesional.

Excepciones legales al secreto

Existen situaciones en las que el psicólogo puede — o debe — romper el secreto profesional:

  • Riesgo inminente para la vida: si el paciente manifiesta ideación suicida con plan concreto o intención de dañar gravemente a un tercero, debes actuar. Esto puede incluir contactar a servicios de emergencia o a familiares.
  • Sospecha de maltrato a menores: la Ley Orgánica de Protección del Menor establece la obligación de comunicar a la autoridad competente cualquier situación de riesgo o desamparo de un menor.
  • Requerimiento judicial: un juez puede requerir información clínica mediante mandato judicial motivado. Aun así, debes limitar la información al mínimo necesario y puedes solicitar que se proteja la confidencialidad del expediente.
  • Violencia de género: los profesionales sanitarios tienen obligación de comunicar al juzgado las lesiones que puedan ser constitutivas de delito.

Supervisión clínica y protección de datos

La supervisión es una práctica esencial en psicología, pero exponer casos clínicos a un supervisor implica compartir datos de salud del paciente. Para hacerlo correctamente: anonimiza toda la información identificativa, informa al paciente en el consentimiento informado de que realizas supervisión, y si necesitas compartir datos identificativos (por ejemplo, grabaciones), obtén consentimiento explícito adicional.

Historia clínica psicológica: qué registrar y cómo protegerla

La historia clínica psicológica es el documento más sensible que manejas. Debe ser completa para ser útil clínicamente, pero cada dato que registras es un dato que debes proteger.

Contenido mínimo recomendado

Datos de identificación del paciente, motivo de consulta, antecedentes personales y familiares relevantes, exploración psicológica inicial, diagnóstico (con codificación CIE o DSM), plan de intervención, notas de evolución por sesión, resultados de tests administrados, informes emitidos, y datos de alta o derivación. Consulta nuestra guía de historia clínica digital para los requisitos generales de formato y conservación.

Notas de sesión: el equilibrio entre utilidad clínica y riesgo

Las notas de sesión son el elemento más delicado. Deben ser lo suficientemente detalladas para permitir la continuidad del tratamiento, pero no deben incluir información innecesaria que aumente el riesgo en caso de filtración. Un enfoque profesional es registrar: temas tratados, técnicas utilizadas, observaciones clínicas relevantes, evolución del paciente y plan para la siguiente sesión. Evita incluir detalles literales de confesiones o información sobre terceros identificables que no sea clínicamente necesaria.

Medidas de seguridad para la historia clínica

Si usas formato papel: armario con cerradura, acceso restringido solo a ti (o al personal autorizado), y destrucción segura (destructora de documentos, no papelera). Si usas formato digital: software con cifrado, contraseña robusta, autenticación de dos factores, copias de seguridad cifradas, y contrato de encargado de tratamiento con el proveedor del software. En ambos casos, registro de quién accede a cada historia.

Consejo práctico

Muchos psicólogos toman notas en papel durante la sesión y luego las transcriben al software de gestión. Si haces esto, destruye las notas en papel inmediatamente después de transcribirlas. Tener copias en papel sin las medidas de seguridad adecuadas duplica el riesgo sin aportar ningún beneficio.

Herramientas digitales seguras para psicólogos

La digitalización de la consulta psicológica ofrece ventajas claras (acceso rápido a historiales, automatización de citas, seguimiento estructurado), pero cada herramienta digital que introduces es un nuevo punto de riesgo para los datos.

Software de gestión clínica

Elige un software que cumpla: servidores en la UE, cifrado en tránsito (HTTPS) y en reposo (AES-256 o equivalente), contrato de encargado de tratamiento disponible antes de contratar, autenticación de dos factores, registro de accesos (log de auditoría), exportación de datos en formato estándar, y política clara de eliminación de datos al finalizar el contrato. Consulta nuestra comparativa de software de gestión clínica para evaluar opciones.

Videollamada para teleconsulta

La terapia online ha crecido enormemente. No uses Zoom, Skype o Google Meet en su versión gratuita para teleconsulta psicológica: no cumplen los requisitos de protección de datos para datos de salud sin configuración empresarial específica. Usa plataformas sanitarias que cumplan con el RGPD y ofrezcan cifrado de extremo a extremo, o las versiones empresariales de las plataformas generalistas con contrato de encargado de tratamiento firmado.

Comunicación con pacientes

WhatsApp personal para comunicarte con pacientes es un riesgo. WhatsApp Business es una mejora, pero sigue teniendo limitaciones para datos de salud mental. Lo ideal es usar el sistema de mensajería integrado en tu software de gestión clínica, donde los mensajes quedan vinculados a la ficha del paciente y bajo las mismas medidas de seguridad.

Almacenamiento de tests y documentos

Los resultados de tests psicométricos, informes periciales y documentos clínicos deben almacenarse con las mismas medidas de seguridad que la historia clínica. Evita guardarlos en carpetas locales sin cifrado, en Google Drive personal, o en correos electrónicos. Intégralos en el software de gestión clínica o, si usas almacenamiento externo, asegúrate de que está cifrado y cumple el RGPD.

Teleconsulta psicológica y protección de datos

La terapia online añade una capa de complejidad a la protección de datos que merece atención específica:

Entorno del paciente

No puedes controlar si el paciente está en una habitación privada o en un espacio compartido. Incluye en tu protocolo de teleconsulta una verificación al inicio de cada sesión online: "¿Estás en un lugar donde puedas hablar con privacidad?". Si el paciente no puede garantizar privacidad, valora posponer la sesión o limitar los temas tratados.

Grabación de sesiones

Si necesitas grabar sesiones online (con consentimiento explícito del paciente), el almacenamiento de esas grabaciones requiere el máximo nivel de seguridad: cifrado, acceso restringido, eliminación en plazo definido. Informa al paciente de cuánto tiempo conservarás la grabación y para qué finalidad. Una grabación de sesión psicológica es posiblemente el dato de salud más sensible que puedes manejar.

Plataformas y cumplimiento

Verifica que la plataforma de videollamada que uses cumpla: cifrado de extremo a extremo (que ni el proveedor pueda acceder al contenido), servidores en la UE, contrato de encargado de tratamiento, y no utilice los datos de las sesiones para mejorar sus algoritmos ni para ningún otro fin.

Derechos de los pacientes sobre sus datos

Tus pacientes tienen derechos específicos sobre sus datos personales que debes conocer y poder gestionar:

Derecho de acceso

El paciente puede solicitar una copia de todos los datos que tienes sobre él, incluida la historia clínica. Debes proporcionarla en un plazo máximo de un mes, en formato inteligible. Esto incluye notas de sesión, diagnósticos, resultados de tests y cualquier información registrada.

Derecho de rectificación

Si el paciente considera que algún dato es incorrecto, puede solicitar su corrección. En la historia clínica, esto no implica borrar el dato original sino añadir una nota de rectificación. Los diagnósticos clínicos, en tanto que juicio profesional, no están sujetos a rectificación por el paciente, pero este puede hacer constar su desacuerdo.

Derecho de supresión (con matices)

El paciente puede pedir que elimines sus datos, pero los plazos legales de conservación de la historia clínica prevalecen. Puedes eliminar datos que no formen parte de la historia clínica (correos, datos comerciales), pero la historia clínica debe conservarse el plazo legal.

Derecho de portabilidad

El paciente puede solicitar que le entregues sus datos en un formato electrónico estructurado para llevarlos a otro profesional. Tu software de gestión debe permitir esta exportación.

Errores frecuentes en protección de datos en consultas de psicología

1. Usar WhatsApp personal para comunicarse con pacientes

El error más extendido. Los mensajes de pacientes (que contienen datos de salud mental) se mezclan con conversaciones personales, quedan en copias de seguridad no cifradas de WhatsApp, y si pierdes o te roban el móvil, toda esa información queda expuesta. Usa canales profesionales con las medidas de seguridad adecuadas.

2. No firmar contrato de encargado de tratamiento con el software

Si usas un software de gestión clínica, ese proveedor es "encargado del tratamiento" de los datos de tus pacientes. Sin un contrato firmado (artículo 28 RGPD), estás incumpliendo la normativa. Pide este contrato antes de introducir un solo dato de paciente en cualquier plataforma.

3. Compartir casos clínicos en redes sociales sin anonimización real

Algunos psicólogos comparten casos en redes sociales para divulgar o captar clientes. Cambiar el nombre no es anonimización suficiente si el contexto permite identificar a la persona (ciudad pequeña, circunstancias muy específicas, rango de edad junto con patología poco común). El daño potencial para el paciente es enorme.

4. No tener protocolo de brechas de seguridad

Si sufres una brecha (robo de portátil, hackeo de cuenta, pérdida de documentos), tienes 72 horas para notificar a la AEPD si la brecha supone un riesgo para los derechos de los afectados. Sin un protocolo previsto, esas 72 horas se pasan sin saber qué hacer. Prepara un protocolo sencillo: a quién llamar, qué pasos seguir, qué comunicar.

5. Conservar datos más allá de lo necesario sin justificación

Guardar historias clínicas indefinidamente "por si acaso" es un riesgo innecesario. Define plazos de conservación claros (mínimo legal + margen razonable), documenta esos plazos en tu política de privacidad, y elimina de forma segura los datos cuando expire el plazo.

Checklist de cumplimiento para psicólogos

Usa esta lista como referencia para verificar tu situación actual:

  • Consentimiento informado de datos: documento separado, firmado por cada paciente, que detalla finalidad, base legal, plazos y derechos.
  • Consentimiento terapéutico: información sobre enfoque, duración, honorarios y alternativas.
  • Registro de actividades de tratamiento: documento interno que describe qué datos tratas, con qué finalidad, quién accede a ellos y durante cuánto tiempo.
  • Contrato de encargado de tratamiento: firmado con cada proveedor que accede a datos de pacientes (software, plataforma de videollamada, etc.).
  • Política de privacidad: accesible para los pacientes (en tu web, en la consulta, o entregada junto con el consentimiento).
  • Medidas de seguridad técnicas: cifrado, contraseñas, 2FA, copias de seguridad, antivirus actualizado.
  • Medidas de seguridad organizativas: formación en protección de datos, protocolo de brechas, destrucción segura de documentos.
  • Evaluación de impacto: si tratas datos a gran escala o usas nuevas tecnologías (IA, analítica avanzada), debes realizar una EIPD.
  • Protocolo de brechas: procedimiento documentado para actuar en caso de filtración o pérdida de datos.
  • Plazos de conservación: definidos y documentados para cada tipo de dato.

Preguntas frecuentes

¿Qué datos de un paciente de psicología son especialmente protegidos?

Todos los datos relativos a la salud mental son datos de categoría especial según el artículo 9 del RGPD. Esto incluye diagnósticos psicológicos, notas de sesión, resultados de tests psicométricos, historial de trastornos, medicación psiquiátrica, ideación suicida, adicciones y cualquier información que revele el estado psicológico o emocional del paciente. Su tratamiento requiere consentimiento explícito y medidas de seguridad reforzadas.

¿Puede un psicólogo almacenar notas de sesión en la nube?

Sí, siempre que el proveedor cloud cumpla con el RGPD: servidores en la UE, cifrado en tránsito y en reposo, contrato de encargado de tratamiento firmado (artículo 28 RGPD) y garantías de que los datos no se utilizan para otros fines. Servicios como Google Drive o Dropbox en su versión gratuita no cumplen estos requisitos sin configuración adicional. Lo más seguro es usar un software de gestión clínica especializado con servidores en la UE.

¿Cuánto tiempo debe conservar un psicólogo las historias clínicas?

La legislación sanitaria española establece un mínimo de 5 años desde la última asistencia según la Ley 41/2002. Sin embargo, en psicología clínica es recomendable conservarlas al menos 15 años, dado que muchos trastornos tienen un curso crónico o recurrente y el historial previo es esencial para futuras intervenciones. Algunas comunidades autónomas pueden establecer plazos superiores. El consentimiento del paciente para el tratamiento de datos no afecta a este plazo legal de conservación.

¿Qué pasa si un paciente pide que elimine todos sus datos?

El paciente tiene derecho de supresión (artículo 17 RGPD), pero este derecho tiene límites en el ámbito sanitario. No puedes eliminar la historia clínica antes del plazo legal de conservación (mínimo 5 años). Lo que sí debes hacer es: eliminar los datos que no sean parte de la historia clínica (emails, datos de facturación más allá del plazo fiscal), informar al paciente de los plazos legales de conservación y documentar la solicitud y tu respuesta.

¿Es obligatorio tener un Delegado de Protección de Datos como psicólogo autónomo?

Depende del volumen de datos que trates. Si eres un psicólogo autónomo con una consulta individual y un número moderado de pacientes, no estás obligado a designar un DPD según el criterio de la AEPD. Sin embargo, si tratas datos a gran escala (consulta con varios profesionales, programas de intervención grupal extensos), sí sería necesario. En cualquier caso, sí estás obligado a llevar un registro de actividades de tratamiento y a realizar una evaluación de impacto si el tratamiento entraña alto riesgo.

La protección de datos en psicología no es un trámite burocrático: es una extensión del deber ético de cuidar al paciente. Cada medida de seguridad que implementas refuerza la confianza terapéutica y protege a personas en situaciones de vulnerabilidad. Si estás digitalizando tu consulta, consulta también nuestra checklist de digitalización de consultas y nuestra guía sobre cómo elegir el mejor software de gestión para asegurarte de que cada herramienta que incorporas cumple con los estándares que tus pacientes merecen. Visita también nuestra guía de automatización de consultas y las guías por especialidad.

¿Quieres más guías como esta?

Nuevos artículos cada semana sobre automatización de consultas médicas.

Ver todos los artículos