Ir al contenido principal

RGPD para consultas de psicología online: guía completa de protección de datos

Por Equipo Automatizar Consulta

En resumen

La terapia psicológica online combina dos áreas de alta sensibilidad: datos de salud mental (categoría especial según el RGPD) y transmisión digital de información. Esto exige medidas de protección reforzadas que van más allá de las obligaciones generales del RGPD para consultas presenciales. Esta guía cubre los requisitos específicos que un psicólogo en España debe cumplir para ofrecer terapia online de forma legal y segura: consentimiento informado digital, plataformas conformes, almacenamiento de notas clínicas, comunicación entre sesiones y derechos del paciente.

La psicología online se ha consolidado como una modalidad de atención habitual en España. Según datos del Consejo General de la Psicología, más del 60% de los psicólogos colegiados ofrecen ya alguna modalidad de atención a distancia. La demanda por parte de los pacientes es clara: flexibilidad horaria, eliminación de desplazamientos, acceso desde zonas rurales y continuidad de tratamiento durante viajes o mudanzas.

Sin embargo, la terapia online plantea retos de protección de datos que la atención presencial no tiene. En una consulta presencial, la conversación queda entre cuatro paredes. En una sesión online, la conversación viaja por internet, pasa por servidores de terceros, se muestra en pantallas que pueden estar en espacios compartidos y genera metadatos (hora, duración, IP) que son datos personales en sí mismos.

Como psicólogo, tratas datos de categoría especial: diagnósticos, ideación suicida, traumas, orientación sexual, conflictos familiares, adicciones. Una brecha de seguridad en estos datos puede causar un daño irreparable al paciente. El RGPD lo sabe, y por eso exige medidas reforzadas.

Ilustración de RGPD para consultas de psicología online

Por qué el RGPD es especialmente crítico en psicología online

El Reglamento General de Protección de Datos (RGPD) se aplica a todo tratamiento de datos personales, pero establece un régimen especial para los datos de salud. Y dentro de los datos de salud, los datos de salud mental son particularmente sensibles por tres razones:

El estigma social persiste

A pesar de los avances en concienciación, una filtración de datos de salud mental puede tener consecuencias laborales, sociales y familiares para el paciente. Saber que alguien acude al dentista no tiene el mismo impacto que saber que está en tratamiento por depresión mayor, trastorno de personalidad o adicción. Esta asimetría de riesgo es lo que justifica la protección reforzada.

La naturaleza narrativa del dato

En la mayoría de especialidades médicas, el dato clínico es estructurado: una analítica, una radiografía, un diagnóstico codificado. En psicología, una parte importante del dato clínico es narrativo: lo que el paciente cuenta en sesión, las interpretaciones del terapeuta, los patrones relacionales observados. Este tipo de dato es más difícil de anonimizar y más revelador si se filtra.

El canal digital multiplica los vectores de riesgo

En la terapia presencial, los principales riesgos son físicos: alguien entra en la consulta, accede al archivador o al ordenador. En la terapia online, los riesgos se multiplican: interceptación de la videollamada, acceso no autorizado al software de notas, hackeo de la cuenta de email, capturas de pantalla por parte del paciente o de terceros presentes en la habitación, grabación no consentida de la sesión y metadatos que revelan la relación terapéutica.

Atención

La Agencia Española de Protección de Datos (AEPD) ha sancionado a profesionales sanitarios por brechas de seguridad en datos de salud. Las sanciones pueden alcanzar los 20 millones de EUR o el 4% de la facturación anual. Pero el mayor riesgo no es la multa: es el daño al paciente y la pérdida de confianza profesional.

Los datos de salud mental como categoría especial

El artículo 9 del RGPD define las "categorías especiales de datos", entre las que se incluyen los datos relativos a la salud. Estos datos están sometidos a una prohibición general de tratamiento, con excepciones tasadas. Como psicólogo, tu base legal para tratar datos de salud mental es doble:

Base legal: prestación sanitaria + consentimiento

El artículo 9.2.h) del RGPD permite el tratamiento de datos de salud cuando es necesario para fines de medicina preventiva, diagnóstico médico o prestación de asistencia sanitaria, y el tratamiento es realizado por un profesional sujeto a la obligación de secreto profesional. Esto te cubre para el tratamiento necesario en el contexto de la relación terapéutica.

Adicionalmente, el consentimiento explícito del paciente (artículo 9.2.a) refuerza esta base legal, especialmente para tratamientos que van más allá de lo estrictamente necesario para la prestación sanitaria (como el envío de cuestionarios entre sesiones o la comunicación por plataformas digitales).

Qué datos de salud mental tratas como psicólogo online

Es importante que identifiques todos los datos que tratas, no solo los obvios:

  • Datos de identificación: nombre, DNI, email, teléfono, dirección.
  • Datos clínicos directos: motivo de consulta, diagnóstico, historia clínica, evolución, pruebas psicométricas aplicadas, resultados de test, notas de sesión.
  • Datos clínicos indirectos: lo que el paciente verbaliza en sesión sobre terceros (pareja, familia, compañeros de trabajo), que puede incluir datos de salud, orientación sexual o ideología de esas terceras personas.
  • Metadatos digitales: fecha y hora de las sesiones online, dirección IP del paciente, duración de la conexión, dispositivo utilizado. Estos metadatos son datos personales y revelan el hecho de que la persona está en tratamiento psicológico.
  • Datos de facturación: que vinculan al paciente con un servicio de psicología clínica.

Para una visión completa de la protección de datos en psicología (tanto presencial como online), consulta nuestra guía de protección de datos para consultas de psicología.

Consentimiento informado para terapia online

El consentimiento informado para terapia online debe ser más detallado que el de una consulta presencial. Además de los elementos habituales (naturaleza del tratamiento, riesgos, alternativas, protección de datos), debe cubrir aspectos específicos del entorno digital:

Elementos específicos del consentimiento para terapia online

  • Plataforma utilizada: nombre de la plataforma de videollamada, empresa proveedora, ubicación de los servidores y garantías de seguridad.
  • Grabación de sesiones: declaración explícita de si las sesiones se graban o no. Si se graban (para supervisión clínica, por ejemplo), el consentimiento debe ser específico para cada grabación.
  • Límites de la confidencialidad digital: informar al paciente de que la confidencialidad absoluta no puede garantizarse en un entorno digital, de los riesgos inherentes (interceptación, fallos técnicos) y de las medidas adoptadas para minimizarlos.
  • Protocolo de crisis: qué ocurre si el paciente presenta una crisis durante la sesión y la conexión se corta, o si el terapeuta detecta riesgo inminente y necesita activar servicios de emergencia. Incluir la dirección física del paciente y contactos de emergencia.
  • Responsabilidades del paciente: que esté en un espacio privado, que no grabe la sesión sin consentimiento mutuo, que no comparta las credenciales de acceso a la plataforma.
  • Protocolo de fallos técnicos: qué hacer si la conexión falla (reintentar en 5 minutos, llamar por teléfono, reprogramar la sesión, etc.).

Para los requisitos generales del consentimiento informado digital, consulta nuestra guía de consentimiento informado digital.

Consejo práctico

Envía el consentimiento informado al paciente antes de la primera sesión online, no durante ella. Dale tiempo para leerlo con calma. En la primera sesión, repasa los puntos clave verbalmente y resuelve dudas. Un consentimiento firmado sin comprensión real no protege a nadie.

Plataformas de videollamada: qué exigir

La elección de la plataforma de videollamada es una de las decisiones más importantes en materia de protección de datos para la terapia online. No todas las plataformas son iguales, y la gratuidad no es un argumento válido cuando tratas datos de salud mental.

Requisitos mínimos según el RGPD

  • Cifrado de extremo a extremo (E2E): la comunicación entre tu ordenador y el del paciente debe estar cifrada de forma que ni siquiera el proveedor de la plataforma pueda acceder al contenido. Verifica que el cifrado E2E está activo por defecto y no solo disponible como opción.
  • Servidores en la UE: los datos (incluidos los metadatos de las sesiones) deben procesarse y almacenarse en servidores dentro de la Unión Europea. Algunas plataformas permiten elegir la región del servidor; configúralo en la UE.
  • Contrato de encargado de tratamiento: el proveedor de la plataforma es un encargado del tratamiento según el artículo 28 del RGPD. Debe ofrecerte un contrato que detalle las condiciones del tratamiento de datos, las medidas de seguridad y las obligaciones del encargado.
  • Sin grabación automática: la plataforma no debe grabar las sesiones por defecto. Si tiene función de grabación, debe ser activable manualmente y con consentimiento explícito de ambas partes.
  • Sin uso de datos para publicidad o entrenamiento de IA: verifica que las condiciones de uso de la plataforma no permiten el uso del contenido de las sesiones para mejorar sus servicios, entrenar modelos de IA o con fines publicitarios.

Plataformas genéricas vs. plataformas de telesalud

Las plataformas genéricas (Zoom, Google Meet, Microsoft Teams) pueden usarse si cumplen los requisitos anteriores en sus versiones de pago. Sin embargo, las plataformas específicas de telesalud ofrecen ventajas adicionales: integración con la historia clínica, sala de espera virtual, cuestionarios previos a la sesión y cumplimiento normativo preconfigurado. Para opciones concretas, consulta nuestra guía de telemedicina para profesionales independientes.

Verificación práctica

Antes de empezar a usar una plataforma, haz estas comprobaciones:

  • Busca la política de privacidad de la plataforma y lee la sección de subencargados de tratamiento.
  • Busca el "Data Processing Agreement" (DPA) o "Contrato de encargado de tratamiento" en su web. Si no lo tiene disponible, desconfía.
  • Verifica en la documentación técnica si el cifrado es realmente E2E o solo "en tránsito" (TLS). El cifrado en tránsito protege la comunicación entre tu ordenador y los servidores de la plataforma, pero el proveedor puede acceder al contenido en sus servidores.
  • Comprueba si la plataforma tiene certificaciones relevantes (ISO 27001, ENS, HDS) que respalden sus medidas de seguridad.

Notas clínicas y almacenamiento seguro

Las notas de sesión son el núcleo de la historia clínica psicológica y contienen información extremadamente sensible. En el entorno online, el riesgo de almacenamiento inadecuado es mayor porque es tentador usar herramientas digitales genéricas.

Lo que nunca debes hacer

  • Google Docs o Word online sin cifrar: las notas clínicas en un Google Doc personal están en servidores de Google, potencialmente fuera de la UE, sin contrato de encargado de tratamiento y accesibles a cualquiera que obtenga tu contraseña de Google.
  • Carpeta local sin cifrar: un archivo Word en tu escritorio no está protegido si te roban el portátil o si alguien accede a él.
  • Aplicaciones de notas genéricas: Notion, Evernote, Apple Notes u otras aplicaciones de notas no están diseñadas para datos de salud y pueden no cumplir el RGPD.
  • Email: nunca envíes notas clínicas por email sin cifrado adicional. El email estándar no está cifrado de extremo a extremo.

Almacenamiento conforme al RGPD

La opción recomendada es un software de gestión clínica especializado en salud mental que cumpla los requisitos del RGPD: servidores en la UE, cifrado en reposo y en tránsito, control de acceso por usuario, registro de accesos (quién ha accedido a qué ficha y cuándo) y contrato de encargado de tratamiento. Consulta nuestra guía para elegir software de gestión de consulta para criterios de selección detallados.

Plazos de conservación

La legislación española establece un plazo mínimo de conservación de la historia clínica de 5 años desde el último acto asistencial (Ley 41/2002). Algunas comunidades autónomas amplían este plazo. Durante ese periodo, debes conservar las notas clínicas con las mismas garantías de seguridad. Transcurrido el plazo, debes eliminarlas de forma segura (borrado certificado, no simplemente "mover a la papelera").

Comunicación con pacientes entre sesiones

En psicología, la comunicación entre sesiones es frecuente: el paciente tiene una crisis, quiere compartir algo que ha observado, necesita cambiar la cita o tiene dudas sobre un ejercicio terapéutico. El canal que uses para esta comunicación debe cumplir el RGPD.

WhatsApp: el problema habitual

La mayoría de psicólogos usan WhatsApp personal para comunicarse con sus pacientes. Esto plantea múltiples problemas de protección de datos: los mensajes se almacenan en servidores de Meta (potencialmente fuera de la UE), la copia de seguridad en Google Drive o iCloud no está cifrada de extremo a extremo, el número de teléfono personal del psicólogo queda expuesto, y no hay separación entre comunicaciones profesionales y personales.

WhatsApp Business mejora parcialmente la situación (separación de cuentas, respuestas automáticas, etiquetas) pero sigue sin ofrecer las garantías completas que requieren los datos de salud mental. Si lo usas, limita la comunicación a aspectos logísticos (confirmar citas, enviar recordatorios) y nunca intercambies contenido clínico por este canal.

Alternativas conformes

  • Portal del paciente integrado en el software de gestión: la opción más segura. El paciente accede con sus credenciales, los mensajes quedan vinculados a su historial clínico y todo el tráfico está cifrado y en servidores conformes.
  • Email cifrado: servicios de email con cifrado de extremo a extremo (ProtonMail, Tutanota) para comunicaciones que no requieren inmediatez.
  • Plataformas de telesalud con mensajería integrada: algunas plataformas de videollamada para profesionales sanitarios incluyen chat seguro entre sesiones.

Consejo práctico

Establece un protocolo claro con cada paciente: "Para cuestiones de citas, puedes escribirme por WhatsApp Business. Para temas clínicos, usa el portal del paciente o espera a la próxima sesión. En caso de emergencia, llama al 024 (línea de atención a la conducta suicida) o al 112". Este encuadre protege tus datos, los del paciente y tu bienestar profesional.

Derechos del paciente en el entorno digital

Los derechos ARCO-POL (Acceso, Rectificación, Cancelación, Oposición, Portabilidad, Olvido, Limitación) se aplican íntegramente en la terapia online. Algunos tienen matices específicos:

Derecho de acceso

El paciente tiene derecho a obtener una copia de todos los datos que tratas sobre él. En terapia online, esto incluye: ficha personal, notas de sesión, test aplicados y resultados, informes emitidos, histórico de citas (presenciales y online), comunicaciones registradas y metadatos de sesiones (fechas, duraciones). Debes ser capaz de exportar esta información en un formato legible.

Derecho de supresión vs. obligación de conservación

Aquí hay una tensión: el paciente puede pedir que borres sus datos (derecho de supresión), pero tú tienes la obligación legal de conservar la historia clínica durante al menos 5 años. La solución es informar al paciente de que la supresión se ejecutará una vez transcurrido el plazo legal de conservación, y mientras tanto, los datos se mantendrán bloqueados (solo accesibles por obligación legal, no para uso clínico).

Derecho de portabilidad

El paciente tiene derecho a que le entregues sus datos en un formato electrónico estructurado y de uso común. Tu software de gestión clínica debe permitir exportar la ficha del paciente en formatos como PDF o CSV. Si cambias de software, la portabilidad también te afecta a ti como profesional.

Evaluación de impacto en protección de datos (EIPD)

El artículo 35 del RGPD exige realizar una Evaluación de Impacto en Protección de Datos (EIPD) cuando el tratamiento pueda suponer un alto riesgo para los derechos y libertades de las personas. La AEPD incluye expresamente el tratamiento de datos de salud a gran escala en la lista de tratamientos que requieren EIPD.

Cuándo necesitas una EIPD

Como psicólogo autónomo, necesitas una EIPD si:

  • Tratas datos de salud mental de un número significativo de pacientes.
  • Utilizas nuevas tecnologías (plataformas de videollamada, aplicaciones de seguimiento, cuestionarios online) para el tratamiento.
  • Realizas perfilado o monitorización sistemática del paciente (por ejemplo, apps de seguimiento del estado de ánimo).
  • Combinas datos de diferentes fuentes (cuestionarios online, notas de sesión, wearables).

En la práctica, si ofreces terapia online como modalidad habitual (no puntual), la recomendación es realizar una EIPD aunque no estés seguro de que sea obligatoria. Es un ejercicio que te obliga a mapear los riesgos y definir medidas de mitigación, y te protege ante la AEPD.

Contenido básico de la EIPD

La EIPD debe incluir: descripción sistemática del tratamiento (qué datos, con qué finalidad, qué herramientas), evaluación de la necesidad y proporcionalidad, evaluación de riesgos para los derechos del paciente, y medidas previstas para mitigar esos riesgos. La AEPD ofrece una herramienta gratuita (GESTIONA-EIPD) que guía el proceso paso a paso.

Checklist de cumplimiento para psicólogos online

Este checklist resume las obligaciones que debes tener cubiertas antes de ofrecer terapia online:

Documentación legal

  • Consentimiento informado específico para terapia online (firmado por cada paciente).
  • Política de privacidad actualizada que incluya el tratamiento online.
  • Registro de actividades de tratamiento (artículo 30 RGPD).
  • Contratos de encargado de tratamiento con todos los proveedores digitales (plataforma de videollamada, software de gestión, email, hosting web).
  • Evaluación de impacto en protección de datos (EIPD), si procede.
  • Protocolo de gestión de brechas de seguridad.

Medidas técnicas

  • Plataforma de videollamada con cifrado E2E y servidores en la UE.
  • Software de notas clínicas con cifrado en reposo, acceso con credenciales individuales y servidores en la UE.
  • Ordenador de trabajo con cifrado de disco (BitLocker en Windows, FileVault en Mac).
  • Contraseñas robustas + autenticación de doble factor (2FA) en todas las cuentas profesionales.
  • Red WiFi segura (WPA3, contraseña robusta, red separada para uso profesional si es posible).
  • Copias de seguridad cifradas de las historias clínicas.

Medidas organizativas

  • Espacio de trabajo que garantice la privacidad durante las sesiones (puerta cerrada, sin posibilidad de que terceros escuchen).
  • Protocolo de crisis para sesiones online.
  • Formación actualizada en protección de datos (al menos una vez al año).
  • Procedimiento para atender los derechos de los pacientes (acceso, supresión, portabilidad).

Para los requisitos generales del RGPD aplicables a cualquier consulta de salud, consulta nuestra guía de RGPD para consultas médicas.

Errores frecuentes y cómo evitarlos

1. Usar la misma cuenta personal para todo

El email personal de Gmail, el Google Drive personal, el WhatsApp personal. Mezclar lo profesional con lo personal es el error más común y el que más riesgos genera. Solución: crea cuentas profesionales separadas para todo, y utiliza un software de gestión de consulta que centralice las funciones clínicas.

2. Asumir que la plataforma "ya cumple el RGPD"

Que una plataforma diga en su web "cumplimos el RGPD" no significa que tú estés cumpliendo. Tú eres el responsable del tratamiento. Si la plataforma no ofrece contrato de encargado de tratamiento, o si sus servidores están fuera de la UE, tú eres quien incumple, no la plataforma.

3. No tener protocolo de crisis para sesiones online

Si un paciente verbaliza ideación suicida en una sesión online y la conexión se corta, necesitas poder actuar. Sin dirección física del paciente y contactos de emergencia recogidos previamente, estás desprotegido. Incluye estos datos en el consentimiento informado y actualízalos si el paciente cambia de domicilio.

4. Almacenar notas clínicas en la nube sin cifrar

Un archivo de Word con notas de sesión guardado en Dropbox, Google Drive o iCloud sin cifrado adicional es una brecha de seguridad esperando a ocurrir. Si te hackean la cuenta de nube, todo el historial de tus pacientes queda expuesto.

5. No informar al paciente de los riesgos de la terapia online

El paciente tiene derecho a saber que la terapia online no es equivalente a la presencial en términos de confidencialidad absoluta. Existe un riesgo residual que el paciente debe conocer y aceptar. No informar de esto vulnera el consentimiento informado.

Preguntas frecuentes

¿Necesito consentimiento informado específico para terapia online?

Sí. Además del consentimiento informado habitual (tratamiento psicológico, protección de datos), la terapia online requiere un consentimiento adicional específico que cubra: el uso de plataformas de videollamada, la grabación o no de sesiones, los riesgos inherentes a la comunicación digital (posible interceptación, fallos técnicos), el protocolo de actuación si la conexión falla durante una crisis y la jurisdicción aplicable si el paciente está en otra comunidad autónoma o país. Este consentimiento debe ser explícito, informado y documentado.

¿Puedo usar Zoom o Google Meet para terapia psicológica?

Depende de la configuración. Las versiones gratuitas de Zoom y Google Meet no ofrecen las garantías suficientes para datos de salud mental según el RGPD, ya que los datos pueden procesarse en servidores fuera de la UE. Las versiones de pago empresariales (Zoom for Healthcare, Google Workspace con BAA) permiten configurar el procesamiento en la UE y firmar un contrato de encargado de tratamiento. Sin embargo, muchos colegios de psicología recomiendan plataformas específicamente diseñadas para telesalud que cumplen con el Esquema Nacional de Seguridad.

¿Dónde debo almacenar las notas clínicas de sesiones online?

Las notas clínicas de sesiones online deben almacenarse con las mismas garantías que las presenciales: en un sistema con cifrado en reposo y en tránsito, servidores en la UE, contrato de encargado de tratamiento con el proveedor y control de acceso. Nunca almacenes notas clínicas en el almacenamiento local de tu ordenador sin cifrar, en Google Drive personal, en la nube de la plataforma de videollamada ni en aplicaciones de notas genéricas. Lo recomendable es un software de gestión clínica especializado en salud mental que cumpla el RGPD.

¿Puedo atender pacientes de otras comunidades autónomas o países por terapia online?

Sí, pero con matices legales importantes. Dentro de España, tu colegiación te habilita para ejercer en todo el territorio nacional, aunque algunos colegios piden comunicación previa si atiendes habitualmente a pacientes de otra comunidad. Si atiendes a pacientes en la UE, el RGPD te cubre igualmente. Si atiendes a pacientes fuera de la UE, necesitas evaluar las garantías de protección de datos del país del paciente y, en algunos casos, realizar una evaluación de impacto. Además, debes verificar que tu seguro de responsabilidad civil cubre la atención transfronteriza.

¿Qué hago si un paciente tiene una crisis durante una sesión online?

Debes tener un protocolo de crisis documentado antes de iniciar terapia online con cualquier paciente. Este protocolo incluye: datos de contacto de emergencia del paciente (familiar, persona de confianza), dirección física del paciente durante la sesión (para enviar servicios de emergencia si es necesario), números de teléfono de emergencias de la localidad del paciente, y un plan de acción escalonado (contención verbal, contacto con persona de referencia, activación de servicios de emergencia). Este protocolo debe estar firmado por el paciente como parte del consentimiento informado para terapia online.

La terapia online es una herramienta clínica poderosa que amplía el acceso a la salud mental, pero requiere un nivel de protección de datos superior al de la consulta presencial. La inversión en cumplimiento no es solo legal: es ética. Tus pacientes te confían lo más íntimo de su mundo interior; proteger esa información es parte fundamental del vínculo terapéutico. Si necesitas una visión más amplia, consulta nuestra guía de protección de datos para psicólogos y nuestra guía general de RGPD para consultas médicas. Para automatizar la gestión de tu consulta de forma integral, visita nuestra guía de automatización de consultas.

¿Quieres más guías como esta?

Nuevos artículos cada semana sobre automatización de consultas médicas.

Ver todos los artículos