Cómo almacenar historias clínicas según RGPD en una consulta de psicología
Claves legales y prácticas para conservar historias clínicas en psicología conforme al RGPD y a la Ley 41/2002.
Almacenar historias clínicas en psicología exige algo más que guardar documentos en una carpeta ordenada. La historia clínica contiene datos relativos a la salud y documentación asistencial especialmente sensible, de modo que su conservación debe analizarse a la vez desde la normativa de protección de datos y desde la regulación específica de la documentación clínica.
En España, a marzo de 2026, dos referencias son esenciales para entender esta obligación. Por un lado, el RGPD y la normativa nacional de protección de datos. Por otro, la Ley 41/2002, básica reguladora de la autonomía del paciente y de la documentación clínica. La AEPD recuerda además que, en este ámbito, la historia clínica no puede tratarse como un simple archivo administrativo, sino como un instrumento asistencial sometido a deberes de custodia, seguridad y acceso.
Este artículo resume cómo debería plantearse el almacenamiento de historias clínicas en una consulta psicológica privada.
Qué es la historia clínica y por qué importa su almacenamiento
La Ley 41/2002 define la historia clínica como el conjunto de documentos relativos a los procesos asistenciales de cada paciente, con identificación de los profesionales que han intervenido. No se limita a un informe final. Puede incluir entrevistas, evoluciones, documentos firmados, pruebas, consentimientos, comunicaciones asistenciales y otros elementos relevantes para la continuidad de la atención.
En psicología esto tiene consecuencias prácticas:
- La historia clínica debe poder recuperarse con fiabilidad.
- Debe conservarse con medidas de seguridad adecuadas.
- No puede quedar repartida sin control entre varios soportes y personas.
- Debe mantenerse de forma comprensible y útil para la asistencia.
Base legal: RGPD y Ley 41/2002
El RGPD exige que el tratamiento de datos de salud se apoye en una base jurídica del artículo 6 y, además, en una excepción del artículo 9. La AEPD recuerda que una de las situaciones previstas es la prestación de asistencia o tratamiento sanitario por profesionales sujetos a secreto profesional o bajo su responsabilidad.
Junto a ello, la Ley 41/2002 establece reglas específicas sobre archivo y conservación de la documentación clínica. Su artículo 14 parte del principio de integración de la historia clínica y su artículo 17 exige conservar la documentación en condiciones que garanticen mantenimiento y seguridad.
Plazo mínimo de conservación
El artículo 17.1 de la Ley 41/2002 fija un mínimo de cinco años desde la fecha del alta de cada proceso asistencial, aunque la propia AEPD recuerda que los plazos pueden variar por normativa autonómica y que también debe tenerse en cuenta la conservación a efectos judiciales y otras finalidades legítimas.
Por eso, en una consulta privada, eliminar una historia simplemente porque el paciente ha dejado de acudir no suele ser correcto.
Dónde puede almacenarse una historia clínica
La ley no obliga a un único soporte. Puede conservarse en papel, en soporte informático o en otro formato, siempre que se garantice seguridad, autenticidad, integridad y recuperación de la información. La propia Ley 41/2002 admite expresamente la conservación en soporte distinto del original.
Eso abre la puerta a historias clínicas digitales, pero no significa que cualquier sistema valga.
Papel
Sigue siendo posible, pero genera dificultades claras:
- más riesgo de acceso físico indebido,
- menor trazabilidad,
- búsqueda lenta,
- mayor complejidad si hay varios profesionales o sedes.
Soporte digital
Permite integrar información y controlar mejor permisos, siempre que el sistema tenga medidas adecuadas y la consulta sepa cómo se accede, quién accede y cómo se recuperan los datos.
Condiciones qué debe cumplir el almacenamiento
Seguridad
La información debe conservarse de forma que se evite acceso no autorizado, pérdida, alteración o destrucción indebida. En la práctica, una consulta psicológica debería revisar:
- control de usuarios y contraseñas,
- copias de seguridad,
- cifrado o medidas equivalentes de protección,
- cierre de sesiones,
- almacenamiento local innecesario en dispositivos.
Integridad
Debe ser posible confiar en que la historia no ha sido alterada de forma inapropiada. Cuanto más se reparte la información entre documentos sueltos, más difícil es mantener esa integridad.
Recuperación
No basta con guardar; hay que poder encontrar. Si la historia no se localiza rápido, el problema no es solo operativo. También afecta al derecho de acceso del paciente y a la continuidad asistencial.
Responsabilidad del profesional o del centro
La AEPD ha recordado que, cuando la asistencia la presta un profesional individual, ese profesional puede ser responsable del tratamiento de la documentación clínica que genera. Si existe un centro sanitario, el centro asume ese papel respecto de las historias que integra en su ámbito.
Esto es importante en consultas compartidas o centros con varias personalidades jurídicas. No conviene mezclar historias clínicas de forma informal ni asumir que cualquier proveedor externo pasa a ser responsable. Muchas veces será un encargado del tratamiento y habrá que documentarlo correctamente.
Errores frecuentes al almacenar historias clínicas
Mezclar información clínica y administrativa sin criterio
No toda la información requiere el mismo acceso. Una cosa es la facturación y otra la documentación asistencial.
Duplicar archivos fuera del sistema principal
Descargar informes, copiar notas a carpetas personales o reenviar documentos por correo crea versiones paralelas dificiles de controlar.
Conservar sin política clara
Guardar "por si acaso" sin definir plazos, responsables y procedimientos suele terminar en acumulación desordenada.
No revisar la normativa autonómica
La AEPD indica que los plazos de conservación pueden variar entre comunidades autónomas. Por eso la consulta debe comprobar si existe una exigencia adicional aplicable a su territorio.
Cómo organizar un sistema razonable en una consulta de psicología
- Definir dónde vive la historia clínica oficial.
- Restringir accesos según funciones reales.
- Evitar exportaciones innecesarias.
- Asegurar copias y recuperación.
- Documentar conservación, acceso y supresión cuando proceda.
Si usas un software externo
Pide información concreta sobre:
- ubicación del servicio,
- medidas de seguridad,
- backups,
- exportación de datos,
- roles y permisos,
- contrato de encargo del tratamiento si corresponde.
Derechos del paciente y limites a la supresión
La AEPD recuerda que el paciente tiene derecho de acceso a su historia clínica, pero que la supresión no opera como si se tratara de un dato cualquiera. La propia Ley 41/2002 y los deberes de conservación limitan la eliminación inmediata cuando existe obligación de custodia.
Por eso, cuando una consulta recibe una solicitud de supresión, lo correcto no suele ser borrar sin más, sino analizar la finalidad, la obligación legal de conservar y, si procede, aplicar limitación o bloqueo en los términos jurídicamente adecuados.
Referencias generales qué conviene conocer
- RGPD, artículos 5, 6 y 9.
- Ley 41/2002, artículos 14, 17 y 18.
- Doctrina y materiales de la AEPD sobre datos de salud y derechos del paciente.
Preguntas frecuentes
¿Puedo guardar historias clínicas en PDF en el ordenador?
Solo si el sistema garantiza seguridad, control de acceso y conservación adecuada. En la práctica, depender exclusivamente de carpetas locales suele ser frágil.
¿Es obligatorio conservar el soporte original?
No necesariamente. La Ley 41/2002 permite conservar la historia en soporte distinto del original, siempre que se preserve su autenticidad, integridad y seguridad.
¿Cuánto tiempo debo conservar la historia clínica?
Como mínimo, cinco años desde el alta de cada proceso asistencial, sin perjuicio de otros plazos aplicables y de la conservación por razones judiciales u otras previstas legalmente.
¿Puedo borrar la historia si el paciente lo pide?
No de forma automática. Hay que analizar el derecho ejercido y las obligaciones legales de conservación.
Conclusion
Almacenar historias clínicas en psicología conforme al RGPD no consiste en elegir entre papel o nube, sino en construir un sistema de custodia coherente con la Ley 41/2002, la sensibilidad de los datos y la realidad de la consulta. Si la información está bien integrada, protegida y recuperable, será mucho más facil prestar asistencia con seguridad y responder correctamente ante cualquier solicitud o incidencia.
¿Buscas una plataforma segura para gestionar tu consulta?
Onera centraliza agenda, historia clínica, facturación y procesos internos en una sola plataforma pensada para psicólogos.
Probar Onera gratis
