Cómo almacenar historias clínicas RGPD: guía rápida

Cuando un psicólogo se pregunta cómo almacenar historias clínicas según RGPD, en realidad está abordando tres cuestiones al mismo tiempo: dónde conservar la documentación, durante cuánto tiempo y con qué medidas de seguridad y acceso. La respuesta no está en una única frase legal, sino en la combinación entre normativa de protección de datos y regulación específica de la documentación clínica.

En España, a marzo de 2026, el punto de partida sigue siendo claro. El RGPD protege especialmente los datos de salud y obliga a tratarlos con base jurídica adecuada y medidas apropiadas al riesgo. La Ley 41/2002 regula la historia clínica, su integración, su acceso y su conservación mínima. La AEPD, además, ha reiterado que el soporte puede ser digital, pero solo si se garantizan seguridad, autenticidad, integridad y recuperación.

Tres preguntas resuelven el 90 % del problema: dónde vive la historia, cuánto la conservas y quién puede leerla.

Esta es una guía rápida y práctica para consultas de psicología. Si necesitas el detalle legal completo —responsabilidad del centro, límites a la supresión, referencias normativas—, consulta nuestro artículo de referencia sobre almacenar historias clínicas según RGPD en psicología.

Qué debe entender un psicólogo por historia clínica

La historia clínica no es solo un informe final o un documento firmado. Incluye el conjunto de información asistencial relevante para la continuidad del paciente:

• datos identificativos necesarios,
• evoluciones y notas clínicas,
• consentimientos y documentos asociados,
• informes,
• registros vinculados al proceso asistencial.

Esto importa porque el nivel de exigencia en su custodia no es el mismo que para una simple hoja de contacto o una nota interna sin trascendencia.

El RGPD no actúa solo

Uno de los errores más comunes es analizar la historia clínica solo desde el RGPD. En psicología hay que mirar también la Ley 41/2002.

Lo qué aporta el RGPD

• principios de minimización, integridad y confidencialidad,
• necesidad de base jurídica y tratamiento legitimo de datos de salud,
• responsabilidad proactiva del profesional o del centro.

Lo qué aporta la Ley 41/2002

• definición y finalidad de la historia clínica,
• integración documental,
• conservación mínima de la documentación,
• reglas sobre acceso del paciente.

Cuánto tiempo hay que conservar la historia

El artículo 17.1 de la Ley 41/2002 establece que la documentación clínica debe conservarse, como mínimo, cinco años desde la fecha del alta de cada proceso asistencial. La AEPD recuerda, no obstante, que pueden existir variaciones por normativa autonómica y que también hay que contemplar finalidades judiciales u otras legalmente previstas.

Por eso, la respuesta práctica no es "borra cuando dejen de venir", sino "analiza conservación mínima, obligaciones adicionales y política interna".

En qué soporte puede guardarse

La ley permite que la historia clínica se conserve en soporte distinto del original. Esto es especialmente relevante para psicólogos que quieren trabajar con sistema digital.

Papel

Sigue siendo posible, pero presenta limitaciones en búsqueda, seguridad física y escalabilidad.

Digital

Puede ser perfectamente válido si el sistema:

• protege el acceso,
• permite recuperar información,
• mantiene integridad y autenticidad,
• evita proliferación de copias no controladas.

Aquí marca la diferencia el cifrado: el cifrado de extremo a extremo implica que ni el proveedor del software puede leer la historia, lo que protege los datos incluso ante una brecha. Una historia clínica digital bien diseñada reúne todo en un único lugar recuperable.

Requisitos prácticos de un buen almacenamiento

1. Seguridad

No basta con "tener contraseña". Hace falta revisar usuarios, permisos, copias de seguridad, sesiones abiertas y dispositivos usados.

2. Integración

La AEPD ha recordado el principio de máxima integración de la historia clínica en el ámbito de cada centro. Cuantas más piezas queden fuera del sistema oficial, peor.

3. Recuperación

Una historia bien almacenada debe aparecer rápido cuando hace falta atender al paciente o responder a un derecho de acceso.

4. Conservación coherente

No sirve alternar borrados impulsivos con acumulación indefinida sin criterio.

El riesgo de las carpetas paralelas

En consulta privada es habitual caer en un sistema mixto:

• alguna nota en papel,
• algun informe en el escritorio,
• documentos en el correo,
• ficha general en otro programa.

Esto debilita el control y hace mucho más difícil responder a cualquier incidencia o solicitud del paciente. Es uno de los errores de protección de datos más frecuentes en consultas psicológicas.

Accesos: quién debería ver qué

No todas las personas implicadas en la consulta necesitan acceder al mismo nivel de detalle. En consultas con recepción, administración o varios profesionales, la separación de accesos es esencial.

El principio de mínimo acceso no solo reduce riesgo jurídico; también ordena mejor la operativa.

Qué pasa con el derecho de supresión

En materia de historia clínica, el derecho de supresión no opera de forma automática como en otros tratamientos. La propia AEPD recuerda que la Ley 41/2002 establece obligaciones de conservación que limitan la eliminación inmediata.

Por tanto, si un paciente solicita supresión, lo correcto es analizar:

• si existe obligación legal de conservar,
• si procede limitación,
• si parte de la documentación debe mantenerse por razones asistenciales o judiciales.

Cómo revisar si tu consulta lo está haciendo bien

Hazte estas preguntas:

¿Existe una historia clínica oficial?

Si no puedes responder con claridad, probablemente hay dispersión.

¿Se localiza rápido?

Si encontrar información depende de revisar varios sitios, el sistema necesita mejora.

¿Hay accesos definidos?

Si cualquiera ve cualquier cosa por comodidad, la organización es demasiado laxa.

¿Hay una política de conservación?

Si las decisiones se toman caso por caso sin criterio estable, falta estructura.

Consejos prácticos

1. Define un único repositorio principal.
2. Reduce exportaciones y descargas locales.
3. Revisa permisos por función.
4. Documenta plazos y criterios de conservación.
5. Verifica que puedes recuperar la historia completa sin fricción.

Preguntas frecuentes

¿Puedo escanear historias clínicas y destruir el papel?

Depende del proceso y de cómo garantices autenticidad, integridad y conservación adecuada. La Ley 41/2002 admite el soporte distinto del original, pero conviene revisar con criterio jurídico y técnico cómo se digitaliza y se preserva la documentación antes de destruir el papel.

¿Cinco años es siempre el plazo definitivo de conservación?

Es el mínimo general que fija el artículo 17.1 de la Ley 41/2002 desde el alta de cada proceso asistencial. Pueden existir plazos distintos por normativa autonómica y razones de conservación judiciales u otras legalmente previstas, así que conviene comprobar tu caso concreto.

¿Las notas de sesión entran en la lógica de la historia clínica?

Si forman parte de la documentación asistencial relevante para la continuidad del paciente, deben tratarse con el mismo cuidado que el resto de la historia: seguridad, accesos limitados y conservación coherente.

¿Es válida una historia clínica digital?

Sí, siempre que el sistema garantice seguridad, mantenimiento, integridad y recuperación de la información. El RGPD y la Ley 41/2002 no obligan a un soporte concreto, sino a que se cumplan esas condiciones.

Conclusión

Saber cómo almacenar historias clínicas según RGPD en psicología implica construir un sistema de custodia completo, no solo elegir un soporte. Cuando la consulta integra bien la documentación, limita accesos y conserva con criterio conforme al RGPD y la Ley 41/2002, trabaja mejor y protege mucho mejor al paciente y al propio profesional.

Onera te da un único repositorio para la historia clínica de tus pacientes, con cifrado, copias y permisos por rol. Empieza gratis y deja atrás las carpetas paralelas.