10 errores de protección de datos en psicología
Los 10 fallos de protección de datos más comunes en consultas psicológicas y cómo prevenirlos para no jugarte una sanción de la AEPD.
La mayoría de incumplimientos de protección de datos en consultas psicológicas no nacen de una mala intención, sino de procesos improvisados. Se acumulan herramientas sueltas, se repiten hábitos heredados y se confía en soluciones "temporales" que acaban convirtiéndose en el sistema real de trabajo.
En psicología esto tiene especial relevancia porque se tratan datos de salud y documentación asistencial. La protección de datos no es una formalidad separada de la atención al paciente; forma parte de la confianza profesional y del deber de custodia.
Casi ningún incumplimiento nace de mala fe. Nace de un atajo que se quedó, de un "ya lo arreglaré" que nunca llegó.
A marzo de 2026, el marco de referencia sigue siendo claro: RGPD, normativa nacional de protección de datos, Ley 41/2002 para documentación clínica y criterios de la AEPD. Y la AEPD no avisa: puede sancionar las infracciones graves con multas de 40.000 a 300.000 € y las muy graves con hasta 20 M€ o el 4 % de la facturación. Revisar errores comunes ayuda más que repetir listas abstractas de obligaciones.
Error 1: pensar que con un texto legal basta
Muchas consultas creen estar cubiertas porque tienen un documento de privacidad o una cláusula de información. Eso es necesario, pero no suficiente. El cumplimiento exige que lo que se dice en esos textos coincida con lo que realmente ocurre:
- dónde se guardan los datos,
- quién accede,
- qué proveedores intervienen,
- cuánto tiempo se conserva la documentación,
- cómo se atienden los derechos.
Si el texto dice una cosa y la operativa otra, el problema sigue existiendo.
Error 2: tratar el consentimiento como respuesta universal
En el tratamiento de datos de salud no todo descansa en el consentimiento. La AEPD insiste en que debe identificarse una base jurídica adecuada y, además, una habilitación para tratar categorías especiales de datos. En muchos contextos asistenciales, el análisis jurídico va más allá de "firmar un papel".
Usar el consentimiento como comodín puede generar dos problemas:
- se pide donde no es la base principal,
- se redacta de forma deficiente y luego no encaja con la realidad asistencial.
Error 3: guardar notas clínicas fuera del sistema principal
Uno de los fallos más repetidos es tomar notas en aplicaciones no preparadas para ello, copiar contenidos a documentos locales o repartir información entre varios canales. Esto dificulta:
- la trazabilidad,
- la recuperación ordenada,
- el control de accesos,
- la conservación segura.
Cuanto más repartida está la información, más difícil es demostrar diligencia y más fácil es que un dato termine expuesto. Por eso conviene centralizar todo en una historia clínica única en lugar de dispersarlo entre apps.
Error 4: compartir accesos entre profesionales
El uso de cuentas compartidas sigue apareciendo en pequeñas consultas. A veces se hace por comodidad, otras porque la herramienta no estaba pensada para trabajo en equipo. En cualquier caso, es una mala práctica porque impide saber quién accedió, modificó o exportó información.
En datos de salud, la trazabilidad no es un lujo. Es una necesidad operativa y jurídica.
Error 5: no separar la información clínica de la administrativa
No toda persona que gestiona la agenda o la facturación necesita acceder al detalle clínico. Cuando una consulta no diferencia estos accesos, amplía innecesariamente el número de personas expuestas a datos muy sensibles.
Una política razonable de mínimo acceso reduce riesgo y mejora la organización interna.
Error 6: asumir que la nube es automáticamente insegura o automáticamente segura
La nube no es el problema ni la solución por sí sola. Hay sistemas en la nube bien configurados y otros mal planteados. Lo relevante es conocer:
- qué proveedor interviene,
- con qué contrato,
- dónde se alojan los datos,
- qué medidas de seguridad aplica,
- cómo se recuperan los datos.
La consulta debe evaluar proveedores con criterio, no con intuiciones, y firmar el correspondiente contrato de encargo del tratamiento (DPA). Un detalle que suele pasarse por alto: muchas herramientas cargan píxeles publicitarios o rastreadores de terceros que no pintan nada en un entorno clínico. No es anecdótico; en EE. UU. el uso de rastreadores en webs de salud ha generado más de 100 M$ en sanciones y acuerdos en una veintena de casos entre 2023 y 2025. Lo analizamos en rastreadores publicitarios en software de psicólogos.
Error 7: borrar o conservar sin política clara
Hay consultas que eliminan datos antes de tiempo por miedo a acumular información, y otras que lo guardan todo indefinidamente sin orden. Ninguno de los dos extremos es recomendable.
La AEPD recuerda que, en materia de historia clínica, la Ley 41/2002 fija deberes de conservación. Al mismo tiempo, el RGPD obliga a no conservar más allá de lo necesario para cada finalidad cuando no exista otra obligación legal. Hace falta, por tanto, una política de conservación y no simples decisiones puntuales.
Error 8: pensar que sigue existiendo la inscripción de ficheros
Todavía se escucha la idea de "tener inscritos los ficheros". La propia AEPD aclara que, con la aplicación del RGPD, desapareció la obligación de inscribirlos en la Agencia. El enfoque actual se basa en responsabilidad proactiva, análisis de tratamientos, medidas y documentación interna, no en un trámite registral de ese tipo.
Error 9: no saber responder a un derecho de acceso
Cuando un paciente pide acceso a sus datos o a su historia clínica, muchas consultas descubren en ese momento que no tienen claro dónde está cada documento, qué versión es la correcta o quién debe preparar la respuesta.
Eso suele indicar que el sistema no está suficientemente integrado. No conviene esperar a una solicitud real para descubrirlo. Tener bien resuelto el almacenamiento de la historia clínica conforme al RGPD facilita responder en plazo y sin sobresaltos.
Error 10: improvisar ante una incidencia
Pérdidas de dispositivo, envío a destinatario equivocado, accesos indebidos o errores de exportación exigen reacción rápida. El RGPD fija, en ciertos casos, plazos muy exigentes para valorar y notificar brechas. Si la consulta no sabe quién decide, qué se revisa y cómo se documenta, la incidencia puede empeorar.
Cómo prevenir estos errores en una consulta pequeña
Mapear los procesos reales
La forma más útil de empezar es muy concreta: seguir el recorrido del dato desde el primer contacto hasta el archivo final.
Elegir una herramienta central
Cuantas menos duplicidades existan entre agenda, fichas, notas y documentos, mejor.
Revisar permisos
Cada persona debería ver solo lo necesario para su función.
Documentar criterios
No hace falta crear una burocracia desmedida, pero sí tener claro cómo se informa, cómo se conserva y cómo se responde a solicitudes o incidencias.
Consejos prácticos
- Elimina carpetas paralelas y versiones duplicadas.
- Revisa con qué correos y dispositivos se trabaja.
- Comprueba quién accede a qué información.
- Verifica contratos y condiciones de proveedores.
- Aterriza una política de conservación y respuesta a derechos.
Preguntas frecuentes
¿Es obligatorio cifrar siempre toda la documentación clínica?
La normativa habla de medidas apropiadas al riesgo, no de una receta única. En datos de salud el nivel de exigencia es alto, así que conviene evaluar herramientas y procesos con esa sensibilidad. El cifrado de extremo a extremo, en el que ni el proveedor puede leer los datos, es la opción más protectora frente a una brecha.
¿Puedo enviar documentación clínica por correo electrónico?
Depende del contenido, del contexto y de las medidas aplicadas. En cualquier caso, conviene minimizar los envíos innecesarios y usar canales adecuados. El correo es una de las vías más frecuentes de filtración por error humano.
Si trabajo solo, ¿tengo menos obligaciones de protección de datos?
Puede haber menos complejidad organizativa, pero no menos sensibilidad en los datos tratados. La consulta individual también debe cumplir el RGPD y la Ley 41/2002, y también responde de su seguridad ante la AEPD.
¿Debo seguir inscribiendo ficheros en la AEPD?
No. La AEPD ha aclarado que esa obligación desapareció con la aplicación del RGPD. El enfoque actual se basa en la responsabilidad proactiva: analizar tratamientos, aplicar medidas y documentarlas internamente, no en un trámite registral.
¿En cuánto tiempo hay que notificar una brecha de seguridad?
El RGPD fija, en ciertos casos, un plazo general de 72 horas para valorar y notificar la brecha a la autoridad de control. Por eso conviene tener decidido de antemano quién decide, qué se revisa y cómo se documenta una incidencia.
Conclusión
La protección de datos en psicología falla más por desorden que por falta de teoría. Revisar procesos, centralizar información y limitar accesos suele aportar más valor que acumular textos legales sin cambiar la operativa. En una consulta psicológica, prevenir errores de protección de datos es también cuidar la calidad del servicio y la confianza del paciente.
La forma más eficaz de evitar la mayoría de estos errores es trabajar sobre un único sistema. Onera es un software de gestión para psicólogos con accesos por rol, cifrado e historia clínica integrada. Pruébalo gratis y reduce de raíz tu superficie de riesgo.
¿Buscas una plataforma segura para gestionar tu consulta?
Onera centraliza agenda, historia clínica, facturación y procesos internos en una sola plataforma pensada para psicólogos.
Probar Onera gratis
