RGPD para psicólogos: obligaciones clave en consulta
Datos de salud, consentimiento, seguridad y derechos del paciente: qué exige el RGPD a una consulta de psicología en España.
Una historia clínica de psicología revela lo más íntimo de una persona: diagnósticos, traumas, relaciones, medicación. Si esa información acaba en manos equivocadas, el daño no se repara con una disculpa. Por eso el RGPD trata los datos relativos a la salud como categorías especiales de datos (artículo 9), y no permite manejarlos como simple información de contacto o administrativa.
En psicología, cumplir el RGPD no es tener un texto legal en la web: es poder demostrar quién accede a cada dato, dónde vive y por qué se conserva.
La AEPD recuerda que para tratar datos de salud hay que identificar una base del artículo 6 del RGPD y, además, una excepción del artículo 9 que permita tratar esa categoría especial. En la práctica, eso obliga a revisar con cuidado formularios, historia clínica, comunicaciones con pacientes y accesos internos. Las sanciones no son simbólicas: la AEPD puede imponer multas de 40.000 a 300.000 € por infracciones graves y hasta 20 M€ o el 4 % de la facturación en las muy graves.
Qué implica el RGPD en una consulta de psicología
En una consulta privada el cumplimiento no consiste solo en tener un texto legal en la web. Hay que poder demostrar que el tratamiento de datos está organizado, que se limita a lo necesario y que existe control sobre quién accede a la información.
Los puntos esenciales suelen ser estos:
- Informar con claridad al paciente sobre el tratamiento de sus datos.
- Recoger solo la información necesaria para la finalidad asistencial y administrativa.
- Limitar accesos a historias clínicas, notas y documentos adjuntos.
- Poder atender derechos de acceso, rectificación, limitación o supresión cuando proceda.
- Contratar proveedores con garantías adecuadas si alojan o procesan información clínica, con su correspondiente contrato de encargo del tratamiento (DPA).
Consentimiento, secreto profesional y base jurídica
En psicología hay un error habitual: pensar que todo depende del consentimiento. No siempre es así. El consentimiento puede ser necesario para determinados tratamientos o comunicaciones, pero el RGPD exige analizar cada finalidad concreta.
Cuando el tratamiento se vincula a la prestación asistencial y lo realiza un profesional sujeto a secreto profesional, la base jurídica no debe improvisarse ni copiarse de otra web. Conviene revisar el encaje real del servicio, la documentación entregada al paciente y la información de privacidad asociada.
Historia clínica, notas y minimización
Una consulta psicológica necesita conservar información suficiente para la continuidad asistencial, pero eso no significa guardar cualquier dato sin criterio. El principio de minimización obliga a preguntarse:
- ¿Este dato es necesario para la intervención?
- ¿Estoy duplicando información en varios sistemas?
- ¿Hay notas sensibles fuera del entorno principal de trabajo?
- ¿Se conservan archivos o audios que ya no son necesarios?
Cuanto más repartida está la información entre correo, mensajería, documentos locales y hojas de cálculo, más difícil es cumplir con seguridad y trazabilidad. Si quieres profundizar, hemos detallado las reglas de almacenamiento de historias clínicas conforme al RGPD.
Medidas organizativas y técnicas razonables
La normativa no impone una única herramienta, pero sí exige medidas apropiadas al riesgo. En una consulta de psicología eso suele traducirse en decisiones muy concretas:
- Cuentas individuales para cada profesional.
- Política clara de contraseñas y acceso.
- Cifrado y copias de seguridad.
- Control de exportaciones y descargas.
- Revisión de encargados del tratamiento.
En datos de salud, el cifrado de extremo a extremo marca la diferencia: significa que ni siquiera el proveedor del software puede leer las notas de tus pacientes. Lo desarrollamos en por qué HTTPS no basta en un software clínico.
Si hay una brecha de seguridad con riesgo para los derechos de las personas, el RGPD fija un plazo general de 72 horas para valorar la notificación a la autoridad de control. Por eso la preparación previa importa tanto como la reacción.
Qué revisar en 2026
En marzo de 2026, una consulta que quiera estar bien preparada debería poder responder con seguridad a estas preguntas:
Dónde se guardan los datos clínicos
No basta con saber que "están en la nube". Hay que saber en qué proveedor, con qué contrato, con qué controles y quién puede acceder.
Quién ve cada información
Si varias personas comparten pacientes o tareas administrativas, debe existir una separación razonable de permisos y una política de acceso coherente.
Cómo se informa al paciente
La información de privacidad debe ser clara, comprensible y alineada con lo que realmente ocurre en el día a día de la consulta.
Qué pasa cuando alguien pide acceso o supresión
Responder tarde o no localizar la información a tiempo suele ser una señal de que el sistema interno está demasiado fragmentado.
Preguntas frecuentes
¿Basta el consentimiento del paciente para tratar sus datos de salud?
No siempre. El RGPD exige identificar una base del artículo 6 y, además, una excepción del artículo 9 para tratar categorías especiales como los datos de salud. Cuando el tratamiento se vincula a la asistencia prestada por un profesional sujeto a secreto profesional, la base jurídica no suele ser el consentimiento, así que conviene analizar cada finalidad concreta en lugar de copiar un texto de otra web.
¿Los datos de salud son una categoría especial en el RGPD?
Sí. Los datos relativos a la salud forman parte de las categorías especiales de datos del artículo 9 del RGPD. Por eso no pueden tratarse como simple información de contacto o administrativa, sino con base jurídica reforzada y medidas de seguridad apropiadas al riesgo.
¿En cuánto tiempo hay que notificar una brecha de seguridad?
El RGPD fija un plazo general de 72 horas para valorar la notificación de una brecha a la autoridad de control cuando exista riesgo para los derechos de las personas. Por eso la preparación previa importa tanto como la reacción: hay que saber de antemano quién decide, qué se revisa y cómo se documenta.
¿Qué derechos del paciente debe poder atender una consulta de psicología?
Acceso, rectificación, limitación y supresión cuando proceda, entre otros. No localizar la información a tiempo suele ser señal de que el sistema interno está demasiado fragmentado entre correo, documentos locales y hojas de cálculo.
Conclusión
Cumplir el RGPD en psicología no es marcar una casilla: es trabajar con un sistema que reduzca errores, limite accesos y permita justificar cada tratamiento de datos con criterio. Cuanto más ordenada esté la consulta, más sencillo resulta proteger al paciente y defender la práctica profesional ante cualquier incidencia.
Onera es un software de gestión para psicólogos diseñado desde la privacidad: cifrado, accesos por rol e historia clínica integrada en un solo sistema. Pruébalo gratis y deja de repartir datos sensibles entre carpetas y correos.
¿Buscas una plataforma segura para gestionar tu consulta?
Onera centraliza agenda, historia clínica, facturación y procesos internos en una sola plataforma pensada para psicólogos.
Probar Onera gratis
