Una auditoría LOPDGDD interna en un centro de psicología no es una formalidad: es la diferencia entre detectar un fallo y corregirlo, o que lo detecte la AEPD con multas que arrancan en 40 000 €.

Esta guía recoge una checklist práctica para auditar el cumplimiento de protección de datos en tu centro de psicología en España, identificar agujeros y dejar la documentación lista por si te tocan inspección o brecha.

Por qué un centro de psicología debe auditarse

Tres motivos:

  • Tratáis datos de categoría especial (salud) sometidos a régimen reforzado del art. 9 RGPD.
  • Tenéis varios profesionales accediendo a expedientes: trazabilidad obligatoria.
  • La AEPD inspecciona reactivamente (denuncia de paciente) y, cada vez más, proactivamente al sector sanitario.

La auditoría interna anual es la forma más barata de evitar sustos.

Documentación que debe existir y estar al día

  1. Registro de actividades de tratamiento (RAT) detallado.
  2. Política de privacidad publicada y revisada.
  3. Cláusulas en consentimiento informado y captación web.
  4. Contratos de encargado del tratamiento con: software clínico, hosting, asesoría, plataforma de email/SMS, mensajería sanitaria.
  5. Análisis de riesgos y, si aplica, evaluación de impacto (EIPD).
  6. Registro de brechas de seguridad (aunque esté vacío).
  7. Procedimiento para ejercicio de derechos ARCO+ (acceso, rectificación, supresión, portabilidad, oposición, limitación).

Accesos, roles y trazabilidad en el software clínico

  • Cada profesional con cuenta nominal (no compartida).
  • Roles diferenciados (director clínico, terapeuta, recepción, contabilidad).
  • 2FA obligatorio en cuentas con acceso a historia clínica.
  • Registro de actividad (logs) durante al menos 24 meses.
  • Política de contraseñas (mínimo 12 caracteres, rotación cada 12 meses).

Si tu software actual no permite logs ni roles, considera migrar: la agenda de centro de My Psico Agenda incluye permisos y registro por defecto.

Encargados del tratamiento: quién toca tus datos

  • Software clínico (servidores en UE).
  • Hosting de la web y email corporativo.
  • Pasarelas de pago (Stripe, Bizum técnicamente no son encargado).
  • Plataforma de SMS/WhatsApp para recordatorios.
  • Asesoría fiscal y laboral.
  • Servicio de limpieza con acceso al despacho (sí, también).

Cada uno debe tener firmado un contrato de encargado según art. 28 RGPD.

Brechas, derechos y comunicación a la AEPD

  • Cualquier acceso no autorizado, pérdida de datos o ataque cibernético es brecha.
  • Plazo: comunicar a la AEPD en 72 h si hay riesgo para los derechos de los afectados.
  • Informar a los pacientes afectados sin dilación si el riesgo es alto.
  • Documentar siempre, incluso si no se comunica externamente.

Formación y cultura en el equipo

  • Formación inicial obligatoria a cada nuevo empleado.
  • Recordatorio anual de buenas prácticas.
  • Política «clean desk» y bloqueo de pantalla en menos de 5 min.
  • Prohibición explícita de WhatsApp personal para historia clínica.
  • Plan de respuesta a incidentes con números de contacto y pasos.
💡
Tip. Realiza una vez al año un simulacro de brecha (ej. portátil robado) y mide el tiempo que tarda el equipo en notificarlo correctamente.

Errores típicos en auditorías de centros

  1. Tener documentos copiados de otra clínica sin adaptar a tus tratamientos.
  2. RAT desactualizado tras incorporar plataforma de telepsicología.
  3. Falta de contrato con la asesoría que ve facturas con datos de paciente.
  4. Logs activados pero nadie los revisa.
  5. No tener procedimiento escrito de ejercicio de derechos.

Preguntas frecuentes

Resolvemos las dudas más frecuentes sobre auditoría LOPDGDD en centros de psicología 2026.

¿Necesito un Delegado de Protección de Datos (DPO)?

Sí. El art. 37 RGPD lo exige cuando se tratan datos de salud a gran escala. La interpretación de la AEPD considera «gran escala» a centros con varios profesionales tratando datos clínicos de cientos/miles de pacientes.

¿Cada cuánto auditar internamente?

Auditoría completa anual, revisión documental trimestral, simulacro de brecha cada 12-18 meses. Tras cualquier cambio mayor (nuevo software, fusión), auditoría parcial inmediata.

¿Puedo reutilizar plantillas de RGPD de internet?

Solo como punto de partida. Cada centro tiene tratamientos distintos (telepsicología, evaluaciones, EAP, infanto-juvenil) y las plantillas estándar se quedan cortas. Adaptarlas en lugar de copiarlas.

¿Una sanción AEPD puede ser cubierta por la RC profesional?

Las sanciones administrativas suelen quedar excluidas. Algunas pólizas cubren defensa jurídica y honorarios, pero la sanción la paga el centro. Más en RC profesional.

¿Cómo demuestro a la AEPD que me he auditado?

Con un informe interno fechado, RAT actualizado, registro de incidencias, formación documentada y los contratos de encargados firmados. La «prueba de cumplimiento» (accountability) es lo que la AEPD valora.

Cumplimiento RGPD demostrable, no improvisado

My Psico Agenda incluye logs por defecto, roles diferenciados, 2FA, exportación de datos para derechos ARCO+ y servidores en la UE: el centro audita más rápido y con menos sustos.

Crear cuenta gratis Ver precios