El RGPD en consulta de psicología no es un papeleo opcional: los datos que tratas son de los más sensibles que existen. Cualquier psicóloga, psicopedagoga o terapeuta que trabaja con pacientes maneja a diario información que el propio Reglamento considera categoría especial. Esta guía pone en orden, con lenguaje claro y sin palabras de abogado, lo que necesitas para cumplir el RGPD y la LOPDGDD en tu consulta sin volverte loca.

Importante: esta guía no sustituye el asesoramiento jurídico. Pero sí te da una base sólida para hablar con tu asesoría con criterio y para exigir lo correcto a tu software de gestión clínica.

Por qué los datos clínicos son «categoría especial»

El RGPD clasifica como categoría especial los datos que revelen origen racial, opiniones políticas, religión, afiliación sindical, datos genéticos, biométricos, orientación sexual y, muy importante para ti, datos relativos a la salud. Todo lo que tratas en tu consulta (diagnóstico, historia clínica, evaluaciones, grabaciones, test, notas de sesión, cuestionarios) entra en esa categoría.

Consecuencias prácticas para tu consulta de psicología:

  • Consentimiento explícito o base legal reforzada.
  • Minimización: solo los datos estrictamente necesarios.
  • Control de accesos restringido al personal con necesidad.
  • Medidas técnicas reforzadas: cifrado, backups, registro de accesos.
  • Análisis de riesgo y, si procede, evaluación de impacto.

Consentimiento informado RGPD en psicología

El consentimiento informado clínico y el consentimiento RGPD suelen convivir en el mismo documento. Debe incluir como mínimo:

  1. Identidad del responsable (tú o el centro) y contacto.
  2. Finalidades: consulta clínica, facturación, recordatorios, historia clínica.
  3. Base legal (consentimiento explícito o interés legítimo, según el caso).
  4. Destinatarios: encargados del tratamiento (software clínico, asesoría fiscal, hosting).
  5. Plazo de conservación (habitualmente 5-15 años según tipo de dato y normativa).
  6. Derechos: acceso, rectificación, supresión, portabilidad, oposición y limitación.
  7. Vía para ejercerlos y datos de contacto con AEPD.

Guarda el documento firmado en la ficha del paciente, no en un cajón. Tu software debe permitir asociar el PDF al paciente y dejar trazabilidad de la fecha de firma.

Menores, psicopedagogía y tutela compartida

La psicopedagogía y la psicología infantil añaden una capa extra de complejidad. Reglas clave:

  • Menores de 14 años: consiente quien ejerce la patria potestad.
  • De 14 años en adelante: el menor puede consentir por sí mismo ciertos tratamientos, pero en psicología clínica lo habitual es seguir involucrando a los progenitores.
  • Tutela compartida: conviene recoger firma de ambos progenitores salvo excepciones legales (custodia exclusiva, orden judicial).
  • Custodia en conflicto: documenta con cuidado quién consintió cada cosa; tu software debería permitir fichas con múltiples contactos responsables.
⚠️
Evita Excel compartidos con datos de menores. Es uno de los fallos más frecuentes en consultas pequeñas y uno de los más sancionados por la AEPD.

Encargados del tratamiento: software, asesoría, WhatsApp

Un encargado del tratamiento es cualquier tercero que accede a tus datos por prestarte un servicio. En tu consulta, los más habituales son:

  • Software clínico (tu agenda online de psicólogos).
  • Asesoría fiscal / contable.
  • Proveedor de correo profesional.
  • Proveedor de WhatsApp / SMS para recordatorios.
  • Hosting de tu web o cloud donde guardes documentos.

Con cada uno necesitas un contrato de encargado del tratamiento (art. 28 RGPD). Revisa:

  • Servidores en la UE o con garantías adecuadas.
  • Deberes de confidencialidad y seguridad.
  • Subcontratación autorizada y notificada.
  • Asistencia ante brechas de seguridad.
  • Devolución/borrado de datos al finalizar.

Medidas técnicas y de seguridad mínimas

  1. Autenticación fuerte y contraseñas robustas (doble factor si es posible).
  2. Cifrado en tránsito (HTTPS) y en reposo.
  3. Control de accesos por rol y por paciente.
  4. Copias de seguridad cifradas y testadas.
  5. Registro de actividades de tratamiento.
  6. Bloqueo automático de sesión y PIN del dispositivo.
  7. Procedimiento de brecha (plazo 72 h para notificar a AEPD si procede).
  8. Destrucción segura de documentos en papel.

Checklist RGPD para tu consulta de psicología

  • ☐ Registro de actividades de tratamiento documentado.
  • ☐ Cláusula informativa y consentimiento firmado por cada paciente.
  • ☐ Consentimientos de menores con trazabilidad de firmantes.
  • ☐ Contrato de encargado del tratamiento con tu software clínico.
  • ☐ Contrato con asesoría y con proveedor de email/WhatsApp.
  • ☐ Servidores en la UE y cifrado confirmado.
  • ☐ Procedimiento interno ante brechas.
  • ☐ Plazos de conservación definidos por tipo de dato.
  • ☐ Política de privacidad publicada en tu web.
  • ☐ Evaluación de impacto si procede (p. ej. tratamiento masivo o perfiles).

Seguridad y RGPD en My Psico Agenda

My Psico Agenda está pensada para profesionales que tratan datos sensibles cada día: servidores en la UE, cifrado en tránsito y en reposo, contrato de encargado del tratamiento firmable en dos clics, roles, PIN, registro de accesos y exportación/borrado del paciente a demanda. No sustituye el asesoramiento legal, pero sí reduce riesgos operativos típicos de soluciones caseras (Excel compartidos, correos con diagnóstico, WhatsApp personal).

Siguiente paso. Conocer la plataforma · Ver política de privacidad

Preguntas frecuentes sobre RGPD en consulta de psicología

Resumen de las dudas más habituales que recibimos de psicólogos, terapeutas y psicopedagogas sobre la protección de datos en consulta.

¿Qué datos protege el RGPD en una consulta de psicología?

El RGPD protege todos los datos personales del paciente, pero en psicología hay una categoría especial: los datos de salud (diagnósticos, historia clínica, evaluaciones, tratamientos, grabaciones y cualquier información que permita inferir el estado psicológico). Estos datos tienen un nivel reforzado de protección y requieren consentimiento explícito o una base legal específica.

¿Qué consentimiento informado necesito en psicología según el RGPD?

Necesitas un consentimiento informado por escrito que contemple: identidad del responsable, finalidades del tratamiento (consulta, facturación, recordatorios), base legal, destinatarios (encargados del tratamiento como el software clínico o la asesoría), plazo de conservación y derechos del paciente (acceso, rectificación, supresión, portabilidad, oposición y limitación). En menores debe firmarlo quien ejerce la patria potestad.

¿Cómo trato datos de menores en consulta de psicología?

Para menores de 14 años, el consentimiento debe darlo la persona que ejerce la patria potestad o tutela. En tutelas compartidas conviene recoger la firma de ambos progenitores salvo excepciones legales. A partir de 14 años el menor puede consentir por sí mismo ciertos tratamientos. La ficha debe documentar claramente quién consintió, con qué alcance y cuándo.

¿Qué es un encargado del tratamiento y cuándo necesito contrato?

Un encargado del tratamiento es cualquier tercero que accede a los datos de tus pacientes para ayudarte (software clínico, asesoría fiscal, proveedor de WhatsApp, hosting). Debes firmar un contrato de encargado del tratamiento (art. 28 RGPD) con cada uno, garantizar servidores en la UE o con garantías adecuadas y documentarlo en tu registro de actividades.

¿Cumple el RGPD mi software clínico?

Un software clínico cumple el RGPD si ofrece contrato de encargado firmable, servidores en la UE, cifrado en tránsito y en reposo, control de accesos, registro de actividades, backups cifrados, exportación/borrado del paciente y procesos claros ante brechas de seguridad. My Psico Agenda incluye todo esto de serie.

Una plataforma pensada para el RGPD clínico

My Psico Agenda te ayuda a cumplir el RGPD en tu consulta de psicología sin fricción.

Crear cuenta Ver precios