Una auditoria LOPDGDD interna a un centre de psicologia no és una formalitat: és la diferència entre detectar un error i corregir-lo, o que el detecti l'AEPD amb multes que arrenquen a 40 000 €.

Aquesta guia recull una checklist pràctica per auditar el compliment de protecció de dades al teu centre de psicologia a Espanya, identificar forats i deixar la documentació llesta per si et toquen inspecció o bretxa.

Per què un centre de psicologia s'ha d'auditar

Tres motius:

  • Tracteu dades de categoria especial (salut) sotmeses al règim reforçat de l'art. 9 RGPD.
  • Teniu diversos professionals accedint a expedients: traçabilitat obligatòria.
  • L'AEPD inspecciona reactivament (denúncia de pacient) i, cada vegada més, proactivament al sector sanitari.

L'auditoria interna anual és la forma més barata d'evitar ensurts.

Documentació que ha d'existir i estar al dia

  1. Registre d'activitats de tractament (RAT) detallat.
  2. Política de privacitat publicada i revisada.
  3. Clàusules a consentiment informat i captació web.
  4. Contractes d'encarregat del tractament amb: programari clínic, hosting, assessoria, plataforma d'email/SMS, missatgeria sanitària.
  5. Anàlisi de riscos i, si escau, avaluació d'impacte (EIPD).
  6. Registre de bretxes de seguretat (encara que estigui buit).
  7. Procediment per a l'exercici de drets ARCO+ (accés, rectificació, supressió, portabilitat, oposició, limitació).

Accessos, rols i traçabilitat al programari clínic

  • Cada professional amb compte nominal (no compartit).
  • Rols diferenciats (director clínic, terapeuta, recepció, comptabilitat).
  • 2FA obligatori a comptes amb accés a història clínica.
  • Registre d'activitat (logs) durant almenys 24 mesos.
  • Política de contrasenyes (mínim 12 caràcters, rotació cada 12 mesos).

Si el teu programari actual no permet logs ni rols, considera migrar: l'agenda de centre de My Psico Agenda inclou permisos i registre per defecte.

Encarregats del tractament: qui toca les teves dades

  • Programari clínic (servidors a la UE).
  • Hosting de la web i email corporatiu.
  • Passarel·les de pagament (Stripe, Bizum tècnicament no són encarregat).
  • Plataforma de SMS/WhatsApp per a recordatoris.
  • Assessoria fiscal i laboral.
  • Servei de neteja amb accés al despatx (sí, també).

Cadascun ha de tenir signat un contracte d'encarregat segons art. 28 RGPD.

Bretxes, drets i comunicació a l'AEPD

  • Qualsevol accés no autoritzat, pèrdua de dades o atac cibernètic és bretxa.
  • Termini: comunicar a l'AEPD en 72 h si hi ha risc per als drets dels afectats.
  • Informar els pacients afectats sense dilació si el risc és alt.
  • Documentar sempre, encara que no es comuniqui externament.

Formació i cultura a l'equip

  • Formació inicial obligatòria a cada nou empleat.
  • Recordatori anual de bones pràctiques.
  • Política «clean desk» i bloqueig de pantalla en menys de 5 min.
  • Prohibició explícita de WhatsApp personal per a història clínica.
  • Pla de resposta a incidents amb números de contacte i passos.
💡
Consell. Realitza una vegada l'any un simulacre de bretxa (ex. portàtil robat) i mesura el temps que triga l'equip a notificar-ho correctament.

Errors típics a auditories de centres

  1. Tenir documents copiats d'una altra clínica sense adaptar als teus tractaments.
  2. RAT desactualitzat després d'incorporar plataforma de telepsicologia.
  3. Manca de contracte amb l'assessoria que veu factures amb dades de pacient.
  4. Logs activats però ningú els revisa.
  5. No tenir procediment escrit d'exercici de drets.

Preguntes freqüents

Resolem els dubtes més freqüents sobre auditoria LOPDGDD a centres de psicologia 2026.

Necessito un Delegat de Protecció de Dades (DPO)?

Sí. L'art. 37 RGPD ho exigeix quan es tracten dades de salut a gran escala. La interpretació de l'AEPD considera «gran escala» a centres amb diversos professionals tractant dades clíniques de centenars/milers de pacients.

Cada quant auditar internament?

Auditoria completa anual, revisió documental trimestral, simulacre de bretxa cada 12-18 mesos. Després de qualsevol canvi major (nou programari, fusió), auditoria parcial immediata.

Puc reutilitzar plantilles de RGPD d'internet?

Només com a punt de partida. Cada centre té tractaments diferents (telepsicologia, avaluacions, EAP, infanto-juvenil) i les plantilles estàndard es queden curtes. Adaptar-les en lloc de copiar-les.

Una sanció de l'AEPD pot ser coberta per la RC professional?

Les sancions administratives solen quedar excloses. Algunes pòlisses cobreixen defensa jurídica i honoraris, però la sanció la paga el centre. Més a RC professional.

Com demostro a l'AEPD que m'he auditat?

Amb un informe intern datat, RAT actualitzat, registre d'incidències, formació documentada i els contractes d'encarregats signats. La «prova de compliment» (accountability) és el que l'AEPD valora.

Compliment RGPD demostrable, no improvisat

My Psico Agenda inclou logs per defecte, rols diferenciats, 2FA, exportació de dades per a drets ARCO+ i servidors a la UE: el centre audita més ràpid i amb menys ensurts.

Crear compte gratis Veure preus