La ciberseguretat a la consulta de psicologia ja no és un assumpte «d'informàtics»: és part de la teva responsabilitat clínica. Cada dia manegues la informació més sensible que existeix (diagnòstics, història clínica, enregistraments, dades de menors) i un descuit digital pot tenir conseqüències greus per als teus pacients i per a tu. Aquesta guia explica, sense tecnicismes, com protegir les dades dels teus pacients amb mesures realistes que qualsevol psicòloga, psicoterapeuta o centre de psicologia pot aplicar.

No parlem només de complir la llei: tot i que la protecció de dades i el RGPD són el marc legal, la seguretat de les dades clíniques és una cosa més pràctica i quotidiana. És el que evita que una contrasenya robada, un correu de phishing o un portàtil perdut es converteixin en una fuita d'informació impossible de revertir.

Per què la ciberseguretat és crítica en una consulta de psicologia

El RGPD considera les dades de salut categoria especial: tenen un nivell de protecció reforçat. En psicologia, pràcticament tot el que registres entra en aquesta categoria. Una bretxa de seguretat a la teva consulta no exposa «uns correus», sinó el contingut emocional més íntim de persones que han confiat en tu.

Les conseqüències d'un incident són de tres tipus:

  • Per al pacient: exposició d'informació sensible, possible estigma, pèrdua de confiança.
  • Per a tu: sancions, obligació de notificar a l'autoritat i als afectats, i dany reputacional.
  • Per a la relació terapèutica: la confidencialitat és la base del vincle; sense ella, la teràpia se'n ressent.

La bona notícia: la majoria d'incidents reals no vénen d'atacs sofisticats, sinó d'errors evitables. Amb unes poques mesures ben aplicades redueixes el risc de manera dràstica.

Amenaces més comunes (i com s'esmunyen)

Aquestes són les portes d'entrada que més afecten una consulta de psicologia:

  • Phishing i suplantació: correus o missatges que imiten el teu banc, Hisenda o el teu programari per robar-te la contrasenya. És la causa número u.
  • Contrasenyes febles o reutilitzades: fer servir la mateixa clau en diversos serveis converteix una sola filtració en un problema general.
  • Dispositius perduts o robats: un portàtil o mòbil sense xifrar és una història clínica oberta per a qui el trobi.
  • Xarxes wifi públiques: connectar-te a la xarxa oberta d'una cafeteria per veure dades de pacients facilita la intercepció.
  • Ransomware: programes que xifren els teus arxius i demanen un rescat. Sense còpies de seguretat, ho pots perdre tot.

Contrasenyes i verificació en dos passos (2FA)

La contrasenya continua sent la primera línia de defensa, però només si la fas servir bé. Tres regles:

  • Úniques: una contrasenya diferent per a cada servei (correu, programari clínic, banca, xarxes).
  • Llargues: millor una frase de diverses paraules que un «P4ssw0rd!» curt.
  • Gestionades: fes servir un gestor de contrasenyes per no haver de recordar-les ni apuntar-les en un paper.

Però la mesura que més atacs evita amb menys esforç és la verificació en dos passos (2FA o doble factor): encara que et robin la contrasenya, ningú entra sense el segon codi. Activa-la com a mínim al teu correu electrònic i al teu programari de gestió clínica, que són les dues claus d'accés a les dades dels teus pacients. Si la teva plataforma a més bloqueja els intents repetits d'accés (protecció anti-força-bruta), molt millor.

Consell. Activa avui mateix la verificació en dos passos al teu Gmail/Outlook i al teu programari clínic. Són cinc minuts que neutralitzen l'atac més habitual.

Còpies de seguretat xifrades: la teva xarxa de seguretat

Cap mesura evita el 100% dels incidents, així que necessites un pla B: les còpies de seguretat. Una bona estratègia de backup per a una consulta de psicologia compleix quatre condicions:

  • Automàtiques: les còpies manuals s'obliden; s'han de fer soles.
  • Xifrades: si la còpia es perd, que ningú la pugui llegir.
  • Amb versions: desa diversos dies, per si detectes un problema amb retard.
  • Verificades: comprova de tant en tant que una còpia es restaura de debò.

Una història clínica digital en una plataforma seriosa ja inclou còpies xifrades automàtiques, de manera que no depens de recordar-te'n. Davant el ransomware, una còpia recent converteix un desastre en una simple molèstia.

Psicòloga treballant de manera segura amb el programari de gestió de la seva consulta

Videoconsulta i comunicació segura

La teràpia en línia ha multiplicat els canals pels quals circulen dades sensibles. Algunes pautes:

  • Videoconsulta xifrada: fes servir plataformes que ofereixin xifratge i sales privades, no enllaços públics reutilitzats.
  • Correu: evita enviar informes o diagnòstics al cos de l'email; fes servir el portal del pacient o documents protegits.
  • WhatsApp: útil per a recordatoris i logística des d'un número professional, però mai per a contingut clínic.
  • Minimitza: a cada missatge, comparteix només l'imprescindible. Com menys informació exposis, menor és el risc.

Control d'accessos i dispositius

Qui pot veure què és tan important com les contrasenyes. En un centre de psicologia amb diverses terapeutes, cada professional ha d'accedir només a les dades que necessita. Bones pràctiques de control d'accessos:

  • Rols i permisos: cada usuari, el seu compte; res de claus compartides.
  • Xifratge de disc: activa BitLocker (Windows) o FileVault (Mac) i el xifratge del mòbil.
  • Bloqueig automàtic: que els equips es bloquegin sols després d'uns minuts.
  • PIN o segona barrera per a les parts més sensibles de la fitxa del pacient.
  • Tancament de sessió en dispositius que deixes de fer servir o que perds.

Què fer davant una bretxa de seguretat

Si malgrat tot passa un incident (et roben el portàtil, caus en un phishing, detectes un accés estrany), la rapidesa ho és tot. Pla de resposta bàsic:

  1. Conté: canvia les contrasenyes afectades i tanca les sessions obertes.
  2. Avalua: quines dades s'han vist i si estaven xifrades.
  3. Documenta: què va passar, quan i quines mesures vas prendre.
  4. Notifica: si hi ha risc per als pacients, comunica la bretxa de seguretat a l'Agència Espanyola de Protecció de Dades en un màxim de 72 hores; si el risc és alt, també als afectats.
  5. Aprèn: corregeix la causa perquè no es repeteixi.

Organismes com l'INCIBE (Institut Nacional de Ciberseguretat) i l'agència europea ENISA publiquen guies gratuïtes i avisos de seguretat molt útils per a petits professionals i consultes.

Checklist de ciberseguretat per a la teva consulta

Una llista ràpida per autoavaluar-te. Si pots marcar-ho tot, vas molt per davant de la mitjana:

  • ☐ Verificació en dos passos al correu i al programari clínic.
  • ☐ Contrasenyes úniques i un gestor de contrasenyes.
  • ☐ Còpies de seguretat xifrades, automàtiques i verificades.
  • ☐ Xifratge de disc al portàtil i al mòbil.
  • ☐ Sistema i aplicacions sempre actualitzats.
  • ☐ Res de dades clíniques per WhatsApp o email sense protegir.
  • ☐ Rols i permisos per professional al centre.
  • ☐ Pla de resposta davant bretxes escrit i conegut.
  • ☐ Programari amb servidors a la UE i contracte d'encarregat del tractament.

Ciberseguretat a My Psico Agenda

My Psico Agenda neix amb la seguretat de les dades dels teus pacients com a prioritat: verificació en dos passos, protecció anti-força-bruta a l'accés, còpies de seguretat xifrades automàtiques, codis d'accés robustos per al portal del pacient, PIN per protegir pestanyes sensibles, control d'accessos per professional i servidors a la Unió Europea amb xifratge en trànsit i en repòs. No substitueix el teu sentit comú digital, però redueix dràsticament els riscos típics de les solucions casolanes (Excel compartits, correus amb diagnòstics, WhatsApp personal).

Següent pas. Conèixer la plataforma · Veure guia de programari de gestió clínica

Preguntes freqüents sobre ciberseguretat a la consulta de psicologia

Resum dels dubtes més habituals que rebem de psicòlegs, terapeutes i centres sobre com protegir les dades dels seus pacients.

Quines mesures de ciberseguretat bàsiques necessita una consulta de psicologia?

Les cinc mesures imprescindibles són: contrasenyes fortes i úniques a cada servei (amb un gestor de contrasenyes), verificació en dos passos (2FA) al correu i al programari clínic, còpies de seguretat xifrades i automàtiques, xifratge del disc de portàtils i mòbils, i mantenir el sistema i les aplicacions actualitzats. Amb això cobreixes la majoria d'incidents reals que pateix una consulta.

És segur desar la història clínica dels meus pacients al núvol?

Sí, normalment és més segur que un Excel al teu portàtil o papers en un calaix, sempre que el proveïdor ofereixi xifratge en trànsit i en repòs, servidors a la Unió Europea, control d'accessos, còpies de seguretat i un contracte d'encarregat del tractament. Un bon programari de gestió clínica aplica mesures de seguretat molt difícils de reproduir de manera casolana.

Què faig si pateixo una bretxa de seguretat o em roben el portàtil?

Actua ràpid: canvia les contrasenyes afectades, revoca les sessions obertes, valora si les dades estaven xifrades i documenta què ha passat. Si hi ha risc per als drets dels pacients, has de notificar la bretxa de seguretat a l'Agència Espanyola de Protecció de Dades en un termini de 72 hores i, si el risc és alt, també als pacients afectats. Tenir el disc xifrat i còpies recents redueix moltíssim l'impacte.

La verificació en dos passos (2FA) és necessària per a un psicòleg?

Sí. La verificació en dos passos és la mesura que més atacs evita amb menys esforç: encara que algú aconsegueixi la teva contrasenya, no podrà entrar sense el segon factor (un codi per email o app). Activa-la com a mínim al teu correu electrònic i al teu programari clínic, que són les dues portes d'accés a les dades dels teus pacients.

Puc fer servir el WhatsApp normal per comunicar-me amb els meus pacients?

Per a recordatoris de cita i logística pot servir, preferiblement des d'un número professional i sense incloure dades clíniques. El que has d'evitar és enviar diagnòstics, informes o contingut de sessió per xats personals. Fes servir canals amb una finalitat definida i minimitza la informació: l'objectiu és que cap missatge reveli l'estat psicològic del pacient.

Cada quant he de fer còpies de seguretat de les dades clíniques?

L'ideal és una còpia de seguretat xifrada diària i automàtica, amb diverses versions desades (per si detectes el problema dies després) i com a mínim una còpia fora del teu equip. Les còpies manuals s'acaben oblidant; per això convé que el teu programari les faci sol. Comprova de tant en tant que una còpia es restaura correctament: una còpia que no es pot recuperar no serveix de res.