El RGPD en consulta de psicologia no és el mateix que en altres negocis. Treballes amb categoria especial de dades (salut), i la majoria d'incompliments venen de no entendre aquesta diferència. Una sanció per RGPD pot anar de pocs euros a desenes de milers, i l'AEPD ha incrementat les inspeccions a sanitat des del 2024.

Aquesta guia explica com complir el RGPD i la LOPDGDD en la teva consulta sense convertir-te en advocat.

Per què les dades clíniques són categoria especial

L'article 9 del RGPD classifica les dades de salut, biomètrica, ètnia i orientació sexual com categoria especial. Implica:

  • Base jurídica reforçada: necessites consentiment explícit o un altre supòsit de l'art. 9.2.
  • Mesures de seguretat reforçades: xifrat, control d'accés, traçabilitat.
  • Sancions més grans: fins a 20 milions d'euros o 4% del facturat (límits del RGPD).
  • Avaluació d'impacte (DPIA) recomanada per a centres grans.

Consentiments informats

Cada pacient ha de signar consentiment informat amb clàusules específiques RGPD que cobreixin:

  • Identificació del responsable (tu o el centre).
  • Finalitat: prestació de serveis psicològics.
  • Base jurídica (consentiment explícit + relació contractual sanitària).
  • Conservació: 5-15 anys segons normativa autonòmica.
  • Drets ARCO i com exercir-los.
  • Comunicació a tercers (només si pertinent: assessoria, supervisor, familiars amb autorització).

Més al nostre model de consentiment informat.

Encarregat del tractament

Qualsevol proveïdor que vegi les dades dels teus pacients és encarregat del tractament i ha de signar contracte:

  • Programari clínic (My Psico Agenda).
  • Plataforma de videotrucada.
  • Email amb dades clíniques.
  • Servei de transcripció.
  • Backup en núvol.

Sense contracte d'encarregat, qualsevol incident és el doble de greu.

Drets ARCO i del pacient

El pacient pot exercir en qualsevol moment:

  • Accés: còpia del seu historial.
  • Rectificació: corregir dades errònies.
  • Cancel·lació / Supressió: limita-ho als no-clínics; les dades clíniques de salut tenen normes pròpies.
  • Oposició: limitar tractament marketing.
  • Portabilitat: format estructurat (JSON, PDF).

Tens 30 dies (ampliables a 90) per respondre.

Checklist RGPD per a la teva consulta

  1. ✅ Consentiment informat signat amb clàusules RGPD.
  2. ✅ Programari clínic amb servidors UE i contracte d'encarregat.
  3. ✅ Xifrat AES-256 a les dades en repòs.
  4. ✅ Política de privacitat publicada al teu web.
  5. ✅ Procediment per a sol·licituds ARCO.
  6. ✅ Conservació segons normativa autonòmica.
  7. ✅ Esborrat segur en finalitzar el tractament.
  8. ✅ Notificació de bretxes en 72h a l'AEPD.

Preguntas frecuentes

Resolem els dubtes més habituals sobre RGPD per a psicòlegs.

Quant temps he de conservar la història clínica?

Mínim 5 anys des del cessament del tractament segons normativa estatal; algunes comunitats autònomes pugen fins a 15 anys. Després cal esborrat segur.

Necessito DPO (Delegat de Protecció de Dades)?

No obligatòriament per a una consulta individual. Sí per a centres grans (>250 empleats o tractament massiu de dades de salut).

Què faig si un pacient demana esborrat de les seves dades?

Avalua: si és una sol·licitud durant tractament actiu o post-alta. Les dades clíniques tenen normes específiques que limiten l'esborrat. Documenta resposta i base jurídica.

Puc usar Google Drive per a documents de pacients?

Només si signes contracte d'encarregat amb Google Workspace amb opció de servidors UE i les credencials estan al teu domini empresarial. Drive personal: no.

Quina sanció arrisco si tinc una bretxa?

Depèn de la gravetat. Bretxes notificades en 72h amb mesures preses sovint es resolen amb advertència. No notificades poden arribar a 10.000-50.000 € en consultes individuals.

Vols un programari clínic compatible amb el RGPD?

My Psico Agenda té servidors a la UE, xifrat AES-256, contracte d'encarregat i traçabilitat per defecte.

Crear cuenta gratis Ver precios