Protección de datos para psicólogos

Guía 2021

Las consultas de psicología y los psicólogos también están obligados a cumplir con la normativa vigente en materia de protección de datos, especialmente considerando que entre los datos personales que tratan de sus pacientes, se encuentran datos relacionados con la salud. En esta guía explicaremos cómo deben cumplir los psicólogos con la protección de datos.

¿Qué leyes regulan a los psicólogos y centros de psicología?

Cuando hablamos de la protección de datos de una consulta psicología o de psicólogos que ejerzan la profesión por su cuenta, nos estamos refiriendo a tres leyes en concreto que son de aplicación:

  • El RGPD (Reglamento General de Protección de Datos), que es el marco europeo en materia de protección de datos, puesto que con él se armonizan en los principales aspectos la protección de los datos personales de todos los ciudadanos de la UE, otorgándoles los mismos derechos y deberes. Está en vigor desde el 25 de mayo de 2018.
  • La LOPDGDD (Ley Orgánica de Protección de Datos y Garantías de Derechos Digitales), a través de esta ley se introdujo en España el RGPD, adaptándolo a nuestro ordenamiento jurídico. Con ella se modificó la anterior LOPD y está en vigor desde diciembre de 2018.
  • La Ley de Autonomía del Paciente, que regula los derechos y obligaciones en materia de información y documentación clínica.

Obligaciones de los psicólogos con el LOPDGDD y el RGPD

Aunque con carácter general, los psicólogos tienen las mismas obligaciones en materia de protección de datos que cualquier otra empresa u organización que trate datos personales, dada la naturaleza de algunos de los datos sensibles que se manejan, relacionados con la salud de las personas, también deberán cumplir con algunas obligaciones concretas, que veremos en los siguientes puntos.

Es fundamental entender que una de las principales obligaciones que se debe contemplar es la de mantener la confidencialidad de datos en psicología, puesto que hablamos de datos especialmente protegidos (los que se enumeran en el artículo 9 del RGPD). De la misma manera que los médicos están obligados a mantener la confidencialidad de las historias clínicas de sus pacientes, los psicólogos deben mantener la confidencialidad de la historia clínica psicológica de los suyos.

Cómo adaptarme como psicólogo o psicóloga a la protección de datos

Los psicólogos por su naturaleza deben tratar datos de salud en su día a día. Deben tener especial diligencia con las historias clínicas y el consentimiento informado de sus pacientes.

Para adaptarse a la ley de protección de datos, psicólogos y clínicas de psicología deben dar cumplimiento a una serie de obligaciones reguladas tanto en el RGPD como en la LOPDGDD.

Registro de las actividades de tratamiento

Como primera obligación el responsable del tratamiento, que es el psicólogo (si trabaja por su cuenta) o la consulta de psicología, debe elaborar un registro de actividades de tratamiento.

El registro de actividades de tratamiento es un documento que se debe elaborar por cada tratamiento de datos personales que se vaya a realizar y debe contener toda la información relevante respecto a dicho tratamiento.

Es un documento de protección de datos que las consultas de psicología y los psicólogos por cuenta ajena están obligados a hacer, puesto que tratan con categorías de datos especiales (datos relativos a la salud), además se tratan datos personales de forma sistemática y, en algunos casos (consultas) pueden incluso tratarse datos a gran escala.

El registro de actividades de tratamiento debe incluir de forma detallada la siguiente información:

  • Identificación y datos de contacto del responsable del tratamiento y, en los casos en que proceda, la del corresponsable, la del encargado del tratamiento y la del delegado de protección de datos (DPO)
  • Legitimación del tratamiento
  • Finalidad del tratamiento
  • Categorías de interesados y datos
  • Categorías de destinatarios (existentes y previstos)
  • Si procede, toda la información relativa a las transferencias internacionales de datos
  • Descripción de las medidas de seguridad implantadas
  • Plazos de conservación previstos

El registro de actividades de tratamiento puede mantenerse en soporte digital o físico, pero siempre debe estar actualizado y a disposición de la Agencia Española de Protección de Datos (AEPD), si esta lo solicitase.

Análisis de riesgos

Con carácter previo a cualquier tratamiento de datos que vaya a hacerse, las consultas de psicología y los psicólogos deben llevar a cabo un análisis de los riesgos que puedan derivarse de dicho tratamiento para los datos personales de los interesados, en concreto, riesgos que puedan suponer una amenaza para sus derechos y libertades.

A través del análisis de riesgos se puede determinar la posibilidad de que dichos riesgos y amenazas se materialicen y, en consecuencia, servirá para diseñar las medidas de seguridad que necesitas implementar en tu consulta y sus sistemas informáticos, para, primero, minimizar las posibilidades de materialización de la amenaza, y, segundo, para, en caso de que acabe teniendo lugar un incidente de seguridad que pueda poner en riesgo los datos personales, minimizar el impacto negativo de este sobre ellos y los interesados titulares de los mismos.

Ten en cuenta que el análisis de riesgos no debe limitarse solo a las ciberamenazas, sino que también debes tener en consideración los riesgos físicos a los que pueden estar expuestos los datos personales que manejas; por ejemplo, si guardas copias en papel de las historias clínicas de tus pacientes, podrían estar expuestas a ser destruidas por un incendio.

Evaluación de Impacto

Ya lo hemos mencionado varias veces en puntos anteriores, pero los psicólogos tratan con datos relativos a la salud, que son datos que están especialmente protegidos, de hecho no pueden tratarse salvo que se cumpla algunas de las excepciones recogidas en el artículo 9.2 del RGPD.

La naturaleza de los datos relativos a la salud obliga a los psicólogos a tener que llevar a cabo una evaluación de impacto de protección de datos (EIPD), puesto que su vulneración puede suponer un impacto negativo para los derechos y libertades de los interesados.

Al igual que el análisis de riesgos, la EIPD nos servirá para implantar las medidas de seguridad necesarias y adecuadas para garantizar la protección de los datos personales y la privacidad de psicología y reducir con ellas la posibilidad de que las amenazas derivadas de las actividades de tratamiento de datos se materialicen y, en caso de hacerlo, reducir su nivel de impacto y consecuencias negativas.

Firmar el contrato de encargo

De acuerdo al RGPD y la LOPDGDD psicólogos y consultas de psicología que cedan datos personales de sus pacientes a terceros, deberán firmar con estos un contrato de encargo de tratamiento.

Como psicólogo cederás datos personales a terceros si tienes contratado algún servicio con otra empresa, que para su correcta gestión, necesite tratar con los datos personales de tus pacientes, por ejemplo, si guardas en una plataforma de almacenamiento en la nube los historiales de tus pacientes.

En el contrato de encargo, el responsable del tratamiento debe establecer las obligaciones e instrucciones para el encargado del tratamiento, que deberá cumplirlas, sin poder alterar ni el uso de los datos ni la finalidad del tratamiento.

terceros

Recuerda firmar el contrato de encargo de tratamiento con los terceros

Incorpora los textos legales a tu web

Como psicólogo o consulta de psicología, es muy probable que tengas una página web en la que te des a conocer a ti y los servicios que ofreces. Aunque esta web sea meramente informativa, debes incluir en ella los textos legales web, siempre redactados de forma comprensible y accesibles desde cualquier lugar la página.

Los textos legales que siempre deben formar parte de tu web son:

  • Aviso legal: Donde se identifica al propietario de la web:
    • Nombre del propietario
    • NIF
    • Dirección
    • Email
    • Nº de colegiado
  • Política de privacidad: Debe aparecer toda la información referente a la protección de datos:
    • Responsable del tratamiento
    • Finalidad del tratamiento
    • Legitimación
    • Cómo se gestionan los datos
    • Tiempo de conservación
    • Cesiones a terceros
    • Vías para ejercer que los interesados ejerzan sus derechos
  • Política de cookies: Seguramente tu página web utilizará cookies propias y de terceros, por lo que debes incluir también toda la información correspondiente a las mismas; su finalidad, de quién son, cuánto duran, etc.

¿Necesitas cumplir el RGPD?

Solicita varios presupuestos

 

Recaba el consentimiento de tus pacientes

Desde la entrada en vigor del RGPD, es obligatorio recabar el consentimiento expreso de los pacientes para realizar cualquier tipo de tratamiento de datos.

Cuando decimos expreso, nos referimos a que para concederlo, el paciente (interesado) debe realizar una acción afirmativa, mediante la cual acepte la política de privacidad y el tratamiento de sus datos.

Además, el consentimiento debe ser informado, es decir, que a la hora de recabarlo, se debe informar al paciente de lo siguiente:

  • Identidad el responsable del tratamiento
  • Finalidad del tratamiento
  • Si se cederán los datos a terceros
  • Medios para ejercer sus derechos
  • Plazo de conservación de los datos

Recordar que el consentimiento solo es válido para la finalidad del tratamiento para la que se hayan recabado los datos personales. En caso de querer usarlos para otro fin, es necesario volver a recabar dicho consentimiento, si este no estaba contemplado antes.

protección de datos psicólogos

Nombra un DPO

De la misma forma que ocurría con la obligación de tener que realizar una EIPD, las consultas de psicología deben nombrar a un DPO, dado el tipo de datos personales que tratan de forma sistemática.

En el caso de psicólogos que trabajen por cuenta propia, el artículo 34.f de la LOPDGDD establece esta excepción respecto al nombramiento de un DPO:

«Se exceptúan los profesionales de la salud que, aun estando legalmente obligados al mantenimiento de las historias clínicas de los pacientes, ejerzan su actividad a título individual».

El DPO puede ser una persona interna o contratarse de forma externa y debe tener conocimientos suficientes para desempeñar sus funciones, que comprenden:

  • Supervisar el cumplimiento normativo de la organización en materia de protección de datos
  • Cooperar con la AEPD
  • Resolver dudas y consultas

Facilita el ejercicio de los derechos de los interesados

Ya hemos señalado en puntos anteriores que se debe informar a los interesados sobre los derechos que tienen sobre sus datos. Es obligación del responsable del tratamiento no solo informar de dichos derechos, sino también facilitar los mecanismos y vías a través de los cuales los interesados podrán ejercer sus derechos.

Es importante señalar que no atender u obstaculizar una solicitud relativa a estos derechos se considera una infracción y, como tal, está sancionada.

Así, los derechos de los interesados son:

  • El derecho de acceso a sus datos personales.
  • La rectificación de dichos datos si estos son incorrectos o han sufrido algún cambio.
  • La supresión o derecho al olvido cuando se ha cumplido la finalidad para la que los datos fueron recabados o estos se han obtenido de forma ilícita.
  • Limitación del tratamiento.
  • Derecho a la portabilidad de datos.
  • Oposición a que sus datos personales puedan usarse con fines diferentes para los que fueron recabados.
  • A que sus datos personales no se empleen en procesos automatizados, como los empleados en la elaboración de perfiles.

Contratos de confidencialidad

Algunos de los empleados de una consulta de psicología podrán tener acceso a los datos personales de los pacientes; algunos solo podrán acceder a datos identificativos, pero otros, como los propios psicólogos tendrán acceso a información clínica. Por ese motivo, debes asegurarte de que esos empleados guardan la debida confidencialidad y obligación de secreto.

La forma más habitual para hacerlo es incorporar cláusulas de confidencialidad en el contrato de trabajo. En caso de que sean trabajadores autónomos contratados, puedes recurrir a un contrato de confidencialidad.

En cualquiera caso, los empleados con acceso a datos personales deben cumplir la Ley de Protección de Datos para psicólogos de la misma manera que lo hace la empresa y observar las medidas de seguridad que se hayan implantado en ella para salvaguardar la privacidad de los pacientes.

Informar de brechas de seguridad

El RGPD estableció la obligación de notificar aquellas brechas de seguridad que pudieran poner en riesgo los datos personales de los interesados, afectando a sus derechos y libertades.

Estas notificaciones deben hacerse, por un lado, a los propios interesados que hayan podido verse afectados. Y por otro, a la AEPD, para lo que se dispone de un plazo máximo de 72 horas.

No informar de un incidente de seguridad de este tipo, es motivo de sanción.

aviso alerta

¡Cuidado! Debes notificar las brechas de seguridad en un plazo de 72 horas

Sanciones por incumplimiento

Desde la entrada en vigor del RGPD, el régimen sancionador se endureció, elevando las cuantías de las sanciones. El reglamento europeo solo distingue entre infracciones muy graves (multas de hasta 10 millones de euros o el 2% de la facturación anual) e infracciones graves (multas de hasta 20 millones de euros o el 4% de la facturación anual) y establece una serie de factores a tener en cuenta para determinar la gravedad de las mismas, recogidos en su artículo 83.

La LOPDGDD concreta algo más que el RGPD, aunque mantiene el tipo de infracciones y la cuantía máxima para las sanciones, de manera que la AEPD, que es el órgano sancionador en España puede imponer las siguientes multas administrativas por incumplir con algún aspecto de la normativa de protección de datos:

  • Infracciones leves: sanciones de hasta 40.000 euros (art. 74)
  • Infracciones graves: sanciones de entre 40.000 y 300.000 euros (art. 73)
  • Infracciones muy graves: sanciones que pueden alcanzar los 20 millones de euros o el 4% de la facturación anual (art. 72)

Aparte de estas sanciones, el psicólogo tiene el deber de respetar el secreto profesional y romperlo, salvo en las excepciones que contempla la ley, está castigado con pena de prisión de uno a cuatro años, así como la inhabilitación especial para ejercer entre dos a seis años, tal y como recoge el artículo 199 del Código Penal.

Ejemplos

Son ejemplos de infracciones sancionables en protección de datos para psicólogos:

  • Acceder al historial clínico de un paciente que no se está tratando.
  • Compartir el historial clínico de un paciente con otros psicólogos, de manera que estos puedan identificar al paciente.
  • Enviar o facilitar información clínica del paciente a terceros sin su consentimiento.

Modelos

Aquí te dejo todos los documentos que necesitarás para adaptar tu consulta de psicología a la normativa de Protección de Datos.

protección de datos psicólogos

Preguntas frecuentes

¿Qué es la confidencialidad en la psicología?

La confidencialidad en la psicología es cumplir con la obligación de mantener el secreto profesional entre psicólogo y paciente. Es decir, no el psicólogo puede compartir con terceros o revelar información relativa al tratamiento, las sesiones o el estado de salud del paciente, si este no da su consentimiento para ello.

Los psicólogos están obligados por Ley y por su propio Código Deontológico (art. 40) a mantener el secreto profesional, no hacerlo, como ya hemos visto, es motivo no solo de sanción administrativa, sino también de penas de presión.

Además, el psicólogo tiene también la obligación de velar por que sus colaboradores también guarden dicha confidencialidad.

El psicólogo puede romper el secreto profesional para denunciar un hecho delictivo, es decir, puede romper la confidencialidad para denunciar delitos que puedan poner o estén poniendo ya en peligro la vida, la integridad, la libertad o la seguridad de las personas. El deber de denunciar tiene prevalencia sobre el derecho al secreto en estos casos.

También puede romperse el secreto profesional cuando el psicólogo es llamado a declarar como testigo o perito en un juzgado. Aunque esto no quiere decir que deba hacerlo, puesto que en el momento de declarar, puede informar al juez de su deber de secreto, a partir de ese momento, será el juez quien decida si lo libera de dicho deber para contestar determinadas preguntas.

¿Qué pasa si a un psicólogo le confiesan un crimen?

En este caso y atendiendo a las respuestas anteriores, el psicólogo debe denunciar el delito.

¿Mis pacientes tienen que firmar su consentimiento para tratar sus datos?

Sí, siempre que se recaben datos personales para su tratamiento, es necesario obtener el consentimiento de los interesados. Como ya indicamos, el consentimiento debe ser expreso.

¿Cuánto tiempo puedo guardar los expedientes de mis pacientes?

La Ley reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica, regula específicamente la historia clínica.

Dicha ley determina que se deberá conservar la historia clínica por un periodo de al menos cinco años contados a partir de la fecha de alta del último proceso asistencial. También hay que recordar que podrá conservarse la documentación durante más tiempo a efectos judiciales, si el profesional valora que puede ser conveniente:

  • Por las características de un caso en concreto.
  • Por preverse una reclamación civil como consecuencia de una acción profesional.
  • Porque lo pudiera solicitar un juez.

¿Puedo comunicarme con mis pacientes por email o WhatsApp?

Sí, puedes hacerlo. Pero siempre que tengas el consentimiento de tus pacientes para ello.

Sin embargo, hay que señalar que los servicios de mensajería instantánea no son los adecuados para enviar informes médicos o recetas, especialmente si no están cifrados, puesto que en ese caso está completamente prohibido por la Ley usarlos con ese fin.

¿Puedo realizar sesiones con mis pacientes por videoconferencia?

Este medio de comunicación con los pacientes se usará siempre con un consentimiento expreso en la mano, en aquellos casos en que esté justificado.

Por ejemplo, cuando existen problemas de accesibilidad, si el paciente vive lejos del centro de atención psicológica, si tiene dificultades de movilidad y no puede desplazarse por sí mismo, si está enfermo, para repasar tareas y aclarar dudas sobre lo detallado en la sesión.

Estas herramientas informáticas se usan para asesorar en temas puntuales, para guiar a la persona sobre qué es lo que tiene que hacer para aceptar un tratamiento psicológico o incluso en un caso de urgencia cuando es complicado efectuar una atención de manera presencial.

Se deberá, por tanto garantizar la confidencialidad de los datos exigida por la normativa de protección de datos.

¿Pueden los familiares acceder a la historia clínica del paciente?

Los familiares pueden acceder a la historia clínica si el paciente lo autoriza de forma expresa, por tanto ningún familiar puede acceder a la información del paciente salvo que exista dicho consentimiento o una habilitación legal. Si según el criterio del profesional, el individuo carece de capacidad para entender la información, a causa de su estado físico o psíquico, entonces sí se podrá poner en conocimiento de personas vinculadas por razones familiares o de hecho.

¿Cómo debo realizar la cesión de datos de mis pacientes a otros profesionales?

Tras la evaluación psicológica se puede concluir que es más conveniente que la intervención la realice otro profesional. Si es necesario facilitar datos sobre el paciente, se deberá informar al paciente y solicitar su consentimiento para facilitar dichos datos, o que sea el propio paciente quien los facilite al profesional al que se deriva el caso.

¿Dónde encontrar una empresa especializada en protección de datos para psicólogos?

Si necesitas contratar los servicios de una empresa especializada en protección de datos para psicólogos, te ayudamos a buscar las más cercanas a ti, solicita varios presupuestos, compara y elige la que mejor se adapte a tus necesidades.

¿Necesitas ayuda?

¡Recibe hasta 4 presupuestos! Te ayudamos a encontrar una empresa especializada en la materia de protección de datos para poder resolver todas tus dudas.