Auditoría de herramientas en una consulta de psicología: Zoom, Drive, WhatsApp, ChatGPT y todas las que usas sin pensarlo
Auditar las herramientas que ya usas en tu consulta es lo más costo-efectivo que puedes hacer en cumplimiento. Análisis honesto de las que se ven habitualmente.
La mayoría de psicólogos usa entre 10-15 herramientas digitales en su día a día sin pensar mucho en cuáles son aptas para datos sanitarios. Esto es una bomba de relojería: cada una de esas herramientas es un punto donde puede haber incumplimiento.
Este artículo es una auditoría aplicada de las herramientas más comunes: cuáles cumplen, cuáles no, qué cambiar y cómo hacerlo sin volver a empezar de cero.
Para el contexto general, ver RGPD para psicólogos.
La auditoría que deberías hacer (y nadie te enseña)
Antes de comprar nada nuevo, lo más rentable es revisar lo que ya usas. Tarda una mañana y te puede revelar 3-5 fallos materiales.
Plantilla de auditoría rápida
Para cada herramienta, responde:
| Pregunta | Respuesta |
|---|---|
| ¿Toca datos de pacientes? (sí/no) | |
| ¿Tengo DPA firmado? | |
| ¿Dónde están los servidores? | |
| ¿Usa mis datos para entrenar? | |
| ¿Está en mi RAT? | |
| ¿Funciona con cifrado? |
Si para una herramienta hay varios "no" o "no sé", es candidata a sustituir o reconfigurar.
Análisis herramienta por herramienta
Videollamada
Zoom (versión consumer / Pro personal)
- ⚠️ No es la opción recomendada para terapia clínica regular
- En la versión consumer/Pro individual no hay DPA específico firmable
- Cumplimiento depende de versión y configuración
Zoom Business / Enterprise con BAA/DPA
- ✅ Puede cumplir con DPA firmado y configuración correcta
- Disponible la opción de servidores europeos
- Cifrado end-to-end opcional
Google Meet (consumer / con cuenta personal)
- ❌ NO cumple para clínica
- Vinculado a tu cuenta Google personal sin DPA específico
Google Meet (Workspace empresarial con DPA)
- ✅ Puede cumplir
- Cifrado en tránsito y reposo
- Servidores configurables
Microsoft Teams (consumer)
- ❌ NO cumple
- Igual que otros consumer
Microsoft Teams (Microsoft 365 empresarial con DPA)
- ✅ Puede cumplir
- Cumplimiento bien documentado por Microsoft
- Servidores europeos disponibles
Doxy.me
- ✅ Diseñado específicamente para sanidad
- Se posiciona como cumplidor de HIPAA (US); para RGPD/UE conviene revisar configuración y DPA actual
- DPA firmable según información del proveedor
- Una de las opciones que más se ven en práctica para simplificar este punto
Whereby
- ✅ Solución europea
- DPA disponible
- Cifrado robusto
- Buena alternativa a las grandes
Skype, FaceTime, WhatsApp Videollamada
- ⚠️ No son las opciones recomendadas para terapia clínica regular
- Sin DPA específico firmable, sin garantías sanitarias específicas
- (Skype además está siendo descontinuado por Microsoft)
Almacenamiento en la nube
Google Drive personal
- ❌ NO cumple
- Cuenta personal no tiene DPA
- Compartición de datos vinculada a tu cuenta
Google Workspace empresarial
- ✅ Puede cumplir con DPA firmado
- Servidores configurables
- Cifrado
Dropbox personal
- ❌ NO cumple
Dropbox Business/Enterprise
- ✅ Puede cumplir con DPA
- Buena documentación de seguridad
OneDrive personal
- ❌ NO cumple
OneDrive con Microsoft 365 Business
- ✅ Puede cumplir con DPA empresarial
- Servidores europeos disponibles
iCloud personal
- ❌ NO cumple para clínica
- Apple ofrece Cifrado Avanzado, pero sin DPA específico
Box (Business)
- ✅ Diseñado pensando en cumplimiento empresarial
- DPA disponible
- Buena opción para clínicas
Software clínico con almacenamiento integrado
- ✅ Si está diseñado para sanidad y tiene DPA verificado
- Suelen ser la opción más limpia: un único proveedor con todo en regla
Comunicación con pacientes
WhatsApp (regular)
- ⚠️ Solo válido para gestión administrativa (confirmar cita, recordatorio)
- ❌ NO válido para contenido clínico, envío de informes, audios con contenido sensible
- Sin DPA con Meta para uso profesional
WhatsApp Business
- ⚠️ Igual que WhatsApp regular en términos de cumplimiento
- Algunas funciones organizativas adicionales pero no añade DPA
Email personal (Gmail / Outlook con cuenta personal)
- ❌ NO cumple para envío de informes clínicos
- Sin DPA específico
Email empresarial con dominio propio (Workspace, Microsoft 365)
- ✅ Puede cumplir con DPA
- Mejor si tiene cifrado adicional (PGP/S-MIME para envíos sensibles)
Sistema de mensajería en software clínico
- ✅ Si tu software está pensado para esto y cumple RGPD
- Mejor opción para canal seguro con paciente
Telegram, Signal, etc
- ⚠️ Cifrado bueno pero sin DPA empresarial específico
- Sirven mejor para temas administrativos que clínicos
Calendarios y citas
Google Calendar personal
- ⚠️ Para gestión de tu agenda interna, OK
- Para captura de datos de pacientes nuevos, no recomendable
Google Calendar Workspace
- ✅ Con DPA puede cumplir
Calendly
- ✅ Con DPA firmado y configuración correcta
- Solo recoge datos mínimos en el formulario (nombre, email, motivo)
- Buena opción para gestión de citas
Reservio, Bookwhen, similares
- ✅ Verificar caso a caso (DPA + servidores)
Software de gestión clínica con agenda integrada
- ✅ Opción más limpia: todo bajo un proveedor con DPA
Notas y gestión interna
Notion personal / Pro
- ❌ NO cumple para historia clínica de pacientes
- Sin DPA estándar para uso individual
Notion Business / Enterprise
- ⚠️ Puede cumplir con DPA pero no está diseñado para datos sanitarios
- Mejor opción: software específico
Evernote
- ❌ Igual que Notion personal: NO para datos clínicos
Apple Notes (cifrado)
- ⚠️ Para notas profesionales tuyas sin datos identificables, OK
- ❌ Para notas con datos de pacientes, no es adecuado
Software clínico (Holded, software específico psicología)
- ✅ Si está diseñado para psicología y tiene DPA
- Recomendado para historia clínica
Facturación
Excel / Google Sheets personal
- ⚠️ Para tu contabilidad interna sin datos personales identificables, OK
- Para emisión de facturas, mejor herramienta dedicada
Holded, Quipu, Quaderno, Contasimple
- ✅ Diseñados para España, con DPA, normalmente válidos
- Verificar específico antes de contratar
Stripe (cobro)
- ✅ Cumplimiento bien documentado
- DPA disponible
- Servidores con garantías
PayPal Business
- ✅ Puede cumplir
- DPA disponible
Bizum
- ✅ Para cobros directos sin almacenamiento de datos clínicos
- Sistema bancario español
Transcripción e IA
ChatGPT consumer
- ❌ NO cumple para datos clínicos
- Ver herramientas de IA con datos de pacientes
Otter.ai consumer
- ❌ NO cumple para datos clínicos
Otter.ai Enterprise
- ⚠️ Puede cumplir con configuración correcta pero no específico para sanidad
Whisper (local)
- ✅ Si lo corres en tu propio hardware
- Datos no salen de tu sistema
PsaicoTools
- ✅ Diseñado específicamente para psicólogos en España con foco en cumplimiento RGPD
Nabla (transcripción médica)
- ✅ Empresa francesa, RGPD-first
- Adecuado para sanidad
Marketing y web
WordPress / web con dominio propio
- ✅ Tú controlas el cumplimiento
- Política de privacidad, banner de cookies, formularios con consentimiento
Mailchimp / Brevo / similares (email marketing)
- ✅ Con DPA y solo para marketing (no para envío de informes)
- Listas separadas para distintos propósitos
Google Analytics
- ⚠️ GA4 está mejor que Universal Analytics, pero hay debates sobre transferencia US
- Plausible, Matomo (autohospedado) son alternativas europeas más limpias
Facebook Pixel / Meta Ads
- ⚠️ Captura de datos para anuncios. En tu web médica, considerar con cuidado.
Supervisión y formación
Compartir grabaciones con supervisor por WhatsApp
- ❌ NO cumple
- Hay que usar canal con DPA
Plataforma de supervisión específica
- ✅ Si tiene DPA y consentimiento del paciente
El plan de acción típico
Si haces auditoría y descubres fallos, el orden recomendado:
Semana 1: Lo crítico
- Si usas WhatsApp para enviar informes clínicos, parar inmediatamente
- Si usas ChatGPT consumer con datos identificables, parar inmediatamente
- Si usas Google Drive personal con archivos clínicos, mover a alternativa con DPA
Semana 2-3: Sustitución
- Migrar plataforma de videollamada a una con DPA
- Migrar almacenamiento clínico a herramienta con cumplimiento
- Configurar email empresarial con dominio propio si no lo tenías
Semana 4: Documentación
- Actualizar RAT con todas las herramientas verificadas
- Solicitar/firmar DPAs pendientes
- Actualizar tu cláusula informativa para reflejar las herramientas reales
Mes 2+: Refinamiento
- Plan de incidentes específico para cada herramienta
- Backup de todos los datos antes de eliminar de proveedores antiguos
- Solicitar a proveedores antiguos certificación de eliminación de datos
Lo que casi nadie audita (pero debería)
Tu propio dispositivo
- ¿Tu portátil/móvil tiene cifrado de disco activado?
- ¿Tienes contraseña/biometría robusta?
- ¿Bloqueas la pantalla cuando te alejas?
- ¿Tienes copia de seguridad cifrada?
Tu wifi
- ¿Tu red de consulta tiene contraseña fuerte?
- ¿Está separada de la red de pacientes (wifi de invitados)?
- ¿Tu router tiene firmware actualizado?
Tus contraseñas
- ¿Usas gestor de contraseñas?
- ¿Tienes 2FA en cuentas críticas?
- ¿Reutilizas contraseñas entre servicios?
Estos puntos no aparecen en las auditorías estándar pero son donde más brechas reales ocurren.
El insight contraintuitivo
La gente piensa que cumplimiento RGPD es cuestión de papeleo legal. Más de la mitad del cumplimiento real está en decisiones de herramientas y configuración técnica. Cambiar de WhatsApp a un canal seguro, mover de Drive personal a empresarial, sustituir ChatGPT por una herramienta específica.
Y lo bonito: una vez está bien hecho, te ahorra tiempo todos los días, porque deja de haber fricción entre lo que haces y lo que deberías hacer.
Si quieres seguir profundizando
Cluster compliance:
- 📖 RGPD para psicólogos: la guía completa
- 📋 ¿Necesitas hacer una EIPD?
- 🎙️ Grabar sesiones de terapia: cómo hacerlo legal
- 🤖 Qué herramientas de IA puedes usar con datos de pacientes
¿Buscas una herramienta diseñada para reemplazar varias que ahora no encajan?
PsaicoTools cubre transcripción, generación de informes y simulador de pacientes con cumplimiento RGPD desde el diseño: DPA firmable, EIPD propia realizada, servidores UE, cifrado, no entrenamiento con tus datos. Una sola pieza en lugar de cinco.
Disclaimer: información general, no asesoramiento legal cerrado. Las características de cada producto cambian. Verifica siempre el DPA y configuración actual antes de tomar decisiones.
Palabras clave: auditoría herramientas psicología, RGPD Zoom psicólogo, WhatsApp pacientes legal, Google Drive clínico, ChatGPT psicología cumplimiento
Preguntas frecuentes
¿WhatsApp es válido para coordinar con pacientes?
WhatsApp es válido SOLO para gestión administrativa básica (confirmar cita, recordatorios). NO es válido para contenido clínico, envío de informes, fotos relacionadas con la sesión, ni audios con contenido sensible. Para esto necesitas canal con DPA o sistema integrado en tu software de gestión.
¿Puedo usar Google Drive para guardar informes?
Google Drive personal NO. Necesitas Google Workspace (versión empresarial) con DPA firmado. Esto requiere cuenta empresarial diferenciada de tu Drive personal, separación clara de archivos clínicos, y configuración de acceso adecuada.
¿Calendly cumple para gestionar citas con pacientes?
Calendly puede cumplir si firmas su DPA y configuras correctamente: solo recoges datos mínimos (nombre, email, motivo de cita), no datos clínicos en el formulario. Para datos sanitarios sensibles usa software de gestión clínica específico.
¿Notion sirve para mi historia clínica?
Notion estándar NO cumple para historia clínica. Notion Business/Enterprise puede cumplir con DPA, pero para datos sanitarios la recomendación es software específico de gestión clínica con cumplimiento sanitario verificado.
¿Cuál es la auditoría mínima de mis herramientas?
Lista todas las herramientas que tocan datos de pacientes, verifica DPA firmado con cada una, revisa servidores y cumplimiento RGPD, comprueba que no entrenan con tus datos, documenta todo en tu RAT. Esto es una mañana de trabajo si lo haces ordenado.
¿Qué pasa si descubro que una herramienta que uso no cumple?
Pasos: 1) Documenta lo que has descubierto, 2) Migra los datos a una alternativa que cumpla, 3) Solicita eliminación al proveedor anterior, 4) Actualiza tu RAT y EIPD, 5) Si ha habido tratamiento sistemático, evalúa si procede notificación. Cambia primero, perfecciona después.
Sobre PsaicoTools
PsaicoTools es un software de documentación clínica con IA creado por psicólogos en activo. Automatizamos la transcripción de sesiones terapéuticas y la generación de informes estructurados para que puedas centrarte en tus pacientes. Servidores en la UE, GDPR compliant y DPIA completado.