¿Necesitas hacer una EIPD en tu consulta psicológica? Cómo decidirlo bien
EIPD aplicada a una consulta de psicología real. Cuándo es obligatoria, cómo hacerla, cuánto cuesta, qué incluye. Sin tecnicismos vacíos, con criterio práctico.
La EIPD (Evaluación de Impacto en Protección de Datos) es uno de los conceptos del RGPD que más confusión genera. Para muchos psicólogos suena a algo carísimo, misterioso, que solo pueden hacer abogados. La realidad es bastante más manejable.
Este artículo va al grano: qué es, cuándo es obligatoria en una consulta de psicología, cómo abordarla y cuánto cuesta.
Para el contexto general, ver RGPD para psicólogos.
Qué es exactamente una EIPD
Es un proceso documentado que el responsable del tratamiento (tú) hace antes de iniciar un tratamiento de datos que pueda implicar riesgo alto para los derechos de las personas.
No es:
- Un certificado que alguien externo te da
- Una auditoría que se pasa o no se pasa
- Un PDF que recoges del despacho del abogado y guardas en cajón
Sí es:
- Un análisis sistemático de riesgos
- Una declaración de medidas para mitigarlos
- Un documento vivo que se revisa
- Un proceso del que tú sigues siendo responsable aunque otros te ayuden
Esto último es importante: aunque contrates a un despacho que te haga la EIPD, la responsabilidad sigue siendo tuya. No te exime de nada.
Cuándo es obligatoria en consulta psicológica
La AEPD usa el concepto de "alto riesgo" basándose en criterios del Comité Europeo de Protección de Datos (EDPB). Si tu tratamiento cumple dos o más criterios, EIPD obligatoria.
Criterios aplicables a una consulta:
| Criterio | ¿Aplica a tu consulta? |
|---|---|
| Datos de categoría especial (salud) | SÍ siempre |
| Tratamiento sistemático y exhaustivo | SÍ si llevas seguimiento clínico |
| Datos de personas vulnerables (menores, pacientes en crisis) | SÍ según tu población |
| Tratamiento a gran escala | Depende del volumen |
| Uso de nuevas tecnologías (IA) | SÍ si usas IA |
| Decisiones automatizadas con efectos significativos | Probablemente no |
| Evaluación o scoring sistemático | Depende del enfoque |
| Combinación de datasets | Si combinas con datos externos |
| Vigilancia sistemática | Si grabas sistemáticamente |
En la práctica, casi cualquier consulta seria cumple al menos 2-3 criterios. Por tanto, la EIPD es prácticamente la norma para psicología clínica privada.
Casos donde es absolutamente obligatoria
- Si grabas sesiones (con consentimiento) sistemáticamente: vigilancia + datos sensibles + nuevas tecnologías = sí
- Si usas IA con datos clínicos (transcripción, análisis, generación de informes): nuevas tecnologías + categoría especial = sí
- Si trabajas con menores en seguimiento clínico: vulnerables + categoría especial + sistemático = sí
- Si tienes >50-100 pacientes activos: gran escala + categoría especial = sí
- Si compartes datos con derivantes / aseguradoras / empresas: combinación + sensibles = sí
Casos donde puede no ser estrictamente obligatoria
- Consulta individual con menos de 30-50 pacientes activos
- Sin grabación de sesiones
- Sin IA en flujo clínico
- Sin trabajo con menores
- Sin compartición sistemática con terceros
Pero incluso aquí, hacerla es defendible y útil. Da orden mental, identifica riesgos que no veías, y te protege en caso de inspección.
La estructura de una EIPD para consulta
Una EIPD aplicada a una consulta tiene 7 secciones principales:
1. Descripción del tratamiento
- Nombre del tratamiento ("atención psicológica privada")
- Responsable (tu nombre, NIF, datos de contacto)
- DPD si lo tienes
- Tipos de datos tratados
- Categorías de afectados
- Finalidades
- Bases jurídicas
- Plazos de conservación
- Destinatarios y subencargados
2. Necesidad y proporcionalidad
- ¿Por qué este tratamiento es necesario? (atención sanitaria privada)
- ¿Es proporcional a la finalidad? (¿pides más datos de los necesarios?)
- ¿Hay alternativas menos invasivas? (¿podrías no grabar y aún así dar buen servicio?)
3. Mapa del tratamiento
Diagrama o descripción del flujo de los datos:
- Cómo entran (paciente te contacta, te da datos)
- Dónde se almacenan (software de gestión, cloud, papel)
- Quién los procesa (tú, gestoría, software con IA)
- Quién los recibe (nadie, derivantes, aseguradoras)
- Cuándo y cómo se eliminan
4. Identificación de riesgos
Lista de riesgos para los derechos del paciente:
- Acceso no autorizado a datos clínicos
- Pérdida de datos
- Uso indebido por proveedor (proveedor IA usa datos para entrenar)
- Filtración accidental (envío a paciente equivocado)
- Brecha de seguridad
- Discriminación por filtración
Para cada uno: probabilidad, impacto, riesgo combinado.
5. Medidas para mitigar riesgos
Para cada riesgo identificado, medidas técnicas y organizativas:
- Cifrado
- Control de acceso
- Backup
- DPA con proveedores
- Formación profesional propia
- Procedimientos internos
- Plan de incidentes
6. Riesgo residual
Tras las medidas, ¿qué riesgo queda? Si sigue siendo alto, consulta previa a la AEPD antes de iniciar. Si es medio o bajo, puedes proceder.
7. Validación y revisión
- ¿Quién valida? (tú como responsable; DPD si lo tienes; despacho como apoyo)
- ¿Cuándo se revisa? (anual, ante cambios significativos)
- Firma y fecha
Cómo abordarla en práctica
Opción A: hazlo tú con apoyo puntual
Recomendado para autónomos sin recursos para subcontratar todo.
- Descarga las plantillas de la AEPD (modelos gratuitos)
- Bloquea 4-6 horas en 2-3 sesiones
- Rellena cada sección con honestidad (mejor decir "no tengo esto" que rellenarlo con copia-pega)
- Identifica los puntos donde dudas
- Contrata 1-2 horas con un DPD o despacho para validar y resolver dudas (200-500€)
- Aplica las medidas que aún no tienes
- Firma, archiva y agenda revisión anual
Ventajas: barato, te obliga a entender tu propio tratamiento, control total.
Desventajas: te lleva tiempo, puedes pasar por alto cosas si no sabes qué buscar.
Opción B: subcontratación completa
Recomendado para clínicas o cuando tu tiempo vale más que el coste.
- Buscas despacho especializado en RGPD sanitario
- Te hacen entrevista para mapear tratamiento (1-2 reuniones)
- Te entregan EIPD redactada
- Tú validas y firmas
- Despacho te ofrece soporte para revisiones
Coste: 800-3.000€ según despacho y complejidad.
Ventajas: rápido, completo, defendible si te toca inspección.
Desventajas: caro, riesgo de quedar como documento muerto si no entiendes qué dice.
Opción C: herramienta asistida (en evolución)
Hay herramientas (incluyendo cosas en las que estamos trabajando en PsaicoTools) que automatizan gran parte del trabajo previo: cuestionario guiado, identificación automática de riesgos típicos, generación de borrador, sugerencia de medidas.
Esto no reemplaza la validación humana ni el criterio profesional. Pero puede reducir mucho el tiempo de hacer la primera versión.
Coste: menor, normalmente bajo suscripción o pago único.
Ventajas: velocidad, consistencia, fácil de actualizar.
Limitaciones: todavía evolucionando; no sustituye criterio profesional en casos complejos.
La pregunta clave que deberías hacerte
Antes de pensar en cómo hacer la EIPD, plantéate esto:
Si mañana hay una brecha de datos en mi consulta y un paciente me denuncia, ¿estoy en condiciones de demostrar que tomé medidas razonables?
Si la respuesta es no, la EIPD es lo primero que tienes que hacer.
Si es sí pero "más o menos", una EIPD bien hecha consolida lo que tienes y revela huecos que no veías.
Errores frecuentes en EIPDs
Error 1: copiar plantillas sin entenderlas
Una EIPD copiada de internet con tu nombre puesto encima es peor que no tenerla. La AEPD detecta inconsistencias inmediatamente y suma a la sanción.
Error 2: hacerla solo para tener un documento
Si no la actualizas, no aplicas las medidas que dice, y vives ignorándola, no te protege. Es un proceso vivo.
Error 3: subestimar el uso de IA
Mucha gente que está usando ChatGPT en su flujo no se ha replanteado la EIPD. Cualquier herramienta de IA con datos clínicos exige revisar el análisis de riesgos.
Error 4: no contar al paciente que estás haciendo cosas con sus datos
Tu cláusula informativa debería reflejar lo que dice tu EIPD. Si tienes EIPD que dice "uso transcripción IA" pero el paciente firmó un consentimiento que no menciona IA, hay incoherencia legal.
Error 5: olvidar la consulta previa cuando procede
Si tu riesgo residual es alto y procedes igual sin consultar a la AEPD, eso es una infracción separada e independiente del tratamiento subyacente.
El insight contraintuitivo
Aquí va una idea que cambia cómo se ve este tema:
Una EIPD bien hecha no es un coste. Es la forma más barata de tener una consulta organizada y defendible.
Porque te obliga a:
- Saber qué datos tratas (mucha gente no lo sabe del todo)
- Saber dónde están (mucha gente lo tiene disperso)
- Saber con quién los compartes (mucha gente no tiene DPA con sus proveedores)
- Saber qué pasa si algo falla (mucha gente no tiene plan)
Y todo eso, una vez está hecho, te ahorra problemas en cascada: inspecciones, brechas, denuncias, rotación de proveedores con datos colgados.
Lo que estamos explorando
Una de las razones por las que escribo este artículo es porque, mirando el panorama, vemos que la EIPD se está vendiendo como algo místico y carísimo cuando una parte muy grande del proceso es estructurable. La AEPD ya tiene plantillas, ya tiene la herramienta Evalúa-Riesgo RGPD, ya tiene Asesora Brecha. La dirección está clara: cumplimiento asistido por software.
En PsaicoTools estamos explorando cómo bajar todavía más esa barrera para psicólogos individuales y clínicas pequeñas. No para sustituir al DPD ni al abogado, sino para que el 80% del trabajo previo sea más rápido, sectorizado y útil.
Si te interesa este tipo de exploración, escríbeme.
Si quieres seguir profundizando
Cluster compliance:
- 📖 RGPD para psicólogos: la guía completa
- 🎙️ Grabar sesiones de terapia: cómo hacerlo legal
- 🤖 Qué herramientas de IA puedes usar con datos de pacientes
- 🔍 Auditoría de herramientas en consulta
¿Quieres una herramienta de IA con EIPD ya hecha del lado del proveedor?
PsaicoTools hizo su propia EIPD antes de desplegar el servicio. Tienes nuestro Acuerdo de Encargo de Tratamiento firmable. Eso significa que cuando te toque hacer la tuya, una parte importante del análisis de proveedor ya está cubierta desde nuestro lado.
Disclaimer: información general, no asesoramiento legal cerrado. Para casos críticos, valida con DPD certificado o despacho especializado.
Palabras clave: EIPD psicología, evaluación de impacto protección de datos, DPIA consulta psicológica, AEPD psicología, alto riesgo tratamiento datos salud
Preguntas frecuentes
¿Qué es exactamente una EIPD?
Una Evaluación de Impacto en Protección de Datos (EIPD, o DPIA en inglés) es un proceso documentado para identificar y minimizar los riesgos de un tratamiento de datos sobre los derechos y libertades de las personas. La AEPD la define como un análisis previo y sistemático del tratamiento.
¿Es obligatoria para todas las consultas psicológicas?
No para todas, pero sí en bastantes casos. La AEPD considera obligatoria la EIPD cuando hay tratamiento a gran escala de datos de categoría especial (salud), uso sistemático de nuevas tecnologías (IA), evaluación o scoring sistemático, decisiones automatizadas, o tratamiento de menores. Si grabas sesiones, usas IA con datos clínicos, o tratas más de 50-100 pacientes activos, probablemente sí.
¿La puedo hacer yo o necesito un abogado?
Puedes empezarla tú. La AEPD ofrece plantillas y la herramienta Evalúa-Riesgo RGPD. Lo razonable es hacer el 70-80% del trabajo tú (descripción, identificación de riesgos, propuesta de medidas) y validar las conclusiones con un DPD o despacho especializado, especialmente si el riesgo residual es alto.
¿Cuánto tiempo lleva hacer una EIPD?
Una EIPD bien hecha para una consulta individual puede tardar entre 8-20 horas distribuidas en varias sesiones. Si la subcontratas completa, los honorarios típicos van de 800-3.000€ según despacho y complejidad. Si la haces tú con apoyo puntual, el coste baja a 200-600€.
¿La EIPD se hace una vez y ya está?
No. Hay que actualizarla cuando cambian los riesgos, las tecnologías o el alcance del tratamiento. Si introduces una herramienta nueva (cambias de software, empiezas a usar IA, abres una nueva línea), debes revisarla. La AEPD recomienda revisión periódica cada 1-3 años incluso sin cambios.
¿Qué pasa si el riesgo residual sigue siendo alto?
Si tras aplicar todas las medidas el riesgo residual sigue siendo alto, debes hacer consulta previa a la AEPD antes de iniciar el tratamiento. Esto es raro en consulta individual pero puede pasar en clínicas grandes que combinan IA, datos sensibles y volumen alto.
Sobre PsaicoTools
PsaicoTools es un software de documentación clínica con IA creado por psicólogos en activo. Automatizamos la transcripción de sesiones terapéuticas y la generación de informes estructurados para que puedas centrarte en tus pacientes. Servidores en la UE, GDPR compliant y DPIA completado.