Qué herramientas de IA puedes usar con datos de pacientes (y cuáles NO)

La IA está transformando muchas tareas del psicólogo: transcripción, redacción de informes, materiales psicoeducativos, análisis de patrones. Pero no todas las herramientas son aceptables para datos clínicos, y la diferencia no es solo legal: tiene impacto real sobre la confidencialidad de tus pacientes.

Este artículo desglosa qué herramientas cumplen, cuáles no, y los criterios concretos que tienes que verificar antes de usar cualquiera con datos de pacientes.

Para el contexto general, ver RGPD para psicólogos.

La pregunta de fondo

¿Qué hace que una herramienta de IA sea apta para datos sanitarios?

No es magia. Es una lista concreta de garantías que la herramienta y su proveedor te dan. Si están todas, es válida. Si falta alguna, no.

Los 8 criterios para evaluar cualquier herramienta

1. Cumplimiento RGPD verificable

• Política de privacidad clara, accesible, específica
• Información sobre tratamiento de datos detallada
• Mecanismos para ejercer derechos (acceso, supresión, portabilidad)

2. DPA firmado

El criterio más importante. Un Contrato de Encargo de Tratamiento (Data Processing Agreement) que el proveedor te firma. Esto formaliza:

• Qué datos trata
• Para qué
• Con qué medidas
• Tu derecho a auditar
• Procedimiento ante incidentes

Sin DPA firmado, no hay cumplimiento. Punto.

3. Servidores en la UE (o garantías equivalentes)

Datos sanitarios procesados/almacenados en la UE: simple y limpio. Si están fuera de la UE, necesitas:

• Cláusulas Contractuales Tipo (SCC) de la Comisión Europea
• O decisión de adecuación del país receptor
• O medidas suplementarias que garanticen nivel equivalente

Para US específicamente, el Data Privacy Framework (DPF) post-Schrems II ofrece marco, pero hay debates sobre su robustez.

4. Cifrado en reposo y en tránsito

Estándar mínimo: AES-256 en reposo, TLS 1.2+ en tránsito. Esto debería estar publicado en su documentación técnica o disponible bajo NDA.

5. No entrenamiento con tus datos

Crítico. Tu proveedor debe garantizar contractualmente que no usa tus datos para entrenar modelos comerciales. Si tus datos sanitarios pasan por sus modelos para mejorarlos, no estás en cumplimiento.

Cláusula típica: "Provider warrants that Customer Data shall not be used for training of any AI/ML models, except where explicitly authorized in writing by Customer."

6. Eliminación de datos garantizada

• Eliminación lógica al solicitarlo
• Eliminación física tras plazo razonable
• No copias de seguridad perpetuas sin justificación
• Procedimiento auditable

7. Transparencia técnica

• Documentación sobre cómo funciona el modelo
• Limitaciones conocidas
• Sesgos identificados
• Control humano sobre las salidas

8. Cumplimiento del AI Act (si procesa datos)

Desde 2024-2025, herramientas de IA en salud entran en el ámbito del AI Act. Verificar:

• Categoría de riesgo del sistema
• Documentación técnica
• Supervisión humana
• Transparencia con usuario final (paciente)

Análisis de herramientas concretas

ChatGPT (OpenAI)

ChatGPT Free y Plus (consumer):

• ⚠️ No es la opción recomendada para datos sanitarios
• En su versión consumer no se firma DPA específico
• Por defecto los datos pueden usarse para mejora del modelo (hay opt-out, con matices)
• Sin garantías reforzadas específicas para datos sanitarios
• No conviene introducir identificadores de pacientes

ChatGPT Team y ChatGPT Enterprise:

• ✅ Pueden cumplir si:
  • Firmas DPA con OpenAI (disponible para Enterprise)
  • Configuras opt-out de entrenamiento (por defecto en Enterprise)
  • Aceptas que servidores principales son fuera UE (necesitas SCC)
• Aún así, sigue habiendo debate sobre adecuación para datos sanitarios sensibles
• Adecuado para tareas con datos no identificables; con identificables es zona gris

API de OpenAI:

• Permite mayor control técnico
• Datos no usados para entrenar por defecto
• Puedes firmar acuerdos comerciales con cláusulas específicas
• Para uso profesional con DPA es viable

Recomendación: si vas a usar OpenAI con datos clínicos, ChatGPT Team/Enterprise con DPA + anonimización + cláusulas específicas. Mejor: usar la API a través de una herramienta intermedia con cumplimiento (PsaicoTools usa este patrón).

Claude (Anthropic)

Claude Free y Pro:

• ⚠️ No es la opción recomendada para datos sanitarios sensibles
• Política similar a OpenAI consumer (sin DPA específico, garantías limitadas)

Claude Team y Enterprise:

• ✅ Pueden cumplir con DPA y configuración correcta
• Anthropic ha sido relativamente transparente sobre privacidad

API de Anthropic:

• Datos no usados para entrenamiento por defecto
• DPA disponible para uso comercial
• Adecuado bajo configuración correcta

Google Gemini

Gemini Free y Advanced (consumer):

• ❌ NO cumple para datos sanitarios
• Datos vinculados a tu cuenta Google

Gemini para Workspace (con DPA Google Workspace):

• ✅ Puede cumplir si tienes Google Workspace empresarial con DPA
• Servidores europeos disponibles en Google Cloud
• Cláusula de no entrenamiento aplicable

Microsoft Copilot

Copilot consumer:

• ❌ NO recomendado para datos sanitarios

Copilot for Microsoft 365 con DPA empresarial:

• ✅ Puede cumplir con configuración correcta
• Microsoft tiene DPA estándar firmable
• Cumplimiento europeo bien documentado

Herramientas específicas para sanidad

PsaicoTools (España):

• ✅ Diseñada específicamente para psicólogos en España
• DPA firmable (artículo 28 RGPD)
• EIPD propia realizada antes del despliegue
• Almacenamiento de datos en servidores de la UE
• Procesamiento de IA del flujo clínico en infraestructura europea (Vertex AI + Azure)
• Cifrado en reposo y en tránsito
• No uso de datos del usuario para entrenar modelos comerciales

Otras opciones europeas:

• Soluciones específicas para psicología y salud mental están emergiendo
• Verificar caso a caso con los criterios del artículo

Soluciones para sanidad general:

• Doxy.me (videollamada con cumplimiento HIPAA y RGPD)
• Nabla (transcripción médica, Francia, RGPD)

Modelos open source locales

Llama (Meta), Mistral, Qwen, etc:

• ✅ Si los corres en tu propio hardware, los datos no salen de tu sistema
• Calidad ha mejorado mucho pero aún no iguala a comerciales grandes
• Requiere capacidad técnica
• Adecuado para profesionales con interés técnico

Cuándo tiene sentido:

• Quieres control total sobre los datos
• Tienes capacidad técnica
• Procesas volumen alto (amortiza el setup)

El patrón que más cumplimiento da

Lo que se ve funcionar mejor en la práctica:

Tu consulta
    ↓
Herramienta especializada con DPA
    (PsaicoTools u otra equivalente)
    ↓
[Internamente: usa API de OpenAI/Anthropic con cláusulas reforzadas]
    ↓
Tú obtienes resultado

Por qué funciona:

• Tú firmas con la herramienta especializada (interlocutor único)
• La herramienta firma con el proveedor de IA con cláusulas reforzadas
• La herramienta añade capa de anonimización si procede
• La herramienta especializa para tu caso de uso (no es genérica)

Las prácticas peligrosas más comunes

1. "Lo subo a ChatGPT pero le quito el nombre"

Quitar el nombre no es anonimización suficiente. Identificadores indirectos (edad + profesión + ciudad + sintomatología específica) pueden permitir reidentificación. Anonimización seria requiere proceso técnico, no solo borrar nombres.

2. "Lo paso por una transcripción gratuita y luego lo edito"

Las transcripciones gratuitas suelen entrenar con tus audios. Y aunque "luego edites", el audio ya pasó por sus servidores y posiblemente por entrenamiento. El daño está hecho.

3. "Lo uso solo para resumir, no para diagnosticar"

La finalidad no cambia la categoría del dato. Un audio de sesión es dato sanitario aunque lo subas para "resumir".

4. "Lo hago con la app del móvil que es solo para mí"

Tu app personal sincroniza con cloud personal. Tu cloud personal no tiene DPA. Tu uso "solo para ti" no anula la responsabilidad sobre el tratamiento.

5. "Es un grupo profesional cerrado de psicólogos"

Compartir casos en grupos cerrados de profesionales sin consentimiento del paciente sigue siendo violación. Aunque solo psicólogos accedan.

Casos de uso clínicos típicos y herramientas

Transcripción de sesión

• ✅ PsaicoTools, herramientas con DPA específico, soluciones empresariales con cláusulas
• ❌ Otter.ai consumer, transcripciones gratuitas, ChatGPT consumer

Generación de informes

• ✅ Igual que arriba
• ❌ Igual que arriba

Análisis de patrones cross-sesión

• ✅ Herramientas específicas con DPA
• ❌ Subir todas las sesiones a una IA genérica para "que me diga qué patrones ve"

Materiales psicoeducativos

• ✅ Cualquier IA, siempre que no contenga datos del paciente
• ✅ Si necesitas adaptar a un caso, hazlo después tú con tu criterio
• ⚠️ Si pides "haz un material para un paciente con [síntomas específicos del paciente]", entras en zona gris

Materiales de psicoeducación general (sin datos de paciente)

• ✅ Cualquier IA es perfectamente válida
• Aprovecha esto: ChatGPT/Claude para crear plantillas, materiales, ejercicios genéricos

Role-play y simulación

• ✅ Casos inventados o con datos completamente disociados
• ❌ Reproducir un paciente real "para practicar"

Supervisión clínica

• ✅ Plataformas específicas con DPA
• ⚠️ Compartir transcripción real con supervisor: requiere consentimiento explícito del paciente

Búsqueda bibliográfica / actualización

• ✅ Cualquier IA es válida (no estás tratando datos de pacientes)
• Útil: Perplexity, ChatGPT, Claude para revisión de literatura

Cómo negociar con un proveedor

Si quieres saber si un proveedor sirve, las preguntas concretas:

1. "¿Tenéis DPA firmable que pueda revisar antes de contratar?"
2. "¿Dónde están físicamente los servidores?"
3. "¿Usáis los datos de mis pacientes para entrenar modelos?"
4. "¿Tenéis EIPD pública del servicio?"
5. "¿Qué medidas técnicas tenéis para datos sanitarios específicamente?"
6. "¿Cómo notificáis brechas? ¿En qué plazo?"
7. "¿Tenéis certificaciones (ISO 27001, ISO 27701)?"
8. "¿Cuál es vuestra política de subencargados?"

Si responden con claridad y por escrito, es proveedor serio. Si te dan largas, mala señal.

El AI Act en perspectiva

El AI Act europeo entró en vigor el 1 de agosto de 2024 con aplicación progresiva. Para psicólogos:

• No prohíbe usar IA en consulta
• Sí exige transparencia con el paciente sobre uso de IA
• Sí exige supervisión humana sobre decisiones
• Sí prohíbe ciertos usos (scoring social, manipulación, inferencia emocional en ciertos contextos)

En la práctica, una consulta de psicología que usa IA como asistente del psicólogo (no como decisor autónomo) está fuera de las categorías de alto riesgo, pero sí debe cumplir requisitos de transparencia.

Si quieres seguir profundizando

Cluster compliance:

• 📖 RGPD para psicólogos: la guía completa
• 📋 ¿Necesitas hacer una EIPD?
• 🎙️ Grabar sesiones de terapia: cómo hacerlo legal
• 🔍 Auditoría de herramientas en consulta

---

¿Quieres una herramienta de IA diseñada específicamente para psicólogos?

PsaicoTools está construida para casos de uso clínicos concretos (informes de sesión, transcripción, simulador de pacientes) con cumplimiento RGPD como prioridad de diseño: DPA firmable, EIPD propia realizada, servidores en la UE, cifrado y no entrenamiento con tus datos.

Prueba 3 sesiones gratis.

---

Disclaimer: información general, no asesoramiento legal cerrado. Las características de las herramientas cambian. Verifica con el proveedor antes de contratar.

Palabras clave: herramientas IA psicología RGPD, ChatGPT datos pacientes, Claude psicología, IA clínica España, AI Act psicología, transcripción IA terapia