RGPD para psicólogos en 2026: la guía que de verdad necesitas

El RGPD no se diseñó pensando en consultas pequeñas de psicología, pero te aplica como si fueras un hospital. Esto crea un problema: la mayoría de guías son demasiado genéricas (te dicen "haz un RAT" sin decirte cómo) o demasiado jurídicas (te marean con artículos sin aterrizar).

Este artículo va a aterrizarlo. Qué necesitas, en qué orden, con qué nivel de profundidad, según el tipo de consulta que tengas.

Si quieres ir directo a temas específicos:

• 🎙️ Grabar sesiones de terapia: cómo hacerlo legal, ético y útil
• 🤖 Qué herramientas de IA puedes usar con datos de pacientes
• 🔍 Auditoría de herramientas en consulta: Zoom, Drive, WhatsApp, ChatGPT
• 📋 ¿Necesitas hacer una EIPD en tu consulta?

La idea fundamental que todo lo organiza

Los datos psicológicos son datos de salud. Y datos de salud son categoría especial según el artículo 9 del RGPD. Esto cambia el juego completamente:

Esto no es burocracia. Es el motivo por el que tu vecino que vende croquetas tiene menos obligaciones que tú aunque facture mucho más.

Los 6 elementos que tu consulta debe tener (sí o sí)

1. Registro de Actividades de Tratamiento (RAT)

Tu documento más básico. Lista los tratamientos de datos que haces:

• ¿Qué datos? (nombre, contacto, historia clínica, sintomatología, audio si grabas, etc.)
• ¿Para qué? (atención sanitaria, facturación, gestión de citas)
• ¿Cuál es la base jurídica? (consentimiento explícito + obligación contractual sanitaria)
• ¿Quién accede? (tú, gestoría, proveedor de software)
• ¿Cuánto tiempo lo conservas? (normalmente 5 años por normativa sanitaria)
• ¿A quién se transmite? (proveedores con DPA firmado)
• ¿Hay transferencias internacionales? (si usas software con servidores fuera UE, sí)

Cómo hacerlo en práctica: la AEPD tiene plantillas de RAT descargables. Adáptala a tu caso. No necesitas un documento de 50 páginas; uno de 3-5 páginas serio y honesto vale más que un PDF con cláusulas copiadas.

2. Política de privacidad pública (si tienes web)

Documento accesible desde tu web que cubre:

• Quién es el responsable del tratamiento (tú, datos completos)
• Qué datos se recogen y cómo
• Para qué se usan
• Cuáles son los derechos del usuario y cómo ejercerlos (acceso, rectificación, supresión, portabilidad, oposición)
• Cuánto tiempo se conservan
• Si hay cookies, banner de cookies con configuración real

Error frecuente: copiar la política de privacidad de otra web. Un inspector lo nota inmediatamente porque hay incoherencias (mencionan productos que no tienes, datos que no tratas).

3. Cláusula informativa para el paciente

El documento que firma el paciente al inicio. Debe cubrir:

Información clínica (consentimiento informado):

• Quién eres profesionalmente, tu colegiación
• Qué tipo de intervención propones
• Confidencialidad y sus excepciones legales
• Honorarios y política de cancelación

Información sobre datos:

• Qué datos vas a tratar
• Para qué
• Quién accede
• Durante cuánto tiempo
• Sus derechos y cómo ejercerlos
• Si grabas sesiones o usas IA, mención específica

Lo ideal: un documento de 2-3 páginas que el paciente lee y firma en la primera sesión. Si es muy largo nadie lo lee, si es muy corto no cubre los requisitos.

4. Contrato de encargo de tratamiento (DPA)

Para cada proveedor que toque tus datos: software de gestión, almacenamiento cloud, transcripción, gestoría, software de facturación, plataforma de videollamada.

Un DPA bien hecho recoge:

• Qué datos se tratan
• Para qué
• Medidas de seguridad del proveedor
• Plazo de conservación
• Procedimiento ante incidentes
• Subencargados (si el proveedor a su vez usa otros servicios)

Realidad práctica: los proveedores serios te lo facilitan firmado o en su sede. Los que se hacen los locos cuando lo pides son señal de alarma. Si no te firman un DPA, no uses ese proveedor para datos clínicos.

Detalle por proveedor en auditoría de herramientas en consulta.

5. Plan de respuesta a incidentes

Documento corto (1-2 páginas) con qué hacer si:

• Pierdes el portátil con datos clínicos
• Te roban una cuenta de email o software
• Envías un informe al paciente equivocado
• Hay un acceso no autorizado a tu sistema
• Detectas un fallo de seguridad en un proveedor

Plazos legales clave:

• 72 horas para notificar a la AEPD si hay riesgo para los derechos del afectado
• Notificar al paciente afectado si el riesgo es alto
• Documentar internamente todos los incidentes (incluso los que no requieren notificación)

La AEPD tiene la herramienta Asesora Brecha que te ayuda a decidir si procede notificación. Úsala como apoyo, no como sustituto del criterio profesional.

6. Evaluación de Impacto (EIPD), si aplica

Si tratas datos a escala, grabas sesiones, usas IA o trabajas con menores, probablemente sí necesitas EIPD. Es un proceso que documenta:

• Descripción del tratamiento
• Necesidad y proporcionalidad
• Riesgos para los derechos y libertades
• Medidas para abordarlos

No es un documento mágico que solo puede hacer un abogado. Es un proceso estructurado que tú puedes empezar (con apoyo profesional cuando haga falta).

Detalle en ¿Necesitas hacer una EIPD?.

Casos prácticos: qué necesitas según tu modelo

Caso A: Consulta individual presencial, 5-15 pacientes activos, sin grabar

Lo mínimo:

• RAT
• Política de privacidad si tienes web
• Cláusula informativa firmada
• DPA con software de gestión + gestoría
• Plan de incidentes básico

Probablemente sí:

• EIPD ligera (datos de salud + tratamiento sistemático)

No necesario:

• DPD (Delegado de Protección de Datos) propio

Caso B: Consulta online + presencial, sin grabar

Igual que A más:

• DPA con plataforma de videollamada
• DPA con almacenamiento cloud
• Mención específica del formato online en la cláusula informativa

Caso C: Consulta que graba sesiones (con consentimiento)

Igual que A o B más:

• EIPD obligatoria de facto
• Consentimiento separado y específico para grabación
• Política específica de tratamiento de audio (cifrado, almacenamiento, plazo, eliminación)
• Asesoramiento profesional (DPD externo o despacho)

Detalle en grabar sesiones: cómo hacerlo legal y útil.

Caso D: Consulta que usa IA con datos clínicos

Igual que A, B o C más:

• DPA con el proveedor de IA con cláusulas específicas
• EIPD que cubra el uso de IA
• Cumplimiento del AI Act europeo (en vigor desde el 1 de agosto de 2024, aplicación por fases hasta agosto de 2026 para sistemas de alto riesgo)
• Información al paciente sobre el uso de IA y posibilidad de negarse

Caso E: Clínica con varios profesionales

Sube significativamente:

• DPD designado (interno o externo)
• Tratamiento más complejo (compartición de datos entre profesionales con misma cobertura)
• Procedimientos internos formalizados
• Asesoramiento legal recurrente

Las 5 brechas de cumplimiento más frecuentes

He hablado con bastantes psicólogos y revisado bastantes consultas. Estos son los fallos que más se ven:

1. Plantillas de consentimiento copiadas y desactualizadas

La mayoría de psicólogos tienen su consentimiento informado desde hace años, sin actualizar. No cubre online, no cubre IA, no cubre el detalle de tratamiento de datos del RGPD.

2. Almacenamiento clínico en herramientas personales

Google Drive personal, OneDrive personal, Dropbox personal. Estas cuentas no tienen DPA y no cumplen. Hay versiones empresariales (Google Workspace, Dropbox Business) que sí cumplen, pero requieren cuenta empresarial separada.

3. WhatsApp para coordinar contenido clínico

WhatsApp está bien para gestionar citas. No está bien para discutir contenido clínico ni enviar informes. El cifrado de WhatsApp es bueno, pero no hay DPA con Meta, los datos pasan por sus servidores y la AEPD no lo considera apropiado para datos sanitarios.

4. ChatGPT (consumer) con datos de pacientes

Subir transcripciones de sesión, fragmentos de informe o consultas con datos identificables a ChatGPT consumer es una violación clara. Hay alternativas (PsaicoTools, herramientas con DPA, ChatGPT Enterprise con cláusulas).

5. Sin plan ante incidentes

La mayoría no tiene escrito qué hacer si pierde el portátil. Cuando pasa, se entra en pánico, se notifica tarde o no se notifica, y eso multiplica el problema.

Lo que la inspección realmente mira

Si te tocara una inspección de la AEPD o de tu CCAA, no van a leer 200 páginas. Van a mirar:

1. Cartelería en consulta (responsable, número de registro sanitario, derechos)
2. Tu cláusula informativa firmada por algunos pacientes (muestreo)
3. Tu RAT actualizado
4. Las medidas de seguridad reales: dónde guardas los datos, con quién, contraseñas, encriptación
5. DPA con tus proveedores principales
6. Tu respuesta a incidentes pasados (si los ha habido)

Si esos seis elementos están razonablemente bien, una inspección no va a ser un drama. Si fallan, sí.

El AI Act europeo: la nueva pieza

Desde el 1 de agosto de 2024, con aplicación por fases, el AI Act regula el uso de IA en Europa. Para psicólogos, lo relevante es:

• Clasifica sistemas de IA por riesgo. Algunos usos en salud son "alto riesgo" y requieren documentación, supervisión humana, transparencia, gestión de riesgos.
• No prohíbe usar IA en psicología. Lo regula. Si la IA es asistente del psicólogo (no decisor autónomo), normalmente no entra en categoría alto riesgo.
• Sí prohíbe ciertos usos: scoring social, manipulación cognitiva, sistemas de inferencia emocional en ciertos contextos.

Tu obligación si usas IA en consulta:

• Saber qué hace la herramienta
• Tener supervisión humana sobre las decisiones
• Informar al paciente
• Documentar uso

No es astronomía. Pero ignorarlo es una opción que se puede pagar caro en los próximos años.

La parte que casi nadie te dice

Cumplir RGPD no es solo defensa legal. Es también:

• Una ventaja competitiva: cada vez más pacientes preguntan
• Un filtro de calidad de proveedores: los que cumplen son los serios
• Una manera de pensar tu consulta como empresa: te obliga a tener orden

Y hay un tercer punto que mucha gente olvida: la mayoría del trabajo de cumplimiento RGPD es estructurable. No requiere abogado para todo. Requiere abogado para validar, defender, casos complejos, y para situaciones de alto riesgo. Para el 80% inicial (RAT, plantillas, política, cláusulas, DPA), lo razonable es:

1. Hacer el trabajo de pre-compliance tú mismo o con apoyo de herramientas
2. Validar con un DPD o despacho los puntos críticos
3. Mantenerlo vivo (no documento muerto en cajón)

Si quieres ir más profundo

Otros artículos del cluster compliance:

• 📋 ¿Necesitas hacer una EIPD en tu consulta?
• 🎙️ Grabar sesiones de terapia: cómo hacerlo legal
• 🤖 Qué herramientas de IA puedes usar con datos de pacientes
• 🔍 Auditoría de herramientas en consulta

Para abrir consulta desde cero:

• 📖 Guía completa: cómo abrir consulta psicológica
• ✅ Checklist completa de apertura

---

¿Quieres una herramienta de IA construida pensando en RGPD desde el inicio?

PsaicoTools está diseñada específicamente para psicólogos en España con cumplimiento RGPD como prioridad de diseño:

• Acuerdo de Encargo de Tratamiento (DPA) disponible y vinculante (artículo 28 RGPD)
• Evaluación de Impacto en Protección de Datos (EIPD) realizada antes del despliegue
• Almacenamiento de datos en servidores de la Unión Europea
• Procesamiento de IA del flujo clínico en infraestructura europea (Vertex AI + Azure OpenAI Service)
• Cifrado en reposo y en tránsito
• No uso de tus datos para entrenar modelos comerciales
• Datos tratados con la categoría especial de datos de salud

Prueba 3 sesiones gratis sin tarjeta ni compromiso.

---

Disclaimer importante: este artículo es informativo, no asesoramiento legal cerrado. Para situaciones concretas, especialmente si tu modelo es complejo o has detectado un incidente, consulta con un Delegado de Protección de Datos certificado o un despacho especializado en RGPD sanitario.

Palabras clave: RGPD psicología, protección de datos psicólogo, datos de salud psicología España, AEPD psicólogo, AI Act psicología, consentimiento informado RGPD, EIPD psicología clínica, DPA psicólogo