Conoce Atico34 - Solicita presupuesto
SanidadSectores

Protección de Datos para psicólogos: Cumple LOPD-GDD y RGPD

¿Vas a abrir o gestionas una consulta de psicología? Entonces te interesa leer este post. En él te contamos todo lo que debes saber sobre la protección de datos para psicólogos. Descubre todas las obligaciones y exigencias del RGPD y la LOPDGDD y adapta correctamente tu consulta a la normativa.

¿Están los psicólogos obligados a cumplir la LOPD-GDD y el RGPD?

Un psicólogo recoge numerosa información personal relativa a sus pacientes. Por tanto, al tratar datos personales de terceros, ya sean pacientes o empleados, los psicólogos deben cumplir con la actual normativa de protección de datos.

Además, los psicólogos tratan con datos personales sensibles, relativos a la salud o a la personalidad de los pacientes. El tratamiento de este tipo de datos especialmente protegidos obliga a cumplir algunos requisitos específicos, como veremos más adelante, por ejemplo, contar con un Delegado de Protección de Datos.

Accede a nuestros servicios de protección de datos para psicólogos desde solo 180 euros al año.

tarifas proteccion datos

¿Qué leyes afectan a psicólogos y centros de psicología?

Las leyes de protección de datos para psicólogos son:

Cumplir con la LOPD en psicología es cumplir con el RGPD en psicología, puesto que la normativa española, como hemos dicho, adapta la ley europea a nuestro ordenamiento jurídico, añadiendo o profundizando algunos aspectos de la ley.

Y para cumplir con la ley de protección de datos para psicólogos, se debe adquirir un mayor compromiso con la privacidad y la gestión de los datos, sobre todo de los pacientes.

Aparte de la LOPD y el RGPD para psicólogos, estos también contemplar lo que dice la ley de confidencialidad del psicólogo.

La confidencialidad en la psicología es cumplir con la obligación de mantener el secreto profesional entre psicólogo y paciente. Es decir, no el psicólogo puede compartir con terceros o revelar información relativa al tratamiento, las sesiones o el estado de salud del paciente, si este no da su consentimiento para ello.

Los psicólogos están obligados por Ley y por su propio Código Deontológico (art. 40) a mantener el secreto profesional, no hacerlo, como ya hemos visto, es motivo no solo de sanción administrativa, sino también de penas de presión.

Además, el psicólogo tiene también la obligación de velar por que sus colaboradores también guarden dicha confidencialidad.

Obligaciones de los centros de psicología con la LOPDGDD y el RGPD

Para adaptar a la LOPDGDD y el RGPD, es necesario que las clínicas de psicología o los psicólogos que trabajen de manera autónoma, cumpla con las obligaciones establecidas en la normativa de manera proactiva, es decir, deben no solo adquirir el compromiso de cumplir con la normativa, sino también llevarlo a cabo adoptando las medidas técnicas y organizativas que garanticen la confidencialidad, integridad y la disponibilidad de los datos personales que tratan.

¿Y cuáles son esas obligaciones del RGPD y la LOPD para psicólogos y clínicas de psicología? Las detallamos en el siguiente punto.

Cómo implantar el RGPD y la LOPD en un centro de psicología

Ten en cuenta que la protección de datos y privacidad en psicología son muy importantes debido al carácter sensible de la información que se maneja de los pacientes.

como tienen que cumplir la normativa rgpd y lopd los psicologos

Cumplir con la protección de datos en psicología es un proceso complejo debido a la propia naturaleza de la profesión, en la que se tratan datos especialmente protegidos. A continuación te decimos cuáles son los pasos a seguir para garantizar una correcta adaptación a la normativa.

Identificar los datos personales de los pacientes

Se deben identificar los tratamientos que contengan datos de carácter personal. Con total seguridad serán datos de:

  • Empleados
  • Pacientes
  • Clientes
  • Proveedores

A continuación, especificar la finalidad para la que se usan esos datos.

Análisis de riesgos

Una vez identificados los datos y previstos los tratamientos de datos que se van a realizar, es necesario hacer los correspondientes análisis de riesgos derivados de esos tratamientos, para determinar las medidas de seguridad a adoptar.

El análisis de riesgos siempre debe hacerse con carácter previo a cualquier tratamiento de datos, puesto que es fundamental para poder decidir y aplicar las medidas técnicas y organizativas necesarias para garantizar la seguridad e integridad de los datos y cumplir así con el requisito de protección de datos desde el diseño y por defecto.

Evaluación de impacto

Es necesario elaborar una Evaluación de Impacto en la Protección de Datos Personales (EIPD) para ciertos tratamientos de datos sensibles, ya que para poder gestionar esta información personal habrá que analizar previamente los riesgos.

En el caso particular de los psicólogos, por la actividad que realizan y el riesgo que pueden suponer para los derechos y libertades de los pacientes, el RPGD obliga a realizar una Evaluación de Impacto.

Registro de actividades de tratamiento

Los responsables y encargados de tratamiento deben realizar el denominado registro de actividades de tratamiento; se trata de un registro en que se recogen todos los tratamientos de datos personales que se efectúan en la clínica (por ejemplo, ficha de pacientes, nóminas, etc.).

El registro de tratamiento debe contener esta información:

  • Identificación y datos de contacto del responsable del tratamiento, del encargado del tratamiento (si lo hay) y del delegado de protección de datos (si lo hay)
  • Fines del tratamiento
  • Descripción de categorías de interesados y datos
  • Descripción de categorías de destinatarios de datos (existentes o previstos)
  • Transferencias internacionales de datos (si las hay)
  • Plazo de conservación previsto
  • Descripción de las medidas de seguridad

El registro de actividades de tratamiento debe mantenerse siempre actualizado, aunque no es necesario inscribirlo en ningún sitio, sí que deberá ponerse a disposición de la Agencia Española de Protección de Datos (AEPD) si esta lo solicita en el transcurso de una inspección.

en que consiste el registro de las actividades de tratamiento del rgpd

Firmar contratos de encargo de tratamiento

En el caso de que la clínica de psicología contrate algún servicio que implique la cesión o comunicación de datos personales de los pacientes al proveedor del servicio, será necesario que la clínica, como responsable del tratamiento, firme un con el proveedor un contrato de encargo de tratamiento.

Este contrato establece las obligaciones respecto a la protección de datos que debe cumplir el encargado de tratamiento, el plazo de la cesión y de la conservación de los datos, así como qué hacer una vez se haya cumplido la finalidad para la que se cedieron o comunicaron los datos.

Acuerdo de confidencialidad

Los datos que se tratan en un centro de psicología pueden llegar a ser muy sensibles, por lo que se debe poner por escrito el compromiso de confidencialidad de los datos que deben firmar los trabajadores, así como también las repercusiones si faltan al mismo. La ley de confidencialidad del psicólogo se ha de cumplir incluso una vez que se ha dejado de trabajar en el centro.

Delegado de Protección de Datos

En este caso en particular, como antes se ha comentado, se pueden llegar a tratar datos de historias clínicas, la normativa exige que se cuente con un una figura de responsabilidad experta en la materia, el Delegado de Protección de Datos.

El artículo 34.f de la LOPDGDD señala que “se exceptúan los profesionales de la salud que, aun estando legalmente obligados al mantenimiento de las historias clínicas de los pacientes, ejerzan su actividad a título individual”.

De manera que para las clínicas de psicología que guarden o custodien historias clínicas de sus pacientes, el Delegado de Protección de Datos es obligatorio. No lo será para aquellos psicólogos que ejerzan a título individual su profesión.

en que consiste la nueva figura del delegado de proteccion de datos. rgpd

Deber de informar

Es necesario informar a los afectados por el tratamiento de, al menos:

  • Identidad del responsable
  • Legitimación para la recogida de los datos, es decir, el por qué del tratamiento de los datos
  • Finalidad del tratamiento
  • Derechos RGPD de los interesados y cómo ejercerlos, incluyendo el interponer una reclamación ante la AEPD

Así mismo, para cumplir con el principio de responsabilidad proactiva, es necesario informar del plazo de conservación de los datos.

Como norma general, el mantenimiento de los historiales y las cuestiones legales se puede extender durante 5 años a contar desde el último tratamiento.

No obstante, dependiendo de la Comunidad Autónoma donde ejerzas hay diferentes plazos para diferente documentación clínica.

Auditorías periódicas

Si bien, ya no existe la obligación literal de realizar auditorías bienales, se recomienda que las clínicas de psicología lleven a cabo estas auditorías de protección de datos, para, por un lado, poder acreditar el cumplimiento de la normativa, y, por otro lado, comprobar si existen problemas o carencias en el cumplimiento de la ley y poder subsanarlos antes de que se produzca una brecha de seguridad.

La auditoría se podrá realizar de forma interna o externa y finalizará con un Informe que determinará si la empresa se adecua o no a la Ley, y en el caso de no cumplir con ella, indicará cuáles son las deficiencias y recomendará las medidas correctoras necesarias.

Y hablando de brechas de seguridad, si se produce un incidente de seguridad que ponga en riesgo los datos personales de los pacientes, la clínica deberá notificarlo a la AEPD y los interesados en un plazo máximo de 72 horas.

Te pueden sancionar si incumples, ¿conoces las preceptivas sanciones?

¿Sabías que si no cumples con la normativa, la Agencia Española de Protección de Datos te podría sancionar? Las multas pueden llegar a ser muy elevadas, en función de la gravedad de la infracción:

  • Infracciones leves: hasta 40.000 euros.
  • Infracciones graves: de 40.000 a 300.000 euros.
  • Infracciones muy graves hasta 20 millones de euros o el 4% de la facturación del último ejercicio.

¿Aplicas correctamente en tu centro de psicología las normativas de protección de datos?

Todos los requisitos de los que te hemos hablado a lo largo del artículo son DE OBLIGADO CUMPLIMIENTO. Es decir, no se trata solo de consejos o recomendaciones, sino de exigencias que marca la ley y que debes cumplir sí o sí.

Entendemos que adaptarse a la normativa puede ser complejo y te puede quitar mucho tiempo que deberías dedicar a atender a tus pacientes. Por eso, estamos aquí para ayudarte.

En Grupo Atico34 nos encargamos de analizar las necesidades de tu negocio y de poner en marcha todas las medidas necesarias para que tu consulta de psicología se adapte al RGPD y la LOPDGDD.

tarifas proteccion datos autonomos

En Atico34, podemos ayudarte, trabajamos con cientos de centros de psicología y psicólogos autónomos

Si quieres evitar estas sanciones económicas, ponte en contacto con nosotros.

En Grupo Atico34 llevamos más de 12 años ayudando a todo tipo de empresas y profesionales a cumplir con la ley de protección de datos.

Nuestro modelo de protección de datos para psicólogos es 100% efectivo y te garantiza cumplir con la ley de protección de datos para autónomos o pymes en muy poco tiempo.

Contamos con profesionales expertos en la materia que se encargarán de todo lo necesario para que cumplas con la nueva ley de protección de datos para psicólogos.

Implantamos todas las medidas necesarias y te ofrecemos una atención personalizada y asesoramiento continuo.

Contacta con nosotros sin compromiso y descubre por qué somos la empresa líder en protección de datos.

Precios para que psicólogos y centros de psicología se adapten a la LOPDGDD/RGPD

Ofrecemos nuestros servicios a precios ajustados para que adaptarte a la normativa de protección de datos no te suponga una gran inversión.

El precio de nuestros servicios de protección de datos para psicólogos es de 180 euros al año. Si tienes un centro de psicología con personal a cargo, también deberás contar con un DPO, en cuyo caso el precio sería de 380 euros al año.

Además, somos conscientes de las dificultades que los profesionales están atravesando a causa del Covid-19, por lo que te ofrecemos facilidades para el pago.

¡Consúltanos sin compromiso!

¿Necesitas un presupuesto? Escríbenos o llámanos al 914 896 419

He leído y acepto la política de privacidad.

Resumen rápido ¿Qué debe hacer (sí o sí) un centro de psicología para cumplir con la ley de protección de datos?

Resumiendo, si quieres cumplir con la normativa debes hacer hincapié en los siguientes puntos:

  1. Tener actualizada y firmada toda la documentación
  2. Firmar compromiso de confidencialidad de empleados
  3. Analizar previamente al tratamiento los riesgos que puede conllevar el mismo
  4. Establecer las medidas de seguridad conforme a los riesgos detectados
  5. Redactar el Registro de las Actividades de Tratamiento
  6. Informar a los interesados del tratamiento de sus datos y derechos
  7. Nombrar un Delegado de Protección de Datos

Preguntas frecuentes

¿Mis pacientes tienen que firmar su consentimiento para tratar sus datos?

Sí, siempre que se recaben datos personales para su tratamiento, es necesario obtener el consentimiento de los interesados. Como ya indicamos, el consentimiento debe ser expreso.

¿Cuánto tiempo puedo guardar los expedientes de mis pacientes?

La Ley reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica, regula específicamente la historia clínica.

Dicha ley determina que se deberá conservar la historia clínica por un periodo de al menos cinco años contados a partir de la fecha de alta del último proceso asistencial. También hay que recordar que podrá conservarse la documentación durante más tiempo a efectos judiciales, si el profesional valora que puede ser conveniente:

  • Por las características de un caso en concreto.
  • Por preverse una reclamación civil como consecuencia de una acción profesional.
  • Porque lo pudiera solicitar un juez.

¿Puedo comunicarme con mis pacientes por email o WhatsApp?

Sí, puedes hacerlo. Pero siempre que tengas el consentimiento de tus pacientes para ello.

Sin embargo, hay que señalar que los servicios de mensajería instantánea no son los adecuados para enviar informes médicos o recetas, especialmente si no están cifrados, puesto que en ese caso está completamente prohibido por la Ley usarlos con ese fin.

¿Puedo realizar sesiones con mis pacientes por videoconferencia?

Este medio de comunicación con los pacientes se usará siempre con un consentimiento expreso en la mano, en aquellos casos en que esté justificado.

Por ejemplo, cuando existen problemas de accesibilidad, si el paciente vive lejos del centro de atención psicológica, si tiene dificultades de movilidad y no puede desplazarse por sí mismo, si está enfermo, para repasar tareas y aclarar dudas sobre lo detallado en la sesión.

Estas herramientas informáticas se usan para asesorar en temas puntuales, para guiar a la persona sobre qué es lo que tiene que hacer para aceptar un tratamiento psicológico o incluso en un caso de urgencia cuando es complicado efectuar una atención de manera presencial.

Se deberá, por tanto, garantizar la confidencialidad de los datos exigida por la normativa de protección de datos.

¿Cómo debo realizar la cesión de datos de mis pacientes a otros profesionales?

Tras la evaluación psicológica se puede concluir que es más conveniente que la intervención la realice otro profesional. Si es necesario facilitar datos sobre el paciente, se deberá informar al paciente y solicitar su consentimiento para facilitar dichos datos, o que sea el propio paciente quien los facilite al profesional al que se deriva el caso.

Otros sectores

6 Comments

Comments are closed.
  • Angeles

    Los informes de pacientes ,derivados a profesionales en psiquiatría, deben ser gratuitos para el paciente,o puedo cobrarles el precio de una visita extra?
    Saludos: (una paciente)

    Citar Comentario

    Citar Comentario

  • Carla Ferrer

    Buenas tardes Ángeles, esos informes deberían ser gratuitos

    Citar Comentario

    Citar Comentario

  • Susana

    Buenas tardes:

    En el apartado “Inscripción de los ficheros” comentas que desde el 25 de mayo de 2018, ya no debe efectuarse la inscripción de los ficheros ante la Autoridad de Control, la Agencia Española de Protección de Datos. Sin embargo comentas, en el punto 5 de la síntesis, indicas que hay que dar de alta los ficheros en la AEPD y redactar el Registro de las Actividades de Tratamiento.

    No me queda claro entonces si hay o no que dar de alta los ficheros en la AEPD.

    Un saludo y muchas gracias.

    Susana

    Citar Comentario

    Citar Comentario

  • Ana González

    Buenas tardes Susana, Ahora no hay que dar de alta los ficheros en la AEPD, el punto estaba redactado incorrectamente. Solo debe elaborarse un registro de actividades de tratamiento que debe tenerlo la propia empresa.

    Citar Comentario

    Citar Comentario

  • margarita

    Buenas tardes:

    Un paciente tiene derecho a reclamar todo su historial incluyendo las herramientas de trabajo como los cuestionarios realizados¿?

    Citar Comentario

    Citar Comentario

  • Marina

    Buenas tardes Margarita, sí el paciente tiene derecho a solicitar todo su historial médico

    Citar Comentario

    Citar Comentario