Cómo elegir un software para psicólogos seguro: las preguntas que debes hacer antes

El problema que nadie plantea bien

Cuando un psicólogo elige software, normalmente compara agenda, facturación, historia clínica, precio. Lo que casi nadie compara es lo que más importa si algo sale mal: qué pasa con los datos de sus pacientes.

Esos datos no son cualquier dato. Son información de salud mental, categoría especial bajo el RGPD, con las obligaciones más estrictas del reglamento y las sanciones más altas en caso de incumplimiento. Son también datos que tus pacientes te han confiado en un contexto de máxima vulnerabilidad.

Elegir bien el software que los custodia no es un trámite burocrático. Es una decisión que afecta directamente a la relación terapéutica y a tu responsabilidad legal como profesional.

Este post no es para asustarte. Es para que tengas las preguntas correctas, las que deberías hacerle a cualquier proveedor, incluido el que ya usas.

Por qué los datos de una consulta psicológica son especialmente sensibles

No todos los datos personales son iguales ante el RGPD. Los datos de salud mental pertenecen a la categoría especial, lo que implica obligaciones más estrictas, plazos de notificación ante la AEPD más cortos (72 horas desde la detección de una brecha), y sanciones potenciales más altas: hasta 20 millones de euros o el 4% de la facturación global del proveedor infractor.

El psicólogo es el responsable del tratamiento, siempre

Aunque uses software de un tercero, ante la ley y ante tus pacientes eres tú quien responde. Si el proveedor tiene un problema de seguridad, tú tienes que notificarlo. El proveedor es solo el encargado del tratamiento, y esa distinción es fundamental a la hora de elegir.

La sensibilidad va más allá de los nombres y apellidos

Las historias clínicas psicológicas contienen información que el paciente no ha compartido con nadie más. Si esos datos se exponen, el daño no se limita a una infracción administrativa. Afecta a personas reales en situación de vulnerabilidad.

Las 7 preguntas que tienes que poder responder

Estas preguntas funcionan como un test rápido para evaluar cualquier software que uses o estés considerando. Si tu proveedor no puede responderlas con claridad, tienes información útil sobre su nivel de madurez en seguridad.

1. ¿Dónde están almacenados físicamente los datos de tus pacientes?

Respuesta aceptable: Servidores dentro de la Unión Europea, con identificación del país y del proveedor de infraestructura (AWS Frankfurt, Google Cloud Madrid, Azure West Europe, etc.).

Señal de alerta: Respuesta vaga del tipo "en la nube" sin especificar ubicación, o servidores fuera de la UE sin cláusulas de transferencia internacional que cumplan el RGPD. Los datos de salud no pueden salir de la UE sin garantías legales explícitas.

2. ¿Los datos están cifrados en reposo y en tránsito?

Respuesta aceptable: Cifrado AES-256 en reposo y TLS 1.2 o superior en tránsito. El proveedor debe poder especificar el estándar, no solo decir "usamos cifrado".

Señal de alerta: Respuestas genéricas del tipo "contamos con medidas de seguridad avanzadas" sin detalles. Cifrar en tránsito pero no en reposo (o viceversa) no es suficiente. Si el proveedor no puede o no quiere especificar, es una señal de que no hay mucho que especificar.

3. ¿Tienes firmado un DPA (contrato de encargado del tratamiento) con el proveedor?

Respuesta aceptable: Sí, disponible y firmado antes del primer uso. Debe incluir descripción de los tratamientos de datos, medidas técnicas y organizativas, subencargados autorizados, y protocolo en caso de brecha de seguridad.

Señal de alerta: No existe contrato específico, o el proveedor dice que "ya está incluido en los términos de servicio generales". No es lo mismo, y no cumple con el artículo 28 del RGPD. Sin DPA firmado, el psicólogo está incumpliendo, independientemente de lo que haga el proveedor.

4. ¿Qué pasa si hay una brecha de seguridad?

Respuesta aceptable: El proveedor te notifica en menos de 24 a 48 horas desde la detección, te proporciona toda la información necesaria para que puedas notificar a la AEPD dentro del plazo legal de 72 horas, y tiene un canal específico para incidentes.

Señal de alerta: No hay protocolo documentado. El psicólogo se entera por terceros antes que por el proveedor. El proveedor gestiona la comunicación con la AEPD directamente sin informarte a ti. Tú eres el responsable del tratamiento y tienes que estar en el centro de esa gestión.

5. ¿Quiénes son los subencargados y qué hacen con tus datos?

Respuesta aceptable: Lista pública y actualizada de subencargados (proveedor de infraestructura, servicio de email, herramienta de IA si la hay), todos dentro de la UE o con garantías equivalentes de transferencia.

Señal de alerta: Uso de herramientas de IA generativa integradas en el software que podrían procesar o entrenar con datos de sesiones sin consentimiento explícito del paciente. Es un riesgo creciente en software que añade IA sin haber actualizado su arquitectura legal.

6. ¿Puedes exportar todos tus datos si decides cambiar de software?

Respuesta aceptable: Sí, en formato estándar (CSV, PDF, JSON), sin coste adicional y en un plazo razonable, lo que el RGPD reconoce como derecho de portabilidad.

Señal de alerta: Exportación imposible, incompleta, o sujeta a un pago adicional. Además de ser una retención de facto que limita tu autonomía, puede incumplir el derecho de portabilidad de los datos de tus pacientes.

7. ¿Qué ocurre con tus datos si el proveedor cierra o es adquirido?

Respuesta aceptable: El contrato especifica qué pasa con los datos en caso de cese de actividad, fusión o adquisición: devolución en formato usable, destrucción certificada, o ambas opciones disponibles.

Señal de alerta: Silencio contractual sobre este escenario. En un sector con muchas startups que cierran o son compradas, es una cláusula que importa más de lo que parece.

Qué hacer con las respuestas que recibes

Ningún software es perfectamente seguro. El objetivo no es encontrar una plataforma impecable. Es elegir proveedores que sean transparentes sobre sus medidas, que tengan los documentos en regla, y que sepan responder cuando algo va mal.

Si tu proveedor actual no puede responder estas preguntas con claridad, tienes dos opciones:

Primera: preguntarle directamente. Muchos proveedores tienen la documentación pero no la muestran proactivamente. Un email concreto preguntando por el DPA, los subencargados y el protocolo de incidentes es un buen test. Si responden bien y rápido, bien. Si evitan o generalizan, tienes información útil.

Segunda: revisar si hay alternativas mejor documentadas que cumplan tus necesidades funcionales. No hace falta cambiar por cambiar, pero si la seguridad de los datos de tus pacientes depende de un proveedor que no puede justificar sus medidas, la incomodidad de migrar es menor que el riesgo de quedarse.

Lo que debería incluir cualquier software serio para psicólogos

Más allá de las preguntas anteriores, hay una serie de mínimos que cualquier software que gestione datos de salud mental debería cumplir sin excepciones:

• DPA disponible y firmable antes del primer uso, no como trámite posterior
• Almacenamiento en servidores dentro de la UE con proveedor identificado
• Cifrado en reposo y en tránsito con estándar especificado
• Lista de subencargados pública y actualizada
• Protocolo de brecha documentado con plazos de notificación claros
• Exportación de datos completa en formato estándar sin coste

Y más allá de los mínimos, un indicador de madurez real: que el proveedor hable de seguridad sin que tengas que preguntar. Los proveedores que tienen sus medidas en orden las documentan, las publican y las explican porque saben que es una ventaja competitiva. Los que no las tienen suelen esperar a que nadie pregunte.

moodo incluye DPA firmado desde el primer día, almacenamiento en servidores dentro de la UE, y exportación completa de datos en cualquier momento. Si estás evaluando alternativas o quieres revisar qué cubre tu software actual, puedes consultar nuestra documentación de seguridad antes de hacer ningún compromiso.

Checklist: lo que puedes hacer esta semana

No hace falta cambiarlo todo de golpe. Pero sí puedes empezar por lo básico:

1. Busca el DPA que tienes firmado con tu software actual. Si no aparece, pídelo
2. Pregunta al proveedor dónde están físicamente tus datos
3. Verifica que puedes exportar el historial completo de tus pacientes en formato estándar
4. Revisa si el contrato menciona qué pasa en caso de cierre o adquisición del proveedor
5. Si tienes dudas sobre cualquiera de los siete puntos anteriores, plantéalas directamente. La respuesta (o la falta de ella) te dirá todo lo que necesitas saber

Con moodo tienes toda la documentación de seguridad disponible antes de registrarte. Sin letra pequeña. Empezar gratis →