Privacidad y datos clínicos: RGPD, alojamiento en España y retención granular

Cada sesión de terapia contiene lo más íntimo que una persona puede compartir. Traumas, miedos, conflictos familiares, ideación suicida. Datos que no son "sensibles" en abstracto — son sagrados en concreto.

Si usas herramientas digitales en tu consulta, la pregunta no es si proteges esos datos. La pregunta es cómo, dónde y durante cuánto tiempo.

el RGPD no es burocracia. es tu mejor aliado.

El Reglamento General de Protección de Datos (RGPD) lleva en vigor desde 2018. Pero muchos terapeutas lo ven como un obstáculo administrativo — formularios que rellenar, consentimientos que firmar, un dolor de cabeza más.

Es lo contrario. El RGPD es la herramienta legal que te permite decirle a tu paciente: "tus datos están protegidos, sé exactamente dónde están, y nadie accede a ellos sin tu consentimiento."

Para un psicólogo, los puntos clave del RGPD son:

Datos de salud = categoría especial. Los datos clínicos de tus pacientes están en la categoría más protegida del RGPD (Artículo 9). Su tratamiento está prohibido por defecto, salvo excepciones específicas — como el consentimiento explícito del paciente o la necesidad para fines de medicina preventiva o laboral.

Base legal clara. Para tratar datos clínicos necesitas una base legal sólida. En la mayoría de consultas privadas, esa base es el consentimiento explícito e informado del paciente. No un consentimiento genérico — uno que detalle qué datos recoges, para qué, durante cuánto tiempo y quién tiene acceso.

Derechos del paciente. Tu paciente tiene derecho a acceder a sus datos, rectificarlos, suprimirlos y portarlos. Si usa tu plataforma digital, debería poder ejercer estos derechos sin tener que enviarte un email y esperar semanas.

Responsabilidad demostrable. No basta con cumplir. Hay que poder demostrarlo. Registros de actividad, contratos con proveedores, evaluaciones de impacto. Si mañana la Agencia Española de Protección de Datos te pide documentación, debes poder proporcionarla.

dónde están tus datos importa más de lo que crees.

Cuando usas un software en la nube, los datos de tus pacientes viajan a un servidor. La pregunta es: dónde está ese servidor.

El problema de "la nube" genérica. Muchas plataformas de gestión clínica alojan datos en Estados Unidos, Irlanda o Singapur. Técnicamente, si cumplen con las cláusulas contractuales tipo del RGPD, es legal. Pero legal no es lo mismo que óptimo.

Un dato clínico alojado en EEUU está sujeto a la CLOUD Act, que permite a las autoridades estadounidenses solicitar acceso a datos almacenados por empresas americanas, independientemente de dónde estén los servidores. Esto crea una tensión real con el RGPD que lleva años sin resolverse (recordemos la invalidación del Privacy Shield en 2020).

La ventaja de alojar en España. Cuando tus datos clínicos están en un centro de datos en territorio español:

Esto no es un detalle técnico. Es una garantía jurídica. Cuando le dices a tu paciente "tus datos están en España, bajo ley española", estás diciendo algo concreto y verificable. No "tus datos están en la nube" — eso no significa nada.

retención de datos: no todo es "guardar o borrar".

La mayoría de herramientas te dan dos opciones: guardar todo para siempre o borrar todo manualmente. Pero la realidad clínica es más compleja.

Hay datos que necesitas retener por obligación legal (historiales clínicos, facturas). Hay datos que quieres retener por utilidad clínica (notas de sesiones activas). Y hay datos que deberían eliminarse automáticamente porque ya cumplieron su función (audio de una sesión ya transcrita y validada).

Una política de retención granular significa poder decidir a nivel de tipo de dato y nivel de privacidad qué se conserva y durante cuánto tiempo.

Tres niveles de retención que tienen sentido clínico:

Nivel 1: Sin retención de audio. El audio de la sesión se procesa en tiempo real. Se genera la transcripción y el borrador clínico. El audio se elimina inmediatamente después. Solo queda la nota que tú validaste.

Para quién: terapeutas que trabajan con pacientes de alta sensibilidad (violencia de género, menores, procesos judiciales). El audio nunca se almacena. Cero huella.

Nivel 2: Retención temporal. El audio se conserva durante un periodo limitado (por ejemplo, 7 días) para permitir reprocesamiento si es necesario — si quieres regenerar una nota o verificar algo que no quedó claro en la transcripción. Pasado ese plazo, se elimina automáticamente.

Para quién: la mayoría de consultas. Equilibrio entre utilidad y privacidad.

Nivel 3: Bóveda encriptada. El audio se conserva indefinidamente, cifrado bajo tu control. Tú decides cuándo eliminarlo. Útil para investigación clínica, supervisión o formación, siempre con consentimiento explícito del paciente.

Para quién: centros de formación, investigadores, terapeutas que graban sesiones como parte de su metodología.

La clave es que tú eliges el nivel, no la plataforma. Y que el paciente sabe cuál es el nivel aplicado a sus datos.

cifrado: lo que de verdad significa "seguro".

La palabra "cifrado" aparece en toda plataforma de software. Pero no todo cifrado es igual.

Cifrado en tránsito (TLS/HTTPS). Los datos están protegidos mientras viajan entre tu navegador y el servidor. Esto es lo mínimo — cualquier web seria lo tiene. No es un diferenciador.

Cifrado en reposo (AES-256). Los datos están cifrados en el disco del servidor. Si alguien accede físicamente al servidor, no puede leer los datos. Esto es estándar en servicios cloud serios.

Cifrado a nivel de columna. Los campos más sensibles (nombre del paciente, contenido de las notas, diagnósticos) están cifrados individualmente dentro de la base de datos. Incluso un administrador de base de datos con acceso total no puede leer el contenido clínico sin la clave de cifrado específica. Este nivel de protección es poco común y marca una diferencia real.

Claves gestionadas por el cliente (CMEK). Las claves de cifrado no las gestiona el proveedor de la nube — las gestionas tú (o tu plataforma en tu nombre). Esto significa que ni Google, ni Amazon, ni nadie excepto tú puede descifrar los datos. Es el nivel más alto de soberanía sobre los datos.

Cuando evalúes una plataforma, pregunta no solo "está cifrado" sino "cómo, a qué nivel y quién controla las claves."

lo que tu paciente necesita saber.

Tu paciente no necesita entender de criptografía. Pero sí necesita saber:

Todo esto debería estar en tu consentimiento informado. No en una política de privacidad de 30 páginas que nadie lee, sino en un párrafo claro dentro del documento que tu paciente ya firma.

Una propuesta de cláusula:

"En esta consulta utilizamos nexmin como herramienta de gestión clínica. Los datos de las sesiones se almacenan en servidores ubicados en España (Google Cloud, región europe-southwest1, Madrid), cifrados con AES-256. La información clínica generada con asistencia de inteligencia artificial es siempre revisada y aprobada por el profesional antes de incorporarse al historial. Puede ejercer sus derechos de acceso, rectificación y supresión en cualquier momento."

no todos los datos son iguales.

Una buena gestión de datos clínicos distingue tres categorías con reglas diferentes:

Datos clínicos (sterile). Notas de sesión, diagnósticos, planes de tratamiento. Máxima protección. Solo soft-delete (nunca se borran físicamente, se marcan como eliminados). Retención mínima: 5 años desde la última sesión (obligación legal en España).

Datos comerciales (dirty). Leads, prospectos, datos de marketing. Protección estándar. Hard-delete permitido. Retención: según política de la empresa, máximo 12 meses para leads inactivos (buena práctica RGPD).

Datos financieros. Facturas, pagos, datos fiscales. Retención obligatoria: 5 años (Ley General Tributaria). No se pueden eliminar antes, ni siquiera a petición del paciente.

Mezclar estas categorías en una sola base de datos sin separación es un error común. Y es un riesgo: si alguien pide eliminar sus datos comerciales y accidentalmente borras su historial clínico, tienes un problema legal.

la privacidad como valor, no como obstáculo.

La tentación es ver la privacidad como un coste: más formularios, más restricciones, más complejidad. Pero para un terapeuta, la privacidad es tu materia prima.

Tu paciente se abre porque confía en que lo que dice en tu consulta está protegido. Esa confianza es el fundamento del vínculo terapéutico. Proteger los datos no es cumplir una ley — es cuidar la alianza.

Cuando le dices a tu paciente "tus datos están en España, cifrados, bajo tu control, y la IA que uso nunca entrena modelos con tus sesiones", no estás leyendo una cláusula legal. Estás reforzando el vínculo.

nexmin aloja todos los datos clínicos en Google Cloud Madrid (europe-southwest1). Cifrado AES-256 en reposo, cifrado a nivel de columna para datos sensibles, claves gestionadas con CMEK. Tres niveles de retención de audio que tú controlas. La IA no entrena modelos con tus sesiones. Soberanía absoluta.

nexmin — la inteligencia que escucha contigo.