Los psicólogos, centros o gabinetes psicológicos se caracterizan por tratar y recopilar numerosa información de sus pacientes. Esta información que manejan no sólo se caracteriza por estar llena de datos de carácter personal, sino que los psicólogos recopilan datos de especial sensibilidad relativos a la salud, la orientación sexual, la personalidad, ideología o creencias de su paciente.

Estos datos, debidos a su propia naturaleza sensible y especial, así como por su incidencia con los derechos fundamentales de las personas, están amparados tanto por el manto de protección del Reglamento General de Protección de Datos de la UE (RGPD) como por el de la Ley Orgánica de Protección de Datos Personales y garantías de los derechos digitales (LOPDGDD).

Para ambas legislaciones, los datos referentes a la salud mental de una persona se catalogan en su articulado como ‘datos sensibles’ o ‘datos especialmente protegidos’ (Art 9 RGPD y LOPDGDD).

La norma general establece que los datos sensibles no pueden ser tratados salvo en una serie de excepciones. No obstante, cuando esas excepciones tienen lugar, la normativa exige que se apliquen una serie de medidas de seguridad para salvaguardar los derechos de los pacientes, y evitar o mitigar cualquier riesgo en materia de protección de datos.

A continuación, se van a esclarecer cuáles son las obligaciones que el RGDP y la LOPDGDD imponen cuando se tratan esta serie de datos, y como estas repercuten a los profesionales de la psicología.

Los psicólogos o gabinetes de psicología que custodien y conserven las historias clínicas de sus pacientes, están obligados a designar un delegado de protección de datos (DPO)
- La excepción a esta obligación reside en el artículo 34.f de la LOPDGG, que excluye de designar a un DPO ‘a los profesionales de la salud, que pese a estar legalmente obligados al mantenimiento de las historias clínicas de los pacientes, ejercen su actividad a título individual.’
Los psicólogos deben identificar los datos personales de su paciente, y deben especificar la finalidad para la que estos se recaban.
Una vez identificados, se debe realizar un análisis de los riesgos que puede derivar el tratamiento de esos datos. Este análisis permitirá al profesional crear un plan de protección e implementación de medidas de seguridad. Se debe realizar con anterioridad al tratamiento de los datos, pues este análisis sirve para decidir qué medidas de seguridad técnicas y organizativas de las recogidas en el RGPD se deben adoptar para garantizar la seguridad y la protección de los datos del cliente.
Así mismo los profesionales tienen el deber de informar a sus clientes de la identidad del responsable del tratamiento de datos, la legitimación de la recogida de datos, la finalidad, los derechos que pueden ejercer conforme al RGPD, y el tiempo que se van a conservar esos datos o historias clínicas.
Los psicólogos deben elaborar una evaluación de impacto en la protección de datos personales. Esta evaluación es obligatoria cuando el tratamiento de datos personales implique un alto riesgo para los derechos de los pacientes. La Agencia Española de Protección de Datos (AEPD) publicó una lista de tratamientos donde la evaluación de impacto es obligatoria, y donde se encuentra el tratamiento de datos especialmente protegidos.
El responsable del tratamiento tiene la obligación de realizar el registro de actividades de tratamiento, donde se encuentran recopilados todos los tratamientos que se hacen de datos personales del paciente.
Para cumplir con el deber de confidencialidad y secreto del LOPDGDD y RGPD, aquellos centros que cuenten con empleados que tengan acceso a la información de los pacientes, deben firmar compromisos de confidencialidad.

Cumplir con estas medidas no sólo asegura que se aplique correctamente la legislación vigente en materia de protección de datos, sino que nos permite salvaguardar y proteger de una forma óptima la información de nuestros pacientes.