Confidencialidad y Protección de Datos en Telepsicología PDF

Summary

This document discusses the legal and ethical aspects of online psychological practice, covering data protection regulations, including the Spanish LOPDGDD and the EU RGPD. It also details ethical guidelines and security measures related to online therapy.

Full Transcript

El psicólogo, como ofertante del servicio, es el responsable de asegurar el
cumplimiento que alude a las condiciones del espacio terapéutico tanto presencial
como el online, al soporte a través del cual se lleva a cabo la intervención, a los
requisitos del paciente para poder beneficiarse de este tipo de intervención y a las
exigencias necesarias para el éxito de la terapia; con independencia de las
responsabilidades atribuibles a la plataforma tecnológica de comunicación o al centro
sanitario en el que se presten servicios terapéuticos.
Teniendo en cuenta dicha responsabilidad, conozcamos los aspectos normativos. El
psicólogo ha de estar informado y actualizado sobre las intervenciones en
Telepsicológica referidos al cumplimiento de normas éticas y de protección de datos,
privacidad y confidencialidad, seguridad de la información, saber gestionar las
situaciones de riesgo o crisis, así como discriminar cuándo es recomendable y cuándo
no ofrecer este servicio para garantizar una terapia adecuada. En general, en la
intervención Telepsicológica, se aplicarán los mismos principios que en terapia
presencial respecto a la normativa ética y deontología que garantiza una práctica
psicológica adecuada.
Cumplimiento de normas legales, aspectos éticos y deontológicos por parte del
psicólogo.
Normativa relativa a la terapias online: será de obligado cumplimiento la legislación que,
en nuestro país, regula los servicios online, la protección de datos personales y las
relativas a confidencialidad, privacidad y seguridad de las comunicaciones entre
particulares
Normas éticas: Código deontológico, Consejo General de la Psicología de España.
Protección de datos, privacidad y confidencialidad:
•
•
•
•

•

Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales
y garantía de los derechos digitales. LOPDGDD
Reglamento Europeo de Protección de Datos (RGPD), del 26 DE ABRIL DE
2016 Y que está vigente desde el pasado 25 de mayo de 2018.
Competencias profesionales del psicólogo sanitario
Ley General de Salud pública 33/2011 (Disposición adicional séptima).
Autorización de centros, servicios y establecimien-tos sanitarios. Real Decreto 1277/2003. Orden SCO/1741/2006 Condiciones del espacio
terapéutico.
Normas legales sobre seguridad informática: Normas ISO 27001.

1

CONFIDENCIALIDAD Y PROTECCIÓN DE DATOS
La obligación de obtener el consentimiento viene regulado en legislación vigente: Ley
Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de
los derechos digitales y el Reglamento Europeo de Protección de Datos en vigor desde
el 25 de mayo de 2016.
¿Qué es la Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales
(LOPDGDD)?
La Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales es la
adaptación de la normativa española al reglamento europeo sobre protección de datos
(RGPD). La LOPDGDD 3/2018 llega para sustituir a la LOPD 15/1999, la anterior
normativa sobre protección de datos, que ha quedado derogada.
El objetivo de esta ley es proporcionar una base legal sólida y actualizada para regular
el tratamiento de los datos personales de las personas físicas, así como la libre
circulación de los mismos. La presente Ley Orgánica tiene por objeto garantizar y
proteger, en lo que concierne al tratamiento de los datos personales, las libertades
públicas y los derechos fundamentales de las personas físicas, y especialmente de su
honor e intimidad personal y familiar.
Además, pretende garantizar el respeto a los derechos digitales indicados en el artículo
18.4 de la Constitución Española.
Por tanto, la protección de datos se ejercerá en base a los establecido en esta ley
orgánica y a lo dispuesto en el Reglamento UE 2016/679.v
Tanto el Reglamento General de Protección de Datos europeo como la Ley Orgánica de
Protección de Datos española nacieron con el fin de preservar la intimidad de los
ciudadanos en el uso que de sus datos hacen las empresas. Y muy especialmente en el
ámbito de las nuevas tecnologías y de Internet. Una de las principales diferencias entre
LOPD y RGPD es su ámbito de aplicación: mientras que la LOPD solo se aplicaba en
España, el Reglamento General de Protección de Datos tiene aplicación en todo el
mundo, siempre que los datos que se protejan pertenezcan a personas residentes en la
Unión Europea.
Tanto la Directiva europea como la LOPD se crearon para establecer el adecuado
equilibrio entre la libre circulación de datos en el ámbito de la Unión Europea y la
necesaria protección de la vida privada de los ciudadanos de la misma.
Así mismo, la Directiva Europea pedía que cada estado miembro de la Unión crease un
organismo nacional y autónomo destinado a velar por la protección de datos. En
nuestro país, esa institución es la Agencia Española de Protección de Datos, que ya
existía con anterioridad y que fue adaptada a lo indicado por la citada Directiva.
El Reglamento General de Protección de Datos ha cumplido este año su tercer
aniversario.
2

El 25 de mayo del 2018 comenzó a aplicarse en el ámbito del espacio UE una normativa
común sobre regulación de la privacidad, circulación y tratamiento de los datos de las
personas físicas. Una norma que limita el tratamiento de los datos personales en
entidades públicas y empresas.
El objetivo, no hay que perderlo nunca de perspectiva, es proteger al usuario en un
mundo digitalizado en el que cada vez somos menos dueños de nuestra información
más personal, de la que disponen no solo los grandes oligopolios de internet, sino
cualquier empresa que utilicemos con la que establecemos una relación y, por supuesto,
los organismos institucionales.
A los emprendedores y empresarios, el RGPD afecta además, en lo que se refiere a la
obligación y responsabilidad de cumplirlo, sea cuál sea el tamaño o actividad de nuestro
negocio. Y, echando la vista atrás, lo cierto es que los inicios no fueron sencillos, sobre
todo para las PYMES que temían no contar con los recursos suficientes para cumplir en
su totalidad estas nuevas reglas de juego.
Por otra parte, la LOPD recogía los llamados derechos ARCO, que las empresas debían
facilitar a los titulares de los datos. Son los de Acceso, Rectificación, Cancelación y
Oposición. Y también debía realizar una auditoría bienal de sus procedimientos de
seguridad. En nuestro caso
Las diferencias entre el RGPD y la LOPD afectan, sobre todo, a que la primera introduce
la figura del Delegado de Protección de Datos en las empresas, crea los nuevos derechos
de Portabilidad, Limitación del Tratamiento y al Olvido y endurece considerablemente
las sanciones.1 Portablidad, consistente en que, como ciudadano, tienes derecho a que
tus datos sean transferidos por petición tuya a otra empresa.
Otro es el de la Limitación del Tratamiento, por el cual puedes solicitar que tus datos
solamente sean usados para determinadas finalidades que te interesen a ti y no para
otras. Por último, está el importante Derecho al Olvido. Este consiste en que puedes
borrar informaciones tuyas del pasado que aparezcan en buscadores generales de
Internet cuando ya hayan quedado obsoletas o sin relevancia.
El Reglamento incluye novedades sustanciales. Por ejemplo, si eres empresario y
manejas un volumen considerable de datos personales, estás obligado a tener
un Delegado de Protección de Datos quien, a su vez, se encargará de velar por tus
ficheros y de orientar a tu negocio en todo lo referente al RGPD y crea los nuevos
derechos de Portabilidad, Limitación del Tratamiento y al Olvido y endurece
considerablemente las sanciones. ARCO-POL
Principio: El Derecho a la Protección de Datos Personales garantiza a su titular (cliente)
la facultad de controlar el uso que otros (en este caso, el psicólogo) hacen de su
información y la capacidad de disponer y decidir sobre dicho uso. El psicólogo ha de
garantizar la privacidad y la confidencialidad de los datos del cliente. La identidad de un
1

Multas de 50 millones Google, British Airways, Telecomm, hm, hoteles Marriot..

3

cliente y la información proporcionada por éste no pueden ser reveladas sin su
autorización expresa (excepto cuando el cliente plantea hacer daño grave a otras
personas o a sí mismo).
Posibles problemas:
-

Acceso o robo de información confidencial archivada en soporte digital por
terceros no autorizados.
Conocimiento por parte de terceros de datos y acciones del terapeuta o el
cliente en internet que puedan comprometer su relación profesional y
terapéutica.

Los datos personales tratados no serán cedidos o comunicados a ninguna entidad
nacional o internacional, salvo en los casos en que exista una obligación legal. Por otro
lado, le informamos de su derecho a ejercer sus derechos de acceso, rectificación o
supresión, o la limitación de su tratamiento, o a oponerse al mismo, transparencia y
derecho a no ser objeto de decisiones automatizadas enviando al CENTRO (o
profesional) una carta o email debidamente firmada a la dirección referida
anteriormente donde consten claramente sus datos de contacto. Esa carta deberá ir
acompañada de una fotocopia de su DNI/NIF o documento que acredite su identidad.
El CENTRO (o profesional) procederá a eliminar cualquier tipo de información relativa
al Paciente una vez hayan transcurrido 5 años desde la finalización de la terapia.5 años
para datos, 20 años para el historial clínico. Igualmente, le advertimos de su derecho a
retirar, en cualquier momento, el consentimiento prestado para tratar sus datos, sin que
ello afecte a la licitud del tratamiento basado en el consentimiento previo a su retirada.
Finalmente, le recordamos, que tiene derecho a presentar una reclamación ante la
Agencia Española de Protección de Datos, si considerara que el tratamiento de datos no
es acorde a la normativa europea.
ACTUACIONES DE LOS PSICÓLOGOS:
1. informarse sobre los riesgos potenciales de confidencialidad de los datos antes
de utilizar las tecnologías como herramienta terapéutica. Cuando sea necesario,
deberán realizar consultas a expertos para aplicar las medidas necesarias
además de seguir escrupulosamente las normas legales.
2. De acuerdo con el Principio Responsabilidad Proactiva, el psicólogo ha de cumplir
con las siguientes obligaciones:
3. Elaboración y mantenimiento de un Registro de Actividades de Tratamiento y
documentar la medidas técnicas y organizativas implementadas.
Obligación de realizar y dejar documentado un Análisis de Riesgos y si el
tratamiento es de alto riesgo Eva-luaciones de Impacto.
Aplicar las medidas de seguridad o controles adecuados a los resultados
de los análisis de riesgos y evaluaciones de impacto.

4

Nombramiento de un Delegado de Protección de Datos (DPD) en los
casos en los que resulta obligatorio (Proyecto de ley de protección de
datos nombra los centros sanitarios) o si así se decide de forma voluntaria.
Comunicación a la Autoridad de Control, y en su caso a los afectados, de
las quiebras de seguridad de la información en un plazo de 72 horas.
Asegurar que las personas o empresas encargadas de gestionar la
información en nuestro nombre (encargados de tratamiento) como
pueden ser las plataformas de TelePsicología o proveedores de servicios
web, de almacenamiento en la nube, etc. nos ofrezcan garantías de
cumplimiento del RGPD, (ejemplo, por sus sellos de confianza o estar
adheridos a códigos de conducta del sector, etc.) Hay que incluir en los
contratos de prestación de servicios las correspondientes clausulas de
protección de datos según lo indicado en el RGPD. En la guía de la Agencia
de Protección de datos “Directrices para la elaboración de contratos
entre responsable y encargados de tratamiento” se puede consultar los
nuevos aspectos a informar y el modelo propuesto por la Agencia de
Protección de Datos.
4. Cumplir con los principios de protección de datos y derechos de las personas. El
psicólogo únicamente podrá recabar aquella información del cliente que sea
necesaria para su alta, gestión de citas e intervención psicológica online. Deberá
informar al cliente lo indicado en el artículo 13 del RGPD, entre otros aspectos
habrá que informar de la identidad y los datos de contacto del responsable del
tratamiento y del Delegado de Protección de Datos-DPD, la finalidad y base
jurídica que legítima el tratamiento de la recogida de los datos, el plazo de
conservación de la información, los destinatarios de datos (cesiones), la
existencia de transferencias internacionales, así como la forma de ejercer el
derecho de acceso, rectificación o supresión, limitación de tratamiento,
oposición y a la portabilidad de los datos, así como el derecho a presentar una
reclamación ante una autoridad de control. Todo ello a través de un texto legal
(Política de Privacidad) que deberá aceptar el cliente al cumplimentar el
formulario de datos de registro en la Plataforma Online.
5. Antes de proporcionar servicios de terapia online los psicólogos deben dar
información de las características del proceso terapéutico y el servicio, así
como solicitar el consentimiento informado por escrito. Se incluirá en el
documento el tipo de tecnología y medios de comunicación que se van a utilizar
(plataforma web, e-mail, videoconferencia, teléfono, etc. y cualquier tipo de
aplicación TIC de procedencia registrada acorde con la normativa española) y
hacerlo con un lenguaje comprensible y adaptado a los clientes.
6. Tomar las medidas oportunas para la autentificación de la identidad del cliente.
Siempre se deberá constatar (de forma presencial y/o por videoconferencia) que
5

se trata de esa persona antes de prestar servicios online. El psicólogo deberá
solicitar copia de documento legal acreditativo de la identidad del cliente (DNI,
NIF, Pasaporte, NIE…). En aquellos casos en los que sea necesario el
consentimiento de los titulares de la patria potestad o tutela, los terapeutas
deberán solicitar aquella documentación que ratifique tales circunstancias (libro
de familia, sentencia judicial, convenio regulador…).
7. Pedir consentimiento expreso al cliente en aquellas situaciones en las que se
requiera contactar con personas de su entorno o con otros profesionales del
cliente con los que se plantee compartir información reservada. A la hora de
contactar con las personas, hay que asegurarse de no reenviar a terceros, los
mensajes que el cliente nos haya escrito previamente. En la evaluación
psicológica se puede concluir que es más conveniente que la intervención la
realice otro profesional, por lo que si se requieren datos sobre el cliente, se le
deberá informar y solicitar su consentimiento, aunque es preferible que sea el
propio cliente quién facilite los datos al profesional al que se deriva el caso.
8. Copias de Respaldo y Recuperación: Deberán realizarse copias de la información
(historias clínicas u otra información clínica), al menos semanalmente. Las copias
deberán estar cifradas y almacenarse en área externa y segura, sin conexión a
internet.
9. Consideraciones adicionales sobre el uso y almacenamiento de información
confidencial (el psicólogo es responsable de mantener actualizada y
debidamente almacenada toda la información recabada de los clientes).
10. Recabar y guardar información de cada cliente que incluya datos de
identificación y contacto, consentimiento informado, datos de evaluación,
objetivos, plan de tratamiento, fechas y duración de las sesiones, información
relativa a los pagos.
11. Vigilar la seguridad de dispositivos, como los teléfonos inteligentes y tabletas, si
contiene información del cliente, puesto que de forma automática podrían
hacerse copias de seguridad en la nube.
12. Mantener protegida la información por el periodo de tiempo que se estime para
datos personales de salud (en España, la legislación vigente establece un periodo
de 5 años). Historiales clínicos 20 en comunidad autónoma 20.
13. Informar al cliente y recabar su consentimiento en el caso que el psicólogo
desee guardar transcripciones de conversaciones, grabaciones o mensajes de
chat y/o e-mails. Si el cliente almacena esta información, se le debe explicitar
los beneficios y el riesgo presente y futuro para la confidencialidad de los datos
clínicos propios en los que incurre.

6

Consejos para aumentar la seguridad de las videoconferencias
Incluso aunque realices las videoconferencias de tu empresa a través de cualquiera de
estas tres aplicaciones, Zomm, Google meet, Skype, los especialistas en seguridad
informática que han demostrado no ser tan seguras y recomiendan que tomes medidas
extra de refuerzo para mantener tus datos e información alejados de los hackers.
Básicamente, se trata de que instales un antivirus potente y lo mantengas
actualizado. Otras precauciones que te ayudarán:
•

Crea siempre salas
videoconferencia.

•

Establece contraseñas de acceso si es posible.

•

No compartas las URL en redes públicas, házselas llegar a los invitados mediante
mensajes privados o en una llamada telefónica.

•

Retrasa las comunicaciones de los datos de acceso hasta poco antes de que vaya
a realizarse la videoconferencia.

•

En la medida de lo posible, configura siempre una sala de espera para que el
administrador pueda dar acceso a las personas que accederán a la
videoconferencia.

específicas con

nombres

distintos

para

cada

PLATAFORMAS
Las mas usadas Skype, Zoom, MEET, Psipocket.
El Colegio de Psicólogos recomienda la plataforma PsyPocket de uso gratuito para sus
colegiados.
Es una plataforma informática segura para poder realizar intervenciones profesionales
de telepsicología. El servicio contratado incluye, además de las funciones de
videoconferencia cifrada de alta calidad, el manejo de la agenda y envío de mensajería
instantánea cifrada.
El/la colegiado/a que se encuentre interesado/a en utilizar este recurso, se dará de alta
en la web del Consejo General de la Psicología, habilitada a tal efecto. Tendrá que
cumplimentar un formulario con sus datos personales, e-mail, número de colegiado/a y
colegio profesional al que esté adscrito/a.
Para realizar la solicitud se deberá hacer desde una dirección profesional de correo que
le identifique como colegiado/a (cop.es ó copc.cat).
Para registrarse en la plataforma deberá de hacerse a través del siguiente
enlace: https://www.cop.es/telepsicologia
Una vez registrados/as, recibirán un e-mail de PsyPocket, con toda la información
detallada acerca del funcionamiento del servicio.

7

Temas relativas a la protección de datos.
Plataformas on-line. Todas las gratuitas no son seguras. Drive tampoco lo es.
Usar el correo corporativo es más seguro.
Consentimiento informado. Deben firmarlos los dos progenitores, si uno no va,
pueden traerlo firmado con copia del DNI.
Facturas: Cuidado al enviarles por mail.
Copia de expediente del paciente: Tenemos la obligación de facilitarlo si nos lo
piden. Pero hay que saber que elaborar. ¿Qué es 7-Zip?
El programa WINZIP 7-Zip permite realizar compresiones a numerosos archivos
para poder combinarlos todos en uno solo y así tenerlos concentrados. Es
realmente útil y es semejante a otros programas quizá más conocidos como
WinRAR o WinZip. En todos ellos se pueden realizar acciones comunes y en esta
guía veremos una de ellas que será de gran utilidad: poner una contraseña a un
archivo comprimido con 7-Zip.

Para poder garantizar una adecuada comunicación entre terapeuta y cliente en la
terapia psicológica online, es necesario cumplir con los requisitos técnicos descritos a
continuación:
2. Para evitar problemas técnicos durante la sesión se debe comprobar antes de su inicio
que se cumple con los requisitos técnicos necesarios, preparar todos los sistemas
específicos que se emplearán y asegurarse de la conexión a internet.
3. Si la sesión se viera interrumpida durante un gran espacio de tiempo por las
dificultades de conexión, se pospondría la sesión. En el caso de que el problema de
conexión sea del cliente y se hayan consumido más de ______ 10minutos de sesión, ésta

8

se dará por finalizada, aunque se intentarán alcanzar los objetivos de la sesión
pendientes mediante otros recursos online como correo electrónico o teléfono.
4. Se ha de escoger un espacio físico que garantice la seguridad, privacidad y
confidencialidad: un lugar en el que exista intimidad, en el que no estén otras personas
presentes si no forman parte de la terapia y, por supuesto, que no sea un lugar público.
5. Para evitar el acceso por parte de terceros a la información privada y confidencial de
la terapia, se recomienda emplear contraseñas seguras y privadas para los dispositivos
y cuentas que se empleen en la terapia.
6. No debe emplearse el material que proporciona el psicólogo con otros fines que no
sean los acordados en el contexto terapéutico. Siempre que se plantee hacer otro uso
de dicho material requerirá el consentimiento previo del psicólogo.
7. El tiempo de demora de respuesta desde la solicitud de un servicio de terapia
psicológica online o el envío de un e-mail de consulta en el marco de una intervención
online,
8. La posibilidad de realizar la modalidad online en la terapia psicológica siempre está
sujeta al cumplimiento de una serie de condiciones relativas al problema psicológico y
las circunstancias y estado de la persona que demanda ayuda psicológica. El terapeuta
valorará en todo momento estos criterios para decidir si esa modalidad terapéutica es
la adecuada. En caso de que el terapeuta valore, en cualquier momento del proceso
terapéutico, que la modalidad online es inadecuada para el bienestar y el beneficio del
cliente, éste podrá interrumpirla y plantear otras opciones terapéuticas: terapia
presencial o derivación a otros servicios.

9