Cómo documentar una sesión de VRET en la historia clínica: buenas prácticas y aspectos legales en España

Qué datos genera una sesión de VRET (y por qué cada uno cuenta)

Una sesión típica de VRET produce, como mínimo, tres categorías de datos clínicos que conviene tener identificadas antes de hablar de cómo registrarlas.

1. Datos clínicos descriptivos. Escenario utilizado, nivel de jerarquía abordado, duración total de la sesión, duración con visor puesto, duración por bloque (encuadre, aclimatación, exposición, cierre). Son datos no controvertidos; equivalen al registro de cualquier sesión de psicoterapia.

2. Datos clínicos cuantitativos. Escala SUDS basal, máxima, final, mediciones intermedias con marca temporal. Escalas estandarizadas administradas (STAI, BAI, BDI, FQ, LSAS, PCL-5, según aplique). Son datos de salud, regulados por el Art. 9 del RGPD.

3. Datos biométricos (si la plataforma los recoge). Frecuencia cardiaca, variabilidad de la frecuencia cardiaca, conductancia de la piel, dirección de la mirada y dilatación pupilar (en visores con seguimiento ocular). Estos datos, cuando se utilizan para identificar o caracterizar fisiológicamente a una persona, son datos biométricos de categoría especial bajo el RGPD.

Adicionalmente, según el software, puede haber: grabación del audio del paciente durante la sesión, captura del campo de visión del paciente (lo que ve dentro del escenario), capturas de movimientos del cuerpo. Cada uno con su propio marco de tratamiento.

Marco legal aplicable: RGPD, LOPDGDD y normativa autonómica de historia clínica

El registro de una sesión VRET en España opera bajo cuatro capas normativas que conviene tener identificadas.

1. Reglamento General de Protección de Datos (RGPD, UE 2016/679). Define los datos relativos a la salud y biométricos como datos de categoría especial (Art. 9), cuyo tratamiento requiere consentimiento explícito o, en su defecto, una de las bases del propio Art. 9 (asistencia sanitaria, fines de investigación, etc.).

2. Ley Orgánica 3/2018, de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD). Adapta el RGPD al ordenamiento español; define mayor detalle en las bases de tratamiento y refuerza derechos digitales.

3. Ley 41/2002, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica. Define qué es la historia clínica, qué debe contener mínimamente y plazos generales de retención.

4. Normativa autonómica de historia clínica. Cada comunidad autónoma desarrolla la Ley 41/2002 con plazos y formatos propios. Madrid, Cataluña, Andalucía y País Vasco tienen normativa específica. Es la capa más relevante para la retención.

El criterio operativo en consulta privada: la historia clínica del paciente VRET sigue la normativa autonómica de la comunidad donde está ubicada la consulta. Los datos biométricos asociados a la sesión, cuando existen, se rigen además por el marco del RGPD/LOPDGDD para datos de categoría especial.

Consentimiento informado específico para VRET: contenido mínimo

El consentimiento informado general de psicoterapia no cubre por sí solo la VR ni los datos biométricos. Conviene preparar un anexo o consentimiento específico que el paciente firma antes de la primera sesión VR.

Contenido mínimo recomendable.

1. Identificación del responsable del tratamiento: nombre y número de colegiado del psicólogo, dirección de la consulta, datos de contacto, DPO si existe.

2. Descripción del procedimiento. ‘Sesiones de exposición o relajación mediante un casco de RV con software clínico VRET. La duración aproximada de cada sesión es de 60-75 minutos.’

3. Categorías de datos tratados. Datos identificativos, datos clínicos descriptivos y cuantitativos (SUDS, escalas), datos biométricos en su caso (frecuencia cardiaca, mirada), grabación de audio o vídeo si se aplica.

4. Finalidad del tratamiento. ‘Atención psicológica, registro clínico de la sesión, evaluación de la evolución del paciente, supervisión clínica y, en su caso, formación o investigación con datos pseudonimizados con consentimiento adicional separado.’

5. Base jurídica. ‘Consentimiento explícito del paciente (Art. 9.2.a del RGPD) en combinación con la finalidad de asistencia sanitaria (Art. 9.2.h).’

6. Destinatarios. ‘Los datos se conservan en sistemas de información del responsable del tratamiento, hospedados en proveedores ubicados en la Unión Europea. No se ceden a terceros salvo obligación legal, ni se utilizan para fines de marketing.’

7. Plazo de conservación. ‘Conforme a la normativa autonómica de historia clínica aplicable [especificar comunidad autónoma y plazo concreto, habitualmente 5 a 15 años desde la última asistencia].’

8. Derechos del paciente. Acceso, rectificación, supresión, limitación, oposición, portabilidad, retirada del consentimiento en cualquier momento.

9. Riesgos conocidos. ‘El uso del visor puede provocar cibermareo, fatiga visual, cefalea o reactivación de sintomatología clínica. Estos riesgos se mitigan con el protocolo descrito y se puede interrumpir la sesión en cualquier momento.’

10. Firma. Del paciente, del tutor cuando aplique y del psicólogo, con fecha y lugar.

Modelo de registro de sesión en la historia clínica

Un formato reproducible para cada sesión VR facilita la trazabilidad y la supervisión clínica. Esta es una plantilla operativa que cabe en una hoja A4.

Encabezado. Fecha y hora de inicio, fecha y hora de fin, número de sesión dentro del plan terapéutico, nombre del psicólogo responsable.

Bloque 1, identificación del escenario. Nombre del escenario, versión del software, nivel de jerarquía abordado (con referencia a la jerarquía construida en la sesión de evaluación), parámetros ajustables modificados durante la sesión (intensidad, distancia, presencia de estímulos secundarios).

Bloque 2, mediciones cuantitativas. SUDS basal en escenario neutro, SUDS pre-exposición, SUDS durante exposición con marcas temporales cada 2-3 minutos, SUDS post-exposición. Frecuencia cardiaca basal y pico si la plataforma la recoge. Otras escalas administradas en la sesión.

Bloque 3, observación clínica. Pensamientos automáticos reportados por el paciente, conductas observadas durante la exposición (retirada del casco, parada solicitada, llanto, risa nerviosa), sensaciones físicas reportadas (taquicardia, sudoración, opresión en el pecho).

Bloque 4, incidencias técnicas o clínicas. Mareo, fatiga visual, ruido en el escenario, fallo de software, retirada anticipada. Si hubo incidencia clínica relevante (crisis de ansiedad, disociación, reactivación traumática), descripción y manejo aplicado.

Bloque 5, plan terapéutico. Decisión clínica para la próxima sesión (repetir nivel, subir o bajar en jerarquía, cambiar escenario, suspender VR temporalmente). Tareas entre sesiones asignadas al paciente.

Bloque 6, datos administrativos. Tiempo de visor puesto, tiempo total de sesión, facturación si procede. Firma del psicólogo (o registro de identificación electrónica en historias clínicas digitales).

Conviene archivar este registro junto al resto de la historia clínica, idealmente en el mismo sistema de información, con los mismos controles de acceso.

Datos biométricos: el punto delicado

Cuando la plataforma VRET recoge frecuencia cardiaca, conductancia de la piel, dirección de la mirada o variables similares con fines de medición clínica, esos datos son datos biométricos en sentido del Art. 4.14 del RGPD si permiten o están dirigidos a identificar o caracterizar fisiológicamente al paciente.

Implicaciones prácticas.

1. El consentimiento explícito debe mencionar esos datos específicamente. Una mención genérica a ‘otros datos clínicos’ no cumple el requisito.

2. El tratamiento debe documentarse en el registro de actividades de tratamiento de la consulta (Art. 30 RGPD), con detalle de las categorías, finalidades y plazos.

3. Las medidas técnicas y organizativas (Art. 32 RGPD) deben ser proporcionales al nivel de riesgo. Cifrado en tránsito y reposo, control de accesos, segregación frente a datos personales generales, copias de seguridad cifradas.

4. Si los datos biométricos se utilizan para investigación o agregación estadística más allá del paciente individual, requiere base jurídica adicional y, según la finalidad, una evaluación de impacto en protección de datos (EIPD).

5. Conviene revisar si la plataforma VRET utilizada permite no recoger esos datos cuando no son clínicamente necesarios. Si la consulta no analiza la frecuencia cardiaca, lo más prudente es desactivar esa captura desde la configuración.

Retención y supresión: cuánto tiempo guardar la información

La normativa autonómica de historia clínica fija plazos mínimos de conservación. Estos son los principales referentes en España, con la salvedad de que el detalle de cada comunidad puede haber cambiado y conviene verificarlo en la fuente oficial.

1. Ley 41/2002, marco básico estatal. Mínimo cinco años desde la fecha del alta de cada proceso asistencial, salvo excepciones que recomienden conservación mayor.

2. Comunidad de Madrid (Ley 12/2001). Quince años desde la fecha del alta de cada proceso asistencial, con excepciones.

3. Cataluña (Ley 21/2000 y desarrollos posteriores). Mínimo quince años para parte significativa de la historia clínica.

4. Andalucía, Comunidad Valenciana, Galicia, País Vasco. Plazos similares (entre cinco y quince años), con desarrollos normativos propios.

Para la práctica privada, el criterio operativo recomendable es conservar la historia clínica completa, incluyendo los registros de VRET, durante quince años desde la última asistencia. Es el plazo que cubre con holgura todas las normativas autonómicas españolas.

Datos biométricos asociados: si no son clínicamente necesarios para la continuidad de la atención, conviene plantear su supresión a plazo más corto (por ejemplo, 12 meses) una vez explotados clínicamente. La minimización es un principio del RGPD.

Supresión efectiva: en sistemas digitales, la eliminación debe ser definitiva (incluyendo copias de seguridad activas, no solo el borrado lógico). En sistemas en papel, destrucción segura con registro documentado.

Riesgos frecuentes y cómo mitigarlos

Algunos errores de documentación se repiten en consultas que empiezan con VRET y conviene tenerlos identificados.

1. Anotar SUDS sin contexto. ‘SUDS pico 7’ sin escenario, sin nivel de jerarquía, sin marca temporal es prácticamente inservible para la decisión clínica.

2. Olvidar registrar las incidencias técnicas. Un mareo en sesión 3 que no se anota se repite en sesión 4 con peor manejo.

3. Mezclar la nota clínica con la nota administrativa. Conviene mantener separadas las anotaciones clínicas (en historia clínica) y las administrativas (facturación, horas, asistencia).

4. Almacenar capturas del escenario en el ordenador personal sin cifrado. Si la plataforma genera vistas previas, deben estar dentro del sistema seguro de historia clínica, no en escritorio.

5. Comentar el caso por mensajería personal o correo no profesional. La comunicación de información clínica entre profesionales debe hacerse por canales que cumplan RGPD; el WhatsApp personal del psicólogo no es uno de ellos.

6. No revisar contratos con proveedores. La plataforma VRET, el sistema de historia clínica y el proveedor de copias de seguridad son encargados del tratamiento. Debe haber contrato de encargo del tratamiento firmado con cada uno, conforme al Art. 28 del RGPD.

Este artículo tiene fines informativos para profesionales de la psicología. No constituye asesoría jurídica individualizada ni reemplaza el juicio del psicólogo colegiado a cargo. La implementación concreta de cualquier protocolo de protección de datos en la consulta debe validarse con un Delegado de Protección de Datos o asesor legal especializado. VRET es una herramienta de apoyo a la psicoterapia, no un producto sanitario con marcado CE; su uso es responsabilidad clínica del psicólogo colegiado.