Negocio de la consulta13 min lectura · 05 de julio de 2026

RGPD y VR clínica: 7 dudas que la AEPD plantea en inspección

Por Equipo VRET

LinkedIn X / Twitter
TL;DR

La AEPD no inspecciona por usar realidad virtual; inspecciona porque alguien se queja o porque tu cifra de actividad ha crecido. Cuando llegan, miran siete cosas concretas. Si las tienes resueltas por escrito y reproducibles en 15 minutos, la visita es trámite. Si no, la sanción media en psicología clínica privada en 2024-2025 fue de 5.000 a 30.000 €. Esta guía resuelve las siete por orden.

Mesa de despacho con carpeta clínica abierta y índice manuscrito junto a libreta y visor de RV

Antes de empezar: por qué te toca a ti

La AEPD no llega por sorteo. Tres situaciones disparan una inspección a una consulta privada española en 2025-2026:

  1. Un paciente presenta queja por uso inadecuado de sus datos (suele ser ex-paciente con vínculo conflictivo).
  2. Una mutua o aseguradora reporta una incidencia de intercambio de datos sin DPA.
  3. Un competidor o ex-empleado de la consulta denuncia deliberadamente (más frecuente de lo que parece en clínicas grupales).

Cuando llegan (en persona o por requerimiento escrito) piden documentación dentro de un plazo de 10 a 30 días naturales. Las siete piezas que vas a tener que enseñar son las que están en este artículo. Si no tienes una, consíguela hoy.

Respuesta canónica para una consulta privada española: artículo 9.2.h del RGPD (tratamiento necesario para fines de medicina preventiva, diagnóstico médico, prestación de asistencia o tratamiento de tipo sanitario, sobre la base del derecho de la Unión o de los Estados miembros) complementado con la disposición adicional 17 de la LOPDGDD.

Lo que el inspector quiere ver: que esta base legal aparece por escrito en tu contrato con el paciente (la hoja de consentimiento informado) y en tu registro de actividades de tratamiento. Si tu CI no menciona RGPD y artículo 9.2.h, el primer punto de la inspección ya es desfavorable.

Duda 2 — ¿Dónde están alojados los datos clínicos generados por el sistema VR?

La AEPD quiere oír «en servidores de la Unión Europea» o «en mi propio equipo en la consulta sin transmisión a la nube». Cualquier respuesta que incluya Estados Unidos sin cláusulas tipo + EU-US Data Privacy Framework actualizado va a derivar en pregunta adicional.

VRET aloja datos clínicos en infraestructura en territorio europeo y firma DPA específico con cada clínica. Si usas otro proveedor, asegúrate de que tu DPA lo especifica por escrito y que tu proveedor te puede aportar el certificado de localización. Para un repaso largo, tenemos un análisis dedicado de qué tiene que cumplir tu proveedor RGPD.

Duda 3 — ¿Has firmado un DPA con tu proveedor de software RV?

El DPA (acuerdo de tratamiento de datos, contrato del artículo 28 RGPD) es obligatorio para cualquier proveedor que procese datos personales de tus pacientes. No es opcional, no se sustituye por términos y condiciones genéricos.

Lo que el inspector pide: el DPA firmado, con fecha de firma anterior al primer tratamiento de datos clínicos, donde aparecen identificadas las medidas técnicas de seguridad, el plazo de conservación, las subencargados de tratamiento y los flujos transfronterizos si los hay. Plantilla operativa: DPA modelo para psicólogos colegiados.

Duda 4 — ¿Tienes registro de actividades de tratamiento (RAT)?

El RAT es obligatorio (art. 30 RGPD) y debe estar actualizado. Para una consulta privada que integra VR, el RAT tiene que documentar al menos:

  • Finalidad: diagnóstico y tratamiento psicológico con apoyo de RV.
  • Categorías de datos: identificativos, salud mental, registros SUDs, vídeo de sesión si lo grabas.
  • Base legal: art. 9.2.h RGPD + DA 17 LOPDGDD.
  • Encargados de tratamiento: proveedor VR (con DPA), alojamiento, copia de seguridad.
  • Plazo de conservación: 5 años post-tratamiento (DA 17), salvo legislación sectorial específica.
  • Medidas de seguridad: cifrado, pseudonimización, control de acceso, copias cifradas.

Si no tienes RAT, la inspección queda paralizada hasta que lo aportes. Mientras tanto, te toca demostrar que NO ha habido tratamiento durante el periodo no documentado, lo que en práctica es imposible. Crea el RAT hoy si no lo tienes.

Archivador metálico de consulta con carpetas clínicas etiquetadas y llave en la cerradura
Recurso descargable

Llévate la versión clínica completa en PDF

Protocolo, escalas y plantillas listas para tu consulta. Sin tarjeta, con doble opt-in (LSSI/RGPD).

Acceder al recurso gratis

Duda 5 — ¿Cómo gestionas los derechos del paciente (acceso, rectificación, supresión, oposición)?

El paciente puede pedir acceder a su historia clínica, incluida la parte VR (registros SUDs, vídeo de sesión si existe, jerarquía de exposición usada). El plazo legal es de un mes, prorrogable a tres en casos complejos.

Lo que el inspector pregunta: el procedimiento que tienes para responder estas solicitudes, quién las recibe, cómo verificas la identidad del solicitante y cómo documentas la respuesta. Si la respuesta es «no se ha dado el caso», el inspector pide ver el documento que describe el procedimiento aunque no se haya ejecutado. La ausencia del procedimiento es la sanción.

Duda 6 — ¿Cifras los datos clínicos en reposo y en tránsito?

La respuesta esperada es sí, tanto en reposo (en el servidor o en el equipo local) como en tránsito (cuando se transmiten entre el visor, el panel del psicólogo y la historia clínica). Algoritmos aceptados por la AEPD: AES-256 para reposo, TLS 1.2/1.3 para tránsito.

Si usas un sistema RV donde los datos viajan sin cifrar entre el visor y el ordenador del psicólogo (poco frecuente pero no imposible en setups antiguos), tienes un problema que va más allá de la inspección AEPD. Para registrar correctamente la sesión, consulta el protocolo de documentación en HCE.

Duda 7 — ¿Hay grabación de vídeo de las sesiones? ¿Quién accede?

La grabación de la sesión VR (vista del psicólogo o vista del paciente) requiere consentimiento informado específico, separable del CI general. La AEPD pregunta:

  • ¿Hay grabación? Sí o no, qué se graba exactamente.
  • ¿El paciente ha firmado un CI específico para la grabación?
  • ¿Quién accede a los vídeos? ¿Tú solo o también un equipo? ¿Hay sesiones de supervisión clínica con vídeo?
  • ¿Cuánto tiempo se conservan? ¿Cómo se borran?

Si grabas para supervisión clínica y compartes con un psicólogo senior, el receptor es un encargado de tratamiento ad hoc o un destinatario habilitado. Documenta esa relación. Para profundizar en errores en supervisión clínica con VR tenemos un artículo dedicado.

El sobre cerrado: cómo organizarlo antes de que llegue la inspección

El psicólogo que aprueba inspecciones AEPD sin estrés tiene una carpeta (física o digital) con siete documentos. Si los preparas hoy, no te toca improvisar mañana:

  1. Consentimiento informado modelo (general + grabación si aplica).
  2. Política de privacidad publicada en tu web o entregada al paciente.
  3. DPA firmado con el proveedor de software RV.
  4. Registro de actividades de tratamiento (RAT) actualizado con la fecha actual.
  5. Procedimiento escrito para responder derechos del paciente (acceso, rectificación, supresión, oposición).
  6. Documento técnico del proveedor sobre cifrado, ubicación de servidores y plan de continuidad.
  7. Análisis de riesgos o evaluación de impacto (EIPD/PIA) si el volumen de pacientes lo requiere.

Si quieres una versión larga con plantillas listas para rellenar y explicación jurídica de cada uno, la guía RGPD para VR clínica reúne las siete piezas en un descargable de 14 páginas. Es nuestro recurso más pedido en consultas de inspección que se acercan.

Y si tu pregunta es «¿esto vale la pena por usar VR una vez al mes?», la respuesta honesta es que el RAT, la base legal y la gestión de derechos son obligatorios uses o no uses RV. La RV no añade complejidad RGPD desproporcionada; solo añade dos preguntas (DPA del proveedor + ubicación de datos). El resto era ya tu obligación.

Este artículo tiene fines informativos para profesionales de la psicología. No constituye consejo clínico individualizado ni reemplaza el juicio del psicólogo colegiado a cargo. VRET es software profesional de apoyo a la práctica clínica, no producto sanitario CE.

Preguntas frecuentes

¿Qué probabilidad real tiene una consulta privada española de recibir inspección AEPD?

Baja en términos absolutos (menos de 1 inspección por cada 10.000 consultas activas/año según datos sectoriales de 2024-2025), pero alta condicionada a queja del paciente. Una queja formal eleva la probabilidad por encima del 60 %. Si tienes flujo de pacientes mensuales por encima de 30 y trabajas con mutuas, asume que tarde o temprano te toca.

¿La sanción media en sanidad mental privada está entre 5.000 € y 30.000 €?

Esos son rangos publicados en resoluciones AEPD 2023-2025 para sanidad y bienestar mental privado de tamaño pequeño-medio. Las sanciones por encima de 50.000 € suelen corresponder a tratamientos masivos de datos (hospitales, aseguradoras, redes de clínicas). Para una consulta individual, el rango realista es ese.

¿Necesito un DPO (Data Protection Officer) si soy un psicólogo solo?

No es obligatorio para un psicólogo individual si no haces tratamiento a gran escala (más de unos miles de pacientes/año típicamente). Pero sí es muy recomendable contratar un asesor DPO en formato consultor externo cuando se va a integrar tecnología nueva con datos clínicos (RV, biofeedback, IA). El coste es de unos pocos cientos de euros por revisión inicial y te ahorra la sanción.

¿Si el paciente me da consentimiento amplio, evito todo el resto del RGPD?

No. El consentimiento informado es una pieza, no el sustituto del cumplimiento. La AEPD inspecciona el cumplimiento objetivo del proveedor, no la actitud del paciente. Aunque tu paciente firme cualquier cosa, sigues siendo responsable de RAT, DPA, cifrado, base legal y procedimiento de derechos.

¿Si trabajo con plataforma estadounidense como TRIPP o Healium para uso clínico, puedo cumplir RGPD?

Es complicado y rara vez resulta defendible en inspección para datos clínicos. Aunque haya cláusulas tipo, el flujo transfronterizo de datos clínicos sensibles a EE. UU. requiere análisis de riesgos profundo y, en muchos casos, garantías adicionales que la plataforma consumer no ofrece. Por eso plataformas como VRET o C2Care diseñadas para consulta clínica europea operan en suelo UE. Si te interesa la comparativa, <a href="/blog/vret-vs-tripp-healium-limbix-vr-clinica">tenemos análisis dedicado del bienestar vs clínica</a>.

¿Quieres este recurso completo?

Descarga la versión completa firmada por nuestro asesor clínico. Sin tarjeta. Cumple LSSI/RGPD con doble opt-in.

Acceso gratuito al recurso

Sin pasos extra: te lo enviamos al instante a tu correo, con el PDF adjunto. Baja en un clic desde el pie de cada email.

Sobre el autor

Equipo VRET

El equipo editorial de VRET coordina contenido clínico revisado por psicólogos colegiados.

VRET es software profesional de apoyo clínico, no producto sanitario CE. La supervisión es del psicólogo colegiado a cargo.