Privacidad y Seguridad
Como elegir un software clinico seguro: 10 preguntas que hacerle al proveedor
Cada vez mas psicologos migran sus registros clinicos a plataformas digitales. Es logico: un software clinico bien implementado es mas seguro que un cuaderno, mas eficiente que una planilla de Excel y mas accesible que un archivero de carpetas.
Pero no todos los software son iguales. Algunos encriptan tus datos; otros los almacenan en texto plano. Algunos garantizan que nadie mas que vos accede a la informacion; otros la usan para entrenar modelos de inteligencia artificial. La diferencia entre un software seguro y uno que no lo es puede ser la diferencia entre cumplir la ley y enfrentar una demanda.
En este articulo te damos un framework claro para evaluar cualquier plataforma antes de confiarle los datos mas sensibles de tus pacientes.
¿Por que importa la seguridad del software?
Cuando usas un software clinico, le estas confiando:
- Nombres, DNIs y datos de contacto de tus pacientes
- Diagnosticos y planes de tratamiento
- Contenido de sesiones terapeuticas
- Medicacion y antecedentes de salud
- Informacion sobre ideacion suicida, abuso, adicciones
Son los datos mas sensibles que existen. La Ley 25.326 te hace responsable de la seguridad de esos datos. El Art. 25 regula especificamente la prestacion de servicios informatizados: el prestador no puede usar los datos con un fin distinto al contratado, ni cederlos a terceros. Y el Art. 11.4 establece que cedente y cesionario responden solidariamente — es decir, si tu proveedor de software tiene una brecha, vos tambien sos responsable.
Importante
Si tu proveedor de software sufre una brecha de datos, vos tambien sos responsable ante tus pacientes. Elegir un software seguro no es un lujo — es una obligacion legal.
Las 10 preguntas que hacerle al proveedor
Antes de confiarle tus datos a cualquier plataforma, haceles estas preguntas. Si no pueden responderlas o se ponen evasivos, es una señal de alerta.
1. ¿Los datos estan encriptados?
¿Que preguntar exactamente?
- ¿Los datos estan encriptados en reposo (at rest)?
- ¿Los datos estan encriptados en transito (in transit)?
- ¿Que algoritmo de encriptacion usan?
- ¿Quien tiene las claves de encriptacion?
¿Que respuesta esperar?
| Nivel | Que significa | ¿Es suficiente? |
|---|---|---|
| Sin encriptacion | Los datos se almacenan en texto plano | No. Descarta este software |
| Encriptacion en transito (HTTPS) | Los datos viajan encriptados entre tu navegador y el servidor | Minimo indispensable, pero no suficiente |
| Encriptacion en reposo | Los datos estan encriptados en el servidor | Bien, pero el proveedor puede descifrarlos |
| Encriptacion de extremo a extremo (E2E) | Solo vos podes descifrar tus datos. Ni el proveedor puede leerlos | Ideal. El maximo estandar |
Bandera roja: Si te dicen "usamos HTTPS" como si fuera suficiente. HTTPS es el minimo para cualquier sitio web — tu banco, tu red social, tu tienda online. Para datos de salud mental, necesitas mucho mas.
2. ¿Donde estan almacenados los datos?
¿Que preguntar?
- ¿En que pais estan los servidores?
- ¿Que proveedor de nube usan (AWS, Google Cloud, Azure, otro)?
- ¿Los datos pueden ser transferidos a otros paises?
¿Por que importa?
Saber donde estan tus datos te permite evaluar las garantias de seguridad y las obligaciones contractuales del proveedor. No es lo mismo un datacenter con certificaciones internacionales que un servidor sin auditorias.
Lo ideal:
- Proveedor de nube reconocido (AWS, Google Cloud, Azure) con certificaciones de seguridad
- Encriptacion de datos en reposo y en transito
- Politica clara sobre donde estan los datos y si se mueven
3. ¿Quien puede acceder a mis datos clinicos?
¿Que preguntar?
- ¿El equipo de soporte puede ver el contenido de las historias clinicas?
- ¿Los desarrolladores tienen acceso a los datos de produccion?
- ¿Hay registros (logs) de quien accede a que?
¿Que respuesta esperar?
| Respuesta | Nivel de seguridad |
|---|---|
| "Nadie accede a tus datos, estan encriptados y no tenemos las claves" | Excelente (encriptacion E2E real) |
| "Solo un equipo reducido con autorizacion puede acceder en casos excepcionales" | Aceptable, si esta documentado |
| "Nuestro equipo de soporte puede acceder para ayudarte" | Preocupante. Significa que pueden leer tus historias clinicas |
| No saben / no responden | Descarta este software |
4. ¿Mis datos se usan para entrenar modelos de IA?
Esta pregunta es cada vez mas relevante. Muchos software incorporan funciones de IA (transcripcion, resumen de sesiones, sugerencias).
¿Que preguntar?
- ¿Los datos clinicos de mis pacientes se usan para entrenar o mejorar modelos de IA?
- ¿Los datos se comparten con terceros (OpenAI, Google, etc.) para procesamiento?
- ¿Puedo optar por no usar las funciones de IA sin perder funcionalidad?
La unica respuesta aceptable es NO. Tus datos clinicos no deben usarse para entrenar modelos de IA. El Art. 4.3 de la Ley 25.326 prohibe usar datos para finalidades distintas o incompatibles con las que motivaron su obtencion, y el Art. 25 establece que el prestador de servicios informatizados no puede aplicar los datos con un fin distinto al contratado.
Nota
Que un software use IA para ayudarte no es malo. Lo que es inaceptable es que use los datos de tus pacientes para entrenar esa IA. Son dos cosas muy diferentes.
5. ¿Que pasa con mis datos si cancelo la suscripcion?
¿Que preguntar?
- ¿Puedo exportar todos mis datos antes de cancelar?
- ¿En que formato se exportan? (PDF, CSV, otro)
- ¿Cuanto tiempo conservan mis datos despues de cancelar?
- ¿Se eliminan definitivamente despues de un periodo?
¿Por que importa?
Si un software cierra, cambia de politicas o simplemente deja de convenirte, necesitas poder llevarte tus datos. Recordá que la Ley 26.529 te obliga a conservar historias clinicas por 10 años. Si no podes exportar, tenes un problema legal.
Lo ideal:
- Exportacion completa en formato estandar (PDF como minimo)
- Periodo de gracia despues de cancelar (30-90 dias)
- Eliminacion definitiva despues del periodo de gracia, con confirmacion
Bandera roja: Software que no permite exportar datos o que te cobra extra por hacerlo.
6. ¿Tienen backups? ¿Con que frecuencia?
¿Que preguntar?
- ¿Con que frecuencia se hacen backups?
- ¿Los backups tambien estan encriptados?
- ¿Donde se almacenan los backups? (¿diferente ubicacion que los datos principales?)
- ¿Cuanto tardan en restaurar datos si hay un problema?
Lo ideal:
- Backups diarios como minimo
- Backups encriptados
- Almacenamiento en ubicacion geografica diferente
- RPO (Recovery Point Objective) de maximo 24 horas
- RTO (Recovery Time Objective) de maximo unas horas
7. ¿Cumplen con la legislacion argentina de proteccion de datos?
¿Que preguntar?
- ¿Cumplen con la Ley 25.326?
- ¿Estan registrados ante la AAIP?
- ¿Tienen un Delegado de Proteccion de Datos?
- ¿Realizan evaluaciones de impacto en la privacidad?
Contexto: Muchos software clinicos son de origen extranjero (EEUU, España) y no estan familiarizados con la legislacion argentina. Si el proveedor no conoce la Ley 25.326 o la Ley 26.529, eso es un problema.
8. ¿Que medidas de seguridad tienen implementadas?
¿Que preguntar?
- ¿Ofrecen verificacion en dos pasos (2FA)?
- ¿Las sesiones expiran automaticamente por inactividad?
- ¿Hay registro de inicio de sesion (login logs)?
- ¿Realizan auditorias de seguridad periodicas?
- ¿Hacen pruebas de penetracion (pentesting)?
Checklist minima:
| Medida | ¿Es imprescindible? |
|---|---|
| HTTPS en toda la plataforma | Si |
| Verificacion en dos pasos | Si |
| Expiracion de sesion por inactividad | Si |
| Registro de accesos | Si |
| Auditorias de seguridad | Muy recomendable |
| Pentesting periodico | Muy recomendable |
| Certificaciones (SOC 2, ISO 27001) | Ideal |
9. ¿Que pasa en caso de una brecha de seguridad?
¿Que preguntar?
- ¿Tienen un plan de respuesta ante incidentes?
- ¿En cuanto tiempo me notifican si hay una brecha?
- ¿Que informacion me dan sobre el alcance del incidente?
- ¿Han tenido brechas de seguridad previamente?
Lo ideal:
- Notificacion en menos de 72 horas
- Informacion detallada sobre que datos fueron afectados
- Plan de accion para mitigar el daño
- Transparencia total (si ocultan incidentes, es una bandera roja enorme)
10. ¿Tienen terminos de servicio y politica de privacidad claros?
¿Que verificar?
- ¿Los terminos estan en español y son comprensibles?
- ¿La politica de privacidad detalla que datos recolectan y para que?
- ¿Hay clausulas abusivas? (por ejemplo: "nos reservamos el derecho de usar sus datos para cualquier proposito")
- ¿Pueden cambiar los terminos sin previo aviso?
Banderas rojas en terminos de servicio:
- "Usted nos otorga una licencia irrevocable sobre sus datos"
- "Podemos compartir datos con terceros para mejorar nuestros servicios"
- "Nos reservamos el derecho de modificar estos terminos en cualquier momento"
- Ausencia total de mencion a la Ley 25.326
Tabla comparativa: tipos de software
| Criterio | Planilla Excel / Google Sheets | Software generico (Notion, Trello) | Software clinico especializado |
|---|---|---|---|
| Encriptacion E2E | No | No | Depende del proveedor |
| Diseñado para datos de salud | No | No | Si |
| Cumple Ley 25.326 | Responsabilidad tuya | Improbable | Deberia |
| Backup automatico | No (salvo Google) | Parcial | Generalmente si |
| Control de acceso granular | No | Limitado | Si |
| Exportacion de datos | Si | Parcial | Deberia |
| Soporte ante incidentes | No | Generico | Especializado |
Importante
Usar Google Sheets, Notion o Trello para almacenar historias clinicas no es ilegal, pero te hace 100% responsable de la seguridad de esos datos. Estas plataformas no fueron diseñadas para datos de salud mental y no cumplen automaticamente con la legislacion.
Señales de alerta
Desconfia de un software clinico si:
- No tiene politica de privacidad o es generica / copiada
- No puede explicar como encripta los datos o usa terminos vagos ("usamos la ultima tecnologia")
- El equipo de soporte puede leer tus notas clinicas "para ayudarte mejor"
- No permite exportar datos o cobra por hacerlo
- No ofrece 2FA (verificacion en dos pasos)
- Los terminos de servicio te ceden derechos sobre tus datos
- No conocen la Ley 25.326 ni la Ley 26.529
- Usan tus datos para entrenar IA o los comparten con terceros
- No han tenido nunca una auditoria de seguridad
- Son evasivos cuando preguntas sobre seguridad
Señales positivas
Confia mas en un software clinico si:
- Tiene encriptacion de extremo a extremo documentada
- Publica su politica de seguridad y es especifica
- Tiene certificaciones reconocidas (SOC 2, ISO 27001, HIPAA)
- Ofrece 2FA y lo recomienda activamente
- Permite exportacion completa de datos en formato estandar
- Tiene politica de no entrenar IA con tus datos explicita
- Hace auditorias de seguridad y las comunica
- Conoce y cumple la legislacion argentina
- Es transparente sobre incidentes pasados (si los hubo)
- Tiene documentacion clara sobre donde estan los datos y quien accede
Como responde Brauni a estas 10 preguntas
| Pregunta | Respuesta de Brauni |
|---|---|
| 1. ¿Encriptacion? | Encriptacion de extremo a extremo. Ni el equipo de Brauni puede leer tus datos |
| 2. ¿Donde estan los datos? | Infraestructura en la nube con proveedores certificados |
| 3. ¿Quien accede? | Solo vos. El equipo de Brauni no tiene acceso al contenido clinico |
| 4. ¿Entrenan IA con mis datos? | No. Nunca. Tu informacion clinica no se usa para entrenar modelos |
| 5. ¿Puedo exportar? | Si. Exportacion completa en PDF en cualquier momento |
| 6. ¿Backups? | Automaticos y diarios, encriptados y en ubicacion separada |
| 7. ¿Legislacion argentina? | Diseñado para cumplir con la Ley 25.326 y 26.529 |
| 8. ¿Medidas de seguridad? | 2FA, expiracion de sesion, registro de accesos, auditorias periodicas |
| 9. ¿Plan ante brechas? | Plan de respuesta ante incidentes con notificacion inmediata |
| 10. ¿Terminos claros? | Politica de privacidad en español, sin clausulas abusivas |
Probá Brauni gratis durante 15 días
Notas de sesión automáticas, historia clínica digital y más.
Comenzar gratisResumen
| Criterio | Minimo aceptable | Ideal |
|---|---|---|
| Encriptacion | En transito (HTTPS) + en reposo | Extremo a extremo |
| Acceso del proveedor | Limitado y documentado | Cero acceso al contenido clinico |
| Uso de datos para IA | Opt-out disponible | No se usan, nunca |
| Exportacion | PDF basico | Exportacion completa en formato estandar |
| Backups | Diarios | Diarios, encriptados, en ubicacion separada |
| 2FA | Disponible | Disponible y recomendado |
| Legislacion | Mencion generica | Cumplimiento especifico de Ley 25.326 y 26.529 |
| Transparencia | Politica de privacidad | Documentacion de seguridad publica + auditorias |
Seguir leyendo
Artículos relacionados
Privacidad y Seguridad
Ciberseguridad para psicologos: como proteger los datos de tus pacientes
Guia practica de ciberseguridad para el consultorio psicologico. Contraseñas, WiFi, phishing, ransomware, backups y que hacer si te roban la notebook con historias clinicas.
Privacidad y Seguridad
Notas de sesion en papel o Google Drive: por que no cumplis la ley y que alternativa tenes
Guardar notas de sesion en papel, cuadernos o Google Drive conlleva la misma responsabilidad legal que usar un software clinico, pero con mucha menos proteccion. Que dice la ley y por que un software seguro es mejor opcion.
Privacidad y Seguridad
Ley de Proteccion de Datos Personales para psicologos: que tenes que saber sobre la Ley 25.326
Guia practica sobre la Ley 25.326 de Proteccion de Datos Personales aplicada al consultorio psicologico. Datos sensibles, obligaciones, habeas data, sanciones y como cumplir sin complicarte.