Saltar al contenido principal
Privacidad y Seguridad

Cómo elegir un software clínico seguro: 10 preguntas que hacerle al proveedor

EEquipo Brauni/6 de febrero de 2026/11 min de lectura
La mascota de Brauni con una lupa revisando un checklist de seguridad junto a un escudo con candado

Cada vez más psicólogos migran sus registros clínicos a plataformas digitales. Es lógico: un software clínico bien implementado es más seguro que un cuaderno, más eficiente que una planilla de Excel y más accesible que un archivero de carpetas.

Pero no todos los software son iguales. Algunos encriptan tus datos; otros los almacenan en texto plano. Algunos garantizan que nadie más que vos accede a la información; otros la usan para entrenar modelos de inteligencia artificial. La diferencia entre un software seguro y uno que no lo es puede ser la diferencia entre cumplir la ley y enfrentar una demanda.

En este artículo te damos un framework claro para evaluar cualquier plataforma antes de confiarle los datos más sensibles de tus pacientes.

¿Por qué importa la seguridad del software?

Cuando usás un software clínico, le estás confiando:

  • Nombres, DNIs y datos de contacto de tus pacientes
  • Diagnósticos y planes de tratamiento
  • Contenido de sesiones terapéuticas
  • Medicación y antecedentes de salud
  • Información sobre ideación suicida, abuso, adicciones

Son los datos más sensibles que existen. La Ley 25.326 te hace responsable de la seguridad de esos datos. El Art. 25 regula específicamente la prestación de servicios informatizados: el prestador no puede usar los datos con un fin distinto al contratado, ni cederlos a terceros. Y el Art. 11.4 establece que cedente y cesionario responden solidariamente — es decir, si tu proveedor de software tiene una brecha, vos también sos responsable.

Importante

Si tu proveedor de software sufre una brecha de datos, vos también sos responsable ante tus pacientes. Elegir un software seguro no es un lujo — es una obligación legal.

Las 10 preguntas que hacerle al proveedor

Antes de confiarle tus datos a cualquier plataforma, haceles estas preguntas. Si no pueden responderlas o se ponen evasivos, es una señal de alerta.

1. ¿Los datos están encriptados?

¿Qué preguntar exactamente?

  • ¿Los datos están encriptados en reposo (at rest)?
  • ¿Los datos están encriptados en tránsito (in transit)?
  • ¿Qué algoritmo de encriptación usan?
  • ¿Quién tiene las claves de encriptación?

¿Qué respuesta esperar?

NivelQué significa¿Es suficiente?
Sin encriptaciónLos datos se almacenan en texto planoNo. Descarta este software
Encriptación en tránsito (HTTPS)Los datos viajan encriptados entre tu navegador y el servidorMínimo indispensable, pero no suficiente
Encriptación en reposoLos datos están encriptados en el servidorBien, pero el proveedor puede descifrarlos
Encriptación de extremo a extremo (E2E)Solo vos podés descifrar tus datos. Ni el proveedor puede leerlosIdeal. El máximo estándar

Bandera roja: Si te dicen "usamos HTTPS" como si fuera suficiente. HTTPS es el mínimo para cualquier sitio web — tu banco, tu red social, tu tienda online. Para datos de salud mental, necesitás mucho más.

2. ¿Dónde están almacenados los datos?

¿Qué preguntar?

  • ¿En qué país están los servidores?
  • ¿Qué proveedor de nube usan (AWS, Google Cloud, Azure, otro)?
  • ¿Los datos pueden ser transferidos a otros países?

¿Por qué importa?

Saber dónde están tus datos te permite evaluar las garantías de seguridad y las obligaciones contractuales del proveedor. No es lo mismo un datacenter con certificaciones internacionales que un servidor sin auditorías.

Lo ideal:

  • Proveedor de nube reconocido (AWS, Google Cloud, Azure) con certificaciones de seguridad
  • Encriptación de datos en reposo y en tránsito
  • Política clara sobre dónde están los datos y si se mueven

3. ¿Quién puede acceder a mis datos clínicos?

¿Qué preguntar?

  • ¿El equipo de soporte puede ver el contenido de las historias clínicas?
  • ¿Los desarrolladores tienen acceso a los datos de producción?
  • ¿Hay registros (logs) de quién accede a qué?

¿Qué respuesta esperar?

RespuestaNivel de seguridad
"Nadie accede a tus datos, están encriptados y no tenemos las claves"Excelente (encriptación E2E real)
"Solo un equipo reducido con autorización puede acceder en casos excepcionales"Aceptable, si está documentado
"Nuestro equipo de soporte puede acceder para ayudarte"Preocupante. Significa que pueden leer tus historias clínicas
No saben / no respondenDescarta este software

4. ¿Mis datos se usan para entrenar modelos de IA?

Esta pregunta es cada vez más relevante. Muchos software incorporan funciones de IA (transcripción, resumen de sesiones, sugerencias).

¿Qué preguntar?

  • ¿Los datos clínicos de mis pacientes se usan para entrenar o mejorar modelos de IA?
  • ¿Los datos se comparten con terceros (OpenAI, Google, etc.) para procesamiento?
  • ¿Puedo optar por no usar las funciones de IA sin perder funcionalidad?

La única respuesta aceptable es NO. Tus datos clínicos no deben usarse para entrenar modelos de IA. El Art. 4.3 de la Ley 25.326 prohíbe usar datos para finalidades distintas o incompatibles con las que motivaron su obtención, y el Art. 25 establece que el prestador de servicios informatizados no puede aplicar los datos con un fin distinto al contratado.

Nota

Que un software use IA para ayudarte no es malo. Lo que es inaceptable es que use los datos de tus pacientes para entrenar esa IA. Son dos cosas muy diferentes.

5. ¿Qué pasa con mis datos si cancelo la suscripción?

¿Qué preguntar?

  • ¿Puedo exportar todos mis datos antes de cancelar?
  • ¿En qué formato se exportan? (PDF, CSV, otro)
  • ¿Cuánto tiempo conservan mis datos después de cancelar?
  • ¿Se eliminan definitivamente después de un período?

¿Por qué importa?

Si un software cierra, cambia de políticas o simplemente deja de convenirte, necesitás poder llevarte tus datos. Recordá que la Ley 26.529 te obliga a conservar historias clínicas por 10 años. Si no podés exportar, tenés un problema legal.

Lo ideal:

  • Exportación completa en formato estándar (PDF como mínimo)
  • Período de gracia después de cancelar (30-90 días)
  • Eliminación definitiva después del período de gracia, con confirmación

Bandera roja: Software que no permite exportar datos o que te cobra extra por hacerlo.

6. ¿Tienen backups? ¿Con qué frecuencia?

¿Qué preguntar?

  • ¿Con qué frecuencia se hacen backups?
  • ¿Los backups también están encriptados?
  • ¿Dónde se almacenan los backups? (¿diferente ubicación que los datos principales?)
  • ¿Cuánto tardan en restaurar datos si hay un problema?

Lo ideal:

  • Backups diarios como mínimo
  • Backups encriptados
  • Almacenamiento en ubicación geográfica diferente
  • RPO (Recovery Point Objective) de máximo 24 horas
  • RTO (Recovery Time Objective) de máximo unas horas

7. ¿Cumplen con la legislación argentina de protección de datos?

¿Qué preguntar?

  • ¿Cumplen con la Ley 25.326?
  • ¿Están registrados ante la AAIP?
  • ¿Tienen un Delegado de Protección de Datos?
  • ¿Realizan evaluaciones de impacto en la privacidad?

Contexto: Muchos software clínicos son de origen extranjero (EEUU, España) y no están familiarizados con la legislación argentina. Si el proveedor no conoce la Ley 25.326 o la Ley 26.529, eso es un problema.

8. ¿Qué medidas de seguridad tienen implementadas?

¿Qué preguntar?

  • ¿Ofrecen verificación en dos pasos (2FA)?
  • ¿Las sesiones expiran automáticamente por inactividad?
  • ¿Hay registro de inicio de sesión (login logs)?
  • ¿Realizan auditorías de seguridad periódicas?
  • ¿Hacen pruebas de penetración (pentesting)?

Checklist mínima:

Medida¿Es imprescindible?
HTTPS en toda la plataforma
Verificación en dos pasos
Expiración de sesión por inactividad
Registro de accesos
Auditorías de seguridadMuy recomendable
Pentesting periódicoMuy recomendable
Certificaciones (SOC 2, ISO 27001)Ideal

9. ¿Qué pasa en caso de una brecha de seguridad?

¿Qué preguntar?

  • ¿Tienen un plan de respuesta ante incidentes?
  • ¿En cuánto tiempo me notifican si hay una brecha?
  • ¿Qué información me dan sobre el alcance del incidente?
  • ¿Han tenido brechas de seguridad previamente?

Lo ideal:

  • Notificación en menos de 72 horas
  • Información detallada sobre qué datos fueron afectados
  • Plan de acción para mitigar el daño
  • Transparencia total (si ocultan incidentes, es una bandera roja enorme)

10. ¿Tienen términos de servicio y política de privacidad claros?

¿Qué verificar?

  • ¿Los términos están en español y son comprensibles?
  • ¿La política de privacidad detalla qué datos recolectan y para qué?
  • ¿Hay cláusulas abusivas? (por ejemplo: "nos reservamos el derecho de usar sus datos para cualquier propósito")
  • ¿Pueden cambiar los términos sin previo aviso?

Banderas rojas en términos de servicio:

  • "Usted nos otorga una licencia irrevocable sobre sus datos"
  • "Podemos compartir datos con terceros para mejorar nuestros servicios"
  • "Nos reservamos el derecho de modificar estos términos en cualquier momento"
  • Ausencia total de mención a la Ley 25.326

Tabla comparativa: tipos de software

CriterioPlanilla Excel / Google SheetsSoftware genérico (Notion, Trello)Software clínico especializado
Encriptación E2ENoNoDepende del proveedor
Diseñado para datos de saludNoNo
Cumple Ley 25.326Responsabilidad tuyaImprobableDebería
Backup automáticoNo (salvo Google)ParcialGeneralmente sí
Control de acceso granularNoLimitado
Exportación de datosParcialDebería
Soporte ante incidentesNoGenéricoEspecializado

Importante

Usar Google Sheets, Notion o Trello para almacenar historias clínicas no es ilegal, pero te hace 100% responsable de la seguridad de esos datos. Estas plataformas no fueron diseñadas para datos de salud mental y no cumplen automáticamente con la legislación.

Señales de alerta

Desconfiá de un software clínico si:

  • No tiene política de privacidad o es genérica / copiada
  • No puede explicar cómo encripta los datos o usa términos vagos ("usamos la última tecnología")
  • El equipo de soporte puede leer tus notas clínicas "para ayudarte mejor"
  • No permite exportar datos o cobra por hacerlo
  • No ofrece 2FA (verificación en dos pasos)
  • Los términos de servicio te ceden derechos sobre tus datos
  • No conocen la Ley 25.326 ni la Ley 26.529
  • Usan tus datos para entrenar IA o los comparten con terceros
  • No han tenido nunca una auditoría de seguridad
  • Son evasivos cuando preguntás sobre seguridad

Señales positivas

Confiá más en un software clínico si:

  • Tiene encriptación de extremo a extremo documentada
  • Publica su política de seguridad y es específica
  • Tiene certificaciones reconocidas (SOC 2, ISO 27001, HIPAA)
  • Ofrece 2FA y lo recomienda activamente
  • Permite exportación completa de datos en formato estándar
  • Tiene política de no entrenar IA con tus datos explícita
  • Hace auditorías de seguridad y las comunica
  • Conoce y cumple la legislación argentina
  • Es transparente sobre incidentes pasados (si los hubo)
  • Tiene documentación clara sobre dónde están los datos y quién accede

Cómo responde Brauni a estas 10 preguntas

PreguntaRespuesta de Brauni
1. ¿Encriptación?Encriptación de extremo a extremo. Ni el equipo de Brauni puede leer tus datos
2. ¿Dónde están los datos?Infraestructura en la nube con proveedores certificados
3. ¿Quién accede?Solo vos. El equipo de Brauni no tiene acceso al contenido clínico
4. ¿Entrenan IA con mis datos?No. Nunca. Tu información clínica no se usa para entrenar modelos
5. ¿Puedo exportar?Sí. Exportación completa en PDF en cualquier momento
6. ¿Backups?Automáticos y diarios, encriptados y en ubicación separada
7. ¿Legislación argentina?Diseñado para cumplir con la Ley 25.326 y 26.529
8. ¿Medidas de seguridad?2FA, expiración de sesión, registro de accesos, auditorías periódicas
9. ¿Plan ante brechas?Plan de respuesta ante incidentes con notificación inmediata
10. ¿Términos claros?Política de privacidad en español, sin cláusulas abusivas

Probá Brauni gratis durante 15 días, sin tarjeta

Notas de sesión automáticas, historia clínica digital y más.

Comenzar gratis

Resumen

CriterioMínimo aceptableIdeal
EncriptaciónEn tránsito (HTTPS) + en reposoExtremo a extremo
Acceso del proveedorLimitado y documentadoCero acceso al contenido clínico
Uso de datos para IAOpt-out disponibleNo se usan, nunca
ExportaciónPDF básicoExportación completa en formato estándar
BackupsDiariosDiarios, encriptados, en ubicación separada
2FADisponibleDisponible y recomendado
LegislaciónMención genéricaCumplimiento específico de Ley 25.326 y 26.529
TransparenciaPolítica de privacidadDocumentación de seguridad pública + auditorías
software clinicoseguridadencriptacionproteccion de datospsicologosevaluacion
Compartir
Seguir leyendo

Artículos relacionados

Escribinos