Saltar al contenido principal
← Volver al blog

Privacidad y Seguridad

Ley de Proteccion de Datos Personales para psicologos: que tenes que saber sobre la Ley 25.326

Equipo Brauni6 de enero de 202616 min de lectura
Psicologa revisando las medidas de proteccion de datos personales en su consultorio

Cada vez que un paciente te da su nombre, su telefono, su diagnostico o te cuenta algo en sesion, estas manejando datos personales protegidos por ley. Y no cualquier datos: los datos de salud mental son la categoria mas sensible que existe en la legislacion argentina.

La Ley 25.326 de Proteccion de Datos Personales regula como se recolectan, almacenan, usan y comparten estos datos. Aplica a todo psicologo que trabaje en Argentina, ya sea que lleves tus registros en papel, en una planilla de Excel o en un software clinico.

En este articulo te explicamos que dice la ley, que obligaciones tenes y como cumplirlas sin complicarte.

¿Que es la Ley 25.326?

La Ley 25.326, sancionada en el año 2000, es la norma que regula la proteccion integral de datos personales en Argentina. Es el equivalente argentino al GDPR europeo (aunque anterior y menos estricta en algunos aspectos).

Su objetivo es garantizar el derecho al honor y a la intimidad de las personas, regulando el tratamiento de datos personales registrados en archivos, registros, bancos de datos u otros medios tecnicos.

El organismo de control es la Agencia de Acceso a la Informacion Publica (AAIP), que reemplazo a la antigua Direccion Nacional de Proteccion de Datos Personales.

Nota

La proteccion de datos personales tiene rango constitucional en Argentina. El articulo 43 de la Constitucion Nacional consagra la accion de habeas data.

Conceptos clave que tenes que conocer

Dato personal

Cualquier informacion referida a una persona fisica determinada o determinable. En tu consultorio, esto incluye:

  • Nombre, apellido, DNI
  • Telefono, email, direccion
  • Fecha de nacimiento
  • Datos de la obra social
  • Contacto de emergencia

Dato sensible

Datos personales que revelan origen racial y etnico, opiniones politicas, convicciones religiosas, filosoficas o morales, afiliacion sindical e informacion referente a la salud o a la vida sexual (Art. 2). Son la categoria con mayor proteccion legal.

En tu consultorio, casi todo es dato sensible:

Dato¿Por que es sensible?
DiagnosticoInformacion de salud
Motivo de consultaInformacion de salud
Contenido de sesionesInformacion de salud e intimidad
MedicacionInformacion de salud
Orientacion sexualVida sexual
Creencias religiosasConvicciones religiosas
Historia de consumo de sustanciasInformacion de salud
Ideacion suicidaInformacion de salud

Titular de los datos

La persona a la que se refieren los datos. En tu caso: el paciente.

Responsable de archivo, registro, base o banco de datos

La persona fisica o de existencia ideal, publica o privada, que es titular de un archivo, registro, base o banco de datos (Art. 2). En tu caso: vos como profesional.

Tratamiento de datos

Operaciones y procedimientos sistematicos, electronicos o no, que permitan la recoleccion, conservacion, ordenacion, almacenamiento, modificacion, relacionamiento, evaluacion, bloqueo, destruccion y en general el procesamiento de datos personales, asi como su cesion a terceros (Art. 2).

Disociacion de datos

Todo tratamiento de datos personales de manera que la informacion obtenida no pueda asociarse a persona determinada o determinable (Art. 2). Esto es relevante cuando compartis material clinico en supervision o investigacion.

1. Consentimiento para el tratamiento de datos

La regla general (Art. 5.1) es que el tratamiento de datos personales es ilicito cuando el titular no preste su consentimiento libre, expreso e informado, el cual debera constar por escrito, o por otro medio que permita se le equipare.

Sin embargo, el Art. 5.2.d establece una excepcion importante para psicologos: no es necesario el consentimiento cuando los datos "deriven de una relacion contractual, cientifica o profesional del titular de los datos, y resulten necesarios para su desarrollo o cumplimiento". La relacion terapeutica es una relacion profesional, por lo que los datos necesarios para la atencion clinica estan cubiertos por esta excepcion.

Ademas, el Art. 8 habilita especificamente a los profesionales de la salud a recolectar y tratar datos relativos a la salud de sus pacientes, respetando los principios del secreto profesional.

En la practica: Aunque la ley te habilita a tratar datos sin consentimiento adicional por la relacion profesional, es una buena practica incluir una seccion sobre manejo de datos en tu consentimiento informado. Esto cumple con el deber de informacion (Art. 6) y genera transparencia.

Nota

El Art. 7 de la ley establece que, como regla general, la formacion de archivos que almacenen datos sensibles esta prohibida. Pero el Art. 8 crea la excepcion especifica: los establecimientos sanitarios y los profesionales de la salud pueden recolectar y tratar datos relativos a la salud de sus pacientes, siempre que respeten el secreto profesional.

2. Calidad de los datos (Art. 4)

La ley establece principios estrictos sobre la calidad de los datos:

  • Deben ser ciertos, adecuados, pertinentes y no excesivos en relacion al ambito y finalidad para los que se obtuvieron (Art. 4.1)
  • La recoleccion no puede hacerse por medios desleales o fraudulentos (Art. 4.2)
  • No pueden usarse para finalidades distintas o incompatibles con las que motivaron su obtencion (Art. 4.3). Si un paciente te dio su email para coordinar turnos, no podes usarlo para newsletters (salvo que lo consienta separadamente)
  • Deben ser exactos y actualizarse cuando sea necesario (Art. 4.4)
  • Datos inexactos o incompletos deben ser suprimidos y sustituidos cuando el responsable tenga conocimiento (Art. 4.5)
  • Deben destruirse cuando hayan dejado de ser necesarios o pertinentes a los fines originales (Art. 4.7)

4. Seguridad (Art. 9)

El responsable debe adoptar las medidas tecnicas y organizativas necesarias para garantizar la seguridad y confidencialidad de los datos personales, de modo de evitar su adulteracion, perdida, consulta o tratamiento no autorizado, y que permitan detectar desviaciones, intencionales o no (Art. 9.1).

La ley ademas prohibe registrar datos personales en archivos que no reunan condiciones tecnicas de integridad y seguridad (Art. 9.2). Esto incluye:

  • Control de acceso (¿quien puede ver los datos?)
  • Almacenamiento seguro (¿donde estan los datos?)
  • Proteccion contra perdida o destruccion (¿hay backup?)
  • Proteccion contra acceso no autorizado (¿hay contraseña, encriptacion?)
  • Deteccion de desviaciones (¿podes detectar si alguien accedio sin autorizacion?)

Como manejas datos sensibles de salud, el estandar de seguridad exigible es alto.

5. Deber de confidencialidad (Art. 10)

El responsable y las personas que intervengan en cualquier fase del tratamiento de datos estan obligados al secreto profesional respecto de los mismos. Esta obligacion subsiste aun despues de finalizada la relacion con el titular del archivo de datos (Art. 10.1).

Solo se puede ser relevado de este deber por resolucion judicial o cuando medien razones fundadas relativas a la seguridad publica, la defensa nacional o la salud publica (Art. 10.2).

Si tenes personal administrativo, necesitas un acuerdo de confidencialidad.

6. Deber de informacion (Art. 6)

Cuando recojas datos personales, debes informar previamente al paciente en forma expresa y clara:

  • La finalidad para la que seran tratados y quienes pueden ser sus destinatarios (Art. 6.a)
  • La existencia del archivo y la identidad y domicilio de su responsable (Art. 6.b)
  • El caracter obligatorio o facultativo de las respuestas (Art. 6.c)
  • Las consecuencias de proporcionar los datos, de negarse o de la inexactitud (Art. 6.d)
  • La posibilidad de ejercer los derechos de acceso, rectificacion y supresion (Art. 6.e)

7. Cesion de datos a terceros (Art. 11)

Los datos solo pueden ser cedidos para el cumplimiento de fines directamente relacionados con el interes legitimo del cedente y del cesionario, y con el previo consentimiento del titular (Art. 11.1). El consentimiento para la cesion es revocable (Art. 11.2).

No se exige consentimiento para la cesion cuando se trate de datos relativos a la salud y sea necesario por razones de salud publica, emergencia o estudios epidemiologicos, siempre que se preserve la identidad mediante disociacion adecuada (Art. 11.3.d).

Importante: El cesionario queda sujeto a las mismas obligaciones que el cedente, y ambos responden solidaria y conjuntamente (Art. 11.4). Esto aplica si compartis datos con un supervisor, colega o proveedor de software.

Derechos del paciente sobre sus datos

La ley reconoce los siguientes derechos:

Derecho de informacion (Art. 13)

Toda persona puede solicitar al organismo de control informacion sobre la existencia de archivos, registros o bases de datos personales, sus finalidades y la identidad de sus responsables. Este registro es de consulta publica y gratuita.

Derecho de acceso (Art. 14)

El paciente, previa acreditacion de su identidad, tiene derecho a solicitar y obtener informacion de sus datos personales. Tenes un plazo de 10 dias corridos para responder desde la intimacion fehaciente (Art. 14.2). Si no respondes o la respuesta es insuficiente, queda habilitada la accion de habeas data.

El acceso es gratuito a intervalos no inferiores a 6 meses, salvo interes legitimo (Art. 14.3). En caso de personas fallecidas, el derecho corresponde a sus sucesores universales (Art. 14.4).

La informacion debe ser suministrada en forma clara, exenta de codificaciones y en lenguaje accesible (Art. 15.1), y debe versar sobre la totalidad del registro perteneciente al titular (Art. 15.2).

Derecho de rectificacion, actualizacion o supresion (Art. 16)

Toda persona tiene derecho a que sean rectificados, actualizados y, cuando corresponda, suprimidos o sometidos a confidencialidad sus datos personales (Art. 16.1). Tenes 5 dias habiles para hacerlo desde recibido el reclamo (Art. 16.2).

Sobre la supresion: No procede cuando pudiese causar perjuicios a derechos o intereses legitimos de terceros, o cuando existiera una obligacion legal de conservar los datos (Art. 16.5). Esto es clave para la historia clinica, ya que la Ley 26.529 te obliga a conservarla por 10 años. En la practica:

  • Datos administrativos (telefono, email, obra social): se pueden suprimir
  • Historia clinica: se conserva por el plazo legal, pero se puede bloquear el acceso
  • Datos en sistemas digitales: se anonimiza o se elimina lo que no sea historia clinica

Los datos deben ser conservados durante los plazos previstos en las disposiciones aplicables (Art. 16.7).

La rectificacion, actualizacion o supresion es sin cargo para el interesado (Art. 19).

Consejo

Cuando un paciente ejerce alguno de estos derechos, documenta el pedido y tu respuesta en la historia clinica. Esto te protege ante un eventual reclamo. Si cediste datos a un tercero, debes notificarle la rectificacion o supresion dentro de los 5 dias habiles (Art. 16.4).

¿Que es el habeas data?

El habeas data es la accion judicial que puede iniciar cualquier persona para:

  • Conocer que datos suyos figuran en una base de datos
  • Solicitar la rectificacion, supresion o actualizacion de datos incorrectos
  • Exigir la confidencialidad de datos sensibles

En el contexto de tu consultorio, un paciente podria iniciar un habeas data si:

  • Le negas acceso a su historia clinica
  • No corregis datos incorrectos despues de que te lo pida
  • Compartis sus datos sin consentimiento

Procedimiento: El paciente primero te hace el reclamo a vos (extrajudicial). Si no respondes o no lo satisfaces, puede iniciar la accion judicial ante un juez.

Registro de bases de datos

¿Tenes que registrar tu base de datos?

El Art. 21 establece que todo archivo, registro, base o banco de datos publico, y privado destinado a proporcionar informes, debe inscribirse en el Registro. El Art. 24 agrega que los particulares que formen archivos que no sean para un uso exclusivamente personal deben registrarse conforme al Art. 21. En la practica, esto aplica a:

  • Consultorio individual: si llevas registros de pacientes (papel o digital), tecnicamente deberias registrar la base
  • Instituciones y centros: es obligatorio sin excepcion
  • Software clinico: el proveedor del software debe registrar su propia base

Realidad vs. teoria: Muchos profesionales independientes no registran su base de datos, y la AAIP rara vez fiscaliza consultorios individuales. Sin embargo, el registro es gratuito y online, y te protege ante reclamos. Es recomendable hacerlo.

¿Como registrar?

  1. Ingresa a la web de la AAIP (www.argentina.gob.ar/aaip)
  2. Busca el "Registro Nacional de Bases de Datos"
  3. Completa el formulario con la informacion de tu base (que datos, con que finalidad, que medidas de seguridad, etc.)
  4. El registro es gratuito y se renueva anualmente

Sanciones por incumplimiento

Sanciones administrativas (Art. 31)

El organismo de control puede aplicar: apercibimiento, suspension, multa de $1.000 a $100.000, clausura o cancelacion del archivo, registro o banco de datos (Art. 31.1). Las sanciones se graduan en relacion a la gravedad de la violacion y los perjuicios derivados (Art. 31.2).

Los montos son los de la ley original (año 2000) y se actualizan por reglamentacion.

Sanciones penales (Art. 32)

La ley incorporo dos articulos al Codigo Penal:

  • Art. 117 bis CP: Prision de 1 mes a 2 años para quien insertara a sabiendas datos falsos en un archivo de datos personales. La pena sube a 6 meses a 3 años si proporciona informacion falsa a un tercero. Se aumenta a la mitad si se deriva perjuicio
  • Art. 157 bis CP: Prision de 1 mes a 2 años para quien accediera ilegitimamente a un banco de datos personales, o revelare informacion cuyo secreto estuviere obligado a preservar por ley

Ademas de las sanciones penales y administrativas:

  • Responsabilidad civil: el paciente puede demandar daños y perjuicios
  • Sanciones eticas: del colegio profesional

Situaciones frecuentes en el consultorio

"Un familiar llama y pide informacion"

No podes dar informacion sin consentimiento del paciente. Ni siquiera confirmar que esa persona es tu paciente. La excepcion es si el familiar es el representante legal de un menor o de una persona con capacidad restringida.

"La obra social pide el diagnostico detallado"

Solo estas obligado a informar el codigo de diagnostico (CIE/DSM), la frecuencia de sesiones y el plan general. No el contenido de las sesiones ni informacion clinica detallada.

"Comparto casos con colegas para supervision"

La ley contempla la disociacion de datos (Art. 2): el tratamiento de datos de manera que la informacion no pueda asociarse a persona determinada o determinable. Si disocías correctamente, los datos dejan de ser personales. Si la disociacion no es completa (porque el caso es identificable), necesitas consentimiento del paciente para la cesion (Art. 11) y un acuerdo de confidencialidad con el supervisor.

"Uso Google Drive para guardar historias clinicas"

Google Drive es una herramienta de almacenamiento generico, no un software clinico. El problema principal no es donde estan los servidores, sino que Google Drive no ofrece estructura de historia clinica, no garantiza la inalterabilidad que exige el Art. 13 de la Ley 26.529, y segun sus terminos de servicio, Google puede acceder al contenido almacenado. Deberias verificar que tu cuenta tenga las medidas de seguridad correspondientes (verificacion en dos pasos, encriptacion, acceso restringido).

"Borre sin querer la historia clinica de un paciente"

Si no tenes backup, tenes un problema serio. La ley te obliga a conservar los datos y la Ley 26.529 te obliga a conservar la historia clinica por 10 años. No tener backup no es solo un problema tecnico — es un incumplimiento legal.

"Un paciente me pide que borre todo"

Podes borrar los datos administrativos, pero la historia clinica debe conservarse por el plazo legal (10 años). Explicale al paciente esta limitacion legal y ofrecele bloquear el acceso si no va a continuar el tratamiento.

Checklist de cumplimiento

Usa esta lista para verificar si tu consultorio cumple con la Ley 25.326:

Consentimiento y transparencia

  • Tu consentimiento informado incluye una seccion sobre manejo de datos personales
  • El paciente sabe que datos recoges, para que y donde los guardas
  • El consentimiento consta por escrito o por otro medio equiparable (Art. 5.1)

Seguridad

  • Los registros en papel estan bajo llave
  • Los registros digitales tienen contraseña y, idealmente, encriptacion
  • Tu computadora tiene contraseña de acceso
  • Usas verificacion en dos pasos en tus cuentas digitales
  • Tenes backup de tus registros clinicos
  • Tu red WiFi tiene contraseña segura (no "123456")

Acceso

  • Solo vos (y personal autorizado) accedes a los datos de pacientes
  • El personal administrativo tiene un acuerdo de confidencialidad firmado
  • Si usas un software clinico, verificaste sus medidas de seguridad

Derechos del paciente

  • Sabes como responder a un pedido de acceso (10 dias corridos)
  • Sabes como responder a un pedido de rectificacion (5 dias habiles)
  • Tenes un procedimiento para entregar copia de la historia clinica

Registro

  • Registraste tu base de datos ante la AAIP (recomendado)
  • Renuevas el registro anualmente

Como Brauni te ayuda a cumplir con la Ley 25.326

Brauni fue diseñado teniendo en cuenta la Ley 25.326 desde el primer dia:

  1. Encriptacion de extremo a extremo: Los datos sensibles estan encriptados en reposo y en transito
  2. Control de acceso granular: Solo vos accedes a la informacion de tus pacientes
  3. Consentimiento integrado: El consentimiento informado incluye la seccion de proteccion de datos
  4. Backups automaticos: Nunca vas a perder una historia clinica
  5. Registro de accesos: Auditoria completa de quien accede a que y cuando
  6. Derechos del paciente facilitados: Exporta, rectifica o bloquea datos del paciente en segundos
  7. Datos que no entrenan IA: Tu informacion clinica nunca se usa para entrenar modelos

Probá Brauni gratis durante 15 días

Notas de sesión automáticas, historia clínica digital y más.

Comenzar gratis

Resumen

ConceptoDescripcion
¿Que regula?La recoleccion, almacenamiento, uso y comparticion de datos personales
¿Aplica a psicologos?Si. El Art. 8 habilita a profesionales de la salud a tratar datos de salud de sus pacientes, respetando el secreto profesional
ConsentimientoLibre, expreso e informado, por escrito o medio equiparable (Art. 5.1). No es necesario cuando derive de la relacion profesional (Art. 5.2.d)
Derechos del pacienteInformacion (Art. 13), Acceso — 10 dias corridos (Art. 14), Rectificacion/Supresion — 5 dias habiles (Art. 16)
Habeas dataAccion judicial ante incumplimiento (Art. 33-43)
SancionesAdministrativas: apercibimiento a multa de $1.000-$100.000 y clausura (Art. 31). Penales: prision de 1 mes a 3 años (Art. 32)
ClaveCumplir el deber de informacion (Art. 6), medidas de seguridad adecuadas (Art. 9) y responder cuando el paciente ejerce sus derechos
proteccion de datosley 25326datos sensibleshabeas dataprivacidadpsicologos
Compartir

Seguir leyendo

Artículos relacionados

Consultorio psicologico con medidas de ciberseguridad activadas en la computadora

Privacidad y Seguridad

Ciberseguridad para psicologos: como proteger los datos de tus pacientes

Guia practica de ciberseguridad para el consultorio psicologico. Contraseñas, WiFi, phishing, ransomware, backups y que hacer si te roban la notebook con historias clinicas.

13 de feb de 202611 min de lectura
Psicologo reflexionando sobre los riesgos de usar ChatGPT con datos clinicos de pacientes

Privacidad y Seguridad

¿Usas ChatGPT para escribir informes clinicos? Lo que tenes que saber sobre tus datos

Que pasa con los datos de tus pacientes cuando usas ChatGPT, Gemini u otras IAs generativas para redactar informes o notas clinicas. Riesgos legales, eticos y alternativas seguras.

20 de feb de 202611 min de lectura
Psicologa evaluando opciones de software clinico en su computadora con checklist de seguridad

Privacidad y Seguridad

Como elegir un software clinico seguro: 10 preguntas que hacerle al proveedor

Checklist de seguridad para evaluar cualquier software de gestion clinica para psicologos. Encriptacion, residencia de datos, acceso del proveedor, certificaciones y 10 preguntas clave.

6 de feb de 202611 min de lectura