Ley de Protección de Datos Personales para psicólogos: qué tenés que saber sobre la Ley 25.326

Cada vez que un paciente te da su nombre, su teléfono, su diagnóstico o te cuenta algo en sesión, estás manejando datos personales protegidos por ley. Y no cualquier datos: los datos de salud mental son la categoría más sensible que existe en la legislación argentina.
La Ley 25.326 de Protección de Datos Personales regula cómo se recolectan, almacenan, usan y comparten estos datos. Aplica a todo psicólogo que trabaje en Argentina, ya sea que lleves tus registros en papel, en una planilla de Excel o en un software clínico.
En este artículo te explicamos qué dice la ley, qué obligaciones tenés y cómo cumplirlas sin complicarte.
¿Qué es la Ley 25.326?
La Ley 25.326, sancionada en el año 2000, es la norma que regula la protección integral de datos personales en Argentina. Es el equivalente argentino al GDPR europeo (aunque anterior y menos estricta en algunos aspectos).
Su objetivo es garantizar el derecho al honor y a la intimidad de las personas, regulando el tratamiento de datos personales registrados en archivos, registros, bancos de datos u otros medios técnicos.
El organismo de control es la Agencia de Acceso a la Información Pública (AAIP), que reemplazó a la antigua Dirección Nacional de Protección de Datos Personales.
Nota
La protección de datos personales tiene rango constitucional en Argentina. El artículo 43 de la Constitución Nacional consagra la acción de habeas data.
Conceptos clave que tenés que conocer
Dato personal
Cualquier información referida a una persona física determinada o determinable. En tu consultorio, esto incluye:
- Nombre, apellido, DNI
- Teléfono, email, dirección
- Fecha de nacimiento
- Datos de la obra social
- Contacto de emergencia
Dato sensible
Datos personales que revelan origen racial y étnico, opiniones políticas, convicciones religiosas, filosóficas o morales, afiliación sindical e información referente a la salud o a la vida sexual (Art. 2). Son la categoría con mayor protección legal.
En tu consultorio, casi todo es dato sensible:
| Dato | ¿Por qué es sensible? |
|---|---|
| Diagnóstico | Información de salud |
| Motivo de consulta | Información de salud |
| Contenido de sesiones | Información de salud e intimidad |
| Medicación | Información de salud |
| Orientación sexual | Vida sexual |
| Creencias religiosas | Convicciones religiosas |
| Historia de consumo de sustancias | Información de salud |
| Ideación suicida | Información de salud |
Titular de los datos
La persona a la que se refieren los datos. En tu caso: el paciente.
Responsable de archivo, registro, base o banco de datos
La persona física o de existencia ideal, pública o privada, que es titular de un archivo, registro, base o banco de datos (Art. 2). En tu caso: vos como profesional.
Tratamiento de datos
Operaciones y procedimientos sistemáticos, electrónicos o no, que permitan la recolección, conservación, ordenación, almacenamiento, modificación, relacionamiento, evaluación, bloqueo, destrucción y en general el procesamiento de datos personales, así como su cesión a terceros (Art. 2).
Disociación de datos
Todo tratamiento de datos personales de manera que la información obtenida no pueda asociarse a persona determinada o determinable (Art. 2). Esto es relevante cuando compartís material clínico en supervisión o investigación.
¿Qué obligaciones tenés como psicólogo?
1. Consentimiento para el tratamiento de datos
La regla general (Art. 5.1) es que el tratamiento de datos personales es ilícito cuando el titular no preste su consentimiento libre, expreso e informado, el cual deberá constar por escrito, o por otro medio que permita se le equipare.
Sin embargo, el Art. 5.2.d establece una excepción importante para psicólogos: no es necesario el consentimiento cuando los datos "deriven de una relación contractual, científica o profesional del titular de los datos, y resulten necesarios para su desarrollo o cumplimiento". La relación terapéutica es una relación profesional, por lo que los datos necesarios para la atención clínica están cubiertos por esta excepción.
Además, el Art. 8 habilita específicamente a los profesionales de la salud a recolectar y tratar datos relativos a la salud de sus pacientes, respetando los principios del secreto profesional.
En la práctica: Aunque la ley te habilita a tratar datos sin consentimiento adicional por la relación profesional, es una buena práctica incluir una sección sobre manejo de datos en tu consentimiento informado. Esto cumple con el deber de información (Art. 6) y genera transparencia.
Nota
El Art. 7 de la ley establece que, como regla general, la formación de archivos que almacenen datos sensibles está prohibida. Pero el Art. 8 crea la excepción específica: los establecimientos sanitarios y los profesionales de la salud pueden recolectar y tratar datos relativos a la salud de sus pacientes, siempre que respeten el secreto profesional.
2. Calidad de los datos (Art. 4)
La ley establece principios estrictos sobre la calidad de los datos:
- Deben ser ciertos, adecuados, pertinentes y no excesivos en relación al ámbito y finalidad para los que se obtuvieron (Art. 4.1)
- La recolección no puede hacerse por medios desleales o fraudulentos (Art. 4.2)
- No pueden usarse para finalidades distintas o incompatibles con las que motivaron su obtención (Art. 4.3). Si un paciente te dio su email para coordinar turnos, no podés usarlo para newsletters (salvo que lo consienta separadamente)
- Deben ser exactos y actualizarse cuando sea necesario (Art. 4.4)
- Datos inexactos o incompletos deben ser suprimidos y sustituidos cuando el responsable tenga conocimiento (Art. 4.5)
- Deben destruirse cuando hayan dejado de ser necesarios o pertinentes a los fines originales (Art. 4.7)
4. Seguridad (Art. 9)
El responsable debe adoptar las medidas técnicas y organizativas necesarias para garantizar la seguridad y confidencialidad de los datos personales, de modo de evitar su adulteración, pérdida, consulta o tratamiento no autorizado, y que permitan detectar desviaciones, intencionales o no (Art. 9.1).
La ley además prohíbe registrar datos personales en archivos que no reúnan condiciones técnicas de integridad y seguridad (Art. 9.2). Esto incluye:
- Control de acceso (¿quién puede ver los datos?)
- Almacenamiento seguro (¿dónde están los datos?)
- Protección contra pérdida o destrucción (¿hay backup?)
- Protección contra acceso no autorizado (¿hay contraseña, encriptación?)
- Detección de desviaciones (¿podés detectar si alguien accedió sin autorización?)
Como manejas datos sensibles de salud, el estándar de seguridad exigible es alto.
5. Deber de confidencialidad (Art. 10)
El responsable y las personas que intervengan en cualquier fase del tratamiento de datos están obligados al secreto profesional respecto de los mismos. Esta obligación subsiste aun después de finalizada la relación con el titular del archivo de datos (Art. 10.1).
Solo se puede ser relevado de este deber por resolución judicial o cuando medien razones fundadas relativas a la seguridad pública, la defensa nacional o la salud pública (Art. 10.2).
Si tenés personal administrativo, necesitas un acuerdo de confidencialidad.
6. Deber de información (Art. 6)
Cuando recojas datos personales, debes informar previamente al paciente en forma expresa y clara:
- La finalidad para la que serán tratados y quienes pueden ser sus destinatarios (Art. 6.a)
- La existencia del archivo y la identidad y domicilio de su responsable (Art. 6.b)
- El carácter obligatorio o facultativo de las respuestas (Art. 6.c)
- Las consecuencias de proporcionar los datos, de negarse o de la inexactitud (Art. 6.d)
- La posibilidad de ejercer los derechos de acceso, rectificación y supresión (Art. 6.e)
7. Cesión de datos a terceros (Art. 11)
Los datos solo pueden ser cedidos para el cumplimiento de fines directamente relacionados con el interés legítimo del cedente y del cesionario, y con el previo consentimiento del titular (Art. 11.1). El consentimiento para la cesión es revocable (Art. 11.2).
No se exige consentimiento para la cesión cuando se trate de datos relativos a la salud y sea necesario por razones de salud pública, emergencia o estudios epidemiológicos, siempre que se preserve la identidad mediante disociación adecuada (Art. 11.3.d).
Importante: El cesionario queda sujeto a las mismas obligaciones que el cedente, y ambos responden solidaria y conjuntamente (Art. 11.4). Esto aplica si compartís datos con un supervisor, colega o proveedor de software.
Derechos del paciente sobre sus datos
La ley reconoce los siguientes derechos:
Derecho de información (Art. 13)
Toda persona puede solicitar al organismo de control información sobre la existencia de archivos, registros o bases de datos personales, sus finalidades y la identidad de sus responsables. Este registro es de consulta pública y gratuita.
Derecho de acceso (Art. 14)
El paciente, previa acreditación de su identidad, tiene derecho a solicitar y obtener información de sus datos personales. Tenés un plazo de 10 días corridos para responder desde la intimación fehaciente (Art. 14.2). Si no respondes o la respuesta es insuficiente, queda habilitada la acción de habeas data.
El acceso es gratuito a intervalos no inferiores a 6 meses, salvo interés legítimo (Art. 14.3). En caso de personas fallecidas, el derecho corresponde a sus sucesores universales (Art. 14.4).
La información debe ser suministrada en forma clara, exenta de codificaciones y en lenguaje accesible (Art. 15.1), y debe versar sobre la totalidad del registro perteneciente al titular (Art. 15.2).
Derecho de rectificación, actualización o supresión (Art. 16)
Toda persona tiene derecho a que sean rectificados, actualizados y, cuando corresponda, suprimidos o sometidos a confidencialidad sus datos personales (Art. 16.1). Tenés 5 días hábiles para hacerlo desde recibido el reclamo (Art. 16.2).
Sobre la supresión: No procede cuando pudiese causar perjuicios a derechos o intereses legítimos de terceros, o cuando existiera una obligación legal de conservar los datos (Art. 16.5). Esto es clave para la historia clínica, ya que la Ley 26.529 te obliga a conservarla por 10 años. En la práctica:
- Datos administrativos (teléfono, email, obra social): se pueden suprimir
- Historia clínica: se conserva por el plazo legal, pero se puede bloquear el acceso
- Datos en sistemas digitales: se anonimiza o se elimina lo que no sea historia clínica
Los datos deben ser conservados durante los plazos previstos en las disposiciones aplicables (Art. 16.7).
La rectificación, actualización o supresión es sin cargo para el interesado (Art. 19).
Consejo
Cuando un paciente ejerce alguno de estos derechos, documenta el pedido y tu respuesta en la historia clínica. Esto te protege ante un eventual reclamo. Si cediste datos a un tercero, debes notificarle la rectificación o supresión dentro de los 5 días hábiles (Art. 16.4).
¿Qué es el habeas data?
El habeas data es la acción judicial que puede iniciar cualquier persona para:
- Conocer qué datos suyos figuran en una base de datos
- Solicitar la rectificación, supresión o actualización de datos incorrectos
- Exigir la confidencialidad de datos sensibles
En el contexto de tu consultorio, un paciente podría iniciar un habeas data si:
- Le negás acceso a su historia clínica
- No corregís datos incorrectos después de que te lo pida
- Compartís sus datos sin consentimiento
Procedimiento: El paciente primero te hace el reclamo a vos (extrajudicial). Si no respondes o no lo satisfaces, puede iniciar la acción judicial ante un juez.
Registro de bases de datos
¿Tenés que registrar tu base de datos?
El Art. 21 establece que todo archivo, registro, base o banco de datos público, y privado destinado a proporcionar informes, debe inscribirse en el Registro. El Art. 24 agrega que los particulares que formen archivos que no sean para un uso exclusivamente personal deben registrarse conforme al Art. 21. En la práctica, esto aplica a:
- Consultorio individual: si llevas registros de pacientes (papel o digital), técnicamente deberías registrar la base
- Instituciones y centros: es obligatorio sin excepción
- Software clínico: el proveedor del software debe registrar su propia base
Realidad vs. teoría: Muchos profesionales independientes no registran su base de datos, y la AAIP rara vez fiscaliza consultorios individuales. Sin embargo, el registro es gratuito y online, y te protege ante reclamos. Es recomendable hacerlo.
¿Cómo registrar?
- Ingresa a la web de la AAIP (www.argentina.gob.ar/aaip)
- Busca el "Registro Nacional de Bases de Datos"
- Completa el formulario con la información de tu base (qué datos, con qué finalidad, qué medidas de seguridad, etc.)
- El registro es gratuito y se renueva anualmente
Sanciones por incumplimiento
Sanciones administrativas (Art. 31)
El organismo de control puede aplicar: apercibimiento, suspensión, multa de $1.000 a $100.000, clausura o cancelación del archivo, registro o banco de datos (Art. 31.1). Las sanciones se gradúan en relación a la gravedad de la violación y los perjuicios derivados (Art. 31.2).
Los montos son los de la ley original (año 2000) y se actualizan por reglamentación.
Sanciones penales (Art. 32)
La ley incorporó dos artículos al Código Penal:
- Art. 117 bis CP: Prisión de 1 mes a 2 años para quien insertara a sabiendas datos falsos en un archivo de datos personales. La pena sube a 6 meses a 3 años si proporciona información falsa a un tercero. Se aumenta a la mitad si se deriva perjuicio
- Art. 157 bis CP: Prisión de 1 mes a 2 años para quien accediera ilegítimamente a un banco de datos personales, o revelare información cuyo secreto estuviere obligado a preservar por ley
Además de las sanciones penales y administrativas:
- Responsabilidad civil: el paciente puede demandar daños y perjuicios
- Sanciones éticas: del colegio profesional
Situaciones frecuentes en el consultorio
"Un familiar llama y pide información"
No podés dar información sin consentimiento del paciente. Ni siquiera confirmar que esa persona es tu paciente. La excepción es si el familiar es el representante legal de un menor o de una persona con capacidad restringida.
"La obra social pide el diagnóstico detallado"
Solo estás obligado a informar el código de diagnóstico (CIE/DSM), la frecuencia de sesiones y el plan general. No el contenido de las sesiones ni información clínica detallada.
"Comparto casos con colegas para supervisión"
La ley contempla la disociación de datos (Art. 2): el tratamiento de datos de manera que la información no pueda asociarse a persona determinada o determinable. Si disocías correctamente, los datos dejan de ser personales. Si la disociación no es completa (porque el caso es identificable), necesitas consentimiento del paciente para la cesión (Art. 11) y un acuerdo de confidencialidad con el supervisor.
"Uso Google Drive para guardar historias clínicas"
Google Drive es una herramienta de almacenamiento genérico, no un software clínico. El problema principal no es dónde están los servidores, sino que Google Drive no ofrece estructura de historia clínica, no garantiza la inalterabilidad que exige el Art. 13 de la Ley 26.529, y según sus términos de servicio, Google puede acceder al contenido almacenado. Deberías verificar que tu cuenta tenga las medidas de seguridad correspondientes (verificación en dos pasos, encriptación, acceso restringido).
"Borré sin querer la historia clínica de un paciente"
Si no tenés backup, tenés un problema serio. La ley te obliga a conservar los datos y la Ley 26.529 te obliga a conservar la historia clínica por 10 años. No tener backup no es solo un problema técnico — es un incumplimiento legal.
"Un paciente me pide que borre todo"
Podés borrar los datos administrativos, pero la historia clínica debe conservarse por el plazo legal (10 años). Explicale al paciente esta limitación legal y ofrecele bloquear el acceso si no va a continuar el tratamiento.
Checklist de cumplimiento
Usa esta lista para verificar si tu consultorio cumple con la Ley 25.326:
Consentimiento y transparencia
- Tu consentimiento informado incluye una sección sobre manejo de datos personales
- El paciente sabe qué datos recoges, para qué y dónde los guardas
- El consentimiento consta por escrito o por otro medio equiparable (Art. 5.1)
Seguridad
- Los registros en papel están bajo llave
- Los registros digitales tienen contraseña y, idealmente, encriptación
- Tu computadora tiene contraseña de acceso
- Usas verificación en dos pasos en tus cuentas digitales
- Tenés backup de tus registros clínicos
- Tu red WiFi tiene contraseña segura (no "123456")
Acceso
- Solo vos (y personal autorizado) accedes a los datos de pacientes
- El personal administrativo tiene un acuerdo de confidencialidad firmado
- Si usas un software clínico, verificaste sus medidas de seguridad
Derechos del paciente
- Sabes cómo responder a un pedido de acceso (10 días corridos)
- Sabes cómo responder a un pedido de rectificación (5 días hábiles)
- Tenés un procedimiento para entregar copia de la historia clínica
Registro
- Registraste tu base de datos ante la AAIP (recomendado)
- Renuevas el registro anualmente
Cómo Brauni te ayuda a cumplir con la Ley 25.326
Brauni fue diseñado teniendo en cuenta la Ley 25.326 desde el primer día. Podés ver cómo se traduce eso en la práctica en historia clínica digital; en resumen:
- Encriptación de extremo a extremo: Los datos sensibles están encriptados en reposo y en tránsito
- Control de acceso granular: Solo vos accedes a la información de tus pacientes
- Consentimiento integrado: El consentimiento informado incluye la sección de protección de datos
- Backups automáticos: Nunca vas a perder una historia clínica
- Registro de accesos: Auditoría completa de quién accede a qué y cuándo
- Derechos del paciente facilitados: Exporta, rectifica o bloquea datos del paciente en segundos
- Datos que no entrenan IA: Tu información clínica nunca se usa para entrenar modelos
Probá Brauni gratis durante 15 días, sin tarjeta
Notas de sesión automáticas, historia clínica digital y más.
Comenzar gratisResumen
| Concepto | Descripción |
|---|---|
| ¿Qué regula? | La recolección, almacenamiento, uso y compartición de datos personales |
| ¿Aplica a psicólogos? | Sí. El Art. 8 habilita a profesionales de la salud a tratar datos de salud de sus pacientes, respetando el secreto profesional |
| Consentimiento | Libre, expreso e informado, por escrito o medio equiparable (Art. 5.1). No es necesario cuando derive de la relación profesional (Art. 5.2.d) |
| Derechos del paciente | Información (Art. 13), Acceso — 10 días corridos (Art. 14), Rectificación/Supresión — 5 días hábiles (Art. 16) |
| Habeas data | Acción judicial ante incumplimiento (Art. 33-43) |
| Sanciones | Administrativas: apercibimiento a multa de $1.000-$100.000 y clausura (Art. 31). Penales: prisión de 1 mes a 3 años (Art. 32) |
| Clave | Cumplir el deber de información (Art. 6), medidas de seguridad adecuadas (Art. 9) y responder cuando el paciente ejerce sus derechos |
Artículos relacionados

Privacidad y Seguridad
Grabar sesiones de terapia: qué dice la ley y cómo hacerlo bien
Grabar sesiones de terapia es legal solo con consentimiento informado previo. Qué exige la ley argentina, cómo redactar la cláusula y cómo guardar el audio.

Privacidad y Seguridad
Ciberseguridad para psicólogos: cómo proteger los datos de tus pacientes
Guía práctica de ciberseguridad para el consultorio psicológico. Contraseñas, WiFi, phishing, ransomware, backups y qué hacer si te roban la notebook con historias clínicas.

Privacidad y Seguridad
WhatsApp con pacientes: límites, riesgos y buenas prácticas
Cómo usar WhatsApp con pacientes sin romper el encuadre ni la confidencialidad: límites claros, protocolo de crisis y buenas prácticas para psicólogos.