Saltar al contenido principal
Privacidad y Seguridad

Ley de Protección de Datos Personales para psicólogos: qué tenés que saber sobre la Ley 25.326

EEquipo Brauni/6 de enero de 2026/16 min de lectura
La mascota de Brauni junto a un escudo con un documento de identidad y las garantías de la Ley 25.326: Acceso, Rectificación y Supresión

Cada vez que un paciente te da su nombre, su teléfono, su diagnóstico o te cuenta algo en sesión, estás manejando datos personales protegidos por ley. Y no cualquier datos: los datos de salud mental son la categoría más sensible que existe en la legislación argentina.

La Ley 25.326 de Protección de Datos Personales regula cómo se recolectan, almacenan, usan y comparten estos datos. Aplica a todo psicólogo que trabaje en Argentina, ya sea que lleves tus registros en papel, en una planilla de Excel o en un software clínico.

En este artículo te explicamos qué dice la ley, qué obligaciones tenés y cómo cumplirlas sin complicarte.

¿Qué es la Ley 25.326?

La Ley 25.326, sancionada en el año 2000, es la norma que regula la protección integral de datos personales en Argentina. Es el equivalente argentino al GDPR europeo (aunque anterior y menos estricta en algunos aspectos).

Su objetivo es garantizar el derecho al honor y a la intimidad de las personas, regulando el tratamiento de datos personales registrados en archivos, registros, bancos de datos u otros medios técnicos.

El organismo de control es la Agencia de Acceso a la Información Pública (AAIP), que reemplazó a la antigua Dirección Nacional de Protección de Datos Personales.

Nota

La protección de datos personales tiene rango constitucional en Argentina. El artículo 43 de la Constitución Nacional consagra la acción de habeas data.

Conceptos clave que tenés que conocer

Dato personal

Cualquier información referida a una persona física determinada o determinable. En tu consultorio, esto incluye:

  • Nombre, apellido, DNI
  • Teléfono, email, dirección
  • Fecha de nacimiento
  • Datos de la obra social
  • Contacto de emergencia

Dato sensible

Datos personales que revelan origen racial y étnico, opiniones políticas, convicciones religiosas, filosóficas o morales, afiliación sindical e información referente a la salud o a la vida sexual (Art. 2). Son la categoría con mayor protección legal.

En tu consultorio, casi todo es dato sensible:

Dato¿Por qué es sensible?
DiagnósticoInformación de salud
Motivo de consultaInformación de salud
Contenido de sesionesInformación de salud e intimidad
MedicaciónInformación de salud
Orientación sexualVida sexual
Creencias religiosasConvicciones religiosas
Historia de consumo de sustanciasInformación de salud
Ideación suicidaInformación de salud

Titular de los datos

La persona a la que se refieren los datos. En tu caso: el paciente.

Responsable de archivo, registro, base o banco de datos

La persona física o de existencia ideal, pública o privada, que es titular de un archivo, registro, base o banco de datos (Art. 2). En tu caso: vos como profesional.

Tratamiento de datos

Operaciones y procedimientos sistemáticos, electrónicos o no, que permitan la recolección, conservación, ordenación, almacenamiento, modificación, relacionamiento, evaluación, bloqueo, destrucción y en general el procesamiento de datos personales, así como su cesión a terceros (Art. 2).

Disociación de datos

Todo tratamiento de datos personales de manera que la información obtenida no pueda asociarse a persona determinada o determinable (Art. 2). Esto es relevante cuando compartís material clínico en supervisión o investigación.

1. Consentimiento para el tratamiento de datos

La regla general (Art. 5.1) es que el tratamiento de datos personales es ilícito cuando el titular no preste su consentimiento libre, expreso e informado, el cual deberá constar por escrito, o por otro medio que permita se le equipare.

Sin embargo, el Art. 5.2.d establece una excepción importante para psicólogos: no es necesario el consentimiento cuando los datos "deriven de una relación contractual, científica o profesional del titular de los datos, y resulten necesarios para su desarrollo o cumplimiento". La relación terapéutica es una relación profesional, por lo que los datos necesarios para la atención clínica están cubiertos por esta excepción.

Además, el Art. 8 habilita específicamente a los profesionales de la salud a recolectar y tratar datos relativos a la salud de sus pacientes, respetando los principios del secreto profesional.

En la práctica: Aunque la ley te habilita a tratar datos sin consentimiento adicional por la relación profesional, es una buena práctica incluir una sección sobre manejo de datos en tu consentimiento informado. Esto cumple con el deber de información (Art. 6) y genera transparencia.

Nota

El Art. 7 de la ley establece que, como regla general, la formación de archivos que almacenen datos sensibles está prohibida. Pero el Art. 8 crea la excepción específica: los establecimientos sanitarios y los profesionales de la salud pueden recolectar y tratar datos relativos a la salud de sus pacientes, siempre que respeten el secreto profesional.

2. Calidad de los datos (Art. 4)

La ley establece principios estrictos sobre la calidad de los datos:

  • Deben ser ciertos, adecuados, pertinentes y no excesivos en relación al ámbito y finalidad para los que se obtuvieron (Art. 4.1)
  • La recolección no puede hacerse por medios desleales o fraudulentos (Art. 4.2)
  • No pueden usarse para finalidades distintas o incompatibles con las que motivaron su obtención (Art. 4.3). Si un paciente te dio su email para coordinar turnos, no podés usarlo para newsletters (salvo que lo consienta separadamente)
  • Deben ser exactos y actualizarse cuando sea necesario (Art. 4.4)
  • Datos inexactos o incompletos deben ser suprimidos y sustituidos cuando el responsable tenga conocimiento (Art. 4.5)
  • Deben destruirse cuando hayan dejado de ser necesarios o pertinentes a los fines originales (Art. 4.7)

4. Seguridad (Art. 9)

El responsable debe adoptar las medidas técnicas y organizativas necesarias para garantizar la seguridad y confidencialidad de los datos personales, de modo de evitar su adulteración, pérdida, consulta o tratamiento no autorizado, y que permitan detectar desviaciones, intencionales o no (Art. 9.1).

La ley además prohíbe registrar datos personales en archivos que no reúnan condiciones técnicas de integridad y seguridad (Art. 9.2). Esto incluye:

  • Control de acceso (¿quién puede ver los datos?)
  • Almacenamiento seguro (¿dónde están los datos?)
  • Protección contra pérdida o destrucción (¿hay backup?)
  • Protección contra acceso no autorizado (¿hay contraseña, encriptación?)
  • Detección de desviaciones (¿podés detectar si alguien accedió sin autorización?)

Como manejas datos sensibles de salud, el estándar de seguridad exigible es alto.

5. Deber de confidencialidad (Art. 10)

El responsable y las personas que intervengan en cualquier fase del tratamiento de datos están obligados al secreto profesional respecto de los mismos. Esta obligación subsiste aun después de finalizada la relación con el titular del archivo de datos (Art. 10.1).

Solo se puede ser relevado de este deber por resolución judicial o cuando medien razones fundadas relativas a la seguridad pública, la defensa nacional o la salud pública (Art. 10.2).

Si tenés personal administrativo, necesitas un acuerdo de confidencialidad.

6. Deber de información (Art. 6)

Cuando recojas datos personales, debes informar previamente al paciente en forma expresa y clara:

  • La finalidad para la que serán tratados y quienes pueden ser sus destinatarios (Art. 6.a)
  • La existencia del archivo y la identidad y domicilio de su responsable (Art. 6.b)
  • El carácter obligatorio o facultativo de las respuestas (Art. 6.c)
  • Las consecuencias de proporcionar los datos, de negarse o de la inexactitud (Art. 6.d)
  • La posibilidad de ejercer los derechos de acceso, rectificación y supresión (Art. 6.e)

7. Cesión de datos a terceros (Art. 11)

Los datos solo pueden ser cedidos para el cumplimiento de fines directamente relacionados con el interés legítimo del cedente y del cesionario, y con el previo consentimiento del titular (Art. 11.1). El consentimiento para la cesión es revocable (Art. 11.2).

No se exige consentimiento para la cesión cuando se trate de datos relativos a la salud y sea necesario por razones de salud pública, emergencia o estudios epidemiológicos, siempre que se preserve la identidad mediante disociación adecuada (Art. 11.3.d).

Importante: El cesionario queda sujeto a las mismas obligaciones que el cedente, y ambos responden solidaria y conjuntamente (Art. 11.4). Esto aplica si compartís datos con un supervisor, colega o proveedor de software.

Derechos del paciente sobre sus datos

La ley reconoce los siguientes derechos:

Derecho de información (Art. 13)

Toda persona puede solicitar al organismo de control información sobre la existencia de archivos, registros o bases de datos personales, sus finalidades y la identidad de sus responsables. Este registro es de consulta pública y gratuita.

Derecho de acceso (Art. 14)

El paciente, previa acreditación de su identidad, tiene derecho a solicitar y obtener información de sus datos personales. Tenés un plazo de 10 días corridos para responder desde la intimación fehaciente (Art. 14.2). Si no respondes o la respuesta es insuficiente, queda habilitada la acción de habeas data.

El acceso es gratuito a intervalos no inferiores a 6 meses, salvo interés legítimo (Art. 14.3). En caso de personas fallecidas, el derecho corresponde a sus sucesores universales (Art. 14.4).

La información debe ser suministrada en forma clara, exenta de codificaciones y en lenguaje accesible (Art. 15.1), y debe versar sobre la totalidad del registro perteneciente al titular (Art. 15.2).

Derecho de rectificación, actualización o supresión (Art. 16)

Toda persona tiene derecho a que sean rectificados, actualizados y, cuando corresponda, suprimidos o sometidos a confidencialidad sus datos personales (Art. 16.1). Tenés 5 días hábiles para hacerlo desde recibido el reclamo (Art. 16.2).

Sobre la supresión: No procede cuando pudiese causar perjuicios a derechos o intereses legítimos de terceros, o cuando existiera una obligación legal de conservar los datos (Art. 16.5). Esto es clave para la historia clínica, ya que la Ley 26.529 te obliga a conservarla por 10 años. En la práctica:

  • Datos administrativos (teléfono, email, obra social): se pueden suprimir
  • Historia clínica: se conserva por el plazo legal, pero se puede bloquear el acceso
  • Datos en sistemas digitales: se anonimiza o se elimina lo que no sea historia clínica

Los datos deben ser conservados durante los plazos previstos en las disposiciones aplicables (Art. 16.7).

La rectificación, actualización o supresión es sin cargo para el interesado (Art. 19).

Consejo

Cuando un paciente ejerce alguno de estos derechos, documenta el pedido y tu respuesta en la historia clínica. Esto te protege ante un eventual reclamo. Si cediste datos a un tercero, debes notificarle la rectificación o supresión dentro de los 5 días hábiles (Art. 16.4).

¿Qué es el habeas data?

El habeas data es la acción judicial que puede iniciar cualquier persona para:

  • Conocer qué datos suyos figuran en una base de datos
  • Solicitar la rectificación, supresión o actualización de datos incorrectos
  • Exigir la confidencialidad de datos sensibles

En el contexto de tu consultorio, un paciente podría iniciar un habeas data si:

  • Le negás acceso a su historia clínica
  • No corregís datos incorrectos después de que te lo pida
  • Compartís sus datos sin consentimiento

Procedimiento: El paciente primero te hace el reclamo a vos (extrajudicial). Si no respondes o no lo satisfaces, puede iniciar la acción judicial ante un juez.

Registro de bases de datos

¿Tenés que registrar tu base de datos?

El Art. 21 establece que todo archivo, registro, base o banco de datos público, y privado destinado a proporcionar informes, debe inscribirse en el Registro. El Art. 24 agrega que los particulares que formen archivos que no sean para un uso exclusivamente personal deben registrarse conforme al Art. 21. En la práctica, esto aplica a:

  • Consultorio individual: si llevas registros de pacientes (papel o digital), técnicamente deberías registrar la base
  • Instituciones y centros: es obligatorio sin excepción
  • Software clínico: el proveedor del software debe registrar su propia base

Realidad vs. teoría: Muchos profesionales independientes no registran su base de datos, y la AAIP rara vez fiscaliza consultorios individuales. Sin embargo, el registro es gratuito y online, y te protege ante reclamos. Es recomendable hacerlo.

¿Cómo registrar?

  1. Ingresa a la web de la AAIP (www.argentina.gob.ar/aaip)
  2. Busca el "Registro Nacional de Bases de Datos"
  3. Completa el formulario con la información de tu base (qué datos, con qué finalidad, qué medidas de seguridad, etc.)
  4. El registro es gratuito y se renueva anualmente

Sanciones por incumplimiento

Sanciones administrativas (Art. 31)

El organismo de control puede aplicar: apercibimiento, suspensión, multa de $1.000 a $100.000, clausura o cancelación del archivo, registro o banco de datos (Art. 31.1). Las sanciones se gradúan en relación a la gravedad de la violación y los perjuicios derivados (Art. 31.2).

Los montos son los de la ley original (año 2000) y se actualizan por reglamentación.

Sanciones penales (Art. 32)

La ley incorporó dos artículos al Código Penal:

  • Art. 117 bis CP: Prisión de 1 mes a 2 años para quien insertara a sabiendas datos falsos en un archivo de datos personales. La pena sube a 6 meses a 3 años si proporciona información falsa a un tercero. Se aumenta a la mitad si se deriva perjuicio
  • Art. 157 bis CP: Prisión de 1 mes a 2 años para quien accediera ilegítimamente a un banco de datos personales, o revelare información cuyo secreto estuviere obligado a preservar por ley

Además de las sanciones penales y administrativas:

  • Responsabilidad civil: el paciente puede demandar daños y perjuicios
  • Sanciones éticas: del colegio profesional

Situaciones frecuentes en el consultorio

"Un familiar llama y pide información"

No podés dar información sin consentimiento del paciente. Ni siquiera confirmar que esa persona es tu paciente. La excepción es si el familiar es el representante legal de un menor o de una persona con capacidad restringida.

"La obra social pide el diagnóstico detallado"

Solo estás obligado a informar el código de diagnóstico (CIE/DSM), la frecuencia de sesiones y el plan general. No el contenido de las sesiones ni información clínica detallada.

"Comparto casos con colegas para supervisión"

La ley contempla la disociación de datos (Art. 2): el tratamiento de datos de manera que la información no pueda asociarse a persona determinada o determinable. Si disocías correctamente, los datos dejan de ser personales. Si la disociación no es completa (porque el caso es identificable), necesitas consentimiento del paciente para la cesión (Art. 11) y un acuerdo de confidencialidad con el supervisor.

"Uso Google Drive para guardar historias clínicas"

Google Drive es una herramienta de almacenamiento genérico, no un software clínico. El problema principal no es dónde están los servidores, sino que Google Drive no ofrece estructura de historia clínica, no garantiza la inalterabilidad que exige el Art. 13 de la Ley 26.529, y según sus términos de servicio, Google puede acceder al contenido almacenado. Deberías verificar que tu cuenta tenga las medidas de seguridad correspondientes (verificación en dos pasos, encriptación, acceso restringido).

"Borré sin querer la historia clínica de un paciente"

Si no tenés backup, tenés un problema serio. La ley te obliga a conservar los datos y la Ley 26.529 te obliga a conservar la historia clínica por 10 años. No tener backup no es solo un problema técnico — es un incumplimiento legal.

"Un paciente me pide que borre todo"

Podés borrar los datos administrativos, pero la historia clínica debe conservarse por el plazo legal (10 años). Explicale al paciente esta limitación legal y ofrecele bloquear el acceso si no va a continuar el tratamiento.

Checklist de cumplimiento

Usa esta lista para verificar si tu consultorio cumple con la Ley 25.326:

Consentimiento y transparencia

  • Tu consentimiento informado incluye una sección sobre manejo de datos personales
  • El paciente sabe qué datos recoges, para qué y dónde los guardas
  • El consentimiento consta por escrito o por otro medio equiparable (Art. 5.1)

Seguridad

  • Los registros en papel están bajo llave
  • Los registros digitales tienen contraseña y, idealmente, encriptación
  • Tu computadora tiene contraseña de acceso
  • Usas verificación en dos pasos en tus cuentas digitales
  • Tenés backup de tus registros clínicos
  • Tu red WiFi tiene contraseña segura (no "123456")

Acceso

  • Solo vos (y personal autorizado) accedes a los datos de pacientes
  • El personal administrativo tiene un acuerdo de confidencialidad firmado
  • Si usas un software clínico, verificaste sus medidas de seguridad

Derechos del paciente

  • Sabes cómo responder a un pedido de acceso (10 días corridos)
  • Sabes cómo responder a un pedido de rectificación (5 días hábiles)
  • Tenés un procedimiento para entregar copia de la historia clínica

Registro

  • Registraste tu base de datos ante la AAIP (recomendado)
  • Renuevas el registro anualmente

Cómo Brauni te ayuda a cumplir con la Ley 25.326

Brauni fue diseñado teniendo en cuenta la Ley 25.326 desde el primer día. Podés ver cómo se traduce eso en la práctica en historia clínica digital; en resumen:

  1. Encriptación de extremo a extremo: Los datos sensibles están encriptados en reposo y en tránsito
  2. Control de acceso granular: Solo vos accedes a la información de tus pacientes
  3. Consentimiento integrado: El consentimiento informado incluye la sección de protección de datos
  4. Backups automáticos: Nunca vas a perder una historia clínica
  5. Registro de accesos: Auditoría completa de quién accede a qué y cuándo
  6. Derechos del paciente facilitados: Exporta, rectifica o bloquea datos del paciente en segundos
  7. Datos que no entrenan IA: Tu información clínica nunca se usa para entrenar modelos

Probá Brauni gratis durante 15 días, sin tarjeta

Notas de sesión automáticas, historia clínica digital y más.

Comenzar gratis

Resumen

ConceptoDescripción
¿Qué regula?La recolección, almacenamiento, uso y compartición de datos personales
¿Aplica a psicólogos?Sí. El Art. 8 habilita a profesionales de la salud a tratar datos de salud de sus pacientes, respetando el secreto profesional
ConsentimientoLibre, expreso e informado, por escrito o medio equiparable (Art. 5.1). No es necesario cuando derive de la relación profesional (Art. 5.2.d)
Derechos del pacienteInformación (Art. 13), Acceso — 10 días corridos (Art. 14), Rectificación/Supresión — 5 días hábiles (Art. 16)
Habeas dataAcción judicial ante incumplimiento (Art. 33-43)
SancionesAdministrativas: apercibimiento a multa de $1.000-$100.000 y clausura (Art. 31). Penales: prisión de 1 mes a 3 años (Art. 32)
ClaveCumplir el deber de información (Art. 6), medidas de seguridad adecuadas (Art. 9) y responder cuando el paciente ejerce sus derechos
proteccion de datosley 25326datos sensibleshabeas dataprivacidadpsicologos
Compartir
Seguir leyendo

Artículos relacionados

Escribinos