Ir al contenido

Protección de datos y RGPD en terapia EMDR online

La seguridad de los datos de tus pacientes no es un extra: es parte del trabajo clínico. Datos clínicos alojados y procesados exclusivamente en la UE, cifrado en todas las comunicaciones y control total desde tu cuenta.

Cumplimiento RGPD

¿Estoy cumpliendo con el RGPD?

Si usas EMDR Digital, ya cumples con las dimensiones de seguridad que el COP Madrid establece como buenas prácticas para plataformas de telepsicología: cifrado de comunicaciones, trazabilidad de accesos y autenticidad verificable.

La plataforma garantiza los derechos de tus pacientes (acceso, rectificación, supresión, portabilidad), aplica minimización de datos y requiere consentimiento explícito para cada funcionalidad clínica. Los contratos de encargo y las políticas de retención están alineados con el RGPD y la Ley 41/2002.

Map of Europe showing EU server locations

Infraestructura

¿Dónde están los datos de mis pacientes?

Todo se procesa en la Unión Europea. Sin transferencias a terceros países, sin intermediarios fuera de Europa.

  • Datos clínicos almacenados en Bélgica y Países Bajos (Google Cloud, UE).
  • Servidores de señalización y media en Alemania (Hetzner, UE).
  • Cifrado en tránsito (TLS/DTLS-SRTP) y en reposo (AES-256).
  • Sin transferencias de datos personales fuera de la Unión Europea.
  • Alineado con las dimensiones de seguridad recomendadas por el COP Madrid: cifrado, trazabilidad, autenticidad.

Cumplimiento

Cumplimiento regulatorio sin departamento jurídico

Un terapeuta autónomo tiene las mismas obligaciones legales que una clínica con equipo jurídico propio. Usar la plataforma adecuada marca la diferencia.

  1. 1

    Registro de Actividades (RAT)

    El registro de actividades de tratamiento es obligatorio ante la AEPD. Nuestras actividades de procesamiento están documentadas para que puedas referenciarlas directamente en tu propio RAT.

  2. 2

    Evaluación de Impacto (EIPD)

    Al tratar datos de salud, la AEPD considera que la EIPD suele ser necesaria. Las medidas técnicas de la plataforma cubren varias fases de la herramienta "Gestiona EIPD" de la AEPD.

  3. 3

    Contratos de encargo (Art. 28 RGPD)

    Cada proveedor que toca datos de pacientes necesita un contrato de encargo. Los nuestros con Google Cloud y Hetzner ya están firmados.

  4. 4

    Consentimiento informado

    Granular y específico por funcionalidad. Ningún dato clínico se procesa sin aprobación explícita del paciente.

  5. 5

    Notificación de brechas (72 h)

    Protocolo documentado de respuesta ante incidentes, alineado con el plazo de 72 horas que exige la AEPD.

  6. 6

    Retención clínica (Ley 41/2002)

    La plataforma permite almacenamiento seguro a largo plazo alineado con el mínimo de 5 años que marca la ley. El terapeuta es responsable de mantener los registros durante el periodo legalmente requerido.

No vendemos datos ni mostramos publicidad. Los subencargados que operan nuestra infraestructura (Google Cloud, Hetzner) lo hacen exclusivamente bajo nuestras instrucciones y contratos de encargo. Cada decisión técnica existe para que tú puedas centrarte en tu paciente.

Preguntas frecuentes sobre protección de datos

Zoom ofrece cifrado de extremo a extremo, pero está desactivado por defecto y desactiva funciones clave como la grabación y la transcripción. En modo estándar, Zoom gestiona las claves de cifrado y puede acceder al contenido. Google Meet no ofrece cifrado de extremo a extremo en sus planes habituales. Ambas plataformas pueden procesar datos en servidores fuera de la UE. Como terapeuta, eres el responsable del tratamiento y cargas con la obligación de verificar que tu plataforma cumple con el RGPD. El documento "Dimensiones de seguridad" del COP Madrid recomienda que las plataformas de telepsicología usen servidores en la UE y cifrado de extremo a extremo. EMDR Digital cifra todas las comunicaciones en tránsito (TLS/DTLS-SRTP). Las videollamadas no son cifrado de extremo a extremo, pero el servidor de media está alojado en la UE y es gestionado exclusivamente por nosotros, sin acceso de terceros al flujo de audio o vídeo.
El tratamiento de datos de salud (categoría especial según el artículo 9 del RGPD) suele requerir una Evaluación de Impacto en Protección de Datos. La AEPD ofrece una herramienta gratuita ("Gestiona EIPD") que guía el proceso de evaluación. Usar una plataforma diseñada para datos clínicos simplifica varias fases del proceso, ya que las medidas técnicas y organizativas ya están implementadas.
Una denuncia puede activar una inspección de la AEPD. Se revisará si tienes un Registro de Actividades de Tratamiento (RAT), una EIPD, contratos de encargo con tus proveedores, y un protocolo documentado de brechas de seguridad. Las sanciones pueden llegar hasta 20 millones de euros o el 4% de la facturación global anual, la cuantía que resulte superior (Art. 83 RGPD). Usar una plataforma que ya cumple con estas medidas técnicas reduce significativamente tu exposición.
La Ley 41/2002 establece un mínimo de 5 años desde la fecha del alta de cada proceso asistencial. Las comunidades autónomas pueden ampliar este plazo. Durante ese periodo, los datos deben estar protegidos, accesibles solo para ti, y almacenados de forma segura. Al finalizar el periodo, la destrucción debe realizarse con métodos que impidan su recuperación.
Sí. El artículo 28 del RGPD exige un contrato de encargo de tratamiento (DPA) con cualquier tercero que procese datos de tus pacientes: almacenamiento en la nube, videollamada, correo electrónico, facturación. Muchos terapeutas usan Google Drive o Dropbox sin saber que necesitan este contrato. EMDR Digital tiene DPAs firmados con todos sus subencargados (Google Cloud, Hetzner).
Sí. Las notas de sesiones EMDR contienen descripciones detalladas de experiencias traumáticas, respuestas emocionales durante la estimulación bilateral, y puntuaciones SUD/VOC vinculadas a recuerdos específicos. Una filtración expondría las vivencias más privadas del paciente. En EMDR Digital, estos datos están cifrados, alojados exclusivamente en la UE y accesibles solo para el terapeuta responsable del paciente.

Explora más sobre la plataforma

Plataforma EMDR online

Estimulación bilateral, pizarra colaborativa, configuración de dispositivos y todo lo que ocurre durante la sesión.

Ver la plataforma

Notas clínicas EMDR

Plantillas clínicas y notas automáticas por transcripción. Documenta tus sesiones en minutos, con consentimiento del paciente.

Ver documentación clínica

Acceso anticipado

Reserva tu plaza como terapeuta fundador. Acceso prioritario y condiciones exclusivas.

Sin spam. Solo actualizaciones importantes sobre el lanzamiento.