Izatia Psicología y Neuropsicología
Izatia Psicología y Neuropsicología
  • Inicio
  • Sobre mí
  • Adultos
  • Infantojuvenil
  • SERVICIOS INNOVADORES
    • ATENCIÓN 24 HORAS
    • PROGRAMA MBCT
    • PROGRAMA MATRESENCIA
    • PROGRAMA CUIDARTE
    • ESPACIO IZATIA ONLINE
    • COMUNIDAD IZATIA
    • ESCRITURA TERAPÉUTICA
    • ARTE Y EMOCIÓN
  • Precios
  • Política de privacidad

Política de privacidad

Política de Protección de Datos y Registro de Actividades: Atención presencial


1. Alcance y finalidad

La presente política regula el tratamiento de datos personales y datos de salud derivados de la actividad profesional sanitaria presencial en el centro (sesiones de evaluación, diagnóstico, intervención, seguimiento, emisión de informes, coordinación con otros profesionales, etc.). Se aplica a todo el personal del centro y tiene por finalidad:

· Garantizar una atención sanitaria conforme a la legalidad, el profesionalismo, la confidencialidad y la seguridad.

· Asegurar el cumplimiento de derechos del/de la paciente en materia de información, autonomía y protección de datos.

· Establecer un registro formal de las actividades de tratamiento que se realizan en el ámbito presencial..

2. Marco jurídico aplicable

Las actividades del centro relativas al tratamiento de datos personales y salud presencial se rigen por:

· Reglamento (UE) 2016/679 (RGPD): norma europea que regula la protección de los datos personales en toda la Unión Europea, exigiendo principios de licitud, finalidad, minimización, integridad, confidencialidad, transparencia y responsabilidad proactiva (art. 5 y ss.).

· Ley Orgánica 3/2018, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD): adapta a la realidad española el RGPD, introduciendo derechos digitales y obligaciones específicas, especialmente respecto de datos sensibles, garantías, sanciones y régimen de responsabilidades.

· Ley 41/2002, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica: regula el derecho del/de la paciente a ser informado con claridad, a decidir libremente, la confidencialidad de su historia clínica, y la obligación de conservar dichos registros durante un plazo mínimo (art. 17).

· Ley Foral 17/2010 de Navarra, de derechos y deberes de las personas en materia de salud: garantiza que los pacientes en la Comunidad Foral de Navarra disfruten de una atención sanitaria con pleno respeto a su dignidad, intimidad, información y mecanismos de reclamación.

· Ley 14/1986, General de Sanidad: establece los principios y organización del sistema sanitario en España, regulando competencias sanitarias y la tutela del derecho a la salud.

· Decreto Foral 52/2012, sobre acreditación de centros sanitarios en Navarra (y normativa autonómica de desarrollo): fija los requisitos para que los centros sanitarios (incluidos los privados) puedan funcionar legalmente en Navarra, como instalaciones, seguros, personal, condiciones de seguridad, responsabilidad civil y registro sanitario.

· Otras normativas complementarias: reglamentos de protección de datos, normativa autonómica de sanidad o de archivos y documentación sanitaria, directrices de la Agencia Española de Protección de Datos (AEPD) y del Departamento de Salud de Navarra.

3. Definiciones aplicables

· Datos personales: cualquier información sobre una persona física identificada o identificable.

· Datos de salud: categoría especial de datos según el RGPD (art. 9), que incluye información relativa al estado físico o mental del paciente, tratamientos, diagnósticos, pruebas, informes clínicos, etc.

· Tratamiento: cualquier operación o conjunto de operaciones efectuadas sobre datos personales (recolección, registro, consulta, almacenamiento, uso, comunicación, supresión).

· Responsable del tratamiento: el centro (o la persona jurídica que lo gestiona), que decide “el qué y el cómo” del tratamiento de datos.

· Encargado del tratamiento: entidades externas que realizan tratamientos por cuenta del responsable (por ejemplo, proveedor de software clínico, archivo externo), bajo contrato que cumpla los requisitos del art. 28 del RGPD.

4. Base jurídica del tratamiento y legitimación

El tratamiento de los datos personales y de salud en la atención presencial se basa en:

1. Consentimiento informado y explícito del paciente, para aquellas operaciones para las que éste sea necesario.

2. Ejecución de la relación asistencial: los tratamientos son necesarios para prestar servicios sanitarios (evaluación, seguimiento, diagnóstico).

3. Cumplimiento de obligaciones legales en materia sanitaria, documental y de conservación de registros clínicos: por ejemplo, conservar la historia clínica, responder a inspecciones sanitarias, normativa de salud pública.

Para los datos de salud (categoría especial), deben cumplirse garantías adicionales: limitación de acceso, confidencialidad, consentimiento específico, medidas técnicas y organizativas reforzadas.

5. Información al paciente y ejercicio de derechos

· Antes de iniciar la atención, el/la paciente recibirá información clara y comprensible (folio informativo) sobre: identidad del responsable, finalidad del tratamiento, categorías de datos tratados, destinatarios, plazos de conservación, derechos que le asisten, posibilidad de revocar el consentimiento (cuando proceda), y procedimiento para ejercer los derechos.

· Se recogerá por escrito el consentimiento informado del/de la paciente, que quedará incorporado a su historia clínica.

· El/la paciente podrá ejercer sus derechos de acceso, rectificación, supresión, limitación, oposición y portabilidad conforme al RGPD, LOPDGDD y Normativa Foral Navarra.

· En caso de disconformidad, podrá presentar reclamación ante la Agencia Española de Protección de Datos (AEPD).

· El centro facilitará mecanismos internos de reclamación (hojas de quejas/reclamaciones, contacto con delegado de protección de datos si lo hubiere).

6. Registro de actividades de tratamiento 

Se llevará un registro documentado de las actividades de tratamiento conforme al art. 30 del RGPD. Se incluirán datos como:

· Nombre de la actividad (por ejemplo, “Atención presencial en consulta clínica”).

· Responsable del tratamiento (centro y persona responsable sanitaria).

· Finalidades del tratamiento (evaluación, diagnóstico, intervención, seguimiento, informes).

· Categorías de datos tratados (identificativos, datos clínicos, historiales, consentimientos).

· Destinatarios de los datos (otros profesionales sanitarios, autoridades sanitarias si es obligatorio).

· Cesiones o comunicaciones legales, si proceden.

· Plazos de conservación.

· Medidas técnicas y organizativas de seguridad aplicadas.

7. Plazos de conservación y custodia de la historia clínica

· Conforme al art. 17 de la Ley 41/2002, los centros sanitarios tienen la obligación de conservar la documentación clínica durante un mínimo de 5 años desde el alta del proceso asistencial.

· También debe conservarse cuando existan motivos judiciales, epidemiológicos, de investigación o de organización sanitaria. 

· En Navarra, la normativa autonómica (por ejemplo la Ley Foral 29/2003 que modificó parcialmente la normativa de documentación clínica) también impone obligaciones de conservación de determinados documentos de la historia clínica (consentimientos informados, informes de alta, datos de exploraciones, etc.) por plazos extensos. 

· La conservación puede realizarse en soportes digitales o físicos, siempre que se garantice la integridad, seguridad y accesibilidad de los datos.

· Cuando haya documentos que puedan expurgarse (eliminación selectiva), debe seguirse protocolo justificable y documentado.

8. Acceso a la historia clínica, confidencialidad y secreto profesional

· El acceso a la historia clínica presenciada está limitado al personal sanitario que participa en la atención del/de la paciente, para garantizar una asistencia adecuada (art. 16 Ley 41/2002).

· Otros usos (investigación, docencia, estadísticas, auditoría) deben respetar la normativa de protección de datos: anonimización de datos, consentimiento específico o base legal clara. 

· El personal administrativo o no sanitario solo podrá acceder a los datos que sean estrictamente necesarios para sus funciones, evitando acceder a datos clínicos sensibles.

· Todos los profesionales que acceden a datos de salud están sujetos al deber de secreto profesional.

· Las Comunidades Autónomas (Navarra incluida) deben regular procedimientos que dejen constancia de los accesos a la historia clínica.

9. Medidas técnicas y organizativas de seguridad

Para proteger los datos personales y de salud en atención presencial se adoptarán medidas como:

· Control de acceso físico (habitaciones con llave, puertas con cierre).

· Control de acceso lógico (usuarios y contraseñas, autenticación fuerte, control de perfiles).

· Sistemas informáticos protegidos (cifrado, firewalls, antivirus actualizados).

· Copias de seguridad periódicas en ubicaciones seguras.

· Almacenamiento seguro de documentación física (armarios cerrados, espacio restringido).

· Gestión de registros de acceso y actividades (quién accede, cuándo).

· Formación continuada del personal en protección de datos y gestión de seguridad.

· Procedimientos documentados de respaldo, recuperación, control de incidentes y auditoría interna.

10. Gestión de incidentes y brechas de seguridad

· El centro mantendrá un protocolo interno para la gestión de incidentes de seguridad: detección, análisis, mitigación, registro.

· En caso de brecha de seguridad que afecte datos personales o de salud, se notificará a la AEPD en el plazo máximo legal (normalmente 72 horas), salvo que la brecha no suponga riesgo para los derechos y libertades de las personas.

· Si procede, se informará también al/de la paciente afectado/a cuando la brecha pueda conllevar un riesgo elevado para sus derechos.

· Se conservará un registro de todas las brechas detectadas con acciones correctivas adoptadas.

11. Revisión y actualización de la política

  • Esta política será revisada periódicamente (al      menos cada año) o cuando cambie la normativa aplicable (federal,      autonómica, normativa sanitaria).
  • También deberá actualizarse cuando se introduzcan      cambios organizativos, tecnológicos o procedimentales relevantes en el      centro.
  • Las versiones vigentes y anteriores quedarán      archivadas con su fecha de aprobación.

12. Información pública y transparencia

  • La política de protección de datos deberá estar      accesible para los pacientes (por ejemplo, en un cartel en el centro,      folleto o página web).
  • Se debe informar al paciente sobre la existencia      de esta política, su contenido, derechos que le asisten y cómo ejercerlos.

13. Responsabilidad y sanciones

  • El centro es responsable del cumplimiento de esta      política y de la normativa aplicable.
  • En caso de incumplimiento pueden aplicarse      sanciones por la AEPD conforme a la LOPDGDD y el RGPD.
  • El personal que incumpla sus obligaciones      (confidencialidad, acceso indebido, divulgación) podrá ser objeto de      sanciones disciplinarias internas y responsabilidades civiles o penales si      corresponde.

Nota legal:

Este documento forma parte de la historia clínica del paciente y se conservará de acuerdo con la legislación vigente. Toda la información está protegida por el secreto profesional y por las normativas de protección de datos (RGPD y LOPDGDD), quedando prohibida su reproducción o cesión sin autorización expresa del responsable del tratamiento..

Centro Sanitario Izatia Psicología www.izatia.com


Política de Protección de Datos y Registro de Actividades: Atención telemática (videoconferencia)


1. Alcance y finalidad

La presente política regula el tratamiento de datos personales y datos de salud que se recogen, procesan, almacenan o comparten como consecuencia de la prestación de servicios profesionales de psicología y neuropsicología a distancia, mediante medios telemáticos (videoconferencia, plataformas digitales, etc.).

Aplicará a todas las sesiones telemáticas de evaluación, diagnóstico, intervención, seguimiento, emisión de informes clínicos y coordinación con otros profesionales, cuando estas actividades se desarrollen en modalidad no presencial.

Se aplicará a todo el personal del centro, incluidos profesionales, administrativos, encargados externos, proveedores tecnológicos, etc.

2. Marco jurídico aplicable

Las actividades reguladas por esta política se rigen por:

  • Reglamento (UE) 2016/679 (RGPD): regula el tratamiento de los datos personales en      la Unión Europea, exige licitud, transparencia, minimización, integridad,      confidencialidad, responsabilidad proactiva.
  • Ley Orgánica 3/2018 de Protección de Datos      Personales y garantía de los derechos digitales (LOPDGDD): adapta el RGPD en España e incorpora derechos      digitales, sanciones, obligaciones adicionales.
  • Ley 41/2002, básica reguladora de la autonomía      del paciente y de derechos y obligaciones en materia de información      clínica: garantiza el derecho del paciente a      ser informado, decidir sobre su atención sanitaria, confidencialidad de la      historia clínica, documentación clínica.
  • Ley Foral 17/2010 de Navarra de derechos y deberes de las personas en materia de      salud: extiende los derechos del paciente en Navarra, incluyendo atención      telemática, asegurando dignidad, intimidad, recursos para reclamaciones,      etc.
  • Normativa complementaria del Departamento de      Salud de la Comunidad Foral de Navarra y directrices de      la Agencia Española de Protección      de Datos (AEPD) respecto de telemedicina, telepsicología, seguridad      digital, consentimiento informado electrónico.
  • Otras normas aplicables: Ley 34/2002 de servicios de la sociedad de la      información y de comercio electrónico, normas que regulen firmas      electrónicas, gestión de documentos electrónicos, y normativa sobre secretos      profesionales.

3. Definiciones

· Atención telemática / telepsicología / sesión online: prestación profesional de servicios psicológicos y neuropsicológicos mediante medios digitales, comunicación síncrona (videollamada) u otras tecnologías equivalentes.

·  Datos personales: cualquier información que identifique o pueda identificar una persona física.

· Datos de salud: categoría especial de datos, relativos al estado mental o físico, diagnósticos, tratamientos, informes, etc.

· Responsable del tratamiento: Izatia Psicología y Neuropsicología.

· Encargado del tratamiento: persona o entidad externa que procesa datos por cuenta del responsable, por ejemplo, proveedor de plataforma, almacenamiento, soporte informático, etc.

4. Base jurídica del tratamiento

El tratamiento de datos personales y datos de salud para la atención telemática se basa, según cada caso, en: (i) el consentimiento explícito e informado del paciente; (ii) la ejecución de la relación asistencial y la prestación de servicios sanitarios; y (iii) el cumplimiento de obligaciones legales en materia sanitaria y documental. El tratamiento de categorías especiales (datos de salud) se realizará con las garantías previstas en el RGPD y la normativa sanitaria aplicable.

5. Información previa al paciente y consentimiento

Antes de la primera sesión telemática, el/la paciente será informado/a, de forma clara y comprensible de:

  • Naturaleza,      finalidad, contenido de la atención online.
  • Plataforma      elegida (por ejemplo, Google Meet o Microsoft Teams), con su nivel de      seguridad y limitaciones que pudiera tener.
  • Posibles      riesgos de la transmisión electrónica de datos.
  • Medidas      de seguridad técnicas y organizativas adoptadas para proteger la      confidencialidad, acceso no autorizado, integridad de los datos.
  • Posibilidad      de grabación —que estará prohibida salvo consentimiento expreso,      específico y por escrito, indicando finalidad, quién accede, duración,      conservación.
  • Derechos      que asisten conforme al RGPD y LOPDGDD: acceso, rectificación, supresión,      limitación, oposición, portabilidad, revocación del consentimiento.
  • Información      sobre cómo y dónde presentar quejas o reclamaciones, y datos de contacto      del responsable del tratamiento.

Este consentimiento informado se formalizará por escrito (firmado o digitalmente según normativa de firma electrónica), y quedará archivado en la historia clínica.

6. Requisitos y buenas prácticas operativas

· Identificación: Verificación de identidad al inicio de la primera sesión mediante documento oficial (DNI/NIE u otro), o confirmación de datos personales.

· Ubicación: El/la paciente indicará su localización física al comenzar la sesión, para activar protocolos de emergencia si es necesario.

· Entorno físico: Paciente y profesional deberán estar en espacios privados, sin interrupciones, garantizando intimidad y confidencialidad del entorno.

· Uso seguro de las plataformas: Configuración de salas privadas, contraseñas, salas de espera, controles de acceso, compartir pantalla sólo si es necesario, etc.

· Protocolo ante fallos técnicos: en caso de interrupciones, se reintentará la reconexión; si no fuese posible, se suspenderá la sesión y se reprogramará.

7. Grabaciones

· La grabación de cualquier sesión está prohibida salvo que el/la paciente o su representante legal dé su consentimiento expreso, previo y por escrito, indicando: finalidad, duración, quién accede, quién aloja la grabación, conservación y destrucción.

· En caso de autorización: almacenamiento cifrado, acceso restringido, conservación sólo durante el tiempo autorizado o legalmente requerido, luego destrucción segura.

· Toda grabación deberá cumplir las garantías previstas en normativa (RGPD + LOPDGDD) y respetar derechos del paciente.

8. Proveedores tecnológicos y encargados del tratamiento

· El centro empleará únicamente plataformas y proveedores que ofrezcan garantías legales: contrato como encargados del tratamiento (art. 28 RGPD), medidas técnicas y de seguridad comprobadas (cifrado, control de accesos, servidores ubicados preferiblemente en el Espacio Económico Europeo, o si fuera distinto, con garantías legales equivalentes).

· Se asegurarán cláusulas contractuales que regulen la protección de datos, obligaciones de confidencialidad, control de subcontratistas, auditorías, etc.

9. Medidas técnicas y organizativas 

· Cuentas profesionales seguras, autenticación robusta (idealmente doble factor).

· Reuniones protegidas con contraseñas, salas de espera, controles de quién entra, desactivar funciones innecesarias (como grabación, compartir pantalla si no hace falta).

· Uso de conexiones seguras, redes privadas, evitar redes públicas no seguras.

· Dispositivos protegidos con antivirus, actualizaciones, cifrado, bloqueo por contraseña.

· Registro documental en cada sesión: fecha, duración, plataforma usada, consentimiento, incidencias, resumen clínico.

· Formación continua del personal en protección de datos, confidencialidad, seguridad digital.

10. Evaluación de impacto en la protección de datos (DPIA)

· Cuando la atención telemática implique riesgos elevados para los derechos y libertades de las personas —por ejemplo si hay tratamientos masivos, uso de grabaciones, interoperabilidad con otros sistemas sanitarios— se deberá realizar una Evaluación de Impactoconforme al art. 35 del RGPD.

· Documentar los riesgos, medidas mitigadoras, decisiones adoptadas, seguimiento.

11. Gestión de incidentes y notificación de brechas

· Existe un procedimiento interno para gestionar incidentes de seguridad: detección, análisis, mitigación, comunicación.

· Brechas de seguridad que afecten datos personales o de salud serán notificadas a la Agencia Española de Protección de Datos (AEPD) en plazo legal (72 horas cuando proceda) y, si hay riesgo alto para derechos del paciente, se informará al interesado.

· Registro de todas las brechas detectadas, con actuaciones correctoras implementadas.

12. Derechos de los interesados

El/la paciente tiene derecho a:

· Acceder a sus datos personales y de salud.

· Rectificar datos inexactos.

· Suprimir datos cuando proceda (derecho al olvido).

· Limitar tratamiento de sus datos.

· Oponerse al tratamiento que no sea estrictamente necesario o que el paciente considere lesivo para sus intereses, cuando la ley lo permita.

· Portabilidad de sus datos en formatos adecuados, si procede.

· Revocar el consentimiento dado para sesiones telemáticas o uso de grabaciones.

Las solicitudes para ejercer estos derechos se presentarán al responsable del tratamiento, cuyos datos están disponibles para el paciente, y en su caso se podrá dirigir reclamación a la AEPD.

13. Plazos de conservación

· Los datos clínicos, informes y documentación asistencial se conservarán como mínimo 5 años desde el alta del paciente, o el plazo que establezca la normativa autonómica en Navarra si es superior.

· Consentimientos informados, registros de sesiones, metadatos, se conservarán mientras sean necesarios para la finalidad para la que se recopilaron, salvo obligación legal de conservación mayor.

· En caso de grabaciones autorizadas, esos archivos se conservarán solo el tiempo que el paciente haya consentido o lo establecido legalmente, luego se destruirán de forma segura.

14. Revisión de la política

  • La política será revisada al menos una vez al año.
  • También se actualizará cuando cambie la normativa europea, española o      autonómica, o cuando existan cambios en la tecnología, plataformas usadas      o procedimientos internos que afecten el tratamiento de datos.
  • Las versiones anteriores se conservarán con fecha, para demostrar      cumplimiento histórico.

15. Información pública, transparencia y responsabilidad

  • Esta política deberá estar accesible al paciente: entregada en el consentimiento      informado, disponible en la página web del centro o mediante folletos      informativos.
  • Se informará al paciente sobre quién es el responsable del      tratamiento, con sus datos de contacto, y cómo ejercer los derechos.
  • El centro se responsabiliza del cumplimiento de todas estas medidas;      personal que incumpla puede responder disciplinaria, civil o penalmente si      la ley lo establece.


ANEXO I - Registro de Actividades de Tratamiento (Atención telemática / Videoconferencia)

Actividad (título): Atención telemática (psicoterapia y diagnóstico) mediante videoconferencia (Google Meet o Microsoft Teams).

Responsable del tratamiento: Izatia Psicología y Neuropsicología – Esther Barniol Xicota – Colegiada nº: N-01816 – C/Abejeras nº41-A, Bajo, Despacho nº8 (31007 Pamplona/Iruña-Navarra) – esther@izatia.com – 747471685.

Finalidad: Prestación de servicios sanitarios (evaluación, diagnóstico y tratamiento psicológico/neuropsicológico) a distancia; emisión de informes clínicos y coordinación sanitaria, con registro en la historia clínica.

Categorías de datos: Identificativos, datos de contacto, datos de salud (historia clínica, informes, pruebas psicológicas), metadatos de la sesión (fecha, duración, plataforma), registros de consentimiento.

Base jurídica: Consentimiento explícito del interesado; ejecución de la relación asistencial y cumplimiento de obligaciones legales en materia sanitaria.

Destinatarios / encargados: Proveedores tecnológicos contratados (encargados del tratamiento), otros profesionales sanitarios previa autorización del paciente, autoridades con obligación legal. Referencia a contratos de encargado según art. 28 RGPD.

Transferencias internacionales: Cuando los proveedores utilicen servidores fuera del EEE, se documentarán las garantías (SCC u otras medidas) y la evaluación de riesgos correspondiente.

Plazo de conservación: Datos clínicos: mínimo 5 años desde el alta del proceso asistencial (o el plazo aplicable por normativa autonómica). Metadatos y registros de sesión: periodo razonable y proporcional, salvo obligación legal de conservación. Grabaciones (si las hubiere): se conservarán sólo con consentimiento explícito y por el tiempo indicado en el consentimiento.

Medidas de seguridad: Ver apartado 9 de la presente política (controles de acceso, cifrado, registro en historia clínica, medidas organizativas y contractuales con encargados, formación).




Copyright © 2025 Centro Sanitario Izatia Psicología - Todos los derechos reservados.

  • Política de privacidad

This website uses cookies.

We use cookies to analyze website traffic and optimize your website experience. By accepting our use of cookies, your data will be aggregated with all other user data.

DeclineAccept

Atención disponible 24/7

No importa quién seas ni la situación que atravieses: estamos aquí para escucharte y acompañarte.
Ofrecemos apoyo continuo y precios adaptados para quienes más lo necesitan.

Obtener más información