Cumplimiento KVKK y RGPD para Terapeutas: Cómo Almacenar Notas de Clientes Legalmente

Para un psicólogo, la nota de sesión de un cliente es uno de los registros más sensibles de su práctica profesional. Contiene los momentos más vulnerables de esa persona, sus relaciones, sus miedos y, en ocasiones, información que podría tener relevancia en un contexto legal. Proteger estas notas no es solo una responsabilidad ética; es una obligación legal.

En Turquía, la Ley N.º 6698 — KVKK (la ley de protección de datos de Turquía, equivalente al RGPD) — clasifica los datos de salud como "datos personales de categoría especial". Las normas para esta categoría son considerablemente más estrictas. El almacenamiento incorrecto, el intercambio inadecuado o el cifrado insuficiente pueden dar lugar a sanciones administrativas de millones de liras turcas.

Este artículo aborda qué significa el cumplimiento de KVKK para los terapeutas independientes y las clínicas, qué pasos deben darse y qué suele pasarse por alto en la práctica.

¿Por Qué los Datos de Salud Se Clasifican como "Categoría Especial"?

El artículo 6 de KVKK distingue ciertas categorías de datos del resto. La información sanitaria, los datos relativos a la vida sexual, el origen racial o étnico, las opiniones políticas y las creencias religiosas pertenecen a esta categoría especial.

El tratamiento de estos datos requiere el "consentimiento explícito del interesado". Esto significa que el cliente debe comprender y aprobar claramente qué datos suyos se tratan, con qué finalidad, durante cuánto tiempo y con quién pueden compartirse. Una casilla genérica de "acepto" no es suficiente.

Las notas de sesión que lleva un terapeuta, los formularios de admisión, la información de pago e incluso las fechas de las citas entran dentro de este ámbito. Porque incluso la información "el Sr. García acude al psicólogo X todos los jueves a las 14:00" — si llega a manos de un tercero — constituye una inferencia relacionada con la salud de esa persona.

¿Quién Es el Responsable del Tratamiento? ¿Es Usted?

El concepto de "responsable del tratamiento" es central en KVKK. El responsable del tratamiento es la persona u organización que decide por qué y cómo se procesan los datos.

Si trabaja como terapeuta independiente, sí — usted es el responsable del tratamiento. Si sus ingresos anuales o el número de empleados supera ciertos umbrales, también está obligado a registrarse en VERBİS (el Registro de Responsables del Tratamiento de Datos de Turquía).

Si trabaja bajo el paraguas de una clínica, la clínica es la responsable del tratamiento y usted actúa como "encargado del tratamiento". Pero si guarda notas en su propio dispositivo o utiliza software adicional sin notificárselo a la clínica, la responsabilidad se comparte y se complica.

Si utiliza un software de gestión de citas, el proveedor del software se convierte en su "encargado del tratamiento". En este caso, firmar un Acuerdo de Procesamiento de Datos (DPA) con el proveedor es un requisito legal.

9 Pasos Hacia una Práctica Conforme con KVKK

La siguiente lista cubre los pasos prácticos que un terapeuta independiente o una pequeña clínica deben seguir para cumplir con KVKK.

1. Prepare un texto de consentimiento explícito. Necesita un documento que explique en lenguaje sencillo qué datos del cliente se tratan, con qué finalidad, durante cuánto tiempo y por quién. No copie una plantilla de internet: debe estar adaptado a su práctica específica.

2. Mantenga el aviso informativo como documento independiente. Bajo KVKK, el "consentimiento explícito" y el "aviso informativo" son dos obligaciones distintas. El aviso informativo es el deber de informar al cliente incluso antes de obtener su consentimiento.

3. Almacene los datos con cifrado. Excel, Word y las notas del teléfono no son aceptables. Necesita un sistema con cifrado de extremo a extremo con estándar AES-256 o superior.

4. Mantenga registros de acceso. Debe quedar constancia de qué nota se abrió, cuándo y por quién. Este registro puede solicitarse en una auditoría.

5. Defina los plazos de conservación de datos. Los datos de salud están sujetos a plazos de conservación específicos (generalmente 10 años desde la última sesión). Los datos que hayan superado su período de conservación deben destruirse.

6. Prepare un plan de notificación de brechas de datos. Si se produce una brecha de datos, está obligado a notificarlo a la Autoridad KVKK en un plazo de 72 horas. No contar con un procedimiento planificado de antemano es en sí mismo motivo de sanciones adicionales.

7. Firme un DPA con todo el software de terceros. Cada servicio que acceda a datos de clientes — software de citas, copia de seguridad en la nube, proveedor de correo electrónico — requiere un Acuerdo de Procesamiento de Datos.

8. Mantenga los datos en la UE o Turquía. La transferencia de datos a servidores en Estados Unidos requiere permisos y contratos adicionales. En la práctica, mantener los datos dentro de la UE es el enfoque más seguro.

9. Revise anualmente. Las decisiones y normativas de KVKK evolucionan. Realizar una verificación anual del cumplimiento es un buen hábito que conviene incorporar.

4 Errores Comunes en la Práctica

Vale la pena nombrar los errores más frecuentes, porque le ocurren incluso a los terapeutas mejor intencionados.

Recoger el consentimiento por WhatsApp. Un mensaje de "lo he leído y lo apruebo" enviado por WhatsApp no constituye un consentimiento explícito válido según KVKK. Se requiere un documento escrito, fechado y con identidad verificada.

Guardar clientes en los contactos del teléfono. Tener a un cliente registrado con su nombre y una nota como "paciente de terapia" en su teléfono es en sí mismo un riesgo de protección de datos. Basta con que alguien coja su teléfono.

Enviar notas por correo electrónico sin cifrar. Reenviar notas a un supervisor, a una aseguradora o a un colega por correo electrónico sin cifrar es un riesgo serio.

No mantener una copia de seguridad en un dispositivo separado. Si su dispositivo falla, los datos se pierden. Pero la copia de seguridad también debe almacenarse en un entorno cifrado y conforme con KVKK.

Evaluación de Software: 5 Preguntas KVKK Que Debe Formular

Al valorar una herramienta de gestión de citas o consulta, solicite respuestas claras a estas preguntas:

¿Dónde se almacenan los datos? Las ubicaciones fuera de la UE o Turquía son arriesgadas.

¿Hay cifrado de extremo a extremo y qué estándar se utiliza? AES-256 es el estándar mínimo aceptable.

¿Firmarán un Acuerdo de Procesamiento de Datos bajo petición? Si la respuesta es "no" o "todavía no", busque otra alternativa.

¿Se utilizan mis datos para entrenar inteligencia artificial? Debe existir una cláusula explícita en el contrato.

Si cancelo, ¿puedo exportar mis datos y hacer que se eliminen completamente del sistema? El principio del "derecho al olvido" de KVKK también debe aplicarse a usted.

Conclusión: El Cumplimiento Es Parte de la Profesión

El cumplimiento de KVKK puede parecer una carga burocrática adicional para los terapeutas. Pero con las herramientas adecuadas, una vez configurado, funciona en gran medida en segundo plano.

Y el mayor beneficio del cumplimiento no es evitar el riesgo de sanciones. El verdadero beneficio es poder decirle a sus clientes: "Sus datos son mi responsabilidad y están genuinamente protegidos." Eso es el fundamento de la relación terapéutica.

Calemio está cifrado de extremo a extremo, los datos se almacenan en centros de datos de la UE y la plataforma ha sido auditada para el cumplimiento de KVKK y RGPD. Un Acuerdo de Procesamiento de Datos está disponible para todos los profesionales que lo soliciten. Puede comenzar con una prueba gratuita.