Saltar al contenido principal
Salud y Bienestar9 min lectura

Privacidad en salud mental y fisioterapia: qué puede y no puede hacer la IA

Privacidad en salud mental y fisioterapia con IA: qué datos procesa, dónde se almacenan y qué exige el RGPD a los centros. Guía práctica para profesionales.

Un agente de voz con IA en una clínica de salud mental o fisioterapia procesa datos especialmente protegidos bajo el RGPD. Puede gestionar citas, confirmar sesiones y responder consultas sin acceder al historial clínico, pero solo si el proveedor trabaja con las garantías técnicas y contractuales que la ley exige para datos de categoría especial.


Los datos de salud no son datos corrientes

El RGPD distingue entre datos personales ordinarios —nombre, teléfono, correo— y datos de categorías especiales, entre los que se incluyen explícitamente los datos relativos a la salud. Un paciente que llama a tu clínica de psicología ya está revelando, por el mero hecho de llamar, que es o podría ser cliente de un servicio de salud mental. Eso convierte cada interacción en sensible desde el primer segundo.

Para una clínica de fisioterapia, el umbral es similar. El nombre del paciente asociado a un número de teléfono y a la agenda de tu centro ya constituye un dato de salud en muchos contextos regulatorios, especialmente si va acompañado del tipo de tratamiento o del terapeuta asignado.

Esta distinción tiene consecuencias directas: el artículo 9 del RGPD prohíbe el tratamiento de datos de salud salvo en supuestos tasados, y para los centros sanitarios el más relevante es la prestación de asistencia sanitaria o social, siempre con medidas reforzadas de seguridad.


Qué toca realmente un agente de voz cuando atiende una llamada

La pregunta que muchos profesionales no se hacen hasta que ya han implantado una solución es: ¿qué datos llegan al sistema de IA durante una llamada?

La respuesta depende de cómo esté diseñado el agente. En el escenario más habitual para una clínica de fisio o salud mental, el agente de voz recibe:

  • El número de teléfono entrante, que puede estar vinculado a un paciente ya registrado.
  • El audio de la conversación, que se convierte en texto mediante reconocimiento de voz.
  • La intención comunicada: "quiero pedir cita para la semana que viene", "necesito cancelar mi sesión del jueves".

Lo que un agente bien configurado no debería recibir ni procesar es el historial clínico del paciente, el diagnóstico, los informes de evolución ni ningún dato que resida en tu software de gestión clínica y que no sea estrictamente necesario para completar la acción solicitada.

Este principio tiene nombre en el RGPD: minimización de datos. Solo se tratan los datos imprescindibles para la finalidad concreta. En el caso de gestión de citas, eso es nombre, teléfono y franja horaria. Nada más.


La diferencia entre un agente que agenda y uno que diagnostica

Esta distinción es, quizás, la más importante para un profesional de la salud: un agente de voz diseñado para automatizar la recepción no es, ni debe ser, un asistente clínico.

Un fisioterapeuta que trabaja con Nolam.ai, por ejemplo, puede configurar el agente para que gestione la agenda, informe de precios y servicios, confirme citas existentes o añada pacientes a la lista de espera. El agente no tiene acceso al sistema de historia clínica, no sabe qué lesión trata el paciente ni qué pauta le ha prescrito el profesional.

Esto no es una limitación técnica arbitraria: es una decisión de diseño que protege tanto al paciente como al centro. Si el agente procesara datos clínicos, el nivel de exigencia regulatoria se dispararía: habría que acreditar medidas de seguridad más estrictas, el contrato de encargado del tratamiento requeriría cláusulas adicionales y el análisis de riesgos sería más complejo.

El perímetro de lo que la IA puede hacer en salud no lo decide la tecnología, lo decide el diseño.


Dónde se almacenan los datos: la pregunta que debes hacer antes de firmar

Cuando un agente de voz atiende una llamada, los datos —incluyendo la transcripción de la conversación— tienen que residir en algún servidor. Aquí es donde muchas clínicas cometen el error de asumir sin preguntar.

Las preguntas concretas que debes hacer a cualquier proveedor antes de implantar un agente de voz en tu clínica:

¿Los datos se almacenan en servidores dentro del Espacio Económico Europeo? Las transferencias internacionales de datos de salud exigen garantías adicionales bajo el RGPD —cláusulas contractuales tipo o decisiones de adecuación— que muchos proveedores de IA de origen estadounidense no tienen correctamente formalizadas.

¿Cuánto tiempo se retienen las transcripciones? Un agente que conserva indefinidamente el audio o la transcripción de cada llamada está incumpliendo el principio de limitación del plazo de conservación. Lo razonable para una clínica es que los registros de llamada se eliminen o anonimicen en un plazo definido —entre 30 y 90 días es habitual— salvo que exista una obligación legal de conservación.

¿Quién tiene acceso técnico a esos datos? Los ingenieros del proveedor que pueden acceder a los servidores para mantenimiento están, de facto, accediendo a datos de tus pacientes. Eso debe estar regulado contractualmente.


El contrato de encargado del tratamiento: lo que no puede faltar

Cuando contratas a un proveedor de IA para gestionar llamadas de tu clínica, ese proveedor actúa como encargado del tratamiento bajo el RGPD. Tú, como clínica, eres el responsable del tratamiento. Esta distinción tiene consecuencias legales directas.

El contrato de encargado del tratamiento —obligatorio por ley— debe incluir, como mínimo: la finalidad y el tipo de datos tratados, las instrucciones sobre cómo tratarlos, la prohibición expresa de usar esos datos para fines propios del proveedor —como entrenar modelos de IA—, las medidas de seguridad aplicadas y los mecanismos para ejercer los derechos de los pacientes.

Este último punto es especialmente relevante en salud. Si un paciente ejerce su derecho de supresión o rectificación, el responsable del tratamiento —es decir, tu clínica— debe poder trasladarlo al proveedor y obtener confirmación de que se ha ejecutado. Si el proveedor no puede garantizar esto de forma documentada, hay un problema de cumplimiento.

Para profundizar en cómo estructurar este tipo de acuerdos con proveedores tecnológicos, el artículo sobre confidencialidad y IA en despachos profesionales ofrece una perspectiva útil sobre las cláusulas contractuales que no pueden faltar, aplicable también al entorno sanitario.


Informar al paciente: cómo hacerlo sin convertirlo en un trámite

El RGPD exige que los interesados sean informados del tratamiento de sus datos. En el contexto de una clínica que usa un agente de voz, esto significa que el paciente debe saber, antes de facilitar cualquier dato, que está interactuando con un sistema automatizado.

La forma más limpia de hacerlo es mediante una locución de bienvenida clara: "Hola, eres el contestador automático de Clínica X. Esta llamada puede ser procesada por un sistema de inteligencia artificial para gestionar tu cita. Puedes solicitar hablar con una persona en cualquier momento."

Esta locución cumple con la obligación de información y con el derecho a no interactuar exclusivamente con un sistema automatizado. No hace falta convertirla en una lectura de política de privacidad en voz: el aviso debe ser conciso, comprensible y anterior a cualquier recogida de datos.

Si quieres ver cómo integrar estos flujos de atención automatizada en la gestión diaria de una clínica de fisio o psicología, el artículo sobre IA para clínicas de fisioterapia y psicología detalla cómo funciona en la práctica sin comprometer la confidencialidad.


La lista de verificación que debes aplicar a tu proveedor

Antes de implantar cualquier solución de IA en una clínica de salud mental o fisioterapia, contrasta estos puntos con tu proveedor:

Que firme un contrato de encargado del tratamiento conforme al artículo 28 del RGPD. Que los datos no se usen para entrenar modelos propios sin tu consentimiento explícito. Que los servidores estén ubicados en el EEE o con garantías equivalentes. Que exista un plazo definido de retención y un proceso documentado de borrado. Que puedas auditar o verificar el cumplimiento, no solo confiar en declaraciones. Que el agente informe al paciente del tratamiento automatizado antes de recoger datos.

Nolam.ai trabaja con estas garantías por defecto en sus despliegues para el sector salud, y puede aportarte la documentación contractual necesaria antes de la implantación.


Preguntas frecuentes

¿Puede una clínica de psicología usar un agente de voz con IA sin violar el RGPD?

Sí, siempre que el agente gestione exclusivamente datos de citas —nombre, teléfono, disponibilidad— sin acceder al historial clínico, el proveedor actúe como encargado del tratamiento con contrato conforme al artículo 28 del RGPD y los datos se almacenen en servidores dentro del Espacio Económico Europeo.

¿Qué datos de salud mental se consideran especialmente protegidos?

El RGPD clasifica como categoría especial cualquier dato que revele el estado de salud física o mental de una persona. En la práctica, esto incluye no solo el diagnóstico, sino también el hecho de ser paciente de una clínica de salud mental, el nombre del terapeuta asignado o el tipo de tratamiento.

¿Es obligatorio informar al paciente de que habla con una IA?

Sí. El RGPD y la normativa de servicios de la sociedad de la información obligan a informar al interesado cuando interactúa con un sistema automatizado antes de que facilite cualquier dato personal. Lo habitual es una locución de bienvenida breve que mencione el tratamiento automatizado y ofrezca la opción de hablar con una persona.

¿Puede el proveedor de IA usar las conversaciones para entrenar sus modelos?

No, salvo que cuente con tu consentimiento explícito como responsable del tratamiento y lo haya especificado en el contrato. Un contrato de encargado del tratamiento conforme al RGPD prohíbe al proveedor usar los datos para fines distintos a los expresamente autorizados por la clínica.

¿Qué pasa si el proveedor de IA almacena los datos fuera de la Unión Europea?

Si los datos de pacientes se transfieren a servidores fuera del EEE sin garantías adecuadas —cláusulas contractuales tipo aprobadas por la Comisión Europea o una decisión de adecuación vigente—, la clínica incurre en una infracción grave del RGPD que puede conllevar multas de hasta 20 millones de euros o el 4% de la facturación anual global, la cifra que sea mayor.

¿Quieres probarlo en tu negocio?

Llama ahora y te atenderá nuestro propio agente de voz IA: así compruebas cómo suena. O reserva 15 minutos y lo vemos aplicado a tu negocio, sin compromiso.

Conoce más sobre Nolam Agents y Nolam Hub.

Solicitar demo