Son las 19:40 de un martes. La última familia acaba de salir, y la terapeuta se queda unos minutos más para pasar a limpio las notas de sesión. Abre el WhatsApp del centro para recuperar el vídeo que la madre envió anoche —ese que muestra una conducta nueva en casa—, copia dos observaciones del colegio que llegaron por correo, y guarda todo en una carpeta compartida junto al informe en Word. Mañana lo comentará con la logopeda. Es una escena tranquila, casi rutinaria. Y contiene, sin que nadie se dé cuenta, al menos cuatro decisiones de protección de datos que un inspector podría mirar con lupa.
No lo contamos para alarmar. Lo contamos porque así funciona la mayoría de los centros de intervención TEA en España, y porque la normativa sobre datos de menores no está pensada para castigaros: está pensada para proteger a los niños y niñas que acompañáis y, de paso, para proteger al centro de disgustos evitables. En esta guía repasamos lo que exige el RGPD cuando se trabaja con datos de menores con TEA, y cómo cumplirlo sin montar un departamento jurídico ni frenar la intervención.
Por qué vuestros datos pesan más que los de otros sectores
El artículo 9 del RGPD clasifica los datos de salud como una categoría especial: requieren un nivel de protección superior al de los datos personales ordinarios. Los informes diagnósticos, las escalas de evaluación, los registros conductuales, los vídeos de sesión, incluso los audios que comparte una familia para consultar una duda… todo eso es dato de salud. Y cuando pertenece a un menor, se suma una capa más: la Ley Orgánica 3/2018 (LOPDGDD) fija los 14 años como umbral para que el propio menor pueda consentir tratamientos ordinarios. Por debajo, consienten los tutores legales.
En un centro TEA confluyen las tres condiciones a la vez —salud, menor, y además una red de personas que se pasan información entre sí: familia, colegio, sanidad pública, profesionales externos, asociaciones—. Por eso el marco no se puede despachar con "cumplimos con el RGPD" en el pie de una web. No es un sello; es una forma de trabajar.
Seis obligaciones que sostienen todo lo demás
1. Una base legal por cada finalidad, no un consentimiento paraguas
Prestar el servicio terapéutico no requiere consentimiento explícito: lo cubre la ejecución del contrato con la familia. Lo que sí requiere consentimiento específico, libre e informado es cada finalidad que se aleje de esa prestación: grabar sesiones para formación interna, compartir el caso en un congreso, usar una foto en redes, enviar comunicaciones comerciales, o derivar datos a un proveedor externo.
La regla práctica es sencilla: un consentimiento por finalidad, revocable en cualquier momento, documentado por escrito. El contrato de admisión no puede "llevarse por delante" autorizaciones que la familia no entendió que estaba dando.
2. Información transparente antes, no después
El artículo 13 obliga a explicar a la familia, antes de empezar a tratar datos, quién es el responsable, para qué se tratan, cuánto se conservan, con quién se comparten y qué derechos tiene. En un centro TEA conviene ser especialmente explícito sobre la red de destinatarios: ¿se comparte con el colegio?, ¿con el CDIAT?, ¿con la pediatra?, ¿con el servicio de neuropediatría del hospital? Esa conversación es más fácil cuando se documenta en un lenguaje que la familia entienda a la primera, no en un anexo de tres páginas en letra 8.
3. Recoger solo lo que hace falta para acompañar
El principio de minimización obliga a justificar cada dato. Grabar una sesión "por si acaso" no es una finalidad legítima; grabarla para analizar la ejecución de un programa y conservarla el tiempo estrictamente necesario, sí. La pregunta útil es la misma cada vez: ¿qué decisión terapéutica voy a tomar con este dato que no podría tomar sin él? Si no hay respuesta, probablemente ese dato no debería recogerse.
4. Seguridad razonable, no seguridad perfecta
El RGPD no obliga a tener el sistema más caro del mercado. Obliga a tener medidas "apropiadas al riesgo", que en la práctica se traducen en unos mínimos exigibles: cifrado en los dispositivos donde se guardan informes, accesos diferenciados por perfil profesional, copias de seguridad, separación entre lo clínico y lo administrativo, y control de los dispositivos personales que usan los profesionales para trabajar.
El punto ciego más habitual en auditorías no es la base de datos del centro. Son los grupos de WhatsApp con familias, los correos personales donde se reciben informes, y las carpetas de Drive compartidas sin permisos. Todo eso es soporte de datos sensibles, aunque no lo parezca.
5. Contratos con quien toque los datos
Cualquier proveedor que acceda a datos del centro —la plataforma de gestión clínica, el software de teleintervención, la gestoría, el servicio de nube, la herramienta de facturación— es un encargado del tratamiento. El RGPD exige un contrato específico (artículo 28) que regule qué puede y qué no puede hacer con los datos. Conviene además revisar dónde los aloja: si hay transferencia fuera del Espacio Económico Europeo, hacen falta garantías adicionales. Si el proveedor no es capaz de responder a esto en un correo claro, probablemente no esté al día.
6. Un calendario de conservación y supresión
Los datos clínicos no se guardan para siempre. La legislación sanitaria marca, como referencia general, un mínimo de cinco años desde el alta del proceso asistencial, y cada comunidad autónoma puede ampliarlo. Lo importante no es solo cumplir el plazo mínimo: es tener definido, por tipo de documento, cuándo se suprime o anonimiza qué. Esa política escrita, revisada una vez al año, es lo que convierte "tenemos muchos datos" en "tenemos los datos que necesitamos".
Lo que la familia puede pedir mañana por la mañana
Los derechos de acceso, rectificación, supresión, oposición, limitación y portabilidad se pueden ejercer en cualquier momento. Un centro preparado tiene definido quién los atiende, en qué plazo (un mes, prorrogable a dos si está justificado), y con qué formato responde. El escenario más delicado suele ser el de custodias compartidas: salvo resolución judicial en contra, ambos progenitores tienen derecho a acceder a los datos del menor y a participar en las decisiones sobre su tratamiento. Tener un protocolo escrito para estos casos —con ejemplos concretos— evita que la misma duda se resuelva de forma distinta cada vez.
Los tres errores que vemos repetirse
El primero es coordinar con familias y con profesionales externos por mensajería personal. Funciona bien para la urgencia, pero convierte el móvil del profesional en un soporte de datos sensibles que el centro no controla, no audita y no puede borrar si alguien se marcha.
El segundo es publicar avances o fotos en redes sociales con el consentimiento genérico del contrato de admisión. Redes sociales es una finalidad distinta, con una base jurídica propia, y exige su propio consentimiento —específico, revocable y separado del resto—.
El tercero es no haberse planteado si el centro necesita un Delegado de Protección de Datos. La AEPD interpreta de forma amplia el tratamiento "a gran escala" de datos de salud de menores, y para muchos centros de intervención la respuesta prudente es que sí, incluso si el equipo es pequeño. No es un gasto; es quien os defiende el día que haya que defenderse.
Un plan de cuatro semanas para dejarlo ordenado
Un centro de tamaño medio puede dejar esto en orden en un mes sin parar la intervención. La primera semana se dedica a inventariar: qué datos recogéis, dónde viven, quién los ve, con qué proveedores se comparten. La segunda, a revisar la información que entregáis a las familias y los consentimientos por finalidad. La tercera, a cerrar los contratos de encargo con proveedores y a escribir —en una página, no en un manual— la política de conservación. La cuarta, a formar al equipo en lo esencial: gestión de accesos, uso de dispositivos y comunicación con familias.
No hace falta hacerlo todo a la vez. Hace falta empezar.
La coordinación también es protección de datos
Gran parte del riesgo que vemos en los centros no está en la normativa: está en las herramientas. Cuando la información vive en cuatro sitios a la vez —WhatsApp, correo, carpeta compartida, Word— cumplir el RGPD se vuelve un trabajo artesanal que depende de la memoria de cada profesional. Por eso diseñamos NexTEA con privacidad desde el diseño, no como añadido: un único panel compartido por caso, donde la familia, los profesionales del centro y el colegio ven los mismos objetivos y registran los avances sin que nadie tenga que hacer de centralita. La confianza no se pide: se demuestra. Y en protección de datos, se demuestra en cómo están construidas las herramientas con las que trabajáis cada día.
Desarrollado junto a Autismo Ourense, asociación de referencia en la provincia de Ourense en el acompañamiento a personas con TEA y sus familias, NexTEA nació precisamente para resolver este problema: pasar de "tenemos los datos repartidos y cumplimos como podemos" a "tenemos los datos donde deben estar y podemos demostrarlo".
Si quieres ver cómo sería tu centro con la coordinación centralizada y la trazabilidad resuelta desde el primer día, entra en NexTEA. Un solo lugar donde ver, en un vistazo, cómo avanza cada caso.
