Plantilla de política sobre IA para clínicas de psicología y salud mental de EE. UU.

En Estados Unidos, compartir información médica protegida (PHI) con un asistente de transcripción basado en IA requiere un acuerdo de socio comercial de la HIPAA que prohíba al proveedor entrenar el sistema con tus datos, y las directrices éticas de la APA para 2025 establecen que el psicólogo es responsable de cada nota elaborada con la ayuda de la IA. La sección 1557 de la ACA también aborda el sesgo algorítmico en las herramientas de atención al paciente. Esta plantilla gratuita de política sobre IA ayuda a los psicólogos, clínicas de salud mental y centros de salud afines de EE. UU. a plasmar esas obligaciones en una política que su clínica pueda adoptar y adaptar a los requisitos estatales.

Última revisión: junio de 2026 · Jurisdicción: Estados Unidos · Fuentes principales: HIPAA, artículo 1557 de la ACA y las directrices éticas de la APA sobre la IA.

Cómo utilizar esta plantilla

Esta política se ha redactado para que se adopte prácticamente tal cual. El cuerpo del texto (Parte 3) no contiene, de forma deliberada, espacios en blanco que rellenar, por lo que no es necesario editarlo cláusula por cláusula. Toda la información específica de tu consulta se recoge en un único lugar —el Anexo (Apéndice A)—, que solo tendrás que completar una vez.

Para adoptar esta política:

  1. Rellena el formulario (Apéndice A): el nombre de tu consulta, las personas que ocupan cada cargo de gobierno, la frecuencia de las auditorías, el periodo de consentimiento por defecto, la configuración de conservación de transcripciones y el registro de herramientas de IA aprobadas.
  2. Lee el Apéndice B (Requisitos jurisdiccionales): utiliza la edición correspondiente a tu jurisdicción y comprueba que las leyes y las directrices de los organismos profesionales que allí se enumeran siguen siendo aplicables (las autoridades reguladoras las actualizan periódicamente).
  3. Adapta los elementos opcionales: indica las herramientas prohibidas concretas o añade normas específicas para el entrenamiento en el anexo. No es necesario modificar el cuerpo del documento.
  4. Apruébalo, indícale la fecha y la versión siguiendo las instrucciones del Apéndice D, e informa a tu equipo.

Una nota sobre los roles. La política hace referencia a tres roles: el responsable de gobernanza de la IA (encargado de la política y de aprobar nuevas herramientas), el auditor de documentación y la persona de contacto para incidentes. En una consulta pequeña, todos estos roles pueden recaer en una misma persona. Asigna cada rol a un nombre real en el anexo.


Parte 1 — Lo que exigen las normas

En todas las jurisdicciones, el uso de la IA en la práctica clínica se rige por dos conjuntos de normas: la legislación en materia de privacidad y protección de datos, y las normas del organismo al que pertenezcas como profesional. Las leyes, organismos reguladores y documentos de orientación específicos que se aplican se recogen en el apéndice B. Sea cual sea tu jurisdicción, se repiten los mismos temas:

  • Los datos sanitarios gozan de una protección especial. Por lo general, no pueden recopilarse, utilizarse ni divulgarse sin una base legal, que suele ser el consentimiento del paciente.
  • El envío de datos a un proveedor externo de inteligencia artificial constituye una cesión de datos. Requiere una base jurídica, medidas de seguridad adecuadas y —en caso de que el proveedor trate los datos en el extranjero— garantías transfronterizas específicas. Tú sigues siendo responsable de lo que tu proveedor haga con los datos.
  • Los datos de los pacientes no deben utilizarse para entrenar los modelos de inteligencia artificial del proveedor. El contrato que mantengas con el proveedor debe prohibir cualquier uso secundario, incluido el entrenamiento de modelos.
  • El profesional sigue siendo el responsable. La IA es una herramienta de apoyo a la toma de decisiones; el criterio clínico nunca se delega en un algoritmo, y el profesional es responsable de la exactitud del informe final.
  • El consentimiento es informado y, por lo general, específico para cada herramienta. Los pacientes deben comprender qué herramienta se utiliza, qué datos se recogen, adónde se envían dichos datos y que pueden retirar su consentimiento en cualquier momento sin que ello afecte a su atención médica. En el caso de las herramientas que graban una consulta, el consentimiento se obtiene antes de que comience la grabación.
  • Su uso es transparente. Se informa a los pacientes cuando se utiliza la IA, y los documentos elaborados con ayuda de la IA se identifican en el historial.
  • Las filtraciones deben notificarse. La mayoría de las jurisdicciones cuentan con un régimen obligatorio de notificación de filtraciones de datos (véase el apéndice B).
  • Se requiere competencia. Los profesionales deben comprender las capacidades, las limitaciones y los sesgos de la herramienta antes de utilizarla.

Parte 2 — Lo que preocupa a los profesionales clínicos

Más allá de la normativa formal, una buena política aborda estas cuestiones de frente:

  • Precisión y alucinaciones. La IA generativa es probabilística y puede generar resultados que parecen fiables pero que son erróneos: un medicamento transcrito incorrectamente o un síntoma inventado podrían dar lugar a una decisión peligrosa si no se detectan a tiempo.
  • Dependencia excesiva y pérdida de competencias. Los profesionales clínicos, abrumados por el trabajo, pueden «dar el visto bueno» a los informes generados por la IA sin revisarlos realmente, lo que, con el tiempo, merma su criterio clínico independiente.
  • Pérdida de matices clínicos. Las transcripciones de texto no reflejan el tono de voz, el lenguaje corporal, las microexpresiones ni el contexto cultural, elementos todos ellos fundamentales para la evaluación psicológica.
  • Admisibilidad en el ámbito médico-legal. Las notas y transcripciones generadas por IA pueden ser objeto de una citación judicial. Un detalle inventado o una evaluación de riesgos inexacta pueden dar lugar a una responsabilidad real.
  • Repercusión en la relación terapéutica. La grabación o la supervisión mediante inteligencia artificial pueden alterar la dinámica y hacer que algunos clientes se muestren menos dispuestos a abrirse.

Una política sólida no pretende ignorar estos riesgos, sino que los gestiona mediante el consentimiento, la revisión humana, la diligencia debida de los proveedores y la auditoría.


Parte 3 — La política

Esta es la política vigente. Adóptela tal y como está redactada; los detalles específicos de la práctica se recogen en el anexo (Apéndice A), y los requisitos legales y profesionales de su jurisdicción figuran en el Apéndice B. El anexo (Apéndice A) se incluye en la plantilla descargable.

1. Objetivo. Nuestra consulta se compromete a hacer un uso legal, ético y responsable de la inteligencia artificial (IA) para complementar —y no sustituir— la atención psicológica prestada por personas. Esta política regula cómo pueden utilizarse las herramientas de IA en nuestra labor clínica y administrativa, con el fin de proteger la privacidad de los pacientes, cumplir con nuestras obligaciones profesionales y preservar la calidad y la seguridad de la atención. Las herramientas de IA solo se adoptan cuando facilitan los flujos de trabajo clínicos (como la documentación) y mejoran los resultados de los pacientes, y siempre bajo la responsabilidad de un profesional cualificado.

2. Principios fundamentales.

a) Se requiere el consentimiento del paciente para el uso de herramientas de IA con su información personal o sanitaria, y dicho consentimiento puede retirarse en cualquier momento sin que ello afecte a su atención médica.
b) Las decisiones clínicas siempre recaen en el profesional sanitario. La IA es un asistente, nunca quien toma las decisiones. Los profesionales sanitarios comprenden cómo funcionan sus herramientas de IA, así como sus limitaciones y sesgos.
c) Los datos de los pacientes nunca se utilizan para entrenar modelos de IA. Solo utilizamos herramientas cuyos proveedores garantizan contractualmente este aspecto.

3. A quiénes se aplica. Esta política se aplica a todos los profesionales sanitarios y al personal clínico de nuestra consulta. El usuario de cualquier herramienta de IA contemplada en esta política es siempre un profesional sanitario cualificado (o personal clínico que actúe bajo la responsabilidad directa de un profesional sanitario), nunca el paciente. Las restricciones de uso por parte del personal administrativo no clínico se recogen en el anexo.

4. Marco normativo y ético. Utilizamos la IA de conformidad con la legislación en materia de privacidad y protección de datos, así como con las normas profesionales aplicables a nuestra práctica. Estas normas se recogen para nuestra jurisdicción en el Apéndice B y se revisan cada vez que se producen cambios en la legislación o en las directrices profesionales.

5. Usos permitidos, restringidos y prohibidos.

Usos autorizados (previo consentimiento del paciente y revisión por parte del médico): las herramientas específicas autorizadas se enumeran en el anexo:

a) Transcripción asistida por IA / documentación ambiental para la transcripción de sesiones y la síntesis de notas.
b) Redacción, síntesis y revisión gramatical de notas clínicas y correspondencia.

Usos restringidos (permitidos únicamente con medidas de seguridad reforzadas y verificación independiente obligatoria por parte del médico):

c) Herramientas que ofrecen ayuda para el diagnóstico diferencial o el análisis de patrones, que siempre deben verificarse de forma independiente y en las que nunca se debe confiar como único criterio.

Usos prohibidos:

d) Utilizar la IA como única base para cualquier diagnóstico o evaluación del riesgo de suicidio o de violencia.
e) Introducir información identificable de los pacientes en sistemas de IA gratuitos, públicos o no autorizados (por ejemplo, ChatGPT, Gemini o Copilot destinados al público en general).
f) Utilizar cualquier herramienta de IA que no haya sido autorizada mediante el proceso descrito en la cláusula 10.
g) Cualquier otra herramienta o uso prohibido por nuestra consulta, tal y como se enumera en el Anexo.

6. Privacidad, seguridad y diligencia debida con respecto a los proveedores. Antes de aprobar cualquier herramienta de IA, nos aseguramos de que:

a) Existe un acuerdo vinculante sobre datos —un acuerdo de socio comercial, un acuerdo de tratamiento de datos o equivalente (consulte el Apéndice B para conocer los requisitos de su jurisdicción)— antes de compartir cualquier dato de los pacientes.
b) El proveedor garantiza contractualmente que los datos de los pacientes nunca se conservarán ni se utilizarán para entrenar sus propios modelos de IA ni los de terceros.
c) Los datos se cifran tanto en tránsito como en reposo, y se almacenan en una ubicación conocida y conforme a la normativa (registrada en el Anexo).
d) Se tienen en cuenta las transferencias transfronterizas. Cuando un proveedor trata datos fuera de nuestra jurisdicción, aplicamos las garantías transfronterizas exigidas por la ley (véase el Apéndice B) y entendemos que seguimos siendo responsables de los datos.
e) Se recurre a la desidentificación o la censura siempre que sea posible para minimizar los datos identificables enviados para su tratamiento.
f) La conservación es deliberada. Cuando la herramienta permite conservar transcripciones u otros documentos, establecemos un plazo de conservación acorde con nuestras obligaciones profesionales de conservación de registros y nuestras obligaciones legales (registradas en el Anexo), en lugar de optar por defecto por un almacenamiento indefinido sin motivo alguno.

7. Consentimiento informado y transparencia con el paciente.

a) Se obtiene el consentimiento antes de utilizar la IA —y, en el caso de cualquier herramienta que grabe o procese una consulta, antes de que comience la grabación—. El consentimiento es específico para cada herramienta: explicamos qué herramienta se utiliza, qué datos recoge, dónde se almacenan y quién puede acceder a ellos, los riesgos para la privacidad y el derecho a revocar el consentimiento. Un consentimiento genérico del tipo «utilizamos IA» no es suficiente.
b) Se registra el consentimiento: anotamos el consentimiento del paciente (y cualquier retirada del mismo) en su historial clínico, durante el periodo de consentimiento establecido en el Anexo.
c) La retirada del consentimiento se respeta de forma inmediata y sin que ello suponga una merma en la calidad de la atención prestada.
d) La autoría es transparente: los documentos elaborados con ayuda de la IA se identifican claramente en el historial (véase el ejemplo de etiqueta en el Apéndice C).

8. Revisión humana y responsabilidad.

a) Los resultados generados por la IA que se conviertan en documentación clínica —resúmenes de sesiones, notas, cartas e informes— deben ser revisados, editados y aprobados por el profesional sanitario responsable antes de guardarse en el historial.
b) Las transcripciones de las sesiones son un documento original literal, no documentación redactada por el profesional sanitario. Cuando nuestra herramienta y la configuración de conservación conservan una transcripción (véase el Anexo), esta se almacena como un registro original —útil para su revisión y análisis posteriores— y no requiere una revisión línea por línea por parte del profesional sanitario; este sigue siendo responsable de cualquier resumen o nota que se extraiga de ella.
c) El profesional sanitario asume toda la responsabilidad profesional, ética y legal de cada decisión clínica y de la exactitud de la documentación final. La IA nunca asume esa responsabilidad.

9. Gestión de riesgos y garantía de calidad.

a) Reconocemos las limitaciones de la IA —alucinaciones, sesgos y la ausencia de criterio clínico contextual— y formamos al personal para que esté atento a ellas.
b) Auditoría. El auditor de documentación revisa una muestra de la documentación asistida por IA, con la frecuencia establecida en el calendario, para comprobar su exactitud y exhaustividad.
c) Notificación de incidentes. Cualquier sospecha de fuga de datos, inexactitud generada por la IA o uso de una herramienta no autorizada se notifica sin demora al responsable de incidentes y se registra en nuestro registro de incidentes. Las obligaciones de notificación de fugas de datos se establecen en el apéndice B.

10. Formación y gobernanza.

a) Formación. Todo el personal clínico debe completar una formación sobre las capacidades, las limitaciones y los límites de privacidad de cualquier herramienta de IA aprobada antes de utilizarla.
b) Proceso de aprobación. No se podrá utilizar ninguna herramienta de IA nueva hasta que haya sido aprobada por el responsable de gobernanza de la IA, quien confirmará que cumple con las cláusulas 6 a 8 y la registrará en el anexo.
c) Responsabilidad y revisión. El responsable de gobernanza de la IA es el encargado de esta política, que se revisará al menos una vez al año, o antes si cambian la legislación o las directrices profesionales.


Apéndice B — Requisitos jurisdiccionales: Estados Unidos

Actualización: Comprobado en junio de 2026. La actualización de la Norma de Seguridad de la HIPAA (NPRM de enero de 2025) sigue siendo una propuesta, no una norma definitiva. Las normas estatales sobre la concesión de licencias de psicología pueden añadir requisitos adicionales.

Legislación sobre privacidad y protección de datos

  • HIPAA: un proveedor que cree, reciba, conserve o transmita información médica protegida (PHI) en su nombre se considera un socio comercial. Es necesario disponer de un acuerdo de socio comercial (BAA) firmado antes de compartir información médica protegida (PHI).
  • Ausencia de formación sobre la información médica protegida (PHI): el acuerdo de asociación comercial (BAA) debe limitar el uso que el proveedor haga de dicha información a los fines permitidos; no podrá utilizar la PHI para formar o mejorar sus propios modelos de inteligencia artificial sin autorización explícita.
  • Artículo 1557 de la ACA / 45 CFR §92.210: las entidades sujetas a la normativa deben realizar esfuerzos razonables para identificar y mitigar la discriminación derivada de las herramientas de apoyo a la toma de decisiones en la atención al paciente, incluida la inteligencia artificial (en vigor desde el 1 de mayo de 2025; la postura respecto a su aplicación es incierta).
  • Norma de Seguridad de la HIPAA: una propuesta de actualización (enero de 2025) reforzaría los requisitos de ciberseguridad; sigue de cerca su evolución.

Normas profesionales

  • APA — «Orientaciones éticas sobre la IA en la práctica profesional de la psicología de los servicios sanitarios» (junio de 2025): la IA debe complementar, y no sustituir, la toma de decisiones humana; el psicólogo es responsable de las decisiones finales, de comprender los datos de entrenamiento de la herramienta y de mitigar los sesgos. Véase también la lista de verificación complementaria de la APA para herramientas basadas en IA.
  • Organismos estatales de concesión de licencias: consulta a tu organismo estatal para conocer cualquier requisito adicional en materia de IA, telesalud o mantenimiento de registros.

Transferencia transfronteriza de datos. Cuando los datos se traten fuera de EE. UU. o mediante subencargados del tratamiento, asegúrese de que el acuerdo de responsabilidad (BAA) obligue a todos los subencargados del tratamiento a cumplir condiciones equivalentes a las de la HIPAA y de que se aplique el criterio de «lo mínimo necesario».

Notificación de filtraciones de datos. Norma de notificación de filtraciones de la HIPAA: se debe notificar a las personas afectadas y al HHS (y, en caso de filtraciones de gran envergadura, a los medios de comunicación) sin demoras injustificadas y, a más tardar, en un plazo de 60 días desde su detección.

Apéndice C — Ejemplo de texto de consentimiento y etiqueta de autoría

El ejemplo que figura a continuación está redactado para NovoNote, un asistente de transcripción basado en IA cuyo audio nunca se guarda, cuya conservación de las transcripciones controla la consulta (pueden eliminarse tras su uso o conservarse durante un periodo determinado —por ejemplo, siete años o de forma indefinida— para facilitar la atención continuada y el análisis posterior), y cuyos datos no se utilizan para entrenar modelos de IA. Adapta la redacción a tu herramienta autorizada y a tu configuración de conservación (registrada en el Anexo). Puede facilitar a los pacientes los recursos listos para usar de NovoPsych: el formulario de consentimiento del paciente de NovoNote y la hoja informativa para el paciente de NovoNote (ambos disponibles en la página de seguridad de NovoNote).

Ejemplo de guion para el consentimiento verbal (adapta la frase sobre la conservación de datos a tu contexto):

«En nuestras sesiones utilizo una herramienta de toma de notas basada en IA llamada NovoNote que me ayuda a documentar nuestro trabajo con precisión, para poder centrarme en ti en lugar de en escribir. La herramienta escucha la sesión y genera un resumen escrito, que yo reviso y edito antes de que pase a formar parte de tu expediente. El audio nunca se guarda. La transcripción de la sesión [se elimina una vez redactado el resumen / se conserva de forma segura como parte de tu expediente durante [periodo] para respaldar tu atención]. Tu información se almacena de forma segura en Australia y nunca se utiliza para entrenar modelos de IA. Puedes negarte a que la utilice o cambiar de opinión en cualquier momento, y ello no afectará a tu atención de ninguna manera. ¿Te parece bien que la utilice hoy?»

Ejemplo de etiqueta de autoría para la historia clínica:

«Nota clínica elaborada con la ayuda de la IA (NovoNote), revisada y aprobada por [nombre y cargo del profesional sanitario] el [fecha]».


Elaborado por NovoPsych como recurso gratuito para la comunidad de salud mental. Actualizado a junio de 2026; se trata únicamente de información general, no constituye asesoramiento jurídico. Más información en novopsych.com.

Para usar con IA

Copia la política de IA de Estados Unidos en el portapapeles para usarla con Claude, ChatGPT, Gemini, Copilot o Perplexity

Descargar la plantilla

Recursos para pacientes

Otras ediciones

Mira cómo funciona NovoNote

Cómo utilizar NovoNote AI Scribe por primera vez
Descubre cómo configurar NovoNote y utilizarlo con tu primer cliente: captura el contenido de la sesión y conviértelo en notas clínicas estructuradas, informes y cartas.

Cómo utilizar NovoNote AI Scribe con tu primer paciente
Una guía paso a paso que abarca la configuración inicial, la documentación de las sesiones y las mejores prácticas.

La IA en la terapia: ética, consentimiento y privacidad
Las consideraciones éticas, legales y de privacidad de la documentación generada por IA: consentimiento, seguridad de los datos, cumplimiento normativo y mitigación de los sesgos de la IA.

Plantillas como un profesional: cómo personalizar NovoNote para tu consulta
Crea tu propia plantilla personalizada para reflejar tu enfoque terapéutico y tu forma de tomar notas.

De la sesión al resumen: informes y cartas generados por IA de forma sencilla
Cómo NovoNote agiliza la elaboración de informes, cartas de los médicos de cabecera y otra documentación clínica.

Recurso gratuito proporcionado por NovoPsych. Se trata únicamente de información general, no de asesoramiento jurídico; adáptala y busca asesoramiento jurídico y profesional antes de adoptarla.