Saltar al contenido principal
Acceso anticipado — Solicita tu plan con 30% de descuento al lanzamiento
PrivacTech
← Blog

1 de mayo de 2026

Protección de datos en clínicas y centros médicos — Ley 21.719

```html

Protección de datos en clínicas y centros médicos — Ley 21.719

Si diriges una clínica, consultorio o centro médico, ya sabes que los datos de tus pacientes son sensibles. Pero la Ley 21.719, que entró en vigencia en 2023, llevó esa responsabilidad a otro nivel. Las obligaciones del sector salud bajo esta ley son específicas, exigentes y las sanciones por no cumplir son gravísimas. En este artículo te contamos qué necesitas hacer ya para estar en regla.

Los datos de salud son datos sensibles — y eso cambia todo

La Ley 21.719 clasifica los datos de salud como datos sensibles, lo que significa que tu clínica tiene obligaciones reforzadas desde el primer momento en que un paciente entra por la puerta. No es lo mismo tratar datos de contacto que datos sobre diagnósticos, medicamentos, antecedentes quirúrgicos o resultados de exámenes.

Esto implica que no puedes recolectar datos de salud por defecto. Necesitas una base legal clara para hacerlo. El consentimiento no es opcional: es obligatorio, debe ser informado y debe ser específico para cada uso de datos.

El consentimiento informado no es un documento bonito — es un requisito legal

Muchas clínicas todavía usan consentimientos genéricos o vagos. La Ley 21.719 no lo permite. El consentimiento que pides a tus pacientes debe:

  • Ser previo: antes de recolectar o procesar los datos
  • Ser específico: debes aclarar exactamente para qué usarás los datos (diagnóstico, tratamiento, investigación, etc.)
  • Ser informado: el paciente debe entender qué datos se recopilan, por qué y quién puede acceder a ellos
  • Ser voluntario: no puede ser una condición para recibir atención de emergencia

Si tu clínica comparte datos con aseguradoras, complementarias o terceros, eso requiere un consentimiento adicional y separado. No puedes meter esa autorización como nota al pie de un formulario general.

Compartir datos con aseguradoras: qué se puede y qué no

Es común que las clínicas compartan información clínica con ISAPRES, seguros o servicios de salud. Pero la Ley 21.719 pone límites claros aquí. Solo puedes compartir datos:

  • Con el consentimiento expreso del paciente (no tácito)
  • Para el fin específico que el paciente autorizó (facturación, cobertura, etc.)
  • Con aseguradoras legítimas que tengan sus propios protocolos de seguridad
  • Nunca por más tiempo del necesario

Un ejemplo práctico: si la ISAPRE pide tu ficha clínica completa para autorizar un examen, puedes compartir solo lo relevante para esa autorización. No necesitan saber todo tu historial de salud mental ni tus alergias históricas si están evaluando un procedimiento ortopédico.

Retención de fichas clínicas: cuánto tiempo puedes guardarlas

La ley no fija un plazo específico para retener historiales médicos, pero el principio es claro: solo mientras sea necesario. En la práctica, esto significa:

  • Guardar fichas durante el tiempo que el paciente esté en tratamiento activo contigo
  • Mantenerlas un período razonable después (típicamente 5-7 años) por razones de auditoría clínica y responsabilidad civil
  • Después de ese plazo, debes destruirlas de forma segura (no simplemente borrar archivos)
  • Si el paciente solicita eliminar sus datos, tienes obligación de hacerlo, salvo excepciones legales

Importante: si tienes fichas clínicas de pacientes que no atienden hace 10 años, estás fuera de norma. Necesitas un plan de eliminación segura ahora.

El médico responsable: quién responde ante la ley

Bajo la Ley 21.719, debe existir una persona identificable responsable por el tratamiento de datos de salud en tu clínica. Usualmente es el dueño o un gerente designado. Esta persona debe:

  • Asegurar que se recopilen solo datos necesarios
  • Garantizar que el consentimiento esté en orden
  • Supervisar que terceros respeten los datos
  • Responder ante la Superintendencia de Privacidad si hay un problema

No es una tarea que se pueda delegar completamente a "IT" o a la recepcionista. La responsabilidad es ejecutiva.

Las sanciones gravísimas por filtraciones de datos de salud

Si hay una filtración de datos sensibles de salud, las consecuencias pueden ser devastadoras:

  • Multas de hasta 5.000 UF (aproximadamente $180 millones) por violaciones graves
  • Clausura temporal o definitiva de servicios
  • Demandas civiles de los pacientes afectados por daño moral y perjuicio
  • Responsabilidad penal si hay intencionalidad o negligencia grave

Ejemplo real: una clínica que comparte accidentalmente historiales clínicos en un email masivo, sin cifrado, a los pacientes equivocados, no solo enfrenta multa regulatoria — cada paciente afectado puede demandar por daño a su privacidad y honor.

Conclusión: es hora de actuar

La Ley 21.719 no es complicada en teoría, pero implementarla en una clínica requiere cambios reales: revisar consentimientos, mapear quién accede a qué datos, asegurar cifrado, destruir datos viejos, entrenar al equipo. No es un proyecto de una semana.

Lo mejor es hacer un diagnóstico profesional de dónde estás hoy. PrivacTech te ayuda a identificar brechas específicas de cumplimiento en tu clínica y a priorizar acciones. Puedes hacer un análisis gratuito de tu nivel de compliance en privactech.com — sin compromiso, sin jerga legal complicada. Descubre qué necesitas arreglar primero.

```