Ley 21.719 · Vigencia 1 dic 2026 --meses --sem --días Prepárate ahora
Sectores 10 de mayo, 2026 9 min de lectura

Ley 21.719 en el sector salud: pacientes, historias clínicas y datos sensibles

El sector salud es uno de los más expuestos a la Ley 21.719: trata datos sensibles por definición. Clínicas, hospitales y laboratorios enfrentan obligaciones reforzadas. Esta guía cubre lo crítico.

Por qué la salud es datos sensibles

La Ley 21.719 clasifica como datos sensibles aquellos referidos a las características físicas o morales de las personas, datos sobre vida sexual, origen étnico, opiniones políticas, convicciones religiosas, afiliación sindical, datos genéticos y datos relativos a la salud.

Esto significa que el sector salud trabaja con datos sensibles por defecto. Las obligaciones se intensifican:

  • Consentimiento explícito del titular (no implícito)
  • Medidas de seguridad reforzadas
  • EIPD prácticamente obligatoria para nuevos tratamientos
  • Restricciones a transferencias internacionales

Bases legales típicas en salud

El consentimiento NO es la única base. En salud predominan otras:

Base legalCuándo se aplica
ContratoPrestación de servicios médicos al paciente
Obligación legalReportes obligatorios al MINSAL, notificación de enfermedades
Intereses vitalesEmergencias donde el paciente no puede consentir
Interés públicoVigilancia epidemiológica, salud pública
Consentimiento explícitoInvestigación clínica, tratamientos especiales, marketing

Tratamientos típicos a documentar en el RAT

Tratamientos en sector salud Ficha clínica Historia médica Diagnósticos Recetas Exámenes Laboratorio Imagenología Genéticos Telemedicina Video consultas Chat médico Apps salud Investigación Ensayos clínicos Estudios poblacionales Facturación Pagos Isapres/Fonasa Reembolsos Reservas Agendamiento Confirmaciones Reagendamiento RRHH médicos Personal clínico Especialidades Marketing Recordatorios Newsletter Promociones
Diagrama 1 — Los 8 tratamientos típicos del sector salud que deben estar en tu RAT.

La ficha clínica electrónica: protección reforzada

La ficha clínica es el tratamiento más sensible y más fiscalizado. Medidas mínimas exigibles:

  • Cifrado en reposo y tránsito (mínimo AES-256)
  • Control de accesos por rol: solo personal clínico que atiende al paciente
  • Audit log inmutable: quién, cuándo y qué consultó
  • Doble autenticación para accesos remotos
  • Anonimización en estudios poblacionales
  • Retención mínima: 15 años en Chile (Ley General de Salud)

Riesgos específicos del sector

  1. Compartir fichas con aseguradoras: requiere consentimiento explícito o base legal específica
  2. Telemedicina sin DPA con plataforma: AWS, Zoom Healthcare, etc. exigen contrato DPA firmado
  3. Apps de salud propias: cada función puede ser tratamiento separado, casi siempre EIPD
  4. Investigación con datos clínicos: anonimización + consentimiento informado + EIPD
  5. Marketing a pacientes: consentimiento separado del consentimiento médico
  6. Acceso de cobranzas a fichas: limitar acceso a datos económicos, no clínicos
🚨
Brechas en salud son las más penalizadas Una fuga de fichas clínicas combina: tratamiento de datos sensibles + alto número de afectados + impacto reputacional. Internacionalmente las multas en salud son las mayores.

Confirmer360 para el sector salud

Plantillas EIPD específicas, RAT pre-armado con los 8 tratamientos típicos y audit log inmutable para SUSESO y MINSAL.

Solicitar demo gratuita

Sigue aprendiendo

Módulos

Cómo hacer una EIPD/DPIA

 Módulos

Protocolo brecha 72h

 Fundamentos

Sanciones Ley 21.719