La Ley 21.719, explicada
para clínicas.
La nueva ley de protección de datos personales reescribe las reglas del juego para todo quien trate datos en Chile. Y los centros de salud parten en el nivel más alto de exigencia. Esto es lo que necesitas saber.
Resumen orientativo del texto publicado en el Diario Oficial el 13 de diciembre de 2024 · Ver texto oficial en LeyChile
Por qué te afecta más que a otros
Los datos de salud son datos sensibles
La ley clasifica los datos relativos a la salud, el perfil biológico y los datos biométricos como datos personales sensibles (art. 2, letra g). Eso significa que una clínica trabaja, por definición, con la categoría de datos más protegida de toda la ley:
- Tratarlos exige consentimiento expreso del paciente, salvo excepciones acotadas (urgencia vital, alerta sanitaria, medicina preventiva o laboral, mandato legal).
- Las infracciones que involucran datos sensibles caen en los tramos de sanción más altos.
- Está prohibido ceder datos de salud recolectados en contextos laborales, educativos o de seguros, salvo autorización legal.
Derechos de los pacientes
Cualquier paciente puede exigirte esto
La ley consagra los derechos ARSOP (art. 4). Tu clínica debe acusar recibo y responder dentro de 30 días corridos (prorrogables una sola vez por otros 30, art. 11). No responder a tiempo es una infracción en sí misma.
Acceso
El paciente puede pedir confirmación de qué datos suyos tratas, con qué finalidad y a quién se los has comunicado.
Rectificación
Puede exigir que corrijas datos inexactos, desactualizados o incompletos de su ficha o registros.
Supresión
Puede pedir que elimines sus datos — con límites: la ficha clínica debe conservarse al menos 15 años (Ley 21.668).
Oposición
Puede oponerse a usos específicos, por ejemplo que uses su correo para difusión o fines distintos de su atención.
Portabilidad
Puede pedir copia de sus datos en formato electrónico estructurado para llevarlos a otro prestador.
Además, el paciente puede solicitar el bloqueo temporal de sus datos mientras se tramita su solicitud — y ahí el plazo de respuesta es de solo 2 días hábiles.
El fin del formulario genérico
Un consentimiento válido tiene 4 atributos
Según el art. 12, el consentimiento debe otorgarse en forma previa y cumplir todas estas condiciones — el documento único que el paciente firma al ingresar “para todo” deja de servir:
Libre
Sin presión ni condicionamiento. Si se recaba durante la ejecución de un contrato donde no es necesario, se presume que no fue libre.
Informado
El paciente sabe quién trata sus datos, para qué, por cuánto tiempo y cuáles son sus derechos.
Específico
Un consentimiento por finalidad. Atención médica, recordatorios y marketing son finalidades distintas.
Inequívoco
Mediante declaración o un acto afirmativo claro. El silencio o las casillas premarcadas no valen.
Y lo más importante: es revocable en cualquier momento, sin expresión de causa. Tu clínica necesita un proceso para registrar tanto el otorgamiento como la revocación, y poder demostrarlo ante la Agencia.
Cuando algo sale mal
Las brechas de seguridad se notifican, no se ocultan
Una planilla con pacientes enviada al destinatario equivocado, un computador robado, un acceso indebido a fichas: todas son vulneraciones que el art. 14 sexies obliga a reportar.
A la Agencia
Siempre, sin dilaciones indebidas: naturaleza de la vulneración, datos afectados, número aproximado de titulares y medidas adoptadas.
A los pacientes
Obligatorio cuando la brecha afecta datos sensibles (es decir, casi siempre en una clínica) o datos de menores de 14 años, en lenguaje claro y sencillo.
El costo de no cumplir
Sanciones por tramos
| Infracción | Multa máxima | Ejemplo en una clínica |
|---|---|---|
| Leve | 5.000 UTM | No responder dentro de plazo una solicitud de acceso o rectificación de un paciente. |
| Grave | 10.000 UTMo hasta el 2% de los ingresos anuales | Tratar datos sin base de licitud, o no notificar una brecha de seguridad a la Agencia. |
| Gravísima | 20.000 UTMo hasta el 4% de los ingresos anuales | Tratar o ceder datos de salud de pacientes sin consentimiento ni excepción legal que lo permita. |
En caso de reincidencia la multa puede llegar al triple, y la Agencia puede además suspender el tratamiento de datos — que para una clínica equivale a no poder operar. Contar con un modelo de prevención de infracciones certificado actúa como atenuante.
Lo que casi nadie te cuenta
Otras obligaciones que llegan con la ley
Contrato con tus proveedores (art. 15 bis)
Software de ficha clínica, laboratorio externo, agenda online: todo tercero que trate datos por encargo tuyo necesita un contrato que fije objeto, duración, finalidad y tipo de datos. Sin él, la infracción es tuya.
Evaluación de impacto (art. 15 ter)
Obligatoria cuando el tratamiento implica alto riesgo: tratamiento masivo de datos sensibles — el caso típico de una clínica — o decisiones automatizadas con efectos significativos.
Delegado de Protección de Datos
Un responsable designado que vigila el cumplimiento, atiende a los titulares y es el punto de contacto con la Agencia.
Deber de información (art. 14 ter)
Tu política de privacidad debe indicar, entre otros, si transfieres datos al extranjero — relevante si tu software de ficha clínica o respaldo está en la nube fuera de Chile.
Trazabilidad y prueba del cumplimiento
No basta con cumplir: hay que poder demostrarlo. Registro de actividades de tratamiento, bitácora de accesos y evidencia de cada consentimiento otorgado o revocado.
Modelo de prevención de infracciones
Un programa de cumplimiento certificable ante la Agencia que opera como atenuante de responsabilidad y queda inscrito en el Registro Nacional de Sanciones y Cumplimiento.
¿Tu clínica cumple con todo esto?
Responde el Diagnóstico Express y obtén tu nota de cumplimiento, las brechas detectadas y un plan de acción — en 5 minutos.
Hacer el diagnóstico gratuito