Vigente desde el 1 de diciembre de 2026

La Ley 21.719, explicada
para clínicas.

La nueva ley de protección de datos personales reescribe las reglas del juego para todo quien trate datos en Chile. Y los centros de salud parten en el nivel más alto de exigencia. Esto es lo que necesitas saber.

Resumen orientativo del texto publicado en el Diario Oficial el 13 de diciembre de 2024 · Ver texto oficial en LeyChile

Por qué te afecta más que a otros

Los datos de salud son datos sensibles

La ley clasifica los datos relativos a la salud, el perfil biológico y los datos biométricos como datos personales sensibles (art. 2, letra g). Eso significa que una clínica trabaja, por definición, con la categoría de datos más protegida de toda la ley:

  • Tratarlos exige consentimiento expreso del paciente, salvo excepciones acotadas (urgencia vital, alerta sanitaria, medicina preventiva o laboral, mandato legal).
  • Las infracciones que involucran datos sensibles caen en los tramos de sanción más altos.
  • Está prohibido ceder datos de salud recolectados en contextos laborales, educativos o de seguros, salvo autorización legal.

Derechos de los pacientes

Cualquier paciente puede exigirte esto

La ley consagra los derechos ARSOP (art. 4). Tu clínica debe acusar recibo y responder dentro de 30 días corridos (prorrogables una sola vez por otros 30, art. 11). No responder a tiempo es una infracción en sí misma.

A

Acceso

El paciente puede pedir confirmación de qué datos suyos tratas, con qué finalidad y a quién se los has comunicado.

R

Rectificación

Puede exigir que corrijas datos inexactos, desactualizados o incompletos de su ficha o registros.

S

Supresión

Puede pedir que elimines sus datos — con límites: la ficha clínica debe conservarse al menos 15 años (Ley 21.668).

O

Oposición

Puede oponerse a usos específicos, por ejemplo que uses su correo para difusión o fines distintos de su atención.

P

Portabilidad

Puede pedir copia de sus datos en formato electrónico estructurado para llevarlos a otro prestador.

Además, el paciente puede solicitar el bloqueo temporal de sus datos mientras se tramita su solicitud — y ahí el plazo de respuesta es de solo 2 días hábiles.

El fin del formulario genérico

Un consentimiento válido tiene 4 atributos

Según el art. 12, el consentimiento debe otorgarse en forma previa y cumplir todas estas condiciones — el documento único que el paciente firma al ingresar “para todo” deja de servir:

Libre

Sin presión ni condicionamiento. Si se recaba durante la ejecución de un contrato donde no es necesario, se presume que no fue libre.

Informado

El paciente sabe quién trata sus datos, para qué, por cuánto tiempo y cuáles son sus derechos.

Específico

Un consentimiento por finalidad. Atención médica, recordatorios y marketing son finalidades distintas.

Inequívoco

Mediante declaración o un acto afirmativo claro. El silencio o las casillas premarcadas no valen.

Y lo más importante: es revocable en cualquier momento, sin expresión de causa. Tu clínica necesita un proceso para registrar tanto el otorgamiento como la revocación, y poder demostrarlo ante la Agencia.

Cuando algo sale mal

Las brechas de seguridad se notifican, no se ocultan

Una planilla con pacientes enviada al destinatario equivocado, un computador robado, un acceso indebido a fichas: todas son vulneraciones que el art. 14 sexies obliga a reportar.

A la Agencia

Siempre, sin dilaciones indebidas: naturaleza de la vulneración, datos afectados, número aproximado de titulares y medidas adoptadas.

A los pacientes

Obligatorio cuando la brecha afecta datos sensibles (es decir, casi siempre en una clínica) o datos de menores de 14 años, en lenguaje claro y sencillo.

El costo de no cumplir

Sanciones por tramos

InfracciónMulta máximaEjemplo en una clínica
Leve5.000 UTMNo responder dentro de plazo una solicitud de acceso o rectificación de un paciente.
Grave10.000 UTMo hasta el 2% de los ingresos anualesTratar datos sin base de licitud, o no notificar una brecha de seguridad a la Agencia.
Gravísima20.000 UTMo hasta el 4% de los ingresos anualesTratar o ceder datos de salud de pacientes sin consentimiento ni excepción legal que lo permita.

En caso de reincidencia la multa puede llegar al triple, y la Agencia puede además suspender el tratamiento de datos — que para una clínica equivale a no poder operar. Contar con un modelo de prevención de infracciones certificado actúa como atenuante.

Lo que casi nadie te cuenta

Otras obligaciones que llegan con la ley

Contrato con tus proveedores (art. 15 bis)

Software de ficha clínica, laboratorio externo, agenda online: todo tercero que trate datos por encargo tuyo necesita un contrato que fije objeto, duración, finalidad y tipo de datos. Sin él, la infracción es tuya.

Evaluación de impacto (art. 15 ter)

Obligatoria cuando el tratamiento implica alto riesgo: tratamiento masivo de datos sensibles — el caso típico de una clínica — o decisiones automatizadas con efectos significativos.

Delegado de Protección de Datos

Un responsable designado que vigila el cumplimiento, atiende a los titulares y es el punto de contacto con la Agencia.

Deber de información (art. 14 ter)

Tu política de privacidad debe indicar, entre otros, si transfieres datos al extranjero — relevante si tu software de ficha clínica o respaldo está en la nube fuera de Chile.

Trazabilidad y prueba del cumplimiento

No basta con cumplir: hay que poder demostrarlo. Registro de actividades de tratamiento, bitácora de accesos y evidencia de cada consentimiento otorgado o revocado.

Modelo de prevención de infracciones

Un programa de cumplimiento certificable ante la Agencia que opera como atenuante de responsabilidad y queda inscrito en el Registro Nacional de Sanciones y Cumplimiento.

¿Tu clínica cumple con todo esto?

Responde el Diagnóstico Express y obtén tu nota de cumplimiento, las brechas detectadas y un plan de acción — en 5 minutos.

Hacer el diagnóstico gratuito