Consentimiento del paciente y Ley 21.719: cuándo exigirlo y las alternativas en salud
"Antes de todo, necesita firmar este formulario de consentimiento para que podamos acceder a su ficha clínica." Si esa frase parece normal en la recepción de su hospital o clínica, tiene un problema serio de cumplimiento — y probablemente ni lo sabe.
Uno de los errores más comunes (y peligrosos) que cometen hospitales y clínicas chilenas en su adecuación a la Ley 21.719 es exigir consentimiento del paciente para absolutamente todo. Parece prudente. Parece seguro. Pero es jurídicamente frágil, operacionalmente insostenible y, en muchos casos, contrario a lo que la propia ley y la Ley 20.584 (Ley de Derechos y Deberes de los Pacientes) establecen.
Este artículo explica por qué el consentimiento universal es un error en el ámbito sanitario, cuáles son las bases de licitud alternativas para datos sensibles de salud, y cuándo el consentimiento realmente es necesario.
Por qué exigir consentimiento para todo es un error peligroso
La lógica parece simple: "si el paciente firmó el consentimiento, estamos protegidos." Pero esa creencia crea tres riesgos graves:
1. El consentimiento puede ser revocado en cualquier momento. La Ley 21.719 garantiza al titular el derecho a revocar el consentimiento en cualquier momento. Si todo el tratamiento de datos del hospital depende del consentimiento, ¿qué ocurre cuando un paciente lo revoca? ¿El hospital debe dejar de acceder a la ficha clínica? ¿Dejar de notificar una enfermedad de declaración obligatoria? ¿Borrar registros obligatorios? La respuesta es no — porque esas actividades tienen otras bases de licitud. Pero si el hospital documentó todo como "consentimiento", la revocación crea un limbo jurídico innecesario.
2. El consentimiento para datos sensibles exige requisitos estrictos. La Ley 21.719 exige que el consentimiento para datos sensibles sea específico, destacado e informado, vinculado a finalidades determinadas. Un formulario genérico que dice "autorizo el uso de mis datos para fines de atención médica" no cumple esos requisitos. Si es cuestionado por la APDP, el hospital puede descubrir que su consentimiento es inválido.
3. Encubrir la base de licitud correcta dificulta la defensa. En caso de fiscalización o incidente, el hospital que utilizó consentimiento cuando debía haber usado la base de salud tendrá dificultades para justificar sus prácticas. La APDP evaluará no solo si hubo base de licitud, sino si fue la base adecuada a la finalidad del tratamiento.
La buena noticia: la Ley 21.719 ofrece alternativas sólidas. Veámoslas.
¿Cuál es la base de licitud principal para la atención médica?
La respuesta está en las disposiciones de la Ley 21.719 sobre datos sensibles de salud: el tratamiento de datos de salud para la atención sanitaria directa por parte de profesionales y establecimientos de salud puede realizarse sin necesidad de consentimiento específico, cuando es necesario para el diagnóstico, tratamiento o cuidado del paciente.
Esta es la base central para toda actividad asistencial. Cuando el médico accede a la ficha clínica para diagnosticar, prescribir o tratar, no necesita el consentimiento del paciente para eso. La ley reconoce que el tratamiento de datos de salud es condición necesaria para la prestación del cuidado asistencial.
Los requisitos de esta base de licitud
Para que la atención sanitaria sea válida como base de licitud, se requiere:
- Finalidad asistencial directa: el tratamiento de datos debe estar vinculado al cuidado del paciente — diagnóstico, tratamiento, prevención, rehabilitación.
- Ejecución por agentes calificados: el tratamiento debe ser realizado por profesionales de salud, establecimientos de salud o autoridades sanitarias.
- Procedimiento de salud: debe existir un procedimiento asistencial en curso o en preparación.
Las bases de licitud alternativas para datos de salud bajo la Ley 21.719
La Ley 21.719 establece diversas hipótesis en que los datos personales sensibles de salud pueden ser tratados sin el consentimiento del titular. Para el sector de salud chileno, todas tienen aplicación práctica.
1. Cumplimiento de una obligación legal
Qué es: cuando una ley o reglamento obliga al responsable a tratar determinados datos.
Ejemplos en salud:
- Custodia de la ficha clínica: según el D.S. N° 41 del MINSAL (2012), las fichas clínicas deben conservarse por al menos 15 años desde el último registro para adultos, o hasta que el paciente cumpla 24 años para menores. Esta obligación es independiente de la voluntad del paciente.
- Notificación de Enfermedades de Declaración Obligatoria (ENO) al MINSAL (Decreto 7 del MINSAL, actualizado periódicamente)
- Registros de medicamentos controlados (ISP)
- Comunicación de nacimientos y defunciones al Registro Civil
- Informes de salud ocupacional exigidos por el Código del Trabajo y D.S. N° 594
- Envío de datos al DEIS (Departamento de Estadísticas e Información de Salud del MINSAL) y al FONASA/ISAPRE
En la práctica: cuando el paciente solicita "borrar todos mis datos", el hospital puede (y debe) rechazar la eliminación de datos de ficha clínica, porque la custodia es obligación legal — no depende del consentimiento.
2. Tratamiento en el interés vital del titular
Qué es: tratamiento de datos indispensable para proteger la vida o la integridad física o psíquica del titular o de terceros.
Ejemplos en salud:
- Atención de urgencia cuando el paciente está inconsciente
- Acceso al historial de alergias en situación de urgencia vital
- Intercambio de información con el SAMU durante un rescate
- Activación de protocolo de sepsis con datos del paciente
- Notificación de riesgo de contagio a contactos (tuberculosis, meningitis)
Diferencia de la base asistencial: la protección de la vida se aplica a situaciones de riesgo inminente, incluso cuando el agente que trata los datos no es un profesional de salud (bombero, paramédico). La base asistencial exige que el agente sea profesional o establecimiento de salud.
3. Cumplimiento de una obligación o ejercicio de derechos en procedimientos legales
Qué es: tratamiento de datos necesario para el ejercicio o la defensa de derechos en procedimientos judiciales, administrativos o arbitrales.
Ejemplos en salud:
- Defensa en procedimientos por negligencia médica (datos de ficha clínica como prueba)
- Contestación de rechazos de prestaciones por ISAPRE o FONASA
- Auditoría médica para verificación de procedimientos facturados
- Cumplimiento de resolución judicial de entrega de ficha clínica
- Defensa ante la Superintendencia de Salud o el Colegio Médico de Chile
En la práctica: si un paciente demanda al hospital por negligencia médica y luego solicita la eliminación de sus datos, el hospital puede conservar los registros necesarios para su defensa con base en esta hipótesis.
4. Ejecución de políticas públicas y programas de salud
Qué es: tratamiento de datos necesario para la ejecución de políticas públicas de salud por parte de organismos del sector público o entidades privadas que colaboran con ellos.
Ejemplos en salud:
- Alimentación de sistemas del Sistema Nacional de Servicios de Salud (SNSS)
- Vigilancia epidemiológica y sanitaria (SEREMI de Salud)
- Programas de vacunación coordinados por el MINSAL
- Programa Nacional de Inmunizaciones
- Regulación de camas en la red hospitalaria pública
Importante: esta base aplica principalmente a establecimientos públicos y privados que ejecutan programas de salud pública por convenio con el Estado.
5. Investigación científica con anonimización
Qué es: estudios de investigación en salud realizados por instituciones académicas o de investigación, garantizando, siempre que sea posible, la anonimización de los datos.
Ejemplos en salud:
- Estudios epidemiológicos con datos anonimizados de fichas clínicas
- Investigaciones de efectividad de tratamientos usando registros hospitalarios
- Análisis de datos poblacionales de salud para fines académicos
Limitación importante: la institución debe tener la investigación como parte de su misión institucional. Un hospital privado con fines de lucro que quiera hacer investigación comercial con datos de pacientes no se encuadra automáticamente en esta hipótesis y puede necesitar consentimiento específico.
6. Prevención de fraude y seguridad del titular
Qué es: tratamiento de datos para garantizar la prevención del fraude y la seguridad del titular en procesos de identificación y autenticación en sistemas electrónicos.
Ejemplos en salud:
- Validación biométrica para acceso al historial clínico electrónico del paciente
- Verificación de identidad en la dispensación de medicamentos controlados
- Control antifraude en autorización de prestaciones por ISAPRE
Limitación: esta base está restringida a procesos de identificación y autenticación. No puede utilizarse como base genérica para otras actividades.
La Ley 20.584 y el consentimiento informado: complemento, no sustituto
La Ley 20.584 (Ley de Derechos y Deberes de los Pacientes) establece el derecho al consentimiento informado para procedimientos de salud — pero este consentimiento es de naturaleza clínica y bioética, distinto del consentimiento de la Ley 21.719 para el tratamiento de datos personales.
Los artículos 14 y 15 de la Ley 20.584 exigen que el profesional de salud informe al paciente sobre:
- El diagnóstico y el estado de salud
- Las alternativas de tratamiento
- Los riesgos y beneficios de cada alternativa
- El pronóstico esperado
Para procedimientos invasivos (intervenciones quirúrgicas y otros), este consentimiento debe ser prestado por escrito. Es el "Formulario de Consentimiento Informado" que el paciente firma antes de una cirugía.
La distinción clave: el consentimiento informado de la Ley 20.584 es para el procedimiento de salud (la cirugía, el tratamiento). El consentimiento de la Ley 21.719 es para el tratamiento de datos personales. Son obligaciones distintas y no se reemplazan mutuamente.
La mayoría de las actividades de tratamiento de datos en el ámbito asistencial no requieren el consentimiento de la Ley 21.719 — porque tienen bases de licitud propias. El consentimiento informado de la Ley 20.584 es obligatorio para los procedimientos, pero no cumple los requisitos del consentimiento de la Ley 21.719 para el tratamiento de datos sensibles secundarios.
Cuándo el consentimiento del paciente realmente es necesario
Tras ver las bases de licitud alternativas, queda claro que el consentimiento no es necesario para la mayoría de las actividades asistenciales. Pero sigue siendo obligatorio en situaciones específicas.
Situaciones que exigen consentimiento
Marketing y comunicación comercial:
- Envío de correos electrónicos promocionales, boletines u ofertas de servicios
- Uso de datos del paciente para campañas de marketing
- Compartición de datos con socios comerciales
Investigación fuera del contexto académico:
- Ensayos clínicos con datos identificados
- Estudios de satisfacción con identificación del paciente
- Estudios conducidos por hospitales con fines comerciales directos
Compartición fuera del contexto asistencial:
- Envío de datos a empresas de tecnología para desarrollo de productos
- Compartición con compañías de seguros para suscripción de pólizas
- Transferencia de datos a empresas de análisis de datos (analytics)
Telemedicina:
- La Ley 21.541 sobre telemedicina (2023) establece requisitos de consentimiento informado específicos para la atención a distancia, incluyendo autorización para la transmisión de imágenes y datos por medios electrónicos.
La regla práctica
Si la finalidad del tratamiento de datos no es directamente asistencial y no se encuadra en ninguna de las otras bases de licitud — el consentimiento es necesario. Y debe ser:
- Específico: vinculado a una finalidad clara (no genérico)
- Destacado: separado de otros términos y condiciones
- Libre: sin condicionamiento a la atención asistencial
- Informado: el paciente debe entender qué está autorizando
- Inequívoco: debe haber una manifestación activa (no vale el silencio o la pre-marcación)
Qué sucede con la ficha clínica cuando el paciente revoca el consentimiento
Esta es una de las preguntas más frecuentes — y la respuesta más mal comprendida.
Respuesta directa: nada le ocurre a la ficha clínica.
La ficha clínica no se trata con base en el consentimiento. Su mantención se fundamenta en al menos dos bases de licitud independientes:
- Obligación legal: el D.S. N° 41 del MINSAL establece la custodia obligatoria de la ficha clínica. Esa obligación es independiente de la voluntad del paciente.
- Base asistencial: la ficha clínica es un instrumento esencial para la continuidad del cuidado asistencial.
Qué afecta la revocación
Cuando el paciente revoca el consentimiento, los efectos se limitan a las actividades que dependían exclusivamente del consentimiento:
- El hospital debe dejar de enviar comunicaciones de marketing
- La investigación que usaba datos identificados del paciente debe excluirlos
- La compartición con terceros para fines no asistenciales debe cesar
Pero la ficha clínica permanece intacta. Los registros obligatorios continúan siendo realizados. La atención asistencial no se ve afectada.
Tabla de bases de licitud para actividades frecuentes en salud
| Actividad de tratamiento | Base de licitud | ¿Exige consentimiento? |
|---|---|---|
| Registro y mantención de la ficha clínica | Obligación legal + Base asistencial | No |
| Consulta médica y diagnóstico | Base asistencial | No |
| Prescripción de medicamentos | Base asistencial | No |
| Exámenes de laboratorio e imagen | Base asistencial | No |
| Atención de urgencia (paciente inconsciente) | Protección de la vida | No |
| Teleconsulta | Base asistencial + Consentimiento Ley 21.541 | Sí (Ley 21.541) |
| Notificación de ENO al MINSAL | Obligación legal | No |
| Custodia de ficha clínica (15 años) | Obligación legal | No |
| Datos al DEIS y FONASA | Obligación legal + Políticas públicas | No |
| Vigilancia epidemiológica | Obligación legal + Políticas públicas | No |
| Investigación académica con datos anonimizados | Investigación con anonimización | No |
| Ensayo clínico con datos identificados | Consentimiento | Sí |
| Defensa en juicio por negligencia médica | Ejercicio de derechos | No |
| Auditoría de ISAPRE o FONASA | Ejercicio de derechos | No |
| Validación biométrica en ficha clínica electrónica | Prevención de fraude | No |
| Envío de correo de marketing al paciente | Consentimiento | Sí |
| Compartición con seguro (suscripción) | Consentimiento | Sí |
| Uso de datos para entrenar IA comercial | Consentimiento | Sí |
| Encuesta de satisfacción identificada | Consentimiento | Sí |
Errores más comunes en hospitales y clínicas chilenas
Error 1: Usar consentimiento como base de licitud para la ficha clínica
El problema: el hospital solicita consentimiento para "recopilación y almacenamiento de datos en la ficha clínica electrónica". Si el paciente revoca, el hospital queda en una situación imposible — no puede borrar la ficha (obligación legal) pero documentó que la base es el consentimiento.
La corrección: documentar la mantención de la ficha clínica como obligación legal (D.S. N° 41 MINSAL). Remover el consentimiento como base de licitud para esta actividad en el Registro de Actividades de Tratamiento.
Error 2: Formulario genérico de consentimiento para datos sensibles
El problema: un único formulario que dice "autorizo el tratamiento de mis datos personales, incluidos datos de salud, para todas las finalidades necesarias". Eso no cumple el requisito de consentimiento específico y destacado para datos sensibles.
La corrección: crear consentimientos separados para cada finalidad que realmente lo exige. Cada formulario debe indicar específicamente qué datos, para qué finalidad, por cuánto tiempo y con quién serán compartidos.
Error 3: Condicionar la atención a la firma del consentimiento
El problema: "sin firmar el formulario, no puedo atenderle." Esto viola el principio de libertad del consentimiento y puede constituir un vicio del consentimiento. Además, la atención asistencial no depende de consentimiento de la Ley 21.719.
La corrección: separar claramente el consentimiento para fines accesorios (marketing, investigación) del flujo asistencial. La atención debe ocurrir independientemente de que el paciente firme consentimientos para finalidades secundarias.
Error 4: No documentar la base de licitud en el Registro de Actividades de Tratamiento
El problema: el hospital trata datos de salud pero no documenta qué base de licitud justifica cada actividad. En caso de fiscalización de la APDP, no puede demostrar el cumplimiento.
La corrección: construir un Registro de Actividades de Tratamiento completo, indicando la base de licitud específica para cada actividad.
Cómo se articulan la Ley 21.719, la Ley 20.584 y la regulación del Colegio Médico
El Colegio Médico de Chile regula la práctica profesional de los médicos y ha emitido orientaciones sobre el secreto médico y el uso de datos de pacientes. Los principios clave son:
- La ficha clínica es un documento de propiedad del establecimiento de salud, pero su contenido pertenece al paciente (Art. 12, Ley 20.584).
- El paciente tiene derecho a acceder, en cualquier momento, a su ficha clínica (Art. 12, Ley 20.584).
- El secreto médico (deber de confidencialidad) se articula con la Ley 21.719, pero no es reemplazado por ella.
- La Superintendencia de Salud tiene competencia para fiscalizar el cumplimiento de la Ley 20.584 en establecimientos públicos y privados.
La Ley 21.719 añade sobre este marco existente los requisitos de bases de licitud, registro de actividades, derechos de los titulares (acceso, rectificación, cancelación, oposición) y notificación de incidentes.
Checklist: consentimiento y bases de licitud en salud
- El Registro de Actividades de Tratamiento identifica la base de licitud específica para cada actividad con datos de salud
- La ficha clínica está documentada como obligación legal (D.S. N° 41 MINSAL), no como consentimiento
- Las actividades asistenciales utilizan la base de atención de salud como licitud
- El consentimiento se solicita solo para finalidades que realmente lo exigen (marketing, investigación comercial, compartición extra-asistencial)
- Cada consentimiento es específico, destacado y vinculado a una finalidad clara
- Existe un proceso documentado para atender solicitudes de revocación de consentimiento
- La revocación del consentimiento no afecta la ficha clínica ni las actividades con otras bases de licitud
- Los formularios de consentimiento no condicionan la atención asistencial
- Existe registro de auditoría para el registro y revocación de consentimientos
- Los controles de acceso distinguen entre datos asistenciales y datos para finalidades secundarias
- El equipo asistencial sabe explicar al paciente por qué la ficha clínica se mantiene independientemente del consentimiento
- El equipo de recepción está entrenado para no exigir consentimiento genérico como condición de atención
Conclusión: el consentimiento es una herramienta, no un escudo
El consentimiento del paciente es una base de licitud legítima y necesaria — para las finalidades correctas. Pero convertirlo en escudo universal frente a la Ley 21.719 es un error que debilita la posición jurídica del establecimiento, crea riesgos operativos innecesarios y puede generar problemas en caso de fiscalización.
El enfoque correcto es mapear cada actividad de tratamiento de datos, identificar la base de licitud adecuada, documentar todo en el Registro de Actividades de Tratamiento y reservar el consentimiento para las situaciones en que es realmente la mejor — o la única — opción.
Confidata es una plataforma de gestión de cumplimiento en materia de protección de datos que permite documentar bases de licitud por actividad de tratamiento, gestionar consentimientos con registro de auditoría completo y generar informes de cumplimiento listos para fiscalización. Si su hospital o clínica necesita organizar bases de licitud y consentimiento de forma estructurada, conozca Confidata.
Artículos relacionados
¿Quiere ir más allá? Conozca Confidata Chile
Sistema completo de gestión de cumplimiento con Ley 21.719 e IA integrada para acelerar su programa de privacidad.