DPD en Hospitales y Clínicas: Cómo Estructurar el Cargo en la Práctica

El DPD de un hospital no es el mismo profesional que actúa en una empresa de tecnología o en un estudio jurídico. El contexto hospitalario exige competencias que van más allá del conocimiento jurídico y de protección de datos — es necesario entender la regulación sanitaria, la ética médica, la dinámica asistencial y la sensibilidad extrema de los datos que circulan en un ambiente de salud.

Esta guía aborda la estructuración práctica del cargo de Delegado de Protección de Datos (DPD) en hospitales y clínicas chilenas — desde la obligatoriedad legal hasta el modelo de resolución de nombramiento, pasando por conflictos de interés, estructura de reporte y las primeras acciones concretas.

¿Todo hospital o clínica necesita DPD?

La regla: sí

La Ley N° 21.719 de Protección de Datos Personales determina que el responsable del tratamiento debe designar un Delegado de Protección de Datos cuando:

Su actividad principal implique el tratamiento a gran escala de datos sensibles — lo que incluye expresamente los datos de salud
Su actividad principal implique la observación sistemática y a gran escala de titulares

Los hospitales, clínicas, centros médicos y laboratorios, independientemente de su tamaño, tratan datos sensibles de salud en forma sistemática y a gran escala. Esto los incluye directamente en la obligación de designar DPD, sin excepciones basadas en el tamaño del establecimiento.

Qué exige la Ley 21.719 para la designación

La ley establece que la designación del DPD debe realizarse mediante acto formal — documento escrito, fechado y firmado. El documento debe:

Identificar al DPD (nombre y datos de contacto)
Estar disponible para ser presentado ante la APDP cuando sea solicitado
Ser divulgado públicamente (sitio web del establecimiento, de forma clara y accesible)
Prever la designación de un DPD suplente para ausencias o impedimentos

El DPD puede ser persona jurídica

La Ley 21.719 confirma que el DPD puede ser persona natural o jurídica, interna o externa a la organización. Esto abre camino para el modelo de DPD-as-a-Service en hospitales — tema que abordaremos más adelante.

El perfil del DPD de salud: competencias específicas

El DPD hospitalario necesita un conjunto de competencias que va más allá de lo que se espera en otros sectores. La Ley 21.719 no exige una formación o certificación específica, pero determina que el responsable del tratamiento debe establecer las calificaciones necesarias "considerando el conocimiento de la legislación de protección de datos personales, así como el contexto, el volumen y el riesgo de las operaciones de tratamiento".

Competencias esenciales

Protección de datos y privacidad:

Conocimiento de la Ley 21.719 (especialmente el capítulo de datos sensibles)
Capacidad para conducir Evaluaciones de Impacto en la Protección de Datos (EIPD)
Familiaridad con la APDP y sus criterios de fiscalización

Regulación sanitaria chilena:

Ley N° 20.584 (Derechos y deberes de las personas en relación con acciones de atención de salud) — especialmente los Arts. 12-15 sobre ficha clínica y confidencialidad
Normas de la Superintendencia de Salud aplicables al manejo de datos de pacientes
Regulaciones del MINSAL sobre sistemas de información en salud
Ley N° 20.850 y marcos regulatorios de FONASA e ISAPREs sobre intercambio de información
Resoluciones del Colegio Médico de Chile sobre ética médica y confidencialidad
Marco regulatorio de telemedicina en Chile

Ética médica:

Secreto médico y sus excepciones legales en el ordenamiento chileno
Relación médico-paciente y autonomía del paciente
Investigación clínica y consentimiento informado (normativa del Comité de Ética Científica — CEC)

Seguridad de la información:

Estándares de seguridad para sistemas de salud
Gestión de incidentes con datos sensibles
Controles de acceso al sistema de ficha clínica electrónica

Gestión y comunicación:

Capacidad de dialogar con cuerpo clínico, TI, jurídico y dirección
Habilidad para traducir obligaciones legales en procesos prácticos
Experiencia en capacitación y sensibilización

Conflicto de intereses: quién NO puede ser DPD en un hospital

La Ley 21.719 establece que el DPD debe actuar con autonomía técnica y sin conflicto de intereses. El conflicto de intereses surge cuando el acúmulo de funciones involucra la toma de decisiones estratégicas sobre el tratamiento de datos personales.

Cargos incompatibles con el cargo de DPD en hospital

Cargo	Por qué genera conflicto
Director Clínico / Gerente General	Define políticas de tratamiento de datos — no puede fiscalizarse a sí mismo
Director de TI / CIO	Responsable por los sistemas que procesan datos — no puede auditar sus propias decisiones
Director de RR.HH.	Controlador de datos de colaboradores — conflicto directo con la función de protección
Director Financiero / CFO	Puede priorizar ahorro sobre inversiones en protección de datos
Director de Marketing	Define campañas que usan datos de pacientes — conflicto con principio de minimización
Encargado de Atención al Usuario	Recibe reclamos de titulares — acumular función de DPD concentra demasiado el poder

Cargos que pueden acumular con cautela

Compliance Officer: posible, pero exige separación clara de atribuciones y análisis caso a caso
Asesor jurídico: posible en establecimientos más pequeños, siempre que no represente al establecimiento en litigios que involucren datos personales
Coordinador de Calidad: bajo riesgo de conflicto, pero el DPD debe tener autonomía para cuestionar procesos de calidad que involucren datos

La regla práctica

Si la persona define, aprueba o ejecuta decisiones sobre cómo se tratan los datos personales en el hospital, no puede ser la misma persona que fiscaliza esas decisiones.

DPD interno vs. DPD-as-a-Service en hospitales

DPD interno

Ventajas:

Presencia física en el hospital — esencial para acompañar procesos asistenciales
Conocimiento profundo de la cultura organizacional y de los flujos internos
Disponibilidad inmediata ante incidentes
Relación construida con el cuerpo clínico y los equipos operacionales

Desventajas:

Costo fijo elevado (remuneración + beneficios de un profesional especializado)
Riesgo de captura institucional (pérdida de independencia con el tiempo)
Dificultad para encontrar profesionales con el perfil completo (Ley 21.719 + salud)

DPD-as-a-Service (DPDaaS)

Ventajas:

Acceso a equipo multidisciplinario (jurídico, TI, compliance)
Independencia garantizada por la relación contractual
Costo potencialmente menor que un DPD interno dedicado
Experiencia acumulada en múltiples hospitales y clínicas

Desventajas:

Menor presencia física — puede comprometer la proximidad con los procesos asistenciales
Dependencia de SLAs contractuales para el tiempo de respuesta
Menor integración con la cultura organizacional
Riesgo de atención superficial si el proveedor tiene demasiados clientes

Recomendación por tamaño del establecimiento

Tamaño del establecimiento	Recomendación
Grande (> 200 camas o equivalente en clínicas de alta complejidad)	DPD interno dedicado, preferentemente con equipo de apoyo
Mediano (50-200 camas)	DPD interno (puede acumular con compliance) + consultoría externa puntual
Pequeño (< 50 camas / centros médicos ambulatorios)	DPD-as-a-Service con punto focal interno para interfaz operacional

Para un análisis completo sobre este tema, consulte la guía de DPD interno vs. externo.

Estructura organizacional: ¿a quién se reporta el DPD hospitalario?

El posicionamiento del DPD en la jerarquía es tan importante como su competencia técnica. Si se reporta al Director de TI, por ejemplo, tendrá dificultad para cuestionar decisiones de TI que involucren riesgos de privacidad.

Prácticas recomendadas

Reporte directo a la alta dirección: el DPD debe tener línea de reporte al Director General, Gerente General o Directorio — no a un director de área.
Acceso al Directorio o Consejo: en establecimientos con directorio, el DPD debe tener canal directo para reportar riesgos de privacidad e incidentes.
Independencia funcional: el DPD no debe recibir instrucciones sobre cómo ejercer sus atribuciones, no puede ser penalizado por ejercer sus funciones y debe contar con presupuesto adecuado.

Relación con otras instancias del hospital

Comité de Ética Científica (CEC): alianza esencial en hospitales universitarios y centros con investigación clínica. El DPD evalúa los aspectos de protección de datos; el CEC evalúa los aspectos éticos. Son complementarios.
Comité de Infecciones Asociadas a la Atención en Salud (IAAS): comparte datos epidemiológicos — el DPD debe validar las bases de licitud para ese tratamiento.
Sector de Calidad: muchas iniciativas de calidad involucran recolección y análisis de datos de pacientes. El DPD debe ser consultado desde la planificación.
Jurídico: alianza permanente para análisis de contratos, acuerdos de encargo de tratamiento, respuesta a titulares e incidentes.
TI y Seguridad de la Información: alianza operacional para implementación de controles técnicos, registros, cifrado y respuesta a incidentes.

Modelo de resolución de designación para hospital o clínica

RESOLUCIÓN EXENTA N° [XXX]

[NOMBRE DEL ESTABLECIMIENTO], [FECHA]

Designa Delegado de Protección de Datos Personales

[CARGO DE LA AUTORIDAD MÁXIMA] del [NOMBRE DEL ESTABLECIMIENTO],
en uso de sus atribuciones legales y reglamentarias,

CONSIDERANDO:

1°. Lo dispuesto en la Ley N° 21.719 de Protección de Datos
    Personales de Chile, que establece la obligación de designar
    un Delegado de Protección de Datos Personales para
    responsables del tratamiento cuya actividad principal
    implique el tratamiento a gran escala de datos sensibles
    de salud.

2°. La necesidad de garantizar la conformidad de las actividades
    de tratamiento de datos personales realizadas por este
    establecimiento con la Ley N° 21.719.

RESUELVO:

1°. Desígnase a [NOMBRE COMPLETO], [RUT], como Delegado de
    Protección de Datos Personales (DPD) de [NOMBRE DEL
    ESTABLECIMIENTO], en los términos de la Ley N° 21.719.

2°. Son atribuciones del Delegado:
    a) Recibir solicitudes y comunicaciones de los titulares,
       prestar aclaraciones y adoptar providencias;
    b) Recibir comunicaciones de la Agencia de Protección de
       Datos Personales (APDP) y adoptar providencias;
    c) Orientar a los colaboradores y contratados respecto de
       las prácticas de protección de datos personales;
    d) Elaborar y mantener actualizado el Registro de
       Actividades de Tratamiento (RAT);
    e) Asesorar en la elaboración de Evaluaciones de Impacto
       en la Protección de Datos (EIPD);
    f) Monitorear la conformidad de las actividades de
       tratamiento con la Ley N° 21.719 y la normativa
       de la APDP.

3°. El Delegado ejercerá sus atribuciones con autonomía técnica,
    sin conflicto de intereses y con acceso directo a la
    [DIRECCIÓN GENERAL / GERENCIA GENERAL].

4°. Desígnase a [NOMBRE DEL SUPLENTE] como Delegado suplente,
    para ejercer las atribuciones en caso de ausencia o
    impedimento del titular.

5°. Los datos de contacto del Delegado serán publicados en el
    sitio web del establecimiento de forma clara y accesible.

6°. La presente resolución rige desde su fecha de emisión.

[LUGAR], [FECHA]

[NOMBRE Y FIRMA DE LA AUTORIDAD MÁXIMA]
[CARGO]

Las 10 primeras acciones del DPD al asumir en hospital o clínica

1. Mapear el ecosistema de datos

Antes de cualquier acción, el DPD necesita entender el flujo de datos en el establecimiento. Agende reuniones con los responsables de:

Ficha clínica electrónica (TI)
Facturación y prestaciones FONASA/ISAPRE (administración)
Investigación clínica (CEC)
Recursos humanos
Marketing y comunicaciones
Terceros subcontratados (laboratorio, aseo, seguridad)

2. Elaborar el Registro de Actividades de Tratamiento (RAT)

Documente cada actividad de tratamiento: qué datos, de quién, para qué, con qué base de licitud, por cuánto tiempo, con quién se comparten. En un hospital, espere decenas de actividades. Priorice las que involucran datos sensibles a gran escala.

3. Identificar los mayores riesgos

En el contexto hospitalario chileno, los riesgos más críticos generalmente son:

Acceso indebido a la ficha clínica por profesionales sin relación asistencial
Compartición no autorizada de datos con ISAPRES u operadores de seguros
Uso de WhatsApp para comunicación de datos clínicos
Ausencia de contratos de encargo de tratamiento con proveedores críticos (sistema de ficha clínica, laboratorio)
Datos de investigación clínica sin consentimiento informado adecuado

4. Auditar contratos con proveedores

Levante todos los proveedores que procesan datos de pacientes. Priorice el sistema de ficha clínica electrónica, laboratorios subcontratados, plataformas de telemedicina y servicios en la nube. Verifique si existe contrato de encargo de tratamiento, si las cláusulas son adecuadas y si hay previsión de notificación de incidentes.

5. Verificar controles de acceso a la ficha clínica

La ficha clínica electrónica debe tener control de acceso por perfil — médico, enfermería, recepción, administración — con registros de auditoría sobre quién accedió a qué y cuándo. Si el sistema permite acceso irrestricto, esa es la prioridad cero.

6. Establecer canal de comunicación con titulares

Cree o active un canal accesible para que los pacientes ejerzan sus derechos (acceso, rectificación, cancelación, portabilidad). Puede ser un correo electrónico dedicado (dpd@clinica.cl), un formulario en el sitio web o un sector presencial.

7. Crear procedimiento de respuesta a incidentes

Defina quién evalúa los incidentes, quién comunica a la APDP, quién notifica a los titulares afectados y cómo documentar el proceso. En un hospital, los incidentes con datos sensibles de salud tienen gravedad agravada bajo la Ley 21.719.

8. Evaluar la necesidad de EIPD

Establecimientos que tratan datos sensibles de salud a gran escala, usan IA para diagnóstico, operan telemedicina o comparten datos sistemáticamente con planes de salud deben elaborar Evaluaciones de Impacto en la Protección de Datos. Si aún no existen, planifique su elaboración para los primeros 90 días.

9. Planificar capacitación del cuerpo clínico

Médicos, enfermeros y técnicos necesitan entender lo básico: qué son los datos sensibles de salud, por qué la Ley 21.719 importa para ellos, qué pueden y no pueden hacer con datos de pacientes. Capacitaciones cortas (30-45 minutos), prácticas y con ejemplos del día a día hospitalario funcionan mejor que charlas jurídicas abstractas.

10. Reportar a la dirección

Presente un informe inicial a la dirección con: diagnóstico de la situación, mayores riesgos identificados, plan de acción priorizado y recursos necesarios. Sin apoyo de la alta dirección, el DPD no tiene poder para implementar cambios.

KPIs del DPD hospitalario

Para demostrar valor y acompañar la evolución de la conformidad, el DPD hospitalario debe monitorear indicadores como:

KPI	Meta sugerida	Frecuencia
% de actividades de tratamiento mapeadas en el RAT	100%	Semestral
% de proveedores con contrato de encargo de tratamiento firmado	100% (críticos)	Trimestral
Tiempo promedio de respuesta a titulares	≤ 30 días	Mensual
Número de incidentes reportados	Seguimiento (tendencia)	Mensual
% de colaboradores capacitados en Ley 21.719	≥ 90%	Anual
Número de EIPDs elaboradas/actualizadas	Según necesidad	Semestral
Tiempo de notificación a la APDP en incidentes	≤ 72 horas (plazo legal Ley 21.719)	Por evento
Accesos indebidos a ficha clínica detectados	Seguimiento (tendencia)	Mensual

Conclusión

Estructurar el cargo de DPD en hospital o clínica es más que cumplir la Ley 21.719. Es crear una función que proteja a los pacientes, reduzca riesgos jurídicos y operacionales, y posicione al establecimiento de forma responsable frente a la APDP — que comenzará sus operaciones en diciembre de 2026 con facultades sancionatorias reales. La Ley 21.719 prioriza los tratamientos de datos sensibles de salud. El momento de estructurar el cargo es ahora.

Confidata ofrece funcionalidades específicas para DPDs de salud: gestión centralizada de actividades de tratamiento con clasificación de datos sensibles, EIPD con evaluación de riesgos sectoriales, panel de solicitudes de titulares y control de proveedores con seguimiento de contratos de encargo de tratamiento — todo en una plataforma que simplifica la conformidad hospitalaria.