EIPD para Hospitales y Clínicas: Guía Práctica con Modelo
La EIPD (Evaluación de Impacto en la Protección de Datos Personales) es probablemente el documento de cumplimiento más importante — y más ignorado — del sector de salud. En ningún otro sector la combinación de datos sensibles a gran escala, compartición entre múltiples actores y uso creciente de tecnología genera tantos escenarios que exigen evaluación de impacto.
A pesar de eso, la mayoría de los hospitales y clínicas en Chile aún no cuenta con una EIPD. La razón más común: falta de orientación práctica sobre cómo elaborar una EIPD específica para el contexto de salud — con los riesgos correctos, las medidas mitigadoras adecuadas y la profundidad que el sector exige.
Esta guía llena ese vacío. Incluye la estructura completa, un ejemplo para ficha clínica electrónica, análisis de riesgos específicos de salud y una plantilla para replicar.
Qué es la EIPD y por qué importa en salud
La Ley 21.719 establece la obligación de realizar una Evaluación de Impacto en la Protección de Datos para tratamientos que presenten un alto riesgo para los derechos y libertades de los titulares.
En la práctica, la EIPD es un análisis estructurado que responde a tres preguntas:
- ¿Qué datos personales estamos tratando y por qué?
- ¿Qué riesgos genera ese tratamiento para los titulares?
- ¿Qué estamos haciendo para mitigar esos riesgos?
Para el sector de salud, la EIPD tiene un peso particular: los datos de salud son sensibles por definición bajo la Ley 21.719, y el impacto de un incidente — fichas clínicas filtradas, diagnósticos expuestos, datos genéticos comprometidos — es potencialmente devastador para la vida de los pacientes.
Cuándo es obligatoria la EIPD en salud
La Ley 21.719 establece que la EIPD es obligatoria cuando el tratamiento pueda presentar un alto riesgo para los derechos y libertades de los titulares. Los criterios de alto riesgo incluyen:
- Tratamiento a gran escala de datos sensibles (incluye datos de salud)
- Decisiones automatizadas que produzcan efectos jurídicos significativos o que afecten de modo similar a los titulares
- Vigilancia sistemática a gran escala en espacios de acceso público
Escenarios que exigen EIPD en salud
| Escenario | Por qué exige EIPD |
|---|---|
| Ficha clínica electrónica en hospital | Datos sensibles de salud a gran escala, acceso por múltiples profesionales |
| Sistema de IA para diagnóstico | Tratamiento automatizado con impacto potencial en la vida del paciente |
| Teleconsulta / telemedicina | Transmisión de datos sensibles por redes, almacenamiento en nube, grabación |
| Compartición con Isapres | Transferencia sistemática de datos sensibles a otro responsable |
| Investigación clínica | Uso de datos de pacientes para finalidad distinta a la asistencia |
| Datos genéticos y genómicos | Categoría extremamente sensible con riesgo de discriminación |
| Monitoreo de pacientes (IoT) | Recopilación continua de datos fisiológicos en tiempo real |
| Biobancos / bancos de muestras | Datos biológicos vinculados a datos personales |
Escenarios recomendados (no obligatorios, pero prudentes)
- Implementación de nuevo sistema de ficha clínica electrónica
- Migración de fichas en papel a formato digital
- Adopción de plataforma de agenda en línea para pacientes
- Contratación de laboratorio tercero que procesará datos de pacientes
- Uso de chatbot para triaje de pacientes
Diferencias de la EIPD en salud vs. EIPD genérica
Una EIPD de hospital no puede seguir el mismo modelo que una empresa de comercio electrónico. Los riesgos son diferentes, las bases de licitud son diferentes y el impacto sobre los titulares es diferente.
Riesgos específicos del sector de salud
1. Re-identificación de datos anonimizados
Los datos de salud son notoriamente difíciles de anonimizar. Estudios demuestran que la combinación de diagnóstico + rango etario + código postal puede re-identificar pacientes en bases supuestamente anónimas. La EIPD de salud debe evaluar específicamente el riesgo de re-identificación, especialmente en investigación y compartición con terceros.
2. Uso secundario de datos
Los datos recopilados para finalidad asistencial pueden usarse para investigación, gestión poblacional, marketing o negociación con Isapres. Cada uso secundario es un tratamiento distinto que necesita base de licitud propia y debe evaluarse en la EIPD.
3. Acceso indebido a la ficha clínica
En hospitales, cientos de profesionales tienen acceso potencial a la ficha clínica electrónica. El riesgo de acceso por curiosidad (profesional que consulta la ficha de un colega, una persona pública o un familiar) es concreto y debe mapearse en la EIPD, con controles de registro (log) y auditoría como medidas mitigadoras.
4. Compartición con Isapres
La compartición de datos clínicos con Isapres para fines de auditoría, autorización previa o gestión de red es rutinaria, pero implica la transferencia de datos sensibles a otro responsable. La EIPD debe evaluar la proporcionalidad, la base de licitud y los controles para cada flujo de compartición.
5. Continuidad asistencial en caso de incidente
A diferencia de otros sectores, un incidente de seguridad en un hospital puede tener impacto directo en la vida del paciente — fichas clínicas no disponibles, medicamentos incorrectos por falta de historial, cirugías postergadas. La EIPD debe evaluar el impacto no solo en la privacidad, sino en la continuidad asistencial.
Estructura de la EIPD para salud: 8 secciones esenciales
Sección 1 — Identificación
- Nombre del hospital/clínica (responsable del tratamiento)
- RUT del establecimiento
- Nombre y contacto del DPD
- Nombre y contacto del responsable técnico de la actividad evaluada
- Fecha de elaboración
- Fecha de próxima revisión
Sección 2 — Descripción del tratamiento
- Actividad de tratamiento evaluada (ej.: "Ficha clínica electrónica del paciente")
- Finalidad del tratamiento
- Base de licitud (especificar el fundamento legal para datos sensibles)
- Categorías de datos personales tratados (nombre, RUT, datos de salud, datos genéticos, datos biométricos)
- Categorías de titulares (pacientes, acompañantes, trabajadores)
- Volumen estimado de titulares y registros
- Período de retención de los datos
- Terceros con quienes se comparten los datos (encargados y otros responsables)
Sección 3 — Necesidad y proporcionalidad
- ¿Por qué este tratamiento es necesario para la finalidad declarada?
- ¿Los datos recopilados son los mínimos necesarios (principio de proporcionalidad)?
- ¿Existen alternativas menos invasivas que logren la misma finalidad?
- ¿El tratamiento es proporcional al beneficio generado?
Sección 4 — Análisis de riesgos
Para cada riesgo identificado, evaluar:
- Descripción del riesgo (qué puede ocurrir)
- Probabilidad (muy baja, baja, media, alta, muy alta)
- Impacto (despreciable, bajo, medio, alto, muy alto)
- Nivel de riesgo (probabilidad × impacto)
- Categoría (confidencialidad, integridad, disponibilidad, discriminación)
Sección 5 — Medidas mitigadoras
Para cada riesgo, listar:
- Medida de mitigación (técnica u organizacional)
- Estado (implementada, en implementación, planificada)
- Responsable
- Plazo de implementación (si no está implementada)
Sección 6 — Riesgo residual
- Tras las medidas mitigadoras, ¿cuál es el nivel de riesgo remanente?
- ¿El riesgo residual es aceptable?
- Si no, ¿qué medidas adicionales son necesarias?
Sección 7 — Opinión del DPD
- Opinión formal del DPD sobre la conformidad del tratamiento
- Recomendaciones
Sección 8 — Aprobación y revisión
- Firma del responsable del tratamiento
- Firma del DPD
- Fecha de aprobación
- Eventos desencadenantes de revisión
Ejemplo completo: EIPD de ficha clínica electrónica en hospital
Identificación
| Campo | Valor |
|---|---|
| Responsable | Hospital [Nombre] |
| RUT | [XX.XXX.XXX-X] |
| DPD | [Nombre], dpd@hospital.cl |
| Actividad | Ficha Clínica Electrónica del Paciente (FCE) |
| Fecha de elaboración | [DD/MM/2026] |
| Próxima revisión | [DD/MM/2027] |
Descripción del tratamiento
- Finalidad: registro y gestión de información clínica para la prestación de asistencia en salud, incluyendo anamnesis, evolución clínica, prescripciones, resultados de exámenes y procedimientos realizados.
- Base de licitud: tratamiento necesario para la prestación de atención de salud (obligación legal conforme a Ley N°20.584 y sus reglamentos) y tutela de la salud del paciente.
- Categorías de datos: nombre, RUT, fecha de nacimiento, domicilio, teléfono, previsión de salud, datos clínicos (anamnesis, diagnósticos/CIE, prescripciones, resultados de exámenes, informes, procedimientos, alergias), datos biométricos (si el sistema usa biometría para acceso).
- Categorías de titulares: pacientes (hospitalizados y ambulatorios), acompañantes (cuando son registrados).
- Volumen: ~[50.000] pacientes activos, ~[500.000] registros clínicos por año.
- Retención: mínimo 15 años desde el último registro (Ley N°20.584, Art. 13); para menores, desde que alcancen los 18 años.
- Compartición: Isapres (facturación y auditoría médica), laboratorios terceros, proveedor del sistema de FEC (encargado).
Análisis de riesgos
| # | Riesgo | Probabilidad | Impacto | Nivel | Categoría |
|---|---|---|---|---|---|
| R1 | Acceso indebido a la ficha por profesional sin relación asistencial | Alta | Alto | Crítico | Confidencialidad |
| R2 | Filtración de datos por ataque cibernético (ransomware) | Media | Muy alto | Crítico | Confidencialidad, Disponibilidad |
| R3 | Exposición de datos en pantalla de computador (consulta, sala de enfermería) | Alta | Medio | Alto | Confidencialidad |
| R4 | Envío de datos clínicos por WhatsApp por parte de profesionales | Alta | Alto | Crítico | Confidencialidad |
| R5 | Compartición excesiva con Isapres (datos más allá de lo necesario para facturación) | Media | Alto | Alto | Proporcionalidad |
| R6 | No disponibilidad de la ficha por falla del sistema | Baja | Muy alto | Alto | Disponibilidad |
| R7 | Re-identificación en bases usadas para investigación interna | Baja | Alto | Medio | Discriminación |
| R8 | Falla en el respaldo con pérdida permanente de registros | Muy baja | Muy alto | Medio | Integridad |
Medidas mitigadoras
| Riesgo | Medida | Estado | Responsable |
|---|---|---|---|
| R1 | Control de acceso por perfil (RBAC) con vinculación asistencial | Implementada | TI |
| R1 | Registro de auditoría (log) con monitoreo activo de accesos anómalos | En implementación | TI + DPD |
| R2 | Respaldo diario con copia offsite cifrada | Implementada | TI |
| R2 | Plan de respuesta a incidentes con equipo designado | Implementada | DPD + TI |
| R2 | Segmentación de red y EDR en endpoints | Implementada | TI |
| R3 | Pantalla de privacidad en monitores de áreas clínicas | Planificada | Infraestructura |
| R3 | Bloqueo automático de pantalla tras 3 minutos de inactividad | Implementada | TI |
| R4 | Política de prohibición de envío de datos clínicos por WhatsApp | Implementada | DPD |
| R4 | Capacitación semestral sobre canales autorizados de comunicación | En implementación | DPD + RRHH |
| R5 | Revisión de los campos compartidos con Isapres — limitación al mínimo necesario | Planificada | Facturación + DPD |
| R6 | Infraestructura redundante con failover automático | Implementada | TI |
| R7 | Protocolo de anonimización para datos usados en investigación | En implementación | Comité Ético-Científico + DPD |
| R8 | Prueba de restauración de respaldo mensual | Implementada | TI |
Riesgo residual
Tras la implementación completa de las medidas mitigadoras, el riesgo residual general se clasifica como medio-bajo. Los riesgos R1 (acceso indebido) y R4 (WhatsApp) dependen del factor humano y permanecen en nivel medio incluso con controles técnicos y capacitación.
Opinión del DPD
El tratamiento de datos personales en la ficha clínica electrónica es necesario, proporcional y cuenta con base de licitud adecuada (tutela de la salud; obligación legal conforme a Ley N°20.584). Las medidas de mitigación implementadas y planificadas reducen los riesgos a un nivel aceptable, siempre que el cronograma de implementación de las medidas "planificadas" (R3, R5) y "en implementación" (R1-log activo, R4-capacitación, R7-anonimización) se cumpla antes de [fecha]. Se recomienda revisión de la EIPD en 12 meses o cuando haya un cambio significativo en el sistema de ficha clínica.
Ejemplo resumido: EIPD de teleconsulta
Para teleconsultas, los riesgos adicionales incluyen:
| Riesgo | Medida mitigadora |
|---|---|
| Interceptación de datos durante la transmisión | Cifrado de extremo a extremo en la plataforma de teleconsulta |
| Grabación no autorizada de la consulta por el paciente o un tercero | Aviso explícito al inicio de la consulta; consentimiento informado para grabación |
| Almacenamiento en servidor fuera de Chile | Verificar ubicación de los servidores; preferir proveedores con centros de datos en Chile o con garantías contractuales adecuadas |
| Acceso indebido a la sala de espera virtual | Autenticación del paciente por documento + código de verificación |
| Transferencia internacional de datos (plataforma extranjera) | DPA con cláusulas de transferencia internacional adecuadas bajo la Ley 21.719 |
| Falta de registro en la ficha clínica | Integración de la plataforma de teleconsulta con el sistema de ficha clínica |
Cómo mantener la EIPD actualizada: eventos desencadenantes
La EIPD no es un documento estático. Debe revisarse cuando ocurra:
Eventos que exigen revisión
- Nuevo sistema o módulo en la ficha clínica electrónica — nuevos datos recopilados, nuevos flujos de compartición
- Cambio de proveedor — nuevo encargado procesando datos de pacientes
- Incidente de seguridad — reevaluación de riesgos y medidas tras un incidente real
- Nueva legislación o normativa — circulares del MINSAL, instrucciones de la APDP o normas de la Superintendencia de Salud que afecten el tratamiento
- Adopción de IA para diagnóstico o triaje — nuevo escenario de riesgo con tratamiento automatizado
- Cambio en la Isapre o convenio — nuevo responsable recibiendo datos
- Inicio de investigación clínica — uso de datos para finalidad distinta a la asistencia
- Expansión del establecimiento — nuevas unidades, nuevos profesionales con acceso
Frecuencia mínima de revisión
Incluso sin evento desencadenante, la EIPD debe revisarse al menos anualmente. La revisión debe verificar si los riesgos cambiaron, si las medidas mitigadoras siguen siendo eficaces y si surgieron nuevos escenarios no previstos.
Plantilla: estructura para copiar y adaptar
# EIPD — [Nombre de la Actividad de Tratamiento]
## 1. Identificación
- Responsable: [Nombre del hospital/clínica]
- RUT: [XX.XXX.XXX-X]
- DPD: [Nombre], [correo]
- Responsable técnico: [Nombre], [cargo]
- Fecha de elaboración: [DD/MM/AAAA]
- Próxima revisión: [DD/MM/AAAA]
## 2. Descripción del Tratamiento
- Actividad: [descripción]
- Finalidad: [por qué se tratan los datos]
- Base de licitud: [fundamento legal aplicable]
- Datos tratados: [lista de categorías]
- Titulares: [categorías de titulares]
- Volumen: [estimación]
- Retención: [plazo y justificación]
- Compartición: [con quién y por qué]
## 3. Necesidad y Proporcionalidad
- ¿El tratamiento es necesario para la finalidad? [justificación]
- ¿Los datos son los mínimos necesarios? [análisis]
- ¿Existen alternativas menos invasivas? [análisis]
## 4. Análisis de Riesgos
| # | Riesgo | Prob. | Impacto | Nivel | Categoría |
|---|--------|-------|---------|-------|-----------|
| R1 | [descripción] | [B/M/A] | [B/M/A] | [resultado] | [C/I/D/Disc] |
## 5. Medidas Mitigadoras
| Riesgo | Medida | Estado | Responsable | Plazo |
|--------|--------|--------|------------|-------|
| R1 | [medida] | [Impl./En impl./Plan.] | [nombre] | [fecha] |
## 6. Riesgo Residual
[Evaluación del riesgo tras medidas mitigadoras]
## 7. Opinión del DPD
[Opinión formal y recomendaciones]
## 8. Aprobación
- Responsable del tratamiento: [nombre, fecha, firma]
- DPD: [nombre, fecha, firma]
- Eventos desencadenantes de revisión: [lista]
Conclusión
La EIPD es el instrumento que demuestra, de forma documentada, que el hospital o clínica evaluó los riesgos del tratamiento de datos sensibles y tomó medidas concretas para proteger a sus pacientes. Con la APDP comenzando a ejercer sus funciones de fiscalización a partir del 1 de diciembre de 2026, tener una EIPD bien elaborada es más que cumplimiento — es la diferencia entre estar preparado para una fiscalización y ser tomado por sorpresa.
No espere a que la APDP la solicite. Elabore la EIPD ahora, comience por la ficha clínica electrónica (el escenario de mayor riesgo y volumen) y expándala a teleconsulta, investigación clínica y compartición con Isapres.
Confidata ofrece un módulo de EIPD con evaluación de riesgos específica para el sector de salud: matriz de riesgos preconfigurada para datos sensibles, campos sectoriales de análisis, cálculo automático de riesgo residual y generación de informe en formato exportable — listo para presentar a la APDP o a la dirección del establecimiento.
Artículos relacionados
¿Quiere ir más allá? Conozca Confidata Chile
Sistema completo de gestión de cumplimiento con Ley 21.719 e IA integrada para acelerar su programa de privacidad.