Salud15 min de lectura

Ley 21.719 para Clínicas Médicas: Plan de Adecuación en 6 Meses

Equipo Confidata·
Compartir

Las clínicas médicas tratan datos personales sensibles en cada etapa de la atención — desde la recepción hasta el consultorio, del laboratorio a la administración. Y a diferencia de un hospital de mayor tamaño, que generalmente cuenta con equipo jurídico y de compliance, la mayoría de las clínicas pequeñas y medianas necesita resolver la adecuación a la Ley 21.719 con recursos limitados y sin especialistas dedicados.

Esta guía fue construida para esa realidad. No es un resumen genérico de la ley — es un itinerario práctico, área por área, de todo lo que una clínica médica chilena necesita hacer para cumplir con la Ley 21.719, que entra en vigencia el 1 de diciembre de 2026.

Por qué los datos de salud exigen protección reforzada

Los datos de salud son datos personales sensibles en los términos de la Ley 21.719 (Art. 16). En la práctica, esto significa:

  1. Bases de licitud más restringidas. El Art. 16 de la Ley 21.719 lista solo hipótesis específicas para tratar datos sensibles: consentimiento explícito del titular, o las hipótesis de excepción previstas expresamente en la ley — entre las cuales se incluye el tratamiento necesario para la prevención o diagnóstico médico, la prestación de asistencia médica o la gestión de servicios de salud.

  2. Medidas de seguridad más rigurosas. El nivel de protección exigido es más alto: cifrado, controles de acceso granulares, registros de auditoría.

  3. Sanciones más severas. Las infracciones que involucran datos sensibles se evalúan con mayor rigor. Las multas bajo la Ley 21.719 pueden llegar a 20.000 UTM para infracciones gravísimas — y hasta el 4% de los ingresos anuales en caso de reincidencia para empresas de mayor tamaño.

  4. Evaluación de impacto recomendada para tratamiento a gran escala. Las clínicas que atienden grandes volúmenes de pacientes o usan sistemas de IA para diagnóstico deberían elaborar una Evaluación de Impacto en la Protección de Datos (EIPD).

Cada consulta médica, cada resultado de examen, cada prescripción genera datos sensibles. Una clínica que atiende 50 pacientes al día acumula, en un año, decenas de miles de registros protegidos por la Ley 21.719.

Mapeo de datos en clínicas: dónde están los datos personales

El primer paso de la adecuación es saber exactamente qué datos personales circulan en la clínica y por qué. Ve el mapeo por área:

Recepción y agendamiento

  • Datos recopilados: nombre completo, RUT, fecha de nacimiento, dirección, teléfono, correo electrónico, previsión (Fonasa, Isapre, particular), foto del documento
  • Finalidad: identificación del paciente, agendamiento, facturación
  • Base de licitud: ejecución de relación contractual para datos de registro; protección de la salud para datos clínicos asociados al agendamiento
  • Riesgos: ficha en papel expuesta en el mesón, pantalla del computador visible para otros pacientes, llamada en voz alta con nombre completo y especialidad

Consultorio médico

  • Datos recopilados: anamnesis completa, historial de enfermedades, medicamentos en uso, alergias, resultados de exámenes, diagnósticos (CIE-10), prescripciones, informes
  • Finalidad: atención de salud del paciente
  • Base de licitud: prestación de asistencia médica — base de licitud central para todo tratamiento asistencial en contexto clínico
  • Riesgos: ficha clínica abierta en pantalla cuando ingresa otro paciente, impresión de recetas en impresora compartida

Laboratorio y exámenes

  • Datos recopilados: muestras biológicas (asociadas al RUT), resultados de exámenes de laboratorio e imagen, informes técnicos
  • Finalidad: diagnóstico y seguimiento clínico
  • Base de licitud: prestación de asistencia médica para uso asistencial; obligación legal para registros exigidos por el ISP o el Minsal
  • Riesgos: resultados enviados por correo o WhatsApp sin cifrado, almacenamiento en la nube sin contrato adecuado

Área administrativa y financiera

  • Datos recopilados: datos bancarios, tarjeta de crédito, boletas y facturas, datos de previsión para cobro a Fonasa/Isapres
  • Finalidad: cobro, facturación a aseguradoras, contabilidad
  • Base de licitud: ejecución de relación contractual para cobros directos; obligación legal para exigencias tributarias
  • Riesgos: planillas financieras con RUT y datos de salud sin control de acceso

RR.HH. y personal

  • Datos recopilados: datos de registro, licencias médicas, exámenes ocupacionales, datos de dependientes
  • Finalidad: gestión laboral, seguridad en el trabajo
  • Base de licitud: obligación legal para exigencias del Código del Trabajo; ejecución de relación contractual para la relación laboral
  • Riesgos: licencias médicas accesibles a funcionarios que no las necesitan

Bases de licitud específicas para cada actividad de la clínica

El error más común es creer que todo en la clínica requiere el consentimiento del paciente. No es así — y depender exclusivamente del consentimiento es riesgoso, porque el paciente puede revocarlo en cualquier momento.

Cuándo usar prestación de asistencia médica

Esta es la base de licitud principal para el tratamiento de datos en contexto asistencial. Abarca:

  • Consultas médicas y anamnesis
  • Acceso y actualización de la ficha clínica
  • Solicitud y análisis de exámenes
  • Prescripción de medicamentos
  • Derivaciones a especialistas
  • Teleconsultas

Límite: se aplica exclusivamente a tratamientos realizados por profesionales o servicios de salud, y solo para finalidad asistencial.

Cuándo usar obligación legal

  • Notificación de enfermedades de notificación obligatoria al Minsal (ENO)
  • Registros exigidos por el ISP (psicotrópicos, estupefacientes)
  • Escrituración fiscal y tributaria
  • Comunicación al sistema de información del Minsal
  • Informes de salud ocupacional (examen pre-ocupacional, periódico)
  • Conservación de la ficha clínica conforme al Decreto 41 del Minsal

Cuándo usar ejecución de relación contractual

  • Datos de registro para formalizar la atención
  • Datos financieros para cobro
  • Cobro a Fonasa o Isapres

Cuándo el consentimiento SÍ es necesario

  • Marketing: envío de comunicaciones promocionales por correo o WhatsApp
  • Encuesta de satisfacción vinculada a datos de salud
  • Compartición de datos con socios comerciales fuera del contexto asistencial
  • Uso de imagen del paciente para redes sociales o materiales de la clínica
  • Investigación clínica comercial

Ficha clínica en clínicas de pequeño porte: plazos y responsabilidades

Sistemas de ficha clínica y responsabilidades

Las clínicas pequeñas y medianas generalmente usan sistemas comerciales de ficha clínica electrónica. Es fundamental entender la cadena de responsabilidad:

  • La clínica es responsable del tratamiento — ella define las finalidades y medios del tratamiento.
  • El proveedor del sistema es encargado del tratamiento — procesa los datos por cuenta de la clínica.
  • El DPA (acuerdo de procesamiento de datos) es obligatorio — la clínica debe formalizar contrato con el proveedor del sistema, definiendo obligaciones de seguridad, confidencialidad, subcontratación y respuesta a incidentes.

Qué verificar en el contrato con el proveedor

  1. Dónde se almacenan los datos — ¿servidores en Chile? ¿en qué proveedor de nube?
  2. Cifrado — ¿los datos en tránsito y en reposo están cifrados?
  3. Respaldos — frecuencia, ubicación, pruebas de restauración
  4. Subencargados — ¿el proveedor usa terceros para procesar datos? ¿cuáles?
  5. Respuesta a incidentes — plazo para notificar a la clínica en caso de filtración
  6. Eliminación de datos — ¿qué pasa con los datos si la clínica cambia de sistema?

Plazos de conservación de la ficha clínica en Chile

El Decreto N° 41 del Ministerio de Salud (Reglamento de fichas clínicas, Ley 20.584) establece:

  • Ficha clínica (papel o digital): conservación mínima de 15 años desde el último registro
  • Menores de edad: el plazo de 15 años se cuenta desde que el menor cumpla 18 años
  • Eliminación: al eliminar fichas, debe quedar un registro oficial con el nombre del paciente y el número de identificación de la ficha

En la práctica, la mayoría de las clínicas que usan ficha clínica electrónica debe mantener los registros por 15 años desde el último registro, lo que exige atención especial a la seguridad de largo plazo de los datos almacenados.

WhatsApp en la clínica: los riesgos que nadie cuenta

WhatsApp se convirtió en canal estándar de comunicación entre clínicas y pacientes. Agendamientos, confirmaciones, envío de resultados, comunicación médico-paciente — todo por la aplicación. Pero pocos se detienen a evaluar los riesgos bajo la Ley 21.719.

Lo que se puede enviar por WhatsApp

  • Confirmación y recordatorios de consulta (sin mencionar especialidad ni procedimiento)
  • Información administrativa (horarios de atención, documentos necesarios)
  • Orientaciones generales pre y post-procedimiento (sin identificar el procedimiento por nombre)

Lo que NO debe enviarse por WhatsApp

  • Resultados de exámenes — contienen datos sensibles de salud. Un mensaje enviado al número equivocado configura un incidente de seguridad que puede requerir notificación a la APDP.
  • Diagnósticos y CIEs — información clínica detallada no debe circular por un canal sin cifrado verificable y sin control de acceso.
  • Prescripciones médicas — recetas con datos del paciente y del diagnóstico son documentos sensibles.
  • Fotos de ficha clínica — práctica común y extremadamente riesgosa.

Riesgos concretos

  1. Clonación de WhatsApp: si el número de la clínica es clonado, los datos de pacientes quedan expuestos. La responsabilidad es de la clínica como responsable del tratamiento.
  2. Grupos de WhatsApp: grupos de equipo médico donde se discuten casos clínicos con datos identificables son tratamiento de datos sensibles sin control de acceso.
  3. Dispositivo personal del médico: si el médico usa WhatsApp personal para comunicarse con pacientes, los datos quedan almacenados en un dispositivo sin control de la clínica.
  4. Respaldo automático de WhatsApp en la nube: los mensajes se copian a Google Drive o iCloud sin cifrado — posible transferencia internacional de datos.

Recomendaciones prácticas

  • Adopta WhatsApp Business con número institucional (no personal)
  • Desactiva el respaldo automático en la nube en los dispositivos que acceden a datos de pacientes
  • Nunca envíes resultados de exámenes, diagnósticos o prescripciones por WhatsApp — usa el portal del paciente del sistema de ficha clínica
  • Documenta en política interna qué se puede y no se puede comunicar por WhatsApp
  • Capacita a todo el equipo (recepción, enfermería, médicos)

Recepción y sala de espera: datos expuestos sin darse cuenta

La recepción es el punto más vulnerable de muchas clínicas. Los datos se exponen inadvertidamente de varias formas:

Problemas comunes

  • Llamada por nombre completo y especialidad — "Juan González, box 3, Dr. Martínez, Psiquiatría" expone datos de salud (la especialidad revela la naturaleza del tratamiento) para toda la sala de espera.
  • Ficha en papel sobre el mesón — los pacientes que esperan en recepción pueden ver datos de otros pacientes.
  • Pantalla del computador expuesta — el monitor de la recepcionista orientado hacia el público muestra datos de registro y agendamiento.
  • Caja de fichas clínicas accesible — en clínicas más pequeñas, el archivo físico está en la misma recepción.

Soluciones prácticas

  • Llama a los pacientes por número o panel electrónico, sin mencionar especialidad
  • Usa filtro de privacidad en el monitor de recepción
  • Posiciona el monitor de modo que el público no vea la pantalla
  • Mantén las fichas y documentos físicos en un lugar cerrado, con acceso controlado
  • Instala atención por turnos numerados para evitar filas en recepción

Delegado de Protección de Datos para clínica médica: ¿obligatorio o no?

Regla general

La Ley 21.719 establece que la designación de Delegado de Protección de Datos (DPD) es obligatoria para organismos públicos y para organizaciones cuya actividad principal implique tratamiento a gran escala de datos sensibles o monitoreo sistemático y a gran escala de titulares.

Para una clínica pequeña o mediana (que no trate datos sensibles "a gran escala" como criterio de obligatoriedad), la designación de DPD no es formalmente obligatoria — pero sí es fuertemente recomendada, dado que la totalidad del giro de negocio de una clínica involucra datos de salud.

Lo que sí es obligatorio para toda clínica

  • Informar a los pacientes sobre el tratamiento de sus datos (aviso de privacidad)
  • Atender solicitudes de titulares (acceso, rectificación, supresión, portabilidad)
  • Notificar incidentes de seguridad a la APDP y a los titulares afectados
  • Mantener registros de las actividades de tratamiento

Soluciones con poco presupuesto

  1. DPD interno acumulando función: un administrador o coordinador puede asumir el rol, siempre que no exista conflicto de interés.
  2. DPD como servicio (DPO-as-a-Service): contratar un DPD externo compartido. Opción viable para clínicas pequeñas que buscan expertise sin costo de tiempo completo.
  3. Asesoría puntual + canal de comunicación: incluso sin DPD formal, asegura el canal de atención al titular y busca orientación puntual cuando sea necesario.

Proveedores: acuerdos de procesamiento que tu clínica necesita tener

Las clínicas dependen de varios proveedores que procesan datos de pacientes. Cada uno necesita un acuerdo de procesamiento de datos (DPA):

Proveedores que requieren DPA

ProveedorDatos procesadosPrioridad
Sistema de ficha clínica electrónicaTodos los datos clínicosCrítica
Laboratorio tercerizadoMuestras, resultados de exámenesCrítica
Plataforma de telemedicinaDatos de consulta remotaAlta
Contabilidad / estudio contableDatos financieros, RUT, facturasAlta
Isapres / FonasaDatos de procedimientos, diagnósticosAlta
Servicio de almacenamiento en la nubeRespaldos, documentosMedia
Empresa de TI / soporte técnicoAcceso a sistemas y datosMedia
Servicio de email marketingNombre, correo, teléfonoMedia

Qué debe contener cada DPA

  • Descripción del tratamiento realizado por el proveedor
  • Finalidades permitidas (y prohibición de uso para fines propios)
  • Medidas de seguridad exigidas
  • Plazo y procedimiento para notificación de incidentes
  • Reglas sobre subencargados
  • Obligaciones de eliminación al término del contrato
  • Derecho de auditoría por parte de la clínica

Plan de adecuación en 6 meses para clínicas pequeñas y medianas

Mes 1 — Diagnóstico y mapeo

  • Designar responsable interno de la adecuación (futuro DPD o punto focal)
  • Mapear todos los datos personales tratados por área (recepción, consultorio, laboratorio, administración)
  • Listar todos los sistemas y proveedores que acceden a datos de pacientes
  • Identificar datos en papel (fichas, prescripciones físicas)

Mes 2 — Bases de licitud y documentación

  • Definir base de licitud para cada actividad de tratamiento mapeada
  • Elaborar registro de actividades de tratamiento (simplificado)
  • Redactar o actualizar la política de privacidad para pacientes
  • Crear aviso de privacidad para colocar en recepción

Mes 3 — Contratos y proveedores

  • Levantar contratos con todos los proveedores que procesan datos
  • Incluir cláusulas de protección de datos (DPA) en los contratos existentes
  • Priorizar sistema de ficha clínica y laboratorio tercerizado
  • Verificar si el sistema de ficha clínica tiene cifrado y control de acceso adecuados

Mes 4 — Seguridad y procesos internos

  • Implementar control de acceso por perfil en el sistema de ficha clínica (médico, recepción, administración)
  • Activar registros de auditoría de acceso a la ficha clínica
  • Definir política de uso de WhatsApp en la clínica
  • Proteger pantallas de recepción (filtro de privacidad, posicionamiento)
  • Crear procedimiento para destrucción segura de papel con datos personales

Mes 5 — Derechos de los titulares e incidentes

  • Crear canal de comunicación para titulares (correo dedicado o formulario en el sitio web)
  • Definir proceso interno para responder solicitudes de pacientes (acceso, rectificación, supresión)
  • Elaborar plan básico de respuesta a incidentes
  • Definir quién notifica a la APDP y en qué plazo ante una filtración de datos

Mes 6 — Capacitación y mejora continua

  • Capacitar a todo el equipo (recepción, enfermería, médicos, administrativo)
  • Documentar evidencias de adecuación (actas, registros, contratos firmados)
  • Revisar y ajustar lo implementado en los meses anteriores
  • Definir calendario de revisión periódica (semestral)

Checklist completo de cumplimiento para clínicas médicas

Gobernanza y organización (5 ítems)

  • Responsable de protección de datos designado (DPD o punto focal)
  • Canal de comunicación con titulares publicado (sitio web + recepción)
  • Registro de actividades de tratamiento actualizado
  • Política de privacidad para pacientes disponible
  • Aviso de privacidad colocado en recepción

Bases de licitud y consentimiento (4 ítems)

  • Base de licitud documentada para cada actividad de tratamiento
  • Prestación de asistencia médica como base principal para atención asistencial
  • Consentimiento específico obtenido cuando sea necesario (marketing, imagen, investigación)
  • Formulario de consentimiento separado del contrato de prestación de servicios

Seguridad de la información (5 ítems)

  • Control de acceso por perfil en el sistema de ficha clínica electrónica
  • Registros de auditoría de acceso a datos de pacientes activos
  • Cifrado de datos en tránsito y en reposo
  • Política de contraseñas implementada (complejidad, cambio periódico)
  • Respaldo regular con prueba de restauración

Proveedores y contratos (3 ítems)

  • DPA con el proveedor del sistema de ficha clínica
  • DPA con el laboratorio tercerizado
  • Cláusulas de protección de datos en contratos con Isapres/Fonasa

Procesos y procedimientos (3 ítems)

  • Plan de respuesta a incidentes documentado
  • Procedimiento para atender solicitudes de titulares
  • Política de retención y eliminación de datos (alineada con Decreto 41 del Minsal: 15 años)

Conclusión

La adecuación de una clínica médica a la Ley 21.719 no requiere presupuestos millonarios ni equipos dedicados. Requiere método, priorización y consistencia. El itinerario de 6 meses de esta guía fue diseñado para clínicas pequeñas y medianas que necesitan resolver el cumplimiento de forma pragmática — comenzando por lo más importante (mapeo y bases de licitud) y avanzando hasta lo que sostiene el cumplimiento en el tiempo (capacitación y revisión periódica).

La entrada en vigencia de la Ley 21.719 el 1 de diciembre de 2026 marcará un antes y un después para el sector salud en Chile. Las clínicas que anticipen su adecuación durante el período de transición (2025-2026) llegarán a esa fecha con sus procesos consolidados — las que esperen, llegarán corriendo.

Confidata ofrece herramientas específicas para clínicas médicas y profesionales de la salud: registro de actividades de tratamiento con clasificación de datos sensibles, evaluación de impacto simplificada, gestión de solicitudes de titulares y control de proveedores con DPA — todo en una plataforma pensada para quienes necesitan cumplimiento sin complejidad.

Compartir
#Ley 21719#clínica médica#adecuación datos#protección datos salud#consultorio médico Chile

Artículos relacionados

Ley 21.719 en Hospitales Públicos y CESFAM: Guía de Adecuación de la Red de Salud PúblicaSalud · 14 minLey 21.719 para Farmacias: Datos de Recetas, RUT y Programas de FidelizaciónSalud · 13 minLey 21.719 en hospitales y clínicas: ficha clínica electrónica y telemedicinaSalud · 13 minLey 21.719 para Laboratorios: Exámenes, Informes y Datos GenéticosSalud · 13 min

¿Quiere ir más allá? Conozca Confidata Chile

Sistema completo de gestión de cumplimiento con Ley 21.719 e IA integrada para acelerar su programa de privacidad.

© 2026 Confidata Chile — Todos los derechos reservados|Privacidad|Cookies
Hablar con un especialista