Salud13 min de lectura

Ley 21.719 para Farmacias: Datos de Recetas, RUT y Programas de Fidelización

Equipo Confidata·
Compartir

Las farmacias se encuentran entre los establecimientos que más datos personales recopilan en Chile — y entre los que menos se percatan de ello. Cada compra con RUT, cada receta retenida, cada inscripción en programa de descuentos genera un registro que, acumulado a lo largo de meses y años, forma un perfil detallado de salud del consumidor: qué medicamentos usa, con qué frecuencia, para qué condiciones.

Esos datos son, por definición legal, datos personales sensibles. Y su tratamiento inadecuado expone a las farmacias a sanciones de la Agencia de Protección de Datos Personales (APDP) — que entrará en plena operación cuando la Ley 21.719 entre en vigor en diciembre de 2026 — y a multas del SERNAC bajo la Ley del Consumidor.

Esta guía aborda las obligaciones específicas de la Ley 21.719 para el sector farmacéutico — con foco en los puntos de mayor riesgo: RUT en caja, programas de fidelización, recetas psicotrópicas, biometría y compartición con programas de beneficios.

Qué datos recopilan las farmacias — y por qué esto importa

Una farmacia típica recopila diariamente datos de distintas naturalezas:

Datos de identificación

  • RUT (en la boleta y en programas de descuento)
  • Nombre completo, domicilio, teléfono, correo electrónico (registro de fidelización)
  • Fecha de nacimiento

Datos de salud (sensibles)

  • Recetas médicas retenidas (medicamentos controlados — DS Nº 404/1983 y DS Nº 405/1983 del MINSAL)
  • Historial de compras de medicamentos (permite inferir condiciones de salud)
  • Datos de programas de seguimiento farmacoterapéutico

Datos biométricos (sensibles)

  • Huella digital (recopilada por algunas redes en programas de fidelización)

El punto crítico es que los datos de compras de medicamentos son datos de salud por inferencia. Si alguien compra antirretrovirales, insulina o antidepresivos regularmente, el historial de compras revela condiciones de salud — y debe tratarse como dato sensible conforme a la Ley 21.719 (Art. 16 y 16 bis).

RUT en boleta y RUT en programa de fidelización: bases de licitud distintas

Esta es la distinción más importante — y la más ignorada por el sector.

RUT en boleta

El consumidor puede incluir su RUT en la boleta electrónica. En este caso, la base de licitud es el cumplimiento de obligación legal — la farmacia está atendiendo a la legislación tributaria del SII.

Límite: el RUT entregado para fines tributarios no puede vincularse al historial de compras de medicamentos para finalidades comerciales. Son tratamientos distintos, con bases de licitud distintas.

RUT en programa de fidelización o descuento

Cuando la farmacia condiciona descuentos a la entrega del RUT, el tratamiento tiene finalidad comercial — creación de perfil de consumo, marketing dirigido, análisis de comportamiento de compra. La base de licitud no es obligación legal, sino consentimiento — y al tratarse de datos sensibles inferidos (historial de medicamentos), se requiere consentimiento específico e informado.

Lo que la Ley 21.719 exige:

  1. Informar al consumidor, de forma clara y previa, que sus datos serán recopilados y para qué finalidad
  2. Ofrecer la opción de no entregar el RUT sin pérdida del servicio ni del precio normal
  3. Disponer de un aviso de privacidad accesible en el punto de venta

Lo que el SERNAC observa en la práctica

El SERNAC (Servicio Nacional del Consumidor) puede fiscalizar prácticas de recopilación de datos que vulneren la Ley del Consumidor (Ley 19.496), especialmente cuando la obtención de datos se condiciona a descuentos sin información adecuada. Las farmacias que solicitan el RUT obligatoriamente para acceder a precios de oferta, sin explicar para qué se usará, enfrentan riesgo de denuncia ante el SERNAC y, desde diciembre de 2026, ante la APDP.

Las tres grandes cadenas y la vigilancia regulatoria

El mercado farmacéutico chileno está dominado por tres grandes cadenas — Cruz Verde (Cruzverde), Salcobrand y Farmacias Ahumada (FASA) —, que en conjunto concentran la mayor parte de las ventas del sector. Esta concentración implica que el volumen de datos personales y de salud que manejan es masivo.

Desde la entrada en vigor de la Ley 21.719, estas cadenas serán actores de alto perfil para la fiscalización de la APDP, precisamente por:

  • Tratamiento de datos sensibles (medicamentos que revelan condiciones de salud) a gran escala
  • Programas de fidelización que cruzan historial de compras con datos de identidad
  • Compartición de datos con laboratorios farmacéuticos para fines de inteligencia comercial
  • Uso de datos biométricos en programas de beneficios

La vedación del uso comercial de datos de salud

La Ley 21.719 prohíbe el uso de datos sensibles de salud con finalidades comerciales sin el consentimiento explícito del titular. Compartir datos de RUT + historial de medicamentos con un laboratorio para que identifique qué médicos prescriben más sus productos, o para dirigir campañas de marketing, puede violar directamente esta prohibición.

La excepción existe para servicios de salud legítimos — no para transformar datos de salud en activo comercial.

Datos de recetas psicotrópicas y estupefacientes: obligación legal con límites claros

Las farmacias están obligadas por ley a retener recetas de medicamentos psicotrópicos y estupefacientes y a reportar datos al ISP (Instituto de Salud Pública) a través del ANAMED (Agencia Nacional de Medicamentos), conforme al DS Nº 405/1983 y el DS Nº 404/1983 del MINSAL.

Qué exige la regulación del ISP

Las farmacias deben:

  • Retener las recetas de medicamentos psicotrópicos y estupefacientes dispensados
  • Enviar las recetas retenidas a las SEREMÍAS (Secretarías Regionales Ministeriales de Salud) con la periodicidad establecida
  • Mantener libros de control de existencias de medicamentos controlados
  • Garantizar la confidencialidad, integridad y disponibilidad de los datos

La base de licitud es clara: cumplimiento de obligación legal. La farmacia no necesita consentimiento para retener recetas y reportar al ISP/SEREMÍAS — es una exigencia legal del DS 405/1983.

El límite que muchas farmacias ignoran

La regulación sanitaria prohíbe expresamente divulgar a terceros no autorizados datos que puedan identificar patrones de prescripción, dispensación o consumo. Esto significa que los datos de recetas psicotrópicas:

  • Pueden usarse para fines de vigilancia sanitaria (ISP/SEREMÍAS)
  • No pueden usarse para fines comerciales, marketing o creación de perfiles
  • No pueden compartirse con programas de beneficios o socios comerciales sin base de licitud específica

Programas de descuentos y laboratorios: ¿quién accede a los datos de salud?

Los programas de beneficios en medicamentos

En Chile existen programas de descuento en medicamentos operados por laboratorios farmacéuticos, isapres o intermediarios. El consumidor se inscribe, entrega su RUT y datos personales, y recibe descuentos en medicamentos específicos.

El flujo de datos que el consumidor no ve:

  1. El consumidor entrega el RUT en la caja de la farmacia
  2. La farmacia consulta el sistema del programa de beneficios para verificar elegibilidad
  3. El programa registra la transacción (RUT, medicamento, fecha, establecimiento)
  4. El laboratorio farmacéutico puede recibir datos sobre dispensación
  5. Si el programa es beneficio corporativo (isapre o empleador), puede recibir informes de utilización

Obligaciones bajo la Ley 21.719

  1. Contrato de encargo de tratamiento obligatorio: el contrato entre farmacia y el programa de beneficios debe definir claramente los roles (responsable/encargado), finalidades y medidas de seguridad
  2. Transparencia: el consumidor debe ser informado de que sus datos serán compartidos con el programa y para qué finalidad
  3. Base de licitud adecuada: para datos sensibles de salud, el consentimiento específico es la base más segura cuando la finalidad es comercial
  4. Prohibición de uso comercial sin consentimiento: datos de historial de medicamentos no pueden compartirse entre responsables con objetivo de obtener ventaja económica salvo consentimiento explícito o que se trate de prestación de servicios de salud en beneficio del titular

Biometría para programas de fidelización: dato sensible sin necesidad

Algunas cadenas farmacéuticas han comenzado a recopilar huella digital de los consumidores vinculada a programas de fidelización. La práctica genera riesgos jurídicos directos bajo la Ley 21.719.

El encuadre legal

El dato biométrico es dato personal sensible conforme a la Ley 21.719 (Art. 16). Su tratamiento requiere consentimiento explícito u otra base de licitud aplicable a datos sensibles — el interés legítimo no es una base válida para el tratamiento de datos sensibles.

La cuestión de la proporcionalidad

Recopilar huella digital para otorgar descuentos en medicamentos viola el principio de minimización de datos. El mismo resultado — identificar al cliente y aplicar el descuento — puede alcanzarse con RUT o número de inscripción, sin recopilar dato biométrico.

Regla práctica: biometría en farmacia solo se justifica cuando hay obligación legal — y la regulación actual sobre dispensación de medicamentos controlados no exige biometría. Exige solo nombre completo y datos del recetador en la receta.

La farmacia como establecimiento de salud: implicaciones para la Ley 21.719

Las farmacias en Chile son establecimientos de salud regulados por el Código Sanitario (DFL 725 de 1967) y la normativa del MINSAL. Esto tiene consecuencias directas para la elección de bases de licitud:

  • Para actividades asistenciales (orientación farmacoterapéutica, dispensación), la base de licitud puede ser la protección de la salud — sin necesidad de consentimiento
  • Para actividades comerciales (programas de fidelización, marketing, análisis de consumo), la base de licitud no puede ser protección de la salud — el consentimiento específico es obligatorio

Esta dualidad es el origen de muchos problemas: farmacias tratan datos comerciales como si fueran asistenciales, usando la "atención de salud" como base de licitud genérica para finalidades que no encajan en ella.

Checklist de conformidad para farmacias

  • Aviso de privacidad visible en el punto de venta (físico y digital) informando qué datos se recopilan y para qué finalidad
  • Distinción clara entre RUT para boleta (obligación legal) y RUT para programa de fidelización (consentimiento)
  • Consentimiento específico e informado para recopilación de datos en programas de fidelización, con opción de rechazo sin pérdida del precio normal
  • Inventario de datos documentando todas las actividades de tratamiento (recetas, fidelización, programas de beneficios, marketing)
  • Base de licitud documentada para cada actividad (obligación legal para registros ISP/SEREMÍAS; consentimiento para fidelización)
  • Contrato de encargo de tratamiento formalizado con todos los programas de beneficios y socios que reciben datos de clientes
  • Política de retención de datos: recetas psicotrópicas conforme DS 405/1983; datos de fidelización con plazo definido y justificado
  • Canal para ejercicio de derechos de los titulares (acceso, corrección, eliminación, portabilidad)
  • Capacitación de personal de atención sobre qué informar al cliente cuando se solicita el RUT
  • Eliminación de recopilación de biometría para fines comerciales o habilitación de alternativa no biométrica
  • Segregación de datos: datos asistenciales (registros ISP, acompañamiento farmacoterapéutico) separados de datos comerciales (fidelización, marketing)
  • Verificación de que datos de recetas psicotrópicas no se comparten para fines comerciales

Conclusión

El sector farmacéutico chileno está bajo escrutinio regulatorio creciente. La combinación de RUT, historial de medicamentos y finalidades comerciales es uno de los puntos de mayor riesgo en la Ley 21.719. Las farmacias que no distingan entre sus actividades asistenciales y comerciales — y no gestionen adecuadamente las bases de licitud para cada una — quedan expuestas a sanciones de la APDP desde diciembre de 2026.

La buena noticia es que las farmacias tienen bases de licitud sólidas para la mayor parte de su tratamiento de datos — obligación legal para los registros del ISP/SEREMÍAS, protección de la salud para la asistencia farmacéutica. El esfuerzo está en separar, con rigor, las actividades asistenciales (donde esas bases son válidas) de las actividades comerciales (donde el consentimiento específico es obligatorio y la transparencia es innegociable).

Confidata ofrece funcionalidades específicas para el sector farmacéutico: inventario de actividades de tratamiento con clasificación de datos sensibles, gestión de bases de licitud por finalidad (asistencial vs. comercial), control de contratos de encargo de tratamiento con programas de beneficios y proveedores, y canal de derechos de los titulares.

Compartir
#Ley 21719#farmacia#RUT#datos sensibles#programa fidelización#ISP#APDP Chile

Artículos relacionados

Ley 21.719 en Hospitales Públicos y CESFAM: Guía de Adecuación de la Red de Salud PúblicaSalud · 14 minLey 21.719 para Laboratorios: Exámenes, Informes y Datos GenéticosSalud · 13 minLey 21.719 y Salud Mental: Datos de Psicólogos, Psiquiatras y Plataformas de Terapia OnlineSalud · 14 minLey 21.719 para Clínicas Médicas: Plan de Adecuación en 6 MesesSalud · 15 min

¿Quiere ir más allá? Conozca Confidata Chile

Sistema completo de gestión de cumplimiento con Ley 21.719 e IA integrada para acelerar su programa de privacidad.

© 2026 Confidata Chile — Todos los derechos reservados|Privacidad|Cookies
Hablar con un especialista