Salud13 min de lectura

Ley 21.719 en hospitales y clínicas: ficha clínica electrónica y telemedicina

Equipo Confidata·
Compartir

El sector de salud es, por definición, el mayor recopilador de datos sensibles del país. Cada atención médica genera datos de salud — la categoría más protegida por la Ley 21.719. Y con la digitalización acelerada de los últimos años (fichas clínicas electrónicas, telemedicina, wearables de salud, apps de monitoreo), el volumen y la complejidad del tratamiento de datos en salud han crecido dramáticamente.

Esta guía trata las obligaciones específicas del sector de salud bajo la Ley 21.719 — con foco en fichas clínicas electrónicas, telemedicina y los puntos más críticos de conformidad.

Datos de salud como categoría sensible: qué cambia

Los datos de salud son datos personales sensibles en los términos de la Ley 21.719 (Art. 16 bis). Esto tiene consecuencias prácticas directas:

  1. Bases de licitud más restrictivas: el Art. 16 bis de la Ley 21.719 lista las hipótesis en que los datos de salud pueden tratarse — incluye la prestación de servicios de salud, pero excluye los usos comerciales sin consentimiento explícito.

  2. Medidas de seguridad más rigurosas: el estándar de protección exigido es más alto — cifrado, controles de acceso granulares, registros de auditoría completos.

  3. EIPD para tratamiento a gran escala: hospitales y prestadores de salud que tratan datos de grandes poblaciones deben elaborar una Evaluación de Impacto en Protección de Datos (EIPD).

  4. Sanciones más graves: infracciones que involucren datos sensibles son evaluadas con mayor rigor en la dosimetría de sanciones de la APDP.

Las bases de licitud para datos de salud en la Ley 21.719

El Art. 16 bis de la Ley 21.719 regula los datos de salud y del perfil biológico humano. Para el sector de salud, las hipótesis más relevantes son:

Prestación de servicios de salud

Esta es la base de licitud central para el tratamiento de datos de salud en contexto asistencial. El médico que accede a la ficha clínica del paciente para fines de diagnóstico y tratamiento se encuadra en esta hipótesis. Hospitales y clínicas que tratan datos de pacientes para fines asistenciales directos también.

Límites: la base se aplica a la finalidad asistencial — no abarca el uso de los datos para fines comerciales, de investigación (salvo las condiciones específicas), o de compartición con terceros fuera del contexto asistencial inmediato.

Obligación legal o regulatoria

Diversas obligaciones regulatorias de salud imponen el tratamiento de datos personales de salud:

  • Registros en el DEIS (Departamento de Estadísticas e Información de Salud) y otros sistemas del MINSAL
  • Notificación de Enfermedades de Notificación Obligatoria (ENO) — Decreto Exento 158/2004 y modificaciones
  • Registros de vacunación en el Registro Nacional de Inmunizaciones (RNI)
  • Laudos de salud ocupacional exigidos por el Código del Trabajo y la Ley 16.744

Investigación en salud

Estudios e investigaciones, cuando se garantiza, siempre que sea posible, la anonimización de los datos. Para ensayos clínicos e investigaciones con datos identificados, la base es el consentimiento específico.

Consentimiento específico e informado

Para tratamientos que no se encuadren en las hipótesis anteriores — como el uso de datos de salud para investigación de satisfacción, marketing, programas de fidelización o compartición con socios comerciales —, el consentimiento específico e informado es obligatorio.

Ficha clínica electrónica: obligaciones de privacidad

La ficha clínica es el documento central del sector de salud y objeto de regulación específica del MINSAL y de la Ley 20.584 (Ley que regula los derechos y deberes de las personas en relación con acciones vinculadas a su atención de salud).

La regulación sobre ficha clínica en Chile

El DS Nº 41/2012 del MINSAL establece el contenido, almacenamiento, administración, protección y eliminación de las fichas clínicas. La Ley 20.584 (Art. 12) establece la confidencialidad de la ficha clínica — solo puede entregarse a solicitud expresa del titular, de un tercero debidamente autorizado, a los Tribunales de Justicia o al Ministerio Público. La Ley 21.668 (mayo de 2024) introdujo exigencias de interoperabilidad de las fichas clínicas entre prestadores.

Plazo de retención de la ficha clínica:

El DS Nº 41/2012 establece un plazo mínimo de 15 años desde el último ingreso o prestación en la ficha clínica. Este plazo constituye la base legal válida para la retención de datos bajo la Ley 21.719 — el prestador puede conservar los datos durante ese período aunque el paciente solicite su eliminación.

Ficha clínica en formato electrónico:

La Ley 21.668 consolidó el reconocimiento de la ficha clínica digital con requisitos de autenticidad e interoperabilidad. Los sistemas de ficha clínica electrónica deben garantizar:

  • Integridad e inalterabilidad de los registros
  • Trazabilidad de modificaciones (quién hizo qué cambio y cuándo)
  • Acceso controlado por rol y por relación asistencial

Control de acceso a la ficha clínica

El acceso a la ficha clínica electrónica debe controlarse con rigor:

  • Solo los profesionales de salud con relación asistencial con el paciente deben acceder a la ficha (principio de menor privilegio)
  • Todo acceso debe registrarse en log de auditoría (usuario, fecha/hora, tipo de acceso)
  • El acceso de terceros (investigadores, auditores de isapres, peritos) debe tener base legal documentada y estar registrado

Telemedicina: obligaciones específicas de la Ley 21.719

La telemedicina está regulada en Chile principalmente por la Ley 21.541 (marzo de 2023, que modifica la Ley 20.584) y su reglamento, y por la Norma General Técnica N° 237 del MINSAL (octubre de 2024), que establece los estándares para prestaciones de salud a distancia.

Qué es telemedicina para efectos de la regulación chilena

La regulación define como telemedicina las atenciones de salud realizadas mediante tecnologías de comunicación — incluyendo teleconsulta, teleinterconsulta, telediagnóstico y telemonitoreo.

Obligaciones de privacidad específicas de la telemedicina

Transmisión segura de datos: la teleconsulta involucra transmisión de datos de salud en tiempo real. La plataforma de telemedicina debe garantizar:

  • Cifrado de extremo a extremo durante la transmisión
  • Autenticación segura del profesional y del paciente
  • Ausencia de interceptación o grabación no autorizada

Grabación de consultas: si la consulta es grabada, el paciente debe ser informado y dar su consentimiento. La grabación pasa a integrar la ficha clínica y está sujeta a las mismas reglas de retención y acceso.

Plataformas de terceros: hospitales y clínicas que usan plataformas de telemedicina de terceros deben formalizar contrato de encargo de tratamiento con el proveedor, que actúa como encargado del tratamiento de los datos de salud de los pacientes.

Jurisdicción: teleconsultas con pacientes en el extranjero involucran potencial transferencia internacional de datos de salud — categoría sensible con protección más rigurosa bajo la Ley 21.719.

Plataformas certificadas

La Ley 21.746 estableció la obligatoriedad de plataformas certificadas para ciertos procedimientos de telemedicina (como la emisión de licencias médicas). El CENS (Centro Nacional en Sistemas de Información en Salud) opera el sistema de certificación. Los prestadores deben verificar que sus plataformas cuenten con la acreditación correspondiente.

Compartición de datos con isapres y FONASA

Uno de los puntos más sensibles de la protección de datos en salud es la compartición de datos de pacientes con operadoras de planes de salud — isapres y FONASA. Esta compartición es frecuente e involucra datos sensibles — pero no siempre se realiza con la debida atención a las bases de licitud y proporcionalidad.

Qué puede compartirse y con qué base legal

  • Para auditoría de cuentas: datos de procedimientos realizados, diagnósticos (CIE-10), materiales utilizados — base legal: ejecución de contrato entre el prestador y la isapre
  • Para autorización previa de procedimientos: datos clínicos necesarios para la autorización — base legal: ejecución del contrato de asistencia médica
  • Para gestión de salud poblacional: datos epidemiológicos del conjunto de beneficiarios — base legal: contrato o consentimiento, dependiendo de la naturaleza de los datos

Lo que no puede compartirse sin consentimiento

  • Datos que van más allá de lo necesario para auditoría o autorización
  • Datos para programas de marketing o fidelización de la isapre
  • Datos para compartición con terceros fuera de la cadena asistencial
  • La Ley 20.584 prohíbe la discriminación en el acceso a seguros de salud basada en datos sensibles del paciente

La cuestión del contrato de encargo con la isapre

Cuando la isapre actúa como encargada del tratamiento (procesando datos en nombre del prestador), es necesario un contrato de encargo. Cuando actúa como responsable independiente (definiendo sus propias finalidades para los datos), el intercambio necesita base legal propia e información al paciente.

EIPD para el sector de salud: cuándo es obligatoria

El tratamiento de datos de salud a gran escala — como el de un hospital que trata datos de decenas de miles de pacientes — casi siempre activa la necesidad de EIPD. Los gatilladores principales:

  • Tratamiento de datos sensibles (salud) a escala
  • Uso de sistemas de IA para diagnóstico, triaje o gestión clínica
  • Compartición sistemática con isapres o investigadores
  • Uso de sistemas de vigilancia (cámaras, monitoreo de pacientes)

Checklist de conformidad para hospitales y clínicas

  • Mapeo de todas las actividades de tratamiento de datos de salud (RAT)
  • Base de licitud documentada para cada actividad (Ley 21.719 Art. 16 bis para atención asistencial)
  • Aviso de privacidad disponible para pacientes (físico en recepción + digital)
  • Controles de acceso granulares a la ficha clínica electrónica (log de auditoría completo)
  • Política de retención de fichas clínicas alineada con DS 41/2012 (mínimo 15 años)
  • Contrato de encargo formalizado con proveedor del sistema de ficha clínica electrónica
  • Contrato de encargo formalizado con plataforma de telemedicina
  • Verificación de certificación de la plataforma de telemedicina (CENS u organismo equivalente)
  • Proceso de respuesta a solicitudes de titulares (acceso, corrección, portabilidad)
  • EIPD para tratamiento de datos de salud a gran escala o con IA
  • Plan de respuesta a incidentes con datos de salud

Conclusión

El sector de salud tiene la carga más pesada de obligaciones de protección de datos de la Ley 21.719 — y una responsabilidad proporcional al daño que la exposición de datos de salud puede causar. Fichas clínicas filtradas, datos de diagnósticos expuestos, informes compartidos sin base legal: estos incidentes tienen impacto directo en la vida de los pacientes y en las operaciones de los prestadores.

La buena noticia es que el sector de salud tiene bases legales sólidas para la mayoría de sus tratamientos de datos — la prestación de servicios de salud (Art. 16 bis) cubre la mayor parte del tratamiento asistencial. El esfuerzo está en documentar esas bases, implementar los controles técnicos necesarios y garantizar que los pacientes puedan ejercer sus derechos.

Confidata ofrece funcionalidades específicas para el sector de salud: registro de actividades de tratamiento con clasificación de datos sensibles, EIPD con campos de evaluación de riesgo para datos de salud y gestión de solicitudes de titulares — incluida portabilidad de ficha clínica.

Compartir
#Ley 21719#salud#ficha clínica electrónica#telemedicina#hospital#clínica#datos sensibles Chile

Artículos relacionados

Ley 21.719 en Hospitales Públicos y CESFAM: Guía de Adecuación de la Red de Salud PúblicaSalud · 14 minLey 21.719 para Farmacias: Datos de Recetas, RUT y Programas de FidelizaciónSalud · 13 minLey 21.719 para Clínicas Médicas: Plan de Adecuación en 6 MesesSalud · 15 minConsentimiento del paciente y Ley 21.719: cuándo exigirlo y las alternativas en saludSalud · 14 min

¿Quiere ir más allá? Conozca Confidata Chile

Sistema completo de gestión de cumplimiento con Ley 21.719 e IA integrada para acelerar su programa de privacidad.

© 2026 Confidata Chile — Todos los derechos reservados|Privacidad|Cookies
Hablar con un especialista