Salud14 min de lectura

Ley 21.719 en Hospitales Públicos y CESFAM: Guía de Adecuación de la Red de Salud Pública

Equipo Confidata·
Compartir

Los hospitales públicos y los CESFAM (Centros de Salud Familiar) ocupan una posición singular en la protección de datos personales en Chile: tratan simultáneamente datos de salud — la categoría más protegida por la Ley 21.719 — y datos en el contexto del sector público — que tiene bases de licitud y obligaciones propias. Esta combinación crea un escenario regulatorio más complejo que el de hospitales privados o de organismos públicos que no trabajan con datos sensibles.

La Red de Salud Pública chilena, que integra el SNSS (Sistema Nacional de Servicios de Salud) bajo la coordinación del MINSAL, maneja datos de millones de pacientes en sus distintos niveles: CESFAM y centros de atención primaria, hospitales y servicios especializados. La brecha de conformidad con la protección de datos en el sector público de salud es significativa — y la Ley 21.719 exigirá cambios concretos desde diciembre de 2026.

Hospital público vs. hospital privado: qué cambia para la Ley 21.719

La diferencia fundamental no está en el tipo de dato tratado — ambos tratan datos de salud sensibles. La diferencia está en las bases de licitud disponibles y en las obligaciones adicionales del sector público.

Bases de licitud específicas del sector público

Para hospitales privados, las bases de licitud principales son la prestación de servicios de salud, el consentimiento y la obligación legal. Los hospitales y organismos públicos de salud cuentan con dos bases adicionales muy relevantes:

Ejecución de políticas públicas: el tratamiento de datos por el sector público para el ejercicio de sus funciones legales — en particular la prestación de atención de salud pública bajo la Ley 19.966 (Régimen de Garantías en Salud / AUGE-GES) y la Ley 20.584 — constituye una base de licitud reconocida por la Ley 21.719.

Uso compartido de datos entre organismos públicos: la Ley 21.719 autoriza el intercambio de datos entre organismos del Estado para finalidades de interés público, como la coordinación asistencial entre CESFAM, hospitales, SAMU y el MINSAL.

Obligaciones adicionales

Los hospitales públicos están sujetos, además de la Ley 21.719, a:

  • Ley 20.285 (Ley de Acceso a la Información Pública), que exige transparencia activa
  • Código Sanitario (DFL 1/2016) y normativa del MINSAL
  • Ley 20.584 (derechos y deberes en la atención de salud)
  • Ley 19.966 (AUGE-GES) — garantías explícitas de salud con plazos y estándares
  • Fiscalización de la Contraloría General de la República y las contralorías regionales

Sistemas de información del SNSS y la cadena de tratamiento de datos

El sistema público de salud opera con múltiples sistemas de información que recopilan, almacenan e intercambian datos personales de salud en escala nacional. Entender quién es responsable del tratamiento y quién es encargado en cada sistema es esencial para la conformidad.

Ficha clínica electrónica y sistemas HIS hospitalarios

Los hospitales y CESFAM registran datos clínicos de sus pacientes en sistemas HIS (Hospital Information Systems) y fichas clínicas electrónicas. La Ley 21.668 (mayo de 2024) estableció requisitos de interoperabilidad de fichas clínicas, permitiendo que datos de un paciente atendido en el CESFAM sean accesibles para el especialista en el hospital de referencia — con los controles de acceso correspondientes.

Responsable del tratamiento: el Servicio de Salud o el municipio (a través de la Dirección de Salud Municipal o COSAM) es responsable de los datos de sus pacientes atendidos en sus establecimientos.

DEIS — Departamento de Estadísticas e Información de Salud

El DEIS, dependiente del MINSAL, recopila y consolida estadísticas de salud de todos los establecimientos de la red pública. Utiliza el sistema REM (Resumen Estadístico Mensual), que concentra producción asistencial, atenciones, procedimientos y datos epidemiológicos.

Datos tratados: en su mayoría datos agregados y anonimizados. Sin embargo, algunos reportes contienen datos con identificación individual (como el registro de nacimientos o defunciones), que exigen los cuidados propios de datos personales sensibles.

RNI — Registro Nacional de Inmunizaciones

El RNI registra las vacunas aplicadas en todo el territorio nacional, vinculadas al RUT del paciente, establecimiento y fecha. Es el equivalente al libro de vacunaciones individual y digital.

Base de licitud: cumplimiento de obligación legal (Código Sanitario y Programas de Vacunación del MINSAL). El titular no puede oponerse a la inscripción en el RNI cuando sea consecuencia de la aplicación de vacunas en el marco del Programa Nacional de Inmunizaciones.

Responsable del tratamiento: MINSAL (a nivel de consolidación nacional); Servicios de Salud y municipios (a nivel de registro local).

EPIVIGILA — Sistema de Vigilancia Epidemiológica

EPIVIGILA recibe las notificaciones de Enfermedades de Notificación Obligatoria (ENO) — tuberculosis, VIH/SIDA, sífilis, dengue, brucelosis, entre muchas otras. Estos datos son, por naturaleza, extremadamente sensibles.

Base de licitud: obligación legal. La notificación compulsória es exigida por el Decreto Exento N° 158/2004 (y modificaciones) del MINSAL, bajo el amparo del Código Sanitario.

Responsable del tratamiento: Seremi de Salud (recopilación) y MINSAL/DEIS (consolidación).

Sistema GRD y FONASA

El sistema de Grupos Relacionados por el Diagnóstico (GRD) clasifica los egresos hospitalarios según diagnóstico y procedimientos, y constituye la base de financiamiento de los hospitales de la red FONASA. Involucra datos de: RUT, diagnóstico (CIE-10), procedimientos, prestador, fecha y días de hospitalización.

Datos tratados: datos identificables de pacientes. El GRD permite reconstruir el historial de hospitalizaciones de un individuo y debe tratarse con los cuidados de datos de salud.

SAMU y otros sistemas de urgencia

El SAMU (Servicio de Atención Médica de Urgencia) es un componente esencial de la red de urgencias del SNSS. Los sistemas de despacho y registro del SAMU involucran datos de pacientes en condición de urgencia: RUT, ubicación, condición clínica, antecedentes reportados por familiares. La base de licitud para este tratamiento es la protección de la vida y la prestación de servicios de salud de urgencia.

Compartición de datos en la red pública de salud

El intercambio de datos entre los establecimientos de la red pública es inherente al funcionamiento del sistema. Un paciente atendido en el CESFAM puede ser derivado al hospital, que comparte datos con el SAMU, que reporta al Servicio de Salud regional. Cada etapa involucra tratamiento de datos personales sensibles.

Cuándo el intercambio es obligatorio

  • Notificación de ENO: CESFAM, hospitales y laboratorios están obligados a notificar enfermedades al EPIVIGILA. Base: obligación legal.
  • Registro de producción: prestaciones realizadas en la red pública deben registrarse en los sistemas REM/GRD para financiamiento y seguimiento. Base: ejecución de política pública.
  • Vigilancia epidemiológica: datos de vigilancia se intercambian entre municipios, Servicios de Salud y MINSAL. Base: obligación legal y política pública.
  • Regulación de camas: centrales de regulación acceden a datos clínicos de pacientes para priorizar derivaciones. Base: prestación de servicios de salud y política pública.

Cuándo el intercambio requiere fundamento específico

  • Datos para investigación: investigadores que soliciten datos de la red pública deben pasar por Comités de Ética Científica (CEC) y, siempre que sea posible, los datos deben ser anonimizados.
  • Datos para organismos de control: Contraloría General y organismos de auditoría pueden solicitar datos para fiscalización — base legal es obligación legal, pero el acceso debe ser proporcional.
  • Convenios con universidades para docencia: hospitales públicos que suscriben convenios con universidades deben limitar el acceso a los datos estrictamente necesarios para los fines docentes.

Lo que no puede intercambiarse

  • Datos de pacientes de la red pública con entidades privadas fuera del contexto asistencial
  • Datos de salud para discriminación (aseguradoras, empleadores)
  • Datos individualizados en portales de transparencia (deben publicarse datos agregados)

DPD en hospital público: desafíos de designación

La designación del DPD (Delegado de Protección de Datos) en hospitales públicos enfrenta obstáculos prácticos similares a los de cualquier organismo público con recursos limitados:

Obligatoriedad

La Ley 21.719 exige que los responsables del tratamiento que realicen tratamiento de datos a gran escala o de alto riesgo designen un DPD. Los hospitales públicos que tratan datos de salud de grandes poblaciones se encuadran en esta categoría.

Quién puede ser DPD en hospital público

El DPD puede ser funcionario de planta, a contrata o externo. Debe tener conocimiento adecuado sobre protección de datos y, en el caso de hospitales, también sobre regulación sanitaria y ética médica.

Quién no debería ser DPD: el director clínico (conflicto de interés), el responsable de TI (conflicto — implementa los sistemas) y el encargado de la Oficina de Información, Reclamos y Sugerencias (OIRS) (conflicto — recibe denuncias sobre el tratamiento de datos).

DPD compartido

En municipios con recursos limitados, un mismo DPD puede atender varios establecimientos de salud (CESFAM, COSAM, hospital municipal). La ley no prohíbe este esquema, pero el profesional debe tener capacidad operacional para atender todos los establecimientos.

Presupuesto limitado: qué priorizar en la adecuación

La realidad de la red pública de salud chilena es de recursos escasos. Una aproximación práctica:

Prioridad 1 — Lo que la APDP verificará primero

  1. DPD designado y publicado — publicar en el sitio institucional y comunicar a la APDP cuando esta entre en operación
  2. Canal del titular funcionando — correo electrónico o formulario para que los pacientes ejerzan sus derechos (acceso, rectificación, supresión cuando corresponda)
  3. Aviso de privacidad — documento informando a los pacientes sobre el tratamiento de sus datos (disponible en recepción y en el sitio web)

Prioridad 2 — Controles esenciales de seguridad

  1. Control de acceso a la ficha clínica — cada profesional accede solo a los datos de los pacientes que atiende
  2. Logs de acceso — registro de quién accedió a qué y cuándo
  3. Respaldo de sistemas — copia de seguridad regular de los datos, almacenada de forma segura

Prioridad 3 — Documentación

  1. Inventario de datos (RAT) — mapear qué datos se recopilan, en qué sistemas, con qué base de licitud
  2. Política de seguridad de la información — documento simple que define reglas de acceso, contraseñas, uso de equipos
  3. Procedimiento de respuesta a incidentes — qué hacer ante una filtración o ataque cibernético

Prioridad 4 — Gestión de riesgos

  1. EIPD para sistemas críticos — ficha clínica electrónica, sistema de regulación de camas, telemedicina
  2. Capacitación del equipo — concientización sobre confidencialidad y protección de datos
  3. Revisión de contratos con proveedores de TI — incluir cláusulas de protección de datos (contratos de encargo de tratamiento)

Incidentes de seguridad en hospitales públicos

El sector salud es uno de los más vulnerables a los ciberataques — datos de alto valor, infraestructura de TI frecuentemente desactualizada y recursos limitados para seguridad hacen de los hospitales blancos atractivos.

Obligaciones post-incidente

La Ley 21.719 define reglas para la comunicación de incidentes de seguridad que involucren datos personales. Los hospitales públicos deben:

  • Comunicar a la APDP dentro de un plazo máximo de 72 horas tras tomar conocimiento del incidente que pueda acarrear riesgo o daño relevante a los titulares
  • Comunicar a los titulares afectados cuando corresponda
  • Mantener registro del incidente con detalles de la ocurrencia, datos afectados, medidas adoptadas y análisis de riesgo

La Ley 21.663 (Ley Marco de Ciberseguridad, 2024) establece obligaciones adicionales para operadores de servicios esenciales — categoría que incluye a muchos prestadores públicos de salud — incluyendo la notificación de incidentes al CSIRT del Gobierno en plazos más cortos.

Checklist de conformidad para hospitales públicos y CESFAM

Gobernanza y organización

  • DPD (Delegado de Protección de Datos) designado y publicado en el sitio institucional
  • Canal del titular implementado y monitoreado (correo, formulario o sistema OIRS)
  • Aviso de privacidad disponible para pacientes (físico en recepción + digital)
  • Comité o grupo de trabajo de privacidad constituido

Bases de licitud y documentación

  • Base de licitud documentada para cada actividad de tratamiento (política pública, obligación legal, prestación de servicios de salud)
  • Registro de actividades de tratamiento (RAT) — al menos para los sistemas principales
  • EIPD elaborada para tratamientos de alto riesgo (ficha clínica electrónica, telemedicina, IA)
  • Política de retención de datos alineada con DS 41/2012 MINSAL (mínimo 15 años para ficha clínica)

Seguridad de la información

  • Controles de acceso a la ficha clínica electrónica (perfiles por función)
  • Logs de acceso activos y monitoreados
  • Respaldo regular de los sistemas críticos
  • Política de seguridad de la información documentada
  • Procedimiento de respuesta a incidentes de seguridad
  • Notificación al CSIRT del Gobierno según Ley 21.663 (para operadores de servicios esenciales)

Intercambio y sistemas

  • Bases de licitud para intercambio entre establecimientos de la red documentadas
  • Contratos con proveedores de TI incluyendo cláusulas de protección de datos
  • Acceso a sistemas nacionales (EPIVIGILA, RNI, REM, GRD) con perfiles adecuados
  • Datos epidemiológicos publicados de forma anonimizada

Capacitación

  • Capacitación sobre Ley 21.719 para profesionales de salud
  • Orientación sobre confidencialidad de la ficha clínica para todo el equipo asistencial
  • Capacitación específica para equipo de TI sobre seguridad e incidentes

Conclusión

Los hospitales públicos y CESFAM enfrentan una doble carga regulatoria: las exigencias de la Ley 21.719 para datos sensibles y las obligaciones de transparencia y gobernanza del sector público. La complejidad se amplifica por la multiplicidad de sistemas de información del SNSS, el intercambio obligatorio entre niveles asistenciales y la realidad de recursos limitados.

El camino de la adecuación no requiere grandes inversiones — exige, ante todo, conciencia de que los datos de los pacientes de la red pública merecen la misma protección que los de cualquier otro sistema de salud. Las bases de licitud existen y son sólidas. Los sistemas de información del MINSAL, como la ficha clínica electrónica y el RNI, ya incorporan controles de acceso y trazabilidad. Lo que falta, en la mayoría de los casos, es la gobernanza que conecte estos elementos en un programa coherente de protección de datos.

Confidata ofrece funcionalidades específicas para el sector público de salud: mapeo de actividades de tratamiento con bases de licitud del sector público (política pública, obligación legal), EIPD con campos de evaluación de riesgo para datos sensibles y gestión de solicitudes de titulares — adaptado a la realidad de hospitales y CESFAM que necesitan conformidad con recursos acotados.

Compartir
#Ley 21719#hospital público Chile#CESFAM#FONASA#salud pública#datos sensibles#sector público

Artículos relacionados

Ley 21.719 para Farmacias: Datos de Recetas, RUT y Programas de FidelizaciónSalud · 13 minLey 21.719 para Laboratorios: Exámenes, Informes y Datos GenéticosSalud · 13 minLey 21.719 y Salud Mental: Datos de Psicólogos, Psiquiatras y Plataformas de Terapia OnlineSalud · 14 minLey 21.719 para Clínicas Médicas: Plan de Adecuación en 6 MesesSalud · 15 min

¿Quiere ir más allá? Conozca Confidata Chile

Sistema completo de gestión de cumplimiento con Ley 21.719 e IA integrada para acelerar su programa de privacidad.

© 2026 Confidata Chile — Todos los derechos reservados|Privacidad|Cookies
Hablar con un especialista