Salud13 min de lectura

Ley 21.719 para Laboratorios: Exámenes, Informes y Datos Genéticos

Equipo Confidata·
Compartir

Cada examen de laboratorio genera datos personales sensibles: resultados de hemogramas, serologías, dosificaciones hormonales, análisis genéticos, informes anatomopatológicos. Son datos que revelan condiciones de salud actuales, predisposiciones futuras e informaciones sobre la vida íntima del paciente. La Ley 21.719 clasifica todos ellos como datos personales sensibles (Art. 16 bis) — y el laboratorio, como agente de tratamiento, tiene obligaciones específicas que van más allá de las normas sanitarias del ISP.

Esta guía trata las obligaciones de protección de datos para laboratorios de análisis clínicos en Chile — con foco en los puntos más críticos: bases de licitud, envío de resultados, intercambio, datos genéticos y retención.

Qué tipos de datos trata un laboratorio

Antes de definir bases de licitud y medidas de seguridad, es necesario mapear los datos que un laboratorio efectivamente procesa:

Datos de identificación

  • Nombre, RUT, cédula de identidad, fecha de nacimiento, domicilio, teléfono, correo electrónico
  • Datos del convenio o isapre (operadora, número de credencial, plan)
  • Datos del médico solicitante (registro, nombre, especialidad)

Datos de salud (sensibles)

  • Resultados de exámenes: hemogramas, bioquímica, serologías, hormonales, urinálisis
  • Informes anatomopatológicos: biopsias, citologías (Papanicolau, por ejemplo)
  • Datos genéticos: secuenciación, cariotipo, PCR para enfermedades genéticas — una subcategoría con sensibilidad aún mayor
  • Informaciones clínicas complementarias: diagnóstico presuntivo (CIE-10), medicamentos en uso, fecha de última menstruación, peso, talla

Datos operacionales

  • Domicilio de toma de muestra a domicilio (geolocalización)
  • Horarios de atención e historial de visitas
  • Datos de pago (tarjeta, convenio, particular)

Bases de licitud para el tratamiento de datos en laboratorios

La Ley 21.719 (Art. 16 bis) regula el tratamiento de datos de salud. Para laboratorios, tres bases de licitud son centrales:

Prestación de servicios de salud

Esta es la base de licitud principal para el procesamiento de exámenes de laboratorio. El laboratorio es un servicio de salud; bioquímicos, biomédicos y patólogos son profesionales de la salud. La realización del examen solicitado por un médico para fines de diagnóstico y seguimiento terapéutico se encuadra directamente en esta hipótesis.

Límites importantes: la prestación de servicios de salud justifica el procesamiento del examen y la entrega del resultado al paciente y al médico solicitante. No justifica el uso de los datos para marketing, investigación comercial, elaboración de perfiles de salud o intercambio con terceros fuera de la cadena asistencial.

Obligación legal o regulatoria

Diversas obligaciones regulatorias imponen tratamiento de datos al laboratorio:

  • Decreto N° 433/2002 del MINSAL: establece normas técnicas sobre laboratorios clínicos, incluyendo requisitos de documentación de los procesos y resultados
  • Notificación obligatoria de enfermedades al sistema EPIVIGILA (Enfermedades de Notificación Obligatoria — ENO), conforme al Decreto Exento N° 158/2004 y modificaciones
  • Reportes al ISP (Instituto de Salud Pública) en casos específicos de vigilancia sanitaria
  • Obligaciones tributarias y fiscales sobre datos de facturación

Consentimiento específico

Para tratamientos que no se encuadren en las hipótesis anteriores — como uso de datos para investigación comercial, programas de marketing o intercambio con socios que no participan de la cadena asistencial —, el consentimiento específico e informado es obligatorio.

La Ley 19.779 y el sigilo reforzado para VIH y otras enfermedades

La Ley 19.779 (Ley del SIDA) establece que el examen de VIH es voluntario, confidencial y anónimo en el sistema público. La ley prohíbe la discriminación basada en el estado serológico y exige que los resultados sean confidenciales — solo pueden comunicarse al paciente y, con su consentimiento, a quienes este autorice.

Para laboratorios, la implicación es directa: los resultados de VIH y otras enfermedades con alta carga de estigma social exigen protección máxima en el envío y almacenamiento. El envío de un resultado de VIH positivo por canal inseguro (WhatsApp sin cifrado institucional, correo electrónico común) puede violar simultáneamente la Ley 19.779 y la Ley 21.719.

Envío de resultados: WhatsApp, correo, app o portal

Una de las preguntas más prácticas para los laboratorios es cómo entregar resultados al paciente de forma segura. Cada canal tiene implicaciones bajo la Ley 21.719:

Portal del paciente (recomendado)

  • Seguridad: autenticación por usuario/contraseña, verificación en dos pasos
  • Trazabilidad: registro de quién accedió, cuándo y desde dónde
  • Control: el paciente decide cuándo acceder; el dato no circula por canales abiertos
  • Ley 21.719: mejor opción para demostrar conformidad con el principio de seguridad

Aplicación propia del laboratorio

  • Ofrece las mismas ventajas del portal, con mayor conveniencia
  • Debe tener políticas de privacidad claras y permisos granulares
  • Datos almacenados en el dispositivo deben tener protección local (cifrado)

Correo electrónico

  • Riesgo medio: el correo común no está cifrado de extremo a extremo
  • Informes en PDF protegidos con contraseña reducen (pero no eliminan) el riesgo
  • Si se utiliza, el paciente debe autorizar expresamente este canal al momento de la toma de muestra

WhatsApp

  • Riesgo elevado para datos sensibles: aunque tiene cifrado de extremo a extremo, WhatsApp no fue diseñado para datos médicos
  • Facilidad de reenvío, captura de pantalla, acceso en dispositivos compartidos
  • Sin registro de auditoría adecuado
  • Datos almacenados en servidores de Meta fuera de Chile, configurando transferencia internacional de datos sensibles
  • No existe prohibición legal expresa, pero el riesgo es desproporcionalmente alto para datos de salud

Recomendación práctica

El laboratorio debe ofrecer el portal/app como canal estándar y obtener autorización expresa del paciente cuando este solicite recibir los resultados por correo o WhatsApp. Esa autorización debe estar documentada — en el registro del paciente, con fecha y canal elegido.

Intercambio de resultados: quién puede acceder y con qué base

Médico solicitante

  • Base de licitud: prestación de servicios de salud — el médico que solicita el examen necesita el resultado para la continuidad del cuidado
  • Límite: solo el médico solicitante (o equipo asistencial vinculado), no cualquier médico

Isapres y FONASA

  • Base de licitud para auditoría de cuentas: ejecución de contrato entre laboratorio e isapre
  • Base de licitud para autorización previa: ejecución del contrato de asistencia médica
  • Prohibición: la isapre no puede usar los datos del informe para selección de riesgo en la contratación o exclusión de beneficiarios — lo que está prohibido por la Ley 19.966 y la normativa de la Superintendencia de Salud
  • El estándar HPRIME y los sistemas de intercambio electrónico de la Superintendencia de Salud definen la estructura de datos para este intercambio

Hospitales y otros servicios de salud

  • Base de licitud: prestación de servicios de salud — cuando el intercambio es para continuidad asistencial
  • Debe existir registro de quién solicitó, por qué y cuándo

Laboratorios de apoyo (externalización de exámenes)

Cuando el laboratorio externaliza exámenes especializados a otro laboratorio (práctica común para genética, toxicología, anatomía patológica), el laboratorio de apoyo actúa como encargado del tratamiento de los datos.

Es obligatorio:

  • Contrato de encargo de tratamiento formal entre los dos laboratorios
  • Cláusulas que limiten el uso de los datos a la finalidad del examen
  • Garantías de seguridad y confidencialidad
  • Procedimiento de eliminación de los datos tras el cumplimiento de la finalidad

Investigadores

  • Con anonimización: datos anonimizados no son datos personales y pueden usarse para investigación sin consentimiento
  • Sin anonimización: requiere consentimiento específico del paciente o encuadramiento como investigación de interés público con aprobación de un Comité de Ética Científica (CEC)

Datos genéticos: la frontera más sensible

Los datos genéticos están expresamente listados como datos personales sensibles en la Ley 21.719 (Art. 16 bis). La Ley 20.120 (Ley sobre la Investigación Científica en el Ser Humano, Genoma Humano y Clonación) establece además un régimen específico para el uso del genoma humano en Chile. En la práctica, los datos genéticos exigen atención especial por características únicas:

  • Inmutabilidad: los datos genéticos no cambian — una vez expuestos, el daño es permanente
  • Alcance familiar: el dato genético de un individuo revela información sobre familiares biológicos que no consintieron
  • Potencial discriminatorio: predisposiciones genéticas pueden usarse para discriminación en seguros, empleo y crédito
  • Re-identificación: los datos genéticos son altamente identificables incluso cuando han sido pseudonimizados

Obligaciones adicionales para laboratorios de genética

  • EIPD obligatoria: el tratamiento de datos genéticos a escala casi siempre activa la necesidad de Evaluación de Impacto en Protección de Datos
  • Consentimiento granular: para uso de datos genéticos en investigación, el consentimiento debe especificar las finalidades con claridad
  • Seguridad reforzada: cifrado en reposo y en tránsito, controles de acceso por función, logs de auditoría detallados
  • Retención justificada: definir claramente por cuánto tiempo se retendrán los datos genéticos y con qué finalidad

Retención de datos: muestras biológicas vs. datos digitales

Una asimetría importante en el sector laboratorial es el contraste entre el tiempo de retención de muestras físicas y de datos digitales:

Tipo de datoPlazo de retenciónBase normativa
Muestras biológicas (sangre, orina, tejido)2 a 7 días (varía por tipo de examen)Protocolo técnico del laboratorio
Resultados e informes digitalesMínimo 15 añosDS 41/2012 MINSAL (ficha clínica) / Ley 20.584
Imágenes médicas (impreso/papel)Mínimo 15 añosDS 41/2012 MINSAL
Imágenes médicas (digitales)15 años (con posibilidad de extensión según norma aplicable)DS 41/2012 MINSAL

En la práctica, la muestra de sangre se descarta en días, pero el resultado de ese mismo examen debe conservarse como parte de la ficha clínica del paciente por al menos 15 años, conforme al DS 41/2012 del MINSAL.

La Ley 21.719 exige que los datos personales se conserven solo por el tiempo necesario para la finalidad o el plazo legal aplicable. Las obligaciones regulatorias del MINSAL constituyen base legal válida para la retención prolongada. Pero el laboratorio debe:

  • Documentar la política de retención con plazos por tipo de dato
  • Justificar cada plazo con la norma regulatoria correspondiente
  • Eliminar o anonimizar los datos tras el plazo (principio de limitación del almacenamiento)
  • No retener datos más de lo necesario solo "por precaución"

Toma de muestra a domicilio: datos adicionales en juego

La toma de muestra a domicilio — servicio cada vez más común — agrega datos que el laboratorio no tendría en atención presencial:

  • Domicilio completo y geolocalización del paciente (necesarios para la logística)
  • Datos de agendamiento: horarios de disponibilidad, información sobre acceso al inmueble
  • Datos de terceros: nombre del portero, familiar que recibirá al tomador de muestras

Estos datos deben tratarse con la misma diligencia. Finalidad limitada a la logística de la toma, retención por el tiempo necesario y eliminación tras la realización del servicio (salvo datos que integren el registro del paciente por otra finalidad).

Notificación de ENO: el intercambio obligatorio con autoridades sanitarias

Los laboratorios que detectan Enfermedades de Notificación Obligatoria (ENO) — VIH, tuberculosis, meningitis, hepatitis viral, cólera, entre otras — están obligados a notificar a la Autoridad Sanitaria regional (SEREMI de Salud) en los plazos establecidos por el Decreto Exento N° 158/2004 y sus modificaciones.

Base de licitud para el intercambio: cumplimiento de obligación legal. El laboratorio no necesita el consentimiento del paciente para notificar ENO cuando haya determinación legal.

Implicación práctica: la notificación debe limitarse a los datos estrictamente necesarios para la vigilancia epidemiológica, sin incluir datos no requeridos por la norma. El laboratorio debe garantizar que la transmisión sea segura.

Checklist de conformidad para laboratorios de análisis clínicos

  • Mapeo completo de las actividades de tratamiento (RAT): toma de muestra, procesamiento, resultado, intercambio, retención
  • Base de licitud documentada para cada actividad: prestación de servicios de salud para exámenes, obligación legal para ENO/ISP, consentimiento para investigación/marketing
  • Política de envío de resultados definida: portal como estándar, autorización expresa para correo/WhatsApp
  • Contrato de encargo de tratamiento formalizado con laboratorios de apoyo (externalización)
  • Contrato de encargo de tratamiento formalizado con isapres y FONASA
  • Controles de acceso granulares al sistema de informes (perfiles por función: bioquímico, recepción, TI)
  • Logs de auditoría para todo acceso a resultados (quién, cuándo, qué examen)
  • Política de retención documentada: mínimo 15 años para registros (DS 41/2012 MINSAL)
  • Datos genéticos con protección reforzada: cifrado, acceso restringido, EIPD
  • Proceso de respuesta a solicitudes de titulares (acceso, rectificación, portabilidad, eliminación cuando corresponda)
  • Canal del titular accesible y operativo
  • DPD designado y publicado
  • Capacitación del equipo (recepción, toma de muestras, técnicos) sobre protección de datos en el contexto laboratorial
  • Aviso de privacidad disponible para pacientes (físico en recepción + digital en sitio/portal)
  • Procedimiento de notificación de incidentes de seguridad que involucren datos de salud

Conclusión

Los laboratorios de análisis clínicos procesan datos sensibles a escala masiva — y la cadena de intercambio (médicos, hospitales, isapres, laboratorios de apoyo) hace que la gobernanza de datos sea especialmente compleja. La buena noticia es que la prestación de servicios de salud proporciona base de licitud sólida para la operación asistencial principal. El desafío está en la gobernanza del intercambio, la seguridad del envío de resultados y la protección especial que los datos genéticos requieren.

Con la APDP (Agencia de Protección de Datos Personales) comenzando sus operaciones desde diciembre de 2026 con capacidad de fiscalización y sanción, los laboratorios que documenten sus bases de licitud, controlen el intercambio y protejan adecuadamente los datos estarán en posición significativamente más segura.

Confidata ofrece funcionalidades específicas para el sector de salud: registro de actividades de tratamiento con clasificación de datos sensibles, gestión del intercambio entre responsables y encargados, EIPD con campos de evaluación de riesgo para datos de salud y control de bases de licitud por finalidad.

Compartir
#Ley 21719#laboratorio#análisis clínicos#datos sensibles#exámenes#datos genéticos#salud Chile

Artículos relacionados

Ley 21.719 en Hospitales Públicos y CESFAM: Guía de Adecuación de la Red de Salud PúblicaSalud · 14 minLey 21.719 para Farmacias: Datos de Recetas, RUT y Programas de FidelizaciónSalud · 13 minLey 21.719 y Salud Mental: Datos de Psicólogos, Psiquiatras y Plataformas de Terapia OnlineSalud · 14 minLey 21.719 para Clínicas Médicas: Plan de Adecuación en 6 MesesSalud · 15 min

¿Quiere ir más allá? Conozca Confidata Chile

Sistema completo de gestión de cumplimiento con Ley 21.719 e IA integrada para acelerar su programa de privacidad.

© 2026 Confidata Chile — Todos los derechos reservados|Privacidad|Cookies
Hablar con un especialista