Salud14 min de lectura

Ley 21.719 y Salud Mental: Datos de Psicólogos, Psiquiatras y Plataformas de Terapia Online

Equipo Confidata·
Compartir

La salud mental es el sector de la salud que más ha crecido digitalmente en Chile. Plataformas como Mindy, Terapia Online, BetterHelp y servicios integrados en Isapres conectan a miles de personas con psicólogos por videollamada. Las empresas contratan programas de bienestar mental (EAP) para sus trabajadores a través de las mutuales y terceros especializados. Psicólogos y psiquiatras atienden cada vez más por medios digitales — práctica regulada por la normativa MINSAL sobre teleconsulta y los lineamientos éticos del Colegio de Psicólogos de Chile.

Esa digitalización genera un volumen creciente de datos personales de salud mental — la categoría más sensible que existe. Datos sobre diagnósticos psiquiátricos, contenido de sesiones terapéuticas, uso de medicación psicotrópica, historial de ideación suicida o dependencia de sustancias son informaciones cuya filtración puede causar daños irreparables: discriminación laboral, estigma social, daño a la salud del propio paciente.

Datos de salud mental como datos sensibles: protección máxima

Los datos referentes a la salud — incluida la salud mental — son datos sensibles bajo la Ley 21.719. Esto impone un régimen jurídico más restrictivo:

  1. Bases de licitud restringidas: la Ley 21.719 limita los fundamentos para tratar datos sensibles a consentimiento específico o a hipótesis taxativas como obligación legal, protección vital o tratamiento médico.

  2. Medidas de seguridad reforzadas: el nivel de protección exigido es proporcional al riesgo — y los datos de salud mental son de los que presentan mayor riesgo en caso de exposición.

  3. EIPD para tratamiento a gran escala: las plataformas de terapia online que tratan datos de salud mental de miles de pacientes deben elaborar una Evaluación de Impacto en la Protección de Datos (EIPD).

  4. Prohibición de uso discriminatorio: la Ley 21.719 prohíbe el tratamiento de datos sensibles para prácticas de discriminación — lo que incluye usar diagnósticos de salud mental para negar empleo, seguro o crédito.

Especificidad de los datos de salud mental

Los datos de salud mental tienen una vulnerabilidad adicional respecto a otros datos de salud: el estigma social. Una filtración de datos de un paciente con diabetes es grave; una filtración de datos de un paciente con esquizofrenia o dependencia química puede destruir relaciones personales y profesionales. Esa realidad exige que profesionales y plataformas de salud mental adopten un nivel de protección aún más riguroso.

Secreto profesional y Ley 21.719: protecciones acumulativas

El psicólogo y el psiquiatra están sujetos a dos capas de protección de los datos del paciente:

Secreto profesional (Colegio de Psicólogos + Colegio Médico)

El Código de Ética Profesional del Psicólogo del Colegio de Psicólogos de Chile A.G. establece el deber fundamental de respetar el secreto profesional para proteger la intimidad de las personas atendidas en el ejercicio profesional.

El secreto profesional solo puede romperse:

  • Con consentimiento del paciente
  • Por orden judicial
  • En situación de riesgo inminente para la vida del paciente o de terceros
  • Cuando sea necesario para evitar o denunciar delitos graves

Para médicos psiquiatras, el Código de Ética del Colegio Médico de Chile establece una protección equivalente al secreto médico.

Ley 21.719

La Ley 21.719 agrega una segunda capa: más allá del secreto profesional, los datos están protegidos por la legislación de protección de datos personales, con derechos del titular, obligación de seguridad, comunicación de incidentes y fiscalización de la APDP.

Las protecciones son acumulativas, no alternativas. El profesional no puede argumentar que el secreto profesional dispensa el cumplimiento de la Ley 21.719, ni que la ley sustituye las obligaciones éticas del secreto.

Plataformas de terapia online como encargados

Plataformas que intermedian la atención psicológica a través de infraestructura tecnológica (videollamada, agenda, pago, ficha clínica digital) generan la pregunta central: ¿quién es responsable y quién es encargado del tratamiento?

Análisis de la cadena de tratamiento

El psicólogo es responsable de los datos del paciente para los fines de la atención clínica — él decide cómo y por qué se tratan los datos en el contexto terapéutico.

La plataforma es encargada cuando actúa como infraestructura tecnológica: aloja la sesión de video, procesa el pago, almacena la ficha clínica a solicitud del profesional.

La plataforma puede ser responsable conjunto cuando define finalidades propias para los datos — por ejemplo, cuando utiliza datos anonimizados para generar informes de salud mental para empresas clientes (modelo corporativo de bienestar).

DPA obligatorio

Independientemente de la clasificación, el psicólogo que usa una plataforma de terceros para atención online debe formalizar (o verificar la existencia de) un Acuerdo de Tratamiento de Datos (DPA — Data Processing Agreement). El DPA debe contemplar:

  • Finalidad y duración del tratamiento
  • Tipos de datos tratados
  • Medidas de seguridad adoptadas por la plataforma
  • Prohibición de usar los datos para finalidades no autorizadas por el profesional
  • Procedimiento en caso de incidente de seguridad
  • Obligación de eliminar los datos al término del contrato

Garantías de seguridad de las plataformas

Las principales plataformas informan utilizar:

  • Cifrado de extremo a extremo en las sesiones de video
  • Prohibición de grabación de sesiones
  • Datos de pago procesados por pasarelas certificadas
  • Servidores con cifrado en reposo

El psicólogo debe verificar estas garantías antes de adoptar cualquier plataforma — y documentar esa verificación.

Ficha clínica psicológica: custodia y acceso

Regulación bajo la Ley N°20.584

La Ley de Derechos y Deberes de los Pacientes (Ley N°20.584) y su Reglamento (DS N°41 de 2012) regulan la ficha clínica en Chile, incluyendo la de atención psicológica:

  • El profesional o establecimiento que presta la atención debe mantener la ficha clínica como registro del trabajo realizado
  • La ficha contiene: identificación del paciente, fecha de atención, procedimientos realizados, evolución y desenlace
  • Plazo de custodia de la ficha clínica: mínimo 15 años desde el último registro (Art. 13 Ley N°20.584)
  • Para pacientes menores de edad, el plazo de 15 años se cuenta desde que el paciente alcance la mayoría de edad (18 años)
  • Después del plazo, los documentos pueden ser eliminados

Ley 21.719 y ficha clínica psicológica

La ficha clínica psicológica contiene datos de salud mental — por tanto, datos sensibles. Las obligaciones de la Ley 21.719 aplicables:

Acceso restringido: solo el psicólogo responsable debe acceder a la ficha. En clínicas con múltiples profesionales, cada psicólogo accede únicamente a las fichas de sus propios pacientes.

Base de licitud para la retención: la custodia de la ficha por 15 años tiene base en obligación legal (Ley N°20.584), que prevalece sobre las solicitudes de eliminación del titular.

Derecho de acceso del titular: el paciente tiene derecho a acceder a sus datos. Sin embargo, el acceso a la ficha psicológica tiene particularidades — las anotaciones personales del psicólogo (impresiones clínicas, hipótesis diagnósticas en construcción) pueden no ser íntegramente accesibles al paciente cuando su revelación pueda causarle daño, según los lineamientos del Colegio de Psicólogos de Chile.

Eliminación: el paciente puede solicitar eliminación de datos tratados con consentimiento. Sin embargo, la ficha mantenida por obligación legal no puede eliminarse antes de los 15 años (Ley N°20.584) — la base legal de retención prevalece.

Terapia online: teleconsulta psicológica en Chile

El MINSAL ha normalizado la atención psicológica y psiquiátrica mediante teleconsulta a través de circulares y normativas que se han consolidado desde la pandemia. El Colegio de Psicólogos de Chile ha emitido directrices éticas para el ejercicio profesional mediante plataformas digitales.

Obligaciones de privacidad en la atención online

  • Ambiente seguro: el profesional debe garantizar que la sesión ocurra en una plataforma con cifrado y en un entorno físico que preserve la privacidad del paciente y del profesional.
  • Consentimiento informado: el paciente debe ser informado sobre las características de la atención online, incluidos los riesgos de privacidad inherentes a la tecnología.
  • Prohibición de grabación sin consentimiento: las sesiones no pueden grabarse sin consentimiento expreso del paciente.
  • Almacenamiento seguro: los registros digitales de atención deben almacenarse con las mismas garantías de seguridad que la ficha clínica física.

Datos de niños y adolescentes en terapia

La atención psicológica de niños, niñas y adolescentes implica una capa adicional de protección:

Consentimiento de los padres (Ley 21.719)

La Ley 21.719 exige consentimiento del representante legal para tratar datos de menores de 14 años. Para adolescentes entre 14 y 17 años, el consentimiento debe obtenerse considerando su capacidad progresiva — pero la participación de los padres o representantes es recomendada.

Secreto terapéutico vs. derecho de los padres a la información

Este es un punto de tensión ética y legal: los padres tienen derecho de acceso a los datos de su hijo (como representantes legales), pero el secreto terapéutico protege el contenido de las sesiones — especialmente con adolescentes. La orientación del Colegio de Psicólogos de Chile es que el profesional debe preservar el secreto de lo revelado en sesión, compartiendo con los padres solo lo necesario para el acompañamiento terapéutico, sin exponer contenidos que puedan perjudicar la relación terapéutica.

Plataformas y menores

Las plataformas de terapia online que atienden menores de 18 años deben implementar verificación de edad y obtener consentimiento parental documentado antes del inicio de la atención.

Compartición con Isapres: CIE y riesgo de discriminación

Uno de los puntos más sensibles de la protección de datos en salud mental es la compartición de información con las Isapres (y con Fonasa en el sistema público).

El problema de la CIE

Para autorización y facturación de sesiones de psicoterapia o consultas psiquiátricas, las Isapres frecuentemente exigen el código CIE (Clasificación Internacional de Enfermedades). Los códigos de trastornos mentales — como F32 (episodio depresivo), F41 (trastornos ansiosos), F20 (esquizofrenia) o F10 (trastornos mentales por uso de alcohol) — revelan información extremadamente sensible.

Riesgo de discriminación

La compartición del código CIE de trastorno mental con la Isapre puede derivar en:

  • Aumento de prima o rechazo de cobertura en seguros de vida o seguros complementarios
  • Discriminación en procesos de contratación, si el empleador tiene acceso a través del seguro colectivo
  • Estigma si los datos son filtrados

Base de licitud y límites

La compartición del código CIE con la Isapre para fines de autorización de prestaciones tiene base en ejecución del contrato de salud. Sin embargo, el uso de los datos para cualquier otra finalidad — perfil de riesgo, precio discriminatorio, compartición con empleadores — está prohibido por la Ley 21.719.

Recomendaciones prácticas

  • El profesional debe informar al paciente cuando el código CIE será compartido con la Isapre
  • El paciente puede optar por pagar de forma particular para evitar la compartición del código CIE
  • Las Isapres deben limitar el acceso al código CIE al estrictamente necesario para autorización y auditoría médica
  • El empleador nunca debe tener acceso al código CIE del trabajador a través del seguro colectivo

Plataformas corporativas de bienestar mental (EAP)

Los programas corporativos de bienestar mental (EAP — Employee Assistance Programs) contratados por empresas, a través de mutuales (ACHS, Mutual de Seguridad, IST) o proveedores especializados, generan una pregunta crítica: ¿el empleador tiene acceso a los datos del trabajador?

La regla absoluta

El empleador no puede tener acceso a datos individualizados de salud mental de sus trabajadores. No puede saber quién usa el servicio, con qué frecuencia, cuál es el diagnóstico ni el contenido de las sesiones.

Lo que el empleador puede recibir

Las plataformas corporativas proporcionan datos anonimizados y agregados para RRHH:

  • Número total de sesiones realizadas (sin identificación)
  • Temas más frecuentes a nivel agregado (ansiedad, burnout, conflictos interpersonales)
  • Índices generales de bienestar de la organización

Verificación necesaria

El DPD de la empresa o el profesional de RRHH debe verificar:

  • ¿La plataforma garantiza que los datos individuales nunca son compartidos con el empleador?
  • ¿La anonimización es real? (En equipos pequeños, datos "anonimizados" como "1 persona del departamento X usó el servicio" pueden ser re-identificables)
  • ¿Existe DPA entre la empresa y la plataforma?
  • ¿El consentimiento del trabajador es libre? (No puede ser presionado a usar el servicio ni penalizado por no usarlo)

WhatsApp para agenda y contacto terapéutico

El uso de WhatsApp en la comunicación entre psicólogo y paciente es muy frecuente — y riesgoso:

Riesgos

  • Metadatos: incluso con cifrado de extremo a extremo en el contenido, WhatsApp (Meta) recopila metadatos — quién habló con quién, cuándo, con qué frecuencia. Esos metadatos pueden revelar que una persona está en atención psicológica.
  • Respaldo en la nube: si el paciente activa el respaldo de WhatsApp en Google Drive o iCloud, los mensajes se almacenan en texto legible — fuera del cifrado de extremo a extremo.
  • Dispositivo compartido: pacientes que comparten teléfono (familias, parejas) pueden tener sus mensajes leídos por terceros.

Recomendaciones

  • Para agenda: aceptable, siempre que no contenga información clínica
  • Para envío de orientaciones clínicas o contenido terapéutico: evitar — usar plataforma dedicada con cifrado y control de acceso
  • Para atención (sesión por mensaje): no recomendado — preferir plataformas dedicadas con registro adecuado
  • Grupos de WhatsApp terapéuticos: riesgo alto — los miembros pueden ver los números de teléfono de los demás, rompiendo la privacidad

Checklist de cumplimiento para profesionales de salud mental

Para el psicólogo o psiquiatra independiente

  • ¿Aviso de privacidad disponible para pacientes (digital o físico)?
  • ¿Consentimiento informado que incluye aspectos de protección de datos?
  • ¿Ficha clínica almacenada con seguridad (contraseña, cifrado, respaldo)?
  • ¿Plazo de custodia de 15 años respetado (Ley N°20.584)?
  • ¿Control de acceso a la ficha (solo el profesional responsable)?
  • ¿Plataforma de atención online evaluada en cuanto a seguridad?
  • ¿DPA con plataforma de terapia online (o verificación de los términos)?
  • ¿WhatsApp limitado a agenda (sin contenido clínico)?
  • ¿Datos de menores con consentimiento parental documentado?

Para clínicas de salud mental

  • Todos los ítems anteriores, para cada profesional
  • ¿Canal de comunicación con los titulares publicado y operativo?
  • ¿Cada psicólogo accede solo a las fichas de sus propios pacientes?
  • ¿Sistema de ficha clínica electrónica con registros de acceso (logs)?
  • ¿Contratos con Isapres que incluyen cláusulas de protección de datos?
  • ¿Política sobre compartición de código CIE (informar al paciente)?

Para plataformas de terapia online

  • ¿DPA con todos los profesionales que usan la plataforma?
  • ¿Cifrado de extremo a extremo en las sesiones de video?
  • ¿Prohibición de grabación de sesiones (a menos que el paciente consiente)?
  • ¿Datos de pago procesados por pasarela certificada (PCI DSS)?
  • ¿Datos individuales de pacientes nunca compartidos con empleadores?
  • ¿Anonimización real en informes corporativos (sin re-identificación)?
  • ¿EIPD elaborada para el tratamiento de datos de salud mental a gran escala?
  • ¿Procedimiento de respuesta a incidentes (notificación a la APDP en un máximo de 72 horas)?
  • ¿Canal del titular implementado y monitoreado?

Conclusión

La salud mental digital crece rápidamente en Chile — y la protección de los datos que genera no puede quedar para después. Los datos de salud mental son, quizás, los datos personales más sensibles que existen: su filtración puede causar discriminación, estigma y daño psicológico adicional al paciente. La combinación del secreto profesional (Colegio de Psicólogos/Colegio Médico) con la Ley 21.719 crea un doble escudo de protección — pero ese escudo solo funciona si se implementa en la práctica.

Para el profesional independiente, la protección comienza en gestos simples: almacenamiento seguro de la ficha clínica, evaluación de la plataforma de atención online, cuidado con WhatsApp. Para clínicas y plataformas, la obligación es más amplia: gobernanza de datos, DPAs, EIPD, controles de acceso y transparencia sobre qué ocurre con los datos del paciente.

Confidata ofrece funcionalidades adaptadas al sector de salud mental: registro de actividades de tratamiento con clasificación de datos sensibles, gestión de solicitudes de titulares con plazos legales, EIPD con evaluación de riesgo específica para datos de salud y control de acceso granular — permitiendo que clínicas y plataformas documenten su cumplimiento sin comprometer la agilidad de la atención.

Compartir
#Ley 21719#salud mental#psicólogo#psiquiatra#terapia online#datos sensibles#Colegio Psicólogos Chile

Artículos relacionados

Ley 21.719 en Hospitales Públicos y CESFAM: Guía de Adecuación de la Red de Salud PúblicaSalud · 14 minLey 21.719 para Farmacias: Datos de Recetas, RUT y Programas de FidelizaciónSalud · 13 minLey 21.719 para Laboratorios: Exámenes, Informes y Datos GenéticosSalud · 13 minLey 21.719 para Clínicas Médicas: Plan de Adecuación en 6 MesesSalud · 15 min

¿Quiere ir más allá? Conozca Confidata Chile

Sistema completo de gestión de cumplimiento con Ley 21.719 e IA integrada para acelerar su programa de privacidad.

© 2026 Confidata Chile — Todos los derechos reservados|Privacidad|Cookies
Hablar con un especialista