Salud13 min de lectura

Odontología y Ley 21.719: Lo Que Consultorios y Clínicas Deben Saber

Equipo Confidata·
Compartir

Chile cuenta con más de 30.000 cirujanos-dentistas activos, atendidos en decenas de miles de consultorios y clínicas a lo largo del país. Cada atención genera datos personales sensibles: ficha clínica, radiografías, fotografías intraorales, modelos digitales 3D, historial de tratamientos.

A pesar de ello, la protección de datos rara vez se discute en el contexto odontológico. La mayoría de los dentistas saben que deben conservar las fichas clínicas, pero pocos entienden que los datos contenidos en ellas — y en los softwares de gestión, los grupos de WhatsApp y las redes sociales del consultorio — están sujetos a las reglas más exigentes de la Ley 21.719, con plazo de adecuación hasta el 1 de diciembre de 2026.

Esta guía trata las obligaciones específicas de la Ley 21.719 para consultorios y clínicas odontológicas — con foco en los puntos más críticos: ficha clínica, imágenes, software, convenios con seguros de salud y marketing.

Qué datos trata la odontología

Un consultorio odontológico típico trata una variedad de datos personales mayor de lo que la mayoría de los profesionales percibe:

Datos de identificación

  • Nombre, RUT, fecha de nacimiento, domicilio, teléfono, correo electrónico
  • Datos del representante legal (para pacientes menores)
  • Datos del seguro de salud (ISAPRE o FONASA, plan, número de beneficiario)

Datos de salud (sensibles)

  • Ficha clínica odontológica: anamnesis, odontograma, plan de tratamiento, evolución clínica
  • Radiografías: periapicales, panorámicas, cefalométricas
  • Imágenes 3D: tomografía computarizada de haz cónico (CBCT), escaneo intraoral
  • Fotografías clínicas: intraorales, extraorales, fotos antes/después de tratamientos
  • Modelos digitales: moldeados digitales para ortodoncia, prótesis, alineadores
  • Información de salud general: enfermedades sistémicas (diabetes, hipertensión, cardiopatías), alergias, medicamentos — datos relevantes para la planificación odontológica

Datos financieros

  • Presupuestos, pagos, cuotas
  • Datos de tarjeta de crédito o transferencia bancaria
  • Facturas/boletas

Base legal principal: prestación de servicios de salud

Los cirujanos-dentistas son profesionales de la salud por definición legal. Esto les permite tratar datos sensibles de salud de los pacientes bajo la excepción para prestación de servicios de salud contemplada en la Ley 21.719, en concordancia con la Ley 20.584 (Derechos y Deberes de las Personas en la Atención de Salud).

Lo que esta base legal cubre

  • Registro y mantención de la ficha clínica odontológica
  • Realización de radiografías y exámenes de imagen
  • Plan de tratamiento y evolución clínica
  • Prescripción de medicamentos y orientaciones postoperatorias
  • Derivación a especialistas (con compartición de los datos necesarios)
  • Datos de anamnesis (enfermedades sistémicas, alergias, medicamentos)

Lo que esta base legal NO cubre

  • Uso de fotografías del paciente para marketing y redes sociales
  • Compartición de datos con proveedores comerciales para fines que excedan el tratamiento
  • Envío de datos a empresas de alineadores para fines que superen el tratamiento clínico
  • Campañas de email marketing o WhatsApp promocional

Para estas finalidades, es necesario el consentimiento explícito del paciente — y el consentimiento debe ser específico, informado y documentado.

Ficha clínica: obligaciones legales y plazos de retención

La ficha clínica es el documento central de la relación entre el dentista y el paciente. En Chile, su regulación está establecida en la Ley 20.584 y el Decreto N° 41 del MINSAL (2012).

Decreto 41 del MINSAL — Ficha Clínica

El Decreto 41 (que implementa el Art. 12 y siguientes de la Ley 20.584) establece:

  • Plazo de retención mínimo: 15 años desde el último registro en la ficha clínica
  • Formatos: puede ser en papel, electrónica o en ambos formatos
  • Custodia: el prestador de salud es responsable de su custodia y confidencialidad
  • Acceso: solo los profesionales directamente involucrados en la atención y el propio paciente (o sus representantes legales) pueden acceder a la ficha

Ley 20.584 — Derechos del Paciente

La Ley 20.584 establece que:

  • Los datos contenidos en la ficha clínica son datos sensibles y su confidencialidad está especialmente protegida
  • El paciente tiene derecho a acceder a su ficha y obtener copia
  • Está prohibido divulgar la información de la ficha a terceros sin autorización del paciente

Esta obligación dialoga directamente con la Ley 21.719: el derecho del titular a acceder a sus datos personales, a rectificarlos y a obtener copia.

Base legal para la retención prolongada

La Ley 21.719 exige que los datos personales se mantengan solo el tiempo necesario para la finalidad o por el plazo legal aplicable. Para la ficha clínica odontológica, el plazo es el establecido por el Decreto 41 — 15 años mínimo. La base legal para esta retención es el cumplimiento de obligación legal.

Radiografías digitales e imágenes 3D: custodia y seguridad

Los equipos de radiología odontológica están regulados por el ISP (Instituto de Salud Pública), que clasifica y autoriza los dispositivos médicos, incluyendo los equipos de radiografía dental intraoral y extraoral.

Retención de imágenes

Las radiografías y tomografías son parte de la ficha clínica. Siguen la misma regla de retención: mínimo 15 años (Decreto 41). Para imágenes digitales, la custodia tiende a ser permanente dado el bajo costo de almacenamiento.

Seguridad de imágenes digitales

  • Cifrado en reposo: las imágenes almacenadas en servidor o nube deben estar cifradas
  • Control de acceso: solo los profesionales autorizados deben acceder a las imágenes
  • Respaldo: copias de seguridad regulares, preferentemente en ubicación distinta del servidor principal
  • Formato estandarizado: el estándar DICOM (Digital Imaging and Communications in Medicine) es el formato recomendado para interoperabilidad e integridad

Escaneo intraoral y modelos 3D

Los escaneos digitales y modelos 3D (usados en ortodoncia, implantología y prótesis) contienen datos biométricos del paciente — la anatomía dentaria es única e identificable. Estos datos deben tener el mismo nivel de protección que cualquier dato sensible bajo la Ley 21.719.

Cuando el modelo 3D se envía a un laboratorio de prótesis o a una empresa de alineadores, el destinatario actúa como encargado de tratamiento — es necesario un contrato formal de tratamiento de datos.

Fotografías de antes y después: el uso en redes sociales

El uso de imágenes de pacientes para marketing odontológico es una de las áreas de mayor riesgo. En Chile, a diferencia de Brasil, el Colegio de Cirujanas y Cirujanos Dentistas de Chile no tiene una resolución específica sobre imágenes en redes sociales con el mismo nivel de detalle que el CFO brasileño — pero el Código de Ética del Colegio (versión vigente de 2020, que actualizó la versión de 2016) y la Ley 21.719 establecen las obligaciones aplicables.

Lo que requiere la ley

Para usar fotografías del paciente en marketing (redes sociales, sitio web, materiales impresos), el consultorio debe obtener:

  • Consentimiento explícito del paciente (Art. 13 Ley 21.719)
  • Especificación de qué imágenes serán usadas y en qué plataformas
  • Información sobre el plazo de uso de la imagen
  • Posibilidad de revocar el consentimiento en cualquier momento — y el dentista debe tener un proceso para eliminar las imágenes cuando se solicite
  • Para fotografías clínicas (intraorales): dado que revelan condiciones de salud, el consentimiento debe ser específico para datos sensibles

Modelo práctico de consentimiento para uso de imagen

El formulario debe contener: identificación del paciente, descripción de las imágenes (foto antes/después, fotografía de sonrisa, etc.), finalidades autorizadas (enumeradas), plataformas y canales, plazo de uso, posibilidad de revocación, y firmas de ambas partes.

Software de gestión del consultorio: el encargado que olvidó

La mayoría de los consultorios odontológicos usa software de gestión (Dental Cloud, OdontoCloud, Meddent, u otros sistemas locales o internacionales). Estos sistemas almacenan toda la ficha clínica digital, la agenda, el área financiera y los datos de los pacientes.

Quién es responsable y quién es encargado

  • Responsable del tratamiento: el consultorio/clínica (el dentista o la persona jurídica titular)
  • Encargado de tratamiento: el proveedor del software, que procesa los datos en nombre del consultorio

Contrato de tratamiento de datos con el proveedor

El contrato con el proveedor de software debe incluir cláusulas de protección de datos que definan:

  • Qué datos procesa y almacena el sistema
  • Que el proveedor no puede usar los datos de los pacientes para finalidades propias
  • Dónde se almacenan los datos (servidor local, nube, ¿en qué país?)
  • Medidas de seguridad implementadas (cifrado, control de acceso, respaldo)
  • Procedimiento en caso de incidente de seguridad
  • Qué ocurre con los datos al término del contrato (portabilidad, eliminación)
  • Si existen subencargados (proveedores de nube, CDN, analytics)

Migración entre sistemas

Cuando el consultorio cambia de software, los datos de los pacientes deben ser migrados:

  • Portabilidad: el sistema anterior debe permitir exportar los datos en formato utilizable
  • Seguridad en la migración: los datos en tránsito deben estar cifrados
  • Eliminación en el sistema anterior: confirmar la eliminación tras la migración exitosa
  • Documentación: registrar el proceso de migración como evidencia de conformidad

Compartición con ISAPRES y FONASA

Los consultorios que atienden a pacientes con seguros de salud (ISAPRES o FONASA) comparten datos de los pacientes con las aseguradoras para fines de autorización de procedimientos y reembolso.

Lo que se comparte

  • Datos de identificación del paciente (nombre, RUT, número de beneficiario)
  • Procedimientos realizados (códigos de prestaciones)
  • Datos clínicos necesarios para la autorización (radiografías, justificaciones)
  • Montos cobrados

Base legal

  • Para auditoría y facturación: ejecución del contrato entre la clínica y la aseguradora
  • Para autorización previa de procedimientos: ejecución del contrato de cobertura odontológica
  • Límite: la aseguradora no puede usar los datos para selección de riesgo en la contratación o exclusión de beneficiarios

Cuidado adicional

Cuando la aseguradora solicita radiografías o informes clínicos para auditoría, la compartición debe ser proporcional — enviar solo lo estrictamente necesario para la finalidad de la auditoría, no la ficha completa.

Tratamientos prolongados: ortodoncia y estética

La ortodoncia, implantología y estética dental involucran tratamientos que duran meses o años, con:

  • Volumen de datos acumulado: decenas de radiografías, fotografías de evolución, modelos 3D, ajustes de plan
  • Múltiples proveedores: laboratorios de prótesis, empresas de alineadores, proveedores de implantes — cada uno potencialmente recibiendo datos del paciente
  • Riesgo de exposición prolongada: a mayor duración del tratamiento, más datos acumulados

Para tratamientos prolongados, el consultorio debe:

  1. Mantener actualizado el inventario de datos durante todo el tratamiento
  2. Tener un contrato de tratamiento de datos con cada proveedor que recibe datos del paciente
  3. Revisar y actualizar el consentimiento cuando la finalidad del tratamiento cambie

WhatsApp en el consultorio: lo que está permitido y lo que no

WhatsApp es casi universal en los consultorios odontológicos chilenos — para agendamiento, confirmación de citas y envío de instrucciones postoperatorias. No existe prohibición del Colegio de Cirujanas y Cirujanos Dentistas de Chile para el uso de WhatsApp en comunicación con pacientes, pero existen límites importantes.

Lo que es aceptable

  • Agendamiento y confirmación de citas: datos mínimos (nombre, fecha, horario)
  • Recordatorios de control: "Hola [nombre], su cita es mañana a las 14:00"
  • Instrucciones generales post-procedimiento: indicaciones que no contengan diagnóstico detallado
  • Envío de boletas o links de pago

Lo que es arriesgado

  • Envío de radiografías por WhatsApp: datos sensibles en un canal sin control de acceso — el paciente puede reenviar o el celular puede ser accedido por terceros
  • Fotografías clínicas por WhatsApp: mismo problema
  • Grupos de WhatsApp con pacientes: expone los datos de contacto de todos los participantes

Buenas prácticas

  • Use WhatsApp Business (permite separar el perfil personal del profesional)
  • Configure mensajes automáticos para confirmación de citas
  • No envíe datos clínicos por WhatsApp — oriente al paciente al portal o app del consultorio
  • Si el paciente insiste en recibir una radiografía por WhatsApp, documente la solicitud y el consentimiento

Encargado de Protección de Datos: ¿obligatorio para consultorios?

La Ley 21.719 no exige el Encargado de Protección de Datos (EPD) para todos los responsables del tratamiento. Para los consultorios odontológicos de pequeño porte, la obligación depende del volumen y tipo de datos tratados.

Para consultorios pequeños, la designación formal del EPD puede no ser obligatoria — pero el consultorio necesita alguien (aunque no sea formalmente un EPD) que:

  • Conozca las obligaciones de protección de datos
  • Responda a solicitudes de los pacientes (acceso, rectificación, eliminación)
  • Gestione los incidentes de seguridad
  • Mantenga actualizada la documentación de conformidad

Para clínicas de mayor tamaño o redes odontológicas, con múltiples profesionales y alto volumen de pacientes, la designación formal del EPD es recomendada — y puede realizarse en modalidad de EPD externo para mantener el costo accesible.

Checklist de conformidad para consultorios odontológicos

  • Ficha clínica odontológica mantenida en forma legible y actualizada, con todos los registros fechados y firmados
  • Política de retención documentada: mínimo 15 años (Decreto N° 41 MINSAL / Ley 20.584)
  • Base legal documentada para cada actividad de tratamiento (prestación de salud para atención clínica, consentimiento para marketing)
  • Formulario de consentimiento específico para uso de imagen en redes sociales y marketing
  • Contrato de tratamiento de datos (DPA) formalizado con el proveedor de software de gestión
  • Contrato de tratamiento de datos con laboratorios de prótesis y empresas de alineadores que reciben datos del paciente
  • Radiografías e imágenes 3D almacenadas con cifrado y control de acceso
  • Compartición con ISAPRES/FONASA limitada a lo estrictamente necesario para autorización/facturación
  • WhatsApp usado solo para comunicación administrativa (agendamiento, recordatorios), no para envío de datos clínicos
  • Aviso de privacidad disponible en el consultorio (impreso en recepción + digital en el sitio web)
  • Canal del titular disponible para solicitudes de los pacientes (acceso a la ficha, rectificación, copia)
  • Respaldo regular de los datos (fichas, radiografías, modelos 3D) en ubicación separada del servidor principal
  • Capacitación de asistentes y recepcionistas sobre protección de datos
  • Procedimiento de notificación de incidentes documentado (filtración de datos de pacientes)
  • Evaluación de la necesidad de designar un EPD según el volumen y tipo de datos tratados

Conclusión

La odontología chilena trata datos sensibles de salud en escala masiva — fichas clínicas, radiografías, fotografías clínicas e información de salud general de decenas de miles de pacientes. La Ley 21.719 se aplica integralmente, pero la buena noticia es que la atención clínica principal está amparada por la excepción de prestación de servicios de salud — sin requerir consentimiento adicional para el tratamiento terapéutico.

Los puntos de mayor riesgo no están en la atención clínica, sino en las actividades periféricas: fotografías antes/después publicadas sin autorización adecuada, software de gestión sin contrato de tratamiento de datos, datos enviados por WhatsApp sin control, aseguradoras recibiendo más información de la necesaria. Son estos los puntos donde la mayoría de los consultorios necesita actuar — y donde la conformidad genera más resultado con menos esfuerzo.

El plazo para adecuarse es el 1 de diciembre de 2026.

Confidata ofrece funcionalidades específicas para consultorios y clínicas de salud: registro de actividades de tratamiento con clasificación de datos sensibles, gestión de consentimientos y formularios, control de contratos con proveedores (encargados de tratamiento) y canal del titular — permitiendo que el consultorio documente su conformidad de forma simple y estructurada.

Compartir
#Ley 21.719#odontología#consultorio#clínica odontológica#datos sensibles#ficha clínica#Colegio Cirujanos Dentistas#Chile

Artículos relacionados

Consentimiento del paciente y Ley 21.719: cuándo exigirlo y las alternativas en saludSalud · 14 minWearables, apps de salud y Ley 21.719: los datos que recopila tu smartwatchSalud · 13 minLey 21.719 en Hospitales Públicos y CESFAM: Guía de Adecuación de la Red de Salud PúblicaSalud · 14 minLey 21.719 para Farmacias: Datos de Recetas, RUT y Programas de FidelizaciónSalud · 13 min

¿Quiere ir más allá? Conozca Confidata Chile

Sistema completo de gestión de cumplimiento con Ley 21.719 e IA integrada para acelerar su programa de privacidad.

© 2026 Confidata Chile — Todos los derechos reservados|Privacidad|Cookies
Hablar con un especialista