Cumplimiento

    Ley 21.719 y datos de salud: guía para clínicas y hospitales

    Por el equipo de MedAI · Tooldata SpA · 6 de julio de 2026

    En breve. La Ley 21.719 entra en plena vigencia el 1 de diciembre de 2026 y trata los datos de salud como sensibles, con régimen reforzado. Exige al prestador —responsable del tratamiento— base de licitud, consentimiento explícito, Evaluación de Impacto (EIPD) para datos sensibles a gran escala, medidas de seguridad, notificación de brechas y contrato de encargo (DPA) con proveedores.

    Chile estrena un nuevo estándar de protección de datos personales. La Ley N° 21.719 entra en plena vigencia el 1 de diciembre de 2026 y, hasta esa fecha, sigue rigiendo la Ley N° 19.628. Para un prestador de salud el cambio es de fondo: la nueva ley trata los datos de salud como datos sensibles, con un régimen reforzado, y crea una Agencia de Protección de Datos Personales con potestades de fiscalización y sanción. Esta guía explica, en términos prácticos, qué debe preparar una clínica u hospital antes de esa fecha, y cierra con una checklist accionable.

    Qué cambia y desde cuándo

    La transición tiene una fecha clave: 1 de diciembre de 2026. Hasta el día anterior sigue vigente la Ley 19.628; desde esa fecha aplican en plenitud las obligaciones de la 21.719. El nuevo marco incorpora principios exigibles —licitud, finalidad, proporcionalidad, calidad, transparencia, seguridad y responsabilidad (accountability)—, derechos reforzados para los titulares y una autoridad de control especializada. No conviene esperar al último trimestre: adecuar consentimientos, contratos y sistemas toma meses, y la responsabilidad recae en la institución.

    Datos de salud: sensibles y con régimen reforzado

    La ley clasifica los datos de salud como datos personales sensibles. Eso significa que su tratamiento exige una base de licitud más estricta, medidas de seguridad más robustas y, en muchos casos, una evaluación de impacto previa. A ello se suma el secreto médico y las obligaciones sobre la ficha clínica de la Ley N° 20.584 (derechos y deberes del paciente), que conviven con la 21.719. La regla práctica: todo lo que toque información clínica de un paciente entra en la categoría de mayor exigencia.

    Base de licitud y consentimiento

    Por regla general, tratar datos sensibles requiere el consentimiento explícito del titular. La ley contempla, además, excepciones aplicables al ámbito sanitario, entre ellas el tratamiento necesario para la salud realizado por profesionales sujetos a deber de secreto. La institución debe identificar y documentar qué base ampara cada tratamiento (atención asistencial, gestión de cuentas, docencia, investigación) y no reutilizar los datos para finalidades incompatibles con la que los originó.

    Deber de información a los titulares

    Los pacientes y profesionales tienen derecho a saber, en lenguaje claro, quién trata sus datos, con qué finalidad y base, por cuánto tiempo, con quién se comparten y cómo ejercer sus derechos. Esto se materializa en avisos y políticas de privacidad actualizados, y en el consentimiento informado cuando corresponda. Si se incorpora inteligencia artificial de apoyo a la documentación clínica, la transparencia sobre esa lógica también es parte del deber de información.

    Derechos de los titulares

    La 21.719 refuerza los derechos que el paciente puede ejercer ante la institución. La organización debe poder recibirlos, verificar identidad, responderlos en plazo y dejar traza de cada gestión.

    Derecho Qué permite al titular
    Acceso Saber qué datos suyos se tratan y obtener una copia
    Rectificación Corregir datos inexactos o desactualizados
    Supresión (cancelación) Solicitar el borrado cuando procede
    Oposición Objetar ciertos tratamientos
    Portabilidad Recibir/transferir sus datos en formato estructurado
    Bloqueo Suspender temporalmente el tratamiento de un dato

    Estos derechos deben poder atenderse aunque medie un proveedor tecnológico: por eso importa que los sistemas permitan buscar, exportar, rectificar, bloquear y borrar con trazabilidad.

    Evaluación de impacto (EIPD) antes de tratar datos sensibles a gran escala

    Cuando una institución trata datos sensibles a gran escala o realiza tratamientos de alto riesgo —lo habitual en un hospital, y más aún si incorpora IA sobre datos de pacientes—, debe efectuar una Evaluación de Impacto en Protección de Datos (EIPD) antes de iniciar el tratamiento. La EIPD describe el flujo de datos, la base de licitud, los riesgos para los derechos de los titulares y las medidas de mitigación; si el riesgo residual es alto, puede gatillar una consulta previa a la Agencia. Es un documento vivo, propiedad del responsable, que conviene tener listo antes del 1 de diciembre de 2026. Puedes partir de una plantilla EIPD y adaptarla con tu DPO y asesoría legal.

    Medidas de seguridad y notificación de brechas

    La ley exige medidas técnicas y organizativas adecuadas al riesgo: cifrado en tránsito y en reposo, control de acceso por rol, autenticación federada (SSO), registros de auditoría, respaldos y planes de recuperación. Ante una vulneración de seguridad (brecha), el responsable debe notificar a la Agencia y, cuando proceda, a los titulares afectados, en un plazo acotado (referencialmente 72 horas, a confirmar con la norma vigente). Tener definido de antemano el procedimiento de respuesta a incidentes —quién detecta, quién evalúa, quién notifica— es tan importante como las medidas preventivas.

    Responsable y encargado: quién responde

    La 21.719 distingue dos roles. La clínica u hospital es el responsable: decide fines y medios, y sobre él recae la obligación legal ante el titular y la Agencia. Un proveedor que trate datos por cuenta de la institución es encargado, y debe hacerlo solo según instrucciones documentadas, mediante un contrato de encargo (DPA) exigido por la ley. Antes de firmar con cualquier proveedor, verifica que exista ese contrato; puedes contrastarlo con un modelo de DPA y una matriz de responsabilidades que reparte cada obligación entre responsable y encargado.

    El modo de despliegue influye en tu exposición. Cuando la IA u otro software se despliega on-premise —en la infraestructura del propio prestador— los datos clínicos no salen de su red, se reduce la superficie de brecha y se evita activar reglas de transferencia internacional. Ese es el enfoque de MedAI, que además opera con validación y firma profesional (human-in-the-loop), sin diagnóstico autónomo; puedes revisar el detalle en despliegue on-premise y en seguridad y cumplimiento.

    Checklist de preparación

    Cierre

    La 21.719 eleva el estándar, pero también ordena: obliga a saber qué datos se tratan, con qué base, con qué garantías y con qué proveedores. Empezar ahora —con inventario, EIPD, contratos de encargo y seguridad demostrable— convierte una obligación en una ventaja de confianza frente a pacientes y reguladores. Si estás evaluando herramientas clínicas de IA para este marco, puedes profundizar en nuestra sección de cumplimiento y descargar los documentos modelo mencionados.


    Este artículo es informativo y no constituye asesoría legal ni médica. Los plazos, montos y referencias normativas (incluido el plazo de notificación de brechas) deben verificarse con el texto vigente de la Ley N° 21.719, su reglamento y las instrucciones de la Agencia de Protección de Datos Personales, y revisarse con un abogado habilitado en Chile.

    Fuentes oficiales

    Equipo de MedAI · Tooldata SpA

    Redactado y revisado por nuestro equipo de cumplimiento y producto. Conoce la empresa detrás de MedAI →

    Aviso: este artículo es informativo y no constituye asesoría legal ni médica. Verifica siempre la normativa vigente con tu equipo legal y clínico.