Ley 21.719 · Guía sectorial

Ley 21.719 para Clínicas y Centros Médicos

Las clínicas y centros médicos tratan algunos de los datos más sensibles que existen: fichas clínicas, diagnósticos, resultados de exámenes y datos biométricos. La Ley 21.719 les impone obligaciones reforzadas porque el mal uso de estos datos puede dañar gravemente a los pacientes.

🔴 Riesgo ALTO8 tipos de datos regulados

Cómo Clínicas y Centros Médicos interactúa con datos personales

Desde el primer contacto, una clínica registra datos sensibles: al agendar una hora por teléfono, WhatsApp o plataformas como Bocalista o Doctolib, se recopilan nombre, RUT, teléfono y previsión de salud. En consulta, el médico genera fichas clínicas con diagnósticos, medicamentos y exámenes — todos datos sensibles bajo Art. 2° Ley 21.719. Si la clínica usa software como Medilink, Rayen o RCE, esos datos se almacenan en servidores del proveedor, configurando una cesión a tercero mandatario que exige contrato escrito. Las derivaciones internas transfieren fichas entre especialistas. Los resultados de laboratorio llegan por correo o portales externos. Las teleconsultas generan grabaciones adicionales. Sin base legal documentada para cada uno de estos flujos, la clínica está en infracción grave antes de saber que existe la ley.

¿Qué datos personales trata tu clínicas y centros médicos?

Todos estos datos están regulados por la Ley 21.719 y requieren bases legales claras para su tratamiento.

Nombre y RUT del pacienteFicha clínica y diagnósticosResultados de exámenes de laboratorioImágenes médicas (radiografías, ecografías)Medicamentos y tratamientosDatos de contacto y previsión de saludDatos biométricos (huellas, firma)Historial de hospitalizaciones

Tu principal riesgo

⚠️

Filtración de fichas clínicas o diagnósticos. Una brecha que exponga enfermedades, diagnósticos psiquiátricos o tratamientos puede causar discriminación laboral, daño reputacional grave y una multa de hasta 5.000 UTM (aprox. $370 millones CLP) por tratar datos sensibles sin las medidas de seguridad adecuadas.

Obligaciones específicas para Clínicas y Centros Médicos

Obtener consentimiento explícito del paciente para el tratamiento de sus datos de salud —incluyendo ficha clínica, diagnósticos e imágenes médicas— antes de iniciar cualquier tratamiento o cesión a terceros como laboratorios o aseguradoras.

Publicar una Política de Privacidad en el sitio web y en la recepción que informe qué datos de salud se recopilan, para qué finalidades, quién los trata y cuánto tiempo se conservan (mínimo 15 años según DS N°41 para fichas de adultos).

Mantener un Registro de Actividades de Tratamiento (RAT) que documente todos los flujos de datos clínicos: admisión, ficha clínica, laboratorio, imágenes, derivaciones a especialistas y cesión a sistemas de previsión de salud.

Firmar contratos de encargado del tratamiento con cada proveedor de software clínico (Medilink, Rayen) que almacene datos de salud en servidores externos, especificando instrucciones de tratamiento y medidas de seguridad exigidas.

Implementar un canal ARCOP para que los pacientes puedan solicitar acceso a su ficha clínica, rectificación de errores o portabilidad de datos a otro centro, respondiendo dentro de los 30 días corridos del Art. 11 Ley 21.719.

Ejemplo de cumplimiento paso a paso

1
Genera tu Política de Privacidad
Publica una política que explique qué datos de salud tratas, con qué base legal, quién tiene acceso y cómo se protegen. Inclúyela en tu sitio web y en la sala de espera.
2
Levanta tu Registro de Tratamiento
Documenta cada flujo de datos en tu RAT: admisión, fichas clínicas, laboratorios, imágenes y derivaciones. Identifica qué sistemas externos reciben esos datos.
3
Obtén consentimiento en la admisión
Implementa un formulario de consentimiento en el proceso de admisión que autorice explícitamente el tratamiento de datos de salud y la cesión a laboratorios o aseguradoras.
4
Establece tu canal ARCOP
Define el procedimiento para responder cuando un paciente solicite su ficha, pida correcciones o quiera saber qué datos guardas. Tienes 30 días corridos para responder.
5
Prepara tu plan ante brechas
Si se filtran fichas clínicas, debes notificar a la APDP dentro de 72 horas y a los pacientes afectados sin dilación. Ten el protocolo escrito y probado antes de que ocurra.

Genera los documentos que tu clínicas y centros médicos necesita

Sin registro · Sin pago · Listo en minutos

Generar Gratis

Multas y sanciones para Clínicas y Centros Médicos

La Ley 21.719 establece tres niveles de infracción: leve (hasta 5.000 UTM ≈ $370M CLP), grave (hasta 10.000 UTM ≈ $740M CLP) y gravísima (hasta 20.000 UTM ≈ $1.480M CLP).

💸

Una clínica que filtra fichas clínicas de pacientes por un sistema con contraseñas débiles puede recibir una multa de hasta 5.000 UTM (~$370M CLP) por infracción grave al deber de seguridad en datos sensibles.

Preguntas frecuentes sobre privacidad para clínicas y centros médicos

¿La ficha clínica electrónica está sujeta a la Ley 21.719?

Sí. Las fichas clínicas contienen datos de salud, que son datos sensibles bajo el artículo 2° de la Ley 21.719. Esto significa que su tratamiento exige consentimiento expreso del paciente o una base legal específica, medidas de seguridad reforzadas y plazos de conservación claros.

¿Puedo compartir datos de mis pacientes con otros especialistas o laboratorios?

Solo con el consentimiento del paciente o cuando sea estrictamente necesario para la continuidad del tratamiento médico (base legal de ejecución de contrato o protección de interés vital). Debe quedar registrado en el Registro de Actividades de Tratamiento (RAT) quién recibe los datos y con qué finalidad.

¿Cuánto tiempo debo conservar las fichas clínicas?

La Ley 19.628 y el Reglamento de Fichas Clínicas (DS N°41) establece un mínimo de 15 años para fichas de adultos y hasta los 25 años para menores. La Ley 21.719 exige que este plazo quede documentado en tu política de privacidad y en el RAT.

¿Qué debo hacer si un paciente solicita eliminar sus datos de salud?

Debes tramitar la solicitud de supresión dentro de 30 días corridos (Art. 11 Ley 21.719). Sin embargo, puedes denegar la eliminación si existe una obligación legal de conservar los datos (como los 15 años de ficha clínica). En ese caso, debes informar al paciente por escrito indicando el fundamento legal.

Más recursos útiles

Industrias relacionadas

Consultorios Dentales Consultorios Médicos y Psicológicos Psicólogos, Terapeutas y Profesionales de Salud Mental

Herramientas para tu clínicas y centros médicos

Política de Privacidad Registro de Tratamiento (RAT)Protocolo de Brechas Protocolo ARCOP

Lee más sobre la ley

📖 ¿Qué es la Ley 21.719?💰 Multas Ley de Datos Personales

Gestión ARCOP

¿Ya tienes el buzón de solicitudes ARCOP?

Cuando la ley entre en vigor, tus clientes podrán exigir sus derechos por escrito. Necesitas un sistema para recibirlas, gestionarlas y responder a tiempo.

Ver el gestor ARCOP →

Clínicas y Centros Médicos

Cumple la Ley 21.719 antes de que entre en vigor

Genera todos tus documentos gratis, sin registro, en minutos. Sin letra chica, sin pago.

Generar Política de Privacidad Gratis Hacer diagnóstico