El sector salud trata de forma intensiva información altamente sensible, incluyendo antecedentes clínicos, diagnósticos, exámenes y datos biométricos. La digitalización de procesos asistenciales ha incrementado los riesgos asociados al tratamiento de datos personales.
La Ley 21.719 de Protección de Datos Personales impone obligaciones reforzadas a clínicas, hospitales, laboratorios, centros médicos y prestadores de salud, exigiendo un enfoque de responsabilidad proactiva y seguridad reforzada.
1. Particularidades del sector salud
- Tratamiento permanente de datos personales sensibles
- Historias clínicas electrónicas (HCE)
- Interoperabilidad entre sistemas clínicos
- Acceso múltiple por personal asistencial y administrativo
- Exigencias regulatorias y de confidencialidad médica
2. Tipos de datos personales tratados
- Datos identificatorios de pacientes
- Antecedentes médicos y diagnósticos
- Resultados de exámenes y estudios clínicos
- Datos biométricos
- Imágenes médicas y videovigilancia
Estos antecedentes califican como datos personales sensibles, activando exigencias legales y técnicas más estrictas.
3. Tratamiento de datos sensibles en salud
3.1 Historias clínicas electrónicas
Las HCE deben contar con controles de acceso, trazabilidad, autenticación fuerte y mecanismos de auditoría que permitan detectar accesos indebidos.
3.2 Sistemas biométricos
El uso de biometría para identificación de pacientes o control de acceso del personal requiere evaluación de proporcionalidad, base legal clara y medidas de seguridad reforzadas.
3.3 Videovigilancia en recintos de salud
El uso de CCTV debe limitarse a finalidades de seguridad, evitando afectar la dignidad y privacidad de pacientes y trabajadores.
4. Riesgos específicos según la Ley 21.719
- Accesos no autorizados a fichas clínicas
- Uso excesivo de biometría sin justificación
- Falta de información clara a pacientes
- Brechas de seguridad y filtraciones de datos
- Proveedores tecnológicos sin contratos adecuados
5. Principios clave aplicables al sector salud
- Licitud y finalidad específica
- Minimización de datos
- Seguridad y confidencialidad
- Responsabilidad proactiva (accountability)
- Respeto de los derechos del paciente
6. Pasos para implementar la Ley 21.719 en salud
6.1 Diagnóstico y mapeo de tratamientos
Identificar sistemas clínicos, flujos de información y accesos a datos personales y sensibles.
6.2 Gobernanza y roles
Definir responsables del tratamiento y designar un Delegado de Protección de Datos (DPO) cuando corresponda.
6.3 Evaluaciones de Impacto (EIPD)
Especialmente recomendadas para tratamientos masivos, interoperabilidad clínica y biometría.
6.4 Medidas técnicas y organizativas
- Control de accesos y perfiles clínicos
- Registro y monitoreo de accesos
- Capacitación al personal de salud
- Planes de respuesta ante incidentes
7. Consecuencias del incumplimiento
- Multas administrativas significativas
- Fiscalizaciones de la Agencia de Protección de Datos
- Demandas y reclamos de pacientes
- Daño reputacional institucional
8. Articulación con la implementación general de la Ley 21.719
Este análisis sectorial se integra con la implementación general de la Ley 21.719 en Chile , considerando las particularidades del ámbito sanitario.
🏥 ¿Su institución de salud cumple con la Ley 21.719?
En DPO Partners apoyamos a clínicas, hospitales y redes de salud en la implementación práctica de la protección de datos personales y seguridad de la información.
📧 contacto@dpopartners.cl
🌐 www.dpopartners.cl