Protección de Datos de Pacientes

Protección de Datos de Pacientes — Ley 21.719 — KLG Technology

Industria Salud · KLG Technology

Los datos de salud son la categoría más protegida por la Ley 21.719: dato sensible de máximo nivel, tratamiento solo con consentimiento explícito, DPO obligatorio para prestadores que los traten a gran escala y DPIA requerida para todo nuevo sistema clínico. KLG implementa el cumplimiento completo antes de la vigencia plena de diciembre 2026.

🔒 Dato sensible · máx. protección

👤 DPO obligatorio · Art. 50°

🔍 DPIA para HIS/EMR · Art. 14 quater

⏳ Vigencia dic. 2026

dic. 2026

Vigencia plena Ley 21.719

72 h

Notificación de brechas a la APDP

20K UTM

Multa máx. infracción gravísima

Dato sensible de máxima protección

Por qué los datos de salud son la categoría más exigente de la Ley 21.719

La Ley 21.719 define los datos de salud, historial clínico, diagnósticos, tratamientos y datos genéticos como datos sensibles: la categoría que recibe el nivel más alto de protección. Tratarlos requiere consentimiento explícito del paciente o una base legal específica. No basta la necesidad médica: debe existir una base legal documentada por cada tratamiento.

Esto aplica a todos los prestadores de salud: hospitales, clínicas, centros médicos, laboratorios, farmacias y plataformas de telemedicina. La entrada en vigor es en diciembre 2026, pero la implementación completa requiere entre 6 y 18 meses según la complejidad del prestador.

DPO obligatorio si el tratamiento de datos de salud es masivo o sistemático
DPIA requerida para HIS, EMR, RIS, PACS, laboratorio y telemedicina
Canal ARCO operativo: 30 días hábiles para responder a solicitudes de pacientes
RAT con todos los tratamientos de datos clínicos documentados
Notificación a la APDP si brecha afecta datos de salud (72 h referencia)
Sanciones hasta 20.000 UTM por infracción gravísima

Ley 21.719 · Obligaciones clave en salud

Lo que la ley exige a todo prestador que trate datos de salud

👤

DPO obligatorio — Art. 50°

Los prestadores que traten datos de salud a gran escala deben designar un Delegado de Protección de Datos. Los hospitales y clínicas cumplen este umbral por su naturaleza operacional.

🔍

DPIA previa — Art. 14 quater

Evaluación de Impacto obligatoria antes de implementar cualquier sistema HIS, EMR, RIS, PACS o plataforma de telemedicina que procese datos de salud a gran escala.

📋

RAT — Registro de tratamientos

Inventario completo de todos los tratamientos de datos de salud: finalidad, base legal, destinatarios, plazos de retención y medidas de seguridad por cada tratamiento.

⚡

Notificación de brechas — 72 h

Si una brecha de seguridad afecta datos de salud, se notifica a la APDP sin dilación injustificada (referencia 72 h) y a los pacientes si el riesgo es alto.

Servicios de protección de datos clínicos

Seis capacidades para cumplir la Ley 21.719 en el sector salud

👤

DPO as a Service para salud

Delegado de Protección de Datos externo con especialización en datos de salud: designación formal, notificación a la APDP, gestión del canal ARCO y contraparte ante el regulador.

Designación formal y notificación a la APDP
Gestión del canal ARCO de pacientes
Contraparte ante la APDP en fiscalizaciones
Coordinación con CISO en brechas

DPOAPDP

📋

RAT clínico

Elaboración del Registro de Actividades de Tratamiento completo para todos los sistemas que procesan datos de salud: HIS, EMR, RIS, PACS, laboratorio, farmacia y telemedicina.

Inventario de todos los tratamientos clínicos
Base legal documentada por tratamiento
Plazos de retención alineados a Ley 20.584
Actualización ante nuevos sistemas

RATTratamientos

🔍

DPIA para sistemas clínicos

Ejecución de la Evaluación de Impacto para HIS, EMR, RIS, PACS y plataformas de telemedicina, con opinión formal del DPO y coordinación con la APDP cuando el riesgo residual es alto.

DPIA para cada sistema clínico nuevo
Matriz de riesgos sobre datos de pacientes
Opinión DPO documentada
Consulta previa APDP si riesgo alto

DPIAAlto riesgo

👥

Canal ARCO para pacientes

Implementación del canal de atención a solicitudes de Acceso, Rectificación, Cancelación, Oposición y Portabilidad de datos de salud, con respuesta garantizada en 30 días hábiles.

Canal web/presencial operativo
Proceso de respuesta en 30 días hábiles
Bloqueo temporal en 2 días hábiles
Registro de cada solicitud y respuesta

ARCO30 días

⚠️

Notificación de brechas APDP

Protocolo de notificación a la APDP (72 h referencia) cuando una brecha de seguridad afecta datos de salud, coordinado con la notificación al CSIRT (Ley 21.663) en 3 horas.

Evaluación de riesgo sobre datos de pacientes
Notificación APDP sin dilación injustificada
Comunicación a pacientes si riesgo alto
Coordinación dual CSIRT + APDP

72 h APDPBrechas

📝

Políticas de privacidad clínica

Actualización de políticas de privacidad y formularios de consentimiento para tratamiento de datos de salud, contratos con proveedores (encargados del tratamiento) y revisión de cláusulas en convenios con otros prestadores.

Políticas de privacidad Ley 21.719
Formularios de consentimiento por tratamiento
Cláusulas de protección en contratos
Acuerdos con prestadores interoperables

PrivacidadConsentimiento

Respaldo técnico

ISO/IEC 27001 certificado. DPO con especialidad en datos de salud.

KLG Technology cuenta con certificación ISO/IEC 27001 acreditada por AENOR e IQNet. El DPO as a Service opera bajo los mismos procesos certificados, garantizando que el tratamiento de la información clínica del cliente cumple estándares auditados de seguridad y privacidad.

ISO/IEC 27001

✓ Certificado · AENOR · IQNet

Ley 21.719

Datos sensibles salud

ISO/IEC 27701

Privacidad · Marco referencia

GDPR

Referencia comparativa

¿Por qué KLG Technology?

DPO y CISO coordinados para el sector salud

Especialidad en datos de salud

Los datos de salud tienen el nivel más exigente de la Ley 21.719. El DPO de KLG conoce las especificidades del sector: ficha clínica, consentimiento en contexto clínico y DPIA para sistemas HIS.

DPO y CISO coordinados

Cuando un incidente compromete datos de pacientes, el DPO (APDP 72 h) y el CISO (CSIRT 3 h) de KLG actúan coordinadamente desde un solo equipo, sin doble gestión.

DPIA para sistemas clínicos

Ejecutamos las DPIA con conocimiento de los sistemas HIS, EMR y PACS del sector salud, evaluando los riesgos sobre datos de pacientes con el nivel de detalle que exige la APDP.

Preparación anticipada

La implementación completa requiere 6-18 meses. Comenzar hoy es la única forma de llegar a diciembre 2026 con cumplimiento demostrable ante la APDP.

Canal ARCO operativo

Implementamos y operamos el canal ARCO para solicitudes de pacientes, gestionando cada solicitud dentro del plazo legal de 30 días hábiles con registro auditado.

Certificación ISO/IEC 27001

Los procesos de gestión de datos del DPO están auditados bajo ISO/IEC 27001, garantizando la confidencialidad e integridad de la información del cliente gestionada por KLG.

Sector salud · Más recursos

Páginas relacionadas

Visión general

Ciberseguridad para el Sector Salud

Marco completo del sector salud: cuatro regulaciones y servicios KLG.

→

Protección de datos

DPO as a Service

RAT, DPIA, canal ARCO y contraparte ante la APDP para cualquier sector.

→

Marco legal

Ley 21.719 en Chile

Obligaciones, plazos, derechos ARCO y sanciones de la Ley de Protección de Datos.

→

¿Su prestador tiene DPO designado, RAT completo y DPIA para sus sistemas clínicos antes de diciembre 2026?

KLG diagnóstica la brecha de su prestador frente a la Ley 21.719 y propone el modelo de DPO as a Service más adecuado para su volumen y complejidad de tratamiento de datos de salud.

Solicitar diagnóstico →