Seguridad de la Ficha Clínica

Seguridad de la Ficha Clínica — KLG Technology

Industria Salud · KLG Technology

La ficha clínica es el activo más sensible de cualquier prestador de salud: contiene datos que la ley clasifica expresamente como dato sensible, debe conservarse mínimo 15 años, y desde 2024 debe ser interoperable entre prestadores de forma segura. KLG implementa los controles técnicos y el marco regulatorio que la protegen.

📋 Dato sensible · Ley 21.719

⏳ Retención 15 años · Ley 20.584

🔄 Interoperabilidad · Ley 21.668

🛡 ISO/IEC 27001 Certificado

15 años

Retención mínima obligatoria de la ficha clínica

3 leyes

Ley 20.584 + 21.668 + 21.719 convergentes

dic. 2026

Vigencia Ley 21.719 — datos sensibles

El activo más sensible del sector salud

La ficha clínica: dato sensible, retención 15 años, interoperable y auditable

La ficha clínica concentra en un solo activo las tres obligaciones regulatorias más exigentes del sector salud: es dato sensible según la Ley 21.719 (requiere máxima protección y consentimiento explícito), debe conservarse 15 años en poder del prestador (Ley 20.584, Art. 13°) y desde 2024 debe ser interoperable entre prestadores públicos y privados de forma segura (Ley 21.668).

El prestador de salud es responsable de la reserva, confidencialidad, conservación y acceso oportuno de la ficha clínica durante todo el período de retención. Además, debe registrar quién accede, cuándo y con qué propósito, y ese registro debe ser auditable por la Superintendencia de Salud.

Solo pueden acceder los profesionales directamente involucrados en la atención del paciente
Toda transmisión de la ficha entre prestadores debe realizarse con cifrado en tránsito
El log de accesos debe identificar cada usuario, marca temporal y motivo del acceso
La interoperabilidad (Ley 21.668) no exime de los controles: los amplia a nuevos actores
Una brecha que afecte fichas clínicas activa simultáneamente CSIRT y APDP
Los sistemas de respaldo deben mantener la retención de 15 años completa

Tres leyes · Un solo activo

Qué exige cada ley sobre la ficha clínica

Ley 20.584

Art. 12° y 13°: Instrumento obligatorio. Retención mínima 15 años. El prestador responde por su reserva y confidencialidad durante todo el período.

Ley 21.719

Los datos de salud son dato sensible de máxima protección. Tratamiento solo con consentimiento explícito o base legal. DPIA obligatoria para sistemas HIS/EMR.

Ley 21.668

Desde 2024: la ficha debe ser interoperable entre prestadores públicos y privados. Reglamento técnico MINSAL: cifrado, MFA y registro de accesos en cada transmisión.

Ley 21.663

Un incidente que comprometa fichas clínicas es significativo por definición (Art. 27). Notificación al CSIRT en 3 horas y simultáneamente a la APDP si afecta datos personales.

Obligaciones del prestador

Seis obligaciones concretas sobre la ficha clínica

Cada obligación genera controles técnicos, procedimientos y registros específicos que KLG implementa y mantiene.

Art. 13° Ley 20.584

Retención mínima 15 años

El prestador debe conservar la ficha clínica por al menos 15 años desde la última atención, garantizando su integridad, confidencialidad y acceso oportuno durante todo el período.

15 años

Art. 13° · Registro de accesos

Log auditado de quién accede

Obligación de registrar cada acceso a la ficha clínica: usuario, timestamp, motivo y sistema desde el que accede. Auditable por Supersalud en cualquier momento.

Continuo

Ley 21.668 · 2024

Interoperabilidad segura

La ficha debe poder transmitirse entre prestadores con cifrado en tránsito, autenticación multifactor y registro de cada transmisión. El reglamento técnico del MINSAL define los estándares (HL7/FHIR).

Implementación 2025-26

Ley 21.719 · DPIA

DPIA para sistemas HIS/EMR

Todo sistema que procese fichas clínicas a gran escala requiere Evaluación de Impacto en Protección de Datos antes de implementarse. Aplica a HIS, EMR, RIS, PACS y plataformas de telemedicina.

Pre-implementación

Ley 21.719 · ARCO

Derechos del paciente sobre sus datos

El paciente puede solicitar acceso, rectificación, cancelación, oposición y portabilidad de sus datos de salud. El prestador tiene 30 días hábiles para responder y debe tener canal ARCO operativo.

30 días hábiles

Ley 21.663 · Art. 9°

Notificación de brechas en 3 horas

Una brecha que comprometa fichas clínicas es incidente significativo. Notificación al CSIRT en 3 horas y a la APDP sin dilación injustificada (referencia 72 h). Dos cadenas paralelas e inmediatas.

3 h CSIRT · 72 h APDP

Ley 21.668 · Mayo 2024

Interoperabilidad de la ficha clínica: nuevos requisitos de seguridad para todos los prestadores

La Ley 21.668 obliga a que la ficha clínica sea compartible entre prestadores públicos y privados. Esto amplia la superficie de exposición del dato clínico: más sistemas, más actores y más puntos de transmisión que deben protegerse con los mismos controles de confidencialidad que el sistema origen.

🔑

Cifrado en tránsito obligatorio

Toda transmisión de ficha clínica entre prestadores debe realizarse con cifrado. Los estándares HL7 FHIR con TLS/HTTPS son el protocolo de referencia del reglamento técnico MINSAL.

HL7 FHIR · TLS

👤

Control de acceso y autenticación

Solo profesionales directamente involucrados en la atención del paciente pueden acceder. MFA requerido para acceso desde sistemas externos al propio prestador.

MFA · RBAC

📊

Registro de cada transmisión

Cada envío o recepción de ficha clínica debe quedar registrado: prestador origen, prestador destino, profesional solicitante, paciente y timestamp. Auditable por Supersalud y MINSAL.

Log auditado

🔒

Confidencialidad en el destino

El prestador que recibe la ficha clínica adquiere las mismas responsabilidades de confidencialidad que el emisor. La cadena de custodia del dato sensible se extiende a todos los participantes.

Cadena de custodia

Controles técnicos

Cómo KLG protege la ficha clínica técnicamente

Cada control está diseñado para operar en entornos HIS, EMR, RIS y PACS sin interrumpir la operación clínica ni afectar la atención del paciente.

👤

Control de acceso basado en roles

Acceso a la ficha clínica restringido al rol y al paciente en atención activa. El médico de urgencias no puede acceder a fichas de pacientes que no están bajo su cuidado.

RBAC integrado con el HIS/EMR
MFA para acceso desde fuera de la red clínica
Revocación automática al cierre del episodio

📊

Log de auditoría de accesos

Registro inmutable de cada acceso: usuario, timestamp, paciente, sistema y acción realizada. Retención alineada a los 15 años de la Ley 20.584 y auditable por Supersalud.

Log centralizado e inmutable
Alertas ante accesos anómalos o masivos
Retención 15+ años garantizada

🔑

Cifrado en tránsito y en reposo

Las fichas clínicas se cifran en tránsito (TLS/HTTPS obligatorio) y en reposo en los servidores y sistemas de respaldo. Las claves son gestionadas por KLG con acceso controlado.

TLS 1.2+ para todas las transmisiones
Cifrado AES-256 en reposo
Gestión de claves segura y auditada

💾

Respaldo con retención 15 años

Estrategia de respaldo que garantiza la disponibilidad e integridad de la ficha clínica durante 15 años, con políticas de acceso a respaldos históricos y pruebas de recuperación documentadas.

Respaldo diario con retención extendida
Almacenamiento primario en Chile
Pruebas de recuperación documentadas

🔍

DPIA para sistemas clínicos

Evaluación de Impacto en Protección de Datos previa a la implementación de cualquier nuevo sistema que procese fichas clínicas, según exige la Ley 21.719 para tratamiento a gran escala de datos sensibles.

DPIA para HIS, EMR, RIS y PACS
Consulta previa a la APDP si riesgo alto
Registro del proceso y decisión

⚡

Protocolo de brecha dual

Si una brecha compromete fichas clínicas, se activan simultáneamente el protocolo CSIRT (3 h, Ley 21.663) y el protocolo APDP (72 h ref., Ley 21.719). KLG gestiona ambas cadenas desde un solo equipo.

CSIRT Nacional: alerta en 3 horas
APDP: notificación sin dilación injustificada
Informe a pacientes si riesgo alto

Metodología

Cómo implementamos la protección completa de la ficha clínica

Fase 1 · Diagnóstico

Mapeo de sistemas y flujos

Levantamiento de todos los sistemas que procesan fichas clínicas (HIS, EMR, RIS, PACS, laboratorio, telemedicina), flujos de datos entre prestadores y accesos actuales por rol. Brecha frente a las tres leyes.

→

Fase 2 · Controles

Implementación técnica

Control de acceso basado en roles, logs de auditoría centralizados, cifrado en tránsito y en reposo, sistema de respaldo con retención de 15 años y DPIA para cada sistema clínico.

→

Fase 3 · Cumplimiento

Marco legal y canal ARCO

Política de privacidad actualizada, RAT con los tratamientos de datos clínicos, canal ARCO operativo para solicitudes de pacientes, designación del DPO y notificación a la APDP.

→

Fase 4 · Operación

Monitoreo y respuesta continua

SOC 24×7 con protocolo de brecha dual activo, gestión del canal ARCO, monitoreo de accesos anómalos a fichas clínicas y preparación ante fiscalizaciones de Supersalud y la APDP.

Respaldo técnico

ISO/IEC 27001 certificado. Alineado a Ley 21.719 y MINSAL.

KLG Technology cuenta con certificación ISO/IEC 27001 acreditada por AENOR e IQNet. Los controles de protección de la ficha clínica operan bajo estos procesos certificados, con alineación al NIST SP 800-53 referenciado por el MINSAL y a la norma ISO/IEC 27701 para privacidad.

ISO/IEC 27001

✓ Certificado · AENOR · IQNet

NIST SP 800-53

Marco referencia MINSAL

ISO/IEC 27701

Privacidad · Datos sensibles

HL7 / FHIR

Interoperabilidad segura

¿Por qué KLG Technology?

Protección de la ficha clínica con dominio de las tres leyes

Dominio de Ley 20.584, 21.668 y 21.719

Las tres leyes que regulan la ficha clínica tienen requisitos distintos y se gestionan con reguladores diferentes (Supersalud, MINSAL, APDP). KLG las implementa como un proyecto único con evidencia coordinada.

Retención de 15 años gestionada

El sistema de respaldo de KLG incorpora la retención mínima de 15 años con políticas de acceso controlado, cifrado, integridad verificable y pruebas de recuperación de registros históricos.

DPIA para sistemas clínicos

Ejecutamos la Evaluación de Impacto obligatoria para HIS, EMR, RIS y PACS, con opinión formal del DPO y coordinación con la APDP cuando el riesgo residual lo requiere.

Log de accesos auditable por Supersalud

Implementamos el registro de accesos a la ficha clínica con el nivel de detalle que Supersalud exige en una fiscalización: usuario nominal, timestamp, paciente y motivo del acceso.

Protocolo de brecha dual activo

Cuando una brecha compromete fichas clínicas, el equipo de KLG activa simultáneamente el CSIRT (3 h) y la APDP (72 h ref.), coordinando ambas cadenas desde un solo punto de gestión.

Interoperabilidad Ley 21.668 preparada

Implementamos los controles de seguridad requeridos para la interoperabilidad de la ficha clínica (cifrado HL7/FHIR, MFA, logs de transmisión) antes de que el reglamento técnico del MINSAL entre en vigor.

Sector salud · Más recursos

Páginas relacionadas del sector salud

Visión general

Ciberseguridad para el Sector Salud

Marco completo: cuatro regulaciones del sector, amenazas específicas, servicios y capacidades de KLG para prestadores de salud.

→

Protección de datos

DPO as a Service

Delegado de Protección de Datos externo: RAT, DPIA, canal ARCO, notificación de brechas y contraparte ante la APDP.

→

Detección y respuesta

SOC / MDR 24×7

Monitoreo continuo de sistemas clínicos con protocolo de notificación al CSIRT en 3 horas y coordinación con la APDP ante brechas.

→

¿Puede su prestador demostrar hoy quién ha accedido a cada ficha clínica en los últimos 15 años y que esa información está íntegra y disponible?

KLG diagnostica el estado de la protección de la ficha clínica frente a las tres leyes aplicables e implementa los controles técnicos y regulatorios en un proyecto integrado.

Solicitar diagnóstico →