/ El fin de una era: los datos de salud como foco de la discusión

La protección de datos de salud antes de la Ley N° 21.719

Uno de los sectores donde más se ha intensificado la necesidad de resguardar los derechos de los titulares de datos —debido a la especial sensibilidad de la información que maneja— es el sector salud. Si bien la Ley N° 19.628 de 1999 establecía un marco general de protección, la normativa sanitaria específica —como el Código Sanitario, la Ley N° 20.584 sobre Derechos y Deberes del Paciente y el DFL N° 1 de Salud— requería de un complemento que permitiera ampliar la protección de los datos relativos a la salud hacia ámbitos que trascienden lo estrictamente sectorial. Esa función vino a cumplirla la Ley N° 21.719, que fortalece y expande las garantías en torno al tratamiento de datos personales vinculados a la salud.

Un cambio estructural en el tratamiento de datos sensibles

La entrada en vigencia de la Ley N° 21.719 marca un punto de inflexión en el tratamiento de datos sensibles. El uso de información relativa a la salud ahora exige una justificación clara, vinculada a propósitos legítimos y proporcionales, lo que obliga a revisar prácticas extendidas en múltiples sectores. La lógica cambia: ya no se trata solo de contar con un consentimiento, sino de asegurar que cada procesamiento responda a una necesidad concreta y esté debidamente fundamentado.

Esto se debe a que la Ley N° 21.719 introduce principios que en Europa son moneda corriente, pero que en Chile exigirán reingenierías profundas en los procesos de las entidades responsables de datos. La licitud del tratamiento de datos sensibles (artículos 16 y 16 bis) ya no descansa únicamente en un consentimiento escrito, sino que exige finalidades específicas y explícitas. Esto se alinea con la regulación sectorial existente, como el artículo 134 bis del DFL N° 1 de Salud, que prohíbe la venta o cesión de bases de datos de pacientes, salvo para otorgar beneficios de salud.

La diferencia crucial con el modelo anterior radica en la intensidad del consentimiento y las excepciones. Al igual que en el Reglamento General de Protección de Datos, el tratamiento de datos de salud sin consentimiento se restringe a causales taxativas, donde cualquier uso secundario distinto de aquel establecido por la ley —como podría ser el perfilamiento para seguros o scoring crediticio— queda virtualmente vedado sin una autorización libre, específica e informada, la cual es esencialmente revocable.

Un impacto transversal más allá del sector salud

El impacto de esta nueva arquitectura legal es un desafío transversal que trasciende a los prestadores de salud como sujetos obligados. Es posible identificar diversos sectores que históricamente han manejado datos de salud como insumos operativos de mucha relevancia y que ahora enfrentarán obligaciones de cumplimiento regulatorio elevadas.
A modo meramente ejemplar: la industria de aseguradoras y bancos, en lo referente a evaluación de riesgos y liquidación de siniestros; el sector de la construcción y el productivo, con el manejo de exámenes preocupacionales y ocupacionales, diagnósticos médicos y exposición al riesgo de enfermedades; y, por cierto, el sector de salud y tecnología, para cumplir con estándares de interoperabilidad, seguridad y prestaciones de salud a distancia.

Para concluir, la entrada en vigencia de la Ley N° 21.719, sumada al alto estándar regulatorio, nos sitúa en un escenario donde el dato de salud puede convertirse en el activo más complejo si se gestiona mal, y el más valioso si se protege bien. Será fundamental para las organizaciones ofrecer garantías suficientes para su posicionamiento en mercados competitivos como los indicados más arriba y ofrecer un estándar que permita evitar daños reputacionales y/o económicos relevantes.