Dos leyes chilenas regulan cómo un centro de salud o de terapias debe manejar la información de sus pacientes. La primera, la Ley 20.584, vigente desde 2012, establece los derechos del paciente sobre su atención y su ficha clínica. La segunda, la Ley 21.719, publicada en diciembre de 2024, reemplaza íntegramente a la antigua Ley 19.628 de protección de datos — y entra en plena vigencia el 1 de diciembre de 2026.
Faltan pocos meses. Este artículo resume qué exige cada ley, cómo se conectan, qué obligaciones concretas genera para un centro de terapias y qué pasos prácticos tomar antes de la entrada en vigencia.
Las dos leyes que tienes que conocer
| Ley | Qué regula | Vigencia | Multas máximas |
|---|---|---|---|
| Ley 20.584 | Derechos del paciente en la atención de salud (ficha clínica, consentimiento, información) | Desde 2012 | Sanciones administrativas vía Superintendencia de Salud |
| Ley 21.719 | Protección de datos personales. Crea la Agencia de Protección de Datos (APDP) | Desde el 1 de diciembre de 2026 | Hasta 20.000 UTM (~$1.500 millones) para infracciones gravísimas |
Ambas aplican en paralelo. La 20.584 da derechos clínicos; la 21.719 da derechos sobre los datos personales.
Ley 20.584 — Derechos del paciente
Promulgada en 2012, la Ley 20.584 establece el marco legal entre pacientes y prestadores de salud en Chile, incluyendo centros de terapias.
Derechos clave para un centro de terapias
- Derecho a la información. Información suficiente, oportuna, veraz y comprensible.
- Derecho al consentimiento informado. Toda intervención requiere consentimiento expreso. Aplica a primera sesión, intervenciones específicas y modalidad (presencial vs telesalud).
- Derecho a la ficha clínica. El paciente puede solicitar copia íntegra. Mínimo 15 años de conservación desde el último ingreso.
- Derecho a la privacidad y confidencialidad. La información no se comparte con terceros sin autorización expresa, salvo excepciones legales.
Qué debe contener la ficha clínica (DS 41)
- Identificación completa del paciente
- Registro cronológico y fechado de atenciones
- Decisiones diagnósticas y terapéuticas
- Consentimientos informados firmados
- Resultados de evaluaciones y procedimientos
- Prescripciones o recomendaciones
Plazo para entregar copia
5 días hábiles desde la solicitud formal. Se puede cobrar un costo razonable de reproducción; no se puede negar el acceso.
Ley 21.719 — La nueva Ley de Protección de Datos
Publicada el 13 de diciembre de 2024, la Ley 21.719 reforma íntegramente la Ley 19.628 de 1999. Alinea a Chile con estándares internacionales (GDPR europeo).
Fecha clave: vigencia plena el 1 de diciembre de 2026. A abril de 2026, quedan 8 meses.
Qué cambia respecto a la Ley 19.628
| Tema | Ley 19.628 (anterior) | Ley 21.719 (nueva) |
|---|---|---|
| Regulador | Sin agencia dedicada | Agencia de Protección de Datos Personales (APDP), autónoma |
| Base de licitud | Consentimiento amplio e impreciso | Consentimiento libre, específico, informado e inequívoco (o contratos, obligación legal, interés vital, interés legítimo) |
| Derechos del titular | ARCO | ARCOP — agrega portabilidad |
| Datos sensibles | Protección limitada | Consentimiento expreso + régimen reforzado para datos de salud |
| Seguridad | Genérica | Medidas técnicas/organizativas exigibles, notificación de brechas en 72 h |
| Sanciones | Escasas | Hasta 20.000 UTM (~$1.500 millones) |
Los datos de un centro de terapias son "sensibles"
La Ley 21.719 define como datos sensibles los de salud física o mental. Toda la información de un centro de terapias cae en esta categoría.
Obligaciones reforzadas:
- Consentimiento expreso. Específico, explícito y documentable para tratamiento de datos de salud.
- Finalidad específica. No usar los datos para fines distintos a los que motivaron el consentimiento.
- Minimización. Solo recolectar lo necesario.
- Seguridad reforzada. Cifrado, control de acceso, auditoría, respaldo.
Derechos ARCOP
- Acceso. Qué datos tienes, para qué, con quién los compartes.
- Rectificación. Corregir datos inexactos.
- Cancelación (supresión). Eliminar cuando ya no son necesarios.
- Oposición. Oponerse al tratamiento con fundamento.
- Portabilidad. Recibir los datos en formato estructurado y transferirlos.
El centro tiene 30 días hábiles para responder (prorrogables 30 más en casos complejos).
Obligaciones concretas para un centro
- Registro de actividades de tratamiento. Qué datos, con qué base legal, por cuánto tiempo, con quién se comparten.
- Consentimiento documentable. Guardar evidencia por cada paciente.
- Protocolo de seguridad. Documento escrito con medidas técnicas y organizativas.
- Notificación de incidentes. Brechas → APDP en 72 horas + titular cuando corresponda.
- Encargado de Protección de Datos (DPO). Obligatorio para procesamiento de datos sensibles a gran escala.
- Evaluación de Impacto (DPIA). Para tratamientos de alto riesgo (ej. perfilado con IA).
- Cláusulas con proveedores. Todo tercero que procese datos en tu nombre requiere contrato de encargo.
Sanciones
- Leves: hasta 5.000 UTM (~$380M)
- Graves: hasta 10.000 UTM (~$750M)
- Gravísimas: hasta 20.000 UTM (~$1.500M)
No cumplir ARCOP reiteradamente, tratar datos sensibles sin consentimiento adecuado o no notificar brecha en 72 h son infracciones gravísimas.
Cómo se cruzan ambas leyes
- "Envíame copia de mi ficha" activa ambas. Plazo menor: 5 días hábiles (Ley 20.584).
- "Elimina mis datos" aplica 21.719, pero choca con 20.584 (conservar 15 años). Solución: conservar lo mínimo legal, eliminar lo demás.
- Consentimiento para tratamiento terapéutico (20.584) no sustituye consentimiento para tratamiento de datos (21.719). Son dos distintos.
Menores de edad y apoderados
- Menores de 14 años. Padres o tutores ejercen los derechos.
- Entre 14 y 18. Capacidad progresiva: puede ser oído, puede pedir privacidad frente a padres con fundamento clínico.
- Padres separados. Ambos con derechos salvo resolución judicial en contrario.
- Protección reforzada. Consentimiento específico del representante legal + lenguaje comprensible para la edad del titular cuando aplique.
Para centros infantiles: portal del paciente con control de acceso por tutor (no "un portal con una contraseña"), consentimiento firmado y archivado por cada apoderado.
Errores comunes
Del lado del centro
- Cláusulas genéricas de "acepto el tratamiento de mis datos" — insuficientes bajo 21.719.
- No diferenciar notas clínicas privadas de reportes compartibles.
- Sin proceso formal para solicitudes ARCOP — llega un email y la secretaria no sabe qué hacer.
- Sin contrato de encargo con el software de gestión.
- Respaldos sin cifrado.
- WhatsApp o email común como canal para fichas clínicas.
Del lado del paciente
- Solicitar "las notas del terapeuta" sin distinguir privadas de compartibles.
- No formalizar la solicitud (WhatsApp no inicia plazos legales).
- Asumir transferencia automática entre centros.
Checklist hacia diciembre de 2026
- Inventariar los datos que tratas (qué, dónde, quién accede, cuánto tiempo, con quién se comparten)
- Revisar consentimientos — rediseñar para que sean específicos por finalidad
- Firmar contratos de encargo con proveedores
- Medidas de seguridad técnicas — cifrado, 2FA, respaldos cifrados, acceso por rol
- Capacitar al equipo — reglas básicas de manejo de datos sensibles
- Procedimiento ARCOP — plantilla de respuesta, flujo interno, plazo objetivo
- Procedimiento de respuesta ante brechas (primeras 24 h)
- Evaluar si necesitas DPO
- Revisar canales de comunicación (WhatsApp/email para data sensible)
- Registrar base legal y plazo de conservación por tipo de dato
Cómo un centro moderno facilita el cumplimiento
Un sistema de gestión bien diseñado reduce drásticamente el esfuerzo:
- Ficha digital con registro cronológico y conservación automática por 15 años
- Distinción entre notas privadas y reportes compartibles
- Portal con control granular de acceso por tutor
- Registro de consentimientos con fecha, versión, modalidad
- Auditoría de acceso — clave ante investigación de la APDP
- Export en formato estructurado para acceso y portabilidad
- Cifrado en tránsito y en reposo
- Cláusulas de encargo formales con el proveedor
Preguntas frecuentes
¿La Ley 21.719 ya está vigente?
Publicada en dic 2024, vigente el 1 de diciembre de 2026. Hasta entonces aplica la Ley 19.628.
¿Necesito un DPO para mi centro?
Obligatorio cuando se procesan datos sensibles a gran escala. Un centro con miles de pacientes y varias sucursales razonablemente debería contar con uno (interno o externo).
¿Qué pasa si un paciente me pide eliminar su ficha?
La ficha debe conservarse 15 años (Ley 20.584). Puedes eliminar datos que excedan lo estrictamente necesario (ej. datos de marketing).
¿Puedo seguir usando WhatsApp para confirmar citas?
Sí para recordatorios y coordinación. No para informes clínicos, fichas o resultados de evaluaciones.
¿Mi proveedor de software es responsable si hay una brecha?
Ambos en distintos niveles. Tu centro es el responsable, el proveedor es el encargado. El contrato de encargo define responsabilidades.
¿Qué multa podría aplicarse a un centro chico?
Proporcional al tamaño y gravedad. No se recibe 20.000 UTM automáticamente, pero multas de varios millones por infracciones graves repetidas son posibles.
¿Dónde se reclaman los derechos ARCOP?
Primero al centro directamente (30 días hábiles). Si no responde o responde sin fundamento, ante la Agencia de Protección de Datos Personales (APDP) o vía judicial.
Conclusión
Cumplir con la Ley 20.584 fue siempre una obligación operativa: mantener fichas, entregar copias, cuidar la confidencialidad. La Ley 21.719 eleva el estándar: cada paciente es titular de derechos adicionales y cada centro responsable de demostrar base legal, seguridad y transparencia.
Ocho meses antes de la entrada en vigencia es el momento de empezar. Los centros que se adelanten van a tener menos sorpresas en diciembre de 2026 y un argumento comercial adicional.
Sigue leyendo
- Software de gestión para centros de terapias: guía completa 2026 — qué buscar en un sistema que cumpla con las leyes 20.584 y 21.719.
- Roles y permisos en un centro de terapias — base operativa de la seguridad de datos clínicos.
- Portal del paciente para centros de terapias — cómo dar acceso al paciente sin abrir filtraciones.
Lexa es un sistema de gestión integral para centros de terapias en Chile. Implementa ficha clínica digital, portal del paciente con control de acceso, registro de consentimientos, export de datos y cifrado por diseño — alineado con las Leyes 20.584 y 21.719. Conoce más en lexaterapias.com.