Protección de datos en clínicas dentales

Una clínica dental no solo trata dientes, también trata datos

Cada vez que un paciente llega a tu clínica, te entrega mucho más que el cuidado su salud bucal: te entrega sus datos. Su nombre, su RUT, su número de teléfono, sus antecedentes médicos, su historial de tratamientos, sus radiografías y hasta sus datos de pago. Todo eso constituye información personal —buena parte de ella, información sensible de salud— y como tal, está protegida por la Ley 21.719 de Protección de Datos Personales de Chile.

Esta ley, con entrada en plena vigencia el 1 de diciembre de 2026, no solo aplica a grandes empresas tecnológicas o a bancos. Aplica a cualquier organización que trate datos personales en Chile, incluyendo a dentistas independientes y clínicas dentales de todo tamaño. Si tienes pacientes, tienes una obligación legal.

¿Qué datos tratan los dentistas?

En el ejercicio de la odontología se recopilan y procesan múltiples categorías de datos personales, muchos de ellos de carácter sensible:

• Datos de identificación: nombre completo, RUT, fecha de nacimiento.
• Datos de contacto: teléfono, correo electrónico.
• Datos de salud: ficha clínica, diagnósticos, historial de tratamientos, alergias, medicamentos, radiografías, fotografías clínicas.
• Datos económicos: presupuestos, pagos, convenios con seguros o Fonasa/Isapre.

La Ley 21.719 clasifica los datos de salud como datos sensibles, lo que implica obligaciones de protección reforzadas respecto a datos comunes. No basta con tenerlos guardados: hay que tratarlos con medidas adecuadas al riesgo que representan.

¿Qué exige la Ley 21.719 a tu clínica?

La ley establece un conjunto de obligaciones que toda organización que trate datos personales debe cumplir. Para una clínica dental, las más relevantes son:

1. Identificar todos los datos que tratas
El primer paso es saber exactamente qué datos tienes, dónde están, para qué los usas, quién los ve y cuánto tiempo los guardas. Esto se materializa en un Registro de Actividades de Tratamiento (RAT), un inventario interno de todos los tratamientos de datos que realiza tu clínica.

2. Analizar los riesgos
Los datos de salud son especialmente sensibles. Una filtración de fichas clínicas, un acceso no autorizado al software de gestión de pacientes o la pérdida de copias de seguridad son riesgos concretos que debes identificar y mitigar. La ley exige que adoptes medidas proporcionales al riesgo.

3. Informar a tus pacientes
Antes o al momento de recopilar datos, debes informar a tus pacientes: qué datos recopilas, para qué los usas, cuánto tiempo los conservas, quién más puede acceder a ellos y cómo pueden ejercer sus derechos. Esta información debe estar disponible de forma clara, en tus formularios de atención, en la sala de espera y en tu sitio web.

4. Gestionar los derechos ARCOP
La ley reconoce a los titulares de datos (tus pacientes) el derecho a Acceder, Rectificar, Cancelar, Oponerse y Portabilidad de sus datos. Tu clínica debe tener un mecanismo para recibir y responder estas solicitudes dentro de los plazos que establece la ley.

5. Controlar los plazos de conservación
¿Cuánto tiempo debes guardar una ficha clínica? Los registros clínicos tienen plazos de conservación mínimos establecidos por la normativa sanitaria vigente, que deben armonizarse con los criterios de la Ley 21.719: los datos no pueden conservarse más tiempo del necesario para el fin por el que fueron recopilados.

6. Formalizar contratos con proveedores que acceden a datos
¿Usas un software de agenda online? ¿Compartes radiografías con un laboratorio dental? ¿Tienes un sistema en la nube? Cuando un proveedor accede a datos de tus pacientes, la ley exige que exista un contrato que regule ese acceso y que garantice que el proveedor también cumple con las obligaciones de protección.

7. Capacitar a tu equipo
Recepcionistas, asistentes dentales y personal administrativo acceden a datos sensibles todos los días. El responsable del tratamiento tiene la obligación de adoptar medidas técnicas y organizativas adecuadas, y la capacitación del equipo es una de las más relevantes. Una cláusula de confidencialidad en el contrato de trabajo no es suficiente por sí sola: la formación continua es un elemento diferenciador y una demostración práctica de cumplimiento.

8. Realizar auditorías periódicas
La ley consagra el principio de responsabilidad proactiva: no basta con cumplir, hay que poder demostrarlo. Las auditorías periódicas —se recomienda al menos una vez al año— permiten verificar que los controles funcionan, que el registro de tratamientos está actualizado y que no han surgido nuevos riesgos.

Un punto que pocas clínicas consideran: ¿dónde están realmente tus datos?

Muchos software de gestión clínica almacenan los datos en servidores en la nube. Muchos de esos servidores están fuera de Chile — en Estados Unidos, en Europa o en América Latina. Si eso ocurre, la Ley 21.719 establece reglas específicas para las transferencias internacionales de datos personales, que debes cumplir independientemente de si el proveedor es conocido o no.

Pregúntale a tu proveedor de software: ¿dónde se almacenan los datos de mis pacientes? La respuesta te dirá si tienes obligaciones adicionales que cumplir.

¿Qué pasa si no cumples?

La Ley 21.719 establece un régimen sancionatorio que clasifica las infracciones en leves, graves y muy graves, con multas expresadas en UTM. El tratamiento indebido de datos sensibles de salud —como lo son los datos de tus pacientes— puede constituir una infracción.

Pero más allá de las multas, hay un riesgo que pocas organizaciones cuantifican adecuadamente: el daño reputacional. Una filtración de fichas clínicas, un acceso no autorizado o una denuncia de un paciente ante la Agencia de Protección de Datos Personales (APDP) puede afectar la confianza que tus pacientes depositan en tu clínica, y eso es muy difícil de recuperar.

Tus pacientes te confían su información de salud. La ley te obliga a protegerla. Y hacerlo bien es también una ventaja competitiva.

Por dónde empezar

La buena noticia es que no tienes que hacerlo todo de golpe. El proceso de adecuación tiene un punto de partida claro: saber qué datos tienes y qué haces con ellos. A partir de ahí, cada paso se vuelve más manejable.

Independientemente del tamaño de tu clínica —si eres dentista independiente o diriges una clínica con varios profesionales— la ley aplica igual. La diferencia está en la complejidad de los tratamientos que realizas, no en el hecho de que debas cumplir.

Diciembre de 2026 está más cerca de lo que parece. Adecuarse hoy significa tiempo suficiente para hacerlo bien, sin apuros y sin errores.