Ad portas del Día Internacional de la Protección de Datos Personales (28 de enero), la Ley 21.719 vuelve al centro de la conversación en Chile: moderniza el marco de protección de datos tras décadas y entra en plena vigencia en 2026, elevando obligaciones para cualquier organización que trate datos personales, especialmente datos sensibles como los de salud.
Para CIO, CISO y líderes TI en clínicas, hospitales y redes asistenciales, el desafío es doble. Por un lado, la adopción de IA en salud (analítica avanzada, modelos predictivos, automatización y GenAI) exige mayor disponibilidad y calidad de datos. Por otro, la continuidad operacional y la confianza del paciente dependen de asegurar privacidad, trazabilidad y ciberresiliencia en todo el ciclo de vida del dato y del modelo.
La urgencia no es teórica. En diciembre de 2025 se reportó un incidente de ransomware con exfiltración de información clínica en un prestador relevante del país, que motivó oficios y seguimiento de autoridades de consumo. Más allá del caso puntual, es un recordatorio de que el riesgo operativo y reputacional ya está materializado en el sector.
Qué cambia con la Ley de Protección de Datos Personales (y por qué impacta a la IA)
La nueva normativa incorpora principios, bases de legitimación del tratamiento y derechos del titular que obligan a rediseñar prácticas internas, contratos con terceros y controles técnicos. En un contexto de IA, esto se traduce en preguntas concretas para equipos TI y de datos: ¿tenemos fundamento legal para entrenar y operar modelos con datos clínicos? ¿podemos demostrar minimización, finalidad y seguridad? ¿cómo respondemos solicitudes de acceso, rectificación o supresión cuando los datos están en pipelines y repositorios de entrenamiento?
A nivel de exigencias, un enfoque práctico para salud parte por mapear los componentes más relevantes que suelen tensionarse con proyectos de IA:
- Principios y legitimación del tratamiento: revisar finalidad, proporcionalidad y la base que habilita el uso de datos, incluyendo flujos con proveedores y encargados.
- Derechos ARCO: preparar procesos y evidencias para responder solicitudes de acceso, rectificación, cancelación/supresión y oposición cuando corresponda.
- Medidas de seguridad y registro: fortalecer controles y trazabilidad (qué datos se tratan, para qué, quién accede, dónde se almacenan y por cuánto tiempo), con registros que resistan auditoría.
- Sanciones y fiscalización: la evaluación de brechas debe considerar el escenario sancionatorio y el período de transición hacia 2026.
En paralelo, la conversación de privacidad no puede separarse de la ciberseguridad. El propio marco de diagnóstico normativo suele abordarse junto al Marco Nacional de Ciberseguridad Ley 21.459 y Ley 21.663, incluyendo gobernanza, notificación de incidentes y continuidad, especialmente si la institución califica como operador esencial o infraestructura crítica.
Ley 21.719 en salud: una agenda ejecutiva de preparación para 2026
Para tomadores de decisión, el objetivo no es “cumplir por cumplir”. Es reducir exposición a incidentes, evitar fricción en auditorías, y habilitar adopción de IA con controles proporcionales al riesgo clínico. Una hoja de ruta realista suele comenzar por tres frentes:
1) Gobernanza y responsabilidades (dueños del dato y del riesgo)
Definir responsables del tratamiento, dueños de procesos y contrapartes técnicas; formalizar reglas de uso de datos para analítica e IA; y establecer criterios de autorización, retención y segregación (producción, analítica, entrenamiento).
2) Inventario y trazabilidad de datos (base para IA y para auditoría)
Construir/actualizar el inventario de datos personales y sensibles, sus sistemas de origen (HIS/EMR/LIS/PACS), integraciones, repositorios analíticos y accesos. Sin trazabilidad, el cumplimiento y la respuesta a incidentes se vuelven reactivos.
3) Controles técnicos y operacionales (seguridad “por diseño”)
En salud, la continuidad es crítica. Por eso, la preparación efectiva se apoya en controles evaluables, evidencia y priorización. Un enfoque habitual combina marcos como CIS Controls e ISO 27001, más el mapeo normativo, para identificar brechas accionables y riesgos priorizados.
Cómo avanzar sin frenar la adopción de IA
En IA360 vemos que los proyectos se aceleran cuando la organización instala un mecanismo rápido de diagnóstico y priorización, que entregue visibilidad ejecutiva y un plan de mejora con hitos. En la práctica, un proceso de evaluación de cumplimiento y postura de seguridad puede estructurarse como:
- Levantamiento y evidencia: entrevistas con actores clave y revisión documental para entender la operación real (no solo lo declarado).
- Medición de madurez y brechas: evaluación por control/requisito, con matriz de riesgos y validaciones intermedias.
- Entregables accionables para comité ejecutivo: informe ejecutivo, matriz GAP y un plan priorizado con quick wins (≤3 meses) y líneas de trabajo a 6–12 y >12 meses.
Este tipo de evaluación es especialmente útil cuando la organización está desplegando IA en procesos clínicos u operacionales: permite alinear privacidad, seguridad y continuidad con una hoja de ruta que habilite el escalamiento sin aumentar exposición.
El momento de actuar es ahora
La fecha del 28 de enero es un punto de inflexión para revisar decisiones que muchas veces se postergan: gobierno de datos, seguridad, trazabilidad y contratos con terceros. Con la entrada en vigencia en 2026, el margen de maniobra se reduce y los incidentes en el sector confirman que el riesgo es actual.
Si tu institución está planificando o escalando IA en salud, en IA360 podemos apoyar con una evaluación de cumplimiento normativo a la Ley 21.719, orientada a brechas y plan de acción priorizado. Para coordinar una conversación técnica, puedes contactarnos y agendar una reunión de diagnóstico inicial.
Contacto:
Correo: contacto@ia360.cl
+56 9 3014 2328
Fuentes
- Biblioteca del Congreso Nacional de Chile. (s. f.). Ley N° 21.719: Regula la protección y el tratamiento de los datos personales y crea la Agencia de Protección de Datos Personales. Ley Chile.
- Biblioteca del Congreso Nacional de Chile. (s. f.). Descripción y síntesis de la Ley N° 21.719, que regula la protección y el tratamiento de los datos personales y crea la Agencia de Protección de Datos Personales [Informe].
- Consejo de Europa. (s. f.). 28 January – Data Protection Day. Council of Europe.
- Gobierno Digital (Chile). (s. f.). Guía práctica para facilitar la implementación de la nueva Ley de Protección de Datos Personales. WikiGuías Digital.
- Servicio Nacional del Consumidor (SERNAC). (2025). SERNAC oficia a prestador de salud tras incidente de ciberseguridad: se habría comprometido datos personales y sensibles de pacientes [Comunicado].
