Datos personales en salud: del cumplimiento formal a la gobernanza demostrable

La conversación abrió con una preocupación que apareció una y otra vez: la ley puede estar escrita, los procesos pueden documentarse y los sistemas pueden configurarse. Pero si las personas no entienden por qué importa, el cumplimiento se rompe en la operación diaria.

Paola Belan lo planteó desde una preocupación práctica: el cambio cultural puede ser más grande que el cambio normativo. La vacancia legal da tiempo, pero no necesariamente cambia hábitos. Y en Chile hay hábitos profundamente instalados: compartir claves, prestar computadores, revisar información porque “estoy en la pega”, usar herramientas no autorizadas o entregar datos personales sin pensar demasiado.

La frase es simple. Y justamente por eso es peligrosa.

La protección de datos no falla solamente por ataques sofisticados. También falla por normalización. Por el “da lo mismo”. Por el acceso compartido. Por la clave prestada. Por el dato que se conversa en voz alta. Por la planilla enviada sin revisar. Por la herramienta de inteligencia artificial usada fuera del entorno autorizado.

Andrés Parra llevó esa idea más lejos: en Chile existe una baja cultura de protección de los propios datos. Pedir el RUT en una farmacia o supermercado y decirlo en voz alta parece normal. Esa naturalidad se traslada después a la organización.

La primera barrera, entonces, no es técnica. Es cultural.

Uno de los consensos más claros fue que la nueva regulación cambia el lugar de la protección de datos dentro de la organización.

Antes podía verse como una preocupación del área legal, de compliance o de tecnología. Ahora eso queda corto. La protección de datos exige gobernanza: saber qué datos existen, dónde están, quién los usa, con qué finalidad, bajo qué base de licitud, durante cuánto tiempo, con qué proveedores y con qué evidencia.

Esto obliga a una pregunta incómoda: ¿quién lidera?

No basta con que el abogado redacte cláusulas. No basta con que TI configure accesos. No basta con que compliance tenga una política. En salud participan dirección médica, operaciones, tecnología, áreas clínicas, proveedores, equipos de producto, atención a pacientes y liderazgo ejecutivo.

La protección de datos cruza todo el modelo operativo.

Rodrigo Alvez agregó un punto crítico: si el liderazgo no entiende el peso del cumplimiento, la organización termina saltándose los procesos por presión interna.

La tensión es real. El negocio necesita velocidad. La operación necesita continuidad. Los equipos clínicos necesitan resolver. Pero la regulación exige trazabilidad, seguridad, proporcionalidad y control.

Cumplir no puede depender de la buena voluntad de los técnicos. Tiene que ser una decisión de dirección.

La conversación marcó un cambio de lenguaje importante: de cumplimiento documental a gobernanza demostrable.

No alcanza con tener políticas, consentimientos o contratos. Hay que probar que el tratamiento de datos tiene licitud, finalidad, seguridad, trazabilidad y proporcionalidad.

Ese estándar cambia la forma en que las organizaciones deben prepararse.

La pregunta ya no es: “¿tenemos una política de privacidad?”

La pregunta es: “¿podemos demostrar cómo se aplica esa política en cada proceso?”

Eso exige levantar procesos reales. No los procesos ideales. Los reales.

• Dónde entra el dato.
• Quién lo captura.
• Quién lo revisa.
• Quién lo comparte.
• Dónde se almacena.
• Qué proveedor participa.
• Qué contrato lo regula.
• Qué acceso queda registrado.
• Qué ocurre si el titular ejerce un derecho.
• Qué pasa con respaldos, auditorías y obligaciones legales.

La gobernanza demostrable es menos elegante que una política. Pero es más útil. Porque obliga a mirar la operación tal como funciona.

Para las startups de salud, el desafío tiene una forma distinta.

Patricio Araya explicó que muchas startups tienen presupuestos limitados y equipos pequeños. El dinero suele estar destinado a producto, ventas, marketing o crecimiento. Pero ahora una parte debe ir a compliance, definición de roles, documentación, asesoría legal, DPO, seguridad y revisión de procesos.

El problema no es solo económico. También es organizacional.

En empresas pequeñas, una misma persona puede estar a cargo de producto, ventas, operaciones y seguridad. Pero la protección de datos exige separar funciones, evitar conflictos de interés y asignar responsabilidades claras. Eso no siempre es fácil cuando el equipo es reducido.

Para startups que nacen hoy, el escenario es más claro: el estándar ya está sobre la mesa. Pueden diseñar producto, arquitectura, contratos y procesos con privacidad desde el inicio.

Para startups que ya están operando, la tarea es más dura. Tienen que adaptar una operación que probablemente fue diseñada para escalar rápido, no para documentar cada tratamiento de datos.

Rodrigo Alvez mostró la otra cara de esa presión. Para startups que ya trabajan con estándares internacionales, la regulación chilena puede convertirse en ventaja competitiva.

El mensaje es claro: la protección de datos no es solo costo. También puede ser diferenciación.

En salud digital, cumplir bien abre mercados. Permite vender a organizaciones más exigentes. Reduce fricción comercial. Genera confianza. Y prepara a las empresas para competir fuera de Chile.

Una organización puede tener políticas internas robustas y aun así quedar expuesta por su cadena de proveedores.

Paola Belan planteó uno de los problemas más concretos de la conversación: lograr que los proveedores acepten cláusulas de protección de datos antes de que la ley esté completamente vigente. Para muchas contrapartes, el plazo parece lejano. Para quien debe renegociar contratos, revisar tratamientos y documentar responsabilidades, el plazo es inmediato.

En salud, los proveedores pueden tener acceso a datos de pacientes, sistemas clínicos, plataformas, soporte técnico, servicios logísticos, insumos o infraestructura tecnológica. Eso obliga a definir con precisión si actúan como encargados, qué datos tratan, para qué finalidad, bajo qué medidas de seguridad y con qué obligaciones contractuales.

Paola resumió el problema con una mirada muy práctica:

La documentación no es burocracia. Es evidencia.

Y la evidencia será central cuando la pregunta ya no sea “¿cumplió?”, sino “¿cómo puede probar que cumplió?”

Patricio Sobarzo puso sobre la mesa una realidad incómoda: el sector salud no es homogéneo.

Dentro de un mismo rubro conviven organizaciones grandes, con estructuras internacionales, gobernanza global, equipos especializados y sistemas robustos; y organizaciones pequeñas que todavía operan con niveles muy básicos de digitalización.

La ley aplica a todos. Pero la capacidad de implementación no es igual para todos.

Ese punto será clave. Porque el estándar regulatorio puede empujar mejoras, pero también exponer brechas estructurales: falta de recursos, falta de tecnología, falta de equipos especializados, falta de madurez en proveedores y falta de cultura organizacional.

El cumplimiento no ocurrirá de manera pareja. Habrá aprendizaje, errores y probablemente casos emblemáticos.

Sobarzo lo planteó sin dramatismo, pero con realismo: los procesos se aprenden viviéndolos. La ley empuja. La organización se adapta. El ecosistema madura. Pero no todo estará resuelto desde el primer día.

Uno de los momentos más relevantes de la conversación fue la tensión entre los derechos del titular y la necesidad de continuidad operacional o clínica.

¿Qué pasa si un paciente pide eliminar sus datos, pero esos datos son necesarios para prestar el servicio?

¿Qué ocurre si una operación depende de una huella, una ficha o un sistema de validación?

¿Cómo se resuelve cuando existe una obligación de borrar, pero también una obligación de conservar respaldos o responder auditorías?

Patricio Sobarzo lo planteó desde la operación:

Rodrigo Alvez agregó una dificultad adicional: la colisión entre derechos y obligaciones técnicas o regulatorias. Un dato puede eliminarse de las bases operacionales, pero permanecer en respaldos o registros necesarios para auditoría.

Paola Belan conectó la discusión con las bases de licitud. El consentimiento no es la única base para tratar datos. También puede existir una relación contractual, una obligación legal u otra base que justifique mantener ciertos datos cuando son necesarios para prestar un servicio o cumplir la ley.

Ese punto es especialmente relevante en salud.

• El paciente tiene derechos.
• La organización tiene obligaciones.
• La atención clínica necesita continuidad.
• El sistema necesita trazabilidad.
• La ley exige proporcionalidad.

No siempre habrá una respuesta simple.

La interoperabilidad apareció como una necesidad inevitable del sistema de salud.

Sin interoperabilidad, se pierde continuidad clínica. Se duplican exámenes. Se toman decisiones con información incompleta. Se limita la capacidad de diagnóstico y seguimiento.

Pero la interoperabilidad no puede confundirse con libre circulación de datos.

Ese concepto —interoperabilidad gobernada— resume uno de los mayores desafíos para salud digital en Chile.

• Los datos deben moverse cuando corresponde.
• Pero deben moverse con finalidad.
• Con base de licitud.
• Con seguridad.
• Con trazabilidad.
• Con proporcionalidad.
• Y con claridad sobre quién responde por cada tratamiento.

Patricio Araya dio un ejemplo clínico concreto: cuando atención primaria deriva a un paciente a atención secundaria o terciaria, muchas veces la información disponible es limitada. Con más historial clínico, el especialista podría tomar mejores decisiones. Pero eso no significa que todo el historial deba circular automáticamente.

La información puede ser clínicamente útil y, al mismo tiempo, legalmente delicada.

Ahí estará la dificultad: permitir que los datos necesarios fluyan sin convertir la interoperabilidad en una exposición excesiva.

Entre todos los principios discutidos, la proporcionalidad fue uno de los más complejos.

• La finalidad puede describirse.
• La licitud puede fundamentarse.
• La seguridad puede documentarse.
• La trazabilidad puede registrarse.

Pero la proporcionalidad exige algo más difícil: justificar por qué ese dato, y no otro, es adecuado, pertinente y limitado para la finalidad declarada.

Patricio Araya planteó la duda central:

La pregunta importa porque la organización puede considerar que un dato es necesario desde su experiencia operativa o clínica, pero el fiscalizador podría evaluar otra cosa.

Andrés Parra volvió al punto del levantamiento de procesos. Cuando una organización revisa qué datos trata, muchas veces descubre que tiene más información de la que necesita. Y más datos significan más riesgo.

La minimización de datos no es solo un principio legal. Es una estrategia de gestión de riesgo.

• Menos datos innecesarios.
• Menos exposición.
• Menos superficie de ataque.
• Menos complejidad contractual.
• Menos dificultad ante solicitudes de titulares.
• Menos riesgo regulatorio.

La conversación también abordó el uso de datos para entrenar modelos de inteligencia artificial, especialmente en salud poblacional y detección temprana.

Patricio Araya explicó el caso de modelos de estratificación de riesgo para cáncer. El objetivo es clínicamente valioso: identificar personas con mayor riesgo para priorizar pruebas, especialmente cuando los recursos son limitados.

Ahí aparece una tensión profunda.

• La IA necesita volumen, variedad y correlaciones.
• La protección de datos exige finalidad, minimización y proporcionalidad.

En modelos predictivos, no siempre se sabe de antemano qué variable tendrá peso. Eso desafía la lógica tradicional de “solo recolecto lo estrictamente necesario”, porque parte del proceso analítico consiste precisamente en descubrir qué variables son relevantes.

La respuesta de Pegasi, según explicó Araya, ha sido trabajar con datos anonimizados entregados por instituciones de salud, además de medidas de seguridad en transporte y almacenamiento.

Paola Belan hizo la distinción clave: si los datos no se pueden relacionar con una persona natural, el análisis cambia. Pero la frontera entre anonimización real y seudonimización reversible será crítica.

En salud, esa diferencia no es semántica. Es regulatoria.

• Un dato seudonimizado todavía puede volver a conectarse con una persona.
• Un dato anonimizado, correctamente tratado, no debería permitir esa reidentificación.

Las organizaciones que trabajen con IA en salud deberán documentar esa diferencia con rigor.

La conversación deja una hoja de ruta concreta para organizaciones que están preparando su modelo de cumplimiento.

Primero, levantar procesos reales. No basta con tener un mapa formal. Hay que saber cómo se mueve el dato en la práctica.

Segundo, identificar tratamientos. Qué datos se recopilan, para qué, quién los usa, dónde se almacenan, con quién se comparten y durante cuánto tiempo.

Tercero, revisar bases de licitud. El consentimiento no resuelve todo. En salud, también habrá contrato, obligación legal, continuidad clínica y otros fundamentos que analizar.

Cuarto, definir liderazgo interno. La protección de datos necesita dueño, pero no puede ser responsabilidad de una sola área.

Quinto, revisar proveedores. Los contratos deben reflejar roles, responsabilidades, medidas de seguridad, tratamiento de datos y evidencia de cumplimiento.

Sexto, documentar proporcionalidad. Cada dato debe tener una razón clara.

Séptimo, formar cultura. Capacitar no es suficiente. Hay que cambiar hábitos.

Octavo, gobernar el uso de IA. Las herramientas deben alinearse con políticas internas, seguridad, datos permitidos y revisión humana.

Noveno, preparar evidencia. La organización debe poder demostrar cómo cumple, no solo decir que cumple.