Salud y datos sensibles: del cumplimiento formal a la trazabilidad real

Durante años, muchas organizaciones de salud trataron los datos como un insumo necesario para prestar servicios: registrar una atención, emitir un bono, entregar un resultado, contactar a un paciente, gestionar un tratamiento o coordinar con terceros.

La nueva ley obliga a mirar esa información desde otra lógica. El dato ya no es solo soporte de la operación. Es un activo sensible, con titular, finalidad, condiciones de uso y exigencias de resguardo.

En salud, este cambio es especialmente relevante porque el dato no solo identifica a una persona. Puede revelar enfermedades, hábitos, tratamientos, condiciones de salud mental, situación financiera, vínculos familiares o decisiones íntimas. Su mal uso no solo genera incumplimiento: puede afectar confianza, reputación y dignidad.

Patricio Anguita lo explicó con una metáfora simple: si el dato se entendiera como dinero físico, las organizaciones actuarían con otro nivel de cuidado. Nadie dejaría billetes abandonados en una impresora o sobre un mesón. Sin embargo, eso todavía ocurre con información clínica.

El primer cambio, entonces, no es tecnológico. Es conceptual: entender que cada dato sensible exige una responsabilidad equivalente a su valor.

Uno de los consensos de la conversación fue que la protección de datos no puede quedar encerrada en las áreas legales, tecnológicas o de ciberseguridad. Esas áreas son críticas, pero no suficientes.

La nueva ley exige decisiones organizacionales: priorización de recursos, definición de responsables, mapeo de procesos, gestión de proveedores, capacitación, documentación y seguimiento. Eso implica involucrar a la alta dirección.

Raúl Sepúlveda fue claro en este punto. La protección de datos debe entenderse como un desafío estratégico, no como un trámite técnico.

En salud, esta mirada es clave porque los recursos siempre compiten con otras prioridades: atención clínica, equipamiento, listas de espera, continuidad operacional, acreditaciones, infraestructura y experiencia del paciente.

La gestión de datos deberá entrar a esa conversación sin presentarse como freno, sino como condición de operación confiable. La protección de datos no reemplaza la atención de salud; la sostiene.

La conversación volvió varias veces sobre una misma idea: gran parte del riesgo vive en la primera línea. No solo en los servidores, bases de datos o contratos.

Administrativos, médicos, enfermeros, técnicos, ejecutivos de atención, equipos comerciales, áreas de recursos humanos y proveedores interactúan todos los días con información sensible. Imprimen, reciben, archivan, comparten, consultan, reenvían y cargan datos en sistemas.

Por eso, la capacitación general no basta. Las personas necesitan entender qué significa proteger datos en su rol concreto: qué pueden compartir, por qué canal, bajo qué autorización, con qué respaldo y cuándo deben escalar una duda.

La cultura de protección de datos se vuelve real cuando cambia la conducta cotidiana. Cuando una persona no deja un examen en una impresora. Cuando no envía información sensible por un canal informal. Cuando entiende que una ficha clínica no es solo un documento interno, sino información protegida de un paciente.

La ley se implementa en políticas. Pero se cumple, o se incumple, en los hábitos diarios.

Las organizaciones de salud suelen operar con múltiples sistemas: ficha clínica, laboratorio, imagenología, ERP, agenda, call center, CRM, plataformas de proveedores, herramientas internas y bases de datos complementarias.

Muchos de esos sistemas fueron diseñados antes de que la trazabilidad, la portabilidad, la minimización de datos o la gestión granular de derechos fueran exigencias centrales. Por eso, la implementación de la ley no puede entenderse como un ajuste simple.

El desafío no es solo tener sistemas antiguos. Es que los datos pueden estar dispersos, duplicados, parcialmente integrados o alojados en lugares que no siempre son evidentes. Responder una solicitud de acceso, rectificación, eliminación o portabilidad puede requerir reconstruir un recorrido que nunca fue diseñado para ser visible.

La conversación no planteó la implementación como un hito binario, sino como un proceso progresivo. En una industria con operación crítica, sistemas heredados, múltiples proveedores y datos altamente sensibles, el desafío no es prometer perfección inmediata. Es construir una ruta seria, priorizada y verificable.

Ese punto es clave para el enfoque de cumplimiento. La organización debe saber por dónde partir, qué tratamientos son más críticos, qué riesgos deben abordarse primero y qué evidencia puede demostrar avance.

La madurez no se mide solo por tener todos los sistemas resueltos. También se mide por tener claridad, priorización y gobierno sobre lo que falta resolver.

Uno de los puntos más concretos de la conversación fue la persistencia del papel. En salud, la protección de datos no es solo digital.

Consentimientos impresos, fichas, bonos, resultados, exámenes, documentos de pabellón, carpetas clínicas, formularios y antecedentes administrativos siguen circulando en la operación diaria. Y muchas veces circulan con menos control del que exige su sensibilidad.

Esto obliga a ampliar el mapa de riesgo. No basta con revisar sistemas, servidores o accesos digitales. También hay que mirar impresoras, escritorios, mesones, archivos, traslados físicos, bodegas, consentimientos, destrucción documental y custodia.

La protección de datos en salud debe considerar tanto el expediente digital como el documento físico. Si el papel queda fuera del modelo, queda fuera una parte relevante del riesgo.

El cumplimiento real no distingue entre datos en una plataforma y datos sobre una mesa. Ambos requieren reglas, responsables y evidencia.

La nueva ley fortalece los derechos de los titulares sobre sus datos. En salud, eso significa que pacientes cada vez más informados podrán solicitar acceso, rectificación, eliminación, oposición o portabilidad de su información.

El punto crítico es que esos derechos no se responden solo con voluntad. Requieren capacidad operacional. La organización debe saber dónde está la información, quién puede acceder a ella, qué puede entregarse, qué debe conservarse por obligación legal o clínica, qué puede eliminarse y cómo documentar la respuesta.

Thomas Wulf destacó que este cambio puede convertirse en una presión importante para servicios que aún no están preparados para responder de manera rápida, segura y completa.

Pero esa presión también abre una oportunidad. Una institución que responde bien, explica con claridad y gestiona los derechos del paciente de forma ordenada puede diferenciarse en confianza.

En salud, la experiencia del paciente ya no será solo clínica. También será informacional: cómo se le informa, cómo se le pide autorización, cómo se le responde y cómo se cuida su información.

La conversación mostró que uno de los desafíos más relevantes será traducir las bases de licitud a la operación diaria. No se trata solo de definirlas en abstracto, sino de saber qué permiten y qué no permiten en cada proceso.

En salud conviven múltiples finalidades: atención clínica, agendamiento, continuidad de tratamiento, investigación, programas de pacientes, relacionamiento con médicos, marketing, gestión administrativa, seguros, proveedores tecnológicos y eventualmente inteligencia artificial.

Cada uso del dato necesita una justificación clara. Y esa justificación debe ser entendida por quienes toman decisiones en la operación.

Este punto evita dos riesgos. El primero es sobrerregular internamente y paralizar procesos que sí pueden ejecutarse bajo una base adecuada. El segundo es asumir que, porque un dato fue obtenido legítimamente para una finalidad, puede usarse libremente para cualquier otra.

La base de licitud no es una formalidad legal. Es el criterio que ordena el uso responsable del dato.

La conversación coincidió en que la multa no es el único riesgo. Puede ser importante, pero no agota el problema.

Una brecha de datos, una mala respuesta a un paciente, un proveedor mal gestionado o un uso poco claro de información sensible pueden tener efectos reputacionales, contractuales y comerciales. En salud, la confianza es parte del servicio.

Juan Carlos Sola planteó que muchas organizaciones se hicieron de datos durante años, pero no necesariamente desarrollaron la capacidad de gobernarlos con el estándar que ahora exige la ley. Esa brecha abre un espacio importante de trabajo.

Andrés Parra complementó esa mirada desde el riesgo operacional. La protección de datos no debe entenderse como una barrera al negocio, sino como una condición para que el negocio sea sostenible.

La protección de datos, bien implementada, no es solo defensa. Es confianza operativa.

La conversación fue realista respecto del desafío. En salud, no todo podrá resolverse de una vez. Pero eso no significa esperar.

La clave está en avanzar con método: identificar tratamientos, priorizar riesgos, documentar decisiones, definir responsables, establecer canales, revisar proveedores, capacitar por rol y construir evidencia de diligencia.

Este punto resume bien el cambio de estándar. La ley no exige solo intención. Exige capacidad de demostrar que la organización sabe qué está haciendo con los datos y que ha tomado medidas razonables para protegerlos.

Belén Quezada reforzó ese punto desde la mirada regulatoria: la preparación no elimina todos los riesgos, pero sí cambia la posición de la organización frente a una eventual fiscalización. La diferencia está en poder demostrar que existe un plan, documentación, protocolos y procesos en marcha.

La implementación debe partir por lo crítico, pero no puede quedarse en diagnósticos. Debe transformarse en agenda, responsables, plazos y seguimiento.

El cumplimiento real no ocurre cuando una organización declara que protege datos. Ocurre cuando puede probarlo.

Primero, levantar el recorrido real del dato. Identificar dónde entra el dato, quién lo usa, en qué sistemas queda, cuándo se imprime, con quién se comparte, dónde se almacena y cómo se elimina o conserva.

Segundo, construir el registro de actividades de tratamiento. Mapear tratamientos, finalidades, categorías de datos, bases de licitud, responsables, encargados, transferencias y niveles de criticidad.

Tercero, priorizar los procesos de mayor sensibilidad. Partir por ficha clínica, laboratorio, imagenología, salud mental, pabellón, consentimientos, programas de pacientes, proveedores tecnológicos y canales de atención.

Cuarto, definir dueños de proceso. Cada área debe entender qué datos trata y qué decisiones le corresponden. Legal, tecnología y compliance acompañan, pero la responsabilidad también vive en la operación.

Quinto, revisar bases de licitud y consentimientos. Evitar consentimientos genéricos, extensos o poco comprensibles. La organización debe distinguir cuándo corresponde consentimiento, cuándo aplica otra base y cómo informa al paciente.

Sexto, preparar la gestión de derechos de los pacientes. Crear canales, responsables, criterios de respuesta, plazos internos, mecanismos de búsqueda y evidencia para responder solicitudes de acceso, rectificación, eliminación, oposición o portabilidad.

Séptimo, incorporar el papel al modelo de cumplimiento. Los documentos físicos deben tener reglas claras de impresión, custodia, traslado, archivo, acceso y destrucción. El dato en papel también es dato protegido.

Octavo, revisar contratos y proveedores. Identificar terceros que acceden, procesan, almacenan o transportan datos personales y sensibles. Revisar responsabilidades, controles, obligaciones de seguridad y mecanismos de respuesta ante incidentes.

Noveno, capacitar por rol y por situación real. No basta con explicar la ley. Hay que entrenar decisiones concretas: qué hacer en admisión, pabellón, laboratorio, atención remota, call center, administración, recursos humanos y áreas comerciales.

Décimo, documentar un plan de avance verificable. Si no es posible resolver todo de inmediato, debe existir una hoja de ruta priorizada, con responsables, fechas, riesgos, decisiones tomadas y evidencia de ejecución.