Lo que cambia el 1 de diciembre
La Ley 21.719 reemplaza a la Ley 19.628 — vigente desde 1999 y crónicamente insuficiente. La nueva ley acerca Chile al marco RGPD europeo y aplica a cualquier organización que trate datos personales en el país, incluyendo software clínico. Para un psiquiatra que ejerce, las obligaciones nuevas más relevantes son:
- Consentimiento informado granular. Una sola firma genérica deja de ser válida. Cada finalidad de tratamiento (atención clínica, facturación, asistencia con IA, investigación anonimizada) requiere consentimiento específico.
- Derechos ARCO ejercibles. Acceso, rectificación, cancelación, oposición. Plazos legales para responder. Mecanismo trazable.
- Registro de actividades de tratamiento. Documento que describe qué datos se procesan, con qué finalidad, por cuánto tiempo, con qué resguardos técnicos.
- Notificación de brechas. Si ocurre un incidente de seguridad que afecta datos personales, hay obligación de notificar a la autoridad de protección de datos dentro de plazos definidos.
- Cifrado y minimización por diseño. No es opcional. Es un requisito de la ley para datos sensibles.
Los datos psiquiátricos son datos sensibles bajo la ley — la categoría con mayores exigencias. Cumplirla bien no es un trámite frío: es lo que sostiene la confianza con la que tu paciente te cuenta lo que le pasa. NuvaMed automatiza ese resguardo para que tú no lo tengas que vigilar a mano, y para que la relación clínica siga siendo lo que importa.
Cómo lo implementa NuvaMed
Cuatro mecanismos técnicos, ya implementados y operando antes de que la ley entre en vigor — para que la relación con tu paciente parta sobre una base que ya cumple:
- Cifrado AES-128-CBC + HMAC-SHA256 a nivel de campo sobre las notas de proceso clínicas — las observaciones terapéuticas privadas del tratante. El AI Scribe es ambiente y multifuente (micrófono en consulta o cualquier videollamada): su audio y transcripción temporal nunca se almacenan; solo queda la nota clínica que tú revisas y firmas. La infraestructura suma cifrado at-rest sobre la base de datos.
- Audit log forense. Quién accedió a qué ficha, desde dónde, cuándo, con qué resultado. Registro append-only por diseño: no editable, no truncable.
- Portal ARCO en NuvaMed+. El paciente ejerce sus derechos desde su sesión. El psiquiatra recibe la solicitud con plazos. El sistema documenta cada paso.
- Motor de consentimiento granular. Cada finalidad de tratamiento — ficha clínica, facturación, asistencia con IA, resumen pre-consulta, investigación anonimizada, despacho en farmacia, red de derivación — es un consentimiento separado, revocable de forma independiente y con timestamp. La asistencia con IA es una finalidad explícita y opcional: la IA propone, el psiquiatra decide.
Notificación de brechas: el lado incómodo
Ningún proveedor serio promete cero brechas. Lo que la ley exige es que, cuando una brecha ocurra, sea detectada rápido, notificada según los plazos, y mitigada con evidencia documental. NuvaMed implementa monitoreo de anomalías en accesos — accesos fuera de horario, ráfagas de inicios de sesión fallidos, patrones de IP o dispositivo inusuales —, alerta automática al equipo de seguridad cuando se detecta un patrón sospechoso, y un protocolo documentado de respuesta a incidentes que incluye los timestamps que la ley exige. La defensibilidad la hace el sistema en segundo plano, para que duermas tranquilo.
Si tu proveedor actual no puede mostrarte cómo detecta una brecha, cómo te notifica como controlador, y cómo cumple los plazos legales de comunicación a la autoridad — estás operando en riesgo conocido a partir de diciembre 2026.
Seamos honestos sobre las consecuencias: la ley no dispara una multa millonaria automática. Establece sanciones graduadas según la gravedad, mayores cuando se exponen datos sensibles como los de salud mental, y contempla un registro público de sanciones. El costo real rara vez es solo económico: es la confianza del paciente y la reputación de tu práctica. Por eso preferimos prevenir, no asustar.
Datos clínicos sin salir de Chile
NuvaMed opera en infraestructura Google Cloud en la región Santiago (southamerica-west1). Los datos clínicos psiquiátricos no salen del país sin garantía contractual y legal explícita. No se usan para entrenar modelos de terceros. No se ceden con fines comerciales. El contrato con cada centro psiquiátrico documenta esto explícitamente.
Esta postura encarece la operación frente a alternativas que procesan datos en jurisdicciones más laxas. La encarece deliberadamente. La otra opción no es compatible con la Ley 21.719 ni con el contrato implícito entre paciente y psiquiatra: la confianza sobre la que se construye toda la relación clínica. Cuando los cimientos legales están resueltos por defecto, tú quedas libre para hacer lo único que un software no puede hacer por ti — mirar al paciente.
El acuerdo de servicio con NuvaMed incluye anexo de protección de datos personales conforme a Ley 21.719 — controlador, encargado, finalidades, plazos, derechos del titular, mecanismos de portabilidad y borrado. Si tu psiquiatría tiene asesoría legal, ese anexo está hecho para que lo revisen sin sorpresas.