Lo que cambia el 1 de diciembre
La Ley 21.719 reemplaza a la Ley 19.628 — vigente desde 1999 y crónicamente insuficiente. La nueva ley acerca Chile al marco RGPD europeo y aplica a cualquier organización que trate datos personales en el país, incluyendo software clínico. Para un psiquiatra que ejerce, las obligaciones nuevas más relevantes son:
- Consentimiento informado granular. Una sola firma genérica deja de ser válida. Cada finalidad de tratamiento (atención, facturación, comunicaciones, investigación) requiere consentimiento específico.
- Derechos ARCO ejercibles. Acceso, rectificación, cancelación, oposición. Plazos legales para responder. Mecanismo trazable.
- Registro de actividades de tratamiento. Documento que describe qué datos se procesan, con qué finalidad, por cuánto tiempo, con qué resguardos técnicos.
- Notificación de brechas. Si ocurre un incidente de seguridad que afecta datos personales, hay obligación de notificar a la autoridad de protección de datos dentro de plazos definidos.
- Cifrado y minimización por diseño. No es opcional. Es un requisito de la ley para datos sensibles.
Los datos psiquiátricos son datos sensibles bajo la ley — la categoría con mayores exigencias.
Cómo lo implementa NuvaMed
Cuatro mecanismos técnicos, ya implementados:
- Cifrado AES-128-CBC + HMAC-SHA256 sobre notas de proceso clínicas. La transcripción temporal del AI Scribe nunca se almacena; solo la nota clínica firmada. La base de datos opera con cifrado at-rest a nivel de columnas sensibles.
- Audit log forense. Quién accedió a qué ficha, desde dónde, cuándo, con qué resultado. No truncable, no editable, fuera del alcance del sysadmin de aplicación.
- Portal ARCO en NuvaMed+. El paciente ejerce sus derechos desde su sesión. El psiquiatra recibe la solicitud con plazos. El sistema documenta cada paso.
- Motor de consentimiento granular. Cada finalidad de tratamiento — atención clínica, facturación, recordatorios por WhatsApp, investigación anonimizada — es un consentimiento separado, revocable independientemente, con timestamp.
Notificación de brechas: el lado incómodo
Ningún proveedor serio promete cero brechas. Lo que la ley exige es que, cuando una brecha ocurra, sea detectada rápido, notificada según los plazos, y mitigada con evidencia documental. NuvaMed implementa monitoreo de anomalías en accesos, alerta automática al equipo de seguridad cuando se detecta un patrón sospechoso, y un protocolo documentado de respuesta a incidentes que incluye los timestamps que la ley exige.
Si tu proveedor actual no puede mostrarte cómo detecta una brecha, cómo te notifica como controlador, y cómo cumple los plazos legales de comunicación a la autoridad — estás operando en riesgo conocido a partir de diciembre 2026.
Datos clínicos sin salir de Chile
NuvaMed opera en infraestructura Google Cloud en la región Santiago (southamerica-west1). Los datos clínicos psiquiátricos no salen del país sin garantía contractual y legal explícita. No se usan para entrenar modelos de terceros. No se ceden con fines comerciales. El contrato con cada centro psiquiátrico documenta esto explícitamente.
Esta postura encarece la operación frente a alternativas que procesan datos en jurisdicciones más laxas. La encarece deliberadamente. La alternativa no es compatible con la Ley 21.719 ni con el contrato implícito entre paciente y psiquiatra.
El acuerdo de servicio con NuvaMed incluye anexo de protección de datos personales conforme a Ley 21.719 — controlador, encargado, finalidades, plazos, derechos del titular, mecanismos de portabilidad y borrado. Si tu psiquiatría tiene asesoría legal, ese anexo está hecho para que lo revisen sin sorpresas.