ISO 27701 para empresas que manejan datos de salud

El sector salud maneja una de las categorías más sensibles de datos personales: información médica, diagnósticos, tratamientos, datos genéticos y de bienestar físico y mental. La Ley 21.719 de Chile clasifica los datos de salud como datos personales sensibles, lo que implica obligaciones reforzadas de protección. ISO 27701 proporciona el marco de gestión que estas organizaciones necesitan para proteger esta información de manera sistemática y demostrable.

¿Por qué los datos de salud requieren protección reforzada?

Los datos de salud son particularmente sensibles porque pueden generar discriminación, estigmatización o perjuicio económico si se divulgan indebidamente. Una filtración de registros médicos puede afectar las oportunidades laborales de una persona, su acceso a seguros o su reputación social. Por esta razón, tanto la legislación chilena como las normas internacionales establecen requisitos más estrictos para su tratamiento.

La Ley 21.719 define que los datos de salud solo pueden tratarse con el consentimiento explícito del titular, por una autoridad sanitaria en ejercicio de sus funciones legales, o cuando sea necesario para la prestación de un servicio de salud. Además, las organizaciones deben implementar medidas de seguridad reforzadas proporcionales a la sensibilidad de los datos.

Alcance de ISO 27701 en el sector salud

ISO 27701 es aplicable a todo tipo de organizaciones del sector salud que traten datos personales, incluyendo hospitales y clínicas, laboratorios clínicos y de diagnóstico por imagen, empresas de tecnología en salud (healthtech), Instituciones de Salud Previsional (Isapres), centros de investigación clínica, farmacéuticas, empresas de telemedicina, y proveedores de sistemas de información hospitalaria.

Cada una de estas organizaciones puede actuar como controlador, procesador o ambos. Un hospital es típicamente controlador de los datos de sus pacientes, mientras que un proveedor de software de ficha clínica electrónica actúa como procesador. Una empresa de telemedicina podría ser controlador de los datos de registro de usuarios y procesador de los datos clínicos generados durante las consultas.

Controles de privacidad específicos para salud

Consentimiento informado reforzado

Los controles de ISO 27701 relativos al consentimiento (A.7.2.3, A.7.2.4) adquieren especial importancia en salud. El consentimiento para el tratamiento de datos de salud debe ser explícito, específico e informado. Los pacientes deben comprender claramente qué datos se recopilan, con qué fines, quién tendrá acceso y por cuánto tiempo se conservarán. Los controles ISO 27701 proporcionan la estructura para implementar estos mecanismos de forma sistemática.

Minimización de datos clínicos

El control A.7.4.1 de minimización cobra relevancia particular. En el contexto clínico, es habitual recopilar más datos de los estrictamente necesarios por tradición o por el diseño de los formularios. ISO 27701 exige evaluar si cada dato recopilado tiene un propósito definido y legítimo, eliminando la recopilación innecesaria.

Control de acceso basado en roles clínicos

Los controles de acceso de ISO 27001 (Anexo A), extendidos por ISO 27701, deben implementarse considerando los roles clínicos: médicos tratantes tienen acceso al historial completo, enfermería accede a indicaciones y registros de cuidado, personal administrativo solo a datos de identificación y facturación, y los investigadores acceden a datos anonimizados o seudonimizados.

Retención de datos de salud

Los controles A.7.4.4 y A.7.4.5 de retención y eliminación son complejos en salud debido a las obligaciones legales de conservación de fichas clínicas. La normativa chilena exige conservar las fichas clínicas por un mínimo de 15 años. ISO 27701 ayuda a gestionar estos plazos de retención diferenciados, asegurando que los datos se conserven solo mientras exista obligación legal o necesidad clínica.

Evaluación de impacto en privacidad para salud

El control A.7.2.5 de ISO 27701 exige evaluaciones de impacto en privacidad cuando el tratamiento pueda generar riesgos elevados. En el sector salud, estas evaluaciones son prácticamente obligatorias en los siguientes escenarios:

• Implementación de nuevos sistemas de ficha clínica electrónica
• Proyectos de telemedicina y atención remota
• Uso de inteligencia artificial para diagnóstico o toma de decisiones clínicas
• Investigación clínica y estudios con datos de pacientes
• Intercambio de datos entre instituciones de salud
• Contratación de servicios en la nube para almacenamiento de datos clínicos

Integración con estándares de salud

ISO 27701 no opera en el vacío en el sector salud. Se complementa con otros estándares y marcos relevantes:

Telemedicina y datos en la nube

La pandemia aceleró la adopción de telemedicina en Chile, generando nuevos desafíos de privacidad. Las consultas por videollamada, el almacenamiento de datos clínicos en la nube y el intercambio electrónico de recetas e informes requieren controles de privacidad específicos. ISO 27701 aborda estos escenarios a través de los controles de transferencia de datos, los acuerdos con procesadores (proveedores de plataformas de telemedicina) y los requisitos de seguridad en el almacenamiento y transmisión de datos.

Pasos prácticos para el sector salud

La implementación de ISO 27701 en una organización de salud debe seguir un enfoque escalonado. Comienza por mapear todos los flujos de datos personales de salud, desde la admisión del paciente hasta el alta y el seguimiento posterior. Identifica los sistemas de información involucrados, los terceros con acceso a datos y los puntos de vulnerabilidad. Luego implementa los controles priorizando los datos de mayor sensibilidad y los procesos de mayor riesgo. Consulta nuestra guía sobre implementación del SGSI paso a paso para una metodología aplicable.

Complementa tu lectura con nuestras guías sobre qué es ISO 27701, ISO 27701 y la Ley 21.719 y gestión de brechas de datos personales.