Saltar al contenido principal
PrivacidadWeb
Ley 21.719 · Guía sectorial

Ley 21.719 para Farmacias y Cadenas Farmacéuticas

Las farmacias tratan datos de salud al dispensar medicamentos con receta, gestionar programas de fidelización y procesar seguros de salud de Isapre o Fonasa. Las prescripciones médicas son datos sensibles bajo el Art. 2° letra g) de la Ley 21.719, lo que implica obligaciones reforzadas de seguridad y consentimiento. El historial de compras de medicamentos puede revelar diagnósticos, tratamientos crónicos o condiciones de salud mental, convirtiéndolo en uno de los activos de datos más delicados del retail.

🔴 Riesgo ALTO7 tipos de datos regulados

Cómo Farmacias y Cadenas Farmacéuticas interactúa con datos personales

Las farmacias operan en la intersección entre retail y salud, y esa dualidad crea un desafío de privacidad único: el historial de compras de medicamentos —que parece un simple registro comercial— es en realidad un mapa de la salud del cliente. Una lista de medicamentos puede revelar tratamiento psiquiátrico, diagnóstico oncológico, condición crónica o enfermedad de transmisión sexual. La Ley 21.719 clasifica estos datos como sensibles de salud, sujetos a la máxima protección. El programa de puntos, en particular, es un campo de riesgo: al vincular el RUT del cliente con su historial de compras para acumular beneficios, se crea un perfil de salud que no puede usarse para marketing directo, venta a aseguradoras o análisis comercial sin consentimiento expreso. Las multas en este sector pueden alcanzar los 20.000 UTM (~$1.480M CLP) por infracción gravísima.

¿Qué datos personales trata tu farmacias y cadenas farmacéuticas?

Todos estos datos están regulados por la Ley 21.719 y requieren bases legales claras para su tratamiento.

RUT y nombre del pacienteRecetas médicas con diagnósticoDatos de Isapre/FonasaHistorial de compras de medicamentosDatos de programa de puntos o fidelizaciónEmail y teléfonoDatos de despacho a domicilio

Tu principal riesgo

⚠️

Las recetas médicas y el historial de compras de medicamentos son datos sensibles de salud. Una filtración puede exponer diagnósticos o tratamientos psiquiátricos, oncológicos u otros, causando discriminación laboral o de seguros. La multa puede llegar a 20.000 UTM (~$1.400M CLP) por tratamiento indebido de datos sensibles (Art. 35, Ley 21.719).

Obligaciones específicas para Farmacias y Cadenas Farmacéuticas

1

Obtener consentimiento explícito e informado del cliente para cada finalidad distinta del tratamiento de su historial de compras: atención farmacéutica (base legal: ejecución del contrato), programa de fidelización (base legal: consentimiento), envío de ofertas (base legal: consentimiento). Cada finalidad requiere autorización separada.

2

Implementar controles de acceso al sistema de dispensación y al historial de compras vinculado al RUT: solo el personal farmacéutico autorizado puede acceder al historial completo; el personal de caja no debe tener acceso a datos de recetas o historial de salud.

3

Documentar en el RAT el tratamiento de recetas médicas: tipo de datos (nombre del paciente, diagnóstico implícito, medicamento prescrito), base legal, plazo de conservación según normativa Minsal, y medidas de seguridad aplicadas al sistema de registro.

4

Prohibir contractualmente y técnicamente la cesión del historial de compras de medicamentos a aseguradoras, empleadores o empresas de análisis de datos sin el consentimiento expreso del titular, incluso cuando la solicitud esté acompañada de un pago u oferta comercial.

5

Establecer un protocolo de notificación de brechas de seguridad que incluya la comunicación a la APDP dentro de 72 horas y la notificación a los clientes afectados, dada la altísima sensibilidad de los datos de salud comprometidos en cualquier incidente.

Ejemplo de cumplimiento paso a paso

  1. 1

    Separa las bases legales por finalidad

    Identifica cada uso que haces de los datos del cliente: dispensar medicamentos, programa de puntos, comunicaciones comerciales, análisis de compras. Para cada uno, define la base legal correcta. El historial de compras no puede usarse para marketing sin consentimiento.

  2. 2

    Rediseña el formulario del programa de fidelización

    El formulario de inscripción al programa de puntos debe incluir una sección de privacidad clara que explique qué datos se recopilan, para qué se usan y que el cliente puede darse de baja cuando quiera. El consentimiento para marketing debe ser una casilla separada y opcional.

  3. 3

    Implementa controles de acceso en el sistema

    Configura tu software de gestión farmacéutica para que el acceso al historial de recetas y diagnósticos esté restringido a químicos farmacéuticos y personal clínico. El personal de caja y repositores no deben ver historiales de salud.

  4. 4

    Documenta el RAT

    Registra: tratamiento de recetas médicas (base legal: cumplimiento obligación legal Minsal), programa de fidelización (base legal: consentimiento), despacho a domicilio (base legal: ejecución de contrato). Incluye plazos de conservación de cada categoría.

  5. 5

    Crea el protocolo de brechas de seguridad

    Define el procedimiento para el caso de un ataque informático o filtración: quién es notificado internamente, cómo se evalúa el alcance, cuándo se notifica a la APDP (72 horas) y cómo se comunica a los clientes afectados.

Genera los documentos que tu farmacias y cadenas farmacéuticas necesita

Sin registro · Sin pago · Listo en minutos

Generar Gratis

Multas y sanciones para Farmacias y Cadenas Farmacéuticas

La Ley 21.719 establece tres niveles de infracción: leve (hasta 5.000 UTM ≈ $370M CLP), grave (hasta 10.000 UTM ≈ $740M CLP) y gravísima (hasta 20.000 UTM ≈ $1.480M CLP).

💸

Una cadena farmacéutica que comparte historial de compras de medicamentos de sus clientes con aseguradoras sin consentimiento puede enfrentar una multa de hasta 20.000 UTM (~$1.400M CLP) por tratamiento ilícito de datos sensibles de salud (Art. 35, Ley 21.719).

Preguntas frecuentes sobre privacidad para farmacias y cadenas farmacéuticas

¿Las recetas médicas son datos sensibles bajo la Ley 21.719?

Sí. Las recetas médicas contienen datos de salud, clasificados como datos sensibles bajo el Art. 2° letra g) de la Ley 21.719. Su tratamiento requiere consentimiento expreso del titular o base legal específica, medidas de seguridad reforzadas, y plazos de conservación claros documentados en el RAT.

¿Necesito consentimiento para el programa de puntos o fidelización?

Sí. El programa de fidelización implica recopilar datos personales para finalidades distintas al despacho del medicamento (marketing, análisis de compras, comunicaciones comerciales). Para estas finalidades necesitas consentimiento expreso e informado del cliente (Art. 12, Ley 21.719), separado de la transacción de compra.

¿Puedo compartir el historial de compras con la Isapre del cliente?

Solo con el consentimiento expreso del titular o cuando existe una obligación legal específica que lo exija. El historial de medicamentos es dato de salud sensible y no puede compartirse con aseguradoras, empleadores ni terceros sin base legal válida. Documentar cada cesión de datos en el RAT es obligatorio.

¿Cuánto tiempo debo conservar el registro de recetas dispensadas?

El Reglamento de Farmacias y normativa sanitaria del Minsal establece plazos específicos de conservación de registros de dispensación. La Ley 21.719 exige que estos plazos queden documentados en la Política de Privacidad y en el RAT. Una vez vencido el plazo legal, los datos deben eliminarse de forma segura.

Más recursos útiles

Farmacias y Cadenas Farmacéuticas

Cumple la Ley 21.719 antes de que entre en vigor

Genera todos tus documentos gratis, sin registro, en minutos. Sin letra chica, sin pago.

Generar Política de Privacidad GratisHacer diagnóstico