Por Karina Soto Maturana, consultora asociada en DataCompliance*
La reciente condena de la Corte Suprema a una Isapre, por divulgar el diagnóstico de VIH de un afiliado, marca un precedente decisivo en materia de protección de datos sensibles en Chile. La sentencia no sólo restituye la condena por daño moral dictada en primera instancia —equivalente a $15.000.000—, sino que, además, reafirma un principio que a menudo se olvida: la privacidad constituye un derecho especialmente protegido inseparable de la esfera de la salud, y no una condición secundaria del contrato de aseguramiento.
El caso es paradigmático. La aseguradora permitió que el padrastro del actor —titular del plan de salud— accediera a su diagnóstico a través de la plataforma web de la Isapre. Lo que a simple vista podría considerarse correcto -ya que es el padrastro quien pagaba las primas, deducibles y aquellos costos que no cubría el plan de salud del beneficiario-, sin embargo, dicha exposición de la ficha clínica del actor, en realidad revela un incumplimiento grave del deber legal de confidencialidad, resguardo y correcto tratamiento de los datos personales sensibles, como lo son los relativos al estado de salud. La Corte de Apelaciones de Santiago había minimizado el impacto, descartando que esta revelación no autorizada de la ficha clínica del actor generará un daño indemnizable. Sin embargo, la Corte Suprema fue clara: la vulneración de la privacidad y el deber de confidencialidad deviene en un ilícito extracontractual, pues constituye un daño moral derivado de la violación al derecho de privacidad del titular que debe ser reparado.
La decisión llega en un momento en que Chile se prepara para la entrada en vigencia de la Ley Nº 21.719 a partir de diciembre de 2026, que reformó la Ley Nº 19.628 y viene a instaurar un régimen mucho más estricto para el tratamiento de datos personales. Dentro de este marco, los datos sensibles —como los de salud, biométricos, creencias religiosas u orientación sexual— reciben una protección reforzada. No se trata sólo de una formalidad: la nueva ley contempla un nuevo régimen sancionatorio, el artículo 34 quáter prescribe como infracción gravísima a la vulneración del deber de secreto o confidencialidad, así como la comunicación de datos sensibles, con multas de hasta 20.000 UTM ($1.372.940.000 pesos chilenos) lo que en unísono con la creación de la Agencia de Protección de Datos Personales, debería velar por el cumplimiento de la ley, especialmente en materia de tratamiento de datos de alta exposición como los relativos a la ficha clínica.
Lo que demuestra este fallo es que el derecho ya no tolerará falta de diligencia en la custodia de información sensible, especialmente desde diciembre de 2026. La lógica de “error involuntario” o de “ausencia de daño material” no puede ser utilizada para evadir responsabilidades. La privacidad y la dignidad de las personas están en el centro de la discusión, y su afectación —aun cuando no existan pérdidas económicas directas— configura un atentado contra los derechos fundamentales protegidos constitucionalmente en el artículo 19 N°4, bajo los amplios términos de “vida privada”.
Este precedente es también una advertencia para todas las instituciones que gestionan información de salud: hospitales, clínicas, laboratorios, aseguradoras y prestadores de servicios tecnológicos vinculados al sector. El estándar de diligencia exigido por la Corte Suprema es claro: no basta con ofrecer prestaciones médicas; es indispensable garantizar que los datos sensibles de los pacientes estén protegidos por protocolos, barreras tecnológicas y responsabilidades contractuales sólidas.
La sentencia debería, además, encender una señal de alerta en la opinión pública. La protección de datos personales no es un tema abstracto reservado a especialistas, sino una condición básica para la vida en sociedad. Que un diagnóstico tan íntimo como el de VIH quede expuesto por fallas en el sistema revela el rol esencial que tienen las organizaciones sobre nuestra intimidad y la fragilidad de los mecanismos para protegerla.
La Corte Suprema no sólo reparó en la situación de un demandante, sino que envió un mensaje a todo el país: la vulneración de datos sensibles acarrea serias consecuencias. Con la entrada en vigencia de la nueva ley y la creación de la Agencia de Protección de Datos, los casos como éste no deberían ser la excepción anecdótica, sino el punto de partida para una cultura de responsabilidad y respeto por la intimidad de las personas. La lección es clara: proteger los datos sensibles no es un lujo, es una obligación ineludible.
