Volver al blogLegal

Ley 25.326: qué deben saber los médicos sobre protección de datos personales

Los datos de tus pacientes son datos sensibles protegidos por ley. Conocé tus obligaciones, los riesgos y cómo cumplir sin complicarte.

Equipo MedicAI16 de marzo de 20264 min de lectura

Tus pacientes te confían sus datos más íntimos

Cuando un paciente entra a tu consultorio, te comparte información que no le cuenta a nadie: antecedentes psiquiátricos, enfermedades de transmisión sexual, adicciones, resultados de estudios genéticos. Son los datos más sensibles que existen.

La Ley 25.326 de Protección de Datos Personales regula cómo debés tratar estos datos. Y las consecuencias de no cumplir son serias.

Qué dice la ley

Datos sensibles

Los datos de salud son datos sensibles — la categoría de mayor protección. Esto incluye:

  • Diagnósticos
  • Antecedentes médicos
  • Resultados de estudios
  • Tratamientos y medicación
  • Estado psicológico/psiquiátrico
  • Información genética

Tus obligaciones como profesional

  1. Consentimiento informado: Debés obtener consentimiento expreso para tratar datos de salud. El consentimiento general de atención no alcanza
  2. Finalidad: Solo podés usar los datos para la finalidad declarada (atención médica). No podés venderlos, compartirlos con terceros sin autorización, ni usarlos para marketing
  3. Seguridad: Debés implementar medidas de seguridad "adecuadas" para proteger los datos
  4. Acceso: El paciente tiene derecho a acceder a todos sus datos en cualquier momento
  5. Rectificación: El paciente puede pedir que corrijas datos incorrectos
  6. Supresión: El paciente puede pedir que elimines sus datos (con excepciones para historias clínicas)

¿Qué son "medidas de seguridad adecuadas"?

La ley no especifica exactamente qué tecnologías usar, pero la Disposición 11/2006 de la AAIP establece tres niveles:

  • Nivel básico: Control de acceso, procedimiento de respaldo, registro de incidentes
  • Nivel medio: Auditoría de acceso, control de acceso físico, pruebas de seguridad
  • Nivel crítico (datos de salud): Encriptación, distribución en servidores separados, registro detallado de acceso

Los datos de salud requieren el nivel crítico. Esto significa encriptación obligatoria.

Los riesgos reales

Sanciones administrativas

La AAIP puede aplicar:

  • Apercibimiento: Un aviso formal
  • Multa: De $1.000 a $100.000 (actualizable por inflación)
  • Clausura del archivo: Te prohiben seguir tratando datos

Responsabilidad civil

Si los datos de un paciente se filtran por negligencia tuya:

  • Daño moral: El paciente puede demandarte por el daño emocional
  • Daño material: Si la filtración le causó perjuicio económico
  • Daño punitivo: En casos graves de negligencia

Responsabilidad penal

La Ley 26.388 (delitos informáticos) tipifica:

  • Acceso indebido a datos personales
  • Revelación de información confidencial
  • Inserción de datos falsos en archivos

Qué pasa en la práctica

Escenario 1: El Excel compartido

Tenés un Excel con datos de 500 pacientes en Google Drive. Tu secretaria accede desde su celular personal. Un día pierde el celular.

Resultado: 500 pacientes con datos de salud expuestos. Sin encriptación, sin posibilidad de borrado remoto, sin registro de quién accedió.

Escenario 2: El WhatsApp del consultorio

Mandás informes de laboratorio por WhatsApp al paciente. El paciente cambió de número y no te avisó. Alguien más recibe los resultados de HIV.

Resultado: Violación de la Ley 25.326 + posible demanda civil.

Escenario 3: La notebook robada

Te roban la notebook del consultorio con historias clínicas sin encriptación de disco.

Resultado: Todos los datos accesibles para el ladrón (o quien compre la notebook usada).

Cómo cumplir sin ser experto en seguridad

No necesitás un departamento de IT. Necesitás un sistema que cumpla por vos:

1. Encriptación de datos en reposo

Los datos de pacientes deben estar encriptados cuando están almacenados. AES-256-GCM es el estándar de la industria.

2. Control de acceso por rol

No todos necesitan ver todo. Tu secretaria necesita ver turnos y datos de contacto, pero no necesariamente diagnósticos o historias clínicas completas.

3. Registro de auditoría

Cada acceso a datos de paciente debe quedar registrado: quién accedió, cuándo, a qué datos. Esto es obligatorio para el nivel crítico.

4. Backup encriptado

Los respaldos también deben estar encriptados. Un backup en texto plano es tan vulnerable como los datos originales.

5. Transmisión segura

Los datos en tránsito (entre tu dispositivo y el servidor) deben estar protegidos con TLS/HTTPS.

Cómo MedicAI cumple la Ley 25.326

MedicAI implementa el nivel crítico de seguridad:

  • AES-256-GCM: Todos los datos de pacientes encriptados en reposo
  • RLS (Row-Level Security): Aislamiento por organización a nivel de base de datos
  • Auditoría WORM: Registro inmutable de cada acceso y modificación
  • Control de acceso granular: Cada rol ve solo lo que necesita
  • Backups automáticos: Encriptados y verificados
  • Blind indexing: Permite buscar datos encriptados sin desencriptarlos

No tenés que pensar en seguridad. El sistema lo hace por vos, cumpliendo la ley desde el primer día.

¿Querés proteger los datos de tus pacientes sin complicarte? MedicAI encripta todos los datos con AES-256 y cumple Ley 25.326.

Artículos relacionados

Legal

Consentimiento informado digital: qué dice la ley en Argentina

El consentimiento informado es obligatorio por ley. Qué exige la Ley 26.529, si vale en formato digital y cómo implementarlo.

16 de mar de 20265 min
Legal

Historia clínica electrónica: qué exige la Ley 26.529 y cómo cumplir

La Ley 26.529 regula la historia clínica en Argentina. Conocé los requisitos legales de inmutabilidad, retención y acceso, y cómo cumplir con un sistema digital.

16 de mar de 20265 min
Legal

Receta electrónica en Argentina 2026: qué cambia y cómo adaptarte

La Ley 27.553 impulsa la receta digital en Argentina. Conocé el marco legal, los requisitos técnicos y cómo preparar tu consultorio para el cambio.

16 de mar de 20264 min
Ley 25.326: qué deben saber los médicos sobre protección de datos personales | MedicAI Argentina