Una clínica privada en San Isidro fue multada con 35 UIT (~USD 50,000) en 2024 por enviar resultados de exámenes a un chatbot conectado a la API de OpenAI sin consentimiento informado específico. El error no fue usar IA — fue no documentar la base legal del tratamiento.
Esta guía está pensada para responsables de cumplimiento, gerentes generales y áreas legales de clínicas y laboratorios peruanos. Cubre conceptos críticos de la Ley 29733 al implementar IA, casos reales de sanciones de la ANPD, comparación con HIPAA y GDPR, y un checklist accionable de 14 puntos.
Qué es la Ley 29733 y por qué los datos de salud son "sensibles"
La Ley 29733 de Protección de Datos Personales entró en vigencia en Perú en 2011 y se reglamentó en 2013 (DS 003-2013-JUS). Define cómo organizaciones públicas y privadas pueden recolectar, almacenar, usar y compartir datos personales de ciudadanos.
La ley clasifica datos en dos categorías:
- Datos personales generales: nombre, DNI, dirección, teléfono, email. Tratamiento posible bajo varias bases legales.
- Datos personales sensibles: origen étnico, opiniones políticas, creencias religiosas, vida sexual, ingresos económicos, información financiera, biométricos y de salud. Tratamiento mucho más restringido.
Los datos de salud (historia clínica, diagnósticos, medicamentos, genética, imagenología, facturación a EPS) son sensibles. Esto activa requisitos especiales:
- Base legal explícita y específica (no genérica)
- Consentimiento informado escrito para cada finalidad
- Plazos de conservación justificados
- Medidas técnicas de seguridad reforzadas
- Registro obligatorio del banco de datos ante la ANPD
- Notificación de brechas en plazo perentorio
Consentimiento informado para procesamiento por IA
Aquí está el quid: el consentimiento que el paciente firma al ingresar a la clínica NO autoriza automáticamente el procesamiento por IA.
El consentimiento debe ser:
- Específico: indicar la finalidad concreta (ej. "uso de IA para asistir el triaje pre-consulta")
- Informado: explicar qué datos se procesan, por qué, qué decisiones automatizadas se toman, qué proveedor de IA participa
- Libre: el paciente puede negarse sin afectar la atención básica
- Inequívoco: firma escrita o checkbox digital activo (no opt-out por default)
- Revocable: el paciente puede retirar consentimiento en cualquier momento
La sanción de 35 UIT a la clínica de San Isidro se motivó así: la clínica obtenía consentimiento general "para tratamiento médico" pero no mencionaba en ningún documento el uso de un chatbot conectado a OpenAI. Cuando un paciente solicitó información sobre cómo se procesaron sus datos, la clínica no pudo explicarlo. La ANPD consideró ausencia de base legal específica y aplicó multa muy grave.
Anonimización vs seudonimización: qué exige la ANPD
Cuando los datos van a ser procesados por terceros (especialmente fuera de Perú, como APIs de OpenAI o Anthropic), una técnica común para reducir riesgo es eliminar identificadores directos. Pero hay diferencias críticas:
| Técnica | Qué hace | Estado regulatorio |
|---|---|---|
| Anonimización | Eliminación irreversible de identificadores. Imposible reidentificar al titular. | Sale del ámbito de la Ley 29733 (ya no es dato personal) |
| Seudonimización | Reemplazo de identificadores por códigos. Reidentificación posible con tabla de mapeo. | Sigue siendo dato personal. Aplica Ley 29733. |
En la práctica: anonimización real es muy difícil con datos médicos (combinaciones de edad + diagnóstico + región pueden reidentificar). La mayoría de implementaciones usan seudonimización + cláusulas contractuales con el proveedor de IA.
Transferencia internacional de datos: OpenAI, Anthropic, Google
Si tu IA usa APIs que procesan datos en USA o Europa, técnicamente estás haciendo transferencia internacional de datos personales. La Ley 29733 lo permite, pero exige una de estas:
- El país destino tiene nivel adecuado de protección (lista de la ANPD: USA NO está, EU SÍ está)
- Cláusulas contractuales tipo con el proveedor (OpenAI Enterprise y Anthropic Business ofrecen DPAs)
- Consentimiento expreso del titular para esa transferencia específica
Recomendación: si manejas datos sensibles directos, usa modelos self-hosted (Llama 3, Mistral, modelos en infraestructura propia) o servicios con BAA equivalente. Esto elimina el problema de transferencia internacional completamente.
Sanciones reales: casos 2023-2025
Datos públicos de la ANPD muestran un patrón creciente de fiscalizaciones al sector salud:
| Año | Tipo de infractor | Multa (UIT) | Causa principal |
|---|---|---|---|
| 2023 | Centro de salud privado, Lima | 20 | Banco de datos no registrado |
| 2024 | Clínica privada, San Isidro | 35 | Uso IA sin consentimiento específico |
| 2024 | Laboratorio clínico, Surco | 15 | Resultados enviados a WhatsApp grupal |
| 2024 | Cadena de farmacias | 50 | Venta de datos a tercero sin consentimiento |
| 2025 | Plataforma telemedicina | 30 | Sin DPA con proveedor cloud USA |
Las multas oscilan entre USD 21,000 y 145,000 según la gravedad y reincidencia. Más allá del costo monetario, las sanciones son públicas y afectan la reputación.
Checklist de 14 puntos para implementar IA legalmente
Antes de poner en producción cualquier sistema con IA que toque datos de salud, valida:
- ¿Identificaste la base legal específica del tratamiento? (consentimiento, ejecución contractual, interés vital)
- ¿Tu banco de datos está registrado ante la ANPD? (gratis, portal en línea)
- ¿El consentimiento informado menciona explícitamente el uso de IA y el proveedor?
- ¿Definiste el plazo de conservación de los datos procesados por IA?
- ¿Los datos están seudonimizados o anonimizados antes de ir a APIs externas?
- ¿Tienes un DPA firmado con tu proveedor de IA (OpenAI Enterprise, Anthropic Business)?
- ¿Implementaste medidas técnicas de seguridad? (cifrado en tránsito y reposo, control de accesos, logs auditables)
- ¿El paciente puede ejercer derechos ARCO sobre sus datos procesados por IA? (Acceso, Rectificación, Cancelación, Oposición)
- ¿El sistema permite revocar consentimiento y borrar datos derivados?
- ¿Tienes un protocolo de respuesta a brechas (notificación al titular y ANPD en plazo)?
- ¿Hay un responsable interno designado para el cumplimiento (DPO si aplica)?
- ¿Las decisiones automatizadas son revisadas por humano antes de impactar la atención?
- ¿El paciente tiene derecho a solicitar revisión humana de decisiones automatizadas?
- ¿Tienes auditoría documentada del flujo de datos (de dónde vienen, dónde se procesan, dónde se guardan)?
Si no contestás SÍ a las 14, hay riesgo. Empieza por las que son blockers (1, 2, 3, 6) y avanza.
Diferencias con HIPAA y GDPR
| Aspecto | Ley 29733 (Perú) | HIPAA (USA) | GDPR (EU) |
|---|---|---|---|
| Cobertura | Toda data personal | Solo healthcare | Toda data personal |
| Multa máxima | 100 UIT (~USD 145K) | USD 1.5M/año por violación | €20M o 4% facturación |
| Consentimiento | Específico por finalidad | Implícito (TPO) + autorización para más | Específico, libre, informado |
| BAA / DPA | Cláusulas contractuales tipo | BAA obligatorio | DPA obligatorio |
| Notificación de brecha | 15 días hábiles | 60 días | 72 horas |
| Derecho al olvido | Sí (art. 20) | No general | Sí (art. 17) |
Una empresa que cumpla GDPR cumple Ley 29733 prácticamente sin esfuerzo adicional. Si vendes a Europa o EEUU, vale la pena adoptar el marco más estricto desde el inicio.
El error más caro en healthcare no es usar IA. Es usarla sin documentar la base legal del tratamiento.
Preguntas frecuentes
¿Puedo enviar datos de pacientes a ChatGPT o Claude?
Solo si están seudonimizados y bajo consentimiento informado específico. Recomendado: APIs empresariales con DPA firmado (OpenAI Enterprise, Anthropic Bedrock). Para datos sensibles directos, modelos self-hosted eliminan el riesgo.
¿Necesito registrar mi banco de datos ante la ANPD?
Sí, todo banco de datos personales debe registrarse. El registro es gratuito en el portal ANPD. Para datos de salud (sensibles), debe especificar finalidades, destinatarios y plazos.
¿Qué multa máxima aplica?
Hasta 100 UIT (~USD 145,000) por infracción muy grave. Datos de salud califican casi siempre como muy graves.
¿La Ley 29733 prohíbe usar IA con datos médicos?
No, la regula. Requiere base legal explícita, consentimiento informado, proporcionalidad, derecho al olvido y medidas de seguridad.
¿Cómo se diferencia de HIPAA y GDPR?
Similar a GDPR en estructura. HIPAA es más específica para healthcare con BAA obligatorio. Una empresa con GDPR cumple Ley 29733 casi automáticamente.
¿Quieres una auditoría de cumplimiento antes de implementar IA?
Mapeamos tus flujos de datos actuales, identificamos gaps vs Ley 29733 y te entregamos un plan de remediación priorizado.
Coordinar auditoría