Datos personales y plataformas de cannabis: lo que exige la regulación LatAm en 2026

Resumen

Toda plataforma que registre pacientes de cannabis medicinal —agrupaciones, preparados magistrales, programas de seguimiento clínico, sistemas de gestión de cultivo asociativo— trata, por definición, datos relativos a la salud de personas identificadas. En las cinco principales jurisdicciones de la región esa categoría de información recibe protección reforzada por ley: la Ley 21.719 en Chile, la Ley 25.326 en Argentina, la Ley 18.331 en Uruguay, la Ley 13.709 (LGPD) en Brasil y la Ley 1581 en Colombia. El cumplimiento no es opcional ni derivado del marco sanitario del cannabis: es una obligación autónoma del régimen general de protección de datos de cada país. Este artículo compara cuatro ejes operativos —tratamiento de datos sensibles de salud, figura del responsable o encargado de protección de datos, plazos de conservación y transferencias internacionales— para una plataforma que opere en varios de estos países.

El dato clínico cannábico es un dato sensible

El primer punto, transversal a las cinco leyes, es de categorización. La información de que una persona usa cannabis medicinal, su diagnóstico, su prescripción o su evolución es un dato personal relativo a la salud, y la salud es una categoría especial —o "dato sensible"— en todos los regímenes analizados.

En Chile, la Ley 21.719, que moderniza el régimen de protección de datos y crea la Agencia de Protección de Datos Personales, trata los datos de salud como categoría de especial protección sujeta a reglas reforzadas de tratamiento. En Argentina, la Ley 25.326 de Protección de los Datos Personales, fiscalizada por la autoridad de control nacional, clasifica los datos relativos a la salud como datos sensibles con régimen restrictivo. En Uruguay, la Ley 18.331, supervisada por la Unidad Reguladora y de Control de Datos Personales (URCDP), sigue la misma lógica de categoría especial. En Brasil, la Lei Geral de Proteção de Dados (Ley 13.709), bajo la Autoridade Nacional de Proteção de Dados (ANPD), define los datos referentes a la salud como dados pessoais sensíveis. En Colombia, la Ley 1581 de 2012, vigilada por la Superintendencia de Industria y Comercio (SIC), incorpora la salud entre los datos sensibles con tratamiento prohibido salvo excepciones expresas.

La consecuencia práctica es uniforme: una plataforma de cannabis medicinal no puede tratar estos datos bajo el régimen general. Requiere base de licitud habilitante reforzada —en la mayoría de los marcos, el consentimiento expreso e informado del titular, o una habilitación legal específica—, finalidad determinada y medidas de seguridad acordes a la sensibilidad de la información. El detalle de las bases de licitud admisibles para datos de salud en cada ley conviene confirmarlo en el texto oficial respectivo [VERIFICAR FUENTE], pero la calificación como dato sensible es común a las cinco jurisdicciones.

Responsable o encargado de protección de datos

El segundo eje es la figura orgánica que la empresa debe designar para gobernar el tratamiento. Aquí los marcos divergen en exigibilidad.

La LGPD brasileña (Ley 13.709) prevé expresamente la figura del encarregado —el encargado de protección de datos, equivalente funcional al DPO—, como punto de contacto entre el controlador, los titulares y la ANPD. Para un operador que trate datos de salud a escala, esa designación y su publicidad son un requisito estructural del modelo brasileño.

En el caso chileno, la Ley 21.719 introduce obligaciones de gobernanza, modelos de cumplimiento y deberes reforzados para tratamientos de datos sensibles; el alcance preciso de la exigencia de una función dedicada de protección de datos conviene verificarlo en el articulado y en los pronunciamientos de la Agencia de Protección de Datos Personales [VERIFICAR FUENTE]. Argentina (Ley 25.326), Uruguay (Ley 18.331) y Colombia (Ley 1581) estructuran la responsabilidad principalmente en torno a la figura del responsable del tratamiento o de la base de datos, con deberes de registro, seguridad y atención de derechos de los titulares ante la autoridad de control respectiva. Con independencia de la denominación legal, el efecto operativo es que la plataforma debe tener una función identificable —interna o designada— que responda por el tratamiento ante el titular y ante la autoridad.

Plazos de conservación y minimización

El tercer eje es temporal. Ninguno de los cinco regímenes autoriza conservar datos personales de salud de forma indefinida: rigen los principios de finalidad y de minimización, que obligan a conservar los datos solo mientras subsista la finalidad que justificó su recolección y por el plazo que la normativa aplicable permita.

Esto genera una tensión específica para las plataformas de cannabis medicinal. El marco sanitario del cannabis puede exigir conservar cierta documentación —prescripciones, trazabilidad de producto, registros de dispensación— por plazos determinados, mientras que el régimen de protección de datos exige no retener información personal más allá de lo necesario. La plataforma debe poder distinguir el dato cuya retención impone la norma sanitaria del dato personal que debe depurarse o anonimizarse al cesar la finalidad. Los plazos concretos de conservación no son uniformes entre las cinco leyes ni entre los marcos sanitarios de cada país, y deben establecerse caso a caso conforme al texto legal y a los pronunciamientos de la autoridad correspondiente —Agencia (CL), autoridad de control (AR), URCDP (UY), ANPD (BR), SIC (CO)— [VERIFICAR FUENTE]. El requisito de diseño, en cambio, sí es común: políticas de retención explícitas, mecanismos de depuración y trazabilidad del ciclo de vida del dato.

Transferencias internacionales

El cuarto eje es crítico para cualquier plataforma SaaS regional, porque el alojamiento en la nube y la operación multipaís implican transferencia de datos fuera de la jurisdicción de origen.

Los cinco marcos regulan el flujo transfronterizo de datos personales. La LGPD (Ley 13.709) condiciona la transferencia internacional a la existencia de un nivel adecuado de protección en el país de destino o a salvaguardas específicas como cláusulas contractuales, bajo supervisión de la ANPD. Colombia, bajo la Ley 1581 y la doctrina de la SIC, restringe la transferencia a países que no garanticen estándares adecuados salvo cumplimiento de condiciones habilitantes. Argentina (Ley 25.326), Uruguay (Ley 18.331) y Chile (Ley 21.719) contemplan igualmente reglas de transferencia internacional que exigen, en términos generales, garantías de protección equivalentes o instrumentos contractuales que las suplan. Las condiciones precisas, las listas de países con protección adecuada y los instrumentos contractuales admitidos varían por jurisdicción y se actualizan por la autoridad de control de cada país [VERIFICAR FUENTE].

La implicancia para la arquitectura es directa: una plataforma de cannabis medicinal que aloje datos clínicos de pacientes de varios países no puede asumir un único régimen. Debe mapear, por cada país de origen de los datos, dónde se almacenan y procesan, y disponer de la base habilitante de transferencia que exija esa jurisdicción —localización de datos cuando corresponda, cláusulas contractuales, o evaluación de adecuación del destino.

Implicancias para el diseño de la plataforma

De la comparación se desprende un conjunto de requisitos transversales. La plataforma debe tratar todo dato clínico cannábico como dato sensible por defecto, con base de licitud reforzada y registro del consentimiento. Debe tener una función identificable de gobierno de datos que responda ante el titular y ante la autoridad de control de cada país donde opere. Debe implementar políticas de retención explícitas que reconcilien el plazo sanitario del cannabis con la minimización exigida por la ley de datos. Y debe gobernar las transferencias internacionales país por país, no bajo un régimen único.

Esa es la línea de trabajo de la tecnología vertical de CannaTech: sistemas para el sector de cannabis medicinal diseñados desde el cumplimiento de protección de datos de cada jurisdicción regional, de modo que el tratamiento del dato clínico del paciente quede gobernado conforme a la ley aplicable y no como una consideración posterior.

Fuentes

• Ley N° 21.719 (Chile) — régimen de protección de datos personales; Agencia de Protección de Datos Personales.
• Ley N° 25.326 (Argentina) — Protección de los Datos Personales; autoridad de control nacional en la materia.
• Ley N° 18.331 (Uruguay) — Protección de Datos Personales y Acción de Habeas Data; Unidad Reguladora y de Control de Datos Personales (URCDP).
• Ley N° 13.709 (Brasil) — Lei Geral de Proteção de Dados Pessoais (LGPD); Autoridade Nacional de Proteção de Dados (ANPD).
• Ley N° 1581 de 2012 (Colombia) — régimen general de protección de datos personales; Superintendencia de Industria y Comercio (SIC).