Expediente clínico electrónico: lo que debe cumplir el software antes de que lo contrates

Decidiste dar el salto: dejar las carpetas de papel (o el Excel disfrazado de expediente) y contratar un sistema digital para tu consultorio. Buena decisión. Pero antes de firmar, necesitas saber algo: no cualquier software cumple con lo que la ley exige en México.

La NOM-024-SSA3-2012 establece requisitos técnicos específicos para los Sistemas de Información de Registro Electrónico para la Salud (SIRES). Si tu software no los cumple, podrías estar invirtiendo en una herramienta que no te protege legalmente y que incluso podría generarte problemas.

¿A quién aplica la NOM-024?

A todo establecimiento de salud que adopte un sistema electrónico de expediente — público o privado — y a las empresas que desarrollen o comercialicen dichos sistemas. Si usas un software para registrar datos clínicos de pacientes, te aplica.

Importante: un archivo de Word, un Excel o notas en WhatsApp no son un expediente electrónico válido. No tienen firma electrónica, no tienen control de acceso por roles, no tienen bitácoras de auditoría. Usar esas herramientas para datos clínicos te expone más que protegerte.

Los 6 requisitos técnicos que tu software debe cumplir

1. Autenticación de usuarios

Cada persona que accede al sistema debe tener usuario y contraseña propios. No se comparten credenciales. La NOM-024 exige autenticación robusta: contraseñas fuertes con expiración periódica. Se recomienda autenticación multifactor (MFA) para cuentas con acceso a datos sensibles.

Pregunta al proveedor: ¿el sistema soporta cuentas individuales por usuario? ¿Tiene política de contraseñas configurable? ¿Ofrece MFA?

2. Control de acceso basado en roles

No todos en tu consultorio necesitan ver todo. La NOM-024 exige perfiles de acceso diferenciados:

• Médico/dentista: acceso completo a expedientes de sus pacientes, puede crear y editar notas clínicas.
• Asistente/recepcionista: puede agendar citas, ver datos de contacto, registrar datos administrativos. No debería poder editar notas clínicas.
• Administrador: gestión de usuarios, configuración del sistema, reportes. No necesariamente ve datos clínicos.

Pregunta al proveedor: ¿puedo definir qué ve y qué hace cada tipo de usuario? ¿Puedo restringir el acceso a información clínica por rol?

3. Cifrado de datos

Los datos clínicos deben estar protegidos en dos momentos:

• En tránsito: cuando viajan entre tu computadora y el servidor (HTTPS/TLS 1.2+ obligatorio). Si la URL del sistema no empieza con "https://", no cumple.
• En reposo: cuando están almacenados en la base de datos o en discos duros (cifrado AES-256 o equivalente). Si alguien roba el disco o accede al servidor, los datos deben ser ilegibles sin la clave de descifrado.

Pregunta al proveedor: ¿los datos están cifrados en reposo y en tránsito? ¿Qué algoritmos de cifrado usan? Si no saben responder esta pregunta con detalle, es una señal de alerta.

4. Respaldos automáticos

La NOM-024 exige que el sistema garantice la disponibilidad de la información. Eso significa:

• Copias de seguridad automáticas (diarias como mínimo)
• Almacenamiento en ubicación geográficamente separada (si el servidor está en tu consultorio y hay un incendio, los datos se pierden si el respaldo está en el mismo lugar)
• Capacidad de restauración verificada (que alguien haya probado que el respaldo realmente funciona)

Pregunta al proveedor: ¿cada cuánto se respaldan los datos? ¿Dónde se almacenan los respaldos? ¿Han probado restaurar un respaldo exitosamente? ¿Qué pasa con mis datos si cancelo el servicio?

5. Bitácoras de auditoría

El sistema debe registrar automáticamente:

• Quién accedió a qué expediente y cuándo
• Qué se creó, modificó o eliminó
• Inicios y cierres de sesión
• Exportaciones o impresiones de datos

Estas bitácoras deben conservarse al menos durante el periodo de retención del expediente (5 años). Son tu evidencia de trazabilidad: si alguien cuestiona quién hizo una modificación, el log lo demuestra.

Pregunta al proveedor: ¿el sistema registra un historial de accesos y cambios? ¿Puedo consultarlo? ¿Es inalterable?

6. Firma electrónica

La NOM-024 exige que las notas clínicas y documentos críticos (consentimientos, recetas) puedan firmarse electrónicamente con validez legal. No es un simple "nombre del doctor al final de la nota"; es una firma electrónica avanzada que garantiza autenticidad y no repudio.

En la práctica, pocos sistemas para consultorios pequeños implementan firma electrónica avanzada con certificado del SAT o equivalente. Pero el sistema debería, como mínimo, vincular cada nota al usuario autenticado que la creó, con timestamp inalterable.

Pregunta al proveedor: ¿cómo se firman las notas clínicas? ¿La firma está vinculada al usuario que inició sesión? ¿Se puede demostrar quién creó o modificó cada registro?

Interoperabilidad: el requisito que pocos cumplen

La NOM-024 también exige que los sistemas puedan intercambiar información usando estándares como HL7 y FHIR. En la práctica, esto importa cuando:

• Necesitas enviar resultados a otro prestador de salud
• Un paciente solicita la transferencia de su expediente a otro consultorio
• Debes reportar datos a autoridades sanitarias (vigilancia epidemiológica)

Para un consultorio pequeño, la prioridad práctica es que el sistema te permita exportar los datos del paciente en un formato abierto y estándar (CSV, PDF, o un formato estructurado). Si el proveedor te tiene "secuestrado" y no puedes sacar tus datos, eso es un riesgo operativo y legal.

Certificación NOM-024: ¿es obligatoria?

Existe un proceso de certificación administrado por la DGIS (Dirección General de Información en Salud) que evalúa 4 aspectos:

• Sistema de gestión de seguridad de la información
• Guías de intercambio de información
• Catálogos fundamentales
• Datos mínimos de identificación de personas

La certificación no es obligatoria para que uses un software, pero sí da mayor respaldo legal. Si tu proveedor la tiene (o está en proceso), es un punto a favor. Si no la tiene, tú como prestador de salud sigues siendo responsable de que el sistema cumpla los requisitos básicos.

Las 5 preguntas antes de contratar

Resume tu evaluación con estas preguntas directas al proveedor:

• 1. ¿Qué pasa con mis datos si cancelo? La respuesta correcta es: "te los entregamos en un formato que puedas usar". Si la respuesta es evasiva, no contrates.
• 2. ¿Los datos están cifrados en reposo y en tránsito? Si no saben qué es cifrado en reposo, su seguridad es insuficiente.
• 3. ¿Puedo definir qué ve cada usuario según su rol? Si el sistema es "todos ven todo", no cumple con la NOM-024.
• 4. ¿Cada cuánto se respaldan los datos y dónde? "En la nube" no es suficiente como respuesta. Necesitas saber dónde, cada cuánto y si han probado restaurar.
• 5. ¿El sistema genera bitácoras de quién accede y modifica registros? Sin logs de auditoría, no tienes trazabilidad y la NOM-024 no se cumple.

Lo que no te dice ningún vendedor

Un software no te hace cumplir la norma automáticamente. El software es la herramienta; el cumplimiento depende de cómo lo uses.

• Si tienes el mejor sistema pero nadie registra notas de evolución, no cumples.
• Si el sistema tiene roles pero todos usan la misma cuenta de "admin", no cumples.
• Si hay cifrado pero la contraseña es "123456" y no se cambia nunca, no cumples.

El sistema correcto te facilita el cumplimiento. Pero la disciplina de registro, la configuración de roles y las políticas de seguridad son responsabilidad tuya.

Elige un software que haga lo correcto fácil y lo incorrecto difícil. Y después, úsalo como se debe.