Recomendaciones DP Expedientes Clinicos

RECOMENDACIONES SOBRE EL TRATAMIENTO DE
L O S D AT O S P E R S O N A L E S
EN LOS EXPEDIENTES CLÍNICOS
DE LAS INSTITUCIONES DE SALUD PÚBLICA
Recomendaciones para orientar el debido tratamiento de datos personales en los expedientes clínicos de las instituciones de salud pública
Directorio
Blanca Lilia Ibarra Cadena

Comisionada Presidente
Francisco Javier Acuña Llamas

Comisionado
Adrián Alcalá Méndez

Comisionado
Norma Julieta Del Río Venegas

Comisionada
Oscar Mauricio Guerra Ford

Comisionado
Rosendoevgueni Monterrey Chepov

Comisionado
Josefina Román Vergara

Comisionada
Instituto Nacional de Transparencia, Acceso a la Información

y Protección de Datos Personales
Insurgentes Sur 3211, Colonia Insurgentes Cuicuilco,

Alcaldía Coyoacán, Código Postal 04530,
Ciudad de México.
2
Contenido
DIRECTORIO................................................................................................................................................................................................................................. 2
GLOSARIO...................................................................................................................................................................................................................................... 5
INTRODUCCIÓN....................................................................................................................................................................................................................... 4
CAPÍTULO 1................................................................................................................................................................................................................................12
PROPÓSITOS Y POBLACIÓN OBJETIVO.............................................................................................................................................................12
a) Propósitos.................................................................................................................................................................................................................12
b) Población Objetivo.............................................................................................................................................................................................12
CAPÍTULO 2................................................................................................................................................................................................................................13
EL EXPEDIENTE CLÍNICO................................................................................................................................................................................................13
Titulares del Expediente Clínico...................................................................................................................................................................15
Elementos principales..........................................................................................................................................................................................15
Requisitos del Expediente Clínico...............................................................................................................................................................16
Usos del Expediente Clínico............................................................................................................................................................................17
CLASIFICACIÓN DE LOS EXPEDIENTES CLÍNICOS...................................................................................................................................18
Expediente físico.......................................................................................................................................................................................................18
Expediente Clínico electrónico......................................................................................................................................................................18
CAPÍTULO 3................................................................................................................................................................................................................................21
TRANSFERENCIAS DE LOS EXPEDIENTES CLÍNICOS............................................................................................................................21
Transferencias Internacionales..................................................................................................................................................................... 23
CAPÍTULO 4............................................................................................................................................................................................................................... 24
PORTABILIDAD DE LOS EXPEDIENTES CLÍNICOS.................................................................................................................................... 24
CAPÍTULO 5...............................................................................................................................................................................................................................29
RESPONSABLES EN EL MANEJO DEL EXPEDIENTE CLÍNICO....................................................................................................... 29
CAPÍTULO 6...............................................................................................................................................................................................................................30
OBLIGACIONES PARA LOS RESPONSABLES EN LA PROTECCIÓN DE DATOS PERSONALES EN
LOS EXPEDIENTES CLÍNICOS....................................................................................................................................................................................30

CAPÍTULO 7............................................................................................................................................................................................................................... 34
EL TRATAMIENTO DE LOS DATOS PERSONALES POR PARTE DE LOS ENCARGADOS
EN LOS EXPEDIENTES CLÍNICOS............................................................................................................................................................................ 34
CAPÍTULO 8...............................................................................................................................................................................................................................38
DERECHOS DE ACCESO, RECTIFICACIÓN, CANCELACIÓN Y OPOSICIÓN (ARCO)
EN EL EXPEDIENTE CLÍNICO......................................................................................................................................................................................38
CAPÍTULO 9................................................................................................................................................................................................................................41
RECOMENDACIONES GENERALES PARA EL TRATAMIENTO DE LOS DATOS PERSONALES DEL
EXPEDIENTE CLÍNICO Y AUTORIADES REGULADORAS..................................................................................................................... 41
a) Medidas y recomendaciones................................................................................................................................................................... 44
b) Autoridades reguladoras.............................................................................................................................................................................46
3
GLOSARIO
ARCO: Derechos de Acceso, Rectificación, para la atención médica, ya sea público, social
Cancelación y Oposición. o privado, el cual, consta de documentos
escritos, gráficos, imagenológicos, electrónicos,
Atención médica: Al conjunto de servicios que magnéticos, electromagnéticos, ópticos,
se proporcionan al individuo, con el fin de pro- magneto-ópticos y de cualquier otra índole, en
mover, proteger y restaurar su salud.1 los cuales, el personal de salud deberá hacer los
registros, anotaciones, en su caso, constancias y
CONAMED: Comisión Nacional de Arbitraje certificaciones correspondientes a su intervención
Médico. en la atención médica del paciente, con apego a
las disposiciones jurídicas aplicables.5
Constitución o Carta Magna: Constitución Polí-
tica de los Estados Unidos Mexicanos. Expediente clínico electrónico: Es el conjunto
de información almacenada en medios electró-
Datos Personales: Cualquier información con- nicos centrada en el paciente que documenta
cerniente a una persona física identificada o la atención médica prestada por profesionales
identificable. 2 de la salud con arreglo a las disposiciones sa-
nitarias, dentro de un establecimiento de salud.6
Datos personales sensibles: Los que se refie-
ren a la esfera más íntima de su titular, o cuya INAI o Instituto: Instituto Nacional de Transpa-
utilización indebida pueda dar origen a discri- rencia, Acceso a la Información y Protección de
minación o conlleva un riesgo grave para éste.3 Datos Personales.
DOF: Diario Oficial de la Federación. IMSS: Instituto Mexicano del Seguro Social.
Encargado: Es la persona física o jurídica, pú- ISSSTE: Instituto de Seguridad y Servicios So-
blica o privada, ajena a la organización del res- ciales de los Trabajadores del Estado.
ponsable del tratamiento, que trata los datos
personales a nombre y por cuenta del respon-
sable4 . A diferencia de este último, el encarga-
do no decide sobre el tratamiento de los datos
personales, sino que lo realiza siguiendo las
instrucciones del responsable.
Expediente clínico: Al conjunto único de

información y datos personales de un paciente,
que se integra dentro de todo tipo de establecimiento
1
Norma Oficial Mexicana NOM-024-SSA3-2012, Sistemas de Información de registro electrónico para la salud, intercambio de información
en salud, publicada en el Diario Oficial de la Federación el 30 de noviembre del 2012.
2
Artículo 3, fracción IX de la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados.
3
Artículo 3, fracción X de la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados.
4
Artículo 3, fracción XV de la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados.
5
Norma Oficial Mexicana NOM-004-SSA3-2012, Del expediente clínico, publicada en el Diario Oficial de la Federación el 15 de octubre
del 2012.
6
en salud, publicada en el Diario Oficial de la Federación el 30 de noviembre de 2012.
4
Ley General o LGPDPPSO: Ley General de SIRES: Sistema de Información de Registro

Protección de Datos Personales en Posesión Electrónico para la Salud.10
de Sujetos Obligados.
SSa: Secretaría de Salud.
LGS: Ley General de Salud.
Titular: La persona física a quien corresponden
Lineamientos de portabilidad: Lineamientos los datos personales.11
que establecen los parámetros, modalidades y
procedimientos para la portabilidad de datos Transferencia: Toda comunicación de datos
personales. personales dentro o fuera del territorio mexi-
cano, realizada a persona distinta del titular, del
Lineamientos Generales: Lineamientos Gene- responsable o del encargado.12
rales de Protección de Datos Personales para
el Sector Público. TID: Transferencia Internacional de Datos.
Norma: Norma Oficial Mexicana. Tratamiento: Cualquier operación o conjunto

de operaciones efectuadas mediante procedi-
Paciente: Todo aquel usuario beneficiario di- mientos manuales o automatizados aplicados a
recto de la atención médica.7 los datos personales, relacionadas con la obten-
ción, uso, registro, organización, conservación,
Registro Electrónico de Salud: Datos estructu- elaboración, utilización, comunicación, difusión,
rados de información clínica, imagenológica, almacenamiento, posesión, acceso, manejo,
demográfica, social, financiera, de infraestruc- aprovechamiento, divulgación, transferencia o
tura y de cualquier otra índole que documente disposición de datos personales.13
la atención médica prestada a un solo individuo
y/o la capacidad instalada en los estableci- Urgencia: A todo problema médico-quirúrgico
mientos de salud, almacenados en medios agudo, que ponga en peligro la vida, un órgano
electrónicos.8 o una función y requiera atención inmediata.14
Responsable: Cualquier autoridad, entidad, Usuario: A toda aquella persona, que requiera
órgano y organismo de los Poderes Ejecutivo, y obtenga la prestación de servicios de aten-
Legislativo y Judicial, órganos autónomos, par- ción médica.15
tidos políticos, fideicomisos y fondos públicos.9
8
en salud, publicada en el Diario Oficial de la Federación el 30 de noviembre de 2012.
9
Artículo 1, quinto párrafo de la LGPDPPSO.
10
Norma Oficial Mexicana NOM-024-SSA3-2012, Sistemas de Información de registro electrónico para la salud, intercambio de
información en salud, publicada en el Diario Oficial de la Federación el 30 de noviembre de 2012.
11
Artículo 3, fracción XXXI de la LGPDPPSO.
12
Artículo 3, fracción XXXII de la LGPDPPSO.
13
Artículo 3, fracción XXXIII de la LGPDPPSO.
14
Norma Oficial Mexicana NOM-004-SSA3-2012, del expediente clínico, publicada en el Diario Oficial de la Federación de fecha 15 de
octubre de 2012.
15
octubre de 2012.
5
Introducción artículos 77-BIS y 37 fracción VII, determina que los

usuarios de servicios de salud tienen el derecho
El Instituto Nacional de Transparencia, Acceso de contar con un expediente clínico, el cual será
a la Información y Protección de Datos Per- administrado por las Instituciones de Salud.
sonales, es el responsable de garantizar en
el ámbito federal, el ejercicio de los derechos La reforma Constitucional del 10 de junio de
de acceso a la información y la protección de 2011 se centró en el reconocimiento y goce
datos personales, conforme a los principios y de los derechos humanos y el principio de
bases establecidos por los artículos 6 y 16 de interpretación pro-persona, a partir de ello,
la Constitución Política de los Estados Unidos nace la obligación del Estado mexicano en
Mexicanos, la Ley General de Protección de todos sus niveles de gobierno sin excepción,
Datos Personales en Posesión de Sujetos Obli- promover, respetar, proteger y garantizar los
gados, y demás disposiciones aplicables. derechos humanos. De ahí que, el expediente
clínico correctamente elaborado e integrado
En este sentido, el INAI cuenta, entre otras, se constituya en un instrumento idóneo para
con la atribución de proporcionar apoyo a los la protección de la salud de los usuarios;
responsables para el cumplimiento de sus situación que pone de manifiesto la urgencia
obligaciones en materia de protección de en el debido cuidado y tratamiento de los
datos personales, llevar a cabo acciones que datos personales ahí contenidos y, sobretodo,
promuevan el conocimiento del derecho a la garantizar el derecho a la autodeterminación
protección de los mismos, así como, promover informativa de las y los mexicanos.
la actualización en materia de protección de
datos personales entre responsables, con el Es de destacar que, en México un total de 135
objeto de garantizar el derecho humano que millones 743 mil 357 personas son atendidas por
tiene toda persona a la protección de sus datos los servicios de salud públicos. Tan solo al cierre
personales, en posesión de sujetos obligados. del año 2019, el IMSS contaba con 70 millones
343 mil 357 derechohabientes16; en el Sistema de
Resulta importante señalar, que el artículo 4º Protección en Salud (Seguro Popular) fue de 51.9
de la Carta Magna dispone que toda persona millones17 y en el ISSSTE fue de 13.5 millones18.
tiene derecho a la protección de la salud, en tal Enseguida, se muestra una tabla ilustrativa con
consideración, la Ley General de Salud en sus las cifras antes referidas.
NUMERO DE DERECHOHABIENTES. DICIEMBRE 2019

80000000
DERECHOH ABIENTES
70000000
60000000 70343357
MILLONES DE
50000000
51900000
40000000
30000000
20000000
10000000 13500000
0
Diciembre 2019
INSTITUCIONES DE SALUD PÚBLICAS

IMSS Seguro Popular ISSSTE
6
En este tenor, conforme a los principios de la dependencia que históricamente ha

universalidad, interdependencia, invisibilidad y concentrado más requerimientos de este
progresividad y, en términos de lo dispuesto en los tipo; por su parte, el ISSSTE fue el segundo
artículos 6, apartado A, fracción II y 16 en su primer sujeto obligado con más solicitudes de datos
y segundo párrafos de la Constitución Política personales, con un total de 3 mil 390; en tanto
de los Estados Unidos Mexicanos, se advierte que el Instituto del Fondo Nacional de la
que el Estado tiene la obligación de velar por la Vivienda para los Trabajadores (INFONAVIT)
protección de datos personales de los ciudadanos, fue el tercero, con 2 mil 517 requerimientos;
más aún, si se trata de datos inherentes al estado en la cuarta posición se encuentra el Hospital
de salud de la población mexicana. Regional de Alta Especialidad de Ixtapaluca
(HRAEI) con 1 mil 241 solicitudes; el quinto lugar
En ejercicio a su derecho fundamental de lo ocupó la Fiscalía General de la República
protección de sus datos personales, del (FGR), anteriormente Procuraduría General de
período octubre 2018-septiembre 2019, las la República, con 1 mil 081 solicitudes, y en el
y los ciudadanos presentaron ante el IMSS sexto puesto se ubicó el Instituto Nacional de
un total de 23 mil 679 solicitudes de datos Cardiología Ignacio Chávez (INCARD) con 970
personales, manteniendo la posición como solicitudes19.
Sujetos obligados con mayor número de solicitudes de datos

personales, octubre 2018-septiembre 2019*
23,679
25000
20000
15000
10000
5000 3,390
2,517
1,241 1,081 970
0 IMSS ISSSTE INFONAVIT Hospital Fiscalía Instituto
Regional General Nacional de
de Alta de la Cardiología
Especialidad República ignacio
de Ixtapaluca (antes PGR) Chávez
FUENTE: INAI, Secretaría de Acceso a la Información, Dirección General de Evaluación, con datos del SISAI de la PNT e
información proporcionada por los sujetos obligados del ámbito federal.
16
Disponible para su consulta en: http://www.imss.gob.mx/sites/all/statics/pdf/informes/20192020/21-InformeCompleto.pdf
17
Disponible para su consulta en: http://www.transparencia.seguro-popular.gob.mx/contenidos/archivos/transparencia/
planesprogramaseinformes/informes/2019/Informe_Resultados_SPSS_2019.pdf
18
Disponible para su consulta en: http://www.issste.gob.mx/images/downloads/instituto/quienes-somos/IFA_2020.pdf
19
Disponible para su consulta en: http://inicio.inai.org.mx/Informes%202019/Informe_2019.pdf
21
Artículo 3, fracción VIII de la LGPDPPSO.
7
Para las instituciones de salud pública, los • Concretas: cuando el tratamiento de los
derechos y obligaciones relacionados con datos personales atiende a la consecución
el tratamiento de los datos personales en los de fines específicos o determinados, sin que
expedientes clínicos están contenidos en admitan errores, distintas interpretaciones o
la Ley General, en la LGS y principalmente provoquen incertidumbre, dudas o confu-
en las Normas Oficiales Mexicanas, como sión en el titular;
la NOM -004-SSA3-2012, del expediente • Explícitas: cuando las finalidades se expre-
clínico y la NOM-024-SSA3-2012, Sistemas san y dan a conocer de manera clara en el
de Información de registro electrónico para la aviso de privacidad;
salud, intercambio de información en salud. • Licitas: cuando las finalidades que justifi-
can el tratamiento de los datos personales
Derivado de que los expedientes clínicos son acordes con las atribuciones o faculta-
contienen una serie de datos personales des del responsable, conforme a lo previsto
para que el personal responsable de en la legislación mexicana y el derecho in-
su uso pueda monitorear la salud de ternacional que le resulte aplicable;
los pacientes, registrarlos, guardarlos o • Legítimas: cuando las finalidades que motivan
transferirlos; el procesamiento de los datos el tratamiento de los datos personales se
personales contenidos en estos archivos es encuentran habilitadas por el consentimiento
responsabilidad del personal de la salud. Por del titular, salvo que se actualice alguna
tanto, el tratamiento de datos personales en de las causales de excepción previstas en el
las historias clínicas de las instituciones de artículo 22 de la Ley General.
salud pública debe cumplir con los siguientes
principios establecidos en la Ley General:20 • Lealtad: Con este principio se busca evitar el
tratamiento desleal, deshonesto y no ético al titular
• Licitud: Este principio les exige que el trata- sobre su información. El responsable no deberá
miento de los datos personales lo realicen ob- obtener y tratar datos personales, a través de
servando estrictamente lo que ordena la ley, medios engañosos o fraudulentos, privilegiando
de manera objetiva y respetando el Estado de la protección de los intereses del titular y la
derecho, lo anterior, con la finalidad de evitar expectativa razonable de privacidad, prohibiéndole
arbitrariedades en el tratamiento de los datos al responsable defraudar esa confianza y recurrir a
personales. mecanismos oscuros, ilegales o poco transparentes
para recolectar y tratar los datos.
• Finalidad: Este principio busca evitar que
se recolecten datos para hacer con ellos lo • Consentimiento: Este principio reconoce
que sea y delimita los usos que pueda darle que la persona es el titular del dato y, por
el responsable. Asimismo, busca que el ende, ella es quien, en un inicio, tiene control
tratamiento tenga como objetivo la realización sobre su información y algunos aspectos
de finalidades concretas, lícitas, explícitas y de su vida relacionados con su información.
legítimas, relacionadas con las atribuciones Para tal efecto, la Ley General define el
que la normatividad aplicable les confiera. Se consentimiento como la manifestación de
entenderá que las finalidades son: la voluntad libre, específica e informada
:
20
Artículo 16 de la LGPDPPSO.
8
del titular de los datos mediante la cual se datos personales en su posesión. Los mecanismos
efectúa el tratamiento de los mismos. 21 podrán ser lo siguientes, según corresponda:
Adicionalmente, la _Ley General señala que el 4 Destinar recursos autorizados para tal fin
consentimiento puede ser: para la instrumentación de programas y po-
líticas de protección de datos personales;
• Expreso 4 Elaborar políticas y programas de protec-
• Tácito ción de datos personales, obligatorios y
exigibles al interior de la organización del
• Calidad: La Ley General exige que los datos responsable;
personales sean veraces, exactos, completos, 4 Poner en práctica un programa de capaci-
correctos y actualizados. La información tación y actualización del personal sobre las
de calidad es una condición para el debido obligaciones y demás deberes en materia
tratamiento de los datos y de ella dependen de protección de datos personales;
algunos derechos de las personas como su buen 4 Revisar periódicamente las políticas y pro-
nombre o que las decisiones que se adopten gramas de seguridad de datos personales
con fundamento en los datos personales sean para determinar las modificaciones que se
correctas, pertinentes o apropiadas; por lo tanto, requieran;
le corresponde al responsable adoptar medidas 4 Establecer un sistema de supervisión y vigi-
para que ello sea así. lancia interna y/o externa, incluyendo audito-
rías, para comprobar el cumplimiento de las
• Proporcionalidad: El tratamiento de datos políticas de protección de datos personales;
personales sólo deberá circunscribirse a los 4 Establecer procedimientos para recibir y
que resulten adecuados, relevantes y no exce- responder dudas y quejas de los titulares;
sivos en relación con la finalidad del tratamien- 4 Diseñar, desarrollar e implementar sus políticas
to. Por lo tanto, no está permitido recolectar o públicas, programas, servicios, sistemas
usar datos que no guarden estrecha relación o plataformas informáticas, aplicaciones
con la finalidad del tratamiento. electrónicas o cualquier otra tecnología que
implique el tratamiento de datos personales,
• Información: Con este principio se busca que de conformidad con las disposiciones previstas
el titular tenga conocimiento de los principales en la Ley General y las demás que resulten
aspectos que regirán el tratamiento de sus datos aplicables en la materia; y
personales. La Ley General ordena al responsable 4 Garantizar que sus políticas públicas, pro-
informar al titular, a través del aviso de privacidad, gramas, servicios, sistemas o plataformas
la existencia y características principales del informáticas, aplicaciones electrónicas o
tratamiento al que serán sometidos sus datos cualquier otra tecnología que implique el
personales, a fin de que pueda tomar decisiones tratamiento de datos personales, cumplan
informadas al respecto. por defecto con las obligaciones previstas
en la Ley General y las demás que resulten
• Responsabilidad: Consiste en que el responsable aplicables en la materia.
deberá adoptar políticas e implementar mecanis-
mos para asegurar y acreditar el cumplimiento de Tal como se advierte de lo anterior, los princi-
los principios, deberes y obligaciones establecidos pios son las reglas fundamentales de aplica-
en la Ley General y rendir cuentas al titular, Instituto ción obligatoria para garantizar el respeto de
u organismos garantes, sobre el tratamiento de los las personas cuando sus datos recolectados,
9
almacenados, usados o circulados han sido personal del sitio de acuerdo con los principios
objeto de cualquier actividad por parte de res- científicos y éticos que guían la práctica médica.
ponsables o encargados del tratamiento, por lo Por ejemplo, las disposiciones estipuladas en
que, éstos cumplen varios objetivos, entre los la Ley General, la LGS y las Normas Oficiales
que se encuentran: Mexicanas NOM -004-SSA3-2012 y NOM-024-
SSA3-2012.
• Son un instrumento para garantizar el de-
bido tratamiento de los datos personales y, En tal consideración, con independencia del
por ende, el respeto de los derechos de los tipo de sistema en el que se encuentren los
titulares de los datos; datos personales o el tipo de tratamiento
• Representan un límite al tratamiento de que se efectúe, el responsable de la salud
los datos personales, pues no pueden ha- deberá establecer y mantener las medidas
cerse de cualquier manera sino de forma de seguridad de carácter administrativo, físico
respetuosa; y técnico para la protección de los datos
• Constituyen una herramienta de interpre- personales, que permitan protegerlos contra
tación de la ley y de aplicación correcta de daño, pérdida, alteración, destrucción o su uso,
la misma, así como el factor determinante acceso o tratamiento no autorizado, así como
de la solución de casos concretos que se garantizar su confidencialidad, integridad y
sometan a consideración de las autorida- disponibilidad.
des o los jueces.
Las medidas de seguridad adoptadas de-
Asimismo, los responsables de la salud en las berán considerar al menos lo siguiente:23
instituciones del sector público deben cumplir
con lo establecido en la Ley General y demás • El riesgo inherente a los datos personales
normativa vigente aplicable sobre expedientes tratados;
clínicos, y los pacientes, como proveedores de • La sensibilidad de los datos personales tra-
información son los beneficiarios de los datos tados;
que proporciona al personal del área de la sa- • El desarrollo tecnológico;
lud (aspecto fundamental que se reconoce en • Las posibles consecuencias de una vulne-
la NOM -004-SSA3-2012). ración para los titulares;
• Las transferencias de datos personales
En ese sentido, se han considerado aquellos que se realicen;
datos que se refieren a su identidad • El número de titulares;
personal y los que proporciona en relación • Las vulneraciones previas ocurridas en los
con su padecimiento; a todos ellos, se sistemas de tratamiento;
les considera información confidencial22 • El riesgo por el valor potencial cuantitativo
y gozan de la propiedad de la información para o cualitativo que pudieran tener los datos
proteger su salud y la confidencialidad de sus personales tratados para una tercera per-
datos. Estos datos personales proporcionados sona no autorizada para su posesión.
por pacientes o terceros al personal de salud
e incluidos en los documentos clínicos deben Asimismo, con la finalidad de que el responsa-
ser tratados según corresponda por todo el ble de la salud establezca y mantenga las me-
22
octubre de 2012.
23
10
didas de seguridad para la protección de los • Elaborar un documento de seguridad25

datos personales del paciente, deberá realizar (instrumento que describe y da cuenta de
las siguientes actividades interrelacionadas:24 manera general sobre las medidas de se-
guridad técnicas, físicas y administrativas
• Crear políticas internas para la gestión y adoptadas por el responsable para garanti-
tratamiento de los datos personales, que zar la confidencialidad);
tomen en cuenta el contexto en el que ocu- • Evitar vulneraciones a la seguridad (en
rren los tratamientos y el ciclo de vida de caso de que ocurra alguna, el responsable
los datos personales, es decir, su obtención, deberá analizar las causas por las cuales
uso y posterior supresión; se presentó e implementar en su plan
• Definir las funciones y obligaciones del de trabajo las acciones preventivas y
personal involucrado en el tratamiento de correctivas para adecuar las medidas de
datos personales; seguridad y el tratamiento de los datos
• Elaborar un inventario de datos personales personales si fuese el caso, a efecto de
y de los sistemas de tratamiento; evitar que la vulneración se repita);
• Realizar un análisis de riesgo de los datos • Guardar confidencialidad (el sujeto obli-
personales, considerando las amenazas y gado responsable deberá establecer controles
vulnerabilidades existentes para los datos o mecanismos que tengan por objeto que
personales y los recursos involucrados en su todas aquellas personas que intervengan
tratamiento, como pueden ser, de manera en cualquier fase del tratamiento de los da-
enunciativa más no limitativa, hardware, sof- tos personales, guarden confidencialidad
tware, personal del responsable, entre otros; respecto de éstos, obligación que subsistirá
• Realizar un análisis de brecha, comparan- aún después de finalizar sus relaciones con
do las medidas de seguridad existentes el mismo).
contra las faltantes en la organización del
responsable;
• Elaborar un plan de trabajo para la
implementación de las medidas de seguridad
faltantes, así como las medidas para el
cumplimiento cotidiano de las políticas de
gestión y tratamiento de los datos personales;
• Monitorear y revisar de manera periódica
las medidas de seguridad implementadas,
así como las amenazas y vulneraciones a
las que están sujetos los datos personales;
• Diseñar y aplicar diferentes niveles de
capacitación del personal bajo su
mando, dependiendo de sus roles y
responsabilidades respecto del tratamiento
de los datos personales.
Adicional a lo anterior, el responsable deberá:
24
25
Artículo 3, fracción XIV de la LGPDPPSO.
11
Hoy, más que en ningún otro momento de la CAPÍTULO 1

historia del país, se estima necesario que las y
los mexicanos tengan la certeza de la seguri- PROPÓSITOS Y POBLACIÓN OBJETIVO
dad de su información personal, en posesión
de los Sujetos Obligados de la Ley General. a) Propósitos
La pandemia derivada del virus del síndrome
respiratorio agudo severo tipo-2 (SARS-CoV-2), Generar un documento dirigido a las institu-
causante de la enfermedad conocida como ciones de salud del sector público, que analice
COVID-19, ha puesto de manifiesto, por un el tratamiento de los datos personales en los
lado, el interés de la sociedad sobre la debida expedientes clínicos, a efecto de realizar de
prestación de los servicos de salud y, por otro, manera adecuada la protección de los datos
que su información clínica o médica esté pro- personales que tienen bajo su resguardo y el
tegida, acorde con el marco jurídico nacional. ejercicio de los derechos ARCO de los dere-
chohabientes.
De ahí, la importancia que reviste brindar
herramientas a los responsables de las instituciones Coadyuvar en las acciones de promoción, di-
de salud pública que les permitan el cumplimiento fusión y facilitación en el cumplimento de las
de las obligaciones en el tratamiento de los datos obligaciones, por parte de los responsables
personales en los expedientes clínicos, a efecto del sector público en el tratamiento de datos
de realizar de manera adecuada la protección de personales.
los datos personales que tienen bajo su resguardo
y el ejercicio de los derechos ARCO de los Armonizar las prácticas en cuanto a la
derechohabientes. integración, usos y cuidados que se le da
al expediente clínico, adecuándose a las
Bajo esa óptica, el presente documento obligaciones que refiere la Ley General en el
tiene como propósito emitir sugerencias y tema de protección de datos personales y la
recomendaciones, sobre el tratamiento que demás normatividad aplicable.
se da a los datos personales de carácter
sensible, contenidos en los expedientes clínicos, b) Población objetivo
en relación con las medidas de seguridad
administrativas, técnicas y físicas necesarias El presente documento se encuentra dirigido a
acorde a su naturaleza, para evitar que éstos sean los responsables del manejo de datos personales
vulnerados o lesionados por un mal tratamiento en las distintas instituciones que componen el
o inadecuado manejo de los datos personales sector salud en México, desde instituciones de
que contengan este tipo de expedientes. seguridad social, hasta institutos y hospitales
centralizados y sectorizados. Las instituciones
En tal virtud, con fundamento en lo dispuesto de salud públicas, al estar sectorizadas y
por el artículo 89, fracciones I, XII y XIII de la Ley centralizadas, podrían implementar esquemas
General de Protección de Datos Personales en para el tratamiento de sus datos personales
Posesión de Sujetos Obligados, el INAI emite las homologados, incluso eventualmente la
presentes recomendaciones para el Tratamiento portabilidad, pues podrían compartir sus
de los Datos Personales en los expedientes clíni- sistemas informativos.
cos de las instituciones de salud pública.
12
CAPÍTULO 2 salud, que en su introducción señaló el avance

tecnológico que presenta la informática
EL EXPEDIENTE CLÍNICO médica, misma que posibilita que los Sistemas
de Información de Registro Electrónico para
El expediente clínico es el documento en el la Salud, entre los que se encuentran los
que se recaba la información de salud y demás expedientes clínicos electrónicos, puedan
datos personales sensibles de una persona intercambiar información útil con este objetivo,
física identificada e identificable, y que se además de permitir explotar información
integra dentro de todo tipo de establecimiento de salud pública, lo que facilita la toma de
para la atención médica al sector público. decisiones en el sector salud; con su entrada
en vigor, dejó sin efectos a la Norma Oficial
En septiembre de 2010, se publicó la Norma Oficial Mexicana NOM-024-SSA3-2010.
Mexicana NOM-024-SSA3-2010, que establece
los objetivos funcionales y funcionalidades La citada Norma define al expediente clínico
que deberán observar los productos de electrónico, como el conjunto único de
Sistemas de Expediente Clínico Electrónico para información y datos personales de un paciente,
garantizar la interoperabilidad, procesamiento, que puede estar integrado por documentos
interpretación, confidencialidad, seguridad y uso escritos, gráficos, imagenológicos, electrónicos,
de estándares y catálogos de la información de los magnéticos, electromagnéticos, ópticos,
registros electrónicos en salud. magneto-ópticos y de otras tecnologías,
mediante los cuales se hace constar en diferentes
Esta Norma establece el reconocimiento de la momentos el proceso de la atención médica, las
validez de los expedientes electrónicos por sí diversas intervenciones del personal del área de
mismos y no sólo como auxiliares, así como la la salud, así como describir el estado de salud del
obligatoriedad de medidas que garanticen la paciente; además de incluir, en su caso, datos acerca
confidencialidad y seguridad de la información. del bienestar físico, mental y social del mismo26.
En el año 2012, se publicó la Norma Oficial

Mexicana NOM-004-SSA3-2012 que, en
su introducción, acertadamente señaló un
aspecto fundamental consistente en el
reconocimiento de la titularidad del paciente
sobre los datos que proporciona al personal
del área de la salud. En ese sentido, se han
considerado aquellos datos que se refieren a
su identidad personal y los que proporciona
en relación con su padecimiento; a todos ellos,
se les considera información confidencial. En
ese mismo año, se emitió la Norma Oficial
Mexicana NOM-024-SSA3-2012, relativa a los
sistemas de información de registro electrónico
para la salud e intercambio de información en
26
Información del Expediente Clínico. Disponible para su consulta en: http://inprf.gob.mx/transparencia/archivos/pdfs/como_solicitar_
expediente.pdf
13
En la actualidad, el expediente clínico electrónico Los prestadores de servicios de atención médica

forma parte importante del actuar diario en las de los establecimientos de carácter público, social
instituciones de salud, en virtud del continuo avance y privado, están obligados a integrar y conservar
de las ciencias y la tecnología con la que se cuenta el expediente clínico. Los establecimientos
en este Siglo XXI. Debido a ello, la Norma Oficial son solidariamente responsables respecto del
en cita brinda una referencia al respecto y advierte cumplimiento de esta obligación, por parte
que tiene como propósito establecer con precisión del personal que preste sus servicios en los
los criterios científicos, éticos, tecnológicos y mismos, independientemente de la forma
administrativos obligatorios en la elaboración, en que fuere contratado dicho personal.29
integración, uso, manejo, archivo, conservación,
propiedad, titularidad y confidencialidad del De lo anterior, se advierte que el expediente es
expediente clínico, el cual se constituye en una una de las mayores herramientas de certeza
herramienta de uso obligatorio para el personal del jurídica y técnica de los procedimientos médi-
área de la salud, de los sectores público, social y cos que se aplican a los pacientes hoy en día.
privado que integran el Sistema Nacional de Salud27.
De acuerdo con lo definido en el Manual del

Expediente clínico electrónico de la SSa, el ex-
pediente clínico electrónico, es el conjunto de
información ordenada y detallada que recopila
cronológicamente todos los aspectos relativos
a la salud de un paciente y a la de su familia en
un periodo determinado de su vida; representa
una base para conocer las condiciones de sa-
lud, los actos médicos y los diferentes procedi-
mientos ejecutados por el equipo médico a lo
largo de un proceso asistencial.
El expediente clínico electrónico es una

fuente de información que amplía el dictamen
médico de un experto, conformándose
por una descripción de la propedéutica
médica aunado a documentos, imágenes,
procedimientos, pruebas diversas, análisis
e información de estudios practicados al
paciente. Mediante el expediente clínico
electrónico se puede brindar información más
completa a los médicos y personal de salud,
así como habilitar la comunicación al instante
entre las diferentes unidades médicas. 28
27
Norma Oficial Mexicana NOM-024-SSA3-2012, Del expediente clínico. Publicada en el Diario Oficial de la Federación el 30 de
noviembre de 2012.
28
Manual del Expediente Clínico Electrónico. Secretaría de Salud, Pag. 11 disponible para su consulta en: https://www.who.int/goe/
policies/countries/mex_ehealth.pdf
29
Información del Expediente Clínico. Disponible para su consulta en: https://www.gob.mx/salud/hraepy/acciones-y-programas/
informacion-del-expediente-clinico
14
TITULARES DEL EXPEDIENTE CLÍNICO En las generalidades del expediente clínico

tenemos que los prestadores de servicios de
Se considera que el expediente clínico físico carácter médico de cualquier sector, ya sea
es propiedad de las Instituciones que brindan social, público o privado, deben integrar y
atención médica, sin embargo, la información observar el expediente clínico, por ello, son
contenida en éste es propiedad de sus titula- considerados solidariamente responsables en
res, es decir, de los pacientes o beneficiarios su elaboración.
que reciben esa atención.
En este sentido, las instituciones de salud por
En este sentido, el artículo 5.4 de la NOM-004- lo menos deberán observar lo que establece
SSA3-2012, señala que los expedientes clínicos la NOM-004-SSA3-2012, para integrar los
son propiedad de la institución o del prestador expedientes clínicos consistente en los
de servicios médicos que los genera, cuando siguientes datos:
éste, no dependa de una institución. En caso
de instituciones del sector público, además de 1) Tipo, nombre y domicilio del establecimien-
lo establecido en esta norma, deberán obser- to y en su caso, nombre de la institución a la
var las disposiciones que en la materia estén que pertenece;
vigentes. 2) En su caso, la razón y denominación social
del propietario o concesionario;
Sin perjuicio de lo anterior, el paciente en tanto 3) Nombre, sexo, edad y domicilio del pa-
aportante de la información y beneficiario de ciente; y
la atención médica tiene derechos de titula- 4) Los demás que señalen las disposiciones
ridad sobre la información para la protección sanitarias.
de su salud, así como, para la protección de la
confidencialidad de sus datos, en los términos
de esta norma y demás disposiciones jurídicas
que resulten aplicables.
ELEMENTOS PRINCIPALES
El expediente clínico resulta ser un instrumento

que garantiza a los beneficiarios que su asisten-
cia sea apropiada y, a su vez, sirve para que los
profesionales que realizan funciones de diag-
nóstico y tratamiento puedan proporcionar una
asistencia adecuada al paciente, teniendo para
ello permitido el acceso a su expediente clínico.
Para conseguir esta finalidad el expediente clínico

debe perseguir y englobar toda la información
referente al paciente de manera ordenada y
con arreglo a criterios que permitan garantizar la
seguridad y el manejo de la información por los
profesionales sanitarios que lo necesiten en cada
caso en particular.
15
En tal consideración, el expediente clínico se vez, la historia clínica deberá contar con los si-
integrará atendiendo a los servicios genéricos guientes apartados:
de consulta general, de especialidad, urgencias
y hospitalización, y además de los requisitos a) Interrogatorio: Deberá tener como mínimo:
mínimos señalados en esta norma, así como ficha de identificación, en su caso, grupo
también se debe observar a los establecidos en étnico, antecedentes heredo-familiares,
las demás Normas Oficiales Mexicanas, respecto antecedentes personales patológicos
a los siguientes temas: (incluido uso y dependencia del tabaco, del
alcohol y de otras sustancias psicoactivas) y
a) Servicios de planificación familiar. no patológicos;
b) Para la prevención y control de la tubercu- b) Exploración física: Deberá tener como
losis en la atención primaria a la salud. mínimo: habitus exterior, signos vitales
c) Atención de la mujer durante el embarazo, (temperatura, tensión arterial, frecuencia
parto y puerperio y del recién nacido. cardiaca y respiratoria), peso y talla, así
d) Para la prevención y control de enfermeda- como, datos de la cabeza, cuello, tórax, ab-
des bucales. domen, miembros y genitales o específica-
e) Para la prevención, detección, diagnóstico, mente la información que corresponda a la
tratamiento, control y vigilancia epidemioló- materia del odontólogo, psicólogo, nutriólo-
gica del cáncer cérvico uterino. go y otros profesionales de la salud;
f) Para la prevención, tratamiento y control de c) Resultados previos y actuales de estudios
la diabetes mellitus en la atención primaria. de laboratorio, gabinete y otros;
g) Para la prestación de servicios de salud en d) Diagnósticos o problemas clínicos;
unidades de atención integral hospitalaria e) Pronóstico;
médico-psiquiátrica. f) Indicación terapéutica.
h) Para la atención a la salud del niño.
i) En materia de información en salud. NOTA DE EVOLUCIÓN.
j) Violencia familiar, sexual y contra las muje-
res. Criterios para la prevención y atención. Esta documental deberá elaborarla el médico,
k) Regulación de los servicios de salud. Que cada vez que proporciona atención al paciente
establece los criterios de funcionamiento ambulatorio, de acuerdo con el estado clínico
y atención en los servicios de urgencias de del paciente. Describirá lo siguiente:
los establecimientos de atención médica.
a) Evolución y actualización del cuadro clíni-
REQUISITOS DEL EXPEDIENTE CLÍNICO co (en su caso, incluir abuso y dependencia
del tabaco, del alcohol y de otras sustancias
En términos de lo que establece la NOM-004- psicoactivas);
SSA3-2012, los expedientes clínicos de consul- b) Signos vitales, según se considere necesario;
ta general y de especialidad deberán contar c) Resultados relevantes de los estudios
con los siguientes requisitos: de los servicios auxiliares de diagnóstico
y tratamiento que hayan sido solicitados
HISTORIA CLÍNICA. previamente;
d) Diagnósticos o problemas clínicos;
Deberá elaborarla el personal médico y otros e) Pronóstico; y
profesionales del área de la salud, de acuerdo f) Tratamiento e indicaciones médicas; en el caso
con las necesidades específicas de informa- de medicamentos, señalando como mínimo la
ción de cada uno de ellos en particular, a su dosis, vía de administración y periodicidad.
16
NOTA DE INTERCONSULTA. En tal consideración, el uso del expediente clínico

resulta imprescindible, destacando algunos
La solicitud deberá elaborarla el médico cuan- aspectos del estado de salud del paciente,
do se requiera y quedará asentada en el ex- cuyo registro se considera de la mayor rele-
pediente clínico. La nota deberá elaborarla el vancia para su correcta integración, buscando
médico consultado y deberá contar con: que en el proceso de atención se generen los
mayores beneficios.
a) Criterios diagnósticos;
b) Plan de estudios; • Provisión de servicios de salud.
c) Sugerencias diagnósticas y tratamiento. • Gestión de la atención médica.
• Soportar los procesos de atención.
Entre
• los elementos a registrarse en el • Soportar procesos financieros y
expediente
• clínico electrónico se encuentran administrativos.
los •siguientes: • Gestión del cuidado personal.
• Notas ambulatorias. Usos Secundarios:

• Notas hospitalarias.
• Notas quirúrgicas. • Educación.
• Interconsultas. • Regulación.
• Tratamientos. • Investigación: El uso de los expedientes en
• Examen de laboratorio. investigaciones, de naturaleza científica,
• Reporte de radiología. cae en dos categorías: investigaciones
hechas por un miembro del cuerpo médico
Resulta importante señalar que, los sistemas de del hospital e investigaciones hechas
expediente clínico electrónico integran la infor- por un médico que no es miembro de
mación del paciente que proviene de diferen- él. En el primer caso, no es necesario el
tes personas y sistemas involucrados, permi- consentimiento del médico tratante; en el
tiendo la generación de múltiples beneficios.30 otro caso, el consentimiento del médico es
necesario, así como el consentimiento del
USOS DEL EXPEDIENTE CLÍNICO administrador del hospital.
• Evaluación: Como un documento imper-
Usos Primarios: sonal, el expediente clínico tiene muchos
usos; para esto, sólo se tomará en cuenta
Con la expectativa de que su contenido se con- el número del expediente y no podrá ser
vierta en una firme aportación a los esfuerzos y asociado con ningún nombre excepto por
procesos de integración funcional y desarrollo referencia al índice privado del hospital. El
del Sistema Nacional de Salud, esta norma (Norma uso más frecuente del expediente, es en
Oficial Mexicana NOM-004-SSA3-2012), impulsa el informe mensual del trabajo del hospi-
el uso más avanzado y sistematizado del expe- tal (análisis del servicio hospitalario). Éste
diente clínico convencional en el ámbito de la es, primeramente, un informe total hecho
atención médica y orienta el desarrollo de una por el departamento de bioestadística;
cultura de la calidad, permitiendo los usos: médico, pero el informe es suplementado por un
jurídico, de enseñanza, investigación, evalua- estudio detallado de los expedientes que
ción, administrativo y estadístico principalmente.31 dan la información.
30
Manual del Expediente Clínico Electrónico. Secretaría de Salud. Disponible para su consulta en: https://www.who.int/goe/policies/
countries/mex_ehealth.pdf
31
Norma Oficial Mexicana NOM-004-SSA3-2012, Del expediente clínico, publicada en el Diario Oficial de la Federación de fecha 15 de
octubre de 2012.
17
• Salud pública y seguridad. • Expediente clínico electrónico

• Soporte de políticas.32
• Jurídico. El expediente clínico ha evolucionado en sus
• Administrativo. formas de integración, manejo y resguardo;
pueden existir distintos formatos, según la ins-
Así, la Norma Oficial Mexicana NOM-004- titución o el prestador del servicio de salud de
SSA3-2012, representa el instrumento que que se trate, la realidad es que no se han apro-
regula y orienta el desarrollo de una cultura vechado plenamente los avances tecnológicos
de calidad para el uso médico, jurídico, e informáticos para la recopilación de los datos
de enseñanza, investigación, evaluación, de los pacientes.
administrativo y estadístico.
A nivel internacional, el expediente clínico
CLASIFICACIÓN DE LOS EXPEDIENTES constituye un aspecto esencial dentro del sis-
CLÍNICOS tema de salud, puesto que sirve para recabar
la información sobre la salud de la población.
• Expediente físico En este sentido, debe considerarse el paso del
expediente clínico en papel al electrónico.
Como se ha dicho, la NOM-004-SSA3-2012
define al expediente clínico como el conjunto El expediente clínico electrónico reporta diversos
único de información y datos personales de beneficios al tratamiento de la información en
un paciente, que se integra dentro de todo cuanto a que permite a los profesionales de la
tipo de establecimiento para la atención salud tener un acceso más rápido y de mayor
médica, ya sea público, social o privado, el calidad a los datos, lo que se convierte, al mismo
cual, consta de documentos escritos, gráficos, tiempo, en una ventaja para los pacientes y
imagenológicos, electrónicos, magnéticos, usuarios del sistema de salud, puesto que pasan a
electromagnéticos, ópticos, magneto-ópticos ser el eje central del sistema de salud y ello permite
y de cualquier otra índole, en los cuales, el actuaciones más rápidas y precisas. El expediente
personal de salud deberá hacer los registros, clínico electrónico permite una mayor delimitación
anotaciones, en su caso, constancias y de los accesos que al mismo se producen
certificaciones correspondientes a su por profesionales sanitarios de un lado, y por
intervención en la atención médica del profesionales administrativos (técnicos y auxiliares)
paciente, con apego a las disposiciones y de gestión de otro, garantizando de este modo
jurídicas aplicables. una mayor protección a la intimidad del paciente.
En el numeral 5 y subsecuentes de la Norma Por ello, conviene referir que la Norma Oficial
en comento, se establecen las reglas tendien- Mexicana NOM-024-SSA3-2012, define al
tes a estandarizar el contenido y manejo de los expedienteclínicoelectrónicocomoelconjuntode
expedientes clínicos, de manera que, indepen- información almacenada en medios electrónicos
dientemente del hospital, centro de salud o centrada en el paciente que documenta la
consultorio en el que se atienda a un paciente, atención médica prestada por profesionales de
se deberá cumplir con una serie de principios la salud con arreglo a las disposiciones sanitarias,
mínimos que lo hagan funcional. dentro de un establecimiento de salud.33
33
Disponible para su consulta en: http://www.dgis.salud.gob.mx/descargas/pdf/NOM-024-SSA3-2012.pdf.
18
La SSa define al expediente clínico electrónico servicios de salud, tanto del sector privado
como el conjunto de información ordenada como del sector público; por lo que, los datos
y detallada que recopila cronológicamente personales contenidos en el expediente
todos los aspectos relativos a la salud de un clínico electrónico requieren de una visión
paciente y a la de su familia en un periodo multidisciplinaria, al conjugar los esfuerzos y
determinado de su vida; representa una talentos médicos, radiólogos, laboratoristas
base para conocer las condiciones de y personal administrativos entre otros, para
salud, los actos médicos y los diferentes la adecuada integración de la información
procedimientos ejecutados por el equipo respectiva, debiendo respetar en todo momento
médico a lo largo de un proceso asistencial.34 el derecho a la privacidad y la obligación de
asumir todas las medidas necesarias para
Tal como se advierte de lo anterior, el expediente salvaguardar la información contenida en ellos.36
clínico electrónico es una fuente de información
que amplía el dictamen médico de un experto, • Tipos de sistemas de Expediente Clínico
conformándose por una descripción de la Electrónico37
propedéutica médica aunado a documentos,
imágenes, procedimientos, pruebas diversas, Los tipos de Sistemas de Expediente Clínico
análisis e información de estudios practicados Electrónico que estarán sujetos a la NOM 024-
al paciente. Mediante el expediente clínico SSA3-2010, serán aquellos destinados a los si-
electrónico se puede brindar información más guientes usos en el ámbito de la provisión de
completa a los médicos y personal de salud, servicios de salud:
así como, habilitar la comunicación al instante
entre las diferentes unidades médicas. • Consulta Externa.
• Hospitalización.
El expediente clínico electrónico además • Urgencias.
utiliza mensajería conforme a los estándares • Farmacia.
internacionales para interactuar con sistemas • Laboratorio.
como el de laboratorio, banco de sangre, • Imagenología.
imagenología y hemodiálisis entre otros. • Quirófano.
Asimismo, permite intercambiar de forma
segura información con otras instituciones En el caso de que un sólo sistema cubra más
bajo estándares de interoperabilidad35 . de uno de los puntos anteriores deberá aten-
der todas las funcionalidades requeridas para
En México, existe diversidad de ordenamientos todos los tipos de sistema que debe satisfacer.
legales aplicables al uso de los medios
electrónicos, tanto en materia administrativa, • Ventajas de contar con un Expediente
fiscal, financiera y comercial, que podrían Clínico Electrónico Universal38
presentar riesgos vinculados con el derecho
a la privacidad respecto a la información Algunos de los impactos más sobresalientes
generada en formato electrónico para los de esta revolución tecnológica sobre la aten-
expedientes clínicos de los usuarios de los ción de los usuarios serían los siguientes:
34
Manual del Expediente Clínico Electrónico. Secretaría de Salud, Pag.11, Disponible para su consulta en: https://www.who.int/goe/
35
Manual del Expediente Clínico Electrónico. Secretaría de Salud, Pag.11, Disponible para su consulta en: https://www.who.int/goe/
36
TENORIO. Guillermo, “Los datos personales en México”, Ed Porrúa, p. 217, México, 2012.
37
Disponible para su consulta en: http://www.dgis.salud.gob.mx/descargas/pdf/NOM-024-SSA3-2010_SistemasECE.pdf
38
Boletín CONAMED, Volumen 3, No. 18, 2018.
19
• Los médicos podrían realizar diagnós- • Mayor compromiso de la población en el

ticos clínicos más precisos y oportunos cuidado de su salud a través del acceso
gracias a que se tendría acceso inme- a su información médica.
diato a resultados de laboratorio y de
imagenología generados en otras áreas. • Acceso rápido y sencillo de información
que apoye la investigación y desarrollo
• Se podría acceder al expediente desde en salud.
cualquier unidad médica del Sistema
Nacional de Salud a las que acudiera el • Reducción del tiempo de los profesio-
paciente a requerir atención médica. nales de la salud dirigido a actividades
administrativas.
• El expediente estaría también accesible
al propio paciente desde su propio do- • Mayor comodidad y confianza en la ins-
micilio para acceder por ejemplo a citas titución ya que los pacientes pueden
médicas, información sobre sus padeci- disponer de sus datos de forma segura,
mientos o esquemas de vacunación. rápida y confidencial.
• El historial clínico del paciente se podría • Mayor facilidad para la integración de la

registrar desde el nacimiento a lo largo información del paciente y para dar con-
de toda su línea de vida, favoreciendo la tinuidad a la asistencia médica.
atención más oportuna y eficaz en sus
diversas etapas. • Mejor calidad en la prestación de servi-
cios de salud.
Por otra parte, la SSa indica que los prin-
cipales beneficios de la implementación • Mejor soporte y apoyo para realizar el
del Expediente Clínico Electrónico son:39 análisis de la actividad clínica, la epide-
: miológica, la docencia, la administración
• Incremento en la seguridad de los de recursos y la investigación.
pacientes y reducción del número de
eventos médicos adversos. • Agilizar la concurrencia de los diversos
servicios hospitalarios.
• Aumento de las acciones preventivas
identificando con oportunidad las ne-
cesidades de atención específicas de la
población.
• Reducción de costos hospitalarios

aumentando el control de episodios
agudos en pacientes con enfermedades
crónicas.
• Reducción de costos por tratamientos o

estudios innecesarios y/o redundantes.
39
Manual del Expediente Clínico Electrónico. Secretaría de Salud, Pag.22, Disponible para su consulta en:
https://www.who.int/goe/policies/countries/mex_ehealth.pdf
20
•
CAPÍTULO 3
la prestación de asistencia sanitaria,
TRANSFERENCIAS DE LOS EXPEDIENTES tratamiento médico o la gestión de servicios
CLÍNICOS sanitarios, siempre y cuando dichos fines
sean acreditados;
El concepto de transferencia es definido por la
Ley General 40, en su fracción XXXII del artículo 3, • Cuando la transferencia sea precisa para el
como toda comunicación de datos personales mantenimiento o cumplimiento de una rela-
dentro o fuera del territorio mexicano realizada ción jurídica entre el responsable y el titular;
a persona distinta del titular, del responsable o
del encargado. • Cuando la transferencia sea necesaria por
virtud de un contrato celebrado o por cele-
Toda transferencia de datos personales sea brar en interés del titular, por el responsable
ésta nacional o internacional, se encuentra su- y un tercero;
jeta al consentimiento de su titular, salvo algu-
nas excepciones, como lo son:41 • Cuando se trate de los casos en los
que el responsable no esté obligado a
• Cuando la transferencia esté prevista en la recabar el consentimiento del titular para
Ley General u otras leyes, convenios o Trata- el tratamiento y transmisión de sus datos
dos Internacionales suscritos y ratificados por personales, conforme a lo dispuesto en el
México; artículo 22 de la presente Ley, o
• Cuando la transferencia se realice entre • Cuando la transferencia sea necesaria por

responsables, siempre y cuando los datos razones de seguridad nacional.
personales se utilicen para el ejercicio de
facultades propias, compatibles o análogas Adicional a lo anterior, la LGPDPPSO pre-
con la finalidad que motivó el tratamiento vé excepciones de manera general 42
de los datos personales; en las que el responsable no estará obligado
a recabar el consentimiento del titular para el
• Cuando la transferencia sea legalmente tratamiento de sus datos personales; sin em-
exigida para la investigación y persecución bargo, estas eventualmente también podrían
de los delitos, así como la procuración o ad- aplicarse al tratamiento específico de una
ministración de justicia; transferencia, como lo es:
• Cuando la transferencia sea precisa para el 4 Cuando una ley así lo disponga, debiendo
reconocimiento, ejercicio o defensa de un dichos supuestos ser acordes con las bases,
derecho ante autoridad competente, siem- principios y disposiciones establecidos en di-
pre y cuando medie el requerimiento de cha Ley, en ningún caso, podrán contravenirla;
esta última;
4 Cuando las transferencias que se realicen
• Cuando la transferencia sea necesaria para entre responsables sean sobre datos per-
la prevención o el diagnóstico médico, sonales que se utilicen para el ejercicio de
40
Disponible para su consulta en: http://www.diputados.gob.mx/LeyesBiblio/pdf/LGPDPPSO.pdf
41
Artículo 65 de la LG PDPP SO, disponible para su consulta en: http://www.diputados.gob.mx/LeyesBiblio/pdf/LGPDPPSO.pdf
42
21
facultades propias, compatibles o análogas como las obligaciones y responsabilidades

con la finalidad que motivó el tratamiento asumidas por las partes.
de los datos personales;
Sin embargo, lo dispuesto en el párrafo ante-
4 Cuando exista una orden judicial, resolución rior, no será aplicable en los siguientes casos:43
o mandato fundado y motivado de autori-
dad competente; • Cuando la transferencia sea nacional y
se realice entre responsables en virtud
4 Para el reconocimiento o defensa de dere- del cumplimiento de una disposición le-
chos del titular ante autoridad competente; gal o en el ejercicio de atribuciones ex-
presamente conferidas a éstos, o
4 Cuando los datos personales se requieran
para ejercer un derecho o cumplir obliga- • Cuando la transferencia sea internacio-
ciones derivadas de una relación jurídica nal y se encuentre prevista en una ley o
entre el titular y el responsable; tratado suscrito y ratificado por México,
o bien, se realice a petición de una autori-
4 Cuando exista una situación de emergencia dad extranjera u organismo internacional
que potencialmente pueda dañar a un indi- competente en su carácter de receptor,
viduo en su persona o en sus bienes; siempre y cuando las facultades entre
el responsable transferente y receptor
4 Cuando los datos personales sean nece- sean homólogas, o bien, las finalidades
sarios para efectuar un tratamiento para la que motivan la transferencia sean análo-
prevención, diagnóstico, la prestación de gas o compatibles respecto de aquéllas
asistencia sanitaria; que dieron origen al tratamiento del
responsable transferente.
4 Cuando los datos personales figuren en
fuentes de acceso público; Cuando la transferencia sea nacional, el
receptor de los datos personales deberá tratar
4 Cuando los datos personales se sometan a los datos personales, comprometiéndose a
un procedimiento previo de disociación, o garantizar su confidencialidad y únicamente los
utilizará para los fines que fueron transferidos
4 Cuando el titular de los datos personales sea atendiendo a lo convenido en el aviso de
una persona reportada como desaparecida privacidad que le será comunicado por el
en los términos de la ley en la materia. responsable transferente. El responsable sólo
podrá transferir o hacer remisión de datos
Toda transferencia deberá formalizarse me- personales fuera del territorio nacional cuando
diante la suscripción de cláusulas contrac- el tercero receptor o el encargado se obligue
tuales, convenios de colaboración o cualquier a proteger los datos personales conforme
otro instrumento jurídico, de conformidad con a los principios y deberes que establece la
la normatividad que le resulte aplicable al res- Ley General y las disposiciones que resulten
ponsable, que permita demostrar el alcance aplicables en la materia. En toda transferencia
del tratamiento de los datos personales, así de datos personales, el responsable deberá
43
Artículo 66 de la LGPDPPSO, disponible para su consulta en: http://www.diputados.gob.mx/LeyesBiblio/pdf/LGPDPPSO.pdf
22
comunicar al receptor de los datos personales catálogos estandarizados que unifiquen los
el aviso de privacidad conforme al cual se tratan datos empleados en distintas instituciones de
los datos personales frente al titular. Asimismo, salud públicas o privadas.
el responsable podrá realizar transferencias de
datos personales sin necesidad de requerir el TRANSFERENCIAS INTERNACIONALES
consentimiento del titular, de conformidad con
los supuestos señalados con antelación. En la mayoría de los casos, la globalización
conlleva la necesidad de procesar datos
El responsable deberá adoptar políticas e personales, dando lugar a la Transferencia
implementar mecanismos para asegurar y Internacional de Datos (TID) entre diferentes
acreditar el cumplimiento de los principios, países. Estos tratamientos han de cumplir
deberes y demás obligaciones establecidas en con las disposiciones legales establecidas
la Ley General y los Lineamientos Generales; en los distintos ordenamientos jurídicos en
así como establecer aquellos mecanismos juego, que tienen por objeto garantizar a la
necesarios para evidenciar dicho cumplimiento persona, cuyos datos se tratan, su derecho
ante los titulares y el Instituto. fundamental a la protección de datos, y así,
facilitar la realización de las transacciones.
Lo anterior, también resultará aplicable cuando los internacional, comercial y no comercial. 44
datos personales sean tratados por parte de un
encargado a solicitud del responsable; así como al La normativa mexicana establece que el
momento de realizar transferencias, nacionales o responsable sólo podrá transferir datos
internacionales, de datos personales. El responsable personales fuera del territorio nacional,
deberá considerar, de manera enunciativa más no cuando el receptor o destinatario se obligue
limitativa, el desarrollo tecnológico y las técnicas a proteger los datos personales conforme a
existentes; la naturaleza, contexto, alcance y los principios, deberes y demás obligaciones
finalidades del tratamiento de los datos personales; similares o equiparables a las previstas en la
las atribuciones y facultades del responsable y Ley General y demás normatividad mexicana
demás cuestiones que considere convenientes. en la materia, asi como a los términos
Para el cumplimiento de la presente obligación, el previstos en el aviso de privacidad que le será
responsable podrá valerse de estándares, mejores comunicado por el responsable transferente.45
prácticas nacionales o internacionales, esquemas
de mejores prácticas, o cualquier otro mecanismo En caso de considerarlo necesario, el responsable
que determine adecuado para tales fines. podrá solicitar la opinión del Instituto respecto
aquellas transferencias internacionales de datos
La falta de uniformidad en los registros médi- personales que pretenda efectuar en cumplimiento
cos y la necesidad de compartirlos entre dife- de lo dispuesto en la Ley General y los Lineamientos
rentes sistemas se ha agudizado en los últimos generales de acuerdo con lo siguiente:
años con el apogeo de muchos proveedores
de este tipo de sistema. Es por esto por lo que 4 El responsable deberá presentar su solici-
se hace necesario el uso de estándares que tud directamente en el domicilio del Institu-
permitan el intercambio correcto y seguro de to, o bien, a través de cualquier otro medio
información médica, así como, la utilización de que se habilite para tal efecto;
44
Instituto Federal de Acceso a la Información Pública. “Protección de datos personales: compendio de lecturas y legislación”.
México. Ed. Tiro corto editores, 2010. Pp 98
45
Artículo 116 de los Lineamientos Generales.
23
4 La solicitud deberá describir las generalidades 4 tiene el Instituto para emitir su opinión téc-
y particularidades de la transferencia nica, por lo que comenzará a computarse a
internacional de datos personales que se partir del día siguiente a su desahogo;
pretende efectuar, con especial énfasis en
las finalidades que motivan la transferencia; El Instituto deberá emitir la opinión técnica
el o los destinatarios de los datos personales que corresponda en un plazo que no podrá
que, en su caso, se pretenda transferir; el 4 exceder de quince días, contados a partir
fundamento legal que, en su caso, obligue al del día siguiente a la recepción de la con-
responsable a transferir los datos personales; sulta, el cual no podrá ampliarse, y
los datos personales que se pretendan
transferir; las categorías de titulares Si el Instituto no emite su opinión técnica
involucrados; la tecnologia o medios utilizados en el plazo señalado en la fracción anterior
para, en su caso, efectuar la transferencia; 4 del presente articulo, se entenderá que su
las medidas de seguridad aplicables; las opinión no es favorable respecto a la trans-
cláusulas contractuales, convenios de ferencia internacional de datos personales
colaboración o cualquier otro instrumento que se pretende efectuar.
juridico que se suscribiria con el destinatario
o receptor, en caso de que resulte exigible,
así como cualquier otra información relevante CAPÍTULO 4
para el caso concreto;
PORTABILIDAD DE LOS EXPEDIENTES
4 La solicitud podrá ir acompañada de aque- CLÍNICOS
llos documentos que el responsable consi-
dere conveniente hacer del conocimiento La portabilidad de los expedientes clínicos
del Instituto; electrónicos se refiere a la posibilidad de que
el expediente clínico de un paciente, registrado
Si el Instituto considera que no cuenta con la en medios electrónicos, pueda ser accesible
suficiente información para emitir su opinión mediante algún mecanismo tecnológico por
técnica, deberá requerir al responsable, por alguna unidad médica distinta a la que lo generó.
una sola ocasión y en un plazo que no podrá Es importante recordar que, el expediente clínico
exceder de cinco días contados a partír del día electrónico en México tiene la misión de crear
siguiente de la presentación de la solicitud, condiciones necesarias para que, en un mediano
la informacíón adicional que considere plazo, se utilice con estándares y mecanismos
pertinente; innovadores y que cada uno de los mexicanos
pueda contar con uno.
4 El responsable contará con un plazo máxi-
mo de diez dias, contados a partir del dia Respecto a la portabilidad de datos personales,
siguiente de la recepción del requerimiento la Ley General dispone, en su artículo 57,
de información adicional, para proporcionar que cuando se traten datos personales por
mayores elementos al Instituto con el aper- vía electrónica en un formato estructurado y
cibimiento de que en caso de no cumplir se comúnmente utilizado, el titular tendrá derecho
tendrá por no presentada su consulta; a obtener del responsable una copia de los datos
objeto de tratamiento en un formato electrónico
4 El requerimiento de información adicional estructurado y comúnmente utilizado que
tendrá el efecto de interrumpir el plazo que le permita seguir utilizándolos. Cuando el
24
titular haya facilitado los datos personales y el reproducción, de tal forma que, éstos puedan
tratamiento se base en el consentimiento o en identificar, reconocer, extraer, explotar o realizar
un contrato, tendrá derecho a transmitir dichos cualquier otra operación con datos personales
datos personales y cualquier otra información específicos; también, cuando el formato permita
que haya facilitado y que se conserve en un la reutilización y/o aprovechamiento de los
sistema de tratamiento automatizado a otro datos personales y, cuando el formato sea
sistema en un formato electrónico comúnmente interoperable con otros sistemas informáticos,
utilizado, sin impedimentos por parte del es decir, cuando el responsable transmisor47
responsable del tratamiento de quien se retiren y el responsable receptor48 tengan la capacidad
los datos personales. para compartir infraestructura y datos personales
a través de la conexión de sus respectivos
Asimismo, el artículo 2, fracción V de los sistemas o plataformas tecnológicas.
Lineamientos que establecen los pará-
metros, modalidades y procedimientos En tal consideración, la portabilidad de los da-
para la portabilidad de datos personales46 tos personales tiene por objeto lo siguiente:
(en adelante Lineamientos de portabilidad),
disponen en la parte conducente lo siguiente: I. Que el titular solicite una copia de sus
datos personales que hubiere facilitado
Artículo 2. Además de las definiciones previstas en directamente al responsable, en un
el artículo 3 de la Ley General de Protección de Da- formato estructurado y comúnmente
tos Personales en Posesión de Sujetos Obligados, utilizado, que le permita seguir utili-
para los efectos de los presentes Lineamientos se zándolos y, en su caso, entregarlos
entenderá por: a otro responsable para su reutilización y
… aprovechamiento en un nuevo tratamiento,
V. Portabilidad de datos personales: Prerroga- sin que lo impida el responsable al que
tiva del titular a que se refiere el artículo 57 de la el titular hubiere facilitado los datos
Ley General o los que correspondan en las legisla- personales, y
ciones estatales en la materia;
Que el titular solicite la transmisión de
De lo anterior, surge la cuestión ¿Qué es un II. sus datos personales a un responsable
formato estructurado?, de conformidad con lo receptor, siempre y cuando sea téc-
dispuesto en los Lineamientos de portabilidad nicamente posible, el titular hubiere
se entenderá que un formato adquiere facilitado directamente sus datos per-
esta calidad cuando se trate de un formato sonales al responsable transmisor y
electrónico accesible y legible por medios el tratamiento de éstos se base en su
automatizados, con independencia del sistema consentimiento o en la suscripción de
informático utilizado para su generación y un contrato.
46
Disponible para su consulta en: http://dof.gob.mx/nota_detalle.php?codigo=5512847&fecha=12/02/2018
47
Los Lineamientos de portabilidad en la fracción VII del artículo 2, definen al Responsable transmisor como:
Cualquier autoridad, dependencia, entidad, órgano y organismo de los Poderes Ejecutivo, Legislativo y Judicial, órganos autónomos,
tribunales administrativos, fideicomisos y fondos públicos y partidos políticos, del orden federal, estatal o municipal, que comunica
los datos personales, en un formato estructurado y comúnmente utilizado, a un responsable receptor a petición del titular.
48
Los Lineamientos de portabilidad en la fracción VI del artículo 2, definen al Responsable receptor como:
Cualquier autoridad, dependencia, entidad, órgano y organismo de los Poderes Ejecutivo, Legislativo y Judicial, órganos autónomos,
tribunales administrativos, fideicomisos y fondos públicos y partidos políticos, del orden federal, estatal o municipal, que recibe
directamente del responsable transmisor los datos personales, en un formato estructurado y comúnmente utilizado, a petición del titular.
25
Asimismo, la portabilidad procederá cuando el responsable sobre los datos personales

se actualicen cada una de las siguientes con- proporcionados directamente por el titular,
diciones: como es el caso de los datos que hubieren sido
sometidos a un proceso de personalización,
• Los datos personales se encuentren en recomendación, categorización, creación de
un formato estructurado y comúnmente perfiles u otros procesos similares o análogos;
utilizado; tratándose de pseudónimos, salvo que éstos
• El tratamiento se efectúe por medios au- se encuentren claramente vinculados al titular
tomatizados o electrónicos; y puedan identificarlo o lo hagan identificable
• Los datos personales del titular se en- cuando el responsable cuente con información
cuentren en posesión del responsable o adicional que permita su individualización e
sus encargados; identificación, y de los datos personales sujetos
• Los datos personales conciernan al titular, a un proceso de disociación, de tal manera que
o bien, a personas físicas vinculadas a un no puedan asociarse al titular ni permitir la
fallecido que tengan un interés jurídico; identificación del mismo, salvo aquellos datos
• El titular hubiere proporcionado personales que por medio de un procedimiento
directamente al responsable sus posterior se puedan asociar de nuevo al
datos personales, de forma activa y titular. Recordemos que la portabilidad de
consciente, lo cual incluye los datos los datos perso es impone la obligación al
personales obtenidos en el contexto responsable de procesar, filtrar, seleccionar,
del uso, la prestación de un servicio o la extraer y diferenciar los datos personales que
realización de un trám ite, o bien, aquellos son objeto de portabilidad de aquella que no
proporcionados por el titular a través de un queda comprendida por ésta.
dispositivo tecnológico, y
• La portabilidad de los datos personales En tal consideración, para que tenga lugar la
no afecte los derechos y libertades de figura de la portabilidad de datos personales,
terceros. el responsable deberá considerar, lo siguiente:
Además de las condiciones señaladas con an- • Normas técnicas; como la imple-
telación, cuando se trate de transmisiones de mentación de mecanismos, medios y
datos personales a un responsable receptor, procedimientos idóneos que permitan
(siempre y cuando sea técnicamente posible, al titular obtener sus datos personales,
el titular hubiere facilitado directamente sus ya sea de manera personal, por vía
datos personales al responsable transmisor y electrónica, a través de opciones de
el tratamiento de éstos se base en su consen- descarga establecidas en sus páginas
timiento o en la suscripción de un contrato), la oficiales de Internet, o por cualquier otra
portabilidad de los datos personales será pro- tecnología que considere pertinente.
cedente cuando exista una relación jurídica
entre el responsable receptor y el titular; se dé • Informar al titular sobre el o los tipos de
cumplimiento a una disposición legal, o bien, el formatos estructurados y comúnmente
titular pretenda ejercer algún derecho. utilizados disponibles, a través de los
cuales podrá entregar o transmitir
Cabe señalar que, no será objeto de la los datos personales al responsable
portabilidad de datos personales aquella receptor, en función de la naturaleza de
inferida, derivada, creada, generada u obtenida a los datos personales y la viabilidad para
partir del análisis o el tratamiento efectuado por ser objeto de portabilidad conforme
26
a los requisitos establecidos en los pago del costo del medio de almacenamiento
Lineamientos de portabilidad o en que en su caso corresponda, o cuando el titular
caso de que sea técnicamente posible, o su representante, hubiere sido notificado que
el titular tendrá la opción de elegir el el responsable transmisor ante el cual ejerció
formato en el que desea se le entreguen la portabilidad de sus datos personales trans-
los datos personales o sean transmitidos mitió éstos al responsable receptor conforme a
al responsable receptor. sus instrucciones.
Cabe señalar que, en caso de necesitarse, la Tal como se ha mencionado, el responsable

solicitud de portabilidad de datos personales también deberá garantizar, siempre y cuando sea
deberá contener los siguientes requisitos: técnicamente posible, la interoperabilidad del
formato estructurado y comúnmente utilizado
• La petición de solicitar una copia de en el que se entreguen los datos personales al
sus datos personales en un formato titular o los transmita a otros sistemas y bases
estructurado y comúnmente utilizado, de datos en posesión del responsable receptor,
o bien, transmitir sus datos personales con la finalidad de que los datos personales
al responsable receptor. En caso de puedan ser comunicados y reutilizados de
que el titular solicite al responsable la manera uniforme y eficiente, y procurar que los
copia, podrá acompañar a su solicitud servicios y sistemas electrónicos en su posesión
el medio de almacenamiento para la mantengan la capacidad de interoperar
elaboración de la misma. En caso de con otros sistemas, adoptando protocolos y
que el titular no proporcione el medio de estándares que permitan el intercambio de
almacenamiento, el responsable deberá datos personales entre diversos sistemas o
proporcionarlo con el costo razonable plataformas tecnológicas, con independencia
que esto implique. del lenguaje de programación o plataforma en la
que fueron desarrollados.
• La explicación general de la situación
de emergencia en la que se encuentra Así, la interoperabilidad de los expedientes
el titular, a efecto de que los plazos de clínicos electrónicos en las unidades médicas
respuesta sobre la procedencia o impro- del sector salud en México, es la condición
cedencia de su solicitud y, en su caso, mediante la cual sistemas heterogéneos
para hacer efectiva la portabilidad de pueden intercambiar procesos o datos,
sus datos personales sean menores, y lo cual, se traducirá en la portabilidad de
información consistente en datos clínicos,
• La denominación del responsable re- evaluaciones, estadísticas disponibles para la
ceptor y el documento que acredite la atención oportuna y de calidad entre otros; de
relación jurídica entre el responsable y consumarse lo anterior, contribuirá a que los
el titular; el cumplimiento de una dispo- usuarios de los servicios de salud cuenten con
sición legal o el derecho que pretende la posibilidad de obtener la atención médica
ejercer, en caso de que el titular solicite necesaria en cualquiera de las instituciones
la transmisión de sus datos personales. del Sistema Nacional de Salud, obteniendo así
múltiples beneficios. Sin embargo, para que esta
Se considera efectiva la portabilidad de datos interoperabilidad sea posible, se recomienda
personales cuando el titular o su representan- que todos cumplan con una serie de criterios
te reciba copia de sus datos personales en un denominados estándares de integración del
formato estructurado y comúnmente utiliza- sistema o factores comunes, mismos que se
do, que le permita seguir utilizándolos, previo han agrupado como a continuación se indica:
27
• Estándares de contenidos y estructura En caso de que se utilicen estándares internacionales

(arquitectura) para normalizar los expedientes clínicos electrónicos
• Representación de datos clínicos (codi- como lo hemos señalado, éstos vendrían a
ficación) minimizar los tres factores que condicionan la
• Estándares de comunicación (formatos interoperabilidad entre sistemas, como lo son:
de mensajes)
• Seguridad de datos, confidencialidad y • La necesidad de información médica ac-
autentificación cesible desde diferentes lugares
• La mecanización de procesos
Como sabemos, en la actualidad los expedientes • Los problemas éticos y legales
clínicos electrónicos varían entre los diferentes
proveedores de salud, trayendo consigo En virtud de lo anterior, resulta importante
diversos problemas de interoperabilidad e señalar algunos de los beneficios de la
intercambio de información clínica entre los interoperabilidad:
distintos proveedores y usuarios. Algunos puntos
para resaltar de la problemática que se tiene • Actualización y disponibilidad de la infor-
actualmente son: mación médica las 24 horas.
• Lenguaje común para los diversos sis-
• Gran porcentaje de la información aún temas médicos en la elaboración del
no ha sido digitalizada, debido a que par- expediente clínico electrónico.
te de ella no es posible realizarle un aná- • Información consultable en línea por to-
lisis de patrón de datos al ser de carácter das las unidades médicas.
histórico. Cabe señalar que, por tratarse • Utilización de estándares de códigos
de documentos elaborados en interés para intercambio de información entre
y beneficio del paciente, deberán ser los diversos sistemas para el manejo del
conservados por un periodo mínimo de expediente clínico electrónico.
5 años, contados a partir de la fecha del
último acto médico, en términos de lo En tal consideración, se sugiere adoptar medidas
que establece la NOM-004-SSA3-2012. preventivas por parte de los prestadores de
• Información contenida en expedientes servicios de salud que garanticen que cualquier
clínicos se encuentra aún en papel. tecnología utilizada en la asistencia médica,
• No existe una estructura bien definida de incluyendo sistemas de expedientes clínicos
los datos que deben contener los diver- electrónicos, cumplan con los estándares
sos expedientes clínicos electrónicos. requeridos en materia de protección de datos
• El médico no cuenta con la cultura de do- personales para su recopilación, guarda y
cumentar el expediente clínico electrónico. almacenamiento. Igualmente, se considera que
No existen estándares definidos que dentro de esta categoría de medidas se encuentran
• permitan el intercambio de información las certificaciones en materia de salud, o bien, la
entre proveedores de salud. adopción de mecanismos de autorregulación
Falta de regulación puntual relativa a previstos en la Ley Federal de Protección de Datos
• confidencialidad y transferibilidad en Personales en Posesión de los Particulares y la
el intercambio de información entre los LGPDPPSO, mecanismos que permiten elevar los
agentes del sistema de salud. estándares previstos en dicho ordenamiento49
49
Opinión realizada por la Dra. Patricia Kurczyn Villalobos en la Revista de la Facultad de Derecho de México, UNAM. “Contenido e
importancia del expediente clínico. Acceso y confidencialidad”. Tomo LXIX, Número 273. enero-abril 2019.
28
CAPÍTULO 5 Un aspecto fundamental que considerar en

esta Norma es, por una parte, que resulta de
RESPONSABLES EN EL MANEJO DEL observancia obligatoria para el personal del
EXPEDIENTE CLÍNICO área de la salud y los establecimientos pres-
tadores de servicios de atención médica de
Tal como se advierte de los preceptos legales los sectores público y privado que, en el caso
establecidos en la Ley General, los responsables concreto, el presente documento sólo se ciñe
son cualquier autoridad, entidad, órgano y a sector público, incluidos los consultorios
organismo de los Poderes Ejecutivo, Legislativo y, por la otra, que reconoce la titularidad del
y Judicial, órganos autónomos, partidos políticos, paciente sobre los datos que proporciona al
fideicomisos y fondos públicos, tales como las personal del área de la salud. En ese sentido,
instituciones de salud, que realizan actividades se comprende aquellos datos que se refieren
consistentes en la prestación de servicios a su identidad personal y los que proporciona
médicos y que conlleva necesariamente un en relación con su padecimiento y diagnóstico
tratamiento de datos personales de los pacientes médico, mismos que son considerados como
que acuden para recibir un diagnóstico o información confidencial.
tratamiento médico, o bien, para la realización de
algún estudio o análisis clínico. Por su parte, los numerales 5, 5.1, 5.2, 6, 6.1,
6.2, 6.3 y 6.4 de esa misma Norma, establecen
Cabe recordar, que los datos personales fundamentalmente que los prestadores de
consisten en cualquier información concerniente servicios de atención médica de los estableci-
a una persona física identificada o identificable, mientos de carácter público y privado estarán
entendida como aquélla cuya identidad pueda obligados a integrar y conservar el expediente
determinarse, directa o indirectamente, mediante clínico de sus pacientes, el cual debe contener
cualquier información; mientras que el tratamiento fundamentalmente lo siguiente:
comprende cualquier actividad como su
obtención, uso, acceso, manejo, aprovechamiento, • Tipo, nombre y domicilio del estableci-
transferencia, disposición, divulgación o miento y, en su caso, nombre de la insti-
almacenamiento por cualquier medio. tución a la que pertenece
• La razón y denominación social del pro-
En tal consideración, la NOM-004-SSA3-2012, pietario o concesionario, en su caso
como ya se ha señalado con anterioridad, trata el • Nombre, sexo, edad y domicilio del pa-
tema del expediente clínico, mismo que tiene como ciente
propósito establecer con precisión los criterios • Historia clínica (interrogatorio, explo-
científicos, éticos, tecnológicos y administrativos ración física, resultados de laborato-
obligatorios en la elaboración, integración, rio, diagnóstico, pronóstico, indica-
uso, manejo, archivo, conservación, propiedad, ción terapéutica)
titularidad y confidencialidad del expediente • Notas de evolución (evolución y actuali-
clínico, el cual se constituye en una herramienta zación del cuadro clínico, signos vitales,
de uso obligatorio para el personal del área de resultados relevantes, diagnóstico o pro-
la salud, de los sectores público y privado que blemas clínicos, pronóstico, tratamiento
integran el Sistema Nacional de Salud. e indicaciones médicas)
29
• Notas de interconsulta (criterios diag- CAPÍTULO 6

nósticos, plan de estudios, sugerencias
diagnósticas y tratamiento) OBLIGACIONES PARA LOS RESPONSABLES
• Notas de referencia/traslado (estable- EN LA PROTECCIÓN DE DATOS PERSONALES
cimiento que envía y receptor, resumen EN LOS EXPEDIENTES CLÍNICOS
clínico, motivo del envío, impresión diag-
nóstica y terapéutica empleada). La NOM-004-SSA3-201250 establece que
existe obligación solidaria entre los prestadores
En ese sentido, no debe pasar desapercibido de servicios de atención médica de los
que, en términos del artículo 3, fracción X de establecimientos de los distintos sectores y
la Ley General, los datos personales sensibles del personal que preste sus servicios en los
son aquellos que se refieran a la esfera más mismos, de integrar y conservar los expedientes;
íntima de su titular, o cuya utilización indebida prevé cuáles deben ser los datos generales que
pueda dar origen a discriminación o conlle- deben asentarse en el expediente clínico tanto
ve un riesgo grave para éste, considerándose del establecimiento o institución de que se trate
como datos personales sensibles de manera como del paciente; señala que los expedientes
enunciativa más no limitativa, los que puedan clínicos son propiedad del prestador de
revelar aspectos como origen racial o étnico, servicios médicos, esto es, de la institución
estado de salud presente o futuro, información o el médico particular, según sea el caso, sin
genética, creencias religiosas, filosóficas y mo- embargo, dispone que los pacientes tendrán
rales, opiniones políticas y preferencia sexual, derechos de titularidad sobre la información
entre otros. para la protección de su salud, así como para
la protección de la confidencialidad de sus
Por tal motivo, si se toma en cuenta que para datos; y establece también que, al tratarse de
la integración del expediente clínico se requie- instrumentos expedidos en beneficio de los
re diversa información de carácter personal de pacientes, los expedientes deberán conservarse
los pacientes, tanto aquella de carácter iden- por un mínimo de cinco años contados a partir
tificativo, como la referente al estado de salud del último acto médico.
presente y futuro de los titulares, se puede
concluir que las instituciones que prestan ser- Otro punto importante a considerar en la Norma
vicios de salud, en cualquiera de sus vertientes antes señalada, es el relativo al manejo de la
y enfoques, efectúan el tratamiento de datos información por parte de los responsables, se
personales sensibles. da cuando un expediente clínico pretenda ser
49
Disponible para su consulta en: https://dof.gob.mx/nota_detalle_popup.php?codigo=5272787
30
utilizado con fines de docencia o investigación, • Observar las medidas de seguridad que
en el que los datos personales que posibiliten se establezcan para los sistemas de da-
la identificación del paciente deberán ser tos personales en los que se almacenen
omitidos para no ser divulgados, a menos los datos de salud
que exista autorización escrita del paciente; • Informar a los beneficiaros para que pue-
dispone también que no se dará información dan decidir libremente sobre su atención
del expediente clínico a terceros, a menos que • Informar a los beneficiarios acerca de los
hubiera una solicitud por escrito del paciente, riesgos y alternativas de los procedimientos
tutor, representante legal o médico debidamente terapéuticos y quirúrgicos que se le indiquen
autorizado por el paciente. o apliquen, así como, de los procedimientos
de consultas o quejas
Como se advierte de lo anterior, tanto los mé- • Solicitar el consentimiento de los bene-
dicos y profesionales, como aquéllas otras per- ficiarios cuando se les informe acerca de
sonas que laboren o tengan acceso a la infor- los riesgos y alternativas de los procedi-
mación y documentación clínica del paciente, mientos terapéuticos y quirúrgicos
deben guardar la reserva debida. En este sen- • Cumplir con el resto de las obligaciones
tido, la Recomendación nº R (97) 5, de 13 de fe- que puedan ser exigibles como conse-
brero de 1997, del Comité de Ministros del Con- cuencia del tratamiento o el acceso a
sejo de Europa a los Estados miembros sobre datos personales, bien sean estableci-
Protección de Datos Médicos, en su capítulo 3,51 das por la normativa sobre el expediente
establece lo siguiente: clínico o por la normativa que regula la
protección de datos personales.
“3.2… Los individuos u órganos que trabajen en
representación de profesionales sanitarios recogiendo En México, la Norma Oficial Mexicana NOM-
y procesando datos médicos deben estar sujetos a las 024-SSA3-201052 establece también que la
mismas normas de confidencialidad que pesan sobre los información contenida en los sistemas de
profesionales sanitarios o a normas de confidencialidad los expedientes clínicos electrónicos será
comparables. manejada con discreción y confidencialidad,
de acuerdo a la normatividad aplicable, y a los
Los administradores de archivos que no son profesionales principios científicos y éticos que orientan la
sanitarios sólo deben recoger y procesar datos médicos práctica médica, dicha información podrá ser
cuando estén sujetos a normas de confidencialidad dada a conocer al paciente, o a quien tenga
comparables a las que pesan sobre el profesional facultad legal para decidir por él, y en su caso a
sanitario o a medidas de seguridad igualmente eficaces terceros mediante orden de la autoridad judicial,
proporcionadas por la Ley nacional”. o administrativa competente, a la Comisión
Nacional de Arbitraje Médico, o a las Comisiones
Además de las ya señaladas, otras de las obli- Estatales de Arbitraje Médico correspondientes.
gaciones de los médicos, profesionales sani-
tarios y de aquellas personas que elaboren o Cabe señalar que, la doctrina de manera general
tengan acceso a la información y documenta- acepta las siguientes excepciones al deber de
ción clínica serán las siguientes: confidencialidad por parte de los responsables:53
51
Disponible para su consulta en: https://www.bioeticaweb.com/recomendaciasn-nao-r-97-5-de-13-de-febrero-de-1997-del-comitac-
de-ministros-del-consejo-de-europa-a-los-estados-miembros-sobre-protecciasn-de-datos-macdicos/
52
Disponible para su consulta en: http://www.dgis.salud.gob.mx/descargas/pdf/NOM-024-SSA3-2010_SistemasECE.pdf
53
MUREDU. Mariana, “La Regulación Jurídica del Expediente Clínico Electrónico”, pp 118, México, 2017.
31
• El consentimiento expreso del intere- las obligaciones y demás deberes en ma-

sado, si es adulto, o de sus represen- teria de protección de datos personales;
tantes legales si es menor de edad o • Revisar periódicamente las políticas y pro-
incapacitado. gramas de seguridad de datos personales
para determinar las modificaciones que
• Que la información sea compartida con se requieran;
otros facultativos o profesionales de la sa- • Establecer un sistema de supervisión y
lud en el medio hospitalario, cuando ello sea vigilancia interna y/o externa, incluyen-
necesario para la elaboración de pruebas o do auditorías, para comprobar el cumpli-
de otros tratamientos para garantizar la ca- miento de las políticas de protección de
lidad de la atención médica al paciente. datos personales;
• Establecer procedimientos para recibir
Adicional a lo anterior, si se toma en y responder dudas y quejas de los ti-
consideración que la Ley General establece tulares;
que los responsables tienen la obligación de • Diseñar, desarrollar e implementar sus
implementar mecanismos para acreditar políticas públicas, programas, servicios,
el cumplimiento de los principios, deberes y sistemas o plataformas informáticas,
obligaciones establecidos en la referida Ley, aplicaciones electrónicas o cualquier
así como, rendir cuentas sobre el tratamiento otra tecnología que implique el trata-
de datos personales en su posesión al titular miento de datos personales, de confor-
e Instituto o los Organismos garantes, según midad con las disposiciones previstas en
corresponda, caso en el cual, deberá observar la presente Ley y las demás que resulten
lo establecido en la Constitución y Tratados aplicables en la materia, y
Internacionales en los que el Estado mexicano • Garantizar que sus políticas públicas,
sea parte y cuando no se contraponga con la programas, servicios, sistemas o pla-
normativa mexicana podrá valerse de estándares taformas informáticas, aplicaciones
o mejores prácticas nacionales o internacionales electrónicas o cualquier otra tecno-
para tales fines. logía que implique el tratamiento de
datos personales, cumplan por defec-
Entre los mecanismos a los que se hace refe- to con las obligaciones previstas en la
rencia en el párrafo anterior, están al menos los presente Ley y las demás que resulten
siguientes: aplicables en la materia.
• Destinar recursos autorizados para tal Al respecto, se señalan las obligaciones del per-
fin para la instrumentación de progra- sonal responsable de llevar el expediente clí-
mas y políticas de protección de datos nico establecidas en la NOM-004-SSA3-2012,54
personales; mismas que se traducen en lo siguiente:
• Elaborar políticas y programas de pro-
tección de datos personales, obligato- 1. Integrar expedientes clínicos por cada
rios y exigibles al interior de la organiza- paciente.
ción del responsable; 2. Integrarlos cumpliendo con los requi-
• Poner en práctica un programa de capa- sitos que establece la propia NOM-004-
citación y actualización del personal sobre SSA3-2012.
54
Disponible para su consulta en: http://dof.gob.mx/nota_detalle_popup.php?codigo=5272787
32
3. Ponerlos a disposición de las per- • Maltratarlo o destruirlo

sonas que de acuerdo con la propia • Alterarlo sin consentimiento de los mé-
NOM-004-SSA3-2012 pueden acceder dicos o del propio paciente
a su información.
La segunda forma por la que se puede incu-
La obligación enunciada en primer lugar, re- rrir en responsabilidad, tiene que ver con el
caerá sobre la institución de salud y específi- acceso a la información contenida en el ex-
camente sobre el departamento que lleve a su pediente clínico, y se puede actualizar en los
cargo el registro de los pacientes que ingresan. siguientes casos:
Asimismo, cada vez que un médico reciba un
nuevo paciente deberá abrir un expediente clí- 1. No entregar el expediente clínico o
nico particular para ese paciente. cualquier información requerida del
mismo al paciente, su representante
Respecto a la segunda obligación enunciada, legal o persona autorizada por el pro-
esta deberá ser cumplida, primero por el mé- pio paciente, así como a autoridades
dico tratante y posteriormente por su equipo judiciales o administrativas
de apoyo. Esto vale tanto para las instituciones
de salud públicas como para las consultas en 2. Entregar el expediente clínico o cual-
clínicas particulares. quier información que se contenga en
este a terceros, sin contar con la autori-
Por último, cada institución de salud pública zación del paciente o su representante
deberá tener una Unidad de Transparencia, legal para hacerlo, pues ello vulnera el
que será la encargada de proporcionar la in- principio de confidencialidad de los da-
formación requerida por los particulares. En el tos del paciente y el secreto médico
caso de los médicos particulares, ellos mismos
tendrán la obligación de proporcionar la infor- Como se ha señalado, resulta una obligación
mación que se les solicite. para los médicos (médico tratante, los médicos
especialistas, los cirujanos, los residentes,
Así, respecto del expediente clínico se pue- las enfermeras) y las instituciones de salud
de incurrir en dos tipos de responsabilidad: la integración correcta de los expedientes
la primera hace referencia a la obligación clínicos, así como su custodia y conservación.
que establece la NOM-004-SSA3-201255 El médico también tiene derecho a exigir a
de llevar expedientes clínicos, y la segunda, a cada uno de los actores registre de forma clara
la de acceso a su información. en el expediente respectivo todos los actos
que realiza en favor del paciente, toda vez
Respecto de la primera, su incumplimiento se que, este instrumento es la prueba material
puede actualizar en los siguientes casos: mediante la cual el médico, en caso de que
exista alguna controversia respecto de su
• No integrar expedientes clínicos actuación, podrá demostrar que su actuación
• Integrarlos de manera deficiente o in- fue conforme a la lex artis médica, por lo que al
completa en términos de la NOM-004- no ser el único que participa en su integración
SSA3-2012 requiere la actuación responsable de los
• Permitir que lo roben demás participantes.56
55
Disponible para su consulta en: http://dof.gob.mx/nota_detalle_popup.php?codigo=5272787
56
MUREDU. Mariana, “La Regulación Jurídica del Expediente Clínico Electrónico”, pp 146, México, 2017.
33
En general, todo profesional que asista en el ám- • Ajeno a la organización del responsable,
bito sanitario a pacientes o usuarios estará obli- es decir, los trabajadores que forman
gado, además de a prestar correctamente sus parte de la estructura del responsable
técnicas como profesional sanitario, a respetar no son encargados;
las decisiones que libre y voluntariamente adop- • Puede tratar los datos solo o de manera
te el paciente y cumplir con los deberes de in- conjunta con otras personas;
formación y de documentación clínica. Estos úl-
timos, inciden directamente en el tratamiento de Así, el encargado es un prestador de servicios
datos personales, lo que determina la necesidad que realiza actividades de tratamiento de
de garantizar la aplicación de la normativa sobre datos personales a nombre y por cuenta
protección de datos. del responsable, como consecuencia de la
existencia de una relación jurídica que le vincula
CAPÍTULO 7 con el mismo y delimita el ámbito de su actuación
para la prestación de un servicio. El responsable
EL TRATAMIENTO DE LOS DATOS PERSONALES será corresponsable por las vulneraciones de
POR PARTE DE LOS ENCARGADOS EN LOS seguridad ocurridas en el tratamiento de datos
EXPEDIENTES CLÍNICOS personales que efectúe el encargado a nombre
y por cuenta de éste.
La Ley General en la fracción XV del artículo 3,57
define al encargado como la persona física o El encargado deberá realizar las actividades
jurídica, pública o privada, ajena a la organización de tratamiento de los datos personales sin
del responsable, que sola o conjuntamente con ostentar poder alguno de decisión sobre el
otras trate datos personales a nombre y por cuenta alcance y contenido del mismo, así como limitar
del responsable. Si bien el responsable deberá sus actuaciones a los términos fijados por el
adoptar políticas e implementar mecanismos responsable y la relación entre éstos deberá
para asegurar y acreditar el cumplimiento de estar formalizada mediante un instrumento
los principios, deberes y demás obligaciones jurídico que decida el responsable, que
establecidas por la normatividad aplicable, permita acreditar la existencia de la relación
así como, establecer aquellos mecanismos jurídica, su alcance y contenido, como por
necesarios para evidenciar dicho cumplimiento ejemplo un contrato, cláusulas contractuales,
ante los titulares y el Instituto; no se debe olvidar que acuerdos, convenios u otros de conformidad
lo anterior también le resultará aplicable cuando con la normativa que le resulte aplicable.
los datos personales sean tratados por parte de un En todo caso, los acuerdos que se alcancen
encargado a solicitud del propio responsable o al entre el responsable y el encargado deberán
momento de realizar transferencias, nacionales o ser acordes con lo previsto en el aviso de
internacionales de datos personales. privacidad que definió las condiciones del
tratamiento de los datos personales y no
En tal consideración, el encargado tendrá las deberá contravenir lo estipulado en la Ley
siguientes características: General y demás disposiciones aplicables.
• Puede ser una persona física o jurídica; En el contrato o instrumento jurídico que deci-
• Del ámbito público o privado; da el responsable se deberán prever, al menos,
57
34
las siguientes cláusulas generales relaciona- lo dispuesto en la Ley General y los

das con los servicios que preste el encargado: presentes Lineamientos generales,
proporcionando la información y
• Realizar el tratamiento de los datos per- documentación que se estime necesaria
sonales conforme a las instrucciones del para tal efecto, y
responsable; • Generar, actualizar y conservar la do-
• Abstenerse de tratar los datos persona- cumentación necesaria que le permi-
les para finalidades distintas a las instrui- ta acreditar el cumplimiento de sus
das por el responsable; obligaciones.
• Implementar las medidas de seguridad
conforme a los instrumentos jurídicos Cuando el encargado incumpla las instrucciones
aplicables; del responsable y decida por sí mismo sobre el
• Informar al responsable cuando ocurra tratamiento de los datos personales, asumirá el
una vulneración a los datos personales carácter de responsable conforme a la legisla-
que trata por sus instrucciones; ción en la materia que le resulte aplicable.
• Guardar confidencialidad respecto de
los datos personales tratados; Como ejemplo, la figura del encargado tendría
• Suprimir o devolver los datos personales lugar cuando un organismo desconcentrado
objeto de tratamiento una vez cumplida en materia de salud contrata a una empresa
la relación jurídica con el responsable, especializada para encargarse de manipu-
siempre y cuando no exista una previ- lar el sistema de datos personales sensibles
sión legal que exija la conservación de con el que se crearán los expedientes clínicos
los datos personales, y electrónicos de sus pacientes, en virtud de la
• Abstenerse de transferir los datos prestación del servicio, el sujeto obligado (res-
personales salvo en el caso de que ponsable) le comunica los datos personales
el responsable así lo determine, sensibles de los pacientes para que elabore
o la comunicación derive de una los expedientes clínicos electrónicos, en este
subcontratación, o por mandato expreso supuesto estaríamos hablando de que la em-
de la autoridad competente. presa que elabora dichos documentos es la
encargada del tratamiento.
Además de las cláusulas generales seña-
ladas con antelación, para la prestación de De conformidad con lo establecido en la
los servicios del encargado, el responsable Ley General,58 el encargado también podrá
deberá prever en el contrato o instrumento subcontratar servicios que impliquen el tratamiento
jurídico las siguientes obligaciones: de datos personales por cuenta del responsable,
siempre que cuente con la autorización de éste,
• Permitir al Instituto o al responsable es decir, que se establezca en el instrumento
realizar verificaciones en el lugar o jurídico mediante el cual se haya formalizado
establecimiento donde lleva a cabo el la relación entre responsable y encargado. Una
tratamiento de los datos personales; vez obtenida la autorización del responsable,
• Colaborar con el Instituto en las el encargado deberá formalizar la relación
investigaciones previas y verificaciones con el subcontratado a través de cláusulas
que lleve a cabo en términos de contractuales u otro instrumento jurídico que
58
Artículo 61 de la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados, disponible para su consulta en:
http://www.diputados.gob.mx/LeyesBiblio/pdf/LGPDPPSO.pdf
35
permita acreditar su existencia, alcance y En consecuencia, tal como se advierte de lo

contenido. Es importante que el encargado anterior, el responsable tiene obligaciones res-
prevea en este instrumento que la persona pecto de la relación que establezca con los
subcontratada asuma las mismas obligaciones encargados que traten datos a su nombre, por
que se establezcan para el encargado. lo que siempre deberá considerar lo siguiente:
Es común y habitual que en la práctica 1. La relación con los encargados debe

se presenten casos en los que exista una formalizarse mediante contrato o instru-
subcontratación de servicios cuando el mento jurídico, que permita acreditar su
encargado del tratamiento tiene que recurrir, a existencia, alcance y contenido
su vez, a otras personas físicas o morales que
le prestan algún servicio que implica el acceso 2. Incluir en el contrato o instrumento ju-
a los datos personales del responsable; ejemplo rídico, al menos las siguientes cláusulas
de lo anterior, tiene lugar cuando un responsable con encargado:
ha contratado a un encargado un servicio de • El tratamiento de datos personales
software para la realización de estudios clínicos, debe realizarse conforme a las ins-
que implica el tratamiento de datos personales trucciones del responsable;
y, este último hace, uso de los servicios de • El encargado no debe tratar los datos
otra persona jurídica para almacenar los datos personales para finalidades distintas
personales en la nube, este último tratamiento a las instruidas por el Responsable;
de datos implica una subcontratación, que • El encargado debe Implementar las
tendrá que estar autorizada por el responsable. medidas de seguridad conforme a los
Cabe señalar que, el responsable podrá instrumentos jurídicos aplicables;
contratar o adherirse a servicios, aplicaciones e • El encargado debe informar al
infraestructura en el cómputo en la nube, y otras responsable cuando suceda una
materias que impliquen el tratamiento de datos vulneración a los datos personales;
personales, siempre y cuando el proveedor • La obligación de guardar confidencia-
externo garantice políticas de protección de lidad de los datos personales tratados;
datos personales equivalentes a los principios • Suprimir o devolver los datos perso-
y deberes establecidos en la Ley General y nales una vez cumplida la relación
demás disposiciones que resulten aplicables jurídica salvo que exista una previsión
en la materia. Los proveedores de servicios de legal que exija la conservación de los
cómputo en la nube y otras materias a que se datos personales;
refieren los artículos 3, fracción VI, 63 y 64 de la • No debe el encargado transferir los
Ley General, tendrán el carácter de encargados. datos personales, a menos que
sea instrucción del responsable, o
En caso de que el encargado y el subcontratado dicha comunicación derive de una
incumplan las instrucciones del responsable y subcontratación, o cuando derive de
decidan y determinen por sí mismos los fines, un mandato expreso de la autoridad
medios y demás cuestiones relacionadas competente;
con el tratamiento de los datos personales, • Permitir al INAI o al Responsable,
asumirán el carácter de responsables realizar verificaciones en el lugar o
conforme a la legislación en la materia que le establecimiento donde se lleva a cabo
resulte aplicable en función de su naturaleza el tratamiento de los datos personales;
pública o privada. Colaborar con el INAI en las investi-
36
gaciones previas y verificaciones de Asimismo, que cuente con mecanismos, al

acuerdo con lo dispuesto en la Ley menos para:
General y los Lineamientos Genera-
les, el encargado tiene la obligación a) Dar a conocer cambios en sus políticas
de proporcionar la información y de privacidad o condiciones del servicio
documentación necesaria, y que presta;
• El encargado para acreditar el cum- b) Permitir al responsable limitar el tipo
plimiento de obligaciones puede de tratamiento de los datos personales
generar, actualizar y conservar la sobre los que se presta el servicio;
documentación necesaria. c) Establecer y mantener medidas de
seguridad para la protección de los da-
3. El responsable debe autorizar las tos personales sobre los que se preste el
subcontrataciones que realicen los servicio;
encargados y que involucren el trata- d) Garantizar la supresión de los datos
miento de datos personales. personales una vez que haya concluido
el servicio prestado al responsable y que
4. Informar al encargado que el contra- este último haya podido recuperarlos, y
to o el instrumento jurídico mediante el e) Impedir el acceso a los datos
cual se formalice la subcontratación de- personales a personas que no cuenten
berá incluir cláusulas con las obligacio- con privilegios de acceso, o bien, en
nes antes señaladas. caso de que sea a solicitud fundada
y motivada de autoridad competente,
Para el tratamiento de datos personales en ser- informar de ese hecho al responsable.
vicios, aplicaciones e infraestructura de cómputo
en la nube y otras materias, en los que el respon- En cualquier caso, el responsable no podrá ad-
sable se adhiera a los mismos mediante condi- herirse a servicios que no garanticen la debida
ciones o cláusulas generales de contratación, protección de los datos personales, conforme
sólo podrá utilizar aquellos servicios en los que a la Ley General y demás disposiciones que re-
el proveedor cumpla al menos con lo siguiente: sulten aplicables en la materia.
a) Tener y aplicar políticas de protección

de datos personales afines a los princi-
pios y deberes aplicables que establece
la presente Ley y demás normativa
aplicable;
b) Transparentar las subcontrataciones
que involucren la información sobre la
que se presta el servicio;
c) Abstenerse de incluir condiciones en
la prestación del servicio que le auto-
ricen o permitan asumir la titularidad
o propiedad de la información sobre la
que preste el servicio, y
d) Guardar confidencialidad respecto de
los datos personales sobre los que se
preste el servicio;
37
CAPÍTULO 8 historial clínico y a la información contenida en

él, y la dependencia o entidad debe otorgarlo.
DERECHOS DE ACCESO, RECTIFICACIÓN, Tratándose de una solicitud de acceso a
CANCELACIÓN Y OPOSICIÓN (ARCO) EN EL datos personales, el Titular deberá señalar
EXPEDIENTE CLÍNICO la modalidad en la que prefiere que éstos se
reproduzcan y el responsable deberá atender
Respecto a los derechos de acceso, rectificación, la solicitud en la modalidad requerida por el
cancelación y oposición (derechos ARCO) titular, salvo que exista una imposibilidad física
que tiene el titular de los datos personales o o jurídica que lo limite a reproducir los datos
derechohabiente, la Ley General señala que en personales de dicha manera, en este caso
todo momento el titular o su representante podrán deberá ofrecer otras modalidades de entrega
solicitarlos al responsable del tratamiento de los de los datos personales fundando y motivando
datos personales y el ejercicio de cualquiera de dicha actuación.
ellos no es requisito previo, ni impide el ejercicio
de otro. Asimismo, dispone que el titular tendrá Adicional a lo anterior, el titular tendrá derecho
derecho de acceder a sus datos personales que a solicitar al responsable la rectificación o co-
obren en posesión del responsable, a conocer la rrección de sus datos personales cuando estos
información relacionada con las condiciones y resulten ser inexactos, incompletos o no se en-
generalidades de su tratamiento, y lo faculta para cuentren actualizados.
conocer qué datos tiene sobre él y a quiénes se
van a comunicar. Asimismo, el titular tiene derecho a solicitar la
cancelación de sus datos personales, a fin de
En México, la Norma Oficial Mexicana NOM- que los mismos ya no estén en su posesión y
004-SSA3-2012, establece que los expedientes dejen de ser tratados. En esta solicitud de can-
clínicos son propiedad de la institución o del celación, el titular deberá señalar las causas
prestador de servicios médicos que los genera, que lo motiven a solicitar la supresión de sus
cuando éste, no dependa de una institución.59 datos personales en los archivos, registros, ex-
En caso de instituciones del sector público, pedientes, sistemas o bases de datos del res-
además de lo establecido en esta norma, de- ponsable.
berán observar las disposiciones que en la ma-
teria estén vigentes. El titular también podrá oponerse al tratamiento
de sus datos personales o exigir que se cese
Sin perjuicio de lo anterior, el paciente en tanto en el mismo cuando se trata de evitar que su
aportante de la información y beneficiario de la persistencia cause un daño o perjuicio al titular
atención médica tiene derechos de titularidad y sus datos personales sean objeto de un
sobre la información para la protección de su tratamiento automatizado, el cual le produzca
salud, así como, para la protección de la con- efectos jurídicos no deseados o afecte de
fidencialidad de sus datos, en los términos de manera significativa sus intereses, derechos
esta Norma y demás disposiciones jurídicas o libertades, y estén destinados a evaluar, sin
que resulten aplicables. intervención humana, determinados aspectos
personales del mismo o analizar o predecir, en
En consecuencia, en principio el paciente tiene particular, su rendimiento profesional, situación
derecho de acceso a la documentación de su económica, estado de salud, preferencias
59
Numeral 5.4 de la Norma Oficial Mexicana NOM-004-SSA3-2012, disponible para su consulta en:
https://dof.gob.mx/nota_detalle_popup.php?codigo=5272787
38
sexuales, fiabilidad o comportamiento. En tarias que permitan su identificación fe-

este caso, el titular deberá manifestar las hacientemente, o
causas legítimas o la situación específica • Mecanismos establecidos por el res-
que lo llevan a solicitar el ejercicio de este ponsable de manera previa, siempre y
derecho de oposición. cuando permitan de forma inequívoca la
acreditación de la identidad del titular.
La Ley General dispone que para el ejercicio
de los derechos ARCO el trámite deberá ser Cabe señalar, que la identidad de los menores
gratuito y sólo podrán realizarse cobros para de edad se podrá acreditar mediante su acta
recuperar los costos de reproducción, certifi- de nacimiento, Clave Única de Registro de
cación o envío y en la solicitud para el ejercicio Población (CURP), credenciales expedidas
de estos derechos no podrán imponerse ma- por instituciones educativas o instituciones
yores requisitos que los siguientes: de seguridad social, pasaporte, o cualquier
otro documento oficial utilizado para tal fin. El
• Nombre del titular; ejercicio de los derechos ARCO por persona
• Domicilio del titular o cualquier otro me- distinta a su titular o a su representante, será
dio para recibir notificaciones; posible, excepcionalmente, en aquellos
• Documentos que acred iten la identidad supuestos previstos por disposición legal, o en
del titular; su caso, por mandato judicial.
• Documentos que acrediten la personali-
dad e identidad de su representante, en Tratándose de datos personales concernientes
su caso; a personas fallecidas, la persona que acredite
• Área responsable que trata los datos tener un interés jurídico, de conformidad con
personales y ante el cual se presenta la las leyes aplicables, podrá ejercer los derechos
solicitud, de ser posible; siempre que el titular de los mismos hubiere
• Descripción clara y precisa de los datos expresado fehacientemente su voluntad en tal
personales respecto de los que se bus- sentido o que exista un mandato judicial para
ca ejercer alguno de los derechos ARCO, tal efecto.
salvo que se trate del derecho de acceso;
• Descripción del derecho ARCO que se En caso de que la solicitud de protección de
pretende ejercer, o bien, lo que solicita datos no satisfaga alguno de los requisitos a
el titular, y que se ha hecho referencia y el Instituto o los
• Cualquier otro elemento o documento organismos garantes no cuenten con elemen-
que facilite la localización de los datos tos para subsanarla, se prevendrá al titular de
personales, en su caso. los datos dentro de los cinco días siguientes a
la presentación de la solicitud de ejercicio de
En la solicitud para el ejercicio de los derechos los derechos ARCO, por una sola ocasión, para
ARCO, el titular podrá acreditar su identidad a que subsane las omisiones dentro de un plazo
través de los siguientes medios: de diez días contados a partir del día siguiente
al de la notificación. Transcurrido el plazo, en
• Identificación oficial; caso de no desahogar la prevención, se tendrá
• Instrumentos electrónicos o mecanis- por no presentada la referida solicitud. Cabe
mos de autenticación permitidos por señalar que dicha prevención tiene el efecto
otras disposiciones legales o reglamen- de interrumpir el plazo que tiene el Instituto, o
39
en su caso, los organismos garantes, para re- y permanencia del Estado mexicano,
solver la solicitud de ejercicio de los derechos o
ARCO. • Cuando los datos personales sean parte
de la información que las entidades
Las solicitudes para el ejercicio de los dere- sujetas a la regulación y supervisión
chos ARCO deberán presentarse ante la Uni- financiera del sujeto obligado hayan
dad de Transparencia del responsable, en este proporcionado a éste, en cumplimiento
caso en concreto, de la institución de salud a requerimientos de dicha información
pública que atienda al paciente o que el titular sobre sus operaciones, organización y
considere competente, a través de escrito libre, actividades.
formatos, medios electrónicos o cualquier otro
medio que al efecto establezca el Instituto y En todos los casos anteriores, el responsable
los Organismos garantes, en el ámbito de sus deberá informar al titular el motivo de su
respectivas competencias. determinación, en el plazo de hasta veinte
días y podrá ser ampliado por una sóla vez
Las únicas causas en las que el ejercicio de los hasta por diez días cuando así lo justifiquen
derechos ARCO no será procedente son: las circunstancias, siempre y cuando se
le notifique al titular dentro del plazo de
• Cuando el titular o su representante no es- respuesta. En caso de resultar procedente
tén debidamente acreditados para ello; el ejercicio de los derechos ARCO, el
• Cuando los datos personales no se en- responsable deberá hacerlo efectivo en
cuentren en posesión del responsable; un plazo que no podrá exceder de quince
Cuando exista un impedimento legal; días contados a partir del día siguiente
• Cuando se lesionen los derechos de un en que se haya notificado la respuesta al
tercero; titular por el mismo medio en que se llevó
• Cuando se obstaculicen actuaciones ju- a cabo la solicitud.
diciales o administrativas;
• Cuando exista una resolución de autori- Contra la negativa de dar trámite a toda
dad competente que restrinja el acceso solicitud para el ejercicio de los derechos
a los datos personales o no permita la ARCO o por falta de respuesta del respon-
rectificación, cancelación u oposición de sable, procederá la interposición del recur-
los mismos; so de revisión ante el Instituto Nacional de
• Cuando la cancelación u oposición haya Transparencia, Acceso a la Información y
sido previamente realizada; Protección de Datos Personales (INAI).
Cuando el responsable no sea com-
petente;
• Cuando sean necesarios para proteger
intereses jurídicamente tutelados del
titular;
• Cuando sean necesarios para dar cum-
plimiento a obligaciones legalmente ad-
quiridas por el titular;
• Cuando en función de sus atribuciones
legales el uso cotidiano, resguardo y
manejo sean necesarios y proporcionales
para mantener la integridad, estabilidad
40
CAPÍTULO 9 con la obtención, uso, registro, organización,

RECOMENDACIONES GENERALES PARA EL conservación, elaboración, utilización,
TRATAMIENTO DE LOS DATOS PERSONALES comunicación, difusión, almacenamiento, posesión,
DEL EXPEDIENTE CLÍNICO Y AUTORIDADES acceso, manejo, aprovechamiento, divulgación,
REGULADORAS transferencia o disposición de datos personales
(artículo 3, fracción XXXIII de la Ley General).
Como se ha mencionado a lo largo del
presente documento, los derechos y Como se ha mencionado, los expedientes clínicos
obligaciones relacionados con el tratamiento contienen una serie de datos personales, en su
de los datos personales contenidos en mayoría sensibles, los cuales son registrados en
un expediente clínico para el caso de las los expedientes clínicos que se elaboran por los
instituciones de salud públicas, se encuentran responsables para su utilización en el seguimiento
contenidos en la Ley General,60 la LGS61 , las de salud de sus pacientes, llevando un registro
Normas Oficiales Mexicanas como la NOM- de los mismos, conservándolos o en su caso
004-SSA3-2012,62 principalmente. haciendo transferencia de los mismos, de lo que
se desprende claramente que los responsables
En este Capítulo plasmamos cuáles serían las realizan un conjunto de operaciones a través
recomendaciones que este órgano garante de diversos procedimientos, lo que deriva que
sugiere para el tratamiento de los datos éstos son los responsables del tratamiento
personales en los expedientes clínicos de las de los Datos Personales contenidos en los
instituciones de salud pública, entendiéndose expedientes clínicos.
por Tratamiento, a cualquier operación o
conjunto de operaciones efectuadas mediante Para el tratamiento de los Datos Personales en
procedimientos manuales o automatizados los expedientes clínicos, se debe atender a los
aplicados a los datos personales, relacionadas siguientes principios:
LICITUD Cumplir con los deberes prescritos en las normas jurídicas.

Respetado en. todo momento los derechos de los titulares de los datos
personales.
FINALIDAD. El tratamiento únicamente será para el fin que se ha determinado,
relacionado con las actividades propias del responsable de la salud.
PROPORCIONALIDAD. El responsable únicamente deberá solicitar
los datos necesarios para el fin que se persigue.
CALIDAD. La calidad de los datos satisface las necesidades requeridas para el
fin que se ha determinado.
INFORMACIÓN. Hacer del conocimiento a los titulares, previo a la solicitud de
TRATAMIENTO los datos personales, cuál es el tratamiento que se dará
a los mismos.
CONSENTIMIENTO. Manifestación de la voluntad libre, específica
e informada del titular de los datos mediante la cual se efectúa el tratamiento
de los mismos.
LEALTAD. Bajo este principio la obtención de los datos personales no podrá
hacerse a través de medios engañosos ni fraudulentos.
RESPONSABILIDAD. Con este principio se establece la obligación de los
responsables de velar por el cumplimiento del resto de los principios y adoptar
las medidas necesarias para su aplicación; es decir, velar por la protección de
los datos personales.
60
61
Disponible para su consulta en: http://www.diputados.gob.mx/LeyesBiblio/ref/lgs.htm
62
Disponible para su consulta en: https://dof.gob.mx/nota_detalle_popup.php?codigo=5272787
41
De tal manera, que los responsables de la salud de la manera en la que ha quedado explicada en
en las instituciones del sector público deberán el cuerpo del presente documento.
observar las disposiciones que en la materia estén
vigentes respecto a los expedientes clínicos y Al respecto, los criterios establecidos en la
el paciente como aportante de la información y Norma antes referida, inciden en la calidad de
beneficiario de la atención médica, tiene derechos los registros médicos, de los servicios y de sus
de titularidad sobre la información para la resultados, esta Norma ratifica la importancia
protección de su salud, así como para la protección de que la autoridad sanitaria garantice la libre
de la confidencialidad de sus datos. Estos datos manifestación de la voluntad del paciente de
personales proporcionados por el paciente o por ser o no atendido a través de procedimientos
terceros al personal de salud y que se encuentran clínicos o quirúrgicos, para lo cual, el personal
contenidos en el expediente clínico, deberán ser de salud debe recabar su consentimiento, pre-
manejados con discreción por todo el personal via información y explicación de los riesgos
del lugar, atendiendo a los principios científicos y posibles y beneficios esperados.
éticos que orientan la práctica médica, así como,
las disposiciones establecidas en la Ley General y Una vez referido lo anterior, es preciso indicar
las Normas Oficiales Mexicanas. que el estado de salud refiere a las condiciones
médicas (salud física y mental), sus experiencias
Los datos personales contenidos en el expediente en cuanto a reclamaciones, obtención de
clínico que posibiliten la identificación del paciente, cuidados de salud, historia clínica, información
en términos de los principios científicos y éticos genética, elegibilidad e incapacidad de un
que orientan la práctica médica, no deberán ser titular de los datos; por tanto, se trata de un
divulgados o dados a conocer. Tratándose de dato personal que es confidencial, conforme al
publicación o divulgación de datos personales para artículo 3, fracción X de la Ley General, se trata
efectos de literatura médica, docencia, investigación de un dato personal sensible.
o fotografías, que posibiliten la identificación
del paciente, se requerirá la autorización escrita del En todo caso, los datos personales sensibles
mismo y se adoptarán las medidas necesarias para forman parte de un determinado grupo
que éste no pueda ser identificado. Los datos de informaciones susceptibles de una
personales podrán ser proporcionados a terceros reconsideración respecto a una categoría
cuando medie la solicitud escrita del paciente, general y homogénea por sus especiales
el tutor, representante legal o de un médico peculiaridades y características, que los
debidamente autorizado por el paciente, el tutor o constituye en una categoría especial de datos,
representante legal. protegidos bajo reglas específicas. Por ello,
en la práctica, se busca restringir aún más la
Asimismo, los profesionales de la salud posibilidad legal de su tratamiento. De un lado,
se encuentran obligados a proporcionar mediante herramientas normativas, como la
información verbal al paciente, a quién ejerza imposibilidad de crear bases de datos con
la patria potestad, la tutela, representante el exclusivo fin de tratar estos datos, y con
legal, familiares o autoridades competentes la exigencia en nuestra normatividad de un
y cuando se requiera un resumen clínico u consentimiento reforzado para su tratamiento,
otras constancias del expediente el titular o su así como el establecimiento de medidas de
representante legal deberá solicitarlo por escrito seguridad reforzadas.63
63
Isabel Davara Fernández de Marcos, Gregorio Barco Vega y Alexis Cervantes Padilla. En la definición de Dato personal sensible del
Diccionario de Protección de Datos Personales. Conceptos Fundamentales, disponible para su consulta en:
https://home.inai.org.mx/wp-content/documentos/Publicaciones/Documentos/DICCIONARIO_PDP_digital.pdf
42
De tal suerte que, conforme al numeral 7 de la consentimiento será expreso cuando la voluntad
citada Ley General, por regla general no po- del titular se manifieste de forma verbal, por
drán tratarse datos personales sensibles, sal- escrito, por medios electrónicos, ópticos, signos
vo que se cuente con el consentimiento ex- inequívocos o por cualquier otra tecnología.
preso de su titular o en su defecto, se trate de
los casos establecidos de la ley. Para la obtención del consentimiento expre-
so, el responsable deberá facilitar al titular un
En el sistema jurídico mexicano, en la LGPDP- medio sencillo y gratuito a través del cual pue-
SO, se establece en el artículo 3, fracción VIII, da manifestar su voluntad, el cual le permita
que el consentimiento es la manifestación de acreditar de manera indubitable y, en su caso,
la voluntad libre, específica e informada del ti- documentar que el titular otorgó su consen-
tular de los datos mediante la cual se efectúa timiento ya sea a través de una declaración o
el tratamiento de los mismos. una acción afirmativa clara.
En este sentido, el consentimiento es la En el marco normativo de datos personales en

manifestación de la voluntad del titular de los el sector público, el consentimiento expreso
datos personales, que permite el tratamiento de está normado por el artículo 21 de la Ley
su información personal. Adicionalmente, con General, en correlación con los artículos 14,
fundamento en el artículo 20 de la LGPDPPSO, la 16 y 17 de los Lineamientos Generales, que
exteriorización y otorgamiento del consentimiento respectivamente señalan que, cuando lo exija
por parte de los titulares de la información personal, alguna disposición normativa, los responsables
debe cumplir con las siguientes características:64 en el ámbito público deberán obtener el
consentimiento expreso de los titulares de
4 Previo: cuando los datos personales se la información, en el cual, la voluntad de los
obtengan de forma personal o directa- individuos se exteriorizará de forma indubitable,
mente del titular. a través de los siguientes recursos:
4 Libre: sin que medie error, mala fe, dolo
o violencia que impidan al titular cono- 4 Verbal
cer los usos a que serán sometida su in- 4 Escrito
formación personal y, en consecuencia, 4 Medios electrónicos
puedan afectar o viciar su manifestación 4 Medios ópticos
de voluntad. 4 Signos inequívocos
4 Específico: la autorización que se solicite 4 Cualquier otra tecnología
debe estar vinculada a una o varias finali-
dades que motiven el tratamiento de los Con la finalidad de brindar mayores elementos
datos personales. de comprensión, el marco normativo aplicable
4 Informado: el titular tiene conocimiento estableció que el consentimiento expreso
del aviso de privacidad, previo a que sus de manera verbal, se actualiza cuando los
datos personales sean tratados. titulares de los datos personales manifiestan
su voluntad oralmente ante el responsable de
En seguimiento a lo anterior, el artículo 14 de los carácter público o mediante el uso de cualquier
Lineamientos Generales65, deja patente que el tecnología que permita la interlocución.
64
Estudio titulado. Consentimiento en el tratamiento de datos personales, elaborado por la Dirección General de Normatividad y
Consulta de la Secretaría de Protección de Datos Personales del Instituto Nacional de Transparencia, Acceso a la Información y
Protección de Datos Personales.
65
Disponible para su consulta en: http://inicio.inai.org.mx/AcuerdosDelPleno/ACT-PUB-19-12-2017.10.pdf
43
Por otra parte, el consentimiento expreso • Los responsables deberán en todo mo-
en forma escrita, se actualiza cuando los mento observar lo dispuesto en las
titulares de los datos personales exteriorizan disposiciones normativas vigentes, así
su voluntad a través de un documento físico o como los principios Internacionales.
electrónico (en el entorno digital) en el que se
haga constar lo siguiente: • Las medidas implementadas ante cual-
quier epidemia, pandemia o contingen-
• Declaración en sentido afirmativo cia que implique el tratamiento de datos
• Firma autógrafa personales relacionados con la salud,
• Huella dactilar deben ser necesarias y proporcionales,
• Firma electrónica atendiendo las instrucciones de la SSa y
• Cualquier otro mecanismo autorizado autoridades competentes.
• por la normatividad aplicable
• Se debe informar con claridad quién,
Por ello, se recomienda que los sujetos para qué y cómo se tratarán los datos
obligados, que tratan datos personales personales obtenidos. El titular debe co-
sensibles relativos a su estado de salud, deben nocer en todo momento las finalidades
contar con el consentimiento expreso de su para las cuáles serán recabados y trata-
titular o, en su caso, representante legal. dos sus datos personales.
Cabe señalar que, las instancias de salud deben • El responsable previo al tratamiento deberá
extremar precauciones en el tratamiento de los poner a disposición del titular el Aviso de
datos personales de pacientes y de aquéllos Privacidad correspondiente, mismo que
relacionados con el estado de salud actual o deberá contener los mecanismos, medios
futuro de una persona, toda vez que éstos son y procedimientos disponibles para ejercer
considerados de carácter sensible, por lo que los derechos ARCO.
revelarlos puede poner en riesgo su privacidad y
ser motivo de discriminación. • Se deben recabar solamente los datos
personales mínimos necesarios para
En razón de lo anterior, se debe contar con es- lograr el propósito por el cual fueron
trictas medidas de seguridad administrativas, implementadas, como lo es prevenir o
físicas y técnicas para evitar cualquier pérdida, contener la propagación de algún virus y,
destrucción, robo o uso indebido de los mis- en su caso, brindar la atención, diagnóstico
mos, y cumplir así, con los principios, deberes y y tratamiento médico correspondiente.
obligaciones establecidas en las leyes de pro-
tección de datos personales vigentes. • Los datos personales recabados por
el responsable con el fin de prevenir
a) MEDIDAS Y RECOMENDACIONES o contener la propagación de alguna
enfermedad o virus no deben utilizarse
Con la finalidad de prevenir riesgos que pu- para propósitos distintos.
dieran vulnerar la seguridad, confidencialidad
y disponibildad y respetar la privacidad de los • Se debe solicitar al paciente su consenti-
pacientes, a continuación, se proporcionan al- miento expreso y por escrito para el tra-
gunas medidas o recomendaciones para el tamiento de datos personales de salud,
tratamiento adecuado de los datos personales: salvo que se actualice alguna de las cau-
44
sales de excepción, como cuando sean con la autorización expresa y por escrito
indispensables para la atención médica, del paciente y de un médico autorizado,
mientras el titular no esté en condiciones salvo los casos en los que por disposi-
de otorgar el consentimiento. ción normativa o por cumplimiento de
obligaciones se requiera comunicar la
• Los datos personales no deben ser obteni- información.
dos por medios fraudulentos ni engañosos.
• El responsable debe requerir la autori-
• Los datos deben ser tratados lícitamen- zación expresa y por escrito del titular
te y de conformidad con la normativa de los datos personales cuando se trate
aplicable por el profesional de la salud de una divulgación para fines vinculados
o establecimiento de atención médica, con la literatura médica, docencia o in-
independientemente de que éste tenga vestigación, en donde sea posible iden-
naturaleza pública, privada o social. tificar al paciente.
• La institución de salud debe contar con • El responsable debe resguardar el ex-

un expediente clínico, toda vez que, los pediente clínico con un nivel alto de
pacientes de cualquier profesional de la medidas de seguridad administrativas,
salud o establecimiento médico, tienen físicas y técnicas, considerando que
derecho a contar con él para que la in- contiene datos personales sensibles y
formación relacionada con la atención que la información que contiene es fun-
médica que reciban sea asentada en un damental para la conservación de la vida
mismo lugar, de forma veraz, clara, pre- e integridad física del paciente.
cisa, legible y completa.
• La identidad de las personas afectadas
• El responsable debe saber que la titula- de alguna enfermedad (por ejemplo, Co-
ridad de los datos personales contenidos vid-19) no debe divulgarse, en caso de
en un expediente clínico es del paciente, requerirse una transferencia de datos per-
no de los hospitales, médicos o profesio- sonales a las autoridades de salud, ésta
nales de la salud. El paciente cuenta con deberá ser documentada claramente,
ciertos derechos relacionados con esa fundamentada y realizarse considerando
información, como el derecho a solicitar medidas de seguridad que garanticen la
una copia de su expediente, de un resu- protección de los datos personales.
men clínico o de otras constancias que
se encuentren en el expediente. • Se debe proporcionar al paciente la in-
formación suficiente, clara, oportuna y
• Las organizaciones deben proteger la veraz sobre diagnóstico, pronóstico y
confidencialidad sobre cualquier dato tratamiento del paciente, con el fin de
personal o personal sensible relaciona- favorecer el conocimiento pleno del es-
do con cualquier enfermedad, con la fi- tado de salud.
nalidad de evitar daño o discriminación
de la persona afectada. • El responsable debe corregir la informa-
ción contenida en el expediente clínico
• El responsable sólo podrá compartir los cuando sea incorrecta siempre y cuando
datos personales de salud con terceros el titular brinde evidencia para realizarlo.
45
• Los responsables deben definir los pla- de garantizar el ejercicio del derecho a la pro-
zos de conservación de los datos per- tección de datos personales en posesión de
sonales, que no deberán ser menor a un sujetos obligados, les corresponde:
período de 5 años, a partir de la fecha
del último acto médico. • Vigilar que se de el adecuado tratamiento;
• Los responsables deben definir los me- • Vigilar y verificar el cumplimiento de

canismos que se emplearán para eli- las disposiciones contenidas en la Ley
minar los datos personales de forma General;
segura tomando en consideración la
normatividad aplicable. • Coordinarse con las autoridades competen-
tes para que las solicitudes para el ejercicio
• El responsable debe eliminar de sus ba- de los derechos ARCO y los recursos de re-
ses de datos la información contenida en visión que se presenten en lengua indígena,
el expediente clínico cuando el titular lo sean atendidos en la misma lengua;
solicite, salvo que por alguna disposición
normativa se deba conservar. • Garantizar, en el ámbito de su respectiva
competencia, condiciones de accesibilidad
• Toda comunicación que se realice en la para que los titulares que pertenecen a
organización sobre la posible presencia grupos vulnerables puedan ejercer, en
de alguna enfermedad (ejemplo igualdad de circunstancias, su derecho a
Covid-19) en el lugar de trabajo no la protección de datos personales; y
debe identificar a ningún colaborador
de forma individual. • Conocer y resolver los recursos de revisión
que interpongan los titulares, en términos
El responsable deberá adoptar todas las de lo dispuesto en la Ley General y demás
medidas de seguridad en la portabilidad disposiciones que resulten aplicables en
de los datos personales de contenidas la materia; conocer y resolver los recursos de
en los expedientes clínicos bajo su res- inconformidad que interpongan los titulares,
ponsabilidad. en contra de las resoluciones emitidas por
los organismos garantes, de conformidad
b) AUTORIDADES REGULADORAS con lo dispuesto en la Ley General y demás
disposiciones que resulten aplicables
La autoridad reguladora en materia de en la materia; entre otros.
expedientes clínicos es la SSa, quien ha
establecido las normas para la integración Finalmente, conforme a lo previsto en el artícu-
y manejo de los datos de salud contenidos lo 89 fracción XII de la Ley General, el Instituto,
en los expedientes clínicos, garantizando la a través de la Dirección General de Prevención
privacidad de los titulares. y Autorregulación, ofrece apoyo técnico a los
sujetos obligados o responsables, a efecto que
Por su parte, los órganos garantes a nivel na- puedan dar cabal cumplimiento a las obliga-
cional y local, son las autoridades encargadas ciones previstas en la Ley de la materia.
46
La Dirección General de Prevención y

Autorregulación del INAI, se encuentra ubicada
en Avenida Insurgentes Sur número 3211,
segundo piso, Colonia Insurgentes Cuicuilco,
Alcaldía Coyoacán, Código Postal 04530, en la
Ciudad de México. Con horario de atención de
lunes a jueves, en un horario comprendido de
las 9:00 a las 18:00 horas y los viernes, de 9:00 a
15:00 horas, en horario continuo, o bien, puede
comunicarse al número telefónico gratuito 800
TEL INAI (800 835 4324) o al correo electrónico:
atencion@inai.org.mx, o bien, en el número
telefónico (55) 5004-2400.
47

Recomendaciones DP Expedientes Clinicos

Cargado por

Información del documento

Descripción original:

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Recomendaciones DP Expedientes Clinicos

Cargado por

Copyright:

Formatos disponibles

RECOMENDACIONES SOBRE EL TRATAMIENTO DE

Blanca Lilia Ibarra Cadena

Francisco Javier Acuña Llamas

Adrián Alcalá Méndez

Norma Julieta Del Río Venegas

Oscar Mauricio Guerra Ford

Rosendoevgueni Monterrey Chepov

Josefina Román Vergara

Instituto Nacional de Transparencia, Acceso a la Información

Insurgentes Sur 3211, Colonia Insurgentes Cuicuilco,

LOS EXPEDIENTES CLÍNICOS....................................................................................................................................................................................30

Expediente clínico: Al conjunto único de

Ley General o LGPDPPSO: Ley General de SIRES: Sistema de Información de Registro

Norma: Norma Oficial Mexicana. Tratamiento: Cualquier operación o conjunto

Introducción artículos 77-BIS y 37 fracción VII, determina que los

NUMERO DE DERECHOHABIENTES. DICIEMBRE 2019

INSTITUCIONES DE SALUD PÚBLICAS

En este tenor, conforme a los principios de la dependencia que históricamente ha

Sujetos obligados con mayor número de solicitudes de datos

didas de seguridad para la protección de los • Elaborar un documento de seguridad25

Adicional a lo anterior, el responsable deberá:

Hoy, más que en ningún otro momento de la CAPÍTULO 1

CAPÍTULO 2 salud, que en su introducción señaló el avance

En el año 2012, se publicó la Norma Oficial

En la actualidad, el expediente clínico electrónico Los prestadores de servicios de atención médica

De acuerdo con lo definido en el Manual del

El expediente clínico electrónico es una

TITULARES DEL EXPEDIENTE CLÍNICO En las generalidades del expediente clínico

El expediente clínico resulta ser un instrumento

Para conseguir esta finalidad el expediente clínico

NOTA DE INTERCONSULTA. En tal consideración, el uso del expediente clínico

• Notas ambulatorias. Usos Secundarios:

• Salud pública y seguridad. • Expediente clínico electrónico

• Los médicos podrían realizar diagnós- • Mayor compromiso de la población en el

• El historial clínico del paciente se podría • Mayor facilidad para la integración de la

• Reducción de costos hospitalarios

• Reducción de costos por tratamientos o

• Cuando la transferencia se realice entre • Cuando la transferencia sea necesaria por

facultades propias, compatibles o análogas como las obligaciones y responsabilidades

Asimismo, la portabilidad procederá cuando el responsable sobre los datos personales

Cabe señalar que, en caso de necesitarse, la Tal como se ha mencionado, el responsable

• Estándares de contenidos y estructura En caso de que se utilicen estándares internacionales

CAPÍTULO 5 Un aspecto fundamental que considerar en

• Notas de interconsulta (criterios diag- CAPÍTULO 6

• El consentimiento expreso del intere- las obligaciones y demás deberes en ma-

3. Ponerlos a disposición de las per- • Maltratarlo o destruirlo

las siguientes cláusulas generales relaciona- lo dispuesto en la Ley General y los

permita acreditar su existencia, alcance y En consecuencia, tal como se advierte de lo

Es común y habitual que en la práctica 1. La relación con los encargados debe

gaciones previas y verificaciones de Asimismo, que cuente con mecanismos, al

a) Tener y aplicar políticas de protección

CAPÍTULO 8 historial clínico y a la información contenida en

sexuales, fiabilidad o comportamiento. En tarias que permitan su identificación fe-

CAPÍTULO 9 con la obtención, uso, registro, organización,

LICITUD Cumplir con los deberes prescritos en las normas jurídicas.

En este sentido, el consentimiento es la En el marco normativo de datos personales en

• La institución de salud debe contar con • El responsable debe resguardar el ex-

• Los responsables deben definir los me- • Vigilar y verificar el cumplimiento de

La Dirección General de Prevención y

También podría gustarte