La protección de datos personales en los

expedientes clínicos

schedule Jun 4, 2019 queue Save This ()

Jonathan Mendoza Iserte

Nonmember Contributor

Roberto Orozco Martínez

Nonmember Contributor

La Ley Federal de Protección de Datos Personales en Posesión de los Particulares (en adelante LFPDPPP),
publicada en el Diario Oficial de la Federación el 5 de julio de 2010, tiene por objeto la protección de los datos
personales en posesión de los particulares, con la finalidad de regular su tratamiento legítimo, controlado e
informado, a efecto de garantizar la privacidad y el derecho a la autodeterminación informativa de las personas,
entendido como la facultad de disponer del control sobre la publicidad de la información de carácter personal, es
decir, la posibilidad de elegir qué información de la esfera privada de la persona puede ser conocida y cuál debe
permanecer en secreto.

De tal forma, las actividades consistentes en la prestación de servicios médicos y de salud por parte de personas
físicas y/o morales, tales como consultorios, clínicas, hospitales y laboratorios, tanto de carácter público como
privado, conllevan necesariamente un tratamiento de datos personales de los pacientes que acuden para recibir
un diagnóstico o tratamiento médico, o bien, para la realización de algún estudio o análisis clínico.

Lo anterior se estima de esa forma, toda vez que los datos personales consisten en cualquier información
concerniente a una persona física identificada o identificable, entendida como aquélla cuya identidad pueda
determinarse, directa o indirectamente, mediante cualquier información; mientras que el tratamiento
comprende cualquier actividad como su obtención, uso, acceso, manejo, aprovechamiento, transferencia,
disposición, divulgación o almacenamiento por cualquier medio.

Ahora bien, la NOM-004-SSA3-2012 –publicada en el Diario Oficial de la Federación el 15 de octubre de 2012–,

trata el tema del expediente clínico y tiene como propósito establecer con precisión los criterios científicos,
éticos, tecnológicos y administrativos obligatorios en la elaboración, integración, uso, manejo, archivo,
conservación, propiedad, titularidad y confidencialidad del expediente clínico, el cual se constituye en una
herramienta de uso obligatorio para el personal del área de la salud, de los sectores público y privado que
integran el Sistema Nacional de Salud.

Un aspecto fundamental en esta norma oficial mexicana es, por una parte, que resulta de observancia obligatoria
para el personal del área de la salud y los establecimientos prestadores de servicios de atención médica de los
sectores público y privado, incluidos los consultorios; y, por la otra, que reconoce la titularidad del paciente
sobre los datos que proporciona al personal del área de la salud. En ese sentido, se han comprendido aquellos
datos que se refieren a su identidad personal y los que proporciona en relación con su padecimiento y
diagnóstico médico, mismos que son considerados como información confidencial.
En particular, el numeral 4.4 de la NOM-004-SSA3-2012 define al expediente clínico como al conjunto único de
información y datos personales de un paciente, que se integra dentro de todo tipo de establecimiento para la
atención médica, ya sea público o privado, el cual consta de documentos escritos, gráficos, imagenológicos,
electrónicos, magnéticos, electromagnéticos, ópticos, magneto-ópticos y de cualquier otra índole, en los cuales,
el personal de salud deberá hacer los registros, anotaciones, en su caso, constancias y certificaciones
correspondientes a su intervención en la atención médica del paciente, con apego a las disposiciones jurídicas
aplicables.

Por su parte, los numerales 5, 5.1 y 5.2, 6, 6.1, 6.2, 6.3 y 6.4 de la NOM-004-SSA3-2012, establecen
fundamentalmente que los prestadores de servicios de atención médica de los establecimientos de carácter
público y privado, estarán obligados a integrar y conservar el expediente clínico de sus pacientes, el cual debe
contener fundamentalmente lo siguiente:

Tipo, nombre y domicilio del establecimiento y, en su caso,

nombre de la institución a la que pertenece.

En su caso, la razón y denominación social del propietario

o concesionario.

Nombre, sexo, edad y domicilio del paciente.

Historia clínica (interrogatorio, exploración física,

resultados de laboratorio, diagnóstico, pronóstico,
indicación terapéutica).

Notas de evolución (evolución y actualización del cuadro

clínico, signos vitales, resultados relevantes, diagnóstico o
problemas clínicos, pronóstico, tratamiento e indicaciones
médicas).

Notas de interconsulta (criterios diagnósticos, plan de

estudios, sugerencias diagnósticas y tratamiento).

Notas de referencia/traslado (establecimiento que envía y

receptor, resumen clínico, motivo del envío, impresión
diagnóstica y terapéutica empleada).

En ese sentido, no debe pasar desapercibido que, en términos del artículo 3, fracción VI de la LFPDPPP, los datos
personales sensibles son aquéllos que afectan a la esfera más íntima de su titular, o cuya utilización indebida
pueda dar origen a discriminación o conlleve un riesgo grave para éste, por ejemplo, aquéllos que puedan revelar
aspectos como origen racial o étnico, estado de salud presente y futuro, información genética, creencias
religiosas, filosóficas y morales, afiliación sindical, opiniones políticas o preferencia sexual, entre otros.

Por tal motivo, si se toma en cuenta que para la integración del expediente clínico se requiere diversa
información de carácter personal de los pacientes, tanto aquella de carácter identificativo, como la referente al
estado de salud presente y futuro de los titulares, se puede concluir que las personas físicas y morales que
prestan servicios de salud, en cualquiera de sus vertientes y enfoques, efectúan el tratamiento de datos
personales sensibles.

De tal forma, con independencia del cumplimiento a la normatividad sectorial, los prestadores de servicios
médicos, en su carácter de responsables del tratamiento de datos personales deben cumplir con los principios,
deberes y derechos previstos en la LFPDPPP y la legislación que de ella deriva.

(https:/media/uploads/2019/06/Iserte_MArtinez_article_060419.png)

Uno de dichos principios, es el de consentimiento, mismo que se encuentra establecido en los artículos 3,
fracción IV, 6, 8, párrafos primero y segundo, y 9, párrafo primero, de la LFPDPPP; 9, fracción II, 11 y 19 de su
Reglamento, y de acuerdo con el cual todo tratamiento se encuentra sujeto al consentimiento de su titular,
entendido como la manifestación de la voluntad mediante la que se efectúa el tratamiento de los datos
personales, siendo que en el caso específico de los datos personales sensibles es necesario que dicho
consentimiento sea expreso y por escrito, esto es, cuando el titular lo externa mediante un documento con su
firma autógrafa, huella dactilar o cualquier otro mecanismo autorizado por la normatividad aplicable.

En ese orden de ideas, conforme a los diversos artículos 12 y 20 del Reglamento de la LFPDPPP, los responsables
tienen la carga de la prueba para demostrar la obtención del consentimiento de los titulares, el cual además debe
ser recabado de manera libre (sin que medie error, mala fe, violencia o dolo); específica (referida a finalidades
determinadas que justifiquen el tratamiento); informada (que el titular tenga conocimiento del aviso de
privacidad previo al tratamiento); e inequívoca (cuando existan elementos que, de manera indubitable,
demuestren su otorgamiento).

Es indispensable destacar que en el ejercicio de sus facultades y atribuciones como organismo constitucional
autónomo garante del derecho fundamental a la protección de datos personales, el Instituto Nacional de
Transparencia, Acceso a la Información y Protección de Datos Personales (en adelante INAI) ha conocido y
resuelto diversos procedimientos de verificación e imposición de sanciones en contra de personas físicas y
morales, responsables del tratamiento de datos personales con motivo de la prestación de servicios médicos.

En tal virtud, el INAI ha determinado incumplimientos por recabar datos personales sin el consentimiento
expreso, informado y específico de los titulares, así como violaciones a los principios de información,
responsabilidad y licitud, por no acreditar la puesta a disposición de los avisos de privacidad respectivos,
dejando de velar por el debido tratamiento de los datos personales, en contravención a lo dispuesto por la
LFPDPPP y la normatividad que de ella deriva.

Incluso, en algunos casos, los médicos y las instituciones clínicas/hospitalarias han sostenido que no son sujetos
regulados en materia de protección de datos personales, negándose a dar respuesta a los requerimientos del
organismo garante, en cuyo caso se da determinado la existencia de obstrucción a los actos de verificación de la
autoridad.

Por otra parte, en relación con el ejercicio de los derechos de acceso, rectificación, cancelación y oposición de
datos personales, es importante señalar que el INAI ha resuelto que el derecho de acceso al expediente clínico es
un derecho humano de vital importancia porque permite el ejercicio de otros derechos humanos como el
derecho a la salud de las personas; por ello, no sólo es procedente para la tutela de la información y datos
personales de su titular, sino que se materializa a través de las constancias y documentos que las personas
pueden obtener.

De igual manera, y en casos específicos, se ha realizado el análisis relativo al interés superior de la niñez, así
como la atención a la mujer en cuanto a su derecho a la salud materna y a la protección de sus datos personales
al recibir atención médica, apoyándose incluso en estándares y normas internacionales en aras de garantizar la
efectiva tutela del derecho fundamental en cuestión.

En ese orden de ideas, se estima pertinente retomar el diverso artículo publicado en el Latin American
Dashboard Digest, con el título “La protección de datos personales después de la muerte: diferencias en la
regulación mexicana”, en el que se puntualizó que, ante la falta de distinción o restricción alguna respecto de los
derechos o el tratamiento de los datos personales de las personas fallecidas, tanto en la Constitución Política de
los Estados Unidos Mexicanos como en tratados internacionales, no debiera existir un impedimento –la falta de
previsión en las leyes secundarias, para aplicar y reconocer el derecho de quienes ostenten un interés jurídico o
legítimo en relación con los titulares finados.

Sobre el particular y en concatenación con el tópico atinente a los expedientes clínicos, vale la pena apuntar que
recientemente el Pleno del INAI conoció un procedimiento de protección de derechos en el que se requirió a una
clínica hospitalaria el expediente clínico de un menor de edad y de su madre fallecida. En el asunto de mérito, se
resolvió que era procedente ordenar a la persona moral responsable que otorgara el acceso al expediente clínico
del menor de edad por conducto de su representante legal, así como a los documentos que obraran en el diverso
expediente clínico de su fallecida madre, que dieran cuenta del estado de salud de dicho titular; lo anterior, en
aras de garantizar el efectivo derecho de acceso a los datos personales en el caso concreto.

Photo by Markus Spiske (https://unsplash.com/@markusspiske?

utm_source=unsplash&utm_medium=referral&utm_content=creditCopyText) on Unsplash
(https://unsplash.com/search/photos/lock?
utm_source=unsplash&utm_medium=referral&utm_content=creditCopyText)

© 2023 International Association of Privacy Professionals.

All rights reserved.

Pease International Tradeport, 75 Rochester Ave.

Portsmouth, NH 03801 USA • +1 603.427.9200