Seguridad de la información clínica: El cumplimiento normativo ya no es opcional

En la era digital, donde los datos clínicos se han convertido en uno de los activos más valiosos del ecosistema hospitalario, garantizar su integridad, confidencialidad y disponibilidad no solo es una exigencia técnica, sino una obligación legal.

En México, la NOM-004-SSA3-2012 y los lineamientos de la Dirección General de Información en Salud (DGIS) definen con claridad los parámetros que las instituciones de salud deben cumplir para asegurar un manejo adecuado del expediente clínico.

Pero la realidad es más cruda: la gran mayoría de los sistemas actuales no garantizan la seguridad plena de la información médica, y muchos administradores aún subestiman el riesgo que esto representa para su operación, su reputación y su viabilidad legal.

México

Carta de consentimiento informado; te decimos como sacarla y llenarla

México

Expediente clínico electrónico IMSS: ¿qué es y para qué servirá? Te contamos

Julio César Bonilla escribió de

Protección de datos personales en el sector salud

Una norma que exige mucho más que digitalizar

La NOM-004-SSA3-2012 establece los elementos mínimos para la elaboración, integración, uso y resguardo del expediente clínico. Sin embargo, en su versión más reciente, esta norma se vincula con estándares internacionales de seguridad de la información y exige que los sistemas digitales garanticen tres principios clave: confidencialidad, integridad y disponibilidad.

Esto implica no solo tener una plataforma digital, sino una arquitectura tecnológica que contemple:

• Cifrado de extremo a extremo de los datos clínicos.
• Autenticación robusta de usuarios con control de accesos por nivel jerárquico.
• Registro y trazabilidad de modificaciones (bitácoras de auditoría).
• Respaldo automático y recuperación ante desastres.
• Protección contra accesos no autorizados internos o externos.

Según un informe reciente de IDC Latinoamérica (2024), más del 62% de las instituciones de salud privadas en México no cuentan con protocolos completos de ciberseguridad clínica, y un 47% carece de una política formal de gestión de incidentes relacionados con el expediente médico electrónico.

DGIS y las Guías de Intercambio de Información en Salud: el siguiente filtro

Complementando la NOM-004, la DGIS (Dirección General de Información en Salud) ha establecido nueve Guías de Intercambio de Información en Salud, cuyo objetivo es garantizar que los sistemas electrónicos de expediente clínico no solo sean seguros, sino interoperables y auditables.

Estas guías exigen que los sistemas puedan:

Veracruz

¿De qué murió José Luis García Morales? Coordinador operativo de Pemex estuvo desaparecido 18 días

CDMX

Sandra Cuevas se lanza elogios en tercera persona y usuarios reaccionan con burlas

Coahuila

HEB responde tras muerte de Carlos Gurrola, ‘Papayita’, víctima de acoso laboral

• Estandarizar la codificación clínica (CIE-10, SNOMED CT).
• Integrarse con otras unidades médicas de forma segura.
• Respetar la privacidad del paciente durante todo el flujo de información.
• Generar reportes automatizados para autoridades sanitarias.

Un dato alarmante: menos de cinco proveedores tecnológicos en el país cumplen con el 100% de estos lineamientos, lo que deja a cientos de hospitales operando con sistemas que no podrían pasar una auditoría integral por parte de COFEPRIS o la propia DGIS.

¿Qué está en juego? Todo

En palabras de Alan Cymberknoh, director de Expediente Médico Avanzado, afirma que el incumplimiento de estas disposiciones no es menor. Puede derivar en sanciones administrativas, pérdida de certificaciones, afectaciones legales por violación a la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados, e incluso en la pérdida de confianza de pacientes y aseguradoras.

Además, desde una perspectiva operativa, los sistemas que no aseguran la trazabilidad ni la integridad del expediente clínico limitan la calidad de la atención, incrementan la vulnerabilidad ante ciberataques y generan sobrecostos por retrabajos, pérdida de datos o auditorías fallidas.

La solución: visión estratégica y tecnología alineada a norma

Frente a este panorama, los líderes hospitalarios deben migrar del enfoque “tecnológico” al enfoque “estratégico”: no se trata de tener un sistema bonito o funcional, sino de contar con una plataforma robusta, escalable y alineada a normativas locales e internacionales.

El Expediente Médico Avanzado, por ejemplo, ha sido diseñado desde sus cimientos para cumplir integralmente con la NOM-004, las guías DGIS y la LFPDPPP, con niveles de ciberseguridad comparables al sector financiero, auditoría clínica en tiempo real y esquemas de alta disponibilidad.

En un entorno donde la información clínica se ha convertido en el núcleo del modelo operativo de cualquier institución médica, la seguridad ya no es una opción: es un requisito estructural para operar con legitimidad y eficiencia.