¿Mi consultorio cumple con la NOM-004 del expediente clínico?

Introducción: el expediente clínico como obligación jurídica y eje de calidad asistencial

El expediente clínico —conjunto de documentos escritos, gráficos e imagenológicos que registran los datos de identificación, antecedentes, diagnóstico, tratamiento y evolución de un paciente— no es simplemente una herramienta administrativa: es una obligación legal cuyo incumplimiento puede derivar en sanciones administrativas, civiles y penales. La norma que regula su integración, manejo y conservación en México es la NOM-004-SSA3-2012, Del expediente clínico, publicada por la Secretaría de Salud y de observancia obligatoria para todo prestador de servicios de salud, ya sea persona física o establecimiento público o privado.

Comprender si su consultorio cumple con esta norma requiere desagregar sus exigencias por componentes: estructura documental, contenido mínimo, tiempos de conservación, acceso, confidencialidad y, cuando aplique, los requisitos específicos del expediente electrónico. Este artículo guía esa evaluación con precisión técnica.

Estructura y contenido mínimo obligatorio

La NOM-004-SSA3-2012 establece que el expediente clínico de consulta externa —el formato más común en consultorios independientes— debe integrarse, como mínimo, con los siguientes documentos:

• Historia clínica: documento que recoge antecedentes hereditofamiliares, no patológicos, patológicos, padecimiento actual, interrogatorio por aparatos y sistemas, exploración física, y conclusiones diagnósticas. Debe estar firmada por el médico responsable.
• Nota de evolución: registro cronológico de cada consulta subsecuente. Debe seguir el formato SOAP (Subjetivo, Objetivo, Análisis, Plan) o su equivalente estructurado, con fecha, hora y firma.
• Nota de interconsulta: requerida cuando el médico solicita la opinión de otro especialista; debe contener motivo, resumen clínico, hallazgos relevantes e impresión diagnóstica.
• Nota de referencia/traslado: obligatoria cuando el paciente es enviado a otro nivel de atención; debe incluir resumen clínico, diagnóstico, tratamiento y condición del paciente al momento del traslado.
• Resultados de estudios auxiliares de diagnóstico: laboratorio, imagen y gabinete deben quedar archivados dentro del expediente.
• Consentimiento informado: documento mediante el cual el paciente —o su representante legal— acepta o rechaza, de manera libre, informada y voluntaria, un procedimiento diagnóstico o terapéutico. La norma lo exige para procedimientos invasivos, anestesia, investigación clínica y cualquier acto de riesgo.

La omisión de cualquiera de estos elementos constituye un incumplimiento que puede ser verificado por la COFEPRIS (Comisión Federal para la Protección contra Riesgos Sanitarios) durante una visita de verificación sanitaria.

Tiempos de conservación y responsabilidad de custodia

La NOM-004-SSA3-2012 dispone que el expediente clínico deberá conservarse por un mínimo de cinco años contados a partir de la última atención al paciente. No obstante, en la práctica médico-legal se recomienda extender este período a diez años, dado que los plazos de prescripción de acciones civiles por responsabilidad profesional pueden ser superiores conforme al Código Civil Federal y los códigos civiles estatales.

La responsabilidad de custodia recae en el prestador del servicio de salud, no en el paciente. Esto implica que el médico de consultorio privado es el responsable primario de garantizar la integridad, confidencialidad e inalterabilidad del expediente, independientemente del soporte —papel o electrónico— en que se lleve.

Expediente electrónico: requisitos adicionales bajo la NOM-024

Si su consultorio utiliza un Sistema de Información de Registro Electrónico para la Salud (SIRES), la norma aplicable es la NOM-024-SSA3-2012, que establece los criterios técnicos y funcionales que debe cumplir dicho sistema. Los elementos críticos incluyen:

• Autenticación del usuario mediante credenciales individuales e intransferibles; el sistema debe registrar al profesional que crea o modifica cada entrada (auditoría de trazabilidad).
• Firma electrónica avanzada para notas médicas, en sustitución de la firma autógrafa, conforme a los estándares reconocidos por la normativa vigente.
• Mecanismos de respaldo periódico (backup) que garanticen la recuperación de la información ante fallas técnicas.
• Interoperabilidad con el estándar HL7 (Health Level Seven), protocolo internacional de intercambio de información clínica entre sistemas heterogéneos.
• Restricción de acceso: solo el personal autorizado puede consultar o modificar el expediente; toda modificación debe quedar registrada con datos de identidad, fecha y hora.

Un software médico comercial que no certifique cumplimiento con la NOM-024-SSA3-2012 pone al consultorio en riesgo regulatorio, incluso si el contenido clínico de las notas es correcto.

Confidencialidad y protección de datos personales sensibles

La información del expediente clínico constituye datos personales sensibles en los términos de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP), dado que refiere a la salud física y mental de los titulares. Esto implica obligaciones adicionales al médico-responsable del tratamiento de datos:

• Emitir un Aviso de Privacidad que informe al paciente sobre la finalidad del tratamiento de sus datos, las transferencias posibles y los derechos ARCO (Acceso, Rectificación, Cancelación y Oposición).
• Obtener consentimiento expreso y por escrito para el tratamiento de datos sensibles, salvo las excepciones previstas en la propia ley.
• Implementar medidas de seguridad administrativas, físicas y técnicas proporcionales al volumen y sensibilidad de los datos.

El incumplimiento de la LFPDPPP puede generar sanciones por parte del INAI (Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales), independientemente de las sanciones sanitarias de la COFEPRIS.

Lista de verificación accionable para su consultorio

• Verifique que cada expediente contiene historia clínica, notas de evolución firmadas y fechadas, y resultados de estudios archivados.
• Confirme que dispone de un formato de consentimiento informado actualizado, específico para cada procedimiento de riesgo que realice.
• Revise que los expedientes inactivos se conservan por al menos cinco años desde la última atención.
• Si usa sistema electrónico, solicite al proveedor documentación de cumplimiento con la NOM-024-SSA3-2012 y verifique que existe auditoría de trazabilidad.
• Publique su Aviso de Privacidad en lugar visible del consultorio y entréguelo por escrito al paciente en la primera consulta.
• Establezca controles de acceso físico al archivo; si es digital, configure permisos por usuario y active los respaldos automáticos.
• Capacite periódicamente a su personal de apoyo sobre las restricciones de acceso y confidencialidad del expediente.

Consecuencias del incumplimiento

La Ley General de Salud establece que las infracciones a las disposiciones sanitarias —entre las que se incluye el incumplimiento de normas oficiales mexicanas— son sancionadas con multa, suspensión de actividades o clausura, según la gravedad. En el ámbito civil, un expediente clínico incompleto o alterado es frecuentemente utilizado como evidencia de mala praxis en procesos ante la CONAMED (Comisión Nacional de Arbitraje Médico) o en litigios judiciales, debilitando significativamente la posición del profesional de la salud.

Glosario

• Expediente clínico: conjunto de documentos escritos, gráficos e imagenológicos que registran los datos relativos a la atención médica de un paciente, cuya integración y conservación es obligatoria conforme a la NOM-004-SSA3-2012.
• Consentimiento informado: acto mediante el cual el paciente o su representante acepta o rechaza un procedimiento médico tras recibir información suficiente, comprensible y veraz sobre riesgos, beneficios y alternativas.
• SIRES: Sistema de Información de Registro Electrónico para la Salud; plataforma digital que sustituye o complementa el expediente en papel, regulada por la NOM-024-SSA3-2012.
• Auditoría de trazabilidad: registro automático e inalterable de cada acción realizada sobre un expediente electrónico, que identifica al usuario, fecha y hora de la operación.
• Datos personales sensibles: categoría de la LFPDPPP que comprende información relativa a la salud, vida sexual, creencias religiosas, origen étnico, entre otros; sujeta a un régimen de protección reforzado.
• HL7 (Health Level Seven): estándar internacional para el intercambio, integración y comunicación de información clínica y administrativa entre sistemas de salud heterogéneos.
• ARCO: acrónimo de los derechos que la LFPDPPP reconoce a los titulares de datos personales: Acceso, Rectificación, Cancelación y Oposición.
• CONAMED: Comisión Nacional de Arbitraje Médico; organismo que atiende controversias entre usuarios y prestadores de servicios de salud mediante conciliación y arbitraje.

Referencias

• Secretaría de Salud. (2012). NOM-004-SSA3-2012, Del expediente clínico. Diario Oficial de la Federación. Gobierno de México.
• Secretaría de Salud. (2012). NOM-024-SSA3-2012, Sistemas de información de registro electrónico para la salud. Intercambio de información en salud. Diario Oficial de la Federación. Gobierno de México.
• Congreso de la Unión. (1984, con reformas vigentes). Ley General de Salud. Diario Oficial de la Federación. Gobierno de México.
• Congreso de la Unión. (2010). Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP). Diario Oficial de la Federación. Gobierno de México.
• INAI. (s.f.). Guía para el cumplimiento de la LFPDPPP en el sector salud. Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales.
• CONAMED. (s.f.). Recomendaciones para la integración del expediente clínico. Comisión Nacional de Arbitraje Médico. Gobierno de México.