¿Por cuánto tiempo debo conservar los expedientes de mis pacientes?

Fundamento normativo: ¿qué dice la ley?

La conservación del expediente clínico —conjunto de documentos escritos, gráficos, imagenológicos, electrónicos, magnéticos y de cualquier otra índole que registran los actos médicos de un profesional de la salud sobre un paciente— no es una decisión discrecional del prestador de servicios. Está regulada con precisión técnica por la NOM-004-SSA3-2012, Del expediente clínico, norma oficial mexicana de observancia obligatoria para todos los establecimientos de atención médica del sector público, social y privado.

El numeral 5.7 de dicha norma establece que el expediente clínico es propiedad del establecimiento y que el paciente —o su representante legal— tiene derecho a que se le proporcione copia o resumen. Más relevante para el tema de conservación, la propia norma y las disposiciones complementarias de la Ley General de Salud fijan plazos mínimos de guarda obligatoria que el prestador no puede reducir unilateralmente.

Plazos mínimos de conservación

La NOM-004-SSA3-2012 dispone, en su numeral correspondiente a archivo clínico, que los expedientes deben conservarse por un mínimo de cinco años contados a partir de la fecha del último acto médico registrado. Sin embargo, este plazo genérico coexiste con disposiciones sectoriales y criterios prácticos que frecuentemente lo amplían de manera significativa:

• Expedientes de menores de edad: el plazo de cinco años comienza a computarse una vez que el paciente alcanza la mayoría de edad (18 años), lo que en la práctica puede extender la guarda hasta 23 años desde el último acto médico.
• Expedientes con procedimientos quirúrgicos o de alta complejidad: se recomienda extender la conservación a un mínimo de diez años, en virtud del periodo de prescripción de la acción civil por responsabilidad profesional previsto en la legislación civil federal y local.
• Expedientes con patologías crónico-degenerativas o enfermedades de notificación obligatoria: la continuidad del seguimiento clínico justifica la guarda indefinida o hasta el fallecimiento del paciente más el plazo mínimo aplicable.
• Expedientes electrónicos bajo NOM-024-SSA3-2012: los sistemas de información de registro electrónico para la salud deben garantizar la integridad, confidencialidad, disponibilidad y trazabilidad del expediente durante todo el periodo de guarda, con mecanismos de respaldo periódico verificable.
• Expedientes con reclamaciones pendientes (queja ante CONAMED o COFEPRIS): la guarda se extiende obligatoriamente hasta la conclusión definitiva del procedimiento, independientemente de que hayan vencido los plazos ordinarios.

Intersección con la protección de datos personales sensibles

El expediente clínico contiene datos personales sensibles —categoría jurídica definida por la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) como aquellos que afectan la esfera más íntima del titular, incluyendo el estado de salud presente o futuro. El artículo 9 de la LFPDPPP exige consentimiento expreso y por escrito para su tratamiento, y su artículo 11 consagra el principio de conservación limitada: los datos deben suprimirse una vez cumplida la finalidad que motivó su tratamiento.

En la práctica, esto genera una tensión normativa que debe resolverse a favor del plazo más largo: mientras la NOM-004-SSA3-2012 obligue a conservar el expediente, el responsable del fichero no puede invocar la LFPDPPP para destruirlo anticipadamente. Solo al vencer el plazo de guarda sanitaria puede —y en sentido estricto, debe— proceder a la supresión o disociación definitiva de los datos.

Forma y condiciones de guarda

No basta con conservar el expediente; la norma exige que la guarda cumpla condiciones mínimas de resguardo. Las más relevantes desde el punto de vista operativo son:

• Mantener el expediente en archivo activo (de consulta frecuente) durante la vigencia de la relación médico-paciente y en archivo concentrado o histórico a partir del último acto médico registrado.
• Garantizar la integridad documental: sin tachaduras, enmendaduras ni alteraciones no justificadas; en expediente electrónico, mediante firma electrónica avanzada o mecanismo equivalente de autenticación.
• Asegurar la confidencialidad frente a terceros no autorizados, con controles de acceso físico o lógico documentados.
• Contar con un procedimiento de baja documental que acredite la destrucción controlada al vencimiento del plazo, evitando filtraciones de datos sensibles.
• Si se opera bajo NOM-024-SSA3-2012, el sistema debe emitir bitácoras de auditoría (logs) con registro de accesos, modificaciones y exportaciones.

Implicaciones en responsabilidad profesional

La destrucción prematura del expediente clínico tiene consecuencias dobles. En el plano administrativo, la COFEPRIS —Comisión Federal para la Protección contra Riesgos Sanitarios— puede imponer medidas de seguridad y sanciones conforme a las disposiciones de la Ley General de Salud relativas a infracciones sanitarias. En el plano civil, la ausencia del expediente invierte en los hechos la carga probatoria: el profesional que no puede exhibir el registro de su actuación queda en situación de notable desventaja procesal ante una reclamación por responsabilidad médica profesional.

Por ello, la práctica recomendada en establecimientos de mediana y alta complejidad es adoptar un plazo de guarda interno más conservador que el mínimo normativo: diez años desde el último acto médico con carácter general, y extensión indefinida en casos de patología crónica, cirugías de alto riesgo o cualquier expediente vinculado a un procedimiento legal en curso.

Lista de acciones concretas para el prestador de servicios

• Clasificar cada expediente al momento del alta o cierre de caso, anotando la fecha de último acto médico y calculando la fecha de vencimiento del plazo de guarda.
• Implementar un calendario de revisión anual del archivo concentrado para identificar expedientes próximos a vencer y validar si existen causas de extensión (menor de edad, queja activa, patología crónica).
• Elaborar y firmar un acta de baja documental con folio, descripción del expediente destruido, método de destrucción y firma del responsable sanitario del establecimiento.
• En caso de expediente electrónico, verificar que el proveedor del sistema de gestión cumpla con los requisitos de integridad y trazabilidad de la NOM-024-SSA3-2012 antes de contratar el servicio.
• Incluir en el aviso de privacidad del establecimiento —exigido por la LFPDPPP— la finalidad, el plazo de conservación y el procedimiento de supresión de datos de salud.
• Consultar con asesoría jurídica especializada si el establecimiento atiende menores, pacientes con enfermedades de notificación obligatoria o realiza procedimientos de alta complejidad, ya que los plazos aplicables pueden diferir del mínimo general.

Glosario

• Expediente clínico: conjunto sistematizado de documentos de diversa índole que registran cronológicamente los actos médicos realizados a un paciente en un establecimiento de atención médica.
• Archivo concentrado: área de resguardo que recibe los expedientes que ya no son de consulta cotidiana pero que aún no han vencido su plazo de guarda obligatoria.
• Baja documental: proceso controlado y documentado de destrucción o supresión definitiva de expedientes al vencer su plazo de conservación, con trazabilidad del proceso.
• Dato personal sensible: categoría de dato personal cuyo tratamiento exige consentimiento reforzado por su potencial de afectación a la esfera íntima del titular; incluye información sobre estado de salud, origen étnico, creencias religiosas, entre otros.
• Integridad documental: atributo que garantiza que el expediente no ha sido alterado, suprimido ni complementado de forma no autorizada desde su creación.
• Bitácora de auditoría (log): registro electrónico automático que documenta quién accedió, modificó o exportó información de un expediente electrónico, con marca de tiempo.
• CONAMED: Comisión Nacional de Arbitraje Médico, órgano desconcentrado de la Secretaría de Salud que conoce quejas y conflictos derivados de la prestación de servicios médicos.
• NOM (Norma Oficial Mexicana): disposición técnico-regulatoria de carácter obligatorio expedida por dependencias del Ejecutivo Federal conforme a la Ley Federal sobre Metrología y Normalización.

Referencias

• Secretaría de Salud. (2012). NOM-004-SSA3-2012, Del expediente clínico. Diario Oficial de la Federación. Ciudad de México: DOF.
• Secretaría de Salud. (2012). NOM-024-SSA3-2012, Sistemas de información de registro electrónico para la salud. Intercambio de información en salud. Diario Oficial de la Federación. Ciudad de México: DOF.
• Cámara de Diputados del H. Congreso de la Unión. (1984, con reformas vigentes). Ley General de Salud. Ciudad de México: DOF.
• Cámara de Diputados del H. Congreso de la Unión. (2010). Ley Federal de Protección de Datos Personales en Posesión de los Particulares. Ciudad de México: DOF.
• Comisión Nacional de Arbitraje Médico (CONAMED). (s.f.). Recomendaciones generales para la integración del expediente clínico. Recuperado del sitio oficial de CONAMED: www.gob.mx/conamed
• Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI). (s.f.). Guía para la elaboración del aviso de privacidad. Ciudad de México: INAI.