¿Qué pasa si pierdo o me roban un expediente clínico?

Pérdida o robo del expediente clínico: implicaciones jurídicas, regulatorias y operativas

El expediente clínico —conjunto de documentos escritos, gráficos, imagenológicos, electrónicos, magnéticos y de cualquier otra índole en los que el personal de salud registra la atención médica prestada— no es un simple archivo administrativo. La NOM-004-SSA3-2012, norma oficial mexicana que regula su integración y manejo, lo define como un instrumento con valor científico, ético y legal. Su pérdida o robo activa una cadena de consecuencias regulatorias, civiles, penales y de protección de datos personales que todo profesional de la salud debe conocer con precisión.

Marco normativo aplicable

La custodia del expediente clínico recae simultáneamente en el prestador de servicios de salud y en el establecimiento para la atención médica —unidad asistencial con o sin internamiento donde se brinda atención médica—. La NOM-004-SSA3-2012 establece que la guarda y custodia del expediente es responsabilidad solidaria del médico tratante y del establecimiento. La obligación de conservación mínima es de cinco años a partir de la última consulta u hospitalización, plazo que en la práctica se extiende considerando prescripciones penales y civiles más amplias.

Complementariamente, la NOM-024-SSA3-2012 regula los sistemas de información de registro electrónico para la salud (SIRES): plataformas digitales que gestionan expedientes clínicos electrónicos. Esta norma impone requerimientos de integridad, autenticidad, confidencialidad y disponibilidad de la información; su inobservancia agrava la responsabilidad cuando se pierde un expediente digital.

La Ley General de Salud tipifica como infracción administrativa el incumplimiento de las disposiciones relativas a la prestación de servicios de salud, y faculta a la COFEPRIS (Comisión Federal para la Protección contra Riesgos Sanitarios) —autoridad sanitaria federal encargada de la regulación, control y fomento sanitario— para imponer sanciones que van desde amonestaciones hasta la clausura del establecimiento, según la gravedad de la infracción.

Cuando el expediente contiene datos personales sensibles —categoría que incluye información sobre estado de salud, historial médico, condición física o mental, según la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP)— la pérdida o robo constituye una vulneración de seguridad: cualquier brecha que afecte la confidencialidad, disponibilidad o integridad de datos personales. La LFPDPPP obliga al responsable del tratamiento a notificar al titular afectado de forma inmediata y a implementar acciones correctivas.

Consecuencias jurídicas inmediatas

La desaparición del expediente genera un vacío probatorio de consecuencias múltiples:

• Responsabilidad administrativa: COFEPRIS puede iniciar un procedimiento de verificación y, conforme a la normativa vigente, imponer multas y sanciones al establecimiento. La ausencia del expediente es evidencia directa de incumplimiento de la NOM-004-SSA3-2012.
• Responsabilidad civil: En litigios por mala práctica médica, la falta del expediente activa la inversión de la carga probatoria —principio procesal por el cual quien debía conservar la prueba y no la conservó asume las consecuencias de su desaparición—. El médico o establecimiento queda en posición desventajosa ante cualquier demanda de daños.
• Responsabilidad penal: Si el robo involucra sustracción dolosa con fines de extorsión, divulgación indebida o destrucción intencional, el o los responsables pueden enfrentar tipos penales como robo, daño en propiedad ajena o delitos relacionados con el acceso ilícito a sistemas informáticos, según el código penal aplicable.
• Responsabilidad en materia de datos personales: El Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI) puede iniciar un procedimiento de investigación y, en su caso, imponer sanciones económicas al responsable del tratamiento.
• Daño a la continuidad asistencial: La ausencia del expediente interrumpe la historia clínica del paciente, compromete la seguridad en la prescripción y puede derivar en errores terapéuticos con consecuencias clínicas graves.

Protocolo de respuesta ante pérdida o robo

La actuación inmediata del establecimiento y del profesional de la salud debe ser ordenada y documentada. Un protocolo básico de respuesta comprende los siguientes pasos accionables:

• Notificación interna: Informar de inmediato al director médico, al responsable del establecimiento y, en su caso, al oficial de protección de datos personales designado conforme a la LFPDPPP.
• Levantamiento de acta circunstanciada: Documentar con precisión la fecha, hora, circunstancias del extravío o robo, expedientes afectados y personal involucrado. Esta acta tiene valor probatorio en procedimientos administrativos y judiciales.
• Denuncia penal: Presentar denuncia ante el Ministerio Público cuando haya indicios de sustracción ilícita, pues el expediente penal acredita la ausencia de dolo del establecimiento.
• Notificación a la autoridad sanitaria: Informar a COFEPRIS o a la autoridad estatal de salud correspondiente, acompañando el acta circunstanciada y las medidas correctivas adoptadas.
• Notificación al titular de los datos: Comunicar al paciente afectado la vulneración de seguridad ocurrida, los datos comprometidos y las acciones implementadas para mitigar el riesgo, en cumplimiento de la LFPDPPP.
• Notificación al INAI: Cuando la vulneración afecte datos personales sensibles de forma significativa, el responsable debe notificar al INAI conforme al procedimiento establecido por la autoridad.
• Reconstrucción del expediente: Iniciar de inmediato la integración de un expediente sustituto con los documentos recuperables: notas de enfermería, resultados de laboratorio en sistemas externos, prescripciones, imágenes diagnósticas en PACS (Picture Archiving and Communication System), y declaración del propio paciente. La NOM-004-SSA3-2012 no prohíbe la reconstrucción; la obliga.
• Revisión del sistema de custodia: Auditar los controles físicos y lógicos de resguardo para identificar la falla y adoptar medidas correctivas que eviten recurrencia.

Expediente electrónico: vulnerabilidades específicas

El expediente clínico electrónico (ECE) —versión digital del expediente que cumple los requisitos de la NOM-024-SSA3-2012— presenta vectores de riesgo distintos a los del expediente en papel. El robo de un dispositivo de almacenamiento, un ataque de ransomware o una configuración deficiente de permisos pueden comprometer simultáneamente miles de expedientes. En este escenario, la obligación de notificación se multiplica y la gravedad de la sanción aumenta en proporción directa al volumen de titulares afectados. Los establecimientos que operan ECE deben mantener respaldos cifrados periódicos —copias de seguridad con protección criptográfica almacenadas en ubicaciones físicamente separadas— como medida mínima de continuidad operativa.

Glosario

• Expediente clínico: Conjunto de documentos de diversa naturaleza en que el personal de salud registra la atención médica prestada a un paciente; tiene valor científico, ético y legal.
• Establecimiento para la atención médica: Unidad asistencial, con o sin internamiento, donde se brindan servicios de salud; comparte la custodia del expediente con el médico tratante.
• Vulneración de seguridad: Brecha que afecta la confidencialidad, disponibilidad o integridad de datos personales; activa obligaciones de notificación conforme a la LFPDPPP.
• Dato personal sensible: Categoría de datos que incluye información sobre salud, historial médico y condición física o mental; su tratamiento está sujeto a protección reforzada bajo la LFPDPPP.
• Inversión de la carga probatoria: Principio procesal por el cual quien debía conservar una prueba y no la conservó asume las consecuencias adversas de su ausencia en un litigio.
• SIRES: Sistema de Información de Registro Electrónico para la Salud; plataforma digital regulada por la NOM-024-SSA3-2012 para gestionar expedientes clínicos electrónicos.
• Expediente clínico electrónico (ECE): Versión digital del expediente clínico que cumple los requisitos de autenticidad, integridad y disponibilidad establecidos por la NOM-024-SSA3-2012.
• Acta circunstanciada: Documento formal que narra con detalle las circunstancias de un evento; constituye prueba documental en procedimientos administrativos y judiciales.

Referencias

• Secretaría de Salud. (2012). NOM-004-SSA3-2012, Del expediente clínico. Diario Oficial de la Federación.
• Secretaría de Salud. (2012). NOM-024-SSA3-2012, Sistemas de información de registro electrónico para la salud. Intercambio de información en salud. Diario Oficial de la Federación.
• Cámara de Diputados del H. Congreso de la Unión. (2024). Ley General de Salud. Última reforma publicada en el Diario Oficial de la Federación.
• Cámara de Diputados del H. Congreso de la Unión. (2010). Ley Federal de Protección de Datos Personales en Posesión de los Particulares. Diario Oficial de la Federación, 5 de julio de 2010.
• Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI). (2018). Recomendaciones en materia de seguridad de datos personales. INAI.
• Comisión Federal para la Protección contra Riesgos Sanitarios (COFEPRIS). Normatividad y avisos vigentes en materia de establecimientos de atención médica. Recuperado de https://www.gob.mx/cofepris