¿Necesito un aviso de privacidad en mi consultorio?

Fundamento jurídico: por qué la pregunta no admite respuesta informal

La consulta médica privada en México opera en la intersección de dos regímenes normativos distintos pero complementarios: el derecho sanitario, que regula la calidad y seguridad de la atención clínica, y el derecho a la protección de datos personales, que tutela la autodeterminación informativa del paciente. Confundir ambos planos —o ignorar uno de ellos— expone al profesional de la salud a responsabilidades administrativas, civiles y, en casos extremos, penales. La respuesta corta es sí: cualquier consultorio que recabe, use, divulgue o almacene datos personales está obligado a contar con un aviso de privacidad. Lo que sigue explica el porqué con precisión normativa.

El aviso de privacidad en la Ley Federal de Protección de Datos Personales en Posesión de los Particulares

La Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP), publicada en el Diario Oficial de la Federación en 2010, establece la obligación general del responsable del tratamiento —cualquier persona física o moral de carácter privado que decida sobre el tratamiento de datos personales— de informar al titular (el paciente) sobre la existencia y características de ese tratamiento. Esta obligación se materializa mediante el aviso de privacidad, documento que describe quién recaba los datos, para qué finalidades, con quién pueden compartirse y cómo el titular puede ejercer sus derechos.

El médico o dentista que ejerce de forma independiente es, jurídicamente, un responsable del tratamiento, aunque opere sin personal de apoyo. El hecho de atender a un solo paciente ya implica recabar nombre, fecha de nacimiento, historial clínico y, crucialmente, datos personales sensibles: categoría especial definida por la LFPDPPP como aquellos cuya divulgación indebida puede dar lugar a discriminación o conllevar un riesgo grave para el titular, entre los que se encuentran expresamente el estado de salud presente y futuro, la condición médica y los datos genéticos. Para esta categoría, la ley exige un estándar de protección reforzado y obliga a obtener el consentimiento expreso del titular salvo excepciones taxativas.

Régimen sanitario: NOM-004-SSA3-2012 y el expediente clínico como dato personal

La Norma Oficial Mexicana NOM-004-SSA3-2012, relativa al expediente clínico, regula los requisitos mínimos de integración, conservación y confidencialidad de los registros de atención médica. Si bien esta norma no es una ley de privacidad en sentido estricto, establece el deber de confidencialidad del profesional de la salud respecto a la información contenida en el expediente y define los supuestos en que dicha información puede ser compartida con terceros.

Cuando el consultorio opera con sistemas electrónicos de registro, entra en juego la NOM-024-SSA3-2012, que regula los sistemas de información de registro electrónico para la salud (SIRES) y fija estándares de seguridad, interoperabilidad y confidencialidad para el manejo digital de la información clínica. El uso de expediente electrónico no sustituye ni exime del aviso de privacidad; ambas obligaciones coexisten.

La Ley General de Salud complementa este marco al consagrar el derecho del paciente a decidir libremente sobre su atención y a que la información sobre su estado de salud sea tratada con confidencialidad, principios que la jurisprudencia y la doctrina han vinculado directamente con la normativa de protección de datos.

Contenido mínimo que debe incluir el aviso de privacidad de un consultorio

Conforme al reglamento de la LFPDPPP y a los lineamientos del Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI), el aviso de privacidad de un consultorio debe contemplar, como mínimo, los siguientes elementos:

• Identidad y domicilio del responsable: nombre completo del profesional o razón social de la clínica, con domicilio físico verificable.
• Finalidades del tratamiento: distinción entre finalidades primarias (diagnóstico, tratamiento, seguimiento clínico, facturación) y secundarias (mercadotecnia, investigación, estadística); las segundas requieren mecanismo de opt-out.
• Datos recabados y categorías: identificación explícita de datos sensibles, con la advertencia de que su tratamiento requiere consentimiento expreso.
• Transferencias: identificar si la información se comparte con laboratorios, especialistas, aseguradoras, sistemas de salud o plataformas digitales, y bajo qué condiciones.
• Derechos ARCO: descripción del procedimiento para que el titular ejerza sus derechos de Acceso, Rectificación, Cancelación y Oposición, incluyendo correo o dirección de contacto del responsable.
• Mecanismos de revocación del consentimiento: forma en que el paciente puede retirar su autorización para las finalidades secundarias.
• Uso de cookies o tecnologías de rastreo si el consultorio cuenta con sitio web o plataforma de agendamiento en línea.
• Cambios al aviso: mecanismo de notificación ante modificaciones (actualización en página web, notificación por correo u otro medio efectivo).

Modalidades de aviso: integral, simplificado y en capas

La LFPDPPP y su reglamento reconocen distintas modalidades de aviso según el contexto de recabado. El aviso integral contiene todos los elementos descritos y es el adecuado cuando hay tiempo y espacio suficientes para informar al titular antes del tratamiento. El aviso simplificado condensa la información esencial y remite a la versión completa; es válido en espacios físicos reducidos o formularios breves. El formato en capas combina ambos: una primera capa con datos clave y un enlace o referencia a la versión extensa.

En la práctica, un consultorio pequeño puede optar por un aviso integral en papel entregado junto con la ficha de admisión, o por un aviso simplificado visible en recepción que remita al texto completo disponible en su sitio web o a solicitud del paciente. Lo que no es admisible, en ningún caso, es la ausencia total de aviso.

Consecuencias del incumplimiento

El INAI es la autoridad competente para conocer violaciones a la LFPDPPP en el sector privado. Las infracciones pueden derivar en amonestaciones, multas graduadas conforme a la ley y, en supuestos de tratamiento indebido de datos sensibles, sanciones agravadas. Adicionalmente, el incumplimiento puede generar responsabilidad civil frente al paciente afectado y, en contextos de negligencia grave, consecuencias en el ámbito de la responsabilidad médica ante la COFEPRIS o las comisiones estatales de arbitraje médico.

Lista de acciones prioritarias para regularizarse

• Redactar o revisar el aviso de privacidad con base en los lineamientos del INAI, asegurando que cubra datos sensibles de salud.
• Obtener consentimiento expreso y por escrito del paciente antes de recabar datos sensibles; conservar evidencia de ese consentimiento en el expediente.
• Verificar que los sistemas de expediente electrónico cumplan con los estándares de seguridad de la NOM-024-SSA3-2012.
• Establecer un canal formal (correo electrónico o dirección física) para la atención de solicitudes de derechos ARCO.
• Actualizar el aviso de privacidad cada vez que cambien las finalidades, los encargados del tratamiento o las transferencias de datos.
• Capacitar al personal administrativo y clínico en los principios básicos de protección de datos y confidencialidad del expediente.
• Publicar el aviso en un lugar visible del consultorio y, si se cuenta con sitio web o plataforma digital, en la página de inicio o de contacto.

Glosario

• Aviso de privacidad: documento físico o electrónico mediante el cual el responsable del tratamiento informa al titular sobre las características del tratamiento de sus datos personales, conforme a la LFPDPPP.
• Dato personal sensible: categoría de datos cuya divulgación puede afectar la esfera más íntima del titular o generar discriminación; en salud incluye diagnósticos, tratamientos, historial médico y datos genéticos.
• Responsable del tratamiento: persona física o moral que, sola o conjuntamente con otras, determina la finalidad y los medios del tratamiento de datos personales.
• Titular: persona física a quien corresponden los datos personales objeto del tratamiento; en el contexto clínico, el paciente.
• Derechos ARCO: conjunto de derechos reconocidos por la LFPDPPP que permiten al titular Acceder, Rectificar, Cancelar u Oponerse al tratamiento de sus datos personales.
• Consentimiento expreso: manifestación inequívoca, libre, específica e informada del titular que autoriza el tratamiento de sus datos; obligatoria para datos sensibles.
• Expediente clínico: conjunto de documentos escritos, gráficos, imagenológicos, electrónicos, magnéticos, electromagnéticos, ópticos, magneto-ópticos y de cualquier otra índole en los cuales el personal de salud deberá hacer los registros, anotaciones, en su caso, constancias y certificaciones correspondientes a su intervención, con arreglo a las disposiciones sanitarias (NOM-004-SSA3-2012).
• INAI: Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales; autoridad garante del derecho a la protección de datos personales en México.

Referencias

• Cámara de Diputados del H. Congreso de la Unión. (2010). Ley Federal de Protección de Datos Personales en Posesión de los Particulares. Diario Oficial de la Federación, 5 de julio de 2010.
• Cámara de Diputados del H. Congreso de la Unión. (2011). Reglamento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares. Diario Oficial de la Federación, 21 de diciembre de 2011.
• Secretaría de Salud. (2012). NOM-004-SSA3-2012, Del expediente clínico. Diario Oficial de la Federación, 15 de octubre de 2012.
• Secretaría de Salud. (2012). NOM-024-SSA3-2012, Sistemas de información de registro electrónico para la salud. Intercambio de información en salud. Diario Oficial de la Federación, 30 de noviembre de 2012.
• Cámara de Diputados del H. Congreso de la Unión. (1984, con reformas). Ley General de Salud. Diario Oficial de la Federación.
• Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales. (s.f.). Lineamientos del aviso de privacidad. Diario Oficial de la Federación, 17 de enero de 2013. Recuperado de https://www.dof.gob.mx
• Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales. (s.f.). Guía para el sector salud: tratamiento de datos personales sensibles. INAI.