¿Cómo se redacta un aviso de privacidad para un consultorio médico?

Marco regulatorio aplicable al tratamiento de datos personales en consultorios médicos

El consultorio médico constituye uno de los entornos de mayor sensibilidad en materia de protección de datos personales. La información que recaba un médico —diagnósticos, antecedentes patológicos, estudios de laboratorio, historial de medicamentos— cae en la categoría de datos personales sensibles, definidos por la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) como aquellos cuya divulgación indebida puede dar origen a discriminación o conlleva un riesgo grave para el titular. Esta categoría exige un estándar de protección superior al de los datos ordinarios.

Adicionalmente, la Norma Oficial Mexicana NOM-004-SSA3-2012, relativa al expediente clínico, establece los criterios mínimos para la integración, uso y conservación del expediente clínico, tanto en papel como en medios electrónicos. Por su parte, la NOM-024-SSA3-2012 regula los sistemas de información de registro electrónico para la salud, imponiendo requisitos de confidencialidad, integridad y disponibilidad de la información. La Ley General de Salud obliga a los prestadores de servicios a guardar el secreto profesional respecto de la información del paciente. Todas estas disposiciones confluyen en la obligación del médico —en su carácter de responsable del tratamiento— de elaborar y dar a conocer un aviso de privacidad conforme a la LFPDPPP y su Reglamento.

El concepto de responsable y encargado del tratamiento

La LFPDPPP distingue entre el responsable —persona física o moral que decide sobre el tratamiento de los datos personales— y el encargado —quien trata datos por cuenta del responsable, por ejemplo un laboratorio externo al que se remiten muestras o una plataforma de expediente clínico electrónico contratada por el médico—. En el consultorio médico unipersonal, el médico es el responsable. Esta distinción es operativamente importante porque el aviso de privacidad lo emite y firma siempre el responsable, y debe identificar a cualquier encargado que intervenga en el ciclo de vida del dato.

Tipos de aviso de privacidad y cuál corresponde al consultorio

El Reglamento de la LFPDPPP contempla tres modalidades: el aviso completo, el simplificado y el corto. Dado que un consultorio médico trata datos sensibles de forma habitual, la modalidad apropiada es el aviso completo, que debe contener todos los elementos exigidos por la ley. El aviso simplificado puede usarse como complemento —por ejemplo, en el formato de registro del paciente— siempre que remita al aviso completo disponible en un medio de fácil consulta.

Elementos obligatorios del aviso de privacidad completo

Conforme a la LFPDPPP y su Reglamento, el aviso de privacidad de un consultorio médico debe incluir, como mínimo, los siguientes componentes:

• Identidad y domicilio del responsable: nombre o razón social completa del médico o clínica, domicilio fiscal, RFC y, de ser aplicable, número de cédula profesional.
• Finalidades del tratamiento: propósito principal (prestación de servicios de salud, integración del expediente clínico) y finalidades secundarias (recordatorios de cita, encuestas de satisfacción). Se debe indicar cuáles son finalidades que dan origen a la relación jurídica y cuáles son opcionales.
• Datos personales recabados: listado de categorías —datos de identificación, datos de contacto, datos de salud, datos financieros si se cobra directamente— con distinción explícita de los datos sensibles.
• Transferencias de datos: identificación de terceros a quienes se comunicarán los datos (laboratorios, hospitales de referencia, aseguradoras, COFEPRIS en casos de reporte obligatorio), señalando si requieren o no del consentimiento del titular.
• Base legal del tratamiento: indicar si el tratamiento se funda en el consentimiento expreso del titular, en una obligación legal (p. ej., reporte epidemiológico a la Secretaría de Salud) o en la ejecución del contrato de prestación de servicios médicos.
• Mecanismo para ejercer derechos ARCO: procedimiento claro para que el titular ejerza sus derechos de Acceso, Rectificación, Cancelación u Oposición (derechos ARCO), incluyendo el correo electrónico o ventanilla de atención designada y el plazo de respuesta, que conforme a la normativa vigente no debe exceder de veinte días hábiles.
• Uso de cookies o tecnologías de rastreo: si el consultorio opera un sitio web o portal de pacientes, debe declararse el uso de estas tecnologías y el mecanismo de opt-out.
• Procedimiento para notificar cambios al aviso: indicar el medio (sitio web, cartelería en el consultorio) a través del cual se comunicarán modificaciones al aviso.

Consentimiento expreso para datos sensibles

La LFPDPPP establece que el tratamiento de datos sensibles requiere el consentimiento expreso y por escrito del titular. En la práctica del consultorio, esto se materializa mediante una firma autógrafa o, en sistemas de expediente electrónico, una firma electrónica avanzada —regulada por el Código de Comercio y la Ley de Firma Electrónica Avanzada— en el documento de aviso de privacidad o en un apartado específico del formulario de ingreso del paciente. No es suficiente el consentimiento tácito ni la mera publicación del aviso en el muro del consultorio cuando se trate de datos sensibles.

Interacción con la NOM-004-SSA3-2012 y el expediente clínico

La NOM-004-SSA3-2012 impone plazos mínimos de conservación del expediente clínico —en términos generales, no inferiores a cinco años contados desde la última atención— y establece que el acceso al expediente está restringido al personal de salud directamente involucrado en la atención del paciente. En el aviso de privacidad, esto se traduce en la obligación de declarar el plazo de conservación de los datos y las medidas de seguridad administrativas, físicas y técnicas implementadas para proteger el expediente, tanto en formato papel como digital.

Consideraciones para consultorios que operan plataformas digitales o telemedicina

Cuando el médico utiliza plataformas de videoconsulta, aplicaciones móviles o expedientes clínicos electrónicos en la nube, la NOM-024-SSA3-2012 exige que dichos sistemas garanticen la confidencialidad e integridad de la información. El aviso de privacidad debe reflejar este ecosistema tecnológico, identificando a los proveedores de infraestructura como encargados del tratamiento y precisando si los servidores se encuentran dentro o fuera del territorio nacional, pues la LFPDPPP regula las transferencias internacionales de datos con requisitos adicionales.

Publicación y entrega del aviso

El aviso de privacidad debe estar disponible al paciente antes o en el momento de la recopilación de sus datos. Las formas aceptadas incluyen: entrega física del documento al momento del registro, publicación visible en las instalaciones del consultorio, y publicación en el sitio web oficial. La evidencia de la entrega y del consentimiento obtenido debe conservarse como parte de la documentación del responsable, dado que ante una queja ante el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI) corresponde al responsable acreditar el cumplimiento.

Glosario

• Datos personales sensibles: datos que afectan la esfera más íntima del titular o cuya divulgación puede generar discriminación; en el ámbito médico incluyen estado de salud, enfermedades, historial clínico y condición genética.
• Responsable del tratamiento: persona física o moral que decide sobre el tratamiento de datos personales; en el consultorio unipersonal, el médico titular.
• Encargado del tratamiento: tercero que trata datos por instrucción y cuenta del responsable, sin ejercer dominio propio sobre la finalidad del tratamiento.
• Derechos ARCO: conjunto de derechos del titular de datos personales: Acceso, Rectificación, Cancelación y Oposición, reconocidos por la LFPDPPP.
• Consentimiento expreso: manifestación de voluntad libre, específica, informada e inequívoca del titular para el tratamiento de sus datos, requerida en forma escrita para datos sensibles.
• Transferencia de datos: comunicación de datos personales a un tercero distinto del responsable o del encargado, dentro o fuera del territorio nacional.
• Expediente clínico: conjunto único de información y datos de un paciente, que puede ser en papel o medios electrónicos, cuya integración y manejo se rige por la NOM-004-SSA3-2012.
• INAI: Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales; autoridad federal encargada de supervisar el cumplimiento de la LFPDPPP en el sector privado.

Referencias

• Cámara de Diputados del H. Congreso de la Unión. (2010). Ley Federal de Protección de Datos Personales en Posesión de los Particulares. Diario Oficial de la Federación, 5 de julio de 2010. México.
• Cámara de Diputados del H. Congreso de la Unión. (2011). Reglamento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares. Diario Oficial de la Federación, 21 de diciembre de 2011. México.
• Secretaría de Salud. (2012). Norma Oficial Mexicana NOM-004-SSA3-2012, Del expediente clínico. Diario Oficial de la Federación, 15 de octubre de 2012. México.
• Secretaría de Salud. (2012). Norma Oficial Mexicana NOM-024-SSA3-2012, Sistemas de información de registro electrónico para la salud. Intercambio de información en salud. Diario Oficial de la Federación, 30 de noviembre de 2012. México.
• Cámara de Diputados del H. Congreso de la Unión. (2024). Ley General de Salud (última reforma publicada). Diario Oficial de la Federación. México.
• Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI). (s.f.). Guía para elaborar el aviso de privacidad. Recuperado de https://home.inai.org.mx