¿Qué sanciones hay por mal manejo de datos de pacientes?

Régimen sancionador por mal manejo de datos de pacientes en México

El tratamiento indebido de información clínica y datos personales de pacientes activa un entramado de responsabilidades jurídicas que involucra, simultáneamente, la normativa sanitaria federal, la legislación en materia de protección de datos personales y, en casos extremos, el derecho penal. Comprender la articulación de estos cuerpos normativos es indispensable para cualquier profesional o institución que opere dentro del ecosistema de salud en México.

Marco normativo aplicable

La regulación del expediente clínico —conjunto de documentos escritos, gráficos e iconográficos en los cuales el personal de salud hace los registros, anotaciones y certificaciones correspondientes a su intervención— descansa primordialmente en la NOM-004-SSA3-2012, que establece los criterios científicos, tecnológicos y administrativos para su integración, uso y manejo. Paralelamente, la NOM-024-SSA3-2012 regula los sistemas de información de registro electrónico para la salud (SIRES), determinando los requisitos de seguridad, integridad y confidencialidad que deben cumplir las plataformas digitales que gestionan información clínica.

En el plano de la protección de datos personales, la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) clasifica la información relativa al estado de salud como datos sensibles —aquellos cuya divulgación indebida puede dar origen a discriminación o conllevar un riesgo grave— y les impone un estándar de protección reforzado. La Ley General de Salud (LGS), por su parte, consagra el deber de confidencialidad del personal sanitario y el derecho del paciente a la privacidad de su información. Finalmente, la Comisión Federal para la Protección contra Riesgos Sanitarios (COFEPRIS) emite lineamientos y avisos con fuerza regulatoria en materia de establecimientos de salud.

Tipos de conductas sancionables

Las infracciones más frecuentes en la práctica clínica e institucional incluyen:

• Divulgación no autorizada de información contenida en el expediente clínico a terceros sin consentimiento del paciente.
• Acceso indebido por personal sin atribuciones al expediente electrónico de un paciente.
• Omisión del aviso de privacidad —documento que informa al titular sobre el responsable del tratamiento, las finalidades y los medios para ejercer sus derechos ARCO— al momento de recabar datos sensibles de salud.
• Transferencia de datos clínicos a terceros —laboratorios, aseguradoras, empresas farmacéuticas— sin base legal habilitante ni consentimiento expreso.
• Falta de medidas de seguridad administrativas, técnicas y físicas que expongan la información a pérdida, alteración o acceso no autorizado.
• Retención del expediente clínico en contravención al plazo mínimo de conservación establecido por la NOM-004-SSA3-2012, o su destrucción anticipada sin procedimiento autorizado.
• Negativa injustificada a proporcionar al paciente copia o resumen de su expediente clínico.

Sanciones en materia de protección de datos personales

El Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI) es la autoridad facultada para imponer sanciones conforme a la LFPDPPP. Las multas se calculan en días de salario mínimo general vigente en la Ciudad de México (SMG) y pueden escalar significativamente en función de la gravedad, reincidencia e intencionalidad de la infracción. La ley prevé un rango que va desde cientos hasta decenas de miles de días de SMG para las conductas más graves, como el tratamiento doloso de datos sensibles con fines de lucro. Adicionalmente, el INAI puede ordenar la suspensión temporal del tratamiento de datos y la supresión de la información tratada ilícitamente. Estas resoluciones son públicas, lo que conlleva un riesgo reputacional directo para la institución sancionada.

Sanciones en materia sanitaria

La LGS habilita a la Secretaría de Salud y a COFEPRIS para aplicar medidas de seguridad y sanciones administrativas a los establecimientos que incumplan las NOM en materia de expediente clínico y sistemas de información. Entre las consecuencias previstas se encuentran la amonestación con apercibimiento, multas económicas, la clausura temporal o definitiva del establecimiento, y la suspensión o cancelación de licencias sanitarias. Para el personal de salud individualmente considerado, el incumplimiento del deber de confidencialidad puede motivar procedimientos disciplinarios ante los colegios de profesionistas y, en su caso, ante la Comisión Nacional de Arbitraje Médico (CONAMED).

Responsabilidad penal

Cuando la vulneración de datos clínicos involucra conductas dolosas —como la comercialización de expedientes, el acceso ilícito a sistemas informáticos o la revelación de secretos profesionales con perjuicio patrimonial o moral para el paciente— se activan tipos penales del Código Penal Federal y de los códigos penales locales. La revelación de secretos por parte de profesionistas que los conocen en razón de su ejercicio puede constituir delito. El acceso no autorizado a sistemas informáticos que almacenan registros clínicos también puede configurar el tipo de acceso ilícito a equipos de informática. Las penas pueden incluir prisión y suspensión del ejercicio profesional.

Acciones de cumplimiento que toda entidad de salud debe implementar

• Designar formalmente a un responsable de protección de datos y documentar el inventario de datos personales tratados, incluyendo su clasificación como sensibles.
• Publicar y entregar el aviso de privacidad en el primer contacto con el paciente, antes o durante la recopilación de cualquier dato clínico.
• Implementar controles de acceso por roles en los SIRES, con registros de auditoría (logs) que permitan rastrear quién accedió a qué expediente y cuándo.
• Celebrar convenios de confidencialidad y cláusulas de tratamiento de datos con todos los proveedores y terceros que accedan a información clínica.
• Establecer un protocolo de respuesta ante vulneraciones de seguridad —brechas de datos— que incluya notificación al INAI y, cuando sea procedente, al titular afectado, en los plazos que establece la normativa vigente.
• Capacitar periódicamente al personal clínico y administrativo sobre sus obligaciones legales en materia de confidencialidad y protección de datos.
• Verificar que los expedientes clínicos físicos y electrónicos se conserven por el periodo mínimo legal y se destruyan mediante procedimientos seguros y documentados una vez concluido.
• Realizar auditorías internas anuales de cumplimiento normativo en materia de seguridad de la información clínica.

Glosario

• Dato sensible: Categoría especial de dato personal cuya divulgación puede originar discriminación o riesgo grave para el titular; incluye información sobre estado de salud, origen étnico, creencias religiosas, opiniones políticas, entre otros.
• Expediente clínico: Conjunto de documentos escritos, gráficos e iconográficos que registran la intervención del personal de salud sobre un paciente; regulado por la NOM-004-SSA3-2012.
• SIRES (Sistema de Información de Registro Electrónico para la Salud): Plataforma tecnológica que gestiona electrónicamente el expediente clínico; sujeto a requisitos específicos de la NOM-024-SSA3-2012.
• Aviso de privacidad: Documento físico, electrónico o en cualquier formato que el responsable del tratamiento pone a disposición del titular para informarle sobre el uso de sus datos personales.
• Derechos ARCO: Derechos de Acceso, Rectificación, Cancelación y Oposición que la LFPDPPP otorga al titular de los datos personales frente al responsable de su tratamiento.
• Vulneración de seguridad (brecha de datos): Incidente que compromete la confidencialidad, integridad o disponibilidad de datos personales, obligando al responsable a notificar a la autoridad y, según el caso, al titular.
• INAI: Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales; autoridad garante en materia de datos personales en el sector privado y público federal.
• COFEPRIS: Comisión Federal para la Protección contra Riesgos Sanitarios; órgano desconcentrado de la Secretaría de Salud con facultades regulatorias, de inspección y sanción sobre establecimientos de salud.

Referencias

• Secretaría de Salud. (2012). NOM-004-SSA3-2012, Del expediente clínico. Diario Oficial de la Federación.
• Secretaría de Salud. (2012). NOM-024-SSA3-2012, Sistemas de información de registro electrónico para la salud. Intercambio de información en salud. Diario Oficial de la Federación.
• Cámara de Diputados del H. Congreso de la Unión. (2010). Ley Federal de Protección de Datos Personales en Posesión de los Particulares. Diario Oficial de la Federación.
• Cámara de Diputados del H. Congreso de la Unión. Ley General de Salud (texto vigente con últimas reformas). Diario Oficial de la Federación.
• Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales. (2021). Guía para responsables de tratamiento de datos personales en el sector salud. INAI.
• Comisión Federal para la Protección contra Riesgos Sanitarios. Lineamientos y avisos regulatorios en materia de establecimientos de atención médica. COFEPRIS. Recuperado de https://www.gob.mx/cofepris