¿ Puedo mandar resultados de estudios por WhatsApp a mis pacientes?

Marco regulatorio aplicable

La pregunta parece sencilla, pero involucra al menos tres cuerpos normativos distintos que se superponen: la regulación sanitaria del expediente clínico, la legislación en materia de protección de datos personales y las disposiciones sobre sistemas de información en salud. Antes de enviar cualquier resultado diagnóstico por una plataforma de mensajería instantánea, el profesional de la salud debe conocer con precisión qué obligaciones le impone cada uno de ellos.

La NOM-004-SSA3-2012 establece los criterios mínimos que debe satisfacer el expediente clínico —el conjunto de documentos escritos, gráficos e imagenológicos que contienen los datos e informes del paciente— y define implícitamente quiénes están autorizados para acceder a él y bajo qué condiciones puede compartirse su contenido. La NOM-024-SSA3-2012, por su parte, regula los sistemas de información de registro electrónico para la salud (SIRES) —plataformas digitales certificadas para el manejo, almacenamiento e intercambio de información clínica— y fija los requisitos técnicos de confidencialidad, integridad y disponibilidad que dichos sistemas deben cumplir. WhatsApp no es un SIRES ni ha obtenido certificación ante la autoridad sanitaria mexicana para operar como canal clínico formal.

Adicionalmente, la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) clasifica los datos relativos a la salud como datos personales sensibles —categoría que exige el más alto nivel de protección por su capacidad para generar discriminación o afectar la esfera más íntima del titular— y obliga al responsable del tratamiento a implementar medidas de seguridad administrativas, físicas y técnicas proporcionales al riesgo. La Ley General de Salud refuerza el deber de confidencialidad del secreto profesional médico, cuya vulneración puede acarrear responsabilidades civiles, administrativas y penales.

El problema técnico de WhatsApp como canal clínico

WhatsApp utiliza cifrado de extremo a extremo (E2EE) —protocolo que impide la lectura del mensaje por terceros durante el tránsito— en sus conversaciones individuales. Sin embargo, este mecanismo no es suficiente para cumplir los estándares de un entorno clínico regulado por varias razones técnicas y operativas:

• Almacenamiento en servidores de terceros: Los metadatos, respaldos en la nube (Google Drive o iCloud) y copias de seguridad de los chats pueden quedar fuera del control del profesional de salud y del paciente, en servidores cuya jurisdicción y política de retención no están alineadas con la normativa mexicana.
• Ausencia de trazabilidad auditada: Los SIRES deben mantener registros de auditoría (logs de acceso, modificación y envío de información clínica). WhatsApp no genera ni expone este tipo de registros al prestador de salud.
• Identidad no verificada del receptor: No existe mecanismo técnico que garantice que el destinatario del mensaje es efectivamente el paciente titular y no un familiar, pareja u otro tercero con acceso al dispositivo.
• Falta de aviso de privacidad adecuado: La LFPDPPP exige que el responsable del tratamiento entregue al titular un aviso de privacidad que describa el tratamiento al que serán sometidos sus datos; el uso de una plataforma de mensajería comercial dificulta cumplir este requisito de forma documentable.
• Integridad del documento clínico: Un resultado enviado como imagen o PDF por WhatsApp puede ser alterado, capturado en pantalla, reenviado sin control de versiones ni firma electrónica, comprometiendo la integridad del documento y su valor probatorio.

Situaciones en que el envío puede considerarse admisible bajo condiciones estrictas

La normativa vigente no prohíbe de forma literal el uso de plataformas de mensajería instantánea para comunicar información de salud, pero la ausencia de prohibición expresa no equivale a autorización tácita. Para que el envío por este canal no constituya una violación regulatoria, deben concurrir al menos las siguientes condiciones:

• Consentimiento informado y documentado: El paciente debe haber otorgado un consentimiento específico, libre, inequívoco y documentado en su expediente clínico, en el que conste que comprende los riesgos de recibir información sensible por un canal no certificado.
• Información mínima indispensable: Solo deben transmitirse los datos estrictamente necesarios; jamás el expediente clínico completo ni información de terceros relacionados en el estudio.
• Instructivo de eliminación: El profesional debe indicar al paciente que elimine los mensajes una vez revisados y evite reenviarlos, dejando constancia de esta instrucción.
• Respaldo en el expediente formal: El resultado siempre debe quedar integrado en el expediente clínico en el sistema institucional correspondiente; el envío por WhatsApp es un complemento de comunicación, nunca un sustituto del registro oficial.
• Evaluación del riesgo clínico: Resultados que requieren orientación inmediata o que pueden generar alarma —como valores de laboratorio críticos o diagnósticos de alta carga emocional— no son candidatos adecuados para comunicación por mensajería; deben notificarse en consulta o por llamada directa.

Responsabilidades y riesgos concretos para el profesional

El incumplimiento de las obligaciones anteriores expone al profesional de salud a tres vías de responsabilidad concurrentes. En el ámbito administrativo, la COFEPRIS y las autoridades sanitarias estatales pueden imponer sanciones que van desde amonestaciones hasta la suspensión de la cédula profesional, conforme a la Ley General de Salud. En el ámbito civil, una brecha de confidencialidad derivada del envío inadecuado de información clínica puede fundamentar una acción de daños y perjuicios. En el ámbito penal, la revelación de secretos protegidos por el secreto profesional está tipificada en el Código Penal Federal, con independencia de que la divulgación haya sido intencional o resultado de negligencia en la custodia de la información.

La responsabilidad no se traslada al paciente por el hecho de que haya solicitado el envío o dado su consentimiento: la obligación de salvaguardar los datos de salud es del responsable del tratamiento, que en este caso es el prestador de servicios médicos.

Recomendación de práctica

La vía recomendable es implementar un portal de pacientes o un módulo de mensajería integrado al sistema de expediente clínico electrónico que cumpla los requisitos técnicos de la NOM-024-SSA3-2012 y cuente con autenticación de doble factor, cifrado en reposo y en tránsito, y generación de logs de auditoría. Cuando esto no sea viable operativamente, el profesional puede optar por comunicar el resultado vía llamada telefónica directa y entregar el documento físico o en PDF con firma electrónica en la siguiente consulta, conservando así la cadena de custodia del documento clínico.

Glosario

• Datos personales sensibles: Categoría legal definida en la LFPDPPP que incluye información relativa al estado de salud, origen racial, vida sexual y otras esferas íntimas; su tratamiento exige medidas de protección reforzadas.
• Expediente clínico: Conjunto de documentos escritos, gráficos e imagenológicos que contienen los datos e informes de un paciente, regulado por la NOM-004-SSA3-2012.
• SIRES (Sistema de Información de Registro Electrónico para la Salud): Plataforma digital certificada conforme a la NOM-024-SSA3-2012 para el manejo seguro e interoperable de información clínica.
• Cifrado de extremo a extremo (E2EE): Protocolo criptográfico que protege el contenido de un mensaje durante su tránsito de modo que solo el emisor y el receptor pueden leerlo.
• Aviso de privacidad: Documento obligatorio conforme a la LFPDPPP en el que el responsable del tratamiento informa al titular los fines, medios y condiciones del procesamiento de sus datos personales.
• Secreto profesional médico: Deber legal y ético del profesional de salud de no revelar información obtenida en el ejercicio de su práctica, protegido por la Ley General de Salud y el Código Penal Federal.
• Registro de auditoría (log): Archivo automático e inalterable que documenta cada acceso, modificación o transmisión de información en un sistema de información, con sello de tiempo e identidad del usuario.
• Consentimiento informado: Manifestación de voluntad libre, específica e inequívoca del paciente para autorizar un acto médico o el tratamiento de sus datos, que debe constar por escrito en el expediente clínico.

Referencias

• Secretaría de Salud. (2012). Norma Oficial Mexicana NOM-004-SSA3-2012, Del expediente clínico. Diario Oficial de la Federación.
• Secretaría de Salud. (2012). Norma Oficial Mexicana NOM-024-SSA3-2012, Sistemas de información de registro electrónico para la salud. Intercambio de información en salud. Diario Oficial de la Federación.
• Cámara de Diputados del H. Congreso de la Unión. (2010). Ley Federal de Protección de Datos Personales en Posesión de los Particulares. Diario Oficial de la Federación.
• Cámara de Diputados del H. Congreso de la Unión. (vigente). Ley General de Salud. Diario Oficial de la Federación.
• Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI). (2013). Lineamientos del Aviso de Privacidad. Diario Oficial de la Federación.
• WhatsApp LLC. (2023). White Paper: WhatsApp Encryption Overview. Meta Platforms Inc. Recuperado de whatsapp.com/security