¿Cómo protejo legalmente las fotos clínicas de mis pacientes?

Marco normativo aplicable a la fotografía clínica en México

La fotografía clínica —registro visual obtenido con fines diagnósticos, terapéuticos o de seguimiento médico— constituye un dato personal sensible en los términos de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP), toda vez que revela información sobre el estado de salud de una persona física identificable. Su recolección, almacenamiento, transmisión y eventual publicación activan simultáneamente dos regímenes normativos: el de la protección de datos personales y el del expediente clínico, que en México está reglamentado de forma principal por la NOM-004-SSA3-2012 del expediente clínico y por la Ley General de Salud (LGS).

Comprender la intersección de estos dos regímenes es indispensable para cualquier profesional de la salud que incorpore imágenes al flujo de atención. La omisión de cualquiera de ellos no solo expone al médico a sanciones administrativas ante la COFEPRIS (Comisión Federal para la Protección contra Riesgos Sanitarios) y ante el INAI (Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales), sino también a responsabilidad civil y, en casos de divulgación no autorizada, a consecuencias penales.

La fotografía clínica como parte del expediente clínico

La NOM-004-SSA3-2012 define el expediente clínico como el conjunto único de información y datos personales de un paciente que se integra dentro de todo tipo de establecimiento para la atención médica. La norma exige que dicho expediente sea completo, veraz, legible y conservado durante los plazos establecidos. Las fotografías clínicas —ya sea en soporte físico o digital— forman parte integral del expediente cuando documentan hallazgos físicos, evolución de lesiones, resultados de procedimientos o cirugías.

La NOM-024-SSA3-2012, que regula los sistemas de información de registro electrónico para la salud (SIRES), establece requisitos mínimos de seguridad para el manejo digital de información clínica, incluyendo controles de acceso, trazabilidad mediante bitácoras de auditoría y mecanismos de integridad de los registros. Cuando las fotografías se gestionan en plataformas electrónicas —software de gestión de consultorio, expediente clínico electrónico, almacenamiento en nube— el prestador de servicios de salud queda sujeto a estos requisitos técnicos.

Consentimiento informado: el pilar de la protección jurídica

El consentimiento informado es la autorización voluntaria, consciente y documentada que otorga el paciente —o su representante legal cuando aplica— para que el profesional de la salud realice determinados actos médicos. En materia de fotografía clínica, la NOM-004-SSA3-2012 exige que, para procedimientos de mayor complejidad o riesgo, el consentimiento conste por escrito. La LFPDPPP, por su parte, requiere que el aviso de privacidad —documento que describe qué datos se recaban, para qué finalidad y a quién pueden transferirse— se entregue al titular antes o en el momento de la captación de sus datos.

Para que el consentimiento relacionado con fotografía clínica sea jurídicamente robusto, debe especificar: la finalidad exacta (diagnóstico, archivo clínico, docencia, publicación científica, material promocional), el soporte en que se almacenará la imagen, los terceros que podrían tener acceso y el mecanismo para revocarlo. Un consentimiento genérico que no distinga entre uso clínico interno y difusión pública es insuficiente y, en caso de controversia, probablemente ineficaz.

Finalidades diferenciadas: cuándo se necesita consentimiento adicional

La LFPDPPP distingue entre finalidades primarias —aquellas que dan origen y son necesarias para la relación jurídica entre el responsable y el titular— y finalidades secundarias, que no son indispensables para dicha relación. El tratamiento de fotografías clínicas con fines de diagnóstico o de archivo en el expediente constituye una finalidad primaria. En cambio, su uso para publicaciones académicas, presentaciones en congresos, material docente, redes sociales o marketing del consultorio constituye finalidades secundarias que requieren un consentimiento expreso, separado e inequívoco del paciente.

Obligaciones concretas del responsable del tratamiento

El médico o institución que capta fotografías clínicas es considerado responsable del tratamiento en los términos de la LFPDPPP. A continuación se enumeran las obligaciones accionables que deben implementarse:

• Elaborar y entregar un aviso de privacidad que incluya específicamente el tratamiento de imágenes clínicas, con las finalidades, la identidad del responsable y los medios para ejercer los derechos ARCO (Acceso, Rectificación, Cancelación y Oposición).
• Recabar consentimiento escrito diferenciado para cada finalidad secundaria (docencia, publicación, difusión digital), con firma autógrafa o firma electrónica avanzada válida conforme a la normativa vigente.
• Aplicar medidas de seguridad administrativas, físicas y técnicas: cifrado de archivos, control de acceso por roles, almacenamiento en servidores con residencia en México o con garantías equivalentes, y bitácoras de auditoría conforme a NOM-024.
• Conservar el expediente clínico, incluidas las fotografías, durante el plazo mínimo que establece la NOM-004-SSA3-2012 contado a partir de la última consulta registrada.
• Establecer un procedimiento interno para atender derechos ARCO y designar, o en su caso asumir las funciones de, un responsable de protección de datos dentro del consultorio o institución.
• Antes de publicar cualquier imagen, verificar que la identificación del paciente sea imposible o que se cuente con autorización expresa para la identificación parcial o total.
• Registrar el aviso de privacidad ante el INAI cuando así lo exija la normativa aplicable al tamaño o naturaleza del tratamiento.
• Evitar el almacenamiento de fotografías en dispositivos personales o aplicaciones de mensajería (WhatsApp, iCloud fotográfico sin cifrado de extremo a extremo) sin garantías contractuales equivalentes a las exigidas por la NOM-024.

Riesgos específicos en entornos digitales y redes sociales

La publicación de fotografías clínicas —aun con fines de difusión científica o mercadotecnia médica— en plataformas como Instagram, TikTok o Facebook implica la transferencia de datos personales sensibles a terceros (las propias plataformas) con domicilio fuera del territorio nacional. La LFPDPPP exige que estas transferencias internacionales cuenten con garantías adecuadas o con el consentimiento expreso del titular. Adicionalmente, la normatividad y los avisos de COFEPRIS en materia de publicidad de servicios de salud prohíben el uso de imágenes de pacientes con fines comerciales sin cumplir los requisitos de veracidad, no engaño y no comparación desleal. El incumplimiento puede derivar en sanciones administrativas independientes de las previstas en la LFPDPPP.

Consecuencias del incumplimiento

Las sanciones por infringir la LFPDPPP van desde apercibimientos hasta multas económicas significativas determinadas conforme a la normativa vigente. La Ley General de Salud prevé sanciones adicionales por violaciones a la confidencialidad de la información clínica. En el ámbito civil, la divulgación no autorizada puede configurar responsabilidad extracontractual por daño moral conforme al Código Civil Federal. Finalmente, dependiendo de la intencionalidad y del perjuicio causado, la conducta podría encuadrar en tipos penales relacionados con la revelación de secretos profesionales previstos en los códigos penales aplicables.

Glosario

• Dato personal sensible: categoría especial de dato personal que revela aspectos íntimos del titular —como origen racial, estado de salud, creencias religiosas o vida sexual— y que por su naturaleza amerita protección reforzada conforme a la LFPDPPP.
• Consentimiento informado: acto jurídico mediante el cual el paciente, tras recibir información suficiente y comprensible sobre un procedimiento, acepta o rechaza libremente su realización; en fotografía clínica debe ser específico respecto a la finalidad.
• Aviso de privacidad: documento físico o electrónico que el responsable del tratamiento está obligado a poner a disposición del titular de los datos, describiendo identidad del responsable, finalidades del tratamiento, mecanismos ARCO y transferencias previstas.
• Derechos ARCO: conjunto de facultades que la LFPDPPP reconoce al titular de los datos: Acceso (conocer qué datos se tienen), Rectificación (corregirlos), Cancelación (suprimirlos) y Oposición (impedir su uso para determinada finalidad).
• Responsable del tratamiento: persona física o moral que decide sobre el tratamiento de datos personales; en el contexto del consultorio médico, es el médico o la institución que capta y gestiona las fotografías clínicas.
• Expediente clínico: conjunto de documentos escritos, gráficos e imagenológicos o de cualquier otra índole que forman parte de los instrumentos de registro de la atención médica brindada a un paciente; regulado por la NOM-004-SSA3-2012.
• SIRES (Sistema de Información de Registro Electrónico para la Salud): plataforma de software que automatiza la gestión del expediente clínico electrónico y cuyos requisitos mínimos de seguridad e interoperabilidad están definidos en la NOM-024-SSA3-2012.
• Transferencia internacional de datos: flujo de datos personales hacia destinatarios ubicados en países distintos al de origen; sujeta a requisitos específicos de garantía o consentimiento en la LFPDPPP cuando el país receptor no tiene nivel de protección equivalente.

Referencias

• Secretaría de Salud. (2012). Norma Oficial Mexicana NOM-004-SSA3-2012, Del expediente clínico. Diario Oficial de la Federación. Ciudad de México: DOF.
• Secretaría de Salud. (2012). Norma Oficial Mexicana NOM-024-SSA3-2012, Sistemas de información de registro electrónico para la salud. Intercambio de información en salud. Diario Oficial de la Federación. Ciudad de México: DOF.
• Cámara de Diputados del H. Congreso de la Unión. (2010). Ley Federal de Protección de Datos Personales en Posesión de los Particulares. Diario Oficial de la Federación. Ciudad de México: DOF.
• Cámara de Diputados del H. Congreso de la Unión. (texto vigente). Ley General de Salud. Ciudad de México: DOF.
• Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI). (2013). Reglamento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares. Ciudad de México: DOF.
• Comisión Federal para la Protección contra Riesgos Sanitarios (COFEPRIS). (vigente). Normatividad en materia de publicidad de servicios de salud y avisos de funcionamiento. Ciudad de México: COFEPRIS. Recuperado de https://www.gob.mx/cofepris
• World Medical Association. (2013). Declaration of Helsinki: Ethical principles for medical research involving human subjects. JAMA, 310(20), 2191–2194. https://doi.org/10.1001/jama.2013.281053