SciELO - Scientific Electronic Library Online

 
vol.13 número26Los valores humanos en el consumo del queso añejo de ZacazonapanHabitabilidad de la vivienda emergente para trabajadores migrantes en Villa de Arista, San Luis Potosí índice de autoresíndice de materiabúsqueda de artículos
Home Pagelista alfabética de revistas  

Servicios Personalizados

Revista

Articulo

Indicadores

Links relacionados

  • No hay artículos similaresSimilares en SciELO

Compartir


Nova scientia

versión On-line ISSN 2007-0705

Nova scientia vol.13 no.26 León may. 2021  Epub 30-Ago-2021

https://doi.org/10.21640/ns.v13i26.2592 

Ciencias humanas y sociales

Tratamiento y protección de datos personales en el sector público de la salud. El tránsito hacia el expediente clínico electrónico

Treatment and protection of personal data in the public health sector. The transition to the electronic clinical record

José Joaquín Piña-Mondragón* 
http://orcid.org/0000-0002-9671-6198

*Centro de Ingeniería y Desarrollo Industrial, México


Resumen:

Hasta hace algunos años el expediente clínico se integraba en forma exclusiva como un registro que constaba en formato físico; no obstante, con la intervención de los avances tecnológicos se ha ido evolucionando hacia la integración del expediente clínico electrónico por parte de diversas instituciones de salud en México, que han optado por la aplicación de las tecnologías de la información y comunicación (TIC), en aras de facilitar el ordenamiento de la información clínica y una atención sanitaria de mayor calidad y más enfocada en el paciente. Al respecto, si bien el expediente clínico electrónico se presenta como un instrumento de incalculable valor para los avances en el sector de la salud, al mismo tiempo plantea nuevas interrogantes no sólo desde el punto de vista médico, sino también jurídico, relacionadas con su propiedad, titularidad y acceso a la información personal en él contenida, así como la protección de los datos sensibles relativos al paciente, situación que en ocasiones resulta compleja ante la enorme cantidad de información que dicho sector genera y las distintas hipótesis en cuanto a su acceso y protección.

Introducción:

En el presente artículo una vez que se hace referencia al impacto que las TIC han tenido en el ámbito de la salud, se analiza el contenido mínimo que la normativa en la materia prevé para la correcta integración del expediente clínico. Lo anterior da cabida a plantear los retos que en el tema de acceso y protección de los datos personales del paciente genera el tránsito hacia la integración del expediente clínico electrónico en el sector público de la salud, tomando en cuenta que cualquier tratamiento de datos personales, debe sujetarse al régimen de principios, deberes y derechos en materia de protección de datos personales, salvo los casos de excepción previstos en las leyes de la materia.

Método:

El método empleado es de tipo analítico, para la descomposición de los elementos, observación de las causas, naturaleza y efectos de la implementación del marco jurídico que regula el expediente clínico electrónico en México. En particular, el análisis toma como punto de referencia la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados (LGPDPPSO), que establece las bases, principios y procedimientos para garantizar el derecho que tiene toda persona a la protección de sus datos personales, en posesión de sujetos obligados; y la NOM-004-SSA3-2012, del expediente clínico, que establece los criterios científicos, éticos, tecnológicos y administrativos obligatorios en la elaboración, integración, uso, manejo, archivo, conservación, propiedad, titularidad y confidencialidad del expediente clínico.

Resultados:

El derecho de acceso al expediente clínico es fundamental para que los pacientes cuenten con herramientas para decidir de la manera más adecuada sobre su salud, pero también para que las instituciones que forman parte del Sistema Nacional de Salud, como responsables del tratamiento y resguardo de la información personal del paciente, proporcionen una atención médica más adecuada y de calidad, evitando que los datos se dispersen. En ese sentido, el expediente clínico permite garantizar el ejercicio no solo del derecho a la salud de los pacientes, sino también el de la protección de sus datos personales que son tratados por el personal médico y administrativo que labora en una institución de salud; por lo que su adecuada integración, de conformidad con la legislación que lo regula y, en particular, con la NOM-004-SSA3-2012, del expediente clínico, otorga beneficios tanto al paciente, como al prestador de servicios en cualquier institución médica.

Discusión o Conclusión:

La actuación proactiva por parte de las instituciones que integran el Sistema Nacional de Salud, debe contribuir a brindar certeza y seguridad en un marco estricto de gobernanza de datos, conforme a las siguientes recomendaciones: a) Establecer una adecuada estructura de gobernanza en cuanto a la protección de los datos personales de los pacientes. Se trata de asignar áreas y personal encargado de la protección de la información de los pacientes, responsabilidades y procedimientos en cada una; b) Mantener un inventario en bases de datos que permita clasificar los datos personales de los pacientes por tipo, diferenciando entre los personales en general y los de carácter sensible, generando en su caso procedimientos de disociación mediante el cual los datos personales no pueden asociarse al titular ni permitir, por su estructura, contenido o grado de desagregación, la identificación del mismo; c) Establecer una política de protección de datos personales al interior de las instituciones de salud, de conformidad con el marco jurídico de protección vigente y aplicable; d) Capacitar continuamente al personal de las instituciones de salud en materia de protección de datos con contenidos específicos para el personal médico y administrativo involucrado; e) Implementar las medidas de seguridad técnicas, físicas y administrativas para garantizar la confidencialidad, integridad y disponibilidad de los datos personales del paciente; y f) Poner a disposición de los pacientes avisos de privacidad que sean consistentes con la política de protección de datos y el marco jurídico vigente y aplicable.

Palabras clave: datos personales; derechos ARCO; expediente clínico; paciente; salud; tratamiento; tecnologías; información; comunicación; seguridad

Abstract:

Until a few years ago, the clinical record was exclusively integrated as a record that was in physical format. However, with the intervention of technological advances, it has evolved towards the integration of the electronic clinical record by various health institutions in Mexico, which have opted for the application of information and communication technologies (ICT) to facilitate the organization of clinical information and health care of higher quality and more focused on the patient. In this regard, although the electronic clinical record is presented as an invaluable instrument for advances in the health sector, at the same time it raises new questions not only from the medical, but also legal point of view, related to its ownership and access to the personal information it contains, as well as the protection of sensitive data related to the patient, a situation that is sometimes complex due to the large amount of information that said sector generates and the different hypotheses regarding its access and protection.

Introduction:

In this article, once we referred to the impact that ICTs have had in the field of health, we analyze the minimum content that the legislation on the subject provides for the correct integration of the clinical record. The foregoing gives rise to posing the challenges that in the issue of access and protection of the patient's personal data generates the transit towards the integration of the electronic clinical record in the public health sector, taking into account that any treatment of personal data, must be subject to the regime of principles, duties and rights in the matter of personal data protection, except in the cases provided for in the laws of the matter.

Method:

The method used is of an analytical type, for the decomposition of the elements, observation of the causes, nature and effects of the implementation of the legal framework that regulates the electronic clinical record in Mexico. In particular, the analysis takes as a point of reference the General Law of Protection of Personal Data in Possession of Obligatory Subjects (LGPDPPSO), which establishes the bases, principles and procedures to guarantee the right of everyone to the protection of their personal data , in possession of obligated subjects; and the NOM-004-SSA3-2012, of the clinical record, which establishes the mandatory scientific, ethical, technological, and administrative criteria in the preparation, integration, use, management, filing, conservation, ownership, and confidentiality of the clinical record.

Results:

The right of access to the clinical record is essential so that patients have tools to decide in the most appropriate way about their health, but also so that the institutions that are part of the National Health System, as responsible for the treatment and protection of the patient's personal information, provide more appropriate and quality medical care, preventing data from being dispersed. In this sense, the clinical record guarantees the exercise not only of the right to health of patients, but also that of the protection of their personal data that is processed by medical and administrative personnel who work in a health institution; so its proper integration, in accordance with the legislation that regulates it and, in particular, with NOM-004-SSA3-2012, of the clinical record, grants benefits to both the patient and the service provider in any medical institution.

Discussion or Conclusion:

The proactive action of the institutions that are part of the National Health System must contribute to providing certainty and security within a strict framework of data governance, in accordance with the following recommendations: a) Establish an adequate governance structure regarding the protection of personal data of patients. It is about assigning areas and personnel responsible for the protection of patient information, responsibilities and procedures in each one; b) Maintain an inventory in databases that allows classifying the personal data of patients by type, differentiating between personal data in general and those of a sensitive nature, generating, where appropriate, dissociation procedures through which personal data cannot be associated with the holder or allow, due to its structure, content or degree of disaggregation, its identification; c) Establish a personal data protection policy within health institutions, in accordance with the current and applicable legal framework for protection; d) Continuously train the staff of health institutions in data protection with specific content for the medical and administrative staff involved; e) Implement technical, physical and administrative security measures to guarantee the confidentiality, integrity and availability of the patient's personal data; and f) Make privacy notices available to patients that are consistent with the data protection policy and the current and applicable legal framework.

Keywords: personal data; ARCO rights; clinical record; patient; health; treatment; information; communication; technologies; safety

Introducción

En las últimas décadas la irrupción de las TIC y la informatización de los procesos de la vida cotidiana han impactado distintos sectores, tanto públicos como privados, provocando que organizaciones y dependencias de diversa naturaleza hayan acumulado gran cantidad de información. Si bien este fenómeno está permeando distintos ámbitos al interior de las ciudades, la incidencia de las TIC en el sector de la salud resulta particularmente relevante.

La salud es uno de los sectores más intensivos en el uso de información que ha facilitado el acceso a profesionales y ciudadanos, ya sea como pacientes o usuarios, a herramientas enfocadas en dar respuesta en áreas como la planificación, gestión, investigación, prevención, promoción, diagnóstico o tratamiento en un entorno de colaboración entre todos los agentes involucrados en la atención del paciente.

Al respecto, uno de los principales retos que enfrentan las metrópolis inteligentes es lograr entornos sostenibles, al tiempo que se mejora la calidad de vida y la integración de los ciudadanos y su participación en los diferentes niveles de gobierno. El concepto de smart city apunta a una metrópoli cuya infraestructura se retroalimenta de la información que capta a través de redes de sensores cuyos parámetros son procesados de forma integrada por medio algoritmos complejos. Más allá de la informatización y aplicación de tecnologías, la mejora de la calidad de vida de la ciudadanía es uno de los pilares en los que se sustenta la smart city. Cuando se hace referencia a este concepto de ciudades pensamos en un entorno urbano interconectado que sepa responder a las necesidades de sus ciudadanos.

La convergencia de actores y sistemas con los dispositivos electrónicos orientados a la salud, abre paso a un nuevo concepto, el de smart health, que surge en forma transversal al concepto de smart city e implica una nueva forma de gestión y un estilo de gobernanza diferente en el que la información se obtiene y se comparte de manera abierta (open data) y empleando toda la potencialidad de las TIC (Ramos y Jiménez, 2015, 186).

La adopción y disponibilidad de estas tecnologías en el sector sanitario puede estar vinculada tanto a la prescripción electrónica asistida como a la portabilidad y accesibilidad a los datos médicos a través del expediente clínico electrónico, así como a las medidas de carácter técnico que garanticen la protección de la información personal de los ciudadanos contenida en el mismo. En este instrumento que surge de la relación médico-paciente, no sólo constan los registros de las características técnicas esenciales para el estudio racional de los problemas de salud del paciente, que abarca acciones preventivas, curativas y rehabilitadoras (Mureddu, 2017, 19), también datos personales (“cualquier información concerniente a una persona física identificada o identificable. Se considera que una persona es identificable cuando su identidad pueda determinarse directa o indirectamente a través de cualquier información”, artículo 3°, fracción IX de la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados-LGPDPPSO) de carácter sensible, cuya utilización indebida puede dar origen a discriminación o conllevar un riesgo grave para éste.

Antecedentes del expediente clínico

La utilidad de llevar un registro preciso del proceso de atención al paciente ha hecho posible el desarrollo de la medicina a través de distintas etapas de la historia humana. En Egipto, los papiros de Ramesseum, Kahoune e Imhotep dan testimonio de diversos registros de actividad médica relacionados con tipos de enfermedades, diagnosis y remedios a aplicar (Ledermann, 2016, 681). Los casos médicos de la antigua China documentados en los “Registros Médicos de Shishan” desde la dinastía Han Occidental (206-208 d.C.) contenían el nombre, sexo, edad, condición social, causa de enfermedad, síntomas, diagnóstico, prescripción, etcétera (Grant, 1998, 38).

El registro clínico visto como documento básico del acto médico es mencionado en la cultura griega del siglo V a.C. frente a la necesidad intelectual de consignar por escrito, con precisión y orden, la experiencia médica ante la individual enfermedad de algunos de sus pacientes, y ese empeño quedó documentado en los libros I y III de las Epidemias hipocráticas (Lain, 1950, 35).

En la medicina árabe del año 915 de nuestra era se atribuye la elaboración de 33 historias clínicas al médico persa Al-Razi. Mientras que entre los siglos XVII y XVIII la escuela de Viena destaca la utilidad de recopilar observaciones durante el proceso de atención médica (Barba, 2018, 107).

Hasta principios del siglo XIX, la historia clínica fue el producto de la percepción sensorial del médico, se describió lo visible, lo que el paciente relataba y lo que podía observarse en la necropsia, mientras que para la década de 1830 a 1840, se produjo un hecho de gran importancia con la aparición del análisis clínico en laboratorio, que permitió cuantificar la glucosa y urea en sangre y mediante el microscopio se pudieron conocer las variaciones de los glóbulos; los aparatos de registro gráfico comenzaron a usarse en clínica, así apareció el esfigmograma, antecesor del electrocardiograma (Somolinos, 1980).

Ya para la segunda mitad del siglo XX el expediente clínico se convirtió en el vínculo directo de la relación médico-paciente, pues además de los datos clínicos relacionados con su proceso evolutivo, tratamiento y recuperación, dicho documento no se limita a contener una simple narración de hechos, sino que incluye un registro ordenado y detallado que recopila cronológicamente todos los aspectos relativos a la salud del paciente y su familia durante su vida, sirviendo de base para conocer sus condiciones, los actos médicos y demás procedimientos practicados por el equipo de salud que interviene a lo largo del proceso asistencial.

En el año de 1968 el Dr. Lawrence L. Weed elaboró el modelo de expediente clínico orientado por problemas y destacó la importancia de que los médicos utilizaran herramientas informáticas para mejorar el contenido del historial médico de los pacientes (Merino, 2016, 187). El 6 de febrero de 1973, la Asamblea de Representantes de la Asociación Americana de Hospitales aprobó la “Declaración de Derechos del Paciente”, que establece el derecho del paciente de acceder a toda la información relacionada con su padecimiento, en los siguientes términos:

El paciente tiene derecho a obtener de su médico toda la información disponible relacionada con su diagnóstico, tratamiento y pronóstico, en términos razonablemente comprensibles para él. Cuando médicamente, no sea aconsejable comunicar esos datos al paciente, habrá de suministrarlos a una persona que lo represente.

En México, con la fundación de los grandes centros e institutos de atención médica y hospitalaria comenzó a instrumentarse en forma sistemática el expediente clínico en los distintos actos de la atención médica. Es así que en 1986 aparece la primera Norma Técnica número 52: para la elaboración, integración y uso del expediente clínico, que estuvo vigente hasta el año de 1993 tras la publicación de la Ley Federal sobre Metrología y Normalización (LFMN), que sustituyó a las Normas Técnicas por las Normas Oficinales Mexicanas (“regulación técnica de observancia obligatoria expedida por las dependencias competentes, conforme a las finalidades establecidas en el artículo 40, que establece reglas, especificaciones, atributos, directrices, características o prescripciones aplicables a un producto, proceso, instalación, sistema, actividad, servicio o método de producción u operación, así como aquellas relativas a terminología, simbología, embalaje, marcado o etiquetado y las que se refieran a su cumplimiento o aplicación”, artículo 3, fracción IX de la LFMN).

En ese contexto, el 7 de diciembre de 1998, se publicó en el Diario Oficial de la Federación (D.O.F.) el proyecto de Norma Oficial Mexicana NOM-168-SSA1-1998, del Expediente Clínico, con el objetivo de establecer los criterios científicos, tecnológicos y administrativos obligatorios para los prestadores de servicios de atención médica de los sectores público, social y privado, incluidos los consultorios, en la elaboración, integración, uso y archivo del expediente clínico.

Esta NOM quedó sin efectos con la publicación de la NOM-004-SSA3-2012, del expediente clínico, cuyo objetivo es establecer los criterios científicos, éticos, tecnológicos y administrativos obligatorios en la elaboración, integración, uso, manejo, archivo, conservación, propiedad, titularidad y confidencialidad del mismo. Por otro lado, se expidieron la NOM-024-SSA3-2012, sistemas de información de registro electrónico para la salud. Intercambio de información en salud y la NOM-035-SSA3-2012, en materia de información en salud.

En la actualidad, de acuerdo con lo establecido por el artículo 5º, de la Ley General de Salud, “el Sistema Nacional de Salud está constituido por las dependencias y entidades de la Administración Pública, tanto federal como local, y las personas físicas o morales de los sectores social y privado, que presten servicios de salud (…)”, para quienes resulta obligatoria la aplicación de las NOM referidas, que en conjunto establecen lo relativo a la obtención, tratamiento, transmisión y protección de los datos personales en salud, así como los lineamientos para la generación de información con fines estadísticos y las medidas de seguridad para la custodia del expediente clínico.

Concepto de expediente clínico

El Manual del Expediente Clínico Electrónico (2011, 11) lo define como: “el conjunto de información ordenada y detallada que recopila cronológicamente todos los aspectos relativos a la salud de un paciente y a la de su familia en un periodo determinado de su vida; representa una base para conocer las condiciones de salud, los actos médicos y los diferentes procedimientos ejecutados por el equipo médico a lo largo de un proceso asistencial”.

Por su parte, la NOM-004-SSA3-2012, del expediente clínico, lo define como: “el conjunto único de información y datos personales de un paciente, que se integra dentro de todo tipo de establecimiento para la atención médica, ya sea público, social o privado, el cual, consta de documentos escritos, gráficos, imagenológicos, electrónicos, magnéticos, electromagnéticos, ópticos, magneto-ópticos y de cualquier otra índole, en los cuales, el personal de salud deberá hacer los registros, anotaciones, en su caso, constancias y certificaciones correspondientes a su intervención en la atención médica del paciente, con apego a las disposiciones jurídicas aplicables”.

Como se desprende de las anteriores definiciones, el expediente clínico integra toda la información relativa a la evolución del paciente, su enfermedad, su mejoría, su recaída o bien su cura. Al registrar información sobre los exámenes practicados y las anotaciones de los miembros del equipo de salud que participan en el proceso de atención médica, es importante su correcta integración, manejo y custodia, pues al referirse a una parte fundamental de la historia del paciente, puede trascender para el tratamiento de casos futuros y para un mejor servicio de salud en general (Mureddu, 2017, 70 y 71), además, contiene información relativa a su esfera más íntima y sensible, cuya divulgación indebida puede colocarlo en un escenario de vulnerabilidad. Por lo que la propia NOM-004 establece su uso obligatorio para el personal del área de la salud y los establecimientos prestadores de servicios de atención médica de los sectores público, social y privado.

Al respecto, conviene resaltar que si bien en principio el expediente clínico deriva del vínculo directo que surge entre médico-paciente, a través del proceso asistencial, existen otros agentes cuya intervención también se refleja en la elaboración, integración, manejo, conservación y custodia del expediente clínico. En ese sentido, en cualquier proceso de atención médica, que por lo general comienza con una consulta al médico general o especialista, y que continúa con la práctica de estudios de laboratorio que interpreta el médico o personal especializado dependiendo de la gravedad del padecimiento, pudiendo llegar a una hospitalización con tratamientos de índole preventivo, paliativo, curativo, o bien deambulatorio (Kurczyn, 2019, 898), resulta exigible el cumplimiento de sus funciones conforme a los principios de calidad, responsabilidad y confidencialidad de la información del paciente, que establece la NOM-004-SSA3-2012.

Con apego a lo anterior, el expediente clínico constituye el documento base que proporciona al médico los elementos necesarios para realizar un diagnóstico y tratamiento; aunque también puede ser útil como documento legal en el que se evidencia el proceso de actuación del profesional de la salud y como prueba documental ante un reclamo por parte del paciente en cuanto al proceso de atención recibida por el médico. En tanto al paciente le significa confianza en la institución y prueba de que se le proporcionó la atención y de que su información personal obra en dicho documento al que puede tener acceso. Asimismo, las instituciones del sector de la salud se sirven de él para proporcionar datos sobre morbilidad, para implementar un sistema de vigilancia epidemiológica y como apoyo de la planeación estratégica. Es por ello que el expediente clínico es un instrumento que reúne al menos tres finalidades básicas: la clínica, la jurídica y la estadística (Barba, 2018, 108).

En efecto, el expediente clínico como herramienta del quehacer médico y del proceso de atención del paciente cobra especial relevancia, puesto que recoge aspectos de la vida de las personas que hacen referencia a su estado de salud, elementos que constituyen una parte sustancial de su intimidad. Aunado a lo anterior, a través del expediente clínico se puede revisar el actuar y proceder del médico y constatar si se ha garantizado el derecho a la salud del paciente, con independencia del soporte -físico o electrónico- en que se haya conformado (Cantoral, 2012, 117).

De esta forma, con la emergencia de las TIC el concepto de expediente clínico ha evolucionado hacia la conformación de un sistema informático que almacena los datos del paciente en formato digital permitiendo su accesibilidad por una multiplicidad de usuarios. Esta denominación relativa al expediente clínico electrónico, se refiere a la forma de manejo de la información médica a través de impulsos electromagnéticos, con el concurso de computadoras y programas de cómputo, considerando que la informática es una técnica que por medio de sistemas electrónicos y programas computacionales permiten un manejo más eficiente de la información cumpliendo con las condiciones ideales para el manejo documental y asistencial de los expedientes clínicos (Secretaría de Salud, 2011, 6).

Contenido del expediente clínico

Como se ha enfatizado, el expediente clínico es una herramienta fundamental para el ejercicio del derecho a la protección de la salud de toda persona, previsto en el artículo cuarto de la Constitución Política de los Estados Unidos Mexicanos (CPEUM), que establece las bases y modalidades para el acceso a los servicios de salud y la concurrencia de la Federación y las entidades federativas en materia de salubridad general, conforme a lo que dispone la fracción XVI del artículo 73 de ése ordenamiento fundamental.

Dicha herramienta refleja las diversas intervenciones del personal del área de la salud y su capacidad de respuesta, así como el estado de salud del paciente; además de incluir en su caso, información acerca del bienestar físico, mental y social del mismo. De ahí la importancia de contar con un expediente clínico correctamente integrado, ordenado, completo, legible y apegado a las disposiciones jurídicas aplicables (Vargas, 2015, 150).

En principio, nació con el objetivo de auxiliar al personal médico en el desempeño de sus labores cotidianas; sin embargo, al no existir algún lineamiento o control en la elaboración de los mismos, era recurrente que no se apegaran a los mínimos de calidad establecidos por la Organización Mundial de la Salud (OMS), específicamente:

  1. Que permitiera la identificación clara de la persona referida en el expediente.

  2. Que fuese legible e inteligible para las personas cualificadas que lo fueran a usar.

  3. Que fuera confiable, conciso y organizado para hacer más sencilla su credibilidad y comprensión.

  4. Que permitiera identificar a las personas que realizan anotaciones en la historia para reconocer su autoría y, en un momento determinado, poder delimitar responsabilidades en caso de ser necesario.

  5. Que fuera accesible (Mureddu, 2017, 75).

El establecimiento de éstos parámetros dio lugar a una actividad normalizadora que hiciera posible dejar constancia de la actuación del trabajador de la salud, a través de un documento que debe cumplir tanto con requisitos formales como de fondo de manera estandarizada, en los sectores público, social y privado que integran el Sistema Nacional de Salud.

En cuanto a los primeros se pueden señalar, a manera de ejemplo, los que establecen los numerales 5.11 de la NOM-004-SSA3-2012, del expediente clínico:

Las notas en el expediente deberán expresarse en lenguaje técnico-médico, sin abreviaturas, con letra legible, sin enmendaduras ni tachaduras y conservarse en buen estado.

En cuanto a los requisitos mínimos de fondo que debe contener el expediente clínico para garantizar un formato estandarizado de la información personal del paciente, podemos englobarlos en cinco rubros:

  1. Descripción del individuo: nombre, sexo, edad y domicilio del paciente y los demás que señalen las disposiciones sanitarias (numerales 5.2.3 y 5.2.4, respectivamente).

  2. Antecedentes remotos y próximos: grupo étnico, antecedentes heredo-familiares, antecedentes personales patológicos (incluido uso y dependencia del tabaco, del alcohol y de otras sustancias psicoactivas, de conformidad con lo establecido en la NOM-028-SSA2-2009, para la prevención, tratamiento y control de las adicciones) y no patológicos (numeral 6.1.1).

  3. Padecimiento actual: indagar acerca de tratamientos previos de tipo convencional, alternativos y tradicionales (numeral 6.1.1.).

  4. Evolución de la enfermedad: Evolución y actualización del cuadro clínico, signos vitales, resultados relevantes de los estudios de los servicios auxiliares de diagnóstico y tratamiento que hayan sido solicitados previamente, diagnósticos o problemas clínicos, pronóstico, tratamiento e indicaciones médicas; en el caso de medicamentos, señalando como mínimo la dosis, vía de administración y periodicidad (numerales 6.2.1 al 6.2.6).

  5. Inspección del cadáver: Causas de la muerte acorde a la información contenida en el certificado de defunción y, en su caso, si se solicitó y se llevó a cabo estudio de necropsia hospitalaria (numeral 8.9.11).

Asimismo, conforme a los numerales 6 al 10 de la NOM-004 de referencia, esta herramienta se integrará en un solo expediente por cada paciente, atendiendo a los servicios genéricos de consulta general, de especialidad, urgencias y hospitalización, en el que se harán constar todos y cada uno de los documentos generados por el personal que intervenga en su atención, entre los cuales señalamos, de manera enunciativa más no limitativa, a los siguientes:

  1. Del expediente clínico en consulta general y de especialidad (numeral 6): Historia Clínica, nota de evolución; nota de interconsulta y nota de referencia/traslado.

  2. De las notas médicas en urgencias (numeral 7): Inicial; nota de evolución y de referencia/traslado.

  3. De las notas médicas en hospitalización (numeral 8): De ingreso; historia clínica; nota de evolución; nota de referencia/traslado; nota preoperatoria; nota preanestésica, vigilancia y registro anestésico; nota postoperatoria y nota de egreso.

  4. De los reportes del personal profesional y técnico (numeral 9): Hoja de enfermería y de los servicios auxiliares de diagnóstico y tratamiento.

  5. Otros documentos (numeral 10): Cartas de consentimiento informado; hoja de egreso voluntario; hoja de notificación al Ministerio Público; reporte de causa de muerte sujeta a vigilancia epidemiológica; y notas de defunción y de muerte fetal.

El debido cumplimiento de los anteriores requisitos en la elaboración del expediente clínico pretende asegurar un documento medianamente estandarizado que permita registrar correctamente el estado de salud del paciente, los cuidados y tratamientos que recibió desde el momento de su ingreso a una institución médica hasta su egreso y, en su caso, pueda servir de evidencia legal que refleje la calidad de los servicios que le fueron brindados.

Régimen de principios, excepciones, deberes y derechos que rigen el tratamiento de los datos personales contenidos en el expediente clínico

El ejercicio de los derechos de acceso y protección de los datos personales en el sector público de la salud en México, está íntimamente relacionado con el documento toral de la atención médica, esto es, el expediente clínico. Independientemente del tipo de soporte en que se contenga la información del paciente, ya sea impreso, audiovisual o electrónico, su tratamiento por parte del responsable deberá apegarse a las disposiciones y principios establecidos en la legislación de la materia.

Al respecto, el tratamiento de los datos personales en nuestro país, se sistematiza a través de ocho principios; el ejercicio de cuatro derechos; y dos deberes, los cuales se traducen en obligaciones para los responsables del tratamiento, es decir, para quienes efectúan cualquier operación o conjunto de operaciones “mediante procedimientos manuales o automatizados aplicados a los datos personales, relacionadas con la obtención, uso, registro, organización, conservación, elaboración, utilización, comunicación, difusión, almacenamiento, posesión, acceso, manejo, aprovechamiento, divulgación, transferencia o disposición de datos personales” (artículo 3, fracciones XXXIII y XVIII de la LGPDPPSO y de la LFPDPPP, respectivamente), que obren en soportes físicos o electrónicos, esto es, con independencia de la forma o modalidad de su creación, tipo de soporte, procesamiento, almacenamiento y organización (artículo 4 de la LGPDPPSO).

Los artículos 16 al 30 de la LGPDPPSO, 6 a 21 de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP), así como 7 al 26 de los Lineamientos Generales de Protección de Datos Personales para el Sector Público (LGPDPSP), establecen los ocho principios rectores que deberán observar los responsables en el tratamiento de los datos personales (existen documentos adicionales que complementan la legislación en la materia, tales como la Guía para cumplir con los principios y deberes de la LFPDPPP y los Lineamientos del aviso de privacidad, entre otros), según se refiere a continuación:

  1. Calidad: Adoptar las medidas necesarias para mantener exactos, completos, correctos y actualizados los datos personales en su posesión, a fin de que no se altere su veracidad.

  2. Consentimiento: Contar con la autorización del titular para el tratamiento de sus datos personales, salvo los casos de excepción previstos en la ley. El consentimiento deberá ser libre, específico e informado.

  3. Finalidad: Limitar el tratamiento de datos personales a las finalidades concretas, lícitas, explícitas y legítimas informadas en el aviso de privacidad.

  4. Información: Informar al titular, a través del aviso de privacidad, la existencia y características principales del tratamiento al que serán sometidos sus datos personales, a fin de que pueda tomar decisiones informadas al respecto.

  5. Lealtad: El responsable no deberá obtener y tratar datos personales a través de medios engañosos o fraudulentos y ha de privilegiar la protección de los intereses del titular y la expectativa razonable de privacidad.

  6. Licitud: El tratamiento de datos personales por parte del responsable deberá sujetarse a las facultades o atribuciones que la normatividad aplicable y vigente le confiera.

  7. Proporcionalidad: Tratar únicamente los datos personales que resulten adecuados, relevantes y estrictamente necesarios para la finalidad que justifica su tratamiento.

  8. Responsabilidad: Implementar los mecanismos necesarios para acreditar el cumplimiento de los principios, deberes y obligaciones establecidos en la legislación en la materia y rendir cuentas sobre el tratamiento de datos personales en su posesión al titular y a los organismos garantes.

Con relación al principio de consentimiento es importante mencionar que tratándose de datos personales sensibles (como los relativos al estado de salud del paciente contenidos en el expediente clínico), el responsable deberá obtener el consentimiento expreso y por escrito del titular para su tratamiento, a través de su firma autógrafa, firma electrónica o cualquier mecanismo de autenticación que al efecto se establezca (artículo 21, párrafo cuarto de la LGPDPPSO), salvo en los casos de excepción previstos en la Ley.

En ese sentido, los artículos 22 de la LGPDPPSO y 10 de la LFPDPPP, prevén los supuestos de excepción en los que el responsable no estará obligado a recabar el consentimiento del titular para efectuar el tratamiento de sus datos personales, estableciendo que cuando los datos sean indispensables para la atención médica, la prevención, diagnóstico, la prestación de asistencia sanitaria, tratamientos médicos o la gestión de servicios sanitarios, no será necesario otorgar el consentimiento mientras el titular no esté en condiciones de hacerlo, y siempre que el tratamiento de datos se realice por una persona sujeta al secreto profesional u obligación equivalente.

Acorde con lo anterior, la NOM-004-SSA3-2012 del expediente clínico, reconoce al paciente la titularidad de los datos que proporciona al personal del área de la salud en las acciones de diagnóstico, tratamiento y rehabilitación, que se registran e incorporan en el expediente clínico a través de la formulación de notas médicas y otras de carácter diverso con motivo de la atención médica; por lo que de igual manera, concede la protección de los datos personales y les otorga el carácter de confidenciales.

Con relación a los deberes en materia de protección de datos personales, tanto la LGPDPPSO como la LFPDPPP, establecen en esencia las obligaciones para el responsable respecto de adoptar las medidas necesarias para mantener exactos, completos, correctos y actualizados los datos personales en su posesión, a fin de que no se altere su veracidad, así como las medidas de seguridad que permitan proteger los datos personales contra daño, pérdida, alteración o destrucción; uso, acceso o tratamiento no autorizados; así como aquellas que garanticen su confidencialidad, integridad y disponibilidad. Al respecto, disponen tres tipos de medidas de seguridad que el responsable deberá observar, para garantizar la adecuada protección de los datos personales:

  1. Administrativas: Comprenden las políticas y procedimientos para la gestión, soporte y revisión de la seguridad de la información a nivel organizacional, la identificación, clasificación y borrado seguro de la información, así como la sensibilización, formación y capacitación del personal, en materia de protección de los datos personales.

  2. Físicas: Se refieren al conjunto de acciones y mecanismos para proteger el entorno físico de los datos personales y de los recursos involucrados en su tratamiento.

  3. Técnicas: Se trata del conjunto de acciones y mecanismos que se valen de la tecnología relacionada con hardware y software para proteger el entorno digital de los datos personales y recursos involucrados en su tratamiento.

Se debe tomar en cuenta que aún con la implementación de éstas medidas, existe la posibilidad de que pueda ocurrir un evento de vulneración a la seguridad de los datos personales de los pacientes en cualquier fase del tratamiento, la cual tendría lugar cuando, intencionada o no intencionadamente, se liberaran datos personales en un ambiente no confiable, pudiendo generar una afectación a sus derechos derivada de la pérdida o destrucción no autorizada; el robo, extravío o copia no autorizada; el uso, acceso o tratamiento no autorizado; o bien, el daño, alteración o modificación no autorizada de su información contenida en el expediente clínico.

Ante tal escenario, tanto la LGPDPPSO como la LFPDPPP establecen que en caso de que ocurra una vulneración a la seguridad de los datos personales, que afecte de forma significativa los derechos personales y patrimoniales de los titulares, el responsable está obligado a hacerles saber tal situación sin dilación alguna, al igual que al organismo garante, a fin de que puedan tomar las medidas correspondientes para la defensa de sus derechos. En concreto, el responsable deberá informar: la naturaleza del incidente; los datos personales comprometidos; las recomendaciones al titular acerca de las medidas que éste pueda adoptar para proteger sus intereses; las acciones correctivas realizadas de forma inmediata; y los medios donde puede obtener más información al respecto. Mediante éstas acciones, la legislación pretende garantizar la adecuada protección de los datos personales de los titulares en todas sus fases del tratamiento.

Por lo que respecta a los mecanismos de tutela que la legislación en la materia establece en favor de los titulares sobre sus datos personales, encontramos los llamados derechos ARCO. Al respecto, el artículo 16 constitucional en su segundo párrafo, dispone: “Toda persona tiene derecho a la protección de sus datos personales, al acceso, rectificación y cancelación de estos, así como a manifestar su oposición, en los términos que fije la ley, la cual establecerá los supuestos de excepción a los principios que rijan el tratamiento de datos, por razones de seguridad nacional, disposiciones de orden público, seguridad y salud públicas o para proteger los derechos de terceros”.

En el caso del tratamiento de datos que se lleva a cabo en el sector público de la salud, el paciente, como titular de los datos personales contenidos en su expediente clínico, tiene derecho a obtener de la institución médica toda la información disponible relacionada con su diagnóstico, tratamiento y pronóstico, a través del ejercicio de los siguientes derechos:

  1. Acceso: El paciente tiene el derecho de acceder a sus datos personales que obren en las bases de datos, sistemas, archivos, registros o expedientes de las instituciones que los utilicen para brindar servicios de atención, diagnóstico y seguimiento de su estado de salud, así como a conocer la información relacionada con las condiciones y generalidades de su tratamiento, por ejemplo, acceder a su expediente clínico. Conforme a la LGPDPPSO, el titular deberá señalar en su solicitud la modalidad en la que prefiere que sus datos se reproduzcan, debiendo ser atendida por el responsable, salvo que exista alguna imposibilidad física o jurídica, en cuyo caso deberá motivar tal decisión y notificársela.

  2. Rectificación: El paciente puede solicitar al responsable la corrección de sus datos personales, cuando sean inexactos, incompletos o no se encuentren actualizados. Lo anterior implica el requerir a la institución médica que posea o utilice sus datos personales con la finalidad de brindarle el servicio relacionado con el diagnóstico, atención o seguimiento de su padecimiento, que corrija, por ejemplo, algún error o imprecisión en su nombre, edad, domicilio, o incluso, antecedentes heredofamiliares patológicos incompletos.

  3. Cancelación: El paciente tiene la facultad de solicitar la cancelación de sus datos personales de los archivos, registros, expedientes, bases de datos y sistemas de las instituciones públicas de salud que administren, posean o hagan uso de sus datos personales para la prestación de servicios de diagnóstico, atención o seguimiento de su padecimiento médico, a fin de que los mismos ya no estén en su posesión y cesen su tratamiento.

  4. Oposición: Con el propósito de evitar un daño a su persona, o en su caso, sino estuviera de acuerdo con que su información sea utilizada para determinados fines, el paciente puede ejercer éste derecho aclarando a la institución de salud las finalidades a las que se opone relacionadas con la atención de su padecimiento. Para ello, la LGPDPPSO dispone que el titular deberá manifestar las causas legítimas o la situación específica que lo llevan a solicitar el cese en el tratamiento, así como el daño o perjuicio que le causaría la persistencia del mismo, o bien, las finalidades específicas respecto de las cuales requiere ejercer éste derecho de oposición.

Un aspecto importante a considerar con relación al ejercicio del derecho de acceso al expediente clínico, es que si bien la NOM-004-SSA3-2012, en el numeral 5.4 dispone que los expedientes clínicos son propiedad de la institución o del prestador de servicios médicos que los genera, aunado a que el numeral 5.6 sólo contempla la posibilidad de que los profesionales de la salud proporcionen información verbal, o en su caso, un resumen clínico u otras constancias del expediente clínico, conviene hacer hincapié en que la titularidad de los datos personales contenidos en el mismo, es del paciente y no de los hospitales, médicos o profesionales de la salud; por lo que puede solicitar la expedición de una copia íntegra de su expediente clínico, en virtud de que se trata de información indispensable para el ejercicio pleno del derecho a su salud; y por ello, será suficiente con que manifieste su deseo de hacer efectivo ese derecho de acceso, para que se haga efectiva la obligación de la institución de salud para otorgárselo.

En ese sentido, conviene mencionar lo sostenido por la Segunda Sala de la Suprema Corte de Justicia de la Nación (SCJN) en el amparo en revisión 632/2014, en el que señala que los numerales 5.4 a 5.7 de la NOM-004 deben interpretarse en un sentido amplio, de forma que la persona usuaria tenga la posibilidad de allegarse, cuando así lo solicite, de “cualquier constancia que obre dentro de su expediente clínico, incluso de que éste sea proporcionado en su integridad”. También conviene citar el Criterio 4/09 del entonces Instituto Federal de Acceso a la Información Pública (IFAI) “Expediente clínico. Por regla general su confidencialidad no es oponible al titular de los datos personales o a su representante legal”; al igual que la resolución INAI/317/17 “La titularidad de los datos personales contenidos en expediente clínico, es del paciente y no de hospitales o médicos” emitida por el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI), el cual es el organismo garante de la Federación en materia de protección de datos personales en posesión de los sujetos obligados.

También se debe precisar que para solicitar alguno de éstos derechos ARCO ante los sujetos obligados que forman parte del sector público de la salud, no es necesario que el paciente haya ejercido de manera previa otro, tampoco el que haya ejercido alguno de ellos puede ser un obstáculo para que posteriormente haga valer uno distinto, por ejemplo, un paciente puede solicitar a la institución de salud que le prestó los servicios de diagnóstico, atención o seguimiento de su padecimiento médico, la cancelación de sus datos personales de los archivos que administre, sin que previamente haya accedido a ellos.

Por otro lado, los mecanismos, medios y procedimientos para la presentación de solicitudes de derechos ARCO, deberán estar indicados claramente en el Aviso de Privacidad, documento que el responsable está obligado a poner a disposición del titular desde el momento en el cual recaba sus datos personales, con el objeto de informarle los propósitos del tratamiento de los mismos. Éste deberá contener, además, la siguiente información: el domicilio del responsable; los datos personales que serán sometidos a tratamiento, identificando aquéllos que son sensibles; el fundamento legal que faculta al responsable para llevar a cabo el tratamiento; las finalidades del tratamiento de los datos personales, distinguiendo aquéllas que requieren el consentimiento del titular; el domicilio de la Unidad de Transparencia, y los medios a través de los cuales el responsable comunicará a los titulares los cambios al aviso de privacidad (artículo 28 de la LGPDPPSO).

Asimismo, en virtud de tratarse del ejercicio de un derecho personalísimo, es necesario que el titular, o bien, su representante, acredite su identidad y personalidad; no obstante, la LGPDPPSO contempla distintos supuestos en los que los derechos ARCO pueden ser ejercidos excepcionalmente por persona distinta a aquéllos, como es el caso de menores de edad o de personas que se encuentren en estado de interdicción o incapacidad y tratándose de datos personales de personas fallecidas; la persona que acredite tener interés jurídico podrá ejercer éstos derechos, siempre que el titular de los mismos hubiere expresado fehacientemente su voluntad en tal sentido o que exista un mandato judicial para dicho efecto. De igual manera, el ejercicio de los derechos ARCO es gratuito, y únicamente podrán efectuarse cobros por concepto de reproducción, certificación o envío de información; no obstante, si el titular provee el medio necesario a través del cual se puedan reproducir los datos, deberán ser proporcionados sin costo; por ejemplo, si el paciente solicita el acceso a su expediente clínico electrónico, mismo que consta en las bases de datos de la institución de salud que le brindó el tratamiento, proporcionando una memoria USB para su reproducción, el acceso a su expediente clínico será completamente gratuito.

En virtud de que se garantiza al paciente el ejercicio de sus derechos ARCO, así como la seguridad, conservación y recuperación de su información, las instituciones de salud, como responsables del tratamiento de los datos personales contenidos en el expediente clínico, tienen la obligación de proteger el derecho a su intimidad y el cuidado de sus datos personales sensibles relacionados con su estado de salud, apegándose en todo momento a los principios y deberes que rigen su tratamiento, asegurando los elementos, diagnósticos y evolución y, al mismo tiempo, garantizando los derechos del paciente relativos a su salud, dignidad e identidad.

Tratamiento y protección de los datos personales contenidos en el expediente clínico por parte de las instituciones del sector público de la salud

Como se ha referido, durante el proceso de atención médica pueden intervenir diversos profesionales de las instituciones que forman parte del sector público de salud, por lo que cada uno será responsable del uso que se le dé al expediente clínico durante el tiempo que permanezca bajo su custodia; y de asegurar la adecuada conservación de la información contenida en él, sin que sea susceptible de alteraciones o manipulaciones por parte de terceras personas ajenas al proceso de atención médica (Cantoral, 2012, 120).

Al respecto, cualquier persona que acude a solicitar consulta médica en alguno de los establecimientos que integran el Sistema Nacional de Salud, por lo general, tiene su primer contacto con el personal administrativo que valida que exista el paciente en sus bases de datos para asignar cita, o bien, procede al alta para poder asignarla, en cuyo caso, recaba entre otros, diversos datos personales del paciente, como nombre, fecha de nacimiento, domicilio, estado civil, Clave Única de Registro de Población (CURP), teléfono y número de seguridad social o de afiliación, etc.

Al momento de acudir a su primera cita médica, el paciente suele llenar un cuestionario en el que se recolectan datos personales adicionales, muchos de ellos de carácter sensible, como sus antecedentes médicos familiares, intervenciones quirúrgicas anteriores, padecimientos pasados y presentes, religión (en razón de las restricciones que en ocasiones se imponen respecto de transfusiones, injertos, trasplantes de órganos, etc.) y, a menudo, se recaban datos personales de terceras personas, como el nombre y teléfono de contacto del familiar o persona responsable del paciente.

Además, personal de enfermería toma los signos vitales, registra el peso y estatura del paciente para, posteriormente, referirlo con el médico de primer contacto, quien, una vez realizada la auscultación, valida si el paciente puede continuar siendo atendido por él, o bien, será referido a otra unidad médica o de laboratorio, clínica o centro de salud, para efectuar diversos estudios que permitan identificar y llevar a cabo el tratamiento más adecuado de acuerdo con el padecimiento. Una vez que en la primera consulta se abre el expediente clínico, el paciente también puede ser referido a trabajo social para que registre su nivel socioeconómico e ingresos.

Como se aprecia, el cúmulo de información personal del paciente, incluso la de carácter sensible que se recolecta, almacena y trata, aumenta en función del padecimiento y del personal, tanto médico como administrativo, con quien tiene contacto a lo largo del proceso de atención en la institución de salud. En todo caso, los datos personales, aún de carácter sensible, circulan entre varias personas dentro de un consultorio, clínica o institución de salud con independencia de su volumen o contenido.

Tomando en cuenta que la información pasa por hospitales, laboratorios, bancos de sangre y de trasplante de órganos, gabinetes de estudios, otros consultorios médicos y de análisis, farmacias y demás servicios, como puede ser el de enfermería especializada o individualizada. Por lo que, en conjunto, los datos personales que son tratados en este sector, se refieren a información de carácter sensible que revela el estado de salud presente, pasado o futuro de los pacientes, lo que exige mayor atención en su cuidado y protección, toda vez que se trata de la parte más íntima, sensitiva y vulnerable de una persona, cuya utilización indebida puede dar origen a discriminación o conllevar un riesgo grave para la misma. La vulnerabilidad en el manejo y custodia de los datos personales sensibles del paciente consiste justamente en el mayor grado de exposición o riesgo frente a terceros que puedan acceder a esa información indebidamente por distintas vías (Kurczyn, 2019, 903).

Por lo anterior, conviene puntualizar que cuando se hace referencia a datos personales que son tratados en el sector público de la salud, existe una amplia gama de posibilidades, pues éstos comprenden desde datos genéticos relacionados con las características heredadas o adquiridas de una persona física que proporcionan información única sobre su fisiología y estado de salud, de incapacidad, enfermedad, dopaje, consumo de alcohol o tabaco, los relativos a la sexualidad, e incluso estado psicológico y emocional; se incluyen también desde la receta o prescripción médica, hasta el expediente clínico u otros documentos sanitarios. Es evidente que los datos personales relativos a la salud forman parte de una categoría especial de datos personales sensibles, que por su naturaleza, deben estar sujetos a la implementación de mecanismos más adecuados para su tratamiento y protección, tales como medidas de seguridad de alto nivel y la solicitud del consentimiento expreso y por escrito de su titular para su tratamiento, salvo los casos de excepción previamente señalados, pues su utilización indebida, puede dar origen a discriminación o conllevar un riesgo grave para éste (Hernández, 2018, 89 a 91).

En este orden de ideas, la Ley General de Salud reconoce la protección de los datos personales del paciente en los artículos 103 Bis 3, respecto a la obligación de salvaguardar la confidencialidad de los datos genéticos de todo grupo o individuo; 161 Bis, en cuanto a la información del paciente diagnosticado con cáncer y 314 Bis 1, con relación a la donación y trasplante de órganos; aunque no precisa la forma en que deben tratarse éstos datos personales de carácter sensible. Adicionalmente, el artículo 51 Bis 2 del mismo ordenamiento, establece la obligación del prestador de servicios de salud de dejar constancia en el expediente clínico de la aplicación de los procedimientos diagnósticos y terapéuticos ofrecidos; en tanto que el artículo 77 bis 37, contenido dentro del Capítulo IX. Derechos y Obligaciones de los Beneficiarios, establece los siguientes derechos de los pacientes, como beneficiarios de los servicios de salud:

  • VII Contar con su expediente clínico;

  • VIII Decidir libremente sobre su atención;

  • IX Otorgar o no su consentimiento válidamente informado y a rechazar tratamientos o procedimientos;

  • X Ser tratado con confidencialidad;

  • XIII Recibir información sobre los procedimientos que rigen el funcionamiento de los establecimientos para el acceso y obtención de servicios de atención médica.

Por su parte, el 109 Bis dispone que la Secretaría de Salud debe emitir la normatividad a que deberán sujetarse los sistemas de información de registro electrónico que utilicen las instituciones del Sistema Nacional de Salud, a fin de garantizar la interoperabilidad, procesamiento, interpretación y seguridad de la información contenida en los expedientes clínicos electrónicos.

En ese contexto, con fecha 8 de septiembre de 2010, la Secretaría de Salud emitió la NOM-024-SSA3-2010, con el objeto de normalizar y homologar las funcionalidades que deberán observar los productos de Sistemas de Expediente Clínico Electrónico para garantizar la interoperabilidad, procesamiento, interpretación, confidencialidad, seguridad y uso de estándares y catálogos de la información de los registros electrónicos en salud. Esta NOM fue sustituida por la NOM-024-SSA3-2012, que se encuentra vigente en la actualidad, cuyo propósito es regular los Sistemas de Información de Registro Electrónico para la Salud, así como establecer los mecanismos para que los prestadores de servicios del Sistema Nacional de Salud registren, intercambien y consoliden información. Al respecto, en el numeral 3.21 hace referencia al expediente clínico electrónico como: “el conjunto de información almacenada en medios electrónicos centrada en el paciente que documenta la atención médica prestada por profesionales de la salud con arreglo a las disposiciones sanitarias, dentro de un establecimiento de salud. El sistema por el que se administra un Expediente Clínico Electrónico es un Sistema de Información de Registro Electrónico para la Salud”.

Por su parte, el numeral 3.49 de la NOM-024, establece que este sistema “permite capturar, manejar e intercambiar información estructurada e integrada, del expediente clínico, así como información geográfica, social, financiera, de infraestructura y de cualquier otra índole que documente la atención médica prestada a un solo individuo y/o la capacidad instalada de los establecimientos de salud. La información generada por estos, en conjunto con la información contenida en el Sistema Nacional de Información en Salud, se integran al Sistema Nacional de Información Básica en Materia de Salud”.

Con base en lo anterior, la NOM-024 señala la forma en que deberá construirse la plataforma en la que podrá funcionar el expediente clínico electrónico y ser utilizada por los médicos y prestadores de servicios de salud en general, para efecto de asegurar el intercambio de información entre los diversos operadores; sin embargo, no establece los requisitos de información que debe contener un expediente clínico, ya sea tradicional o electrónico. Por lo que esta NOM-024 no podría funcionar sin la NOM-004-SSA3-2012, que establece el contenido sustantivo del expediente clínico y la protección de la información personal del paciente que obra en el mismo.

Al respecto, el numeral 5.5 de la NOM-004 dispone que: “los datos personales contenidos en el expediente clínico, que posibiliten la identificación del paciente, en términos de los principios científicos y éticos que orientan la práctica médica, no deberán ser divulgados o dados a conocer”. Por lo que “la publicación o divulgación de datos personales contenidos en el expediente clínico, para fines de literatura médica, docencia, investigación o fotografías, que posibiliten la identificación del paciente, requiere de su autorización escrita y se adoptarán las medidas necesarias para que éste no pueda ser identificado”.

En el mismo sentido, el numeral 5.5.1, establece que los datos proporcionados al personal de salud, por el paciente o por terceros, mismos que, debido a que son datos personales son motivo de confidencialidad, en términos del secreto médico profesional y demás disposiciones jurídicas que resulten aplicables, sólo podrán ser proporcionados a terceros cuando medie la solicitud escrita del paciente, el tutor, representante legal o de un médico debidamente autorizado por el paciente, el tutor o representante legal. Esta NOM impone además la obligación a los establecimientos para la atención médica, de manejar la información contenida en el expediente clínico con discreción y confidencialidad, por todo el personal del establecimiento, atendiendo a los principios científicos y éticos que orientan la práctica médica.

Conclusiones

El uso y aplicación de las TIC en el sector público de la salud ha servido de soporte para que cada vez más instituciones médicas comiencen a implementar en sus labores cotidianas sistemas automatizados y semiautomatizados en la provisión de cuidados médicos, en los que intervienen una multiplicidad de agentes, como médicos, enfermeras, farmacéuticos, laboratoristas y personal administrativo de diversa índole, involucrados en el proceso de atención al paciente, que requieren comunicarse, compartir e intercambiar información de manera segura y eficiente. De esta forma, el sector de la salud se presenta como una entidad intensiva en el uso de tecnologías que facilitan las labores del personal sanitario para generar, gestionar y almacenar diversos datos e información personal del paciente, a través del expediente clínico electrónico.

Aun cuando existe una percepción positiva en torno a los beneficios que trae consigo un registro electrónico que contenga los distintos actos de atención médica a los que fue sometido un paciente en los establecimientos públicos de salud, con relación a la mejora en la atención y provisión de cuidados médicos, la implementación del expediente clínico electrónico dentro de los establecimientos de salud no ha sido tarea fácil. Algunos de los obstáculos más importantes se observan en la falta de acceso a infraestructura, el costo de intercomunicación y, particularmente, los problemas relativos a su no integración, su integración incompleta o incorrecta, las diversas hipótesis en cuanto a su acceso, privacidad, protección y seguridad, frente a la eventual posibilidad de una divulgación indebida que pueda poner en riesgo la intimidad y los datos personales sensibles del paciente.

Aunado a lo anterior, la gran cantidad de información que el sector de la salud genera, además de su fragmentación, al encontrarse almacenada en múltiples bases de datos, dificulta su integración y la interoperabilidad de sistemas entre las diversas instituciones de salud que dan soporte al proceso asistencial. Al respecto, es fundamental desarrollar mecanismos que permitan el intercambio de información clínica entre las instituciones de salud con las características deseables de acceso y la adecuada protección de los datos personales de los pacientes, además de que garanticen el cumplimiento de estándares clínicos y sean accesibles en cualquier tiempo y lugar al momento de brindar atención médica al paciente.

Si bien se han reportado 65 modelos de expediente clínico electrónico a nivel nacional por parte de diversas instituciones del sector público de la salud, aún no se encuentran homologados, por ejemplo, respecto a su cobertura conceptual o con relación al universo de la población por atender (Neme, 2019, 79). En ese sentido, para consolidar el expediente clínico electrónico universal en México se requiere, además de realizar reformas en el ámbito legislativo que otorguen su reconocimiento, de voluntad política por parte del gobierno federal y de las autoridades sanitarias para impulsar su implementación en todas las instituciones que integran el Sistema Nacional de Salud.

De esta forma, las TIC representan una herramienta para que éste sector pueda contar con información fidedigna y organizada, cuya utilización puede mejorar las condiciones de atención de los pacientes, al igual que brindar a los profesionales de la salud mayor cantidad de elementos que les permitan tomar decisiones informadas con base en un registro electrónico completo del paciente, coadyuvando a una mejor integración y articulación del sistema, evitando duplicidades en la operación de los expedientes clínicos, reduciendo de manera importante los costos de operación. Por ello, es fundamental que exista a nivel nacional una red homologada de esa información, al igual que implementar medidas adecuadas para el cuidado de los datos personales, en especial los de carácter sensible de los pacientes, a efecto de evitar que su información sea utilizada para fines distintos a los cuales fueron destinados.

Con base en lo anterior, es importante que el personal tanto médico como administrativo que participan a lo largo del proceso de atención médica del paciente en las instituciones que forman parte del sector público de la salud, realicen un tratamiento legítimo, controlado e informado de los datos relativos a la salud conforme a las pautas tanto éticas como científicas que orientan la práctica médica, a efecto de evitar un deterioro o menoscabo a la intimidad del paciente que repercuta negativamente en su esfera privada.

Por tal motivo, en el sector público de la salud, los responsables del tratamiento de datos personales de los pacientes, deberán sujetarse a un amplio marco normativo, a efecto de tutelar de manera efectiva el derecho a su intimidad, cuya encomienda constitucional fue otorgada al INAI y a los órganos encargados de la protección de los datos personales en las entidades federativas, de conformidad con el ámbito de distribución de competencias que les corresponda. Al respecto, corresponde a las instituciones del sector público de la salud establecer los estándares adecuados de protección en sus labores cotidianas, a partir de los cuales aumente la implementación y garantía del derecho a la protección de los datos personales. Bajo ese contexto, la actuación proactiva por parte de las instituciones que integran el Sistema Nacional de Salud, debe contribuir a brindar certeza y seguridad en un marco estricto de gobernanza de datos.

Referencias

5G Américas. (2019). Serie de Estudios TIC para el Desarrollo: Historia clínica electrónica en América Latina. [ Links ]

Altés, J. (2013). Papel de las tecnologías de la información y la comunicación en la medicina actual. España. Seminarios de la Fundación Española de Reumatología, 14(2). DOI: https://doi.org/10.1016/j.semreu.2013.01.005 [ Links ]

Araujo Carranza, E. (2009). El Derecho a la Información y la Protección de Datos Personales en México. Revista IUS, 3(23). DOI: https://doi.org/10.35487/rius.v3i23.2009.195 [ Links ]

Asociación Americana de Hospitales. (1973). Declaración de Derechos del Paciente. Disponible en: https://www.codem.es/Adjuntos/CODEM/Documentos/Informaciones/Publico/f044efef-58a7-40e4-bb7b-91605df12553/B4694157-ADF7-4DD2-A221-229B18C518C7/18fb7dc6-1d99-4c69-a0f9-7d09b99f12de/18fb7dc6-1d99-4c69-a0f9-7d09b99f12de.pdfLinks ]

Avilés Mariscal, J., y Gil-García, J. (2012). e-Salud en México: antecedentes, objetivos, logros y retos. Revista Espacios Públicos, 15(34), mayo-agosto. [ Links ]

Barba Evia, J. (2018). El expediente clínico en el quehacer del patólogo clínico. México: Revista Latinoamericana de Patología Clínica Medicina de Laboratorio, 2(65). [ Links ]

Bouton, S., et al. (2013). How to Make Cities Great. New York: McKinsey & Company. Disponible en: http://www.mckinsey.com/~/media/mckinsey/global%20themes/urbanization/how%20to%20make%20a%20 city%20great/how_to_make_a_city_great.ashxLinks ]

Cantoral Domínguez, K. (2012). Derecho de protección de datos personales de la salud. México: Novum. [ Links ]

Constitución Política de los Estados Unidos Mexicanos. [ Links ]

Instituto Nacional de Medicina Genómica. (2020). Foro Expediente Clínico Electrónico (ECE). Avances y agenda pendiente. Mesa I. Enfoque jurídico. [ Links ]

Gómez-Robledo, A. (2010). El acceso al expediente clínico como derecho fundamental. Homenaje al Doctor Emilio O. Rabasa. México: UNAM. [ Links ]

Grant, J. (1998). Medical Practice in the Ming Dynasty - A Practitioner's View: Evidence from Wang Ji's Shishan yi'an. Journal Chinese Science. East Asian Science, Technology, and Medicine. No. 15. DOI: https://doi.org/10.1163/26669323-01501005 [ Links ]

Hernández González, A. (2018). Protección de datos personales en el sector privado de la salud. Revista Estudios en Derecho a la Información, 5, enero - junio. DOI: http://dx.doi.org/10.22201/iij.25940082e.2018.5.12123 [ Links ]

IFAI. (2009). 4/09 Expediente clínico. Por regla general su confidencialidad no es oponible al titular de los datos personales o a su representante legal. Criterios de interpretación. Primera época. Disponible en: http://criteriosdeinterpretacion.inai.org.mx/Pages/results.aspx?k=expediente%20cl%C3%ADnicoLinks ]

Kurczyn Villalobos, P. (2019). Contenido e importancia del expediente clínico. Acceso y confidencialidad. Revista de la Facultad de Derecho de México. Tomo 69(273), enero - abril. DOI: http://dx.doi.org/10.22201/fder.24488933e.2019.273-2.68634 [ Links ]

Lain Entralgo, P. (1950). La historia clínica. Historia y teoría del relato patográfico. Madrid: Consejo Superior de Investigaciones Científicas. Disponible en: http://www.cervantesvirtual.com/obra/la-historia-clinica-historia-y-teoria-del-relato-patografico/Links ]

Ledermann, W. (2016). Una mirada crítica sobre la medicina en el Antiguo Egipto. Revista chilena de infectología, 33(6). DOI: http://dx.doi.org/10.4067/S0716-10182016000600011 [ Links ]

Ley Federal de Protección de Datos Personales en Posesión de los Particulares. [ Links ]

Ley Federal de Transparencia y Acceso a la Información Pública. [ Links ]

Ley Federal sobre Metrología y Normalización. [ Links ]

Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados. [ Links ]

Ley General de Salud. [ Links ]

Ley General de Transparencia y Acceso a la Información Pública. [ Links ]

Lineamientos Generales de Protección de Datos Personales para el Sector Público. [ Links ]

Merino Casas, M., et al. (2016). Percepción de la Utilidad del Expediente Clínico Electrónico en un Instituto Nacional de Salud. Revista CONAMED, 21(4), octubre - diciembre. [ Links ]

Mureddu Gilabert, M. (2017). Regulación jurídica del expediente clínico electrónico. México: Tirant Lo Blanch. [ Links ]

Neme Meunier, S. (2019). A 20 años de la implementación del Expediente Clínico Electrónico en México. Boletín CONAMED, 5, Especial - 2019. [ Links ]

Norma Oficial Mexicana NOM-004-SSA3-2012, Del expediente clínico. Disponible en: http://dof.gob.mx/nota_detalle_popup.php?codigo=5272787Links ]

Norma Oficial Mexicana NOM-024-SSA3-2012, Sistemas de información de registro electrónico para la salud. Intercambio de información en salud. Disponible en: https://dof.gob.mx/nota_detalle.php?codigo=5280847&fecha=30/11/2012Links ]

Norma Oficial Mexicana NOM-035-SSA3-2012, En materia de información en salud. Disponible en: http://dof.gob.mx/nota_detalle.php?codigo=5280848&fecha=30/11/2012Links ]

Ochoa Moreno, J. (2018). El expediente clínico electrónico universal en México ¿Cómo se puede definir el expediente clínico electrónico? Boletín CONAMED, 3, núm. 18. [ Links ]

Ramos González, V., y Jiménez Revolware, A. Smart-health, Smart-city y Poder: la vida del nuevo ciudadano. En Ortega Esquembre., et al. (2015). El mejoramiento humano. Avances, investigaciones y reflexiones éticas y políticas. España: Editorial Comares, S.L. Disponible en: https://www.researchgate.net/publication/293468112Links ]

Secretaría de Salud. (2011). Manual del Expediente Clínico Electrónico. México: Dirección General de Información en Salud. Disponible en: https://www.who.int/goe/policies/countries/mex_ehealth.pdfLinks ]

Somolinos Palencia, J. (1980). El expediente clínico a través de la historia. México: Simposio El expediente clínico y su importancia en la asistencia y educación médicas. Disponible en: https://fundamentosdeldiagnostico.com/capítulo-2-el-expediente-clínico-a-traves-de-la-historiaLinks ]

Vargas Sánchez, Karina, et al. (2015). Cumplimiento de los indicadores del Modelo de evaluación del expediente clínico integrado y de calidad (MECIC). Revista CONAMED, vol. 20(4), octubre - diciembre. [ Links ]

Recibido: 30 de Julio de 2020; Aprobado: 16 de Noviembre de 2020

Autor para correspondencia: José Joaquín Piña-Mondragón joaquin_pina_mondragon@hotmail.com

Creative Commons License Este es un artículo publicado en acceso abierto bajo una licencia Creative Commons