Expediente Clínico Electrónico en México: qué exige NOM-024 y cómo cumplir en 2025 (sin frenar al equipo médico)
  • ALCA
  • 25 de junio, 2025
  • Regulación y Compliance

Expediente Clínico Electrónico en México: qué exige NOM-024 y cómo cumplir en 2025 (sin frenar al equipo médico)

La NOM-024-SSA3-2012 sigue siendo, a 2025, la norma rectora del Expediente Clínico Electrónico (ECE) en México. A pesar de actualizaciones puntuales y de la presión por modernizar la regulación, los requisitos esenciales no han cambiado: interoperabilidad, integridad, confidencialidad, autenticación y conservación. Lo que sí ha cambiado es el contexto: clínicas privadas que antes operaban en papel ahora dependen del ECE para facturación, telemedicina y reembolso con aseguradoras. Cumplir dejó de ser opción.

En este artículo repasamos qué exige la norma en términos prácticos, los errores que más vemos en clínicas medianas y un stack de cumplimiento que no obligue al equipo médico a pelear con el sistema.

Qué exige NOM-024 en términos operativos

La norma cubre tres frentes principales:

1. Interoperabilidad

Todo sistema de ECE debe ser capaz de intercambiar información clínica con otros sistemas siguiendo estándares reconocidos. En la práctica esto significa soporte para:

  • HL7 v2.x o HL7 FHIR R4 para intercambio estructurado.
  • Catálogos oficiales: CIE-10 para diagnósticos, CIE-9-MC o CPT para procedimientos, LOINC para laboratorio.
  • Identificadores únicos del paciente compatibles con CURP y, cuando aplique, NSS.

Una clínica que use un ECE cerrado, sin capacidad de exportar en HL7 o FHIR, está incumpliendo aunque opere bien internamente.

2. Integridad y autenticación

Cada nota, indicación, receta y resultado debe quedar vinculado de forma inalterable al profesional que lo generó. La norma habla explícitamente de firma electrónica avanzada, que en México se interpreta como:

  • e.firma del SAT o
  • Certificado emitido por un PSC (Prestador de Servicios de Certificación) acreditado.

Una contraseña simple no cumple. Tampoco un PIN local. Esta es probablemente la falla de cumplimiento más común en clínicas privadas.

3. Confidencialidad y control de accesos

El ECE debe registrar quién accedió, cuándo y a qué información, con bitácora inmutable consultable por el responsable de privacidad. Adicionalmente:

  • Datos en reposo cifrados (AES-256 mínimo recomendado).
  • Datos en tránsito sobre TLS 1.2 o superior.
  • Roles diferenciados: médico tratante, médico de apoyo, enfermería, administración, paciente.
  • Conservación mínima de 5 años desde el último acto médico (en algunos supuestos, como menores de edad, hasta cumplir mayoría más 5 años).

Errores típicos en clínicas privadas mexicanas

Estos son los hallazgos recurrentes en assessments que hemos hecho:

  • Firma "electrónica" basada en imagen. Una imagen de la firma del médico pegada al PDF no es firma electrónica avanzada. No tiene valor legal pleno.
  • Bitácora inexistente o no consultable. Muchos sistemas registran logs técnicos pero no producen una bitácora útil para auditoría.
  • Datos sin cifrado en reposo. Bases de datos en servidores locales sin TDE, backups sin cifrar y respaldos en discos USB sin protección.
  • Accesos compartidos. Una sola cuenta usada por varios profesionales del turno. Imposible de auditar.
  • Telemedicina sin trazabilidad. Consultas por WhatsApp o Zoom sin que la nota quede ligada al expediente.
  • PACS desconectados. Imágenes médicas almacenadas en un sistema separado sin vínculo formal con el ECE, lo que rompe la integridad del expediente.

Stack recomendado para una clínica mediana

No hay un solo sistema que sirva a todos, pero la arquitectura razonable se ve así:

  1. ECE certificado o auditado (varios proveedores mexicanos cumplen, conviene revisar evidencia de pruebas de interoperabilidad reales, no solo del marketing).
  2. Almacenamiento cifrado: preferentemente en nube con cumplimiento ISO 27001 e ISO 27018, o en datacenter local con cifrado de disco completo y gestión de llaves.
  3. Identidad federada: SSO contra Azure AD, Google Workspace u Okta, con MFA obligatorio.
  4. Firma electrónica avanzada: integración con e.firma del SAT o con PSC reconocido. Ya existen flujos en los que el médico firma con un click después de autenticarse fuerte.
  5. Bitácora inmutable: logs centralizados en sistema separado del operativo (puede ser un servicio gestionado o un bucket WORM en nube).
  6. PACS integrado vía DICOM web, con referencias cruzadas en el expediente.

El costo de este stack para una clínica con 10-20 médicos suele estar entre MXN 25,000 y MXN 80,000 mensuales según volumen y proveedor. Mucho menos que la multa por una violación a LFPDPPP, sin contar el daño reputacional.

Trade-offs cuando hay imágenes médicas

Las clínicas con servicios de imagen (rayos X, ultrasonido, tomografía) cargan un reto adicional: los estudios pesan, el almacenamiento crece rápido y la conservación a 5 años se vuelve costosa. Tres estrategias razonables:

  • Tiering de almacenamiento: estudios del último año en almacenamiento caliente, los más antiguos en frío (S3 Glacier, Azure Archive). Latencia mayor pero costo 10x menor.
  • Compresión inteligente con formatos como JPEG 2000 lossless para estudios donde la norma lo permita.
  • Externalización del PACS a un proveedor especializado mexicano, que se hace cargo del cumplimiento de almacenamiento.

La decisión depende del volumen y de la política interna sobre qué tan rápido el médico necesita acceder a estudios antiguos.

Cómo cumplir sin frenar al equipo médico

El cumplimiento que el médico siente como obstáculo se sabotea solo. Algunas prácticas que reducen fricción:

  • Login fuerte una vez por turno, no por cada acción. SSO + MFA al inicio, sesiones controladas por inactividad.
  • Plantillas estructuradas por especialidad, que reducen tiempo de captura sin perder estructura para interoperabilidad.
  • Dictado por voz integrado al ECE (con modelos en español de México, ya disponibles a costo razonable).
  • Firma con un solo gesto después de autenticación inicial.
  • Recordatorios de cumplimiento contextual, no pop-ups genéricos.

La regla práctica: si una norma agrega más de 30 segundos por consulta, el equipo va a buscar atajos. El diseño del flujo es tan importante como la tecnología.

Cierre

La NOM-024 no es un trámite, es una protección legal y operativa para la clínica y para el paciente. Cumplirla bien también es ventaja competitiva: las aseguradoras prefieren trabajar con prestadores que demuestran trazabilidad, los pacientes sofisticados eligen clínicas con expediente accesible, y las inspecciones de COFEPRIS dejan de ser pesadilla. La inversión se paga.

En ALCA acompañamos a clínicas y hospitales privados a aterrizar NOM-024 con stack moderno y sin frenar al equipo médico. Solicita la matriz de cumplimiento NOM-024 (gratis). Agenda una llamada de 30 minutos.

Artículos relacionados

La nueva LFPDPPP en práctica: cómo opera la Secretaría Anticorrupción y qué cambió ya en 2026

4 de marzo, 2026 La nueva LFPDPPP en práctica: cómo opera la Secretaría Anticorrupción y qué cambió ya en 2026

CFDI 4.0 en 2026: nuevas penas (2-9 años de cárcel) y catálogos actualizados que cambian tu facturación

28 de enero, 2026 CFDI 4.0 en 2026: nuevas penas (2-9 años de cárcel) y catálogos actualizados que cambian tu facturación

Trump firma EO sobre IA: qué significa para empresas mexicanas que exportan a EE.UU.

21 de enero, 2026 Trump firma EO sobre IA: qué significa para empresas mexicanas que exportan a EE.UU.