NOM-024 expediente clínico electrónico: estado del arte 2023 y errores típicos en clínicas privadas
  • ALCA
  • 6 de septiembre, 2023
  • Regulación y Compliance

NOM-024 expediente clínico electrónico: estado del arte 2023 y errores típicos en clínicas privadas

La NOM-024-SSA3-2012 sigue siendo, a la fecha, la norma de referencia para el Expediente Clínico Electrónico (ECE) en México. Aplica a establecimientos del sector público y privado que decidan adoptar sistemas electrónicos para el expediente. En 2023, con más clínicas y hospitales privados acelerando su digitalización por presión de pacientes, aseguradoras y eficiencia operativa, los hallazgos de incumplimiento se vuelven más frecuentes en revisiones de COFEPRIS y en auditorías de aseguradoras corporativas.

Para directores de TI y de operaciones de clínicas y hospitales medianos en México, este artículo aterriza qué pide la norma, qué errores estamos viendo de manera recurrente y cómo corregirlos sin frenar al equipo médico.

Qué exige la norma en lo esencial

La NOM-024 establece requisitos para que un sistema de expediente clínico electrónico sea válido en México. Los pilares operativos:

  • Interoperabilidad mediante estándares abiertos. HL7 v2/v3, CDA y vocabularios como SNOMED CT, LOINC y CIE-10 son referencia.
  • Conservación de la información durante al menos cinco años, en condiciones que aseguren integridad, autenticidad y disponibilidad.
  • Control de accesos con identificación inequívoca del usuario, registro de quién accede a qué y cuándo.
  • Firma electrónica avanzada para validar notas médicas y otros actos clínicos.
  • Confidencialidad y privacidad alineados a la LFPDPPP y al secreto médico.
  • Continuidad operativa con respaldos y planes de recuperación.
  • Trazabilidad de cambios en registros, sin permitir borrado: las modificaciones deben quedar versionadas.

A esto se suman requisitos sobre catálogos, formatos, contenido mínimo de notas médicas y módulos como interconsulta, urgencias y hospitalización.

Los errores típicos que estamos viendo en 2023

Por experiencia con clínicas y hospitales privados medianos, los hallazgos se repiten con frecuencia incómoda.

Sistemas con borrado lógico mal implementado. El ECE permite "eliminar" un registro sin dejar versión completa anterior. La norma exige que los cambios queden trazados y auditables. Cuando esto no se cumple, una auditoría puede invalidar la totalidad del expediente.

Firma electrónica simulada con captura de imagen. Algunos sistemas presentan al médico una "firma" que solo es una imagen escaneada o un campo de texto. La NOM exige firma electrónica avanzada (FIEL u otra certificada). Sin esto, las notas no tienen validez jurídica equivalente a la firma manuscrita.

Acceso compartido por roles, no por usuarios. Es común encontrar que enfermería entra con un usuario común al sistema. La norma exige identificación inequívoca de la persona que registra. El acceso compartido es hallazgo asegurado.

Backups sin pruebas de restauración. El backup nominal existe, pero nunca se ha probado restaurar. En el día del incidente se descubre que el respaldo está corrupto o incompleto.

PACS desconectado del ECE. Imágenes de radiología y otros estudios viven en un sistema separado, sin vínculo automático al expediente. Cumplir con interoperabilidad implica que estudios de imagen se asocien al paciente y al episodio.

Catálogos personalizados que rompen interoperabilidad. El sistema usa códigos propios en lugar de CIE-10, CIE-9-MC o SNOMED. Esto frena interoperabilidad con aseguradoras, otros prestadores y reportes oficiales.

Aviso de privacidad genérico. El aviso al paciente no contempla los flujos reales del ECE: telemedicina, interconsulta a distancia, transferencias a aseguradora, almacenamiento en nube extranjera.

Equipo TI sin matriz de cumplimiento documentada. Cuando llega COFEPRIS o una auditoría externa, no hay un solo documento que mapee requisito por requisito y dónde se cumple en el sistema.

Stack tecnológico recomendado para una clínica mediana

Sin promover marcas, los componentes que aparecen casi siempre en una arquitectura razonable de ECE en México:

  • Sistema de información hospitalaria (HIS) con módulos de admisión, hospitalización, urgencias, consulta externa.
  • ECE como módulo del HIS o integrado vía estándar HL7.
  • PACS para imagen, integrado al ECE vía DICOM y HL7.
  • LIS para laboratorio, también integrado.
  • Identity provider centralizado con SSO y MFA para personal clínico.
  • Firma electrónica con FIEL o equivalente para notas y recetas.
  • Auditoría centralizada de accesos y cambios.
  • Backups con prueba de restauración mensual documentada.
  • Plan de continuidad con tiempo de recuperación y de pérdida tolerable definidos.

Trade-offs que conviene discutir antes de comprar

Tres decisiones que casi todas las clínicas tienen que tomar y que conviene plantear con honestidad.

HIS gringo vs HIS local. Los HIS internacionales suelen tener funcionalidad amplia pero soporte limitado en español, integraciones débiles con catálogos mexicanos y costos en USD. Los HIS locales conocen mejor la NOM-024, hablan con CFDI y aseguradoras locales, y suelen costar menos, pero el catálogo de funcionalidad puede ser más limitado.

Nube vs on-premise. La nube ofrece elasticidad y manejabilidad, pero introduce conversación de transferencias internacionales para datos clínicos. On-premise da control y ubicación, pero exige equipo de operación dedicado.

PACS integrado vs PACS dedicado. Tener PACS dentro del HIS simplifica integración pero suele tener funcionalidad de visualización limitada. PACS dedicado da herramientas profesionales para radiólogos pero exige integración disciplinada.

Plantilla de matriz de cumplimiento NOM-024

Recomendamos a toda clínica tener un documento vivo con esta estructura:

Requisito NOM Sección Cómo se cumple en el sistema Evidencia Responsable Fecha última verificación
Trazabilidad de cambios 5.6 Versión de notas médicas en módulo X Captura del audit log TI aaaa-mm-dd
Firma electrónica avanzada 5.7 FIEL integrada vía SAT Token activo, contrato Médico aaaa-mm-dd
Conservación 5 años 5.8 Backups + replicación a sitio Y Bitácora restauración TI aaaa-mm-dd
... ... ... ... ... ...

Esta matriz se mantiene actualizada y se presenta en revisión interna trimestral. Cuando llega una auditoría externa, el documento ya existe.

Qué hacer este Q4

Si tu clínica u hospital tiene ECE en producción y no ha hecho una revisión seria recientemente, estos son los movimientos que pagan retorno claro antes de fin de año:

  1. Auditoría interna contra la NOM-024 con hallazgos priorizados.
  2. Prueba de restauración de backup documentada.
  3. Revisión del aviso de privacidad alineado a flujos reales.
  4. Audit log review: confirmar que se registran accesos y cambios, y que se conservan.
  5. Capacitación corta al equipo médico sobre uso correcto del ECE: firma, no compartir credenciales, registrar oportunamente.

Ninguno de estos movimientos requiere implementación nueva. Todos generan evidencia de cumplimiento y reducen riesgo regulatorio inmediato.

Solicita la matriz de cumplimiento NOM-024 (gratis). En ALCA acompañamos a clínicas y hospitales medianos a aterrizar la norma en operación real. Escríbenos en https://alca.mx/contacto y te enviamos la plantilla.

Artículos relacionados

La nueva LFPDPPP en práctica: cómo opera la Secretaría Anticorrupción y qué cambió ya en 2026

4 de marzo, 2026 La nueva LFPDPPP en práctica: cómo opera la Secretaría Anticorrupción y qué cambió ya en 2026

CFDI 4.0 en 2026: nuevas penas (2-9 años de cárcel) y catálogos actualizados que cambian tu facturación

28 de enero, 2026 CFDI 4.0 en 2026: nuevas penas (2-9 años de cárcel) y catálogos actualizados que cambian tu facturación

Trump firma EO sobre IA: qué significa para empresas mexicanas que exportan a EE.UU.

21 de enero, 2026 Trump firma EO sobre IA: qué significa para empresas mexicanas que exportan a EE.UU.