NOM-024 expediente clínico electrónico: estado del arte 2024 y errores típicos en clínicas privadas

La NOM-024-SSA3-2012 sigue siendo la norma reina para el expediente clínico electrónico (ECE) en México. Define los requisitos de funcionalidad, mensajería e interoperabilidad de los sistemas de información de registro electrónico para la salud en establecimientos públicos y privados. Fue publicada hace más de una década, pero su aplicación práctica en el sector privado sigue siendo desigual: hospitales grandes y cadenas la cumplen razonablemente; clínicas medianas, consultorios especializados y nuevas plataformas digitales muchas veces no.

A lo largo de 2024, en assessments con clínicas privadas en Mérida, CDMX, Monterrey y Guadalajara, vimos un patrón recurrente: equipos médicos comprometidos con la calidad del registro pero apoyados en sistemas que no cumplen requisitos críticos de la norma. La consecuencia no es solo regulatoria, también es operativa: peor continuidad clínica, peor protección de datos del paciente y mayor exposición ante demandas o auditorías de COFEPRIS.

Lo esencial de NOM-024-SSA3 en 2024

Los requisitos de cumplimiento que importan en la práctica son cinco familias:

1. Identificación inequívoca del paciente y del personal

El sistema debe permitir identificar al paciente sin ambigüedad (CURP cuando aplica, número de expediente único institucional). Y debe identificar al usuario que captura cada nota: médico, enfermería, técnico. Este último punto es donde más fallan clínicas chicas con usuarios genéricos compartidos.

2. Interoperabilidad con estándares HL7

La norma exige capacidad de intercambio de información usando estándares HL7 (versión 2.x históricamente, FHIR creciendo en 2024). En la práctica, pocos sistemas privados ejercen esta capacidad, pero debe existir. Es el mecanismo por el cual referencias, contrarreferencias e intercambio entre instituciones funciona.

3. Firma electrónica avanzada

Las notas médicas, recetas y documentos del expediente deben firmarse con Firma Electrónica Avanzada (FEA), no con un PIN o contraseña simple. La FEA en México se acredita con certificados emitidos por la Secretaría de Economía o el SAT (e.firma). Esto se respeta en muy pocas clínicas privadas.

4. Bitácora de eventos (audit trail)

El sistema debe registrar quién consultó, modificó o capturó cada elemento del expediente, con marca de tiempo. Sirve para auditoría regulatoria y para investigación de incidentes. La bitácora debe ser inalterable o fuertemente protegida contra alteración.

5. Retención por cinco años

Los expedientes deben conservarse por lo menos cinco años, contados a partir del último acto médico. Para casos pediátricos y otros sensibles los plazos pueden ser mayores. La retención implica almacenamiento, integridad y disponibilidad.

A esto se suman, transversalmente, protección de datos personales según la Ley Federal de Protección de Datos Personales en Posesión de los Particulares y, donde aplique, alineación con NOM-035 (factores psicosociales) y otras normas sectoriales.

Errores típicos que vemos en clínicas privadas en 2024

Después de varios diagnósticos este año, los hallazgos repetidos:

Firmas electrónicas que no son avanzadas. Sistemas que dicen "firma del médico" pero realmente solo registran el usuario que estaba logueado, sin certificado FEA. Es el incumplimiento más común y más caro de remediar después.

Usuarios genéricos o compartidos. Una computadora de consultorio con usuario "consultorio01" usado por médico, secretaria y enfermería. Hace imposible la trazabilidad y rompe el primer requisito de la norma.

Falta de bitácora real. Sistemas con logs simples de aplicación que se pueden borrar, modificar o que no registran consultas, solo cambios. Una bitácora útil registra todo acceso a un expediente, no solo modificaciones.

Datos en reposo sin cifrado. Bases de datos almacenadas en servidores locales sin cifrado de disco, respaldos en discos externos sin protección, archivos de imagen (PACS) en carpetas compartidas. Si un equipo se pierde o un disco se sustrae, los datos quedan expuestos.

Respaldos que no funcionan. Política de respaldo en papel pero sin pruebas de restauración. Es el clásico que solo se descubre cuando se necesita.

Imágenes médicas (PACS) desconectadas del expediente. El estudio se hace en un equipo, las imágenes se guardan en otro, el médico las consulta vía CD o USB. Sin integración, no hay expediente único y la auditoría se complica.

Aviso de privacidad genérico o ausente. Muchos avisos siguen sin actualizarse desde 2015. Algunos no incluyen los tratamientos automatizados (incluyendo IA cuando aplica) ni los flujos de transferencia internacional cuando se usa SaaS extranjero.

Stack recomendado para una clínica privada mediana

Sin recomendar marcas específicas, los componentes que debe tener tu arquitectura:

• Sistema ECE certificado o claramente alineado a NOM-024 (revisa documentación del proveedor antes de comprar).
• Almacenamiento cifrado en reposo (cifrado de disco a nivel servidor o nube).
• Cifrado en tránsito (HTTPS obligatorio, sin tráfico HTTP interno).
• Firma Electrónica Avanzada integrada al flujo de notas (puede ser e.firma del SAT con módulo de firma adecuado).
• Bitácora separada de la base de datos principal, con retención y protección contra alteración.
• Integración con PACS para imágenes (DICOM como estándar).
• Política de respaldo con pruebas de restauración trimestrales.
• Control de acceso por rol (médico, enfermería, recepción, administración) y autenticación robusta (mínimo MFA para administradores).
• Aviso de privacidad actualizado con tratamientos vigentes y flujos de transferencia.

Para clínicas más chicas, el stack puede simplificarse usando ECEs SaaS que ya incluyen muchos de estos controles. Para hospitales medianos y grandes, usualmente conviene una combinación de ECE, módulos de laboratorio y radiología, integraciones HL7/FHIR.

Trade-offs en imágenes médicas

PACS (Picture Archiving and Communication System) es donde más vemos fricción. Las imágenes son pesadas, el almacenamiento crece rápido y la latencia importa al diagnosticar. Tres patrones útiles en 2024:

• Hot storage (acceso frecuente) para los últimos 12-24 meses de estudios, en SSD local o nube cercana.
• Cold storage (acceso esporádico) para histórico, en almacenamiento más barato (S3 Glacier, Azure Archive).
• Migración por edad automatizada del estudio para mantener costos predecibles.

Algunas clínicas están moviendo PACS completo a la nube; otras prefieren on-prem por latencia y control. La decisión depende de tu carga, ancho de banda y madurez operativa.

Plantilla de matriz de cumplimiento

Para empezar el camino sin reinventarlo, usamos con clientes una matriz simple de seis columnas:

1. Requisito de NOM-024 (citado textual cuando aplica).
2. Estado actual en tu clínica (cumple, parcial, no cumple).
3. Evidencia (documento, captura, log).
4. Brecha (qué falta).
5. Acción (qué hacer para cerrar).
6. Responsable y fecha.

Esa matriz, bien levantada, es el punto de partida del proyecto. Si hace meses que tu clínica habla de "modernizar el expediente" y no tienes esta matriz, ese es el siguiente paso, no comprar otro sistema.

Cómo cumplir sin frenar al equipo médico

La mayor objeción de equipos clínicos a sistemas modernos es que "frenan" la consulta. Tres principios ayudan: captura por excepción (valores por default razonables, el médico solo captura lo distinto), plantillas por especialidad que reduzcan clics y texto libre, e integración con dictado cuando el flujo lo permita.

Cumplir con NOM-024 no significa volver lenta la consulta. Significa diseñar el sistema para que el cumplimiento sea consecuencia natural del flujo, no carga adicional.

---

Solicita la matriz de cumplimiento NOM-024 (gratis). En ALCA hacemos diagnóstico de cumplimiento y diseño de arquitectura para clínicas y hospitales privados en México. Agenda una sesión con nuestro equipo.