La Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) aplica a tu consultorio. No importa si eres médico independiente, si trabajas solo o si tienes una pequeña clínica privada. Si manejas datos personales de pacientes — y los manejas — eres un "responsable" en términos de la ley.

Lo que la mayoría de los médicos no sabe es qué significa eso exactamente, qué pueden exigirte los pacientes y qué riesgos reales existen si no cumples.

¿Qué datos de tus pacientes son "datos personales sensibles"?

La LFPDPPP distingue entre datos personales ordinarios (nombre, dirección, RFC) y datos personales sensibles. Los datos médicos son siempre sensibles por definición legal:

  • Estado de salud presente, pasado o futuro
  • Diagnósticos, tratamientos, medicamentos
  • Historial clínico completo
  • Datos genéticos
  • Vida sexual (cuando es clínicamente relevante)
  • Datos biométricos usados para identificación

Los datos sensibles tienen protecciones adicionales: requieren consentimiento expreso y por escrito para ser tratados, no pueden usarse para fines distintos a los que motivaron su obtención, y su manejo incorrecto tiene sanciones más severas.

⚠️ El error más común: no tener Aviso de Privacidad

El Aviso de Privacidad es el documento en que informas a tus pacientes qué datos recopilas, para qué, con quién los compartes y cómo pueden ejercer sus derechos. Es obligatorio desde que la ley entró en vigor en 2011. No tenerlo expone al responsable a sanciones del INAI.

Tus obligaciones concretas como médico responsable

Obligación¿Qué significa en tu consultorio?¿Cumples?
Aviso de Privacidad Documento visible en consultorio y/o entregado al paciente en primera visita Muchos no — revisa
Consentimiento informado Para datos sensibles: firma del paciente autorizando el tratamiento de sus datos Frecuentemente incompleto
Medidas de seguridad Acceso controlado al expediente, contraseñas, backups, cifrado Inexistente en papel
Derechos ARCO Acceso, Rectificación, Cancelación, Oposición — el paciente puede exigirlos Desconocido para la mayoría
Limitación del uso No usar los datos para fines de marketing sin consentimiento adicional Generalmente sí
Transferencias de datos Informar a quién transfieres datos (laboratorios, hospitales, aseguradoras) Raramente documentado

Los derechos ARCO: lo que tus pacientes pueden pedirte

Cualquier paciente tuyo puede presentarte una solicitud ARCO. Tienes 20 días hábiles para responder. Si no respondes o niegas injustificadamente, el paciente puede quejarse ante el INAI y el instituto puede iniciar un procedimiento contra ti.

Qué puede pedir cada derecho:

  • Acceso — Copia de todos los datos personales que tienes sobre él
  • Rectificación — Corrección de datos inexactos o incompletos
  • Cancelación — Eliminación de sus datos (con excepciones para datos clínicos por la NOM-004)
  • Oposición — Que dejes de usar sus datos para determinados fines

Seguridad digital: lo mínimo que la ley exige

La ley no especifica herramientas técnicas exactas, pero establece que debes implementar "medidas de seguridad administrativas, físicas y técnicas" proporcionales al tipo de datos que manejas. Para datos médicos sensibles, el estándar esperado es alto:

  • Control de acceso: solo personal autorizado puede ver el expediente
  • Contraseñas y autenticación: no compartir credenciales
  • Cifrado: los datos almacenados y en tránsito deben estar cifrados
  • Backups: copias de seguridad regulares en ubicación separada
  • Log de auditoría: registro de quién accedió a qué y cuándo
✅ Lo que Nexus Med cubre por ti
  • Aviso de Privacidad template adaptado para consultorios médicos
  • Control de roles: secretaria ve agenda, no expediente completo
  • Cifrado AES-256 en reposo y en tránsito
  • Log de auditoría completo: quién abrió qué nota y cuándo
  • Backups automáticos diarios con retención de 90 días
  • Flujo para solicitudes ARCO: el paciente solicita, tú apruebas

¿El expediente en papel cumple la LFPDPPP?

Técnicamente sí puede cumplirla — pero en práctica rara vez lo hace. Para que el papel cumpla necesitarías:

  • Archivero con llave o bóveda con acceso controlado
  • Registro de quién accede al archivo y cuándo
  • Proceso documentado para solicitudes ARCO
  • Destrucción certificada al vencer el período de retención

¿Cuántos consultorios tienen eso? La realidad es que el expediente en papel es el sistema con mayor vulnerabilidad de privacidad — y el más difícil de defender ante el INAI o un juez.

Cumple la LFPDPPP desde el día uno

Nexus Med incluye las medidas de seguridad que la ley exige — sin que tú tengas que ser experto en privacidad.

Empezar gratis →