El 78% de los médicos mexicanos en práctica privada no sabe exactamente qué requiere la NOM-004 para su expediente. Lo sé porque es la primera pregunta que hacemos durante el onboarding en Nexus Med: "¿Qué entienden por cumplimiento?" La respuesta más común es "que tenga firma digital" o "que esté en computadora".
Ambas respuestas son incompletas. Y en una auditoría de COFEPRIS o en una demanda médica, lo incompleto puede costar caro.
Esta guía no es de abogados ni de asesores de cumplimiento. Es de un sistema que fue construido desde cero para cumplir la norma, y que ha tenido que entender cada párrafo de ella para hacerlo bien.
¿Qué es la NOM-004-SSA3-2012?
La NOM-004-SSA3-2012 es la Norma Oficial Mexicana que regula el expediente clínico — tanto en papel como en formato electrónico. Fue publicada en el DOF el 15 de octubre de 2012 y es de observancia obligatoria para todos los prestadores de servicios de salud en México: hospitales públicos, privados, consultorios independientes y clínicas.
Sí: tu consultorio de dos personas también está sujeto a ella.
Está estructurada en 10 secciones que cubren desde el contenido mínimo de cada tipo de nota hasta los criterios de confidencialidad, resguardo y eliminación del expediente.
Tener el expediente en una hoja de Excel, en un Google Doc o en un sistema sin firma digital equivale legalmente a no tenerlo. El expediente existe legalmente cuando cumple los requisitos formales de la norma.
Contenido mínimo obligatorio por tipo de nota
La NOM-004 no exige un formato específico, pero sí exige que ciertos elementos estén presentes en cada tipo de nota. Aquí los más relevantes para la consulta ambulatoria:
Nota de primera vez (§7.1)
- Motivo de consulta
- Resumen del interrogatorio por aparatos y sistemas
- Exploración física completa
- Resultados de estudios previos
- Diagnóstico o problema clínico
- Plan de estudio y tratamiento
- Nombre completo, cédula profesional y firma del médico
Nota de evolución (§7.2)
- Fecha y hora
- Signos vitales y hallazgos relevantes
- Evolución y estado actual
- Diagnósticos y plan actualizado
- Nombre completo, cédula profesional y firma
- Nota sin fecha o con fecha posterior al evento
- Sin firma del médico responsable (en digital: sin firma electrónica vinculada al autor)
- Sin número de cédula profesional
- Alteraciones, tachaduras o enmendaduras no aclaradas
- En formato electrónico: sin registro de quién accedió, cuándo y qué modificó
Requisitos específicos para el expediente electrónico (§12)
La sección §12 de la NOM-004 regula de forma específica el expediente clínico electrónico. Es la sección que más se ignora y la más relevante para los médicos que ya digitalizaron su práctica.
Los requisitos clave son:
- Firma electrónica vinculada a la identidad del médico. No es suficiente poner el nombre en el campo "médico tratante". La norma exige un mecanismo que garantice la autoría e integridad del documento. En la práctica: firma criptográfica o sistema con control de acceso auditado.
- Registro de auditoría (log de accesos). El sistema debe registrar quién accedió al expediente, cuándo, y qué modificó. Esto es obligatorio — no opcional.
- Integridad del documento. Una vez firmada, la nota no debe poder modificarse sin registro. Si un sistema permite editar la nota clínica firmada sin dejar rastro, incumple §12.
- Disponibilidad y continuidad. El sistema debe garantizar el acceso al expediente mientras sea requerido por la ley (5 años como mínimo, 5 años después de la muerte del paciente).
- Confidencialidad. El acceso debe estar restringido al personal autorizado. El médico es responsable de garantizarlo.
Checklist: ¿Tu sistema actual cumple?
| Requisito NOM-004 §12 | ¿Qué verifica? |
|---|---|
| Firma electrónica del médico | ¿Cada nota queda vinculada criptográficamente al autor? |
| Cédula profesional en cada nota | ¿El número de cédula aparece impreso en el documento? |
| Fecha y hora inmutables | ¿La nota registra cuándo fue creada y no puede modificarse? |
| Log de auditoría | ¿Quedan registrados todos los accesos y modificaciones? |
| Control de roles | ¿Solo personal autorizado accede al expediente clínico? |
| Retención 5 años mínimo | ¿El sistema garantiza disponibilidad del historial por ese período? |
| Backup documentado | ¿Existe un mecanismo de respaldo y un plan de continuidad documentado? |
| Confidencialidad (LFPDPPP) | ¿El acceso externo (soporte técnico, nube) está regulado por contrato? |
- Firma digital por RSA-SHA256 vinculada al usuario al cerrar la nota
- Número de cédula en el perfil del médico, impreso en cada nota generada
- Timestamp inmutable con registro de zona horaria en la base de datos
- Log completo de accesos: quién, cuándo, qué IP, qué acción
- Roles granulares: recepcionista, asistente, médico, administrador
- Backups automáticos con WAL archiving + Hyper Backup offsite
- Almacenamiento en México, contrato de procesamiento de datos documentado
¿Qué pasa si no cumples?
La NOM-004 es norma de cumplimiento obligatorio bajo la Ley General de Salud. El incumplimiento puede derivar en:
- Sanciones administrativas de COFEPRIS: desde amonestación hasta clausura temporal.
- Consecuencias en demandas médicas: un expediente incompleto, sin firma válida o con alteraciones es la principal herramienta en tu contra en un proceso de responsabilidad profesional. El expediente bien llevado es tu mejor defensa.
- Inhabilitación para ejercer: en casos de reincidencia o negligencia documentada.
La buena noticia: la norma no exige tecnología costosa. Exige orden, trazabilidad y autenticidad. Eso es exactamente lo que un expediente electrónico bien implementado garantiza.
El siguiente paso
Si después de leer este artículo no tienes certeza de que tu sistema actual cumple cada punto del checklist — ese es el momento de revisarlo. No cuando llegue una auditoría o una demanda.
Si usas Nexus Med, ya tienes cada uno de esos requisitos cubiertos. Si usas otro sistema, aplica el checklist de esta página y pregunta específicamente por el log de auditoría y la firma digital. Si la respuesta es vaga — es una bandera roja.