La Norma Oficial Mexicana NOM-004-SSA3-2012 publicada en el DOF el 15 de octubre de 2012, prescribe el marco general dentro del cual se integra, desarrolla y maneja el expediente clínico, como una herramienta necesaria para proteger el derecho a la salud.
Este instrumento está conformado por el conjunto de información y datos personales de un paciente, recabado en cualquier establecimiento para la atención médica de naturaleza pública o privada y se integra con documentos escritos, gráficos, ópticos, electrónicos y de otras tecnologías. Su objeto es el de tomar constancia de las distintas etapas del tratamiento médico, así como hacer una descripción del estado de salud y bienestar físico, mental y social de un paciente.
Los pacientes tienen derecho de titularidad sobre la información que proporcionan y por lo tanto, es necesario que se les otorgue una adecuada protección de datos personales conforme a los ordenamientos aplicables. Asimismo, implementa la necesidad del consentimiento expreso del paciente, en el caso de que el expediente clínico se vaya a proporcionar a un tercero.
Al tratarse de información relativa a la identidad personal, preferencia sexual, historial genético, y en general, del estado de salud de un paciente, se deben de considerar como datos personales sensibles al incidir en la esfera íntima, y su indebido tratamiento puede dar origen a que el titular sea discriminado o le cause un daño grave.
Respecto a la protección de los datos personales, la NOM solo hace hincapié al carácter de confidencialidad, como principal obligación de los responsables de los servicios médicos (de carácter privado o social), sin embargo, también señala que se deben observar las disposiciones relativas a la protección de esta información.
Es así que surge la necesidad de cumplir con lo previsto por la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP), que sitúa los principios y obligaciones que se deberán seguir en el tratamiento de los datos personales por los responsables, encargados o terceros.
La LFPDPPP establece que los responsables en el tratamiento de datos personales deberán de realizarlo bajo los principios de licitud, consentimiento, información, calidad, finalidad, lealtad, proporcionalidad y responsabilidad. En el caso del expediente médico, si bien tiene una finalidad de tutela a la salud, también es cierto que recaba información sensible que requiere de un manejo adecuado dentro de los límites de la ley.
Por consecuencia, los responsables de recabar información personal con el objetivo de prestar un servicio médico, deberán presentar el aviso de privacidad y requerir el consentimiento expreso, por tratarse de datos sensibles, a los titulares que hagan uso de estos servicios (art. 9, LFPDPPP).
