Volver al blog
27 de junio de 20264 min de lectura

Aviso de privacidad y NOM-024 en la página web de tu consultorio: qué exige la ley mexicana

Si tu consultorio tiene página web y maneja datos de pacientes, te aplican la LFPDPPP, la NOM-024-SSA3-2012 y la NOM-004. Qué tiene que decir tu aviso de privacidad, qué obligaciones digitales tienes y qué pasa si no cumples.

TL;DR: Si tu consultorio en México tiene página web, recibe datos de pacientes (formulario de contacto, agendado en línea, telemedicina, expediente clínico electrónico), te aplican tres marcos: la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP), la NOM-004-SSA3-2012 (expediente clínico) y la NOM-024-SSA3-2012 (sistemas de expediente clínico electrónico). El aviso de privacidad no es opcional; es obligatorio y debe estar publicado en tu sitio.

Qué marca cada norma

  • LFPDPPP: regula el tratamiento de datos personales en empresas y profesionistas independientes. Los datos de salud son "sensibles" y requieren consentimiento expreso por escrito.
  • NOM-004-SSA3-2012: regula el contenido del expediente clínico (qué incluye, cómo se firma, cuánto se conserva).
  • NOM-024-SSA3-2012: regula el sistema que maneja el expediente electrónico: cómo opera el software, qué medidas de seguridad debe tener, cómo intercambia información con otros sistemas de salud. Aplica si usas computadora o tableta para registrar información clínica.

Qué tiene que decir tu aviso de privacidad

El aviso de privacidad publicado en tu página web debe incluir, como mínimo:

  • Identidad y domicilio del responsable (tú o tu consultorio).
  • Datos personales recabados (nombre, contacto, datos clínicos, biométricos si aplican).
  • Finalidades primarias (atención médica, expediente, facturación) y secundarias (marketing, contacto futuro) con opción de oposición a las secundarias.
  • Transferencias a terceros (laboratorio, aseguradora, hospital de referencia) y si requieren consentimiento separado.
  • Mecanismo para ejercer derechos ARCO (Acceso, Rectificación, Cancelación, Oposición): correo, formulario, dirección postal.
  • Medidas de seguridad implementadas.
  • Procedimiento para cambios al aviso.

El aviso completo va publicado en una URL fija ("/aviso-de-privacidad") y enlazado desde el pie de página y desde cualquier formulario donde captures datos. Una versión simplificada va en el primer contacto con el paciente.

Qué obligaciones digitales tienes si tu página recibe datos

  • Consentimiento expreso por escrito o digital para datos sensibles (todo lo clínico). Una casilla genérica no basta.
  • Cifrado HTTPS en todo el sitio (no solo en checkout o agenda).
  • Almacenamiento seguro de la base de datos donde queden los formularios o expediente, con respaldo y control de acceso.
  • Control de quién accede al expediente, con bitácora si usas sistema NOM-024 compatible.
  • Convenio con proveedores tecnológicos (CRM, hosting, telemedicina) que actúen como encargados.
  • Notificación de incidentes al titular en caso de vulneración de datos.

Qué pasa si no cumples

La LFPDPPP contempla sanciones que pueden ir desde apercibimiento hasta multas equivalentes a miles de UMA, dependiendo de la gravedad y de si los datos son sensibles. En el ámbito sanitario, la falta de cumplimiento puede usarse en demandas civiles, además del riesgo reputacional ante el paciente.

Preguntas frecuentes

¿Necesito aviso de privacidad si solo tengo formulario de contacto?

Sí. Cualquier dato que capture identidad y contacto entra en LFPDPPP. Es obligatorio publicar aviso y obtener consentimiento.

¿Mi proveedor de página web es responsable de mis datos?

No. Tú eres el responsable. Tu proveedor (immed u otro) es el encargado: necesitas un convenio que defina las medidas de seguridad y responsabilidades.

¿Si uso WhatsApp para citas también aplica?

Sí. La conversación con datos clínicos por WhatsApp también entra en LFPDPPP. Lo recomendable es que el primer mensaje incluya un aviso corto y enlace al aviso integral.

¿Cuánto tiempo debo conservar el expediente?

NOM-004 establece mínimo 5 años desde el último acto médico, salvo casos específicos donde se extiende. El expediente electrónico debe garantizar integridad durante ese periodo.

Soluciónalo de una

Con immed tu página ya viene con aviso de privacidad base, conexiones cifradas, agenda con consentimiento expreso y diseño que cumple las obligaciones digitales. Crea tu página web para médicos sin pelear con la parte legal.

Lectura relacionada: qué debe tener la página web de un consultorio médico y si conviene tener blog en tu página web.

Crea tu sitio web profesional en minutos

IMMED te ayuda a tener presencia digital sin necesidad de conocimientos tecnicos.

Comenzar ahora