Volver al blog
9 de julio de 20266 min de lectura

¿Se puede usar ChatGPT en un consultorio médico sin violar la privacidad del paciente?

Qué se puede y qué no se puede hacer con ChatGPT en un consultorio médico en México respecto a la Ley Federal de Protección de Datos Personales y la NOM-024. Casos de uso seguros vs prohibidos.

Respuesta corta. Sí, se puede usar ChatGPT en un consultorio médico en México, pero solo para tareas que no involucren datos personales identificables del paciente. Redactar contenido genérico, resumir literatura, preparar textos para tu página web o guionar reels: sí. Pegar el expediente, nombre, resultados de estudios o mensajes de WhatsApp del paciente en el chat: no, salvo que uses un servicio con acuerdo de confidencialidad y almacenamiento seguro que cumpla LFPDPPP.

Por qué esto no es un tema técnico, es un tema legal

En México la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) y la NOM-024-SSA3-2012 regulan cómo se maneja información médica. Cuando pegas el nombre de un paciente y su padecimiento en una herramienta que corre en servidores de terceros fuera del país, estás compartiendo datos personales sensibles sin consentimiento específico y sin garantía de dónde se almacenan.

La OpenAI de consumo (ChatGPT gratis o Plus) no está diseñada para manejo de datos protegidos de salud. Los planes empresariales (ChatGPT Team, Enterprise, o la API con configuraciones específicas) permiten no usar tus datos para entrenamiento, pero el cumplimiento LFPDPPP requiere más que eso: aviso de privacidad específico, consentimiento del paciente y contratos con el proveedor.

Usos que SÍ puedes hacer con ChatGPT en tu consultorio (sin riesgo)

Contenido genérico y educación

  • Redactar el borrador de un artículo para tu blog: "Escribe un artículo sobre 5 mitos de la hipertensión".
  • Resumir un artículo científico que tú ya leíste para publicar en tus redes.
  • Generar ideas de reels o posts semanales.
  • Crear guiones para videos educativos, sin nombres ni casos reales.

Textos de tu página web y comunicación general

  • Reescribir tu bio profesional en tono más cercano.
  • Redactar tu aviso de privacidad para el consultorio con base en la LFPDPPP (siempre validar con abogado).
  • Generar preguntas frecuentes para tu web.
  • Preparar respuestas plantilla para reseñas de Google.

Administración interna del consultorio

  • Redactar plantillas de correo para pacientes (recordatorios, seguimientos) siempre y cuando personalices después sin subir datos reales.
  • Generar checklist para el consultorio, políticas internas, guiones de asistente.
  • Analizar hojas de cálculo con datos anonimizados (sin nombres, sin identificadores).

Usos que NO debes hacer (aunque parezcan inofensivos)

Nunca pegar información identificable

  • Copiar el expediente clínico, la historia clínica o los estudios de un paciente.
  • Pegar el mensaje de WhatsApp o correo del paciente para "pedirle a ChatGPT que le responda".
  • Subir fotos clínicas identificables.
  • Pegar resultados de laboratorio con nombre del paciente.
  • Compartir grabaciones de consultas transcritas con nombre.

La razón: aunque tú borres la conversación después, los datos ya salieron de tu control. No sabes en qué servidor terminaron ni por cuánto tiempo. Si el paciente no dio consentimiento específico para eso, incumples la ley.

Nunca usar ChatGPT como fuente diagnóstica

Es otro tema, pero conviene decirlo: ChatGPT no es una herramienta clínica validada. Puede ayudarte a repasar diagnósticos diferenciales conocidos, pero cualquier decisión médica debe salir de guías clínicas y tu criterio, no de un chatbot.

Cómo usar IA de forma segura en tu consultorio

Opción 1: Solo tareas genéricas

La regla de oro: si borras el texto y no queda nada que identifique a un paciente, puedes usar ChatGPT normal. Todo lo demás, no.

Opción 2: Servicios de IA con acuerdos de manejo de datos

Si necesitas IA para tareas que involucran datos de paciente (transcribir consultas, resumir expedientes, generar cartas de referencia), busca proveedores que:

  • Firmen un acuerdo de encargado del tratamiento conforme LFPDPPP.
  • Almacenen los datos con cifrado en reposo y en tránsito.
  • Te permitan borrar los datos permanentemente cuando lo pidas.
  • No usen tus conversaciones para entrenar modelos.
  • Te den un DPA (Data Processing Agreement) por escrito.

Opción 3: Anonimización antes de subir

Si tienes que pedirle a ChatGPT algo cercano al caso real, quita nombres, edades específicas, fechas identificables, ubicaciones exactas. "Paciente de 40 años con hipertensión mal controlada" es aceptable; "Juan Pérez, 42, colonia X, con expediente 1234" no.

Qué debe decir tu aviso de privacidad si usas IA

Si en tu operación diaria vas a usar ChatGPT u otra IA con datos de pacientes (incluso solo para tareas administrativas), tu aviso de privacidad debe declarar:

  • Qué tipo de datos van a herramientas de IA.
  • Con qué finalidad.
  • Si hay transferencia internacional de datos (OpenAI opera en Estados Unidos).
  • El derecho del paciente a oponerse a ese uso específico.

Actualizar tu aviso es un paso necesario si vas a integrar IA en tu flujo. Un mal aviso te expone más que la propia herramienta.

Tres reglas prácticas para el día a día

  1. Si el paciente puede ser reconocido en el texto que pegas, no lo pegues. Punto.
  2. Si es contenido genérico o creativo, adelante. Reels, blog, guiones, ideas de campaña.
  3. Para tareas clínicas con datos, usa herramientas dedicadas al sector salud con contrato firmado.

Preguntas frecuentes

¿Puedo pedirle a ChatGPT que redacte una carta para un paciente si le cambio el nombre?

Depende. Si cambias nombre y datos identificables (ubicación, fechas específicas, número de expediente), reduces mucho el riesgo. Pero si el conjunto de datos permite reconstruir la identidad (por ejemplo, "cirujano plástico en X ciudad con paciente con implantes retirados"), sigues expuesto.

¿ChatGPT Team o Enterprise sí cumple con LFPDPPP?

OpenAI ofrece opciones donde tus conversaciones no se usan para entrenamiento y hay controles de seguridad más fuertes. Aun así, para cumplimiento LFPDPPP necesitas contrato firmado con el proveedor, avisar al paciente y tener base legal. Cumplimiento técnico no es cumplimiento legal automático.

¿Y si es un consultorio en Estados Unidos con HIPAA?

En Estados Unidos hay planes específicos de OpenAI con BAA (Business Associate Agreement) para HIPAA. En México el marco es LFPDPPP y NOM-024, y no existe un BAA equivalente estándar; hay que negociar contrato específico.

Siguiente paso: tu operación digital cumpliendo la ley

Usar IA está bien, es útil, y en 2 años va a ser inevitable. Lo que no puedes hacer es adoptar herramientas sin actualizar tu aviso de privacidad conforme NOM-024 ni proteger la información de tus pacientes. Empieza teniendo la base bien construida.

Arma tu consultorio digital con immed sobre bases sólidas de privacidad.

Crea tu sitio web profesional en minutos

IMMED te ayuda a tener presencia digital sin necesidad de conocimientos tecnicos.

Comenzar ahora