Protección de datos de pacientes en México: LFPDPPP y mejores prácticas

Tus obligaciones como responsable

La ley exige, como mínimo:

• Aviso de privacidad: entregarlo al paciente y poder acreditarlo. Para datos sensibles se requiere consentimiento expreso y por escrito.
• Medidas de seguridad administrativas, técnicas y físicas proporcionales a la sensibilidad: para salud, el estándar es alto.
• Derechos ARCO: el paciente puede Acceder, Rectificar, Cancelar u Oponerse al tratamiento de sus datos; debes poder responder en los plazos de ley.
• Notificación de vulneraciones: si una brecha afecta significativamente a los titulares, debes informarles sin dilación.

Qué significan "medidas de seguridad" en la práctica

Para un consultorio, las medidas técnicas razonables hoy incluyen:

• Cifrado de datos sensibles en reposo (si roban el disco, no leen expedientes) y en tránsito (HTTPS).
• Control de acceso por usuario y rol: la recepcionista no necesita leer notas clínicas.
• Bitácora de accesos: saber quién abrió qué expediente y cuándo.
• Respaldos automáticos probados (un respaldo que nunca se ha restaurado es una esperanza, no un respaldo).
• Sesiones con expiración y segundo factor de autenticación para el personal.

El error más común: el archivo compartido

La práctica más riesgosa que vemos es el expediente en Word/Excel dentro de una carpeta compartida o un correo: sin cifrado, sin control de acceso, sin bitácora, y copiado en dispositivos personales. Una sola laptop perdida puede ser una vulneración masiva de datos sensibles con obligación de notificar a cada paciente.

Transferencias y proveedores

Si usas software en la nube, sigues siendo el responsable: exige a tu proveedor compromiso de confidencialidad, conocer dónde se alojan los datos, y que el aviso de privacidad que entregas al paciente refleje cualquier transferencia. Un proveedor serio te facilita estos documentos en lugar de evadirlos.