Dr. Alejandro Ríos Vega
Cardiología · Ciudad de México
Evaluación de exposición en manejo de datos personales de pacientes
Parcial
PARCIAL
El consultorio opera con brechas activas en el manejo de datos de pacientes. Los puntos identificados generan exposición hoy, no en un escenario hipotético.
3 críticos
4 medios
1 bajos
0 advertencias
RESUMEN EJECUTIVO
01
Se identificaron canales digitales y prácticas de comunicación que hoy operan sin formalización documental.
02
La exposición no proviene del expediente en sí, sino de la operación diaria alrededor del paciente: consentimientos, canales y accesos de personal.
03
Los puntos identificados tienen estructura de solución definida. El siguiente paso es activarla.
El sistema no modifica cómo operas. Estructura y respalda lo que ya ocurre en tu consultorio.
QUÉ CAMBIA EN TU CONSULTORIO (Y QUÉ NO)
NO CAMBIA
—Tu forma de dar consulta
—Tus canales actuales (WhatsApp, llamadas, etc.)
—Tu expediente clínico
SE ESTRUCTURA
·Los consentimientos que hoy ya ocurren
·Los accesos de personal
·El uso de herramientas digitales (IA, software, etc.)
·La relación con proveedores
HALLAZGOS ACTIVOS
CRÍTICO
H-03-F
Proveedor tecnológico con acceso a datos sin contrato vigente
Un proveedor tecnológico tiene acceso activo a datos de pacientes sin ningún contrato de encargo formalizado.
IMPACTO
Este proveedor maneja datos de pacientes sin instrumento legal que delimite su acceso. Si hay un incidente, el médico responde sin respaldo.
SIGUIENTE PASO
Se genera el contrato de encargo para este proveedor, con el acceso a datos de pacientes delimitado y firmado antes de continuar el uso. El contrato de encargo generado queda registrado en el expediente del consultorio dentro de DataPraxis.
CRÍTICO
H-05-B
Uso de WhatsApp para información clínica
El consultorio usa WhatsApp para compartir información clínica — habitualmente resultados o indicaciones — directamente con el paciente. Este canal requiere declaración formal en el aviso de privacidad y consentimiento documentado para ese uso específico.
IMPACTO
Datos sensibles de salud circulan por un canal sin trazabilidad formal ni consentimiento documentado para ese uso específico.
SIGUIENTE PASO
Se declara el canal en el aviso de privacidad y se incorpora el consentimiento correspondiente para el uso de WhatsApp con datos clínicos.
CRÍTICO
H-05-C
Recepcionista usa WhatsApp personal para comunicación con pacientes
El personal de recepción usa su teléfono personal para comunicarse con pacientes en nombre del consultorio.
IMPACTO
Datos de pacientes circulan por un dispositivo privado fuera del control del consultorio. No existe acuerdo que delimite la responsabilidad del personal en caso de incidente.
SIGUIENTE PASO
Se genera un acuerdo de confidencialidad y una política de uso del dispositivo personal, adaptados al rol de la recepcionista.
MEDIO
H-01-L-b
Transferencia de datos a médicos especialistas
El consultorio comparte información clínica con otros médicos para interconsulta o referencia.
Limitación: El flujo de datos hacia terceros —aunque sea verbal o por mensaje— debe estar declarado. Sin eso, el médico asume la responsabilidad sin poder acreditarla.
SIGUIENTE PASO
Se incorpora la interconsulta como flujo de transferencia en el aviso de privacidad, para que el paciente quede informado de ese uso. El aviso resultante es el que firma el paciente desde su celular antes de cada consulta.
MEDIO
H-02-B
Consentimiento clínico NOM-004 sin módulo de datos personales
Los pacientes firman un consentimiento informado clínico que no incluye el tratamiento de datos personales.
Limitación: El consentimiento existente cumple con NOM-004 pero deja sin cobertura los requisitos de la LFPDPPP 2025 sobre datos de salud.
SIGUIENTE PASO
Se genera un módulo de privacidad que se integra al consentimiento clínico existente, sin necesidad de reemplazarlo completamente.
MEDIO
H-03-A
Software de expediente sin contrato de encargo
El consultorio usa un software de expediente clínico sin contrato formal con el proveedor que delimite el tratamiento de datos.
Limitación: El proveedor opera con acceso a datos sensibles sin instrumento legal que regule ese acceso ni distribuya responsabilidades.
SIGUIENTE PASO
Se genera el Contrato de Encargo para el proveedor del software de expediente, con el alcance de acceso delimitado.
MEDIO
H-06-A
Personal de apoyo sin acuerdo de confidencialidad
El personal con acceso a datos de pacientes opera sin acuerdo formal que documente ese acceso. La confianza en el equipo es el punto de partida correcto — el acuerdo es el instrumento que respalda al médico ante cualquier incidente, independientemente de quién lo cause.
Limitación: No existe instrumento que delimite las obligaciones del personal ni que respalde al médico en caso de filtración o mal uso.
SIGUIENTE PASO
Se generan acuerdos de confidencialidad para el personal con acceso a datos de pacientes, listos para firma. Quedan incorporados al expediente operativo del consultorio dentro de DataPraxis.
BAJO
H-05-A
WhatsApp para citas no declarado en el aviso
El consultorio usa WhatsApp para enviar recordatorios o confirmar citas, sin que este canal esté mencionado en el aviso.
SIGUIENTE PASO
Se incluye WhatsApp como canal de comunicación para citas en el aviso de privacidad, con el alcance específico de ese uso.
ESTRUCTURA DE CUMPLIMIENTO REQUERIDA
Estos elementos quedan integrados en el expediente de cumplimiento de tu consultorio dentro de DataPraxis:
POLITICA
Politica de comunicacion digital con pacientes
CONTRATO
Contrato de Encargo Art. 50 urgente (software sin contrato)
NDA
Acuerdo de Confidencialidad recepcionista (laboral o independiente segun contrato)
POLITICA
Politica BYOD del consultorio
CONSENT.
Consentimiento Unificado (sustituye NOM-004 existente)
CONTRATO
Contrato de Encargo Art. 50 con proveedor de software de expediente
NDA
Acuerdo de Confidencialidad recepcionista sin contrato formal (version independiente)
PROTOCOL
Protocolo de revocación de acceso
QUÉ QUEDA CUBIERTO EN TU CONSULTORIO
·
Tu relación con proveedores tecnológicos queda respaldada en los contratos que te corresponde firmar
·
Los consentimientos que hoy ocurren quedan estructurados y verificables
·
El uso de canales digitales con pacientes queda declarado en tu documentación
·
El acceso de tu personal queda delimitado por acuerdos formales
·
Los flujos de información con otros médicos y laboratorios quedan declarados en tu aviso
INFORMACIÓN PENDIENTE DE COMPLETAR
Los siguientes datos son necesarios para que los documentos generados queden operativos y sin campos en blanco:
Cédula profesional
Especialidad (certificado)
Certificación NOM-024
Nombre de la recepcionista
Número de WhatsApp
Ubicación de los datos
Descripción uso de WhatsApp
Un documento con estos campos vacíos no es un instrumento válido. La evaluación queda condicionada hasta que se complete esta información.
Tu diagnóstico ya identifica qué necesita tu consultorio.
Activar el sistema implica:
·
Generar los documentos que cubren los puntos identificados
·
Integrarlos a tu operación sin cambiar tu flujo de consulta
·
Mantenerlos actualizados conforme evolucione la regulación
No es un análisis adicional. Es ejecutar lo que este reporte ya definió.
Activar DataPraxis en mi consultorio