Ideas clave
- Recolecta solo la información necesaria para el propósito.
- Separa acceso clínico, administrativo y técnico.
- Controla exportaciones y canales de comunicación.
- Mantén evidencia de consentimiento y avisos cuando corresponda.
Privacidad desde el diseño
La privacidad debe incorporarse desde el modelado de datos, los roles, las pantallas y las integraciones. No es una política añadida después de implementar.
Controles operativos
- Avisos y finalidades.
- Consentimientos aplicables.
- Mínimo privilegio.
- Auditoría de consulta y cambio.
- Retención y eliminación controlada.
- Gestión de solicitudes e incidentes.
Mensajería y portales
Correo, WhatsApp y portales requieren reglas claras sobre qué se comparte, con quién, mediante qué autenticación y durante cuánto tiempo permanece disponible.
Terceros e integraciones
Los terceros deben evaluarse por finalidad, seguridad, contrato, subprocesadores y capacidad de eliminación o devolución. La interoperabilidad no debe convertirse en acceso indiscriminado.
Ciclo de vida del dato clínico
La protección debe cubrir recolección, uso, consulta, intercambio, archivo y eliminación. Cada etapa requiere propósito, responsable, controles y evidencia.
Los datos derivados, analíticos o seudonimizados también necesitan reglas, especialmente cuando se combinan fuentes o se utilizan para investigación, inteligencia artificial o benchmarking.
Acceso basado en necesidad y contexto
El rol por sí solo puede ser insuficiente. Algunas organizaciones requieren considerar relación asistencial, servicio, episodio, ubicación o urgencia. Los accesos excepcionales deben justificarse y auditarse.
Las revisiones periódicas deben identificar cuentas inactivas, privilegios excesivos, accesos masivos y exportaciones inusuales.
Privacidad en portales y comunicación
Los portales deben autenticar al paciente o representante, limitar la información visible y registrar descargas. Los mensajes deben revelar el mínimo necesario y evitar contenido clínico sensible en notificaciones abiertas.
El consentimiento debe ser comprensible y no utilizarse como sustituto de seguridad o de una finalidad legítima.
Evaluación de impacto y minimización
Antes de incorporar un nuevo módulo, integración o uso analítico, conviene identificar finalidad, categorías de datos, personas afectadas, flujo, almacenamiento, terceros, riesgos y controles. Esta evaluación permite detectar usos secundarios no previstos y reducir información innecesaria.
La minimización no significa eliminar datos clínicamente relevantes. Significa justificar cada elemento, limitar copias y evitar que los mismos datos se repliquen en hojas de cálculo, correos o sistemas auxiliares sin control. Menos copias y rutas más claras reducen exposición y facilitan atender derechos o incidentes.
Preguntas frecuentes
¿Los datos clínicos se consideran sensibles?
Sí. La legislación mexicana reconoce los datos de salud como datos personales sensibles y exige protección reforzada.
¿Todo usuario del hospital puede ver todo el expediente?
No debería. El acceso debe corresponder al rol, relación asistencial, propósito y reglas institucionales.
¿Puede enviarse información por WhatsApp?
Solo bajo reglas, consentimiento, plantillas, seguridad y evaluación de riesgos; no debe asumirse como canal irrestricto.
Documentos consultados
Referencias oficiales y técnicas relacionadas con este análisis.