Introducción
La digitalización del sector salud en México exige mucho más que capacidad tecnológica.Los hospitales y clínicas que utilizan software de gestión integral hospitalaria deben operar bajo un marco normativo que proteja la confidencialidad, integridad, trazabilidad e interoperabilidad de la información clínica.
En este contexto, la NOM-004-SSA3-2012 y la NOM-024-SSA3-2012 constituyen las referencias centrales para cualquier sistema que gestione expediente clínico electrónico o procesos de información en salud. Cumplirlas no solo reduce riesgos regulatorios, sino que fortalece la calidad asistencial y la confianza en el uso de tecnología sanitaria.
¿Qué es un software hospitalario?
Un software de gestión integral hospitalaria es una plataforma tecnológica que centraliza los procesos clínicos, administrativos y operativos dentro de un hospital o clínica.
Estos sistemas suelen incluir funcionalidades como:
- Expediente clínico electrónico
- Agenda médica y gestión de citas
- Hospitalización y urgencias
- Farmacia y almacenes
- Facturación y administración
- Control de accesos y usuarios
Al manejar datos personales y datos clínicos sensibles, este tipo de software se encuentra dentro de un entorno regulado, donde la seguridad de la información y la correcta documentación son requisitos esenciales.
NOM-004 y expediente clínico
La NOM-004-SSA3-2012 regula el contenido, integración, uso, manejo, archivo y conservación del expediente clínico en México. Esta norma es aplicable a todos los establecimientos de atención médica, públicos y privados, independientemente de que el expediente sea físico o electrónico.
Desde la perspectiva del software médico, esto implica que el sistema debe permitir el registro de información clínica completa, organizada y accesible exclusivamente para el personal autorizado.
Asimismo, el software debe facilitar la conservación segura del expediente y garantizar la disponibilidad del historial clínico cuando sea requerido para la atención médica o para procesos de auditoría.
NOM-024 y sistemas electrónicos de información en salud
La NOM-024-SSA3-2012 se enfoca en los sistemas de información de registro electrónico para la salud y en el intercambio de información en salud.
Su objetivo es establecer los requisitos funcionales y técnicos que deben cumplir los sistemas de expediente clínico electrónico para asegurar:
- Interoperabilidad entre sistemas
- Procesamiento e interpretación de la información
- Confidencialidad y seguridad de los datos
- Uso de estándares y catálogos de información
En términos prácticos, esta norma exige controles como autenticación de usuarios, gestión de perfiles, trazabilidad de accesos, protección de datos y capacidad de intercambio con otros sistemas de salud.
Diferencia entre la NOM-004 y la NOM-024
La diferencia entre ambas normas puede resumirse de la siguiente manera:
- La NOM-004-SSA3-2012 define qué debe contener y cómo debe integrarse el expediente clínico.
- La NOM-024-SSA3-2012 regula cómo debe funcionar el sistema electrónico que gestiona ese expediente.
En otras palabras, la NOM-004 se centra en el contenido clínico y documental, mientras que la NOM-024 se enfoca en la capa tecnológica y funcional del software. Ambas deben cumplirse de forma simultánea.
Otras normas y consideraciones relevantes
Además de estas normas, el software sanitario en México debe alinearse con la legislación de protección de datos personales, especialmente cuando se tratan datos de salud.
También es relevante el papel de la Secretaría de Salud y de COFEPRIS en la vigilancia sanitaria y en la evaluación de soluciones tecnológicas que puedan considerarse sistemas de registro electrónico para la salud.
¿Qué debe exigir un hospital al evaluar un software?
Al seleccionar un software hospitalario, una institución debería revisar al menos los siguientes aspectos:
- Cumplimiento funcional con la NOM-004
- Cumplimiento técnico y de interoperabilidad con la NOM-024
- Gestión de roles, permisos y auditoría de accesos
- Respaldo, integridad y disponibilidad de la información
- Evidencia documental de cumplimiento por parte del proveedor
En el mercado mexicano, los hospitales valoran soluciones que faciliten el cumplimiento normativo, aporten trazabilidad y permitan operar con mayor seguridad jurídica y técnica.
Cambios críticos requeridos
1. NOM-004-SSA3-2012: Estructura del expediente clínico
- Identificación del paciente (CURP, NSS)
- Historia clínica numerada secuencialmente
- Consentimientos explícitos firmados digitalmente
- Interconsultas con firmas de especialistas
- Evolución médica diaria obligatoria
- Alta médica con resumen estructurado
2. NOM-024-SSA3-2012: Sistemas electrónicos de salud
- Logs inalterables (hash SHA-256 por cada modificación)
- Auditoría completa de accesos (quién, qué, cuándo)
- Codificación: CIE-10-AM y SNOMED CT México
- Preparación para SIRES (Sistema Nacional de Información en Salud)
- Firma electrónica avanzada FIEL/SAT
3. COFEPRIS: Registro sanitario
- Realiza diagnósticos automáticos
- Analiza imágenes clínicas
- Calcula dosificación terapéutica
- Clasifica riesgo del software (Clase I – III)
4. Codificación y estándares únicos
España: ICD-10-ES, NHC
México: CIE-10-AM, CURP, NSS, RFC, Catálogos CENSIA / INSP
Tabla comparativa: España vs México
| Aspecto | España (RGPD + LOPD) | México (NOMs + LFPDPPP) |
|---|---|---|
| ECE obligatorio | No (salvo CCAA específicas) | Sí, todos los establecimientos |
| Campos estructurados | Flexibles | 22 campos mínimos (NOM-004) |
| Auditoría de accesos | Recomendable | Obligatoria (NOM-024) |
| Codificación | ICD-10-CM | CIE-10-AM + SNOMED CT MX |
| Firma electrónica | Cl@ve, eIDAS | FIEL / SAT (obligatoria) |
| Registro ante autoridad | AEMPS (software de riesgo alto) | COFEPRIS (Clase I – III) |
| Interoperabilidad | HCDS / PHCIP | SIRES (en desarrollo) |
Riesgos reales del incumplimiento normativo
El incumplimiento de la NOM‑004 y la NOM‑024 tiene consecuencias graves para hospitales y prestadores de servicios de salud:
-
Sanciones por revelación indebida de expedientes:
multas significativas y responsabilidad legal para los prestadores de servicios de salud. -
Auditorías de COFEPRIS:
observaciones que pueden paralizar operaciones o exigir cambios costosos en el software. -
Brechas de seguridad:
el uso de herramientas no autorizadas, como WhatsApp para consultas médicas, infringe las leyes de protección de datos y expone a demandas por parte de los pacientes. -
Riesgo operativo:
sistemas no interoperables impiden compartir información con IMSS e ISSSTE, afectando el financiamiento y la continuidad asistencial.
Dato clave: La NOM‑024 es obligatoria para todo prestador que utilice un (Expediente Clínico Electrónico) ECE, y su certificación por CENETEC (Centro Nacional de Excelencia Tecnológica en Salud) es la validación oficial.
Conclusión
El software de gestión integral hospitalaria en México está directamente vinculado a un marco normativo que no puede ignorarse.
La NOM-004-SSA3-2012 y la NOM-024-SSA3-2012 establecen las bases para gestionar el expediente clínico de forma correcta, segura y tecnológicamente alineada con el entorno sanitario mexicano.
Cumplirlas no es una formalidad, sino una condición esencial para proteger al paciente, operar con seguridad jurídica y sostener procesos clínicos confiables.
Autor: Sara Nievas
Marketing communications Manager en Naturalsoft
