MEDICISALUDPrueba gratis
Legal · LFPDPPP · Privacidad

LFPDPPP en consulta privada: cómo manejar legalmente los datos de sus pacientes

La Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP), publicada en el DOF el 5 de julio de 2010, es la principal ley de privacidad que aplica a médicos en consulta privada en México. Sus obligaciones van más allá de tener un aviso de privacidad: abarcan el consentimiento, la retención, los derechos de los pacientes y el uso de herramientas digitales.

Datos sensibles de salud: régimen especial

El Artículo 3, fracción VI de la LFPDPPP clasifica los datos de salud como "datos personales sensibles". Esto les otorga la máxima protección bajo la ley, lo que significa:

  • Consentimiento explícito (Art. 9): No basta el consentimiento tácito. El paciente debe otorgar autorización expresa —escrita o por medios electrónicos equivalentes— para que usted recabe y procese sus datos de salud.
  • Finalidad específica (Art. 12): Solo puede usar los datos para los fines declarados en el aviso de privacidad. Compartirlos con terceros (incluyendo sistemas de IA externos) requiere un consentimiento adicional.
  • Minimización (Art. 13): Solo recabe los datos estrictamente necesarios para la atención médica. No puede solicitar datos sensibles adicionales "por si acaso".

El aviso de privacidad: qué debe incluir

El Artículo 15 de la LFPDPPP exige que todo responsable de datos (usted, como médico en consulta privada) ponga a disposición del titular un aviso de privacidad antes de recabar sus datos. El aviso debe incluir:

  • Identidad y domicilio del responsable (nombre del médico o la práctica, RFC, domicilio).
  • Finalidades del tratamiento (atención médica, facturación, comunicaciones por WhatsApp).
  • Transferencias previstas (laboratorio de análisis, especialistas a los que refiere).
  • Medios para ejercer derechos ARCO (Acceso, Rectificación, Cancelación, Oposición).
  • Uso de cookies o tecnologías de seguimiento si tiene sitio web o app.

IA en la consulta: el requisito de consentimiento adicional

Si su sistema de expediente electrónico utiliza inteligencia artificial para transcribir, analizar o sugerir diagnósticos a partir de los datos del paciente, el Artículo 9 de la LFPDPPP exige un consentimiento expreso adicional específico para ese procesamiento. No es suficiente que el aviso de privacidad general mencione el uso de IA en letra pequeña.

La mejor práctica es presentar al paciente, antes de la primera consulta, un formulario separado que explique qué hace la IA, qué datos procesa, durante cuánto tiempo retiene el audio o texto, y que le dé la opción de optar por no participar (opt-out) sin que eso afecte la calidad de su atención.

Derechos ARCO: qué puede pedir un paciente

El Capítulo IV de la LFPDPPP garantiza a los pacientes los siguientes derechos que usted debe estar preparado para atender en un plazo de 20 días hábiles:

  • Acceso: Solicitar copia de todos los datos que tiene de él.
  • Rectificación: Corregir datos inexactos o incompletos.
  • Cancelación: Solicitar la eliminación de sus datos. Ojo: esto puede estar limitado por la NOM-004 § 11.1 que exige 5 años de retención.
  • Oposición: Oponerse al uso de sus datos para finalidades secundarias (mercadotecnia, investigación).

Preguntas frecuentes

¿Puedo mandar resultados de laboratorio por WhatsApp?

WhatsApp estándar no cumple los requisitos de seguridad de la LFPDPPP para datos de salud, ya que los mensajes son procesados por Meta en servidores fuera de México sin contrato de transferencia de datos conforme al Artículo 37. WhatsApp Business API con cifrado de extremo a extremo y contrato de responsable-encargado puede ser una alternativa si se implementa correctamente.

¿Tengo que registrarme ante el INAI como responsable de datos?

La LFPDPPP no exige registro previo ante el INAI (a diferencia de regímenes europeos). Sin embargo, sí debe tener su aviso de privacidad disponible y sus políticas internas documentadas. El INAI puede requerir estos documentos en caso de queja o auditoría.

¿Qué pasa si un paciente solicita que se borren todos sus datos?

Debe atender la solicitud de cancelación, pero puede invocar la excepción de cumplimiento de obligaciones legales. La NOM-004 § 11.1 le obliga a conservar el expediente 5 años. Debe informar al paciente de esta limitación y del plazo exacto en que se eliminarán los datos.

Privacidad LFPDPPP integrada desde el primer día

Medici gestiona el consentimiento IA, elimina el audio a los 30 días y atiende derechos ARCO automáticamente.

Empezar gratis

Recursos relacionados

WhatsApp Business API para médicos en México →Consentimiento informado digital: requisitos NOM-004 →Medici: expediente clínico electrónico conforme →

Este contenido es informativo. Consulte con un asesor legal o de cumplimiento certificado antes de aplicar cambios a su práctica médica.

2026 Medici · Terminos · Privacidad · Recursos · Inicio