Cumplimiento Salud

NOM-024-SSA3 y el expediente clínico electrónico: lo que tu CIO debe saber en 2026.

NOM-024-SSA3-2010 sigue siendo el "north star" del expediente clínico electrónico en México. Pero el ECE ya no se vive como un proyecto interno aislado del HIS — vive en una conversación más grande sobre interoperabilidad, retención, trazabilidad y privacidad. Qué exige hoy, qué controles operacionales puede soportar realmente un stack documental B2B, y qué requiere integración con terceros.

Cada cierto tiempo aparece un proveedor de tecnología prometiendo una "solución completa para NOM-024-SSA3". La realidad es más matizada: ningún producto B2B —ni el HIS más caro del mercado, ni el ECM más sofisticado— cubre por sí solo todos los componentes que la norma exige. NOM-024 es un marco regulatorio que toca múltiples dominios técnicos a la vez. Lo que sí existe son capas que cubren componentes específicos, y un stack bien diseñado integra varias.

Este post no es una guía exhaustiva de la norma. Es un análisis honesto de qué controles operacionales puede soportar un stack documental B2B (gestión documental, captura inteligente, print management) sin claims falsos — y dónde necesariamente hay que integrar con un HIS, con un PSC autorizado o con la infraestructura propia del hospital.

Qué es NOM-024-SSA3, brevemente

NOM-024-SSA3-2010 —"Sistemas de información de registro electrónico para la salud. Intercambio de información en salud"— es la norma oficial mexicana que regula los sistemas de información clínica en el sector salud público y privado. Su objetivo central es garantizar la interoperabilidad y la integridad del expediente clínico electrónico (ECE) entre distintos prestadores de servicios de salud, sistemas de información hospitalaria (HIS), laboratorios, farmacias y otros componentes del ecosistema.

La norma establece requisitos en varias dimensiones: estructura del expediente, identificación inequívoca del paciente, semántica clínica (catálogos, códigos CIE), seguridad (control de acceso, integridad, confidencialidad), interoperabilidad (formatos de intercambio HL7, CDA), retención y conservación. Cubre tanto al sistema que produce el dato como al que lo recibe y archiva.

NOM-024-SSA3 conviven con otras normas y leyes que el CIO de un hospital debe coordinar: la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP), la NOM-035-SSA3 sobre criterios de operación del ECE, los lineamientos del CONAMED, y —si la institución atiende pacientes extranjeros o intercambia con sistemas internacionales— las equivalencias con HIPAA, GDPR o LGPD.

Componentes que NOM-024 exige al ECE

Sin pretender ser exhaustivos, los siete bloques que la norma exige al expediente clínico electrónico son:

  1. Identificación inequívoca del paciente. Cada paciente debe tener un identificador único institucional, conciliado con CURP cuando aplique, y trazable a través de episodios y servicios.
  2. Estructura clínica documentada. Episodios, notas, indicaciones, resultados de laboratorio, imágenes, recetas — cada uno con metadatos obligatorios y semántica controlada.
  3. Integridad del registro. Mecanismos que aseguren que un dato escrito no se altera silenciosamente. Versionado, audit trail, sellos de tiempo en eventos críticos.
  4. Control de acceso granular. Cada profesional debe ver solo lo que su rol y relación con el paciente permite. Logs de acceso conservados.
  5. Confidencialidad. Cifrado en tránsito y en reposo. Procedimientos para situaciones de emergencia (break-the-glass) con justificación auditable.
  6. Interoperabilidad. Capacidad de intercambiar información clínica con otras instituciones en formatos estandarizados (HL7 v2/v3, CDA).
  7. Retención. El expediente clínico debe conservarse durante el tiempo establecido por la legislación aplicable, con disponibilidad bajo solicitud autorizada.

Cada bloque tiene su propio nivel de complejidad y su propio "dueño técnico" en una arquitectura de hospital. Ninguno se puede "comprar en una sola caja".

Qué soporta realmente un stack documental B2B

Un stack documental como el de DOQSOFT (Docuo + Chronoscan + Gespage) no reemplaza al HIS. El HIS es el sistema clínico transaccional —ahí viven los episodios, las indicaciones, los CIE— y debe seguir siéndolo. Lo que un stack documental aporta es la capa que rodea al HIS: la digitalización del legacy en papel, el repositorio de documentos asociados al expediente que el HIS no maneja nativamente, y el blindaje del PHI que se imprime físicamente.

Concretamente:

Capa de digitalización clínica (Chronoscan)

Chronoscan aporta captura de documentos clínicos legacy con OCR + IA. Hospitales que arrastran décadas de papel —historias clínicas, hojas de enfermería, resultados— necesitan digitalizar ese acervo para poder integrarlo al ECE. Chronoscan procesa los documentos sin requerir plantillas específicas, extrae metadatos (folio, paciente, fecha, tipo de documento) y los entrega indexados.

Esto cubre parcialmente el bloque 2 (estructura clínica documentada) para los documentos que ya existen en papel. No cubre la creación nativa de notas clínicas — eso vive en el HIS.

Capa de repositorio documental (Docuo)

Docuo es un ECM con RBAC granular, audit log inmutable, retención configurable y cifrado AES-256 + TLS 1.3. Sirve como repositorio de documentos asociados al expediente que el HIS no maneja nativamente: consentimientos firmados, formatos administrativos, anexos clínicos, documentos de admisión y egreso, copias de identificación.

Esto cubre parcialmente los bloques 4 (control de acceso granular), 5 (confidencialidad — cifrado, segregación de tenants), y 7 (retención configurable por tipo de documento). El bloque 3 (integridad) lo soporta vía audit log inmutable y versionado.

Capa de seguridad del PHI en papel (Gespage + Hardware)

Aunque el ECE sea electrónico, cada hospital sigue imprimiendo PHI todos los días: hojas de evolución, recetas, indicaciones, expedientes para juntas médicas. Gespage con pull printing (release de la impresión solo cuando el usuario se autentica en el device con badge RFID), watermark de identidad en cada hoja y expiración automática de jobs no liberados aborda el riesgo del papel olvidado en bandejas — uno de los vectores más comunes de fuga de PHI.

Esto cubre parcialmente el bloque 5 (confidencialidad operacional) en el dominio físico — un dominio que muchos proyectos de ECE puramente digitales ignoran y que es donde se materializa una buena fracción de incidentes reales.

Aunque el ECE sea electrónico, cada hospital sigue imprimiendo PHI todos los días — y ahí es donde se materializa una buena fracción de incidentes reales.

Lo que está fuera del alcance del stack y requiere integración

Hay componentes que NOM-024 exige y que un stack documental no puede entregar por sí solo. Es importante nombrarlos para que no haya falsas expectativas:

  1. El HIS (Hospital Information System) clínico. Producir notas, registrar episodios, generar indicaciones, gestionar la prescripción electrónica — eso vive en el HIS. Docuo se integra al HIS, no lo reemplaza.
  2. Interoperabilidad HL7/CDA. El intercambio formal de información clínica con otras instituciones requiere conectores HL7 v2/v3, CDA o FHIR. Estos pueden integrarse vía middleware o motores de interoperabilidad — no son funcionalidad nativa de un ECM.
  3. Firma electrónica con valor probatorio NOM-151. Cuando un documento clínico requiere firma con sello de tiempo NOM-151-SCFI-2016 (por ejemplo, ciertos consentimientos informados o egresos), Docuo soporta firma electrónica nativa eIDAS (válida en UE y por reciprocidad) pero NOM-151 nativa requiere integración con un Prestador de Servicios de Certificación autorizado por la Secretaría de Economía. Esto es honesto: no afirmamos lo que no hacemos.
  4. Vigilancia epidemiológica. El reporte obligatorio a la Secretaría de Salud federal o estatal vive en el HIS y los sistemas SUIVE, no en un repositorio documental.
  5. Sello de tiempo confiable. Más allá del audit log de Docuo, ciertos eventos críticos del ECE pueden requerir sello de tiempo emitido por un PSC. Igual que NOM-151, esto se integra externamente.

Checklist práctico para el CIO de un hospital

Si estás planificando o auditando el cumplimiento de tu institución con NOM-024-SSA3, ocho preguntas concretas que vale la pena responder antes de la próxima auditoría:

  1. ¿Qué fracción del expediente clínico de tus pacientes activos sigue en papel? Si la respuesta es "no lo sabemos exactamente", es la primera pista de una digitalización pendiente.
  2. ¿Tu HIS produce los documentos en los formatos estandarizados que NOM-024 acepta para intercambio? HL7 v2 mínimo; v3/CDA para integración formal con otras instituciones.
  3. ¿El audit log de tu HIS y de tu repositorio documental es realmente inmutable, o se puede editar con privilegios elevados? Esto es crítico ante auditoría.
  4. ¿Cuántos minutos toma a un médico autorizado encontrar un documento clínico legacy específico de hace 5 años? Si la respuesta es horas o días, ya tienes parte del business case escrito.
  5. ¿Qué política de retención tienes implementada por tipo de documento clínico? No es lo mismo retención de una nota de evolución que de un consentimiento informado.
  6. ¿Tu hospital imprime PHI en impresoras compartidas sin pull printing? Si sí, tienes un vector de fuga material que no aparece en el discurso de "ECE digital".
  7. ¿Quién puede declarar break-the-glass y qué evidencia queda registrada? Las situaciones de emergencia son donde la trazabilidad es más crítica.
  8. ¿Cuándo fue tu última simulación de auditoría NOM-024? Si la respuesta es "nunca" o "hace más de dos años", la próxima debería estar en tu calendario.

Ningún producto B2B cubre por sí solo todos los componentes que NOM-024 exige. Lo que sí existe son capas que cubren componentes específicos — y un stack bien diseñado integra varias.

Conclusión

NOM-024-SSA3 no es un checklist que se firma una vez. Es un marco que vive en la operación diaria del hospital y que toca al HIS, al ECM, al print management, al middleware de interoperabilidad y al cuarto de auditoría. Un stack documental serio cubre componentes específicos —digitalización clínica con Chronoscan, repositorio con Docuo, blindaje del PHI físico con Gespage— sin reemplazar al HIS y sin claim de cobertura total.

Si estás evaluando proveedores que prometen "cumplimiento NOM-024 completo en una caja", la pregunta correcta es: ¿qué bloques específicos cubre tu producto, y qué bloques requieren integración con qué sistema? La respuesta honesta a esa pregunta separa a los proveedores que entienden compliance hospitalario de los que solo lo ponen en el deck de ventas.

En DOQSOFT trabajamos con hospitales y redes clínicas en México, EE.UU. y LATAM. La página de Salud tiene los escenarios concretos por tipo de institución, y los productos individuales —Docuo, Chronoscan y Gespage— detallan qué hace cada uno sin generalizar lo que no.