Guía completa NOM-024-SSA3: Expediente Clínico Electrónico en México
Si manejas o vas a abrir una clínica, hospital o consultorio en México, necesitas conocer la NOM-024-SSA3-2012. Es la norma oficial que regula los Sistemas de Información de Registro Electrónico para la Salud, y aplica a todos los establecimientos del Sistema Nacional de Salud — públicos y privados. En esta guía te explicamos qué exige, cómo cumplirla, qué pasa si no, y cuánto cuesta hacerlo bien.
¿Qué es la NOM-024-SSA3?
La NOM-024-SSA3-2012, publicada en el Diario Oficial de la Federación el 30 de noviembre de 2012, establece los objetivos funcionales y funcionalidades que deberán observar los productos de Sistemas de Expediente Clínico Electrónico (ECE) para garantizar la interoperabilidad, procesamiento, interpretación, confidencialidad, seguridad y uso de estándares y catálogos de la información en los servicios de salud.
En lenguaje claro: dice qué tiene que hacer cualquier software de expediente clínico electrónico que se use en México, para que sea legalmente válido y seguro para los pacientes.
Aplica a TODOS los establecimientos de salud
No importa si es un consultorio individual, una clínica privada pequeña, un centro de imagenología o un hospital de tercer nivel. Si manejas información clínica de pacientes en formato electrónico, tu sistema debe cumplir NOM-024-SSA3.
¿Qué exactamente exige la norma?
La NOM-024 establece requisitos obligatorios en 5 grandes áreas:
1. Funcionalidad clínica
- Captura completa del expediente: historia clínica, notas de evolución, prescripciones, resultados de laboratorio, estudios de imagen, signos vitales
- Plantillas configurables por especialidad médica
- Catálogos estandarizados: CIE-10 para diagnósticos, ATC para medicamentos, LOINC para laboratorio
- Firma electrónica del médico responsable
- Receta médica electrónica con validaciones
2. Interoperabilidad
- Estándares HL7 para intercambio de información clínica entre sistemas
- DICOM para estudios de imagen médica
- Capacidad de integrarse con otros sistemas hospitalarios (RIS, LIS, PACS, ERP)
- Generación de archivos compatibles con CFDI para facturación
3. Seguridad y confidencialidad
- Control de accesos por roles (médico, enfermería, administrativo, etc.)
- Bitácora de auditoría completa: quién accedió a qué expediente, cuándo y desde dónde
- Cifrado de datos sensibles en almacenamiento y en tránsito
- Cumplimiento con la LFPDPPP (Ley Federal de Protección de Datos Personales en Posesión de Particulares)
- Mecanismos de respaldo y recuperación ante desastres
4. Procesamiento y reportes
- Generación automática de reportes de productividad médica
- Reportes para autoridades sanitarias (DGED, INEGI, IMSS, ISSSTE según aplique)
- Estadísticas operativas para toma de decisiones
5. Conservación de información
Los expedientes clínicos electrónicos deben conservarse mínimo 5 años a partir del último acto médico, en condiciones que garanticen su integridad, autenticidad y disponibilidad.
¿Quiénes están obligados a cumplir la NOM-024?
Establecimientos obligados
- Hospitales públicos (Secretaría de Salud, IMSS, ISSSTE, ISSEMyM, etc.)
- Hospitales privados de cualquier tamaño
- Clínicas privadas que usen sistemas electrónicos
- Consultorios médicos con software de expediente
- Centros de imagenología y laboratorios clínicos
- Centros de rehabilitación y atención especializada
- Aseguradoras médicas (para sus sistemas de gestión clínica)
- Proveedores de software médico que vendan en México
Nota crítica: Si todavía manejas tu clínica con expedientes en papel, NOM-024 no aplica directamente — pero la NOM-004-SSA3 sí lo regula. La NOM-024 entra en juego en el momento que digitalizas, aunque sea parcialmente.
¿Qué pasa si NO cumplo la NOM-024?
Sanciones por incumplimiento
La Secretaría de Salud, COFEPRIS y autoridades estatales pueden aplicar las siguientes sanciones bajo la Ley General de Salud:
- Amonestación con apercibimiento
- Multa económica de 50 a 16,000 días de salario mínimo (de ~$5,000 hasta ~$1,600,000 MXN según gravedad)
- Clausura temporal o definitiva del establecimiento
- Arresto hasta por 36 horas en casos graves
- Pérdida de licencia sanitaria
- Acciones civiles por parte de pacientes afectados (LFPDPPP)
Más allá de la sanción legal, los riesgos REALES de un ECE no conforme con NOM-024 son:
- Pérdida de información médica sin respaldos adecuados
- Filtraciones de datos de pacientes que generan demandas y daño reputacional
- Imposibilidad de auditar quién accedió a qué información (problema legal)
- Documentos clínicos sin validez legal en procesos judiciales
- Pérdida de certificaciones hospitalarias (CSG, JCI)
¿Cómo se verifica que un ECE cumpla NOM-024?
El proceso oficial de validación lo realiza la Dirección General de Información en Salud (DGIS) de la Secretaría de Salud. Hay dos niveles:
Validación NOM-024 (mínimo legal)
Verificación documental y técnica de que el sistema cumple los requisitos básicos. Es lo MÍNIMO para operar legalmente. La maneja la propia DGIS.
Certificación CENETEC (recomendado)
Certificación voluntaria pero altamente recomendada. La emite el Centro Nacional de Excelencia Tecnológica en Salud. Un sistema certificado por CENETEC tiene mayor aceptación por parte de aseguradoras, hospitales grandes y procesos de licitación pública.
¿Cuánto cuesta implementar un ECE conforme a NOM-024?
| Tipo de establecimiento | Modalidad | Inversión inicial | Mantenimiento anual |
|---|---|---|---|
| Consultorio individual | SaaS / Cloud | $15,000 - $40,000 | $8,000 - $24,000 |
| Clínica pequeña (2-5 médicos) | Cloud o híbrido | $60,000 - $150,000 | $30,000 - $80,000 |
| Clínica mediana (6-15 médicos) | Híbrido | $200,000 - $500,000 | $80,000 - $200,000 |
| Hospital pequeño-mediano | On-premise | $600,000 - $2,000,000 | $200,000 - $500,000 |
| Hospital grande / red | Enterprise | $2,000,000+ | $500,000+ |
Estos rangos incluyen software, integración con sistemas existentes, capacitación, validación técnica y soporte inicial. NO incluyen hardware (servidores, equipos de cómputo).
¿Cómo elegir un proveedor que cumpla NOM-024?
Checklist para evaluar proveedores
- Cuenta con validación NOM-024 demostrable (no solo "afirma" que cumple)
- Idealmente cuenta con certificación CENETEC vigente
- Maneja estándares HL7 v2/v3, FHIR y DICOM nativo
- Catálogos CIE-10, ATC, LOINC actualizados
- Firma electrónica avanzada (e.firma SAT integrable)
- Bitácora de auditoría completa con sellos de tiempo
- Cifrado AES-256 mínimo, TLS 1.3 en transmisión
- Política clara de respaldos y plan de recuperación ante desastres
- Acuerdo de confidencialidad (NDA) y aviso de privacidad LFPDPPP
- Soporte técnico 24/7 con SLA por escrito
- Capacitación incluida para todo tu personal
- Casos de éxito en clínicas similares a la tuya en México
- Garantía de portabilidad de datos al cierre del contrato
Errores comunes al implementar un ECE
⚠️ Lo que NO debes hacer
Errores frecuentes que vemos en clínicas que implementan ECE por su cuenta:
- Comprar software extranjero sin adaptación a NOM-024 mexicana
- Usar sistemas "todo-en-uno" gratuitos sin validación oficial
- Capacitar solo al gerente y no a todo el equipo médico
- No migrar el histórico de expedientes (queda en limbo legal)
- No documentar el proceso de implementación (problema en auditorías)
- No firmar contrato de confidencialidad con el proveedor
- No tener plan B si el proveedor cierra (portabilidad de datos)
Recomendaciones finales
Implementar un ECE conforme a NOM-024 no es un gasto — es una inversión que protege tu operación legal, tus pacientes y tu reputación. Hazlo bien desde el principio:
- Contrata asesoría especializada antes de comprar cualquier software. El costo de la asesoría es 10x menor al costo de elegir mal.
- Pide demos REALES con tus casos de uso, no demos genéricas comerciales.
- Verifica las referencias del proveedor — habla con sus clientes existentes.
- Negocia contrato de portabilidad de datos antes de firmar.
- Capacita a TODO tu equipo — la mayoría de las fallas son humanas.
- Audita anualmente el cumplimiento de NOM-024 y LFPDPPP en tu sistema.
¿Necesitas implementar un ECE conforme NOM-024?
En IntraPC Solutions implementamos sistemas de Expediente Clínico Electrónico que cumplen NOM-024-SSA3 desde Guadalajara para todo México. Trabajamos con NDA desde el primer contacto y respondemos en menos de 24 horas hábiles.
Solicitar consultoría sin compromiso →