NOM-024 Paso a Paso: Checklist de Cumplimiento para tu Expediente Clínico Digital
Todo lo que tu sistema de expediente clínico electrónico necesita para cumplir con la NOM-024-SSA3-2010. Checklist práctico de requerimientos técnicos, de seguridad y operativos.
Si ya decidiste digitalizar los expedientes de tu clínica o consultorio, el siguiente paso es asegurarte de que el sistema que elijas cumpla con la NOM-024-SSA3-2010. No se trata solo de “tener el expediente en computadora” — la norma exige requerimientos técnicos y operativos muy específicos que tu plataforma debe cubrir desde el día uno.
En este artículo encontrarás un checklist completo de lo que la NOM-024 exige a los sistemas de información de registro electrónico para la salud. Úsalo para evaluar tu sistema actual o el que estás considerando implementar.
¿Qué es la NOM-024 y por qué importa?
La NOM-024-SSA3-2010 regula los Sistemas de Información de Registro Electrónico para la Salud (SIRES). Su objetivo es garantizar que los expedientes clínicos digitales sean:
- Auténticos: que quien dice haber creado un registro, realmente lo haya hecho
- Confidenciales: que solo personal autorizado acceda a información sensible
- Íntegros: que ningún dato pueda ser alterado sin dejar rastro
- Disponibles: que el sistema funcione cuando se necesita
A diferencia de la NOM-004 (que define qué debe documentarse en el expediente), la NOM-024 define cómo debe funcionar el sistema que lo almacena y gestiona.
El incumplimiento puede representar riesgos legales y sanciones para tu institución, y —más importante— exponer datos sensibles de tus pacientes.
Checklist NOM-024: los 10 requerimientos clave
✅ 1. Control de acceso y autenticación de usuarios
Tu sistema debe tener un mecanismo robusto de identificación de usuarios:
- Cada usuario con credenciales únicas (usuario + contraseña mínimo)
- Roles diferenciados: médico, enfermera, recepcionista, administrador — cada uno con permisos específicos
- Restricción por perfil: un recepcionista no puede acceder al historial clínico completo si no es su función
- Bloqueo automático por inactividad
👉 Qué preguntar al proveedor: ¿El sistema tiene gestión de roles granular? ¿Puedo definir qué pantallas ve cada perfil?
✅ 2. Pista de auditoría (audit trail)
Cada acción en el expediente debe quedar registrada de forma permanente:
- Quién realizó la acción (usuario identificado)
- Qué acción realizó (creó, modificó, consultó, eliminó)
- Cuándo (fecha y hora con sincronización de tiempo)
- Qué dato fue afectado
La pista de auditoría debe ser inalterable — nadie, ni el administrador del sistema, debe poder borrarla.
👉 Qué preguntar al proveedor: ¿El sistema genera logs de auditoría? ¿Son consultables y exportables?
✅ 3. No repudio y firma electrónica
En el entorno clínico, “no repudio” significa que un médico no puede negar haber generado una nota, una receta o un consentimiento. Para esto la norma exige:
- Firma electrónica o mecanismo equivalente para notas médicas
- Las notas firmadas no pueden editarse — solo se agregan notas de corrección o aclaración
- El sistema debe asociar cada registro a la identidad del firmante
✅ 4. Integridad de los datos
Los datos almacenados no deben poder ser alterados sin que quede evidencia. Esto implica:
- Versionado de registros: si se corrige algo, el sistema guarda la versión anterior
- No debe existir la opción de “borrar” un expediente o una nota clínica
- Las correcciones se hacen con notas de enmienda, no sobreescribiendo
✅ 5. Confidencialidad y seguridad de la información
La NOM-024 exige medidas técnicas para proteger los datos del paciente:
- Transmisión cifrada (HTTPS/TLS): la información viaja encriptada entre el navegador y el servidor
- Almacenamiento seguro: los datos en reposo deben estar protegidos
- Separación de entornos: entorno de pruebas separado del productivo
- Procedimientos documentados ante incidentes de seguridad
✅ 6. Disponibilidad y continuidad del servicio
El sistema debe estar disponible cuando el médico lo necesita:
- Nivel de servicio (SLA): ¿qué garantiza el proveedor en disponibilidad? 99.5% mínimo recomendado
- Respaldos automáticos y periódicos de la información (diarios como mínimo)
- Plan de recuperación ante desastres
- Sin dependencia de un solo servidor físico
👉 Un sistema 100% en la nube con infraestructura redundante cumple mejor este punto que uno instalado en un servidor local de la clínica.
✅ 7. Interoperabilidad
La NOM-024 considera la interoperabilidad como un requisito de largo plazo:
- Capacidad de exportar información en formatos estándar
- Compatibilidad con estándares como HL7 o equivalentes
- Posibilidad de generar reportes estadísticos para autoridades sanitarias (DGIS, IMSS, etc.)
✅ 8. Catálogos clínicos normalizados
Para que la información sea útil e intercambiable, el sistema debe usar catálogos estandarizados:
- CIE-10 (Clasificación Internacional de Enfermedades) para diagnósticos
- LOINC o equivalente para estudios de laboratorio
- Catálogos de medicamentos reconocidos (INFARMED, CAUSES, etc.)
✅ 9. Sincronización de tiempo
Parece trivial, pero tiene implicaciones legales: todos los registros deben tener la fecha y hora correctas:
- Sincronización automática con servidor de tiempo (NTP)
- No debe ser posible manipular la hora del sistema para alterar registros retroactivamente
✅ 10. Documentación del sistema y capacitación
La norma también exige que el proveedor del sistema entregue:
- Manual de usuario en español
- Documentación técnica del sistema
- Evidencia de que el personal fue capacitado en su uso
- Soporte técnico disponible
¿Cómo evaluar si tu sistema actual cumple?
Una vez que tienes el checklist, usa estas preguntas directas con tu proveedor:
| Requerimiento | Pregunta clave |
|---|---|
| Autenticación | ¿Tiene gestión de roles con permisos granulares? |
| Auditoría | ¿Genera audit trail inalterable? ¿Lo puedo exportar? |
| No repudio | ¿Las notas clínicas tienen firma electrónica? |
| Integridad | ¿Hay versionado de registros? ¿Se puede “borrar” información? |
| Seguridad | ¿Usa HTTPS? ¿Dónde se almacenan los datos? |
| Disponibilidad | ¿Qué SLA ofrecen? ¿Con qué frecuencia hay backups? |
| Interoperabilidad | ¿Exporta a HL7? ¿Usa CIE-10 para diagnósticos? |
| Soporte | ¿Tienen manual en español? ¿Equipo local en México? |
Si el proveedor no puede responder claramente alguna de estas preguntas, es una señal de alerta.
Lo que muchos sistemas pasan por alto
En la práctica, los puntos que más frecuentemente fallan en una auditoría son:
- Roles demasiado amplios: todos los usuarios tienen acceso a todo porque “es más fácil”
- Sin audit trail real: el sistema registra quién entró, pero no qué modificó
- Backups sin verificar: se hacen respaldos, pero nadie verifica que se puedan restaurar
- Servidores locales sin mantenimiento: una clínica con el servidor debajo del escritorio del recepcionista no cumple con disponibilidad ni seguridad
SaludTotal y la NOM-024
SaludTotal fue diseñado desde su origen para cumplir con los requerimientos de la normatividad mexicana. Esto incluye:
- Control de acceso por roles: cada perfil (médico, enfermera, admisión, dirección) tiene permisos diferenciados
- Pista de auditoría completa: cada acción queda registrada con usuario, fecha/hora y tipo de operación
- Notas clínicas no modificables: las correcciones se hacen con notas de enmienda, no sobreescribiendo
- Infraestructura en la nube: sin servidores en la clínica, con respaldos automáticos
- CIE-10 integrado: catálogo de diagnósticos normado incluido en el ECE
- Soporte local en México: equipo en el mismo huso horario y sin barreras de idioma
La implementación incluye capacitación del personal y documentación entregada al cliente — cubriendo también el requerimiento documental de la norma.
¿Listo para verificar el cumplimiento de tu sistema?
Si quieres saber si tu sistema actual cumple con la NOM-024, o si estás evaluando opciones para digitalizar tu clínica, nuestro equipo puede hacer un diagnóstico sin costo.
Agenda una demo en saludtotal.mx y te mostramos exactamente cómo SaludTotal cubre cada punto de este checklist en la práctica.