Protección de datos de pacientes en el consultorio dermatológico: lo que la ley te exige y cómo cumplir

Por Daniel Tapia · 28 de abril, 2026 · 9 min de lectura

Cuando un paciente llega a tu consultorio te entrega algo más que dinero por la consulta: te entrega sus datos de salud, historial médico, fotografías clínicas y en muchos casos información sensible sobre su vida personal. Toda esa información está protegida por ley — y como médico privado, tú eres el responsable legal de manejarla correctamente.

La Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) aplica a todos los consultorios privados en México. No es una ley pensada solo para empresas tecnológicas o grandes corporativos: si tienes pacientes y guardas su información, estás obligado a cumplirla. En este artículo te explicamos qué debes saber y cómo aplicarlo en tu práctica diaria.

¿Por qué aplica la LFPDPPP a tu consultorio?

La LFPDPPP define como "responsable" a cualquier persona física o moral que decida sobre el tratamiento de datos personales. Cuando como dermatólogo privado recopilas nombre, edad, historial clínico, fotografías de lesiones o diagnósticos de tus pacientes, eres el responsable del tratamiento de esos datos.

La ley distingue entre datos personales ordinarios (nombre, teléfono, dirección) y datos personales sensibles. Los datos de salud —incluyendo diagnósticos, tratamientos, fotografías clínicas y cualquier información que revele el estado físico de una persona— están clasificados como datos sensibles y reciben una protección especial.

Esto significa que no basta con guardar el expediente bajo llave o en una carpeta protegida con contraseña. La ley establece obligaciones concretas: aviso de privacidad, medidas de seguridad, derechos de los pacientes y restricciones sobre con quién puedes compartir la información.

El aviso de privacidad: obligatorio desde la primera consulta

El aviso de privacidad es el documento en el que informas a tus pacientes cómo vas a usar sus datos. Debes entregarlo (o ponerlo a disposición) antes o en el momento en que recopilas la información, no después.

Para un consultorio dermatológico, el aviso de privacidad simplificado debe incluir como mínimo:

• Identidad del responsable: tu nombre completo y cédula profesional
• Finalidades del tratamiento: para qué usas los datos (atención médica, seguimiento clínico, facturación)
• Transferencias: si compartes datos con terceros (laboratorios, hospitales, aseguradoras) y con qué propósito
• Derechos ARCO: cómo puede el paciente ejercer sus derechos de Acceso, Rectificación, Cancelación y Oposición
• Medio de contacto: correo electrónico o dirección donde el paciente puede enviar solicitudes

En la práctica, muchos dermatólogos incluyen el aviso de privacidad en la misma hoja de registro del paciente o en el consentimiento informado. Lo importante es que quede evidencia de que el paciente fue informado y aceptó el uso de sus datos.

Datos sensibles de salud: reglas especiales

Toda la información clínica que manejas en tu consultorio —diagnósticos, tratamientos, fotografías, estudios de laboratorio— está clasificada como dato sensible. La ley exige que para el tratamiento de este tipo de datos el paciente otorgue su consentimiento expreso y por escrito.

Esto tiene implicaciones concretas para tu práctica:

• Fotografías clínicas: necesitas consentimiento explícito no solo para tomarlas, sino para almacenarlas y usarlas. Si vas a utilizarlas para publicaciones académicas o redes sociales (aunque sea sin identificar al paciente), necesitas un consentimiento adicional.
• Compartir con terceros: enviar el expediente a un colega, a un laboratorio o a una aseguradora sin el consentimiento del paciente puede constituir una violación a la ley, salvo excepciones previstas (urgencias, orden judicial).
• WhatsApp y correo sin cifrar: enviar información clínica por canales no seguros expone al paciente y te expone a ti. Técnicamente es un tratamiento inadecuado de datos sensibles.

Derechos ARCO: qué puede pedirte un paciente

Todo paciente tiene derecho a ejercer los derechos ARCO sobre su información. Como responsable, estás obligado a responder dentro de los plazos que establece la ley (generalmente 20 días hábiles).

• Acceso: el paciente puede solicitar saber qué datos tienes sobre él y cómo los estás usando. Debes entregarle una copia de su información.
• Rectificación: si hay un error en los datos (nombre incorrecto, diagnóstico mal capturado), el paciente puede pedirte que lo corrijas.
• Cancelación: el paciente puede solicitarte que elimines sus datos. Sin embargo, la LFPDPPP reconoce que en el ámbito de salud hay obligaciones legales de conservación (la NOM-004 exige guardar el expediente al menos 5 años desde el último acto médico), por lo que la cancelación puede diferirse hasta cumplir ese plazo.
• Oposición: el paciente puede oponerse a que uses sus datos para finalidades secundarias, como enviarle promociones o compartirlos con laboratorios cosméticos.

En la práctica, tener un correo electrónico dedicado para solicitudes ARCO y documentar cada respuesta es suficiente para cumplir este requisito en un consultorio individual.

Medidas de seguridad que debes implementar

La ley exige implementar medidas de seguridad administrativas, físicas y técnicas proporcionales al volumen y sensibilidad de los datos que manejas. Para un consultorio dermatológico privado, esto se traduce en:

Medidas administrativas

• Definir quién tiene acceso al expediente (tú y tu asistente, no cualquier persona)
• Establecer una política clara de confidencialidad para el personal del consultorio
• Documentar los procesos de recopilación, uso y destrucción de datos

Medidas físicas

• Mantener los expedientes físicos bajo llave
• No dejar expedientes o pantallas con información de pacientes visibles en la sala de espera
• Destruir documentos con datos sensibles con destructora de papel, no solo tirándolos a la basura

Medidas técnicas

• Contraseñas robustas en computadoras y sistemas donde guardas expedientes
• Respaldo periódico de la información (mínimo semanal)
• Cifrado de información si la compartes por medios digitales
• No almacenar expedientes en servicios de nube sin términos de privacidad adecuados (Google Drive personal, por ejemplo, no cumple con los estándares para datos sensibles de salud)

Sanciones: ¿qué pasa si no cumples?

El INAI (Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales) es la autoridad que supervisa el cumplimiento de la LFPDPPP en el sector privado. Las sanciones van desde amonestaciones hasta multas económicas significativas.

Para un profesional independiente, las multas pueden ir de 100 a 320,000 veces el valor de la Unidad de Medida y Actualización (UMA). A partir de 2026, el valor de la UMA es aproximadamente $108.57 pesos diarios, por lo que las multas más graves pueden superar los 34 millones de pesos.

En la práctica, las investigaciones del INAI suelen iniciarse por denuncias de pacientes inconformes. Un paciente que siente que su información fue divulgada sin su consentimiento —por ejemplo, porque vio sus fotos clínicas publicadas en redes sociales del consultorio sin su permiso— puede presentar una queja formal que derive en una investigación.

Más allá de la multa, una sanción del INAI puede generar daño reputacional difícil de recuperar en un consultorio que vive de la recomendación.

3 errores frecuentes que cometen los dermatólogos

1. Publicar fotos de antes/después sin consentimiento específico

El consentimiento para el tratamiento médico no incluye automáticamente el consentimiento para publicar fotografías. Aunque la imagen esté "anonimizada", si hay datos del expediente o contexto que permitan identificar al paciente, sigue siendo un dato personal. Necesitas un documento separado que autorice explícitamente el uso de imágenes con fines de comunicación o marketing.

2. Compartir expedientes por WhatsApp

Enviar fotos clínicas, resultados de laboratorio o notas de evolución por WhatsApp es práctico, pero técnicamente incumple los requisitos de seguridad para datos sensibles de salud. Si lo haces, al menos asegúrate de tener el consentimiento expreso del paciente y de usar plataformas con cifrado de extremo a extremo. La solución más robusta es tener un sistema donde el paciente acceda a su propia información de forma segura.

3. No tener aviso de privacidad visible ni por escrito

Muchos consultorios no tienen aviso de privacidad o lo tienen solo en su sitio web, pero nunca se lo entregan al paciente en la consulta presencial. La ley exige que el aviso esté disponible antes de que el paciente entregue sus datos. Incluirlo en el formato de registro inicial es la forma más sencilla de cumplir esto.

Cómo un expediente clínico digital ayuda a cumplir la ley

Un sistema de expediente clínico digital bien diseñado resuelve varios de estos problemas de forma automática:

• Control de acceso: solo los usuarios autorizados pueden ver los expedientes, con registro de quién accedió y cuándo
• Cifrado en reposo y en tránsito: la información no viaja en texto plano ni se guarda sin protección
• Respaldo automático: elimina el riesgo de pérdida de información por robo, incendio o fallo de hardware
• Registro de consentimientos: puedes vincular el aviso de privacidad y los consentimientos firmados directamente al expediente del paciente
• Portabilidad segura: si necesitas compartir información con un colega o laboratorio, puedes hacerlo a través del sistema sin recurrir a canales inseguros

La protección de datos no es solo una obligación legal: es parte de la confianza que tu paciente deposita en ti. Un consultorio que maneja la información con cuidado transmite profesionalismo y genera lealtad a largo plazo.

Lista de verificación para tu consultorio

Antes de tu próxima consulta, verifica que tienes cubiertos estos puntos:

• ☐ Aviso de privacidad redactado y disponible para los pacientes
• ☐ Consentimiento expreso para el manejo de datos sensibles de salud (incluido en el formato de primera consulta)
• ☐ Consentimiento separado para uso de fotografías en comunicación o marketing
• ☐ Correo electrónico o mecanismo para atender solicitudes ARCO
• ☐ Contraseñas en todos los dispositivos donde se almacena información clínica
• ☐ Respaldo de la información (local y/o en la nube con cifrado)
• ☐ Personal del consultorio informado sobre confidencialidad

Cumplir con la protección de datos no requiere un equipo legal ni inversiones costosas. Requiere un proceso claro, documentos bien redactados y un sistema que ayude a mantener la información organizada y segura desde el primer día.