Si tu gabinete o centro de imagen gestiona estudios en un sistema electrónico, la NOM-024-SSA3-2012 te aplica. No es opcional y no es solo para hospitales grandes: la norma cubre a cualquier establecimiento de atención médica que use software para registrar e intercambiar información de salud, centros de imagen diagnóstica incluidos.
La buena noticia: cumplirla no es un trámite imposible. La mala: mucho software que se vende en México no ayuda a cumplirla, y la responsabilidad termina siendo tuya. Aquí está lo que necesitas saber, sin tecnicismos.
Qué regula la NOM-024 (y qué no)
Es fácil confundirla con la NOM-004. La diferencia importa:
- NOM-004-SSA3-2012 regula el contenido del expediente clínico: qué debe incluir cada nota, cómo se firma, cuánto se conserva.
- NOM-024-SSA3-2012 regula el sistema que lo gestiona: cómo funciona el software, qué medidas de seguridad tiene y cómo intercambia información con otros sistemas de salud.
Según el texto oficial publicado en el DOF, el objetivo de la NOM-024 es regular los Sistemas de Información de Registro Electrónico para la Salud (SIRES) y los mecanismos para que los prestadores de servicios de salud registren, intercambien y consoliden información de forma segura.
Qué exige, en términos prácticos
Para un centro de imagen, lo que la norma pide se traduce en cuatro cosas concretas:
- Seguridad de los datos. Transmisión cifrada (HTTPS/TLS) y almacenamiento protegido. Los datos de salud son datos personales sensibles bajo la LFPDPPP.
- Integridad y trazabilidad. Las notas o reportes firmados no deben poder alterarse silenciosamente; los cambios se registran. Quién accedió a qué y cuándo debe quedar en bitácora.
- Interoperabilidad. El sistema debe poder intercambiar información con otros usando estándares —en imagen, eso significa DICOM, y en mensajería clínica, HL7.
- Disponibilidad. La información debe estar disponible cuando se necesita, con respaldos y continuidad.
Cuidado con el “cumplimiento NOM-024” en la publicidad
Existe una certificación NOM-024 emitida por la DGIS (Dirección General de Información en Salud). Un proveedor puede estar certificado, en proceso o simplemente afirmar que “cumple” sin respaldo. Son cosas distintas.
Antes de firmar con cualquier software, pregunta directo:
- ¿Están certificados por la DGIS, en proceso, o ninguno? Pide el estatus por escrito.
- ¿Los datos viajan y se almacenan cifrados? ¿Dónde está el centro de datos?
- ¿Exportan en DICOM estándar si decido cambiar de proveedor?
- ¿Hay bitácora de accesos y los reportes firmados quedan inalterables?
Una respuesta honesta —“estamos en evaluación para X”— vale más que un “sí, cumplimos todo” sin papeles. La norma te hace responsable a ti; necesitas un proveedor que sea transparente sobre su estatus real.
Dónde está LumenView en esto
Para ser claros y consistentes con lo que publicamos: LumenView cifra los datos en tránsito y reposo (AES-256), aloja en México, exporta en DICOM estándar sin costo y mantiene bitácora de accesos. El estatus puntual de certificación NOM-024 y otros estándares lo publicamos en la sección de cumplimiento —lo que está certificado y lo que está en evaluación, declarado tal cual.
Si estás evaluando software para tu centro de imagen, esa transparencia debería ser tu mínimo. Revisa nuestro estatus de seguridad y cumplimiento y compáralo con el de cualquier alternativa.