La Ley Federal de Protección de Datos Personales en Posesión de los Particulares regula cómo se tratan los datos personales —incluidos los datos sensibles de salud— en el sector privado mexicano.
La Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP), publicada en julio de 2010, regula el tratamiento de datos personales por parte de personas físicas o morales del sector privado. Su autoridad de control es el INAI.
Para una clínica privada, la LFPDPPP es la ley que rige cómo debe tratar los datos personales de sus pacientes —incluyendo datos personales sensibles como el estado de salud—. Su cumplimiento es obligatorio y su incumplimiento puede generar sanciones económicas significativas.
DCEMedSuite y las clínicas que lo utilizan operan en una relación clara: la clínica es responsable del tratamiento, DCEMedSuite es encargado. Esa distinción no es semántica — define quién toma qué obligaciones legales.
La LFPDPPP distingue dos figuras: el responsable —quien decide qué se hace con los datos— y el encargado —quien los procesa por cuenta del responsable—.
Determina las finalidades y medios del tratamiento de los datos clínicos de sus pacientes.
Obligaciones principales
Trata los datos clínicos por cuenta de la clínica cliente, sin determinar finalidades propias.
Obligaciones principales
Si DCEMedSuite quisiera reclamar propiedad sobre los datos clínicos, asumiría obligaciones de responsable —incluyendo atender directamente derechos ARCO de pacientes que no son sus clientes—. La arquitectura del producto refleja la realidad legal: cada clínica conserva el control sobre los datos de sus pacientes, y DCEMedSuite los procesa únicamente bajo instrucciones de la clínica.
La LFPDPPP establece ocho principios que todo responsable debe observar al tratar datos personales. DCEMedSuite los integra como obligaciones operativas tanto propias como en favor de las clínicas clientes.
El tratamiento de datos personales se realiza con apego a la legislación aplicable, sin engaño ni dolo.
Los datos se tratan con consentimiento del titular, salvo las excepciones previstas en la ley.
El titular conoce, mediante el aviso de privacidad, qué datos se recaban, para qué finalidades y quién los trata.
Los datos se mantienen exactos, completos y actualizados.
Los datos se tratan únicamente para las finalidades especificadas en el aviso de privacidad.
No se obtienen ni tratan datos a través de medios fraudulentos o engañosos.
Solo se tratan los datos estrictamente necesarios para la finalidad declarada.
Se garantiza el cumplimiento de los principios y deberes mediante medidas técnicas y administrativas.
La LFPDPPP define como datos personales sensibles aquellos que afectan la esfera más íntima del titular o cuya utilización indebida pueda dar origen a discriminación o conlleve un riesgo grave. Los datos relativos al estado de salud son explícitamente sensibles.
Para datos sensibles, la ley exige consentimiento expreso y por escrito —salvo las excepciones previstas, como atención de urgencias—. Las medidas de seguridad deben ser más estrictas, y la finalidad debe estar acotada y justificada.
La clínica recaba el consentimiento del paciente conforme a su propio aviso de privacidad. DCEMedSuite, como encargado, no requiere consentimiento adicional del paciente para procesar los datos —el consentimiento se otorgó al responsable—. Sin embargo, DCEMedSuite implementa las medidas de seguridad reforzadas que la ley exige para datos sensibles.
Cada paciente, como titular de sus datos, puede ejercer cuatro derechos frente a la clínica que lo atiende.
El titular puede solicitar conocer qué datos personales están en posesión del responsable y los detalles de su tratamiento.
El titular puede solicitar la corrección de datos inexactos, incompletos o desactualizados.
El titular puede solicitar la supresión de sus datos cuando considere que no son tratados conforme a los principios y deberes de la ley.
El titular puede oponerse al tratamiento de sus datos para finalidades específicas.
El paciente ejerce sus derechos ARCO ante la clínica que lo atiende —que es la responsable del tratamiento—. DCEMedSuite, como encargado, proporciona a la clínica las herramientas técnicas necesarias para responder a estas solicitudes: exportación de datos del paciente, rectificación de campos y supresión cuando corresponda. Para el ejercicio de derechos ARCO específicos sobre datos tratados directamente por DCEMedSuite, el paciente puede consultar nuestro Aviso de Privacidad.
La LFPDPPP exige medidas de seguridad físicas, administrativas y técnicas. Las medidas técnicas implementadas en DCEMedSuite son las que se enumeran a continuación.
Datos cifrados en tránsito (TLS) y datos sensibles cifrados en reposo. Credenciales con hash moderno.
Autenticación individual, roles configurables y principio de menor privilegio. Sin cuentas compartidas.
Registro inalterable de cada acceso y operación sobre datos personales y datos personales sensibles.
Cada clínica opera sobre una base de datos lógicamente aislada. Los datos de un cliente no son accesibles desde otro inquilino.
Respaldos periódicos con cifrado y prueba de restauración. Política de retención conforme a la normativa aplicable.
Procedimiento documentado para notificar a la clínica cliente, sin demora indebida, cualquier vulneración detectada.
El Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI) es la autoridad responsable de vigilar el cumplimiento de la LFPDPPP. Sus facultades incluyen iniciar procedimientos de verificación, imponer sanciones y atender denuncias de titulares cuyos derechos hayan sido vulnerados.
Si una clínica es notificada por el INAI sobre una verificación o una denuncia relacionada con datos tratados a través de DCEMedSuite, contará con la cooperación del equipo para reunir evidencia técnica, exportar bitácoras de auditoría y documentar las medidas de seguridad implementadas.
La LFPDPPP se aplica conjuntamente con NOM-004-SSA3 (custodia y confidencialidad del expediente), NOM-024-SSA3 (seguridad del sistema) y nuestro Aviso de Privacidad (que es el aviso de DCEMedSuite hacia visitantes y usuarios directos).
DCEMedSuite te entrega las herramientas técnicas para responder a las obligaciones que la ley te impone como responsable.