Cumplimiento NOM-024 y datos médicos

La NOM-024-SSA3 regula el expediente clínico electrónico en México. Cenident está diseñado desde el primer byte para cumplirla, y aplica el mismo estándar a las clínicas de otros países de Latinoamérica hispanohablante (excluyendo Brasil y España).

1. Aislamiento por clínica

Cada clínica vive en su propio espacio lógico aislado (RLS por organización en PostgreSQL). Una clínica nunca puede ver los datos de otra. Es lo más crítico de nuestra arquitectura.

2. Audit log inmutable

Cada acceso y cada cambio en un expediente queda registrado de forma inmutable (encadenado por hash). Sabemos quién vio o modificó qué, cuándo y desde dónde.

3. Cifrado

Cifrado en tránsito (TLS 1.3) y en reposo (disco cifrado). Los datos clínicos sensibles se cifran adicionalmente. El asistente de IA solo estructura las notas que el profesional escribe o dicta; no captura ni almacena audio de la consulta del paciente.

4. Retención y respaldos

Conservamos los expedientes durante el plazo legal (mínimo 5 años en México). Respaldos multinivel, incluido respaldo independiente por cada clínica, con pruebas de restauración periódicas.

5. Derechos del paciente

El paciente puede solicitar acceso y portabilidad de sus datos. Las solicitudes de borrado las aprueba la clínica (Responsable del Tratamiento), respetando la retención legal del expediente. La IA siempre genera borradores; el profesional confirma y firma.