Verificación de identidad del paciente en el sector salud en México: cumplimiento y mejores prácticas

La verificación de la identidad del paciente es una obligación legal y un requisito de seguridad en todas las unidades médicas de México. Una identificación incorrecta puede provocar errores clínicos graves, violaciones a la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) y sanciones del Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI). En 2023, el sector salud fue uno de los más afectados por incidentes de seguridad de datos en México, incluyendo filtraciones de expedientes clínicos y fraudes al IMSS y al ISSSTE.

¿Qué es la verificación de identidad del paciente en México?

La verificación de identidad del paciente es el conjunto de procedimientos que permiten confirmar que la persona atendida es quien dice ser y que su expediente clínico corresponde a su identidad real. En México, el sistema de salud opera en varios niveles: el Instituto Mexicano del Seguro Social (IMSS), el Instituto de Seguridad y Servicios Sociales de los Trabajadores del Estado (ISSSTE), los servicios estatales de salud (SESA) para la población sin seguridad social, y el sector privado regulado por la Comisión Federal para la Protección contra Riesgos Sanitarios (COFEPRIS).

La identificación del paciente en México se basa en la CURP (Clave Única de Registro de Población) y en un documento de identificación oficial con fotografía. La NOM-024-SSA3-2010, que regula el sistema de información de registro electrónico para la salud, establece que el expediente clínico electrónico debe incluir la identificación inequívoca del paciente mediante su CURP o número de afiliación institucional. Fuente: DOF — NOM-024-SSA3-2010

Esta verificación es obligatoria en todos los establecimientos: hospitales públicos y privados, clínicas, consultorios médicos, laboratorios de análisis clínicos y farmacias que dispensen medicamentos controlados.

Marco normativo en México

La LFPDPPP y el INAI

Los datos de salud son datos personales sensibles según el artículo 3, fracción VI, de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP). Su tratamiento requiere el consentimiento expreso del titular (artículo 9 LFPDPPP), salvo en los casos de excepción previstos por la propia ley (atención médica de urgencia, prevención de daños a la salud). El INAI es la autoridad reguladora competente.

El artículo 64 de la LFPDPPP prevé multas de hasta 320,000 días de salario mínimo general vigente en la Ciudad de México por infracciones graves en el tratamiento de datos sensibles, lo que equivale a montos superiores a 30 millones de pesos en 2026. Fuente: DOF — LFPDPPP

La Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados (LGPDPPSO) aplica a las instituciones públicas de salud (IMSS, ISSSTE, SESA), con el INAI como órgano garante federal y los organismos garantes estatales como instancias complementarias.

La NOM-024-SSA3-2010: Expediente Clínico Electrónico

La NOM-024-SSA3-2010 es la norma oficial mexicana que regula el sistema de información de registro electrónico para la salud (expediente clínico electrónico). Establece que todo expediente clínico electrónico debe incluir:

• CURP del paciente
• Nombre completo
• Fecha de nacimiento
• Sexo
• Número de afiliación (IMSS, ISSSTE u otro)

La NOM-024-SSA3-2010 exige que el expediente clínico electrónico sea único por paciente en cada unidad médica y que incluya registros de auditoría de todos los accesos y modificaciones realizadas al expediente. Fuente: COFEPRIS — NOM Sector Salud

La NOM-004-SSA3-2012: Expediente Clínico

La NOM-004-SSA3-2012 establece los requisitos mínimos del expediente clínico en México. El expediente debe contener los datos de identificación del paciente, la historia clínica, los estudios de laboratorio y gabinete, las notas de evolución y el consentimiento informado. Esta norma aplica tanto a establecimientos públicos como privados.

La NOM-004-SSA3-2012 establece que el expediente clínico debe conservarse durante un mínimo de 5 años a partir de la última atención. Sin embargo, el IMSS mantiene expedientes por 10 años y el Código Penal Federal puede requerir conservación más prolongada en casos de responsabilidad médica.

El IMSS y el ISSSTE: sistemas de afiliación

El IMSS identifica a sus derechohabientes mediante el Número de Seguridad Social (NSS), que debe verificarse junto con la credencial del IMSS o la CURP del paciente. El ISSSTE utiliza un sistema similar con el Número de Afiliación del ISSSTE. Ambas instituciones han desarrollado aplicaciones móviles (IMSS Digital, ISSSTE Digital) que permiten la verificación electrónica de la identidad del derechohabiente mediante la CURP y datos biométricos.

Riesgos de una identificación deficiente en México

En los foros de profesionales de la salud en México, las preguntas más frecuentes son: cómo identificar a un paciente sin documentación en urgencias (especialmente en zonas rurales o de alta marginación) y cómo gestionar los duplicados de NSS en el IMSS, un problema común derivado de errores en el proceso de afiliación. Ambas situaciones requieren protocolos claros y herramientas tecnológicas adecuadas.

Mejores prácticas para la verificación de identidad del paciente

1. Identificación en el momento del registro

El protocolo estándar en las unidades médicas mexicanas incluye la verificación de al menos dos identificadores independientes:

• CURP (Clave Única de Registro de Población)
• Número de Seguridad Social (NSS) del IMSS, o número de afiliación del ISSSTE
• INE (credencial para votar) o documento de identificación oficial con fotografía

Para menores de edad, la identificación debe incluir los datos del padre, madre o tutor legal, así como el acta de nacimiento del menor. Para pacientes extranjeros, el pasaporte y, cuando corresponda, la Tarjeta de Residente Temporal o Permanente son los documentos de referencia.

2. Documentos de identificación oficial aceptados en México

• INE (credencial para votar) — documento de identificación más utilizado
• Pasaporte mexicano o extranjero
• Cédula Profesional (para adultos)
• Cartilla del Servicio Militar Nacional (para hombres mayores de 18 años)
• Tarjeta de Residente Temporal o Permanente (para extranjeros)
• Acta de nacimiento + INE del tutor (para menores)

La CURP no es un documento de identidad en sí misma, sino un código de registro. Debe ir acompañada de un documento oficial con fotografía para la verificación de identidad.

3. Verificación documental automatizada

La verificación manual de documentos de identidad es lenta y propensa a errores, especialmente en unidades de alta demanda como urgencias o módulos de afiliación del IMSS. Soluciones de verificación documental automatizada, como CheckFile, pueden validar una INE o un pasaporte en menos de 10 segundos, detectando falsificaciones (documentos adulterados digitalmente, datos inconsistentes, documentos vencidos) con una tasa de precisión superior al 99%. Estas soluciones se integran con los sistemas de información hospitalaria (HIS) y con el expediente clínico electrónico mediante APIs estandarizadas.

4. Trazabilidad y registro de accesos

Todo acceso o modificación del expediente clínico electrónico debe registrarse conforme a la NOM-024-SSA3-2010 y la LFPDPPP: identidad del usuario, fecha y hora, equipo utilizado y tipo de acción realizada. Este registro debe conservarse durante el mismo período que el expediente clínico y estar disponible para auditorías del INAI, COFEPRIS y la Comisión Nacional de Arbitraje Médico (CONAMED).

5. Capacitación del personal

Todo el personal administrativo y clínico con acceso a expedientes clínicos debe recibir capacitación inicial sobre protocolos de identificación y actualización anual sobre protección de datos personales. El INAI exige que esta capacitación quede documentada como evidencia del cumplimiento del principio de responsabilidad previsto en el artículo 14 de la LFPDPPP.

Herramientas tecnológicas disponibles en México

Consulta de CURP en línea — El Registro Nacional de Población (RENAPO) permite consultar y verificar la CURP de cualquier ciudadano mexicano en tiempo real a través de su portal oficial. Los sistemas de gestión hospitalaria integrados con RENAPO pueden verificar automáticamente la CURP del paciente durante el registro.

OCR y validación documental — Captura automática de los datos de la INE o el pasaporte mediante reconocimiento óptico de caracteres, con verificación de la vigencia del documento y consistencia de los datos.

IMSS Digital y ISSSTE Digital — Las aplicaciones oficiales del IMSS e ISSSTE permiten la verificación electrónica de la identidad del derechohabiente mediante CURP y datos biométricos (reconocimiento facial). Disponibles para unidades médicas con conectividad a los sistemas institucionales.

Detección de duplicados — Algoritmos de cotejo probabilístico que identifican posibles duplicados de expediente en el sistema hospitalario, basándose en variaciones ortográficas del nombre, inversión de apellidos o datos de nacimiento similares.

Para conocer en detalle las tecnologías de verificación de identidad disponibles, consulta nuestra guía sobre métodos y tecnologías de verificación de identidad.

Descubre cómo se aplica la verificación documental en otros sectores regulados en nuestra guía de verificación por sectores.

Explora las soluciones CheckFile para el sector salud o consulta nuestra página de precios para entender los costos.

Preguntas frecuentes

¿Qué normativa rige la identificación del paciente en México?

La identificación del paciente en México está regulada principalmente por la NOM-024-SSA3-2010 (expediente clínico electrónico), la NOM-004-SSA3-2012 (expediente clínico), la LFPDPPP (datos personales en posesión de particulares), la LGPDPPSO (datos en posesión de sujetos obligados como IMSS e ISSSTE) y las disposiciones reglamentarias del IMSS y el ISSSTE.

¿La CURP es suficiente para identificar a un paciente?

No. La CURP es un código de registro único, pero no constituye un documento de identidad por sí sola. Debe ir acompañada de un documento oficial con fotografía (INE, pasaporte, cédula profesional) para que la identificación sea válida. En la práctica, la combinación CURP + INE es la más utilizada en el sistema de salud mexicano.

¿Qué ocurre si un paciente no puede presentar documentación en urgencias?

En situaciones de urgencia médica, la atención no puede ser negada por ausencia de documentación, conforme al artículo 4° constitucional y la Ley General de Salud. Se crea un registro provisional con los datos disponibles. La identificación completa debe realizarse en cuanto sea posible. Para pacientes inconscientes, los familiares o acompañantes pueden proporcionar los datos de identificación.

¿Cuáles son las sanciones por acceso no autorizado a un expediente clínico?

El INAI puede imponer multas de hasta 320,000 días de salario mínimo (aproximadamente 30 millones de pesos en 2026) por infracciones graves. El acceso no autorizado a expedientes clínicos puede constituir también un delito de revelación de secretos (artículo 210 del Código Penal Federal), castigado con pena de hasta 2 años de prisión. La CONAMED puede imponer sanciones administrativas adicionales a los prestadores de servicios de salud.

¿Cómo se gestionan los duplicados de Número de Seguridad Social en el IMSS?

Los duplicados de NSS en el IMSS ocurren cuando un trabajador es dado de alta más de una vez en el sistema, generalmente por errores tipográficos o cambios de patrón. La detección se realiza mediante sistemas de cotejo en la base de datos del IMSS. La corrección requiere un trámite formal ante la Subdelegación del IMSS correspondiente, con presentación del acta de nacimiento y una identificación oficial del trabajador.