Chatea por WhatsApp
Cumplimiento · LFPDPPP

Datos de pacientes e IA: cómo cumplir la LFPDPPP en tu clínica

Actualizado: 18 de junio de 2026 · GLIVOK · Información general, no asesoría legal.

La LFPDPPP (Ley Federal de Protección de Datos Personales en Posesión de los Particulares) te obliga a proteger los datos de tus pacientes con aviso de privacidad, consentimiento, finalidad limitada y medidas de seguridad. Al automatizar con IA, lo crítico es dónde viven los datos, quién los procesa y que no se compartan ni se usen para entrenar modelos. La salvaguarda más fuerte es técnica: que los datos clínicos no salgan a un modelo público y vivan en infraestructura aislada por clínica.

Los datos de salud son datos personales sensibles bajo la LFPDPPP: merecen el nivel de protección más alto. Eso no significa que no puedas usar IA — significa que debes elegir cómo. Un agente de WhatsApp mal diseñado que mande la conversación de un paciente a un modelo público es justo lo que la ley busca evitar.

¿Qué te exige la LFPDPPP como clínica?

  • Aviso de privacidad claro y disponible para el paciente.
  • Consentimiento para el tratamiento de sus datos (reforzado para datos sensibles de salud).
  • Finalidad limitada: usar los datos solo para lo que se recabaron.
  • Medidas de seguridad administrativas, físicas y técnicas.
  • Derechos ARCO: que el paciente pueda Acceder, Rectificar, Cancelar u Oponerse.

¿Qué cambia al meter IA en la operación?

La pregunta clave deja de ser "¿uso IA?" y pasa a ser "¿a dónde van los datos?". Tres reglas técnicas marcan la diferencia entre cumplir y exponerte:

  • No mandar datos clínicos a un LLM público. El triaje y la lógica determinística deben resolver primero; la IA solo ve lo mínimo necesario y nunca el expediente.
  • No entrenar modelos con datos de pacientes. Los datos operativos son para operar, no para alimentar un modelo.
  • Redactar la información sensible (teléfono, correo, RFC) en registros y alertas, para que no quede expuesta en logs.

¿Qué es el aislamiento por clínica (servidor dedicado)?

El modelo más seguro es que cada clínica tenga su propia instancia: sus datos corren en un servidor dedicado y aislado, con cifrado y respaldos, sin una base compartida donde se mezclen pacientes de distintos consultorios. Así, un incidente en otra clínica no toca la tuya, y tus datos nunca se cruzan con los de nadie más. Es la arquitectura que GLIVOK usa: un droplet por empresa, con la información sensible redactada en logs y alertas.

Línea roja: el agente nunca diagnostica y los datos clínicos nunca se envían a un modelo de IA público ni a registros sin redactar. Si un proveedor no te puede explicar dónde viven tus datos y quién los ve, esa es tu respuesta.

Checklist para elegir un proveedor de IA médica

  1. ¿Dónde se almacenan los datos y están aislados por clínica?
  2. ¿Se envían datos de pacientes a un modelo público de IA?
  3. ¿Se usan tus datos para entrenar modelos? (debe ser un no rotundo)
  4. ¿La información sensible se cifra y se redacta en logs y alertas?
  5. ¿Puedes atender solicitudes ARCO de tus pacientes?

Preguntas frecuentes

¿Puedo usar IA con datos de pacientes sin violar la LFPDPPP?
Sí, si cumples aviso, consentimiento, finalidad y seguridad, y los datos clínicos no van a modelos públicos ni se usan para entrenar.
¿Se usan los datos de mis pacientes para entrenar la IA?
No deben usarse. En GLIVOK los datos viven en el servidor aislado de cada clínica y lo sensible se redacta en logs y alertas.
¿Qué significa que cada clínica tenga su propio servidor?
Aislamiento total: tu instancia dedicada con cifrado y respaldos, sin una base compartida donde se mezclen pacientes de distintas clínicas.

Automatiza sin poner en riesgo a tus pacientes

Te explicamos exactamente dónde viven tus datos y cómo los protegemos. Sin compromiso.

Hablar por WhatsApp → o lee sobre el agente de WhatsApp y los no-shows