Debida Diligencia en el caso de las 128 farmacias

por

En agosto 2025 intenté implementar un ECE en un hospital sin computadoras funcionales.

Ante la falta de infraestructura mínima (ni una computadora funcional), el proyecto fue inviable. Sin embargo, generé una serie de documentos técnicos que pueden servir como referencia para estudiantes, auditores o consultores enfrentando condiciones similares.

 

Por la forma en que se dieron las cosas me di cuenta que no tenía caso entregar este reporte. Lo iba a entregar el día que decidí irme. Es un borrador pero funcional.

 

Titulo Opcional: Violación masiva de normas en 128 farmacias.
Dilema de Cuernos: Sistema Farmacéutico y Cumplimiento Normativo
Caso de Estudio para Profesionales en Sistemas, Contabilidad y Asistentes de Dirección
Contexto del Problema

Te contactan para desarrollar una interfaz entre tu sistema ECE (Expediente Clínico Electrónico) y un supuesto «software de farmacias» que según el propietario:

  • Está «comercializado» e instalado en 128 farmacias
  • No proporciona documentación técnica inicial
  • El propietario demuestra desconocimiento básico de normativas farmacéuticas / sat / contabilidad
  • No aparece en búsquedas de internet como software farmacéutico (solo algo parecido como software de consultorios)

Marco Normativo Aplicable

Para Sistemas:

  • SIRES (Estandard para comercializar Software Farmacéutico relacionado con ECE en Empresas Farmacéuticas) – Obligatorio
  • HL7 / HL7-JSON Estándar para intercambio de datos médicos
  • COFEPRIS – Regulación sanitaria de establecimientos farmacéuticos, que se suma a ley de general de salud
  • Licencias – Se compró? a quién ? Software libre, donde está el código ?
  • Soporte – No podemos permitir acceso a base de datos ni hosting sin contrato o confidencialidad
  • Tolerancia – Si son 128 instalaciones son 128 respaldos y PC / hospedajes. Si es una sola, se rompen todas las leyes

Para Contabilidad:

  • Facturación obligatoria de software comercial
  • Registro ante SAT de actividades comerciales
  • Trazabilidad de licencias y mantenimiento
  • Nadie trabaja gratis en 128 farmacias a la vez
  • Donde se pone el software ? ¿que usuario firma de recibido?

Para Protección de Datos:

  • LFPDPPPSO – Convenios de confidencialidad obligatorios por razón social y/o responsable sanitario
  • Responsabilidad por manejo de datos médicos sensibles
  • Autorización específica por razón social/responsable sanitario
  • Cofepris pide software en plataforma propia o documentada

El Dilema de Cuernos

Cualquier decisión que tomes te lleva a la conclusión de que algo está mal:

Opción A: «El software es gratuito»

Implicaciones:

  • Imposible económicamente: Nadie da soporte ni hospedaje gratuito a 128 farmacias
  • Imposible económicamente: Mucho menos en 128 servidores distintos
  • Probable evasión fiscal: Sin facturación de servicios comerciales
  • Sin garantías: Software gratuito MASIVO sin responsable legal definido violatorio a COFEPRIS
  • Mantenimiento inexistente: ¿Quién respalda las actualizaciones o corrige errores?
  • Código Libre: ¿Donde está el código?

Opción B: «El software es comercial pagado»

Implicaciones:

  • No está en SIRES: Operación ilegal de software farmacéutico
  • Sin cumplimiento COFEPRIS: Violación de normativas sanitarias por SIRES / software /hospedaje
  • Facturación irregular: Si es comercial, ¿dónde están las facturas?
  • Alojamiento irregular: Si es comercial, ¿dónde están las facturas y respaldos? Se viola COFEPRIS.

Opción C: «Es software libre comercializado»

Implicaciones:

  • Sin código fuente disponible: Violación de licencias de software libre
  • Comercialización irregular: Software libre no puede venderse sin código fuente
  • Marco legal confuso: ¿Quién es el responsable legal?

Opción D: «Verificación técnica estándar»

Si yo solicité entregables SIMPLES y no los dieron: Exportación HL7/JSON del sistema

  • No podrían proporcionarla: Confirma que no es sistema profesional
  • Responsables sanitarios: Imposible que sean iguales para 128 establecimientos
  • Estándares inexistentes: Sin HL7 no hay interoperabilidad real

Análisis de Protección de Datos

El Problema de Confidencialidad

128 farmacias implican:

  • Miles de expedientes médicos
  • Datos personales sensibles (recetas, diagnósticos)
  • Requisito legal: Convenio de confidencialidad con cada razón social
  • Responsabilidad civil: Filtración de datos = sanciones INAI, COFEPRIS, SALUD
  • Trazabilidad a Paciente implica facturación del mismo producto. Tormenta SAT en camino.
  • 128 respaldos independientes que requieren hacerse, y verificarse, o uno solo que incumple todas las leyes.

La Pregunta Clave

¿Cómo puede alguien sin idea de farmacias (dice que en un hospital no deben coincidir las recetas cobradas con lo que se factura), y que dice que las enfermeras no tienen que interactuar con el sistema garantizar que se de soporte técnico a datos médicos de 128 establecimientos sin convenios de confidencialidad?

Respuesta: Es técnica y legalmente imposible de manera legal.

Consecuencias de Crear la Interfaz

Para un Sistema ECE o Contable:

  • Contaminación de datos: Interfaz con sistema irregular vicia la integridad
  • Responsabilidad legal: Ser cómplice de irregularidades normativas
  • Riesgo institucional: El hospital , y empresa, no solo el sistema quedan expuestos a sanciones regulatorias

Para Responsabilidad Profesional:

  • Art. 222 CNPP: Obligación de denunciar delitos detectados
  • Ética profesional: No participar en esquemas irregulares
  • SAT y COFEPRIS: Probablemente responsable solidario como contador, dueño, responsable sanitario
  • Protección patrimonial: Evitar responsabilidades civiles y penales

La Decisión Correcta

Metodología de Verificación Previa:

  1. Solicitar factura de compra del software (probablemente inexistente)
  2. Verificar registro SIRES (seguramente no existe)
  3. Pedir exportación HL7/JSON (técnicamente no podrán proporcionarla)
  4. Revisar convenios de confidencialidad (128 convenios requeridos)

Fundamento de la Negativa (salida elegante):

«Crear interfaz con sistema que no cumple normativas SIRES/COFEPRIS viciaría la integridad de nuestro ECE y nos expondría a responsabilidades legales por manejo irregular de datos médicos sensibles.»

Lecciones Aprendidas

Para Profesionales en Sistemas:

  • Verificar cumplimiento normativo antes de crear interfaces
  • Proteger la integridad de sistemas existentes
  • HL7 y estándares son obligatorios, no opcionales
  • Respaldos: Son coherentes ? cuanto tiempo  se necesita ? quien los hace y verifica?

Para Profesionales Contables:

  • Software comercial requiere facturación rastreable
  • 128 licencias = inversión considerable verificable
  • Sin documentación fiscal = red flag inmediata

Para Asistentes de Dirección:

  • Convenios de confidencialidad son obligatorios para datos sensibles
  • Verificar credenciales antes de autorizar accesos
  • Marco legal claro protege a la organización

Conclusión del Dilema

Resultado: Por cualquier camino de análisis (técnico, contable, legal, de protección de datos), la conclusión es que  en caso de existir, el supuesto sistema presenta irregularidades fundamentales.

La decisión profesional correcta: Negarse a crear la interfaz para proteger la integridad del sistema propio y cumplir con obligaciones legales y éticas.

Moraleja: Un «dilema de cuernos» bien analizado demuestra que cuando todas las opciones señalan problemas, la respuesta correcta es no participar en el esquema irregular.

Este caso de estudio está basado en situaciones reales y sirve como ejemplo de aplicación de metodología profesional en la detección de irregularidades sistémicas.