May 7, 2026
Gestión documental de historias clínicas en Colombia: retención, custodia y eliminación | Saludtools

Gestión documental de historias clínicas en Colombia: políticas de retención, custodia y eliminación

La historia clínica no es un papel que se archiva y se olvida: es un documento legal con tiempos de retención, requisitos de custodia y reglas estrictas para su disposición final. Esta es la guía 2026 para que tu IPS o consultorio cumpla la normativa, evite sanciones y mantenga la información de tus pacientes íntegra y disponible cuando se necesite.

Por qué la gestión documental clínica es un tema de cumplimiento, no de archivo

Cuando una IPS o un consultorio recibe una visita de habilitación, una auditoría de cuentas o un requerimiento judicial, lo primero que se revisa después del acto médico es la historia clínica. Y no solamente su contenido, sino la trazabilidad documental: quién la abrió, dónde se almacena, cuánto tiempo lleva archivada, quién accede a ella y bajo qué condiciones se puede destruir.

En Colombia este proceso está regulado de manera específica. La Resolución 1995 de 1999 del Ministerio de Salud es la norma técnica que define la historia clínica y sus tipos de archivo (gestión, central e histórico), pero sus tiempos de retención fueron modificados por la Resolución 839 de 2017, que es la regla vigente en 2026 y la que debes citar al construir tus políticas. A esto se suma el Acuerdo 8 de 2014 del Archivo General de la Nación, la Ley 23 de 1981 (ética médica), la Ley 1581 de 2012 (protección de datos) y, más recientemente, la Resolución 1888 de 2025 que introduce el Resumen Digital de Atención dentro del ecosistema IHCE.

El error más frecuente en los consultorios pequeños es asumir que basta con guardar las consultas en una carpeta del computador o en una nube genérica. La gestión documental en salud exige políticas escritas, tiempos definidos, responsables nombrados y un programa de gestión documental (PGD) aplicado al archivo clínico. No tenerlo es, literalmente, un hallazgo de habilitación.

Punto clave: guardar bien la historia clínica no es opcional ni recomendable: es una obligación legal cuyo incumplimiento expone al prestador a sanciones administrativas, glosas, pérdida de habilitación y procesos disciplinarios o penales en caso de pérdida o alteración de información clínica.

Tiempos de retención: cuánto debes conservar cada documento

La pregunta más frecuente —y la más mal respondida— es “¿cuántos años debo guardar las historias clínicas?”. La respuesta depende del tipo de archivo y de la última atención del paciente, no de la fecha de apertura del expediente.

La regla base hoy en día es la que fija la Resolución 839 de 2017: la historia clínica debe retenerse mínimo quince (15) años contados desde la fecha de la última atención, distribuidos así:

Archivo de gestión (activo): primeros 5 años

Es donde reposan los expedientes de pacientes que aún están en atención o que la han recibido recientemente. La consulta es frecuente y debe estar disponible casi en tiempo real. La norma fija un periodo de cinco (5) años desde la última atención en este archivo. En entornos electrónicos esa “transferencia” puede ser un cambio de estado dentro del mismo sistema, mientras se mantenga la trazabilidad y los controles de acceso.

Archivo central: 10 años siguientes

Después del archivo de gestión, el expediente se conserva mínimo diez (10) años más en el archivo central, completando los 15 años totales que exige la Resolución 839 de 2017. Aquí el control de acceso debe ser más estricto y la consulta menos frecuente.

Archivo histórico

Cumplido el tiempo en archivo central, el comité de archivo de la institución debe decidir qué expedientes pasan a archivo histórico (por valor científico, social, jurídico o académico) y cuáles pueden eliminarse. Los expedientes que se conserven en archivo histórico se mantienen de forma permanente.

Reglas particulares que muchos olvidan

  • Víctimas de violaciones a derechos humanos o infracciones graves al DIH: los tiempos de retención y conservación se duplican, según la Resolución 839 de 2017.
  • Crímenes de lesa humanidad: la conservación es permanente, sin posibilidad de eliminación.
  • Procesos judiciales o disciplinarios en curso: mientras exista un proceso abierto que involucre la atención, el expediente no puede eliminarse aunque ya cumpliera los tiempos.
  • Patologías de notificación obligatoria y eventos de interés en salud pública: revisar lineamientos del INS y de la entidad territorial; algunas pueden requerir retenciones específicas o reportes adicionales.
  • Imágenes diagnósticas y soportes: los anexos forman parte de la historia clínica y deben conservarse con el mismo tiempo del expediente, no en bodegas paralelas sin vínculo documental.
  • Liquidación de la IPS: la Resolución 839 de 2017 establece un capítulo específico sobre el manejo del archivo cuando una entidad cesa operaciones, con remisión a la Secretaría de Salud territorial y a la Superintendencia Nacional de Salud.

Custodia: quién responde, cómo se almacena y quién accede

La custodia no se delega por costumbre, se asigna por decisión escrita. La institución debe nombrar un responsable del archivo clínico (rol que en la mayoría de IPS asume la dirección administrativa o el coordinador de calidad) y dejar consignadas en su PGD las condiciones de conservación.

Condiciones físicas para historias en papel

Aunque la tendencia es hacia el archivo digital, muchas IPS aún manejan papel. La normativa archivística exige condiciones que rara vez se cumplen en consultorios pequeños:

  • Espacio dedicado: archivos rodantes o estantería metálica en cuarto exclusivo, no debajo de escaleras ni en garajes.
  • Control ambiental: humedad relativa estable, temperatura controlada, ausencia de luz directa y ventilación que prevenga hongos.
  • Protección contra siniestros: detectores de humo, extintores adecuados a papel, pisos elevados frente a inundaciones y rutas de evacuación señalizadas.
  • Foliación y marcación: cada folio numerado, cada expediente con tejuelo y signatura única que permita ubicarlo en segundos.

Condiciones para historias clínicas electrónicas

El archivo digital no exime de obligaciones, las traslada a otra capa: ya no es papel, pero sí es un repositorio de información sensible que debe cumplir con la Ley 1581 de 2012, el Decreto 1377 y las directrices de seguridad de la información.

  • Backups verificables: copias diarias automáticas, almacenamiento en al menos dos ubicaciones físicas distintas y pruebas periódicas de restauración (un backup que nunca se ha probado, no es un backup).
  • Cifrado en tránsito y en reposo: conexiones HTTPS con TLS, bases de datos y discos cifrados, claves rotadas con frecuencia.
  • Control de acceso por rol: el auxiliar administrativo no debe ver lo mismo que el médico tratante; cada acceso queda registrado en una bitácora inmodificable.
  • Trazabilidad (audit log): quién consultó, qué consultó, desde dónde y cuándo. Sin trazabilidad, no hay defensa frente a una auditoría o un proceso legal.
  • Continuidad del negocio: plan documentado para casos de caída del proveedor, migración a otro software o cierre del consultorio. La información debe poder rescatarse aun si la herramienta deja de existir.

Acceso autorizado

El paciente es el dueño de la información, pero la custodia es de la institución. Eso obliga a tener procesos claros para:

  • Solicitudes del paciente: derecho a copia íntegra en formato legible, sin costo no razonable y en tiempos definidos.
  • Solicitudes de autoridades judiciales: entregar lo solicitado dejando constancia, sin alterar nunca el expediente original.
  • Acceso de auditores y EPS: únicamente lo necesario para el proceso de auditoría de cuentas, registrando cada acceso.
  • Acceso de otros médicos tratantes: con autorización del paciente y bajo el principio de mínimo necesario.
Tip de cumplimiento: documenta en una matriz quién puede acceder a qué partes de la historia clínica. Esa matriz es probablemente lo primero que te pedirán en una auditoría de seguridad de la información o en una visita de habilitación con énfasis en estándares de gestión.

Transferencias documentales: del archivo de gestión al central y al histórico

Una buena política documental no se queda en cómo guardar: define cuándo mover. Las transferencias son el procedimiento por el cual los expedientes pasan de un archivo a otro siguiendo las tablas de retención documental (TRD) aprobadas por el comité institucional.

  • Transferencias primarias: del archivo de gestión al archivo central. Se hacen periódicamente (anual o semestral), con inventario detallado y acta firmada por quien entrega y quien recibe.
  • Transferencias secundarias: del archivo central al archivo histórico, después de evaluar el valor secundario del expediente.
  • Conversión de soporte: cuando se digitaliza un expediente físico, debe garantizarse fidelidad, integridad y validación notarial o técnica que sustente el valor probatorio del documento digital.

En el mundo digital, las “transferencias” son básicamente cambios de estado o de almacenamiento dentro del mismo sistema: paso a archivo en frío, etiquetado para conservación a largo plazo o exclusión de búsquedas operativas. Pero igual deben quedar registradas en el sistema con fecha, motivo y responsable.

Tablas de retención documental aplicadas a la historia clínica

Aunque la TRD es un instrumento general de archivo, en salud debe contemplar al menos:

  • Historia clínica (núcleo): retención mínima 15 años desde última atención.
  • Anexos clínicos (laboratorios, imágenes, consentimientos): mismo tiempo del expediente al que pertenecen.
  • RIPS y soportes de facturación: tiempos según normativa contable y de auditoría de cuentas.
  • Bitácoras de acceso al sistema (audit log): tiempo prolongado para fines de defensa jurídica.
  • Documentos de habilitación, autorizaciones y certificaciones: mientras dure la vigencia del prestador y un periodo posterior razonable.

Eliminación: cómo destruir historias clínicas sin violar la ley

La eliminación es la fase que más miedo da y la que más mal se hace. Tirar expedientes a la basura, quemarlos sin acta o borrar archivos digitales con un simple delete son prácticas que pueden constituir violación de reserva, incumplimiento del principio de seguridad de datos personales y falla del deber de custodia.

Pasos mínimos para una eliminación legal

  1. Verificación de tiempos: confirmar que cada expediente cumplió la retención completa y que no está en archivo histórico, ni vinculado a procesos judiciales, disciplinarios o de auditoría abiertos.
  2. Decisión del comité de archivo: el comité institucional aprueba el listado de expedientes a eliminar. No es una decisión individual del médico ni de la administradora.
  3. Inventario detallado: identificación inequívoca de cada expediente que será destruido, con número de identificación del paciente, fechas y soporte.
  4. Destrucción supervisada: trituración mecánica para papel; borrado seguro con sobreescritura (estándares tipo NIST 800-88 o equivalentes) o destrucción física para discos. Nunca venta de equipos sin saneamiento previo.
  5. Acta de eliminación: documento firmado que recoge el inventario, el método de destrucción, los responsables y los testigos. Esta acta se conserva de forma indefinida porque es la prueba de que se eliminó conforme a derecho.

Lo que nunca debes hacer

  • Eliminar para hacer espacio: falta de bodega no es justificación. La salida es digitalizar o transferir, no destruir.
  • Borrar selectivamente partes del expediente: alterar una historia clínica configura conductas penales relacionadas con falsedad documental.
  • Entregar archivos antiguos a terceros sin contrato de tratamiento de datos: ni siquiera para “custodia externa”.
  • Destruir sin acta: sin documento firmado, frente a una autoridad la institución no puede demostrar que la eliminación fue legítima.
Buena práctica: antes de eliminar cualquier lote de historias clínicas, pide a tu equipo jurídico (o a un asesor externo) una opinión escrita confirmando que no hay procesos abiertos sobre los pacientes incluidos. Es un paso barato que evita dolores de cabeza enormes.

Cómo el software médico convierte la gestión documental en algo viable

En la teoría, todo lo anterior es claro. En la práctica, mantener tablas de retención, foliación, control de acceso, audit logs, copias de seguridad y actas de eliminación a punta de carpetas y Excel es imposible para un consultorio que además debe atender pacientes. Es aquí donde un buen software de historia clínica electrónica deja de ser una comodidad y se vuelve una herramienta de cumplimiento.

Lo que debes exigirle a tu sistema

  • Historia clínica numerada y trazable: cada nota, anexo y modificación queda registrada con autor, fecha y razón del cambio.
  • Roles y permisos finos: diferenciar lo que ve la recepcionista de lo que ve el médico tratante o el auditor externo.
  • Bitácora de accesos consultable: reportes que muestren quién entró a qué expediente y cuándo, exportables para auditorías.
  • Backups automáticos verificables: con prueba periódica de restauración y notificación al administrador en caso de fallas.
  • Exportación íntegra de la información: en formatos estándar (PDF, JSON, FHIR para los datos estructurados) cuando un paciente lo solicite o cuando decidas migrar de proveedor.
  • Compatibilidad con la IHCE: capacidad de generar el Resumen Digital de Atención según la Resolución 1888 de 2025 y de integrarse con el ecosistema nacional vía HL7 FHIR.
  • Soporte para procesos de eliminación: marcado de expedientes elegibles, generación de inventarios, firma de actas y borrado seguro con registro de la operación.

Una política sencilla que puedes adoptar esta semana

  1. Nombra un responsable del archivo clínico (puede ser tú mismo si trabajas solo) y déjalo por escrito.
  2. Documenta tu tabla de retención mínima: 15 años desde la última atención, con reglas para menores y procesos judiciales.
  3. Define una matriz de accesos al sistema y revísala cada seis meses cuando cambia el equipo.
  4. Programa una prueba trimestral de restauración de backup. Si no se prueba, no existe.
  5. Estandariza un formato de acta de eliminación aunque hoy no elimines nada: el día que toque, lo agradecerás.

En Saludtools acompañamos a IPS y consultorios independientes a montar este tipo de gobernanza documental sin necesidad de un equipo dedicado: la plataforma ya trae trazabilidad, control de roles, exportación íntegra y compatibilidad con la IHCE, y el resto se complementa con plantillas que puedes adaptar al tamaño de tu operación.

Errores frecuentes que detectan los auditores

Después de revisar decenas de procesos de habilitación y auditoría en consultorios e IPS pequeñas, los hallazgos se repiten:

  • No existe PGD escrito: el archivo se maneja por costumbre, no por política.
  • Mezcla de soportes: partes del expediente en papel, partes en software, partes en WhatsApp del médico. Imposible defender integridad.
  • Falta de bitácora de accesos: no se sabe quién consultó qué, ni se pueden detectar accesos indebidos.
  • Backups en el mismo computador: equivale a no tener backup. Si se daña el disco, se pierde todo.
  • Eliminación sin acta: historias destruidas sin trazabilidad, lo que puede interpretarse como ocultamiento.
  • Anexos huérfanos: imágenes y laboratorios guardados en carpetas independientes sin vínculo con el expediente.
  • Cierre de consultorio sin plan documental: el médico cierra y la información queda inaccesible para los pacientes; esto sigue siendo responsabilidad del prestador.

Casi todos estos hallazgos desaparecen cuando se trabaja sobre un sistema único, con responsables nombrados y revisiones periódicas. La gestión documental en salud no requiere ser experto en archivística: requiere disciplina, herramientas adecuadas y la convicción de que la información clínica es un activo legal, no un trámite.

© 2026 Saludtools. Todos los derechos reservados.

Etiquetas: gestión documental, historia clínica, retención, custodia, eliminación, Resolución 839 de 2017, Resolución 1995 de 1999, Acuerdo 8 AGN, Ley 1581, IPS Colombia, archivo clínico, software médico, habilitación

Ver todos los artículos