NOM-035 en México 2026: guía de cumplimiento y el expediente de evidencia que pide una auditoría
La NOM-035 lleva años en vigor, pero en 2026 el terreno cambió: las inspecciones de la Secretaría del Trabajo y Previsión Social (STPS) ya no se conforman con ver la política de riesgos psicosociales colgada en la pared. Piden trazabilidad. Quieren fechas, firmas, evidencia de que los cuestionarios se aplicaron de verdad y —el punto que hunde a la mayoría— pruebas de que la empresa hizo algo con los resultados. Cumplir la norma y sobrevivir a una auditoría son dos cosas distintas, y esa diferencia es un expediente bien armado.
Esta guía no repite la teoría de la norma. Parte de una premisa práctica: la NOM-035 se defiende con documentos, no con buenas intenciones. Abajo está qué exige realmente según el tamaño de tu empresa, cómo aplicar los cuestionarios sin invalidar la evidencia, y el expediente exacto que un inspector te va a pedir.
Qué obliga realmente la NOM-035 (y qué depende de tu tamaño)
El error más común es tratar la norma como un requisito uniforme. No lo es. Las obligaciones escalan por número de trabajadores, y aplicar de más también genera problemas (encuestas mal calibradas, datos que no sabes accionar).
En centros de trabajo de hasta 15 personas, la obligación central es identificar y prevenir acontecimientos traumáticos severos, difundir la política de prevención de riesgos psicosociales y adoptar medidas cuando aparezcan casos. No estás obligado a aplicar la evaluación completa de factores de riesgo, pero sí a tener la política y a atender a quien haya vivido un evento traumático relacionado con el trabajo.
De 16 a 50 trabajadores, se suma la identificación y análisis de los factores de riesgo psicosocial mediante la Guía de referencia II, más la evaluación del entorno organizacional. De 51 en adelante, se usa la Guía de referencia III (más extensa) y la exigencia de análisis por centro de trabajo y por área se vuelve más estricta. En todos los tramos aplica la identificación de trabajadores expuestos a acontecimientos traumáticos severos mediante la Guía de referencia I.
La consecuencia práctica: antes de comprar una plataforma de encuestas o contratar un consultor, define en qué tramo estás y documenta ese conteo con una fecha. Un inspector empieza por ahí.
Los cuestionarios: cómo aplicarlos sin invalidar la evidencia
Los cuestionarios de la NOM-035 son la parte visible del cumplimiento, y también donde más evidencia se pierde por descuidos de forma.
Guía I: acontecimientos traumáticos severos
Se aplica a quien haya presenciado o vivido un evento como un accidente grave, un asalto, un secuestro o la muerte de un compañero en el trabajo. No es una encuesta masiva de rutina: es un tamizaje que dispara atención clínica. Si alguien resulta positivo, la evidencia que se te va a pedir no es el cuestionario, sino qué canalización ofreciste después.
Guías II y III: factores de riesgo psicosocial
Aquí se mide carga de trabajo, falta de control, jornadas, interferencia trabajo-familia, liderazgo y violencia laboral. Tres reglas que definen si la evidencia es válida:
Anonimato real. El trabajador debe poder responder sin que la empresa vincule respuestas a nombres. Si tu plataforma guarda IP o correo junto a las respuestas, un abogado puede argumentar que la aplicación viola la confidencialidad y que los resultados no son fiables. Documenta cómo garantizaste el anonimato.
Cobertura representativa. En centros grandes puedes muestrear, pero el muestreo tiene que ser defendible. Guarda el criterio: cuántos invitaste, cuántos respondieron, por área. Una tasa de respuesta del 12% no sostiene un análisis de entorno organizacional.
Tiempo dentro de jornada. El cuestionario se responde en horario laboral y sin costo para el trabajador. Parece menor, pero es un hallazgo frecuente cuando se manda un enlace “para llenar en casa”.
El expediente de evidencia que pide una auditoría
Este es el corazón del cumplimiento real. Cuando llega una inspección de la STPS o una auditoría interna, no evalúan tu intención: revisan carpetas. Arma este expediente antes de necesitarlo, con fechas y responsables identificados.
1. Política de prevención de riesgos psicosociales. Documento firmado por la dirección, con fecha, y evidencia de su difusión (correo masivo, carteles, acuse en inducción). No basta con que exista: hay que probar que la gente la conoce.
2. Evidencia de identificación y análisis. Los cuestionarios aplicados (o sus resultados agregados y anonimizados), la fecha de aplicación, la metodología de muestreo y el informe de resultados por nivel de riesgo. Guarda también el instrumento usado para demostrar que corresponde a la Guía de referencia correcta según tu tamaño.
3. Medidas de control y plan de acción. El punto donde caen la mayoría. Tener resultados no es cumplir; hay que demostrar qué hiciste con los niveles de riesgo alto y muy alto. Un plan con acciones concretas, responsables, fechas y —clave— evidencia de ejecución (no solo de planeación).
4. Registro de canalización. Para quienes salieron con riesgo alto o vivieron un acontecimiento traumático, evidencia de que se ofreció valoración clínica o atención. Aquí importa la confidencialidad: el registro prueba que canalizaste, sin exponer diagnósticos.
5. Difusión de información. Evidencia de que informaste a los trabajadores sobre la política, los mecanismos para presentar quejas por prácticas de violencia laboral y las medidas de prevención. Un canal de denuncia bien diseñado y usado es parte de esta evidencia, no un trámite aparte.
6. Registros de acontecimientos traumáticos severos. Bitácora de los eventos identificados y su seguimiento, conservada bajo criterios de confidencialidad.
Regla de oro del expediente: cada documento con fecha y responsable. Un auditor confía en lo que puede fechar; desconfía de lo que “siempre se hace”.
Los cinco hallazgos más comunes en una inspección
Después de años de la norma, los inspectores repiten los mismos señalamientos. Anticípalos:
Resultados sin acción. La empresa aplicó los cuestionarios, tiene el informe, y ahí se detuvo. Sin plan de acción ejecutado, el cumplimiento está incompleto y es sancionable.
Difusión que no se puede probar. “Sí lo comunicamos” no es evidencia. Sin acuses, correos o listas de asistencia, no existe.
Guía equivocada para el tamaño. Aplicar la Guía II cuando corresponde la III (o viceversa) porque nadie actualizó el conteo de trabajadores tras crecer.
Confidencialidad rota. Resultados individuales visibles para jefaturas, o cuestionarios que se pueden rastrear a la persona. Esto no solo es hallazgo: invalida la evidencia.
Falta de reevaluación. La identificación de factores de riesgo no es una foto de una vez. Debe repetirse conforme a la periodicidad de la norma, y muchos expedientes se quedan congelados en la primera aplicación.
Estos riesgos se conectan con un tema más amplio de gestión de riesgos psicosociales en la región: NOM-035 en México, Ley Karin en Chile y Resolución 2646 en Colombia comparten la misma lógica de evidencia documentada.
Cronograma práctico de cumplimiento 2026
Si estás partiendo o poniéndote al día, este es un orden que funciona sin saturar al equipo:
Mes 1 — Diagnóstico de obligaciones. Confirma tu tramo por número de trabajadores, revisa si ya existe política y cuestionarios previos, e identifica el expediente que ya tienes contra el que deberías tener.
Mes 2 — Política y difusión. Publica o actualiza la política firmada por dirección y ejecuta la difusión con acuses. Este paso protege incluso a las empresas más pequeñas.
Mes 3 — Aplicación de cuestionarios. Aplica las guías que correspondan, en jornada, con anonimato garantizado y muestreo documentado.
Mes 4 — Análisis y plan de acción. Convierte resultados en un plan con responsables y fechas. Prioriza las áreas con riesgo alto y muy alto.
Meses 5–12 — Ejecución y evidencia. Implementa las medidas y —esto es lo auditado— documenta la ejecución. La reevaluación se agenda según la periodicidad aplicable.
Cumplir la NOM-035 en 2026 es, sobre todo, un ejercicio de disciplina documental conectado a intervenciones reales de bienestar y salud mental. La empresa que trata la norma como una carpeta viva —con fechas, responsables y evidencia de que las medidas se ejecutaron— no solo pasa la inspección: reduce de verdad el riesgo psicosocial que la norma quiere prevenir.
Preguntas frecuentes sobre la NOM-035
¿La NOM-035 obliga a aplicar cuestionarios en empresas de menos de 15 trabajadores?
No a la evaluación completa de factores de riesgo. En centros de hasta 15 personas la obligación central es contar con la política de prevención, difundirla, e identificar y atender acontecimientos traumáticos severos. La evaluación de factores de riesgo psicosocial mediante las Guías II y III aplica a partir de 16 trabajadores.
¿Qué documento revisa primero un inspector de la STPS?
Suele empezar por la política de prevención firmada y su evidencia de difusión, y por el conteo de trabajadores que define qué guía te corresponde. A partir de ahí pide los cuestionarios aplicados, el informe de resultados y —el punto crítico— el plan de acción con evidencia de ejecución.
¿Basta con aplicar los cuestionarios para cumplir la norma?
No. Aplicar los cuestionarios es solo la identificación. El cumplimiento exige analizar los resultados, adoptar medidas de control para los niveles de riesgo alto y muy alto, canalizar a quien lo requiera y documentar que todo eso se ejecutó. Resultados sin acción es el hallazgo más común en inspecciones.
¿Cada cuánto hay que reevaluar los factores de riesgo psicosocial?
La identificación y análisis debe repetirse de forma periódica según la norma, no quedarse en una sola aplicación. Un expediente congelado en la primera medición es señalado en auditoría. Conviene agendar la reevaluación desde el plan de acción para no perder la trazabilidad.
¿Cómo se garantiza la confidencialidad de los cuestionarios?
Las respuestas deben aplicarse de forma anónima, sin vincular resultados individuales a nombres, y los datos de quienes resultan con riesgo alto o canalización deben manejarse con reserva. Si la plataforma guarda identificadores junto a las respuestas o las jefaturas ven resultados individuales, la confidencialidad se rompe y la evidencia pierde validez.
Potencia tu carrera profesional
Explora nuestros cursos online: CV Ganador, Excel para Emprendedores y Modelo de Negocios.
Ver Cursos Online