Hacia una regulación comunal de los espacios europeos de datos de la Salud

El impulso de la Comisión para promover los espacios de datos en el marco de una Estrategia europea se sustenta en la decidida apuesta por un marco normativo que le dote de coherencia regulatoria en toda la Unión. En particular, se busca establecer una sólida regulación que ofrezca seguridad jurídica a un modelo basado en el respeto a los derechos y libertades. Así, en un primer momento se han promovido sendas iniciativas para, de una parte, establecer las bases normativas del modelo de gobernanza —ya definitivamente adoptado mediante el  Reglamento (UE) 2022/868, de 30 de mayo— y, de otra, fijar reglas armonizadas relativas al acceso y uso equitativo de los datos en toda la Unión.

 

Sin embargo, aun reconociendo la importancia del diseño de esta arquitectura jurídica de ámbito general, la efectiva apertura e intercambio de los datos requiere una aproximación más concreta que tenga en cuenta las singularidades de cada ámbito sectorial y, en particular, las dificultades y desafíos que han de afrontarse. Así pues, teniendo en cuenta el marco regulatorio general antes referido, la Comisión ha presentado la primera iniciativa regulatoria de uno de estos espacios, el relativo a los datos de salud, que actualmente se encuentra en fase de consulta pública y de negociación en el Consejo de la UE y en el Parlamento Europeo, y que se enmarca en el proyecto de creación de un espacio europeo de datos sanitarios.

 

En concreto, más allá de facilitar el desarrollo de servicios electrónicos transfronterizos, la propuesta pretende abordar un triple objetivo:

 

• Establecer un marco jurídico uniforme que facilite el desarrollo, la comercialización y el uso de los sistemas de historiales médicos electrónicos, para lo cual se establece un esquema de autocertificación obligatorio para ciertos sistemas que, en todo caso, contempla algunas excepciones como, por ejemplo, los programas informáticos para fines generales utilizados en los entornos sanitarios.

• Facilitar el acceso electrónico de los pacientes a sus propios datos en el marco de la prestación de la asistencia sanitaria (uso primario de los datos sanitarios). A este respecto, la propuesta trata de reforzar la coherencia en todos los Estados miembros a la hora de proteger los datos de carácter sanitario más allá del lugar donde se realice la prestación sanitaria o el tipo de entidad que lo lleve a cabo.

• Impulsar la reutilización de tales datos para otros fines secundarios. A tal efecto se contempla un modelo de gobernanza propio con un organismo específico al frente —el denominado Consejo del Espacio Europeo de Datos Sanitarios—y el despliegue de estructuras administrativas estatales debidamente coordinadas —organismos de acceso a los datos sanitarios—.

 

Por lo que se refiere a la reutilización de los datos para otras finalidades distintas de la asistencial, la propuesta de Reglamento parte de la siguiente evidencia: aunque los datos sanitarios ya están siendo recogidos y tratados utilizando medios electrónicos, en muchos casos el acceso a los mismos no se facilita para satisfacer otras finalidades de interés general. Por esta razón, se pretende establecer una regulación amplia que facilite los usos secundarios de los datos sanitarios para, entre otras cosas, la elaboración de estadísticas, el desarrollo de actividades formativas y de investigación, como la innovación tecnológica —incluyendo el entrenamiento de algoritmos— o la medicina personalizada.

 

Sin embargo, a los efectos de negar el acceso a los datos sanitarios, expresamente se declaran incompatibles algunos usos secundarios:

 

• La adopción de decisiones perjudiciales para las personas físicas, entendiendo por tales no sólo las que produzcan efectos jurídicos sino, asimismo, las que les afecten de manera significativa. A este respecto, se destacan específicamente las modificaciones relativas a los contratos de seguro, como por ejemplo el incremento de las primas que se han de abonar.

• La realización de actividades de publicidad o comercialización dirigidas a profesionales sanitarios, organizaciones del sector o personas físicas.

• La puesta a disposición de los datos a terceros que no se contemplen en el permiso de datos que se otorgue.

• El desarrollo de productos y servicios perjudiciales, incluyendo particularmente las drogas ilícitas, las bebidas alcohólicas, los productos del tabaco o los bienes o servicios que contravengan el orden público o la moral.

 

La propuesta de Reglamento parte de un concepto amplio de datos sanitarios, donde se incluyen las siguientes categorías: 

La normativa parte de una regla general: el acceso a los datos anonimizados como medida para reducir los riesgos de privacidad, aunque también se contempla un régimen específico para los datos de carácter personal. En este supuesto, la solicitud deberá incorporar una justificación adecuada y los datos únicamente se proporcionarán seudonimizados.

 

Por lo que se refiere a la forma de acceso, la especial sensibilidad de los datos sanitarios determina que se proponga que se deban facilitar a través de un entorno de tratamiento seguro que cumpla las normas técnicas y de seguridad establecidas en la propuesta. En particular,se propone que el tratamiento de los datos personales sólo pueda hacerse en entornos seguros, bajo el control de las autoridades de acceso a datos y sin que se puedan descargar por los reutilizadores; sólo se contempla permitir la descarga de datos no personales.

 

Desde la perspectiva del modelo de gobernanza en que se sustenta la propuesta, los Estados deberán disponer de, al menos, un organismo de acceso a los datos sanitarios que facilite el acceso electrónico a los mismos para fines secundarios. En el caso de ser varios organismos debido a exigencias derivadas de su organización político-administrativa, uno de ellos ejercerá funciones de coordinación. Más allá de la libertad organizativa por parte de los Estados a la hora de elegir una u otra fórmula organizativa, resulta esencial que se garantice la independencia del organismo coordinador, sin perjuicio de los mecanismos de control financiero o judicial.

 

Como ya se ha indicado, la finalidad principal de esta medida consiste en garantizar una aplicación uniforme y coherente del marco normativo del acceso a los datos sanitarios para fines secundarios en toda la Unión Europea, en particular por lo que se refiere a la protección de datos personales en este sector. A este respecto, se propone que dichos organismos habrán de tener asignadas las competencias que les permitan verificar el cumplimiento de dicha normativa y, en particular, la imposición de sanciones y otras medidas como la exclusión temporal o definitiva del Espacio Europeo de Datos de Salud de quienes no cumplan sus obligaciones.