Dentro de la explosión tecnológica digital a la que estamos actualmente expuestos, la Unión Europea ha puesto de manifiesto en los últimos años la trascendencia e importancia de la existencia de un marco para la gobernanza de datos, respetando plenamente los derechos fundamentales y el principio de transparencia.
Los datos, incluyendo los datos personales y los no personales, son los elementos esenciales de esta transformación, en cuanto que su utilización reportará enormes beneficios tanto a los ciudadanos de la Unión Europea como a la economía, ya que se estima que Europa, en el ámbito de la salud (asistencia, investigación y elaboración de políticas), ahorre una cantidad importante de dinero.
Reglamento (UE) 2022/868, relativo a la Gobernanza Europea de Datos (RGD)
El pasado 23 de junio de 2022 entró en vigor el RGD, aplicable en la Unión Europea a partir del 24 de septiembre de 2023.
Por ello, al tratarse de un Reglamento, sus previsiones son directamente aplicables, aunque en el caso de España, se ha considerado conveniente modificar la Ley 37/2007, de 16 de noviembre, sobre reutilización del Sector Público.
A partir de esa fecha, los servicios de intermediación del RGD pueden empezar a funcionar en el espacio europeo, y las entidades podrán presentar solicitudes para la reutilización de datos de las autoridades públicas.
En España, ya se ha establecido un régimen sancionador específico en el ámbito de la Administración General del Estado, que es aplicable en los supuestos de incumplimiento por los reutilizadores.
Igualmente, se está finalizando el procedimiento administrativo de notificación de servicios de intermediación de datos, estableciéndose un plazo máximo de notificación de dos meses, ampliable hasta un máximo de 30 días en supuestos de gran complejidad o extensión de las solicitudes.
El Reglamento (UE) 2022/868 permite, bajo ciertas condiciones, la reutilización de determinadas categorías de datos, entre ellas los datos de salud, siempre con las garantías necesarias para proteger la privacidad, que obren en poder de organismos públicos.
Asimismo, faculta la inscripción voluntaria de las entidades que recojan y traten datos cedidos con fines altruistas en un registro específico, potenciando entre otras finalidades la investigación científica.
El objetivo prioritario de esta estrategia debe ser el beneficio de la salud y bienestar de las personas físicas, sin olvidarnos de la mejora del medioambiente y de los servicios públicos al servicio de los ciudadanos.
Tras la pandemia del Covid-19, los datos de salud, dada la importancia y trascendencia de los mismos, se han convertido en un activo importante que puede contribuir, en gran medida, a la mejora y personalización de la medicina.
Una gran ayuda para esta propuesta es el Reglamento de Protección de datos (RGPD), que incorpora como uno de sus principales retos el unificar la legislación de protección de datos en Europa, estableciendo las condiciones armonizadas para el tratamiento de categorías especiales de datos personales relativos a la salud e investigación científica.
En esta línea, en el artículo 1.3 del Reglamento de la Gobernanza Europea de Datos, se indica que en caso de conflicto entre este Reglamento y el Derecho de la Unión o nacional en materia de protección de datos, prevalecerá el derecho que sea aplicable en materia de protección de datos personales.
Este marco normativo se completa con otras importantes materias como son las redes y sistemas de información, la ciberseguridad, la inteligencia artificial (IA) o la gobernanza de los datos.
Espacio Europeo de Datos Sanitarios
Tras la presentación en el 2022 de la Propuesta definitiva de la Comisión en el Parlamento Europeo de un Espacio Europeo de Datos Sanitarios, con el apoyo del Consejo, el Comité Económico y social europeo y el Comité de las Regiones, todavía no tenemos una versión definitiva del mismo, debido a las numerosas enmiendas presentadas.
La estrategia referente a la existencia de un espacio europeo de salud supone un reto importante en el ámbito de la salud, centrado especialmente en el acceso e intercambio de forma electrónica de los datos de salud.
Este acceso y compartición de datos tiene un ámbito de aplicación muy amplio, ya que aplica tanto a los pacientes, como a los profesionales sanitarios.
De la misma manera, también incluye a los proveedores de asistencia sanitaria y fabricantes de aplicaciones tipo wearables, investigadores, reguladores sanitarios y responsables políticos, y a la industria farmacéutica.
Dentro de sus objetivos destacan el del control por los pacientes de sus datos, garantizar la interoperabilidad, la seguridad de los datos de salud, o garantizar un marco coherente y eficiente para la reutilización de los datos.
Se distinguen dos tratamientos diferenciados de los datos de salud:
1.-Uso primario:
El acceso a los datos con esta finalidad se realizará a través de la infraestructura transfronteriza digital-MyHealth@UE.
Este sistema que facilita la comunicación transfronteriza de los datos, establece el acceso a las denominadas categorías prioritarias de datos por los profesionales sanitarios, con una política de perfiles de acceso, y limitando el acceso, únicamente en supuestos de interés vital, a determinados datos considerados restringidos.
De esta forma, también se posibilita y agiliza la gestión de certificados de salud, carnets vacunales o la telemedicina transfronteriza.
La propuesta establece las condiciones y requisitos que tienen que cumplir los Gestores de la Historia Clínica electrónica, los productos sanitarios o las Apps que conlleven uso de IA, los cuales han de estar garantizados con un modelo de esquema de autocertificación.
Para su control, cada estado de la UE dispondrá de una Autoridad de sanidad digital.
2.-Usos Secundarios:
En relación a este uso se establece un extenso catálogo de categorías de datos de salud (Historia Clínica, datos wereables, ensayos clínicos etc.), que serán facilitados por los titulares de los datos, pudiendo ser necesario, a criterio de cada estado, la exigencia de su consentimiento informado.
El concepto de “titulares de los datos” tiene un sentido amplio, ya que podrán serlo las personas físicas o, en su caso, las entidades u organismos sanitarios o investigadores.
Se prevén diferentes finalidades para el acceso a los datos de salud, que pueden ir desde la salud pública, la planificación sanitaria e investigación, hasta la innovación con uso de IA o la medicina personalizada.
Son consideradas prohibidas para usos secundarios las siguientes finalidades: la toma de decisiones perjudiciales para una persona física, las decisiones que sean causa de exclusión de una persona física o grupo de personas, de cara a la contratación de un contrato de seguro, los usos con motivo de actividades de publicidad o comercialización dirigidas a profesionales sanitarios, organizaciones del sector o personas físicas si facilitan el acceso a estos datos sanitarios electrónicos a terceros no autorizados y las finalidades para el desarrollo de productos o servicios que pueda perjudicar a las personas, sociedad o que contravengan el orden público o la moral.
Igualmente, se establecen obligaciones a los titulares de los datos personales, como pueden ser en el caso de centros sanitarios o de investigación, la información de los metadatos de que se dispongan, o la obligación de facilitarles dentro de los plazos solicitados.
La solicitud de estos datos debe realizarse siempre en un entorno seguro, y estará gravada con tasas, que puede graduarse en caso de las Pymes, y que deben cumplir el principio de publicidad.
El modelo de gobernanza que se recoge conlleva que cada estado de la UE dispondrá de un organismo de solicitud de acceso a los datos, aunque se prevé el nombramiento, a nivel comunitario, de un Consejo del Espacio Europeo de Datos sanitarios para usos secundarios.
En el caso de que se soliciten datos de diferentes estados de la UE, se realizará el acceso a través del organismo comunitario HealthData@UE.
Ideas Finales
- No está prevista su aprobación hasta el año 2025.
- Supondrá la transformación del actual modelo de gestión de los datos de salud.
- Conlleva la necesidad de unificar los estándares europeos en sistemas de información, codificación y políticas de gestión de datos sanitarios.
- Igualmente, conlleva la preparación de los Estados miembros en términos de infraestructuras y capacidades tecnológicas.
- Importancia del cumplimiento de los principios y exigencias del RGPD, y la implicación de los delegados de protección de datos.
- Deben acordarse y concretarse las medidas de privacidad exigidas en el uso de los datos con finalidades secundarias.
- Se considera conveniente buscar una mayor participación de la sociedad civil en el modelo de gobernanza.
ElDerecho.com no comparte necesariamente ni se responsabiliza de las opiniones expresadas por los autores o colaboradores de esta publicación