La reutilización en la futura regulación del Espacio Europeo de datos de Salud

Fecha de la noticia: 21-06-2022

Ordenador con datos de salud

El impulso de la Comisión para promover  espacios de datos en el marco de una Estrategia europea se sustenta en la decidida apuesta por un marco normativo que le dote de coherencia regulatoria en toda la Unión. En particular, se busca establecer una sólida regulación que ofrezca seguridad jurídica a un modelo basado en el respeto a los derechos y libertades. Así, en un primer momento se han promovido sendas iniciativas para, de una parte, establecer las bases normativas del modelo de gobernanza —ya definitivamente adoptado mediante el Reglamento (UE) 2022/868, de 30 de mayo— y, de otra, fijar reglas armonizadas relativas al acceso y uso equitativo de los datos en toda la Unión.

Sin embargo, aun reconociendo la importancia del diseño de esta arquitectura jurídica de ámbito general, la efectiva apertura e intercambio de los datos requiere una aproximación más concreta que tenga en cuenta las singularidades de cada ámbito sectorial y, en particular, las dificultades y desafíos que han de afrontarse. Así pues, teniendo en cuenta el marco regulatorio general antes referido, la Comisión ha presentado  la primera iniciativa regulatoria de uno de estos espacios, el relativo a los datos de salud, que actualmente se encuentra en fase de consulta pública y de negociación en el Consejo de la UE y en el Parlamento Europeo, y que se enmarca en el proyecto de creación de un espacio europeo de datos sanitarios.

En concreto, más allá de facilitar el desarrollo de servicios electrónicos transfronterizos, la propuesta pretende abordar un triple objetivo:

Establecer un marco jurídico uniforme que facilite el desarrollo, la comercialización y el uso de los sistemas de historiales médicos electrónicos, para lo cual se establece un esquema de autocertificación obligatorio para ciertos sistemas que, en todo caso, contempla algunas excepciones como, por ejemplo, los programas informáticos para fines generales utilizados en los entornos sanitarios.

Facilitar el acceso electrónico de los pacientes a sus propios datos en el marco de la prestación de la asistencia sanitaria (uso primario de los datos sanitarios). A este respecto, la propuesta trata de reforzar la coherencia en todos los Estados miembros a la hora de proteger los datos de carácter sanitario más allá del lugar donde se realice la prestación sanitaria o en tipo de entidad que lo lleve a cabo.

Impulsar la reutilización de tales datos para otros fines secundarios. A tal efecto se contempla un modelo de gobernanza propio con un organismo específico al frente —el denominado Consejo del Espacio Europeo de Datos Sanitarios—y el despliegue de estructuras administrativas estatales debidamente coordinadas —organismos de acceso a los datos sanitarios—.

A continuación, veremos este último punto más en detalle.

El impulso de los usos secundarios

Por lo que se refiere a la reutilización de los datos para otras finalidades distintas de la asistencial, la propuesta de Reglamento parte de la siguiente evidencia: aunque los datos sanitarios ya están siendo recogidos y tratados utilizando medios electrónicos, sin embargo, en muchos casos el acceso a los mismos no se facilita para satisfacer otras finalidades de interés general. Por esta razón, con carácter general, se pretende establecer una regulación amplia que facilite los usos secundarios de los datos sanitarios, entre otros para la elaboración de estadísticas, el desarrollo de actividades formativas y de investigación, como la innovación tecnológica —incluyendo el entrenamiento de algoritmos— o la medicina personalizada.

Sin embargo, a los efectos de negar el acceso a los datos sanitarios, expresamente se declaran incompatibles algunos usos secundarios, como es el caso de:

• La adopción de decisiones perjudiciales para las personas físicas, entendiendo por tales no sólo las que produzcan efectos jurídicos sino, asimismo, las que les afecten de manera significativa. A este respecto, se destacan específicamente las modificaciones relativas a los contratos de seguro, como por ejemplo el incremento de las primas que se han de abonar.

• La realización de actividades de publicidad o comercialización dirigidas a profesionales sanitarios, organizaciones del sector o personas físicas.

• La puesta a disposición de los datos a terceros que no se contemplen en el permiso de datos que se otorgue.

• El desarrollo de productos y servicios perjudiciales, incluyendo particularmente las drogas ilícitas, las bebidas alcohólicas, los productos del tabaco o los bienes o servicios que contravengan el orden público o la moral.

Con relación a los sujetos obligados a compartir los datos, en principio la propuesta de Reglamento se extiende a quienes recojan y traten datos con financiación pública, quienes deberán ponerlos a disposición de los organismos competentes en materia de acceso a los datos sanitarios para facilitar su reutilización. Sin embargo, dada la importancia que tienen en algunos Estados, la normativa también extiende su ámbito de aplicación a sujetos privados prestadores de servicios sanitarios —salvo que se trate de microempresas—y, asimismo, asociaciones profesionales. En concreto, esta regulación afectaría a «toda persona física o jurídica que sea una entidad o un organismo del sector sanitario o asistencial, o que lleve a cabo investigaciones en relación con estos sectores, así como instituciones, órganos y organismos de la Unión que tengan el derecho o la obligación de poner a disposición, así como de registrar o entregar determinados datos, restringir el acceso a ellos o intercambiarlos».

Objeto y condiciones del acceso a los datos sanitarios

La propuesta de Reglamento parte de un concepto amplio de datos sanitarios, donde se incluyen las siguientes categorías: 

Datos a considerar en el marco del espacio europeo de datos sanitarios: datos proporcionados por pacientes; datos relacionados con efectos sobre la salud (datos sociales, medioambientales, etc.); datos generados por aplicaciones digitales; datos ofrecidos por sistemas sanitarios; datos resultantes de tratamientos previos (inferidos a través de pruebas, de manera automatizada, etc.). Fuente: Propuesta de Reglamento (UE) sobre el Espacio Europeo de Datos Sanitarios.

La normativa parte de una regla general: el acceso a los datos anonimizados como medida para reducir los riesgos de privacidad, aunque también se contempla un régimen específico para los datos de carácter personal. En este supuesto, la solicitud deberá incorporar una justificación adecuada y los datos únicamente se proporcionarán seudonimizados.

Por lo que se refiere a la forma de acceso, la especial sensibilidad de los datos sanitarios determina que se proponga que se deban facilitar a través de un entorno de tratamiento seguro que cumpla las normas técnicas y de seguridad establecidas en la propuesta. En particular,se propone que el tratamiento de los datos personales sólo pueda hacerse en entornos seguros, bajo el control de las autoridades de acceso a datos y sin que se puedan descargar por los reutilizadores; solo se contempla permitir la descarga de datos no personales.

Organismos de acceso a los datos sanitarios

Desde la perspectiva del modelo de gobernanza en que se sustenta la propuesta, los Estados deberán disponer de al menos un organismo de acceso a los datos sanitarios que facilite el acceso electrónico a los mismos para fines secundarios. En el caso de ser varios organismos debido a exigencias derivadas de su organización político-administrativa, uno de ellos ejercerá funciones de coordinación. Más allá de la libertad organizativa por parte de los Estados a la hora de elegir una u otra fórmula organizativa, resulta esencial que se garantice la independencia del organismo coordinador, sin perjuicio de los mecanismos de control financiero o judicial.

Como ya se ha indicado, la finalidad principal de esta medida consiste en garantizar una aplicación uniforme y coherente del marco normativo del acceso a los datos sanitarios para fines secundarios en toda la Unión Europea, en particular por lo que se refiere a la protección de datos personales en este sector. A este respecto, se propone que dichos organismos habrán de tener asignadas las competencias que les permitan verificar el cumplimiento de dicha normativa y, en particular, la imposición de sanciones y otras medidas como la exclusión temporal o definitiva del Espacio Europeo de Datos de Salud de quienes no cumplan sus obligaciones.

La armonización que pretende conseguir la propuesta de Reglamento se proyecta asimismo en el establecimiento de un proceso normalizado para la expedición de permisos de reutilización de datos para finalidades secundarias. En concreto, el caso de que no baste con el acceso anonimizado a los datos, deberá motivarse por qué es necesario el acceso seudonimizado. En este último caso, la solicitud deberá especificar la base jurídica para solicitar el acceso a los datos desde la perspectiva de la normativa sobre protección de datos personales, los fines secundarios para los que se pretenden reutilizar, así como una descripción de los datos y herramientas necesarias para su tratamiento.

Finalmente, la propuesta de Reglamento incluye obligaciones de publicidad activa dirigidas a los citados organismos acerca de los conjuntos de datos disponibles. Se trata de una medida esencial, ya que la existencia de un catálogo de conjunto de datos a nivel europeo —a partir de la interconexión de los estatales— resultaría de enorme utilidad para impulsar no sólo la investigación y la innovación sino, igualmente, la toma de decisiones a nivel normativo y político. En concreto, respecto a cada conjunto de datos disponibles, se habrá de indicar su naturaleza, la fuente de la que provienen y las condiciones para su puesta a disposición.

En definitiva, se trata de una iniciativa ciertamente innovadora para hacer frente a la diversidad regulatoria existente en cada Estado miembro que, sin embargo, está en una fase inicial de tramitación. Precisamente, en este momento se encuentra abierto un trámite de participación que permite formular alegaciones frente a la redacción inicial hasta el día 28 de julio de 2022 a través de un sencillo procedimiento accesible a través de este enlace.

Contenido elaborado por Julián Valero, catedrático de la Universidad de Murcia y Coordinador del Grupo de Investigación “Innovación, Derecho y Tecnología” (iDerTec).

Los contenidos y los puntos de vista reflejados en esta publicación son responsabilidad exclusiva de su autor.

Contenido relacionado: