Artículo 64 relativo al Espacio Europeo de Datos de Salud

1. Cada organismo de acceso a datos de salud garantizará que la imposición de multas administrativas con arreglo al presente artículo por las infracciones a que se refieren los apartados 4 y 5 sean efectivas, proporcionadas y disuasorias en cada caso individual.

2. Las multas administrativas se impondrán, en función de las circunstancias de cada caso individual, a título adicional o sustitutivo de las medidas de garantía del cumplimiento a que se refiere el artículo 63, apartados 3 y 4. Los organismos de acceso a datos de salud decidirán la imposición de una multa administrativa y su cuantía en cada caso individual teniendo en cuenta las circunstancias siguientes:

a) la naturaleza, la gravedad y la duración de la infracción;

b) si otras autoridades competentes ya han impuesto sanciones o multas administrativas por la misma infracción;

c) el carácter intencionado o negligente de la infracción;

d) cualquier medida adoptada por el tenedor de datos de salud o el usuario de datos de salud para atenuar los daños causados;

e) el grado de responsabilidad del usuario de datos de salud, teniendo en cuenta las medidas técnicas y organizativas que haya aplicado con arreglo al artículo 67, apartado 2, letra g), y al artículo 67, apartado 4;

f) cualquier infracción anterior pertinente por parte del tenedor de datos de salud o del usuario de datos de salud;

g) el grado de cooperación del tenedor de datos de salud o del usuario de datos de salud con el organismo de acceso a datos de salud en relación con poner remedio a la infracción y atenuar sus posibles efectos adversos;

h) la forma en que el organismo de acceso a datos de salud tuvo conocimiento de la infracción, en particular si el usuario de datos de salud notificó la infracción y, en tal caso, en qué medida;

i) el cumplimiento de cualquier medida de garantía del cumplimiento a que se refiere el artículo 63, apartados 3 y 4, que haya sido adoptada anteriormente contra el correspondiente responsable o encargado del tratamiento de los datos en relación con el mismo asunto;

j) cualquier otro factor agravante o atenuante aplicable a las circunstancias del caso, como los beneficios financieros obtenidos o las pérdidas evitadas, directa o indirectamente, mediante la infracción.

3. Si un tenedor de datos de salud o un usuario de datos de salud incumple de forma intencionada o negligente varias disposiciones del presente Reglamento respecto de los mismos permisos de datos o peticiones de datos de salud o de permisos o peticiones conexos, la cuantía total de la multa administrativa no será superior a la cuantía prevista para la infracción más grave.

4. De conformidad con el apartado 2 del presente artículo, las infracciones de las obligaciones del tenedor de datos de salud o del usuario de datos de salud contempladas en el artículo 60 y al artículo 61, apartados 1, 5 y 6, se sancionarán con multas administrativas de 10 000 000 EUR como máximo o, en el caso de una empresa, de una cuantía equivalente al 2 % como máximo de su volumen de negocios anual total a escala mundial del ejercicio financiero anterior si esta última cifra fuera superior.

5. De conformidad con el apartado 2, las infracciones siguientes se sancionarán con multas administrativas de 20 000 000 EUR como máximo o, en el caso de una empresa, de una cuantía equivalente al 4 % como máximo de su volumen de negocios anual total a escala mundial del ejercicio financiero anterior si esta última cifra fuera superior:

a) tratamiento para los usos contemplados en el artículo 54, por parte de un usuario de datos de salud, de datos de salud electrónicos obtenidos a través de un permiso de datos expedido con arreglo al artículo 68;

b) extracción de datos de salud electrónicos personales de entornos de tratamiento seguros por parte de un usuario de datos de salud;

c) reidentificación o intento de reidentificación de las personas físicas a las que se refieren los datos de salud electrónicos obtenidos por los usuarios de datos de salud sobre la base de un permiso de datos o una petición de datos de salud de conformidad con el artículo 61, apartado 3;

d) incumplimiento de las medidas de garantía del cumplimiento adoptadas por los organismos de acceso a datos de salud de conformidad con el artículo 63, apartados 3 y 4.

6. Sin perjuicio de las facultades de los organismos de acceso a datos de salud en virtud del artículo 63, cada Estado miembro podrá establecer reglas sobre si se puede, y en qué medida, imponer multas administrativas a autoridades y organismos del sector público establecidos en dicho Estado miembro.

7. El ejercicio por un organismo de acceso a datos de salud de sus potestades en virtud del presente artículo estará sujeto a garantías procesales adecuadas de conformidad con el Derecho de la Unión y nacional, entre ellas la tutela judicial efectiva y el respeto de las garantías procesales.

8. Cuando el ordenamiento jurídico de un Estado miembro no contemple multas administrativas, el presente artículo podrá aplicarse de tal modo que, de conformidad con su ordenamiento jurídico nacional, se garantice que las medidas jurídicas aplicadas sean efectivas y tengan un efecto equivalente a las multas administrativas impuestas por los organismos de acceso a datos de salud. En cualquier caso, las multas impuestas serán efectivas, proporcionadas y disuasorias. El Estado miembro de que se trate notificará a la Comisión las disposiciones de la normativa que adopte en virtud del presente apartado a más tardar el 26 de marzo de 2029 y, sin demora, cualquier ley de modificación de dichas disposiciones o toda modificación posterior que las afecte.