Artículo 73 relativo al Espacio Europeo de Datos de Salud

1. Los organismos de acceso a datos de salud proporcionarán acceso a los datos de salud electrónicos en virtud de un permiso de datos únicamente a través de un entorno de tratamiento seguro sometido a medidas técnicas y organizativas y requisitos de seguridad e interoperabilidad. En particular, el entorno de tratamiento seguro deberá cumplir las medidas de seguridad siguientes:

a) limitar el acceso al entorno de tratamiento seguro a las personas físicas autorizadas enumeradas en el permiso de datos expedido con arreglo al artículo 68;

b) minimizar el riesgo de lectura, copia, modificación o supresión no autorizadas de los datos de salud electrónicos alojados en un entorno de tratamiento seguro a través de las medidas técnicas y organizativas más avanzadas;

c) limitar la introducción de datos de salud electrónicos y la inspección, modificación o supresión de los datos de salud electrónicos alojados en el entorno de tratamiento seguro a un número limitado de personas identificables autorizadas;

d) garantizar que los usuarios de datos de salud solo tengan acceso a los datos de salud electrónicos cubiertos por su permiso de datos, únicamente mediante identidades de usuario individuales y únicas y modos de acceso confidenciales;

e) conservar registros identificables de acceso al entorno de tratamiento seguro y de las actividades en él durante el período necesario para verificar y auditar todas las operaciones de tratamiento en dicho entorno; los registros de acceso se conservarán durante un período de al menos un año;

f) garantizar el cumplimiento y realizar un seguimiento de las medidas de seguridad a que se refiere el presente apartado para atenuar las posibles amenazas para la seguridad.

2. Los organismos de acceso a datos de salud garantizarán que los tenedores de datos de salud puedan cargar los datos de salud electrónicos en el formato que especifique el permiso de datos y que el usuario de datos de salud pueda acceder a ellos en un entorno de tratamiento seguro.

Los organismos de acceso a datos de salud revisarán los datos de salud electrónicos incluidos en una petición de descarga con objeto de garantizar que los usuarios de datos de salud solo puedan descargar datos de salud electrónicos no personales, incluidos los datos de salud electrónicos en un formato estadístico anonimizado, desde el entorno de tratamiento seguro.

3. Los organismos de acceso a datos de salud se asegurarán de que se realicen auditorías periódicas de los entornos de tratamiento seguros, también por terceros, y adoptarán medidas correctivas con respecto a cualquier deficiencia, riesgo o vulnerabilidad detectados por dichas auditorías en los entornos de tratamiento seguros.

4. Cuando las organizaciones de cesión altruista de datos reconocidas contempladas en el capítulo IV del Reglamento (UE) 2022/868 traten datos de salud electrónicos personales utilizando un entorno de tratamiento seguro, dichos entornos también deberán cumplir las medidas de seguridad establecidas en el apartado 1, letras a) a f), del presente artículo.

5. A más tardar el 26 de marzo de 2027, la Comisión establecerá, mediante actos de ejecución, los requisitos técnicos, organizativos, de seguridad de la información, de confidencialidad, de protección de datos y de interoperabilidad para los entornos de tratamiento seguros, también con respecto a las características técnicas y las herramientas a disposición del usuario de datos de salud en el entorno de tratamiento seguro. Dichos actos de ejecución se adoptarán de conformidad con el procedimiento de examen a que se refiere el artículo 98, apartado 2.