Acerca de operadores lógicos
Preambulo relativo al Espacio Europeo de Datos de Salud
Preambulo
GPT Iberley IA
Copiloto jurídico
REGLAMENTO (UE) 2025/327 DEL PARLAMENTO EUROPEO Y DEL CONSEJO
de 11 de febrero de 2025
relativo al Espacio Europeo de Datos de Salud, y por el que se modifican la Directiva 2011/24/UE y el Reglamento (UE) 2024/2847
(Texto pertinente a efectos del EEE)
EL PARLAMENTO EUROPEO Y EL CONSEJO DE LA UNIÓN EUROPEA,
Visto el Tratado de Funcionamiento de la Unión Europea, y en particular sus artículos 16 y 114,
Vista la propuesta de la Comisión Europea,
Previa transmisión del proyecto de acto legislativo a los Parlamentos nacionales,
Visto el dictamen del Comité Económico y Social Europeo (1),
Visto el dictamen del Comité de las Regiones (2),
De conformidad con el procedimiento legislativo ordinario (3),
Considerando lo siguiente:
(1) El objetivo del presente Reglamento es crear el Espacio Europeo de Datos de Salud (EEDS) con el fin de mejorar el acceso por parte de las personas físicas a sus datos de salud electrónicos personales y su control de dichos datos, en el contexto de la asistencia sanitaria, así como de alcanzar mejor otros fines para los que se necesite el uso de datos de salud electrónicos en el sector de la asistencia sanitaria y en el sector asistencial que beneficiarían a la sociedad, como, por ejemplo, la investigación, la innovación, la formulación de políticas, la preparación y respuesta ante las amenazas para la salud, incluidas la prevención y respuesta ante futuras pandemias, la seguridad de los pacientes, la medicina personalizada, las estadísticas oficiales o las actividades de regulación. Además, la finalidad del presente Reglamento es mejorar el funcionamiento del mercado interior mediante el establecimiento de un marco jurídico y técnico uniforme, en particular en lo que respecta al desarrollo, la comercialización y el uso de los sistemas de historia clínica electrónica (en lo sucesivo, «sistemas HCE») de conformidad con los valores de la Unión. El EEDS va a ser una pieza clave para la creación de una Unión Europea de la Salud fuerte y resiliente.
(2) La pandemia de COVID-19 puso de relieve la necesidad de tener acceso en el momento oportuno a datos de salud electrónicos de calidad para la preparación y respuesta ante las amenazas para la salud, así como para la prevención, el diagnóstico y tratamiento y el uso secundario de dichos datos de salud electrónicos. Disponer de tal acceso en el momento oportuno podría contribuir potencialmente, mediante una vigilancia y un seguimiento eficientes de la salud pública, a una gestión más eficaz de futuras pandemias, a una reducción de los costes y una mejora de la respuesta a las amenazas para la salud y, en última instancia, podría ayudar a salvar más vidas. En 2020, la Comisión adaptó de manera urgente su Sistema de Gestión Clínica de Pacientes, establecido por la Decisión de Ejecución (UE) 2019/1269 de la Comisión (4), para permitir a los Estados miembros compartir datos de salud electrónicos de los pacientes de COVID-19 que se desplazaban entre los prestadores de asistencia sanitaria y los Estados miembros durante el período álgido de dicha pandemia. Sin embargo, esta adaptación fue solo una solución de emergencia, que mostró la necesidad de un enfoque estructural y coherente a nivel de los Estados miembros y a nivel de la Unión, tanto para mejorar la disponibilidad de datos de salud electrónicos para la asistencia sanitaria, así como para facilitar el acceso a los datos de salud electrónicos a fin de orientar respuestas políticas eficaces y contribuir a normas estrictas en materia de salud humana.
(3) La crisis de la COVID-19 consolidó firmemente el trabajo de la red de sanidad electrónica, una red voluntaria de las autoridades responsables en materia de salud digital, como el principal pilar para el desarrollo de aplicaciones de rastreo de contactos y de alerta a contactos para dispositivos móviles, así como de los aspectos técnicos de los certificados COVID digitales de la UE. También destacó la necesidad de compartir datos de salud electrónicos que sean fáciles de encontrar, accesibles, interoperables y reutilizables (en lo sucesivo, «principios FAIR»), y de garantizar que los datos de salud electrónicos sean tan abiertos como sea posible, respetando al mismo tiempo el principio de minimización de datos tal como dispone el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo (5). Deben garantizarse las sinergias entre el EEDS, la Nube Europea de la Ciencia Abierta y las infraestructuras europeas de investigación, y deben extraerse lecciones de las soluciones de intercambio de datos desarrolladas en el marco de la plataforma europea de datos sobre la COVID-19.
(4) Habida cuenta del carácter sensible de los datos de salud electrónicos personales, el presente Reglamento pretende proporcionar salvaguardias suficientes, tanto a escala nacional como de la Unión, para garantizar un nivel elevado de protección, seguridad, confidencialidad y uso ético de los datos. Esas salvaguardias son necesarias para fomentar la confianza en la gestión segura de los datos de salud electrónicos de las personas físicas para un uso primario o para un uso secundario tal como se definen en el presente Reglamento.
(5) Al tratamiento de los datos de salud electrónicos personales se le aplican las disposiciones del Reglamento (UE) 2016/679 y, en el caso de las instituciones, órganos y organismos de la Unión, las del Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo (6). Las referencias a las disposiciones del Reglamento (UE) 2016/679 deben entenderse también como referencias a las disposiciones correspondientes del Reglamento (UE) 2018/1725 para las instituciones, órganos y organismos de la Unión, cuando proceda.
(6) Cada vez más personas que viven en la Unión cruzan las fronteras nacionales para trabajar, estudiar, visitar a familiares o por otros motivos. Para facilitar el intercambio transfronterizo de datos de salud, y en consonancia con la necesidad de facultar a los ciudadanos, estos deben poder acceder a sus datos de salud en un formato electrónico que pueda ser reconocido y aceptado en toda la Unión. Dichos datos de salud electrónicos personales podrían incluir datos personales relacionados con la salud física o mental de las personas físicas, también los relacionados con la prestación de servicios de asistencia sanitaria, y que revelen información sobre su estado de salud, datos personales sobre las características genéticas heredadas o adquiridas de las personas físicas, que proporcionen información única sobre la fisiología o la salud de dichas personas físicas y que se deriven, en particular, del análisis de una muestra biológica de la persona física en cuestión, así como datos sobre factores determinantes de la salud, como los conductuales, los medioambientales y las influencias físicas, la asistencia médica y los factores sociales o educacionales. Los datos de salud electrónicos también incluyen los datos que han sido inicialmente recogidos con fines de investigación, estadísticos, de evaluación de las amenazas para la salud, de formulación de políticas o de regulación y debe ser posible ponerlos a disposición de conformidad con lo establecido en el presente Reglamento. Los datos de salud electrónicos consisten en todas esas categorías de datos, independientemente de que los proporcionen los interesados u otras personas físicas o jurídicas, como los profesionales sanitarios, o se traten en relación con la salud o el bienestar de las personas físicas, y deben incluir también los datos inferidos o derivados, como los diagnósticos, las pruebas y los exámenes médicos, así como los datos observados y registrados de forma automatizada.
(7) En los sistemas sanitarios, los datos de salud electrónicos personales suelen recogerse en historias clínicas electrónicas, que habitualmente contienen el historial médico de las personas físicas, los diagnósticos y tratamientos, los medicamentos, las alergias, las vacunas, así como las imágenes radiológicas, los resultados de laboratorio y otros datos médicos, distribuidos entre diferentes agentes del sistema sanitario, como médicos de familia, hospitales, farmacias o servicios asistenciales. Para que las personas físicas o los profesionales sanitarios puedan acceder a los datos de salud electrónicos, compartirlos y modificarlos, algunos Estados miembros han adoptado las medidas jurídicas y técnicas necesarias y han creado infraestructuras centralizadas que conectan los sistemas HCE utilizados por los prestadores de asistencia sanitaria y las personas físicas. Además, algunos Estados miembros proporcionan su apoyo a la creación por parte de los prestadores de asistencia sanitaria públicos y privados de espacios de datos de salud electrónicos personales que permitan la interoperabilidad entre los distintos prestadores de asistencia sanitaria. Varios Estados miembros también apoyan o prestan servicios de acceso a datos de salud electrónicos para pacientes y profesionales sanitarios, por ejemplo, a través de portales de pacientes o profesionales sanitarios. Dichos Estados miembros también han tomado medidas para garantizar que los sistemas HCE o las aplicaciones de bienestar puedan transmitir datos de salud electrónicos al sistema central de HCE, por ejemplo, proporcionando un sistema de certificación. Sin embargo, no todos los Estados miembros han puesto en marcha tales sistemas, y aquellos Estados miembros que los han aplicado lo han hecho de manera fragmentada. Con el fin de facilitar la libre circulación de los datos de salud electrónicos personales en toda la Unión y evitar consecuencias negativas para los pacientes cuando reciban asistencia sanitaria en un contexto transfronterizo, es necesaria una acción de la Unión para mejorar el acceso de las personas físicas a sus propios datos de salud electrónicos personales y para facultarlas para compartirlos. A este respecto, deben tomarse medidas apropiadas a escala nacional y de la Unión como medios para reducir la fragmentación, la heterogeneidad y la división, y para crear un sistema de fácil utilización e intuitivo en todos los Estados miembros. Toda transformación digital en el sector de la asistencia sanitaria debe aspirar a ser inclusiva y beneficiar también a las personas físicas con capacidad limitada para acceder a los servicios digitales y utilizarlos, incluidas las personas con discapacidad.
(8) El Reglamento (UE) 2016/679 establece disposiciones específicas relativas a los derechos de las personas físicas en relación con el tratamiento de sus datos personales. El EEDS se basa en dichos derechos y complementa algunos de ellos aplicados a los datos de salud electrónicos personales. Esos derechos se aplican independientemente del Estado miembro en el que se traten los datos de salud electrónicos personales, el tipo de prestador de asistencia sanitaria, las fuentes de esos datos o el Estado miembro de afiliación de la persona física. Los derechos y disposiciones relacionados con el uso primario de los datos de salud electrónicos personales con arreglo al presente Reglamento se refieren a todas las categorías de dichos datos, con independencia de cómo se hayan recogido o de quién los haya proporcionado, el fundamento jurídico del tratamiento en virtud del Reglamento (UE) 2016/679, o de la condición del responsable del tratamiento como organización pública o privada. Los derechos adicionales de acceso y la portabilidad de los datos de salud electrónicos personales que dispone el presente Reglamento deben entenderse sin perjuicio de los derechos de acceso y portabilidad establecidos en el Reglamento (UE) 2016/679. Las personas físicas siguen disfrutando de esos derechos en las condiciones establecidas en ese Reglamento.
(9) Si bien los derechos que confiere el Reglamento (UE) 2016/679 deben seguir aplicándose, el derecho de acceso a los datos por parte de las personas físicas, establecido en el Reglamento (UE) 2016/679, debe seguir complementándose en el sector de la asistencia sanitaria. En virtud de dicho Reglamento, los responsables del tratamiento no tienen que proporcionar el acceso inmediatamente. El derecho de acceso a los datos de salud sigue aplicándose habitualmente en muchos lugares mediante el suministro de los datos de salud solicitados en formato papel o como documentos escaneados, lo que lleva mucho tiempo para el responsable del tratamiento, como un hospital u otro prestador de asistencia sanitaria que proporciona acceso. Dicha situación retrasa que las personas físicas accedan a los datos de salud y puede tener un impacto negativo en ellas si necesitan acceder inmediatamente debido a circunstancias urgentes relacionadas con su estado de salud. Por ello es necesario ofrecer a las personas físicas una manera más eficiente de acceder a sus propios datos de salud electrónicos personales. Deben tener derecho a acceder de forma gratuita e inmediata, respetando al mismo tiempo la necesaria viabilidad tecnológica, a las categorías prioritarias específicas de datos de salud electrónicos personales, como la historia clínica resumida del paciente, a través de un servicio de acceso a los datos de salud electrónicos. Ese derecho debe aplicarse independientemente del Estado miembro en el que se traten los datos de salud electrónicos personales, el tipo de prestador de asistencia sanitaria, las fuentes de datos o el Estado miembro de afiliación de la persona física. El alcance de ese derecho complementario establecido en virtud del presente Reglamento y las condiciones para ejercerlo difieren en determinados aspectos del derecho de acceso a los datos personales en virtud del Reglamento (UE) 2016/679, el cual abarca todos los datos personales en poder de un responsable del tratamiento y se ejerce contra un responsable del tratamiento individual, que dispone de un plazo máximo de un mes para responder a una petición. El derecho de acceso a los datos de salud electrónicos personales en virtud del presente Reglamento debe limitarse a las categorías de datos que entren en su ámbito de aplicación, ejercerse a través de un servicio de acceso a los datos de salud electrónicos y traer consigo una respuesta inmediata. Los derechos en virtud del Reglamento (UE) 2016/679 deben seguir aplicándose, permitiendo a las personas físicas beneficiarse de los derechos en virtud de ambos marcos jurídicos, en particular, el derecho a obtener una copia en papel de los datos de salud electrónicos.
(10) Debe considerarse que el acceso inmediato de las personas físicas a determinadas categorías de sus datos de salud electrónicos personales puede ser perjudicial para la seguridad de esas personas físicas o poco ético. Por ejemplo, podría ser poco ético informar a un paciente a través de un canal electrónico sobre un diagnóstico de una enfermedad incurable que probablemente sea terminal, en lugar de proporcionar esa información en primer lugar en una consulta con el paciente. Por lo tanto, debe ser posible retrasar la prestación del acceso a los datos de salud electrónicos personales en tales situaciones durante un período de tiempo limitado, por ejemplo, hasta el momento en que el profesional sanitario pueda explicar al paciente la situación. Los Estados miembros deben poder establecer tales excepciones cuando constituyan una medida necesaria y proporcionada en una sociedad democrática, de conformidad con las limitaciones establecidas en el artículo 23 del Reglamento (UE) 2016/679.
(11) El presente Reglamento no afecta a las competencias de los Estados miembros relativas al registro inicial de datos de salud electrónicos personales, como condicionar el registro de datos genéticos al consentimiento de la persona física u otras garantías. Los Estados miembros pueden exigir que esos datos se proporcionen en formato electrónico antes de la aplicación del presente Reglamento. Ello no debe afectar a la obligación de poner a disposición en formato electrónico los datos de salud electrónicos personales registrados tras la fecha de aplicación del presente Reglamento.
(12) Para completar la información que esté a su disposición, las personas físicas deben poder añadir datos de salud electrónicos a sus HCE o almacenar información adicional en su historia clínica personal independiente a la que pueden acceder los profesionales sanitarios. Sin embargo, la información introducida por personas físicas podría no ser tan fiable como los datos de salud electrónicos introducidos y verificados por los profesionales sanitarios y no tiene el mismo valor clínico o legal que la información proporcionada por profesionales sanitarios. Por ello, los datos añadidos por las personas físicas en sus HCE deben distinguirse claramente de los datos proporcionados por los profesionales sanitarios. Esa posibilidad de que las personas físicas añadan y complementen datos de salud electrónicos personales no debe darles derecho a cambiar los datos de salud electrónicos personales proporcionados por los profesionales sanitarios.
(13) Permitir a las personas físicas un acceso más fácil y rápido a sus datos de salud electrónicos personales les permitirá detectar posibles errores, como información incorrecta o historias clínicas asignadas incorrectamente a pacientes. En tales casos, las personas físicas deben poder solicitar en línea la rectificación de los datos de salud electrónicos personales incorrectos, de forma inmediata y gratuita, a través de un servicio de acceso a datos de salud electrónicos. Esas solicitudes de rectificación de datos deben ser tratadas por los responsables del tratamiento de conformidad con el Reglamento (UE) 2016/679, con la participación, si es necesario, de profesionales sanitarios con una especialización pertinente y que sean responsables de dispensar el tratamiento a la persona física.
(14) En virtud del Reglamento (UE) 2016/679, el derecho a la portabilidad de los datos se limita a los datos tratados sobre la base del consentimiento o contrato y proporcionados por el interesado a un responsable del tratamiento. Asimismo, en virtud de dicho Reglamento, las personas físicas tienen derecho a que los datos personales se transmitan directamente de un responsable del tratamiento a otro solo cuando sea técnicamente posible. Sin embargo, el Reglamento (UE) 2016/679 no impone la obligación de hacer técnicamente viable esa transmisión directa. El derecho a la portabilidad de datos debe complementarse en el marco del presente Reglamento, facultando así a las personas físicas para proporcionar acceso al menos a las categorías prioritarias de sus datos de salud electrónicos personales a los profesionales sanitarios de su elección, a intercambiar tales datos de salud con esos profesionales sanitarios y a descargar tales datos de salud. Además, las personas físicas deben tener derecho a solicitar a un prestador de asistencia sanitaria que transmita una parte de sus datos de salud electrónicos a un destinatario claramente identificado en el sector de la seguridad social o de los servicios de reembolso. Esa transferencia debe ser de un solo sentido.
(15) El marco establecido por el presente Reglamento debe basarse en el derecho a la portabilidad de los datos establecido en el Reglamento (UE) 2016/679, garantizando que las personas físicas, como interesados, puedan transmitir sus datos de salud electrónicos personales, incluidos los datos inferidos, en el formato europeo de intercambio de historias clínicas electrónicas, con independencia de la base jurídica para el tratamiento de los datos de salud electrónicos. Los profesionales sanitarios deben abstenerse de obstaculizar la aplicación de los derechos de las personas físicas, como ocurriría si se negaran a tener en cuenta los datos de salud electrónicos personales procedentes de otro Estado miembro y que son proporcionados mediante el formato europeo de intercambio de historias clínicas electrónicas que es interoperable y fiable.
(16) El acceso a las historias clínicas electrónicas por parte de los prestadores de asistencia sanitaria u otras personas debe ser transparente para las personas físicas de que se trate. Los servicios de acceso a los datos de salud electrónicos deben proporcionar información pormenorizada sobre el acceso a los datos, por ejemplo, cuándo y qué entidad o persona física accedió a los datos y a qué datos se accedió. Las personas físicas también deben poder permitir o inhabilitar notificaciones automáticas relativas al acceso a los datos de salud electrónicos personales con los que guarden relación a través de los servicios de acceso de los profesionales sanitarios.
(17) Es posible que las personas físicas no deseen permitir el acceso a algunas partes de sus datos de salud electrónicos personales, aunque permitan el acceso a otras partes. Esto puede ser especialmente pertinente en casos de problemas de salud delicados, como los relacionados con la salud mental o sexual, procedimientos delicados como la interrupción voluntaria del embarazo, o datos sobre medicamentos específicos que puedan revelar otros problemas delicados. Por tanto, debe apoyarse este intercambio selectivo de datos de salud electrónicos personales y aplicarse mediante limitaciones establecidas por la persona física de que se trate de la misma manera dentro del territorio de un Estado miembro determinado como para el intercambio transfronterizo de datos. Esas limitaciones deben permitir una granularidad suficiente para limitar partes de los conjuntos de datos, como los elementos de las historias clínicas resumidas de los pacientes. Antes de establecer las limitaciones, se informará a las personas físicas de los riesgos para la seguridad del paciente asociados a la limitación del acceso a los datos de salud. Dado que la indisponibilidad de los datos de salud electrónicos personales restringidos puede afectar a la prestación o la calidad de los servicios sanitarios que reciba una persona física, las personas físicas que hagan uso de esas limitaciones deben asumir la responsabilidad del hecho de que el prestador de asistencia sanitaria no pueda tener en cuenta los datos al prestar servicios sanitarios. Dichas limitaciones al acceso de datos de salud electrónicos personales pueden tener consecuencias que amenacen la vida y, por lo tanto, el acceso a esos datos debe ser posible, no obstante, cuando sea necesario para proteger intereses vitales en caso de emergencia. Los Estados miembros pueden establecer disposiciones jurídicas más específicas en su Derecho nacional sobre los mecanismos de limitación impuestos por las personas físicas a partes de sus datos de salud electrónicos personales, en particular en lo relativo a la responsabilidad médica en el caso de que la persona física de que se trate haya establecido esas limitaciones.
(18) Además, debido a las diferentes sensibilidades en los Estados miembros en lo que respecta al grado de control de los pacientes sobre sus datos de salud, los Estados miembros deben poder establecer un derecho absoluto de autoexclusión en relación con el acceso a sus datos de salud electrónicos personales por parte de cualquier persona distinta del responsable del tratamiento original, sin posibilidad de revocar esa autoexclusión en situaciones de emergencia. En tales casos, los Estados miembros deben establecer las reglas y salvaguardias específicas relativas a esos mecanismos de autoexclusión. Esas reglas y salvaguardias específicas también pueden referirse a categorías específicas de datos de salud electrónicos personales, por ejemplo, los datos genéticos. El derecho de autoexclusión significa que los datos de salud electrónicos personales relativos a la persona física que ejerce tal derecho no se pueden poner a disposición a través de los servicios creados en el marco del EEDS a otros que no sean el prestador de asistencia sanitaria que prescribió el tratamiento. Los Estados miembros deben poder exigir el registro y el almacenamiento de datos de salud electrónicos personales en un sistema HCE utilizado por el prestador de asistencia sanitaria que haya prestado los servicios sanitarios y a los que solo pueda acceder dicho prestador de asistencia sanitaria. Aunque una persona física haya ejercido ese derecho de autoexclusión, los prestadores de asistencia sanitaria van a seguir documentando el tratamiento dispensado de conformidad con las disposiciones aplicables y van a poder acceder a los datos registrados por ellos. Las personas físicas que ejerzan el derecho de autoexclusión deben poder revocar su decisión. En tales casos, los datos de salud electrónicos personales generados durante el período de autoexclusión podrían no estar disponibles a través de los servicios de acceso y MiSalud@UE.
(19) El acceso pleno y en tiempo oportuno de los profesionales sanitarios a las historias clínicas de los pacientes es fundamental para garantizar la continuidad de la asistencia, evitar duplicaciones y errores, y reducir costes. Sin embargo, debido a la falta de interoperabilidad, en muchos casos los profesionales sanitarios no pueden acceder a las historias clínicas completas de sus pacientes y no pueden tomar decisiones médicas óptimas para su diagnóstico y tratamiento, lo que añade costes considerables tanto para los sistemas sanitarios como para las personas físicas y puede dar lugar a peores resultados sanitarios para estas. Los datos de salud electrónicos disponibles en un formato interoperable y que puedan transmitirse entre los prestadores de asistencia sanitaria, también pueden reducir la carga administrativa que supone para los profesionales sanitarios introducir o copiar manualmente los datos de salud entre los sistemas electrónicos. Por consiguiente, para que los profesionales sanitarios utilicen datos de salud electrónicos personales en el ejercicio de sus funciones, deben disponer de los medios electrónicos adecuados, como dispositivos electrónicos y portales de profesionales sanitarios u otros servicios de acceso de los profesionales sanitarios. Dado que es difícil determinar exhaustivamente de antemano qué datos de los existentes en las categorías prioritarias son pertinentes desde el punto de vista médico en un acto concreto de asistencia, los profesionales sanitarios deben tener un amplio acceso a los datos. Al acceder a los datos relativos a sus pacientes, los profesionales sanitarios deben cumplir la normativa aplicable, los códigos de conducta, las directrices deontológicas u otras disposiciones que regulen la conducta ética con respecto al intercambio o el acceso a la información, en particular en situaciones que pongan en peligro la vida o en situaciones extremas. De conformidad con el Reglamento (UE) 2016/679, a fin de limitar su acceso a lo que sea pertinente en un acto concreto de asistencia, los prestadores de asistencia sanitaria deben seguir el principio de minimización de datos al acceder a los datos de salud electrónicos personales, limitando los datos a los que se acceda a aquellos datos que sean estrictamente necesarios y estén justificados para un servicio determinado. La prestación de servicios de acceso de los profesionales sanitarios es una misión asignada en interés público por el presente Reglamento y cuya realización requiere el tratamiento de datos personales en el sentido del artículo 6, apartado 1, letra e), del Reglamento (UE) 2016/679. El presente Reglamento establece condiciones y garantías para el tratamiento de datos de salud electrónicos en el servicio de acceso de los profesionales sanitarios de conformidad con el artículo 9, apartado 2, letra h), del Reglamento (UE) 2016/679, por ejemplo disposiciones pormenorizadas sobre el registro del acceso a datos de salud electrónicos personales y cuyo objetivo consiste en ofrecer transparencia a los interesados. No obstante, el presente Reglamento debe entenderse sin perjuicio del Derecho nacional relativo al tratamiento de datos de salud en la prestación de asistencia sanitaria, incluido el Derecho nacional que establezca las categorías de profesionales sanitarios que puedan tratar las diferentes categorías de datos de salud electrónicos.
(20) A fin de facilitar el ejercicio de los derechos complementarios de acceso y portabilidad establecidos en virtud del presente Reglamento, los Estados miembros deben establecer uno o varios servicios de acceso a datos de salud electrónicos. Esos servicios pueden prestarse a escala nacional, regional o local, o por prestadores de asistencia sanitaria, en forma de portal en línea para pacientes, aplicación para dispositivos móviles o por otros medios. Deben concebirse de manera accesible, especialmente para las personas con discapacidad. Es de interés público esencial prestar un servicio de ese tipo, que permita a las personas físicas tener acceso fácilmente a sus datos de salud electrónicos personales. El tratamiento de datos de salud electrónicos personales a través de esos servicios es necesario para desempeñar la misión asignada por el presente Reglamento en el sentido del artículo 6, apartado 1, letra e), y del artículo 9, apartado 2, letra g), del Reglamento (UE) 2016/679. El presente Reglamento establece las condiciones y garantías necesarias para el tratamiento de los datos de salud electrónicos en los servicios de acceso a datos de salud electrónicos, como la identificación electrónica de las personas físicas que acceden a dichos servicios.
(21) Las personas físicas deben poder conceder una autorización a otras personas físicas de su elección, como a sus familiares u otras personas físicas cercanas, que permita a esas personas de su elección acceder a los datos de salud electrónicos personales de las personas físicas que conceden la autorización o controlar el acceso a ellos, o utilizar los servicios sanitarios digitales en su nombre. Esas autorizaciones también pueden ser convenientes para otras utilizaciones por parte de las personas físicas que dispongan de tales autorizaciones. Los Estados miembros, a fin de permitir y aplicar esas autorizaciones, deben establecer servicios de representación, que deben estar vinculados a servicios de acceso a datos de salud electrónicos personales, como son los portales de pacientes o las aplicaciones para dispositivos móviles orientadas al paciente. Esos servicios de representación también deben permitir a los tutores actuar en nombre de las personas a su cargo, incluidos los menores; en tales situaciones, las autorizaciones podrían ser automáticas. Además de esos servicios de representación, los Estados miembros también deben establecer servicios de apoyo fácilmente accesibles que sean prestados por personal adecuadamente formado, destinados a ayudar a las personas físicas en el ejercicio de sus derechos. A fin de tener en cuenta los casos en que mostrar algunos datos de salud electrónicos personales de las personas a su cargo a sus tutores pueda ser contraria a los intereses o la voluntad de las personas a su cargo, incluidos los menores, los Estados miembros deben poder establecer en el Derecho nacional limitaciones y garantías así como mecanismos para su aplicación técnica. Los servicios de acceso a los datos de salud electrónicos personales, como los portales de pacientes o las aplicaciones para dispositivos móviles orientadas al paciente, deben hacer uso de esas autorizaciones y permitir así que las personas físicas autorizadas accedan a los datos de salud electrónicos personales que entran en el ámbito de la autorización. Al objeto de aportar una solución horizontal con mayor facilidad de uso, las soluciones de representación digital deben adecuarse al Reglamento (UE) n.º 910/2014 del Parlamento Europeo y del Consejo (7) y a las especificaciones técnicas de la cartera europea de identidad digital. Esa adecuación contribuiría a reducir las cargas administrativas y financieras de los Estados miembros mediante la atenuación del riesgo de desarrollar sistemas paralelos que no sean interoperables en toda la Unión.
(22) En algunos Estados miembros, la asistencia sanitaria la prestan equipos de gestión de la atención primaria, que son como grupos de profesionales sanitarios centrados en la atención primaria (como los médicos de familia), que realizan sus actividades de atención primaria sobre la base de un plan de asistencia sanitaria elaborado por ellos. En varios Estados miembros existen también otros tipos de equipos de asistencia sanitaria para otros fines asistenciales. En el contexto del uso primario en el EEDS, debe proporcionarse el acceso a los profesionales sanitarios pertenecientes a esos equipos.
(23) Las autoridades de control establecidas de conformidad con el Reglamento (UE) 2016/679 son competentes para supervisar y garantizar la aplicación de ese Reglamento, en particular para supervisar el tratamiento de los datos de salud electrónicos personales y para tramitar las reclamaciones presentadas por las personas físicas afectadas. El presente Reglamento establece derechos adicionales para las personas físicas en relación con el uso primario, que van más allá y complementan los derechos de acceso y portabilidad reconocidos en el Reglamento (UE) 2016/679. Debido a que estos derechos adicionales también deben ser protegidos por las autoridades de control establecidas de conformidad con el Reglamento (UE) 2016/679, los Estados miembros deben garantizar que esas autoridades de control dispongan de los recursos financieros y humanos, así como de los locales y las infraestructuras necesarios para el desempeño efectivo de esas funciones adicionales. La autoridad o autoridades de control responsables de la supervisión y la ejecución del tratamiento de datos de salud electrónicos personales para uso primario de conformidad con el presente Reglamento deben ser competentes para imponer multas administrativas. El ordenamiento jurídico de Dinamarca no permite las multas administrativas tal como se establecen en el presente Reglamento. Las disposiciones sobre multas administrativas pueden aplicarse de tal manera que en Dinamarca las multas sean impuestas por los órganos jurisdiccionales nacionales competentes como sanciones penales, siempre que tal aplicación de la normativa tenga un efecto equivalente a las multas administrativas impuestas por las autoridades de control. En todo caso, las multas impuestas deben ser efectivas, proporcionadas y disuasorias.
(24) Los Estados miembros deberían esforzarse por adherirse a principios éticos, como los principios éticos europeos para la salud digital adoptados por la red de sanidad electrónica el 26 de enero de 2022 y el principio de confidencialidad profesional entre los profesionales sanitarios y los pacientes, cuando apliquen el presente Reglamento. Reconociendo la importancia de los principios éticos, los principios éticos europeos para la salud digital proporcionan orientación a profesionales, investigadores, innovadores, responsables políticos y reguladores.
(25) La pertinencia de las diferentes categorías de datos de salud electrónicos para los distintos escenarios de asistencia sanitaria varía. Las diferentes categorías también han alcanzado distintos niveles de madurez respecto a la normalización, por lo que la aplicación de mecanismos para su intercambio puede ser más o menos compleja en función de la categoría. Por lo tanto, la mejora de la interoperabilidad y el intercambio de datos debe ser gradual y es necesario dar prioridad a ciertas categorías de datos de salud electrónicos. Entre las categorías de datos de salud electrónicos, la red de sanidad electrónica ha seleccionado las historias clínicas resumidas de los pacientes, las recetas y dispensaciones electrónicas, estudios de diagnóstico por imagen y los informes de imágenes correspondientes, los resultados de pruebas diagnósticas (como los resultados de laboratorio e informes correspondientes) y los informes de alta como los más pertinentes para la mayoría de las situaciones de asistencia sanitaria, y deben considerarse categorías prioritarias, en cuanto a la aplicación de su acceso y su transmisión, por parte de los Estados miembros. Cuando esas categorías de datos prioritarias representen grupos de datos de salud electrónicos, el presente Reglamento debe aplicarse tanto a los grupos en su totalidad como a las entradas de datos individuales que sean parte de esos grupos. Por ejemplo, dado que el estado de vacunación forma parte de una historia clínica resumida del paciente, los derechos y requisitos relacionados con la historia clínica resumida del paciente también deben aplicarse a esa situación de vacunación, aunque se trate por separado de la historia clínica resumida del paciente en su conjunto. Cuando se identifiquen nuevas necesidades de intercambio de categorías adicionales de datos de salud electrónicos a efectos de asistencia sanitaria, debe ser posible, en virtud del presente Reglamento, el acceso a esas categorías adicionales, y su intercambio. Las categorías adicionales deben aplicarse en primer lugar a escala de los Estados miembros y el presente Reglamento debe disponer el intercambio voluntario de dichas categorías de datos en situaciones transfronterizas entre los Estados miembros que cooperen. Debe prestarse especial atención al intercambio de datos en las regiones fronterizas de los Estados miembros vecinos en las que la prestación de servicios sanitarios transfronterizos es más frecuente y necesita procedimientos aún más rápidos que en toda la Unión en general.
(26) El nivel de disponibilidad de datos personales de salud y genéticos en formato electrónico varía de un Estado miembro a otro. El EEDS debe facilitar a las personas físicas la disponibilidad de esos datos en formato electrónico y un mejor control sobre el acceso y el intercambio de sus datos de salud electrónicos personales. Esto también contribuiría a la consecución del objetivo de que el 100 % de los ciudadanos de la Unión tengan acceso a sus historias clínicas electrónicas de aquí a 2030, tal como se menciona en la Decisión (UE) 2022/2481 del Parlamento Europeo y del Consejo (8). Con el fin de que los datos de salud electrónicos sean accesibles y transmisibles, el acceso a ellos y su transmisión deben poder realizarse en un formato europeo interoperable común de intercambio de historias clínicas electrónicas, al menos para determinadas categorías de datos de salud electrónicos, como las historias clínicas resumidas de los pacientes, las recetas y dispensaciones electrónicas, los estudios de diagnóstico por imagen y los informes de imágenes correspondientes, los resultados de pruebas diagnósticas y los informes de alta, respetando unos períodos transitorios. Cuando una persona física ponga datos de salud electrónicos personales a disposición de un prestador de asistencia sanitaria o una farmacia, o estos datos sean transmitidos por otro responsable del tratamiento en el formato europeo de intercambio de historias clínicas electrónicas, dicho formato debe ser aceptado y el destinatario debe ser capaz de leer los datos y usarlos para la prestación de asistencia sanitaria o para la dispensación de medicamentos, apoyando así la prestación de servicios sanitarios o la dispensación de la receta electrónica. El formato europeo de intercambio de historias clínicas electrónicas debería ser concebido de manera que facilite la traducción de los datos de salud electrónicos que se comuniquen mediante ese formato a las lenguas oficiales de la Unión, en la medida de lo posible. La Recomendación (UE) 2019/243 de la Comisión (9) sienta las bases de dicho formato europeo común de intercambio de historias clínicas electrónicas. La interoperabilidad del EEDS debería contribuir a unos conjuntos de datos de salud europeos de elevada calidad. El uso de un formato europeo de intercambio de historias clínicas electrónicas debería extenderse más en la Unión y en el plano nacional. El formato europeo de intercambio de historias clínicas electrónicas podría permitir diferentes perfiles para su utilización a escala de los sistemas HCE y de los puntos de contacto nacionales para la salud digital en MiSalud@UE para el intercambio transfronterizo de datos.
(27) Aunque los sistemas HCE están muy extendidos, el nivel de digitalización de los datos de salud varía en los Estados miembros en función de las categorías de datos y de la cobertura de los prestadores de asistencia sanitaria que registran datos de salud en formato electrónico. Es necesaria una acción de la Unión para apoyar la aplicación de los derechos de acceso a los datos de salud electrónicos por parte de los interesados y evitar así una mayor fragmentación. Con el fin de contribuir a una elevada calidad y a la continuidad de la asistencia sanitaria, determinadas categorías de datos de salud deben registrarse sistemáticamente en formato electrónico y con arreglo a requisitos específicos de calidad de los datos. El formato europeo de intercambio de historias clínicas electrónicas debe constituir la base de las especificaciones relacionadas con el registro y el intercambio de datos de salud electrónicos.
(28) La telemedicina se está convirtiendo en una herramienta cada vez más importante que puede proporcionar a los pacientes acceso a la asistencia y hacer frente a las desigualdades. Tiene el potencial de reducir las desigualdades en materia de salud y reforzar la libre circulación transfronteriza de los ciudadanos de la Unión. Las herramientas digitales y otras herramientas tecnológicas pueden facilitar la prestación de asistencia en regiones remotas. Cuando los servicios digitales acompañen a la prestación física de un servicio de asistencia sanitaria, estos deben incluirse en la prestación general de asistencia. De conformidad con el artículo 168 del Tratado de Funcionamiento de la Unión Europea (TFUE), los Estados miembros son responsables de su política sanitaria, en particular de la organización y prestación de servicios sanitarios y atención médica, incluida la regulación de actividades como las farmacias en línea, la telemedicina y otros servicios que prestan y reembolsan, de conformidad con su legislación nacional. No obstante, las diferentes políticas de asistencia sanitaria no deben constituir obstáculos a la libre circulación de los datos de salud electrónicos en el contexto de la asistencia sanitaria transfronteriza, por ejemplo, la telemedicina y los servicios farmacéuticos en línea.
(29) El Reglamento (UE) n.º 910/2014 establece las condiciones en las que los Estados miembros efectúan la identificación de las personas físicas en situaciones transfronterizas utilizando medios de identificación expedidos por otro Estado miembro, con lo que se establecen disposiciones para el reconocimiento mutuo de dichos medios de identificación electrónica. El EEDS requiere un acceso seguro a los datos de salud electrónicos, también en situaciones transfronterizas. Los servicios de acceso a datos de salud electrónicos y los servicios de telemedicina deben permitir a las personas físicas ejercer sus derechos, independientemente de su Estado miembro de afiliación, y, por tanto, deben apoyar la identificación de las personas físicas que utilicen cualquier medio de identificación electrónica reconocido en virtud del Reglamento (UE) n.º 910/2014. Dadas las posibles dificultades en la correspondencia de la identidad en situaciones transfronterizas, podría ser necesario que los Estados miembros de tratamiento tengan que proporcionar mecanismos de acceso complementarios, como fichas o códigos, a las personas físicas que llegan de otros Estados miembros y reciben asistencia sanitaria. La Comisión debe estar facultada para adoptar actos de ejecución para determinar los requisitos de la identificación y autenticación interoperables y transfronterizas de las personas físicas y los profesionales sanitarios, incluido todo mecanismo complementario que sea necesario para garantizar que las personas físicas puedan ejercer sus derechos relacionados con los datos de salud electrónicos personales en situaciones transfronterizas.
(30) Los Estados miembros deben designar autoridades de salud digital pertinentes para la planificación y aplicación de normas de acceso a los datos de salud electrónicos, su transmisión y la garantía del respeto de los derechos de las personas físicas y los profesionales sanitarios, en forma de autoridades independientes o como parte de las autoridades ya existentes. El personal de la autoridad de salud digital no debe tener ningún interés económico ni de otro tipo en empresas o actividades económicas que puedan comprometer su imparcialidad. En la mayoría de los Estados miembros ya existen autoridades de salud digital que se ocupan de los HCE, la interoperabilidad, la seguridad o la normalización. Cuando desempeñen sus funciones, las autoridades de salud digital deben cooperar, en particular, con las autoridades de control establecidas en virtud del Reglamento (UE) 2016/679 y los organismos de supervisión establecidos en virtud del Reglamento (UE) n.º 910/2014. Las autoridades de salud digital también pueden cooperar con el Consejo Europeo de Inteligencia Artificial creado por el Reglamento (UE) 2024/1689 del Parlamento Europeo y del Consejo (10), el Grupo de Coordinación de Productos Sanitarios creado por el Reglamento (UE) 2017/745 del Parlamento Europeo y del Consejo (11), el Comité Europeo de Innovación en materia de Datos creado en virtud del Reglamento (UE) 2022/868 del Parlamento Europeo y del Consejo (12) y las autoridades competentes en virtud del Reglamento (UE) 2023/2854 del Parlamento Europeo y del Consejo (13). Los Estados miembros deben facilitar la participación de los agentes nacionales en la cooperación a escala de la Unión, la canalización de los conocimientos especializados y el asesoramiento sobre el diseño de las soluciones necesarias para alcanzar los objetivos del EEDS.
(31) Sin perjuicio de cualquier otro recurso administrativo o extrajudicial, toda persona física o jurídica debe tener derecho a la tutela judicial efectiva contra decisiones jurídicamente vinculantes de autoridades de salud digital que les concierna o en caso de que la autoridad de salud digital no dé curso a una reclamación o no informe a la persona física o jurídica en el plazo de tres meses sobre el curso o el resultado de la reclamación. Toda acción contra una autoridad de salud digital se ejercitará ante los órganos jurisdiccionales del Estado miembro en el que dicha autoridad esté establecida.
(32) Las autoridades de salud digital deben contar con suficientes capacidades técnicas, tal vez reuniendo a expertos de diferentes organizaciones. Las actividades de las autoridades de salud digital deben planificarse y supervisarse adecuadamente para garantizar su eficiencia. Las autoridades de salud digital deben adoptar las medidas necesarias para proteger los derechos de las personas físicas mediante la creación de soluciones técnicas nacionales, regionales y locales, como las soluciones nacionales de intermediación de HCE y los portales de pacientes. Al adoptar tales medidas de protección necesarias, las autoridades de salud digital deben aplicar normas y especificaciones comunes a dichas soluciones, promover la aplicación de las normas y especificaciones en los procedimientos de contratación y utilizar otros medios innovadores, incluido el reembolso de soluciones que cumplan los requisitos de interoperabilidad y seguridad del EEDS. Los Estados miembros deben garantizar que se imparten iniciativas de formación adecuadas. En particular, los profesionales sanitarios deben recibir información y formación sobre sus derechos y obligaciones en virtud del presente Reglamento. Para desempeñar sus funciones, las autoridades de salud digital deben cooperar a nivel de la Unión y nacional con otras entidades, incluidos los organismos de seguros, los prestadores de asistencia sanitaria, los profesionales sanitarios, los fabricantes de sistemas HCE y de aplicaciones de bienestar, así como otras partes interesadas del sector de la salud o de las tecnologías de la información, las entidades que gestionan los regímenes de reembolso, los organismos de evaluación de tecnologías sanitarias, las autoridades y agencias reguladoras de medicamentos, las autoridades de productos sanitarios, los compradores y las autoridades de ciberseguridad o identificación electrónica.
(33) El acceso a los datos de salud electrónicos y su transmisión son pertinentes en situaciones de asistencia sanitaria transfronteriza, ya que pueden contribuir a la continuidad de la asistencia sanitaria cuando las personas físicas viajan a otros Estados miembros o cambian de lugar de residencia. La continuidad de la asistencia y el acceso rápido a los datos de salud electrónicos personales son aún más importantes para los residentes en las regiones fronterizas, que cruzan la frontera con frecuencia para recibir asistencia sanitaria. En muchas regiones fronterizas, algunos servicios sanitarios especializados pueden estar más cerca al otro lado de la frontera que en el mismo Estado miembro. La transmisión transfronteriza de datos de salud electrónicos personales en situaciones en las que una persona física está utilizando servicios de un prestador de asistencia sanitaria establecido en otro Estado miembro necesita una infraestructura. Debe considerarse la ampliación gradual de esa infraestructura y su financiación. A tal efecto, se ha creado una infraestructura voluntaria, MiSalud@UE (MyHealth@EU), como parte de las acciones previstas para alcanzar los objetivos marcados en la Directiva 2011/24/UE del Parlamento Europeo y del Consejo (14). A través de MiSalud@UE, los Estados miembros empezaron a ofrecer a las personas físicas la posibilidad de compartir sus datos de salud electrónicos personales con los prestadores de asistencia sanitaria cuando viajan al extranjero. Sobre la base de esa experiencia, la participación de los Estados miembros en MiSalud@UE, con arreglo a lo previsto en el presente Reglamento, debe ser obligatoria. Las especificaciones técnicas de MiSalud@UE deben permitir el intercambio de categorías prioritarias de datos de salud electrónicos, así como categorías adicionales incluidas en el formato europeo de intercambio de historias clínicas electrónicas. Esas especificaciones deben definirse mediante actos de ejecución y basarse en las especificaciones transfronterizas del formato europeo de intercambio de historias clínicas electrónicas, complementadas con especificaciones adicionales sobre ciberseguridad, interoperabilidad técnica y semántica, operaciones y gestión de servicios. Debe exigirse a los Estados miembros que se unan a MiSalud@UE, cumplan sus especificaciones técnicas, y conecten a ella a los prestadores de asistencia sanitaria, incluidas las farmacias, ya que es algo necesario para permitir a las personas físicas ejercer su derecho en el marco del presente Reglamento a acceder a sus datos de salud electrónicos personales y su derecho a hacer uso de dichos datos independientemente del Estado miembro en el que la persona física se encuentre.
(34) MiSalud@UE proporciona una infraestructura común a los Estados miembros para garantizar la conectividad y la interoperabilidad de manera eficiente y segura para apoyar la asistencia sanitaria transfronteriza, sin que ello afecte a las responsabilidades de los Estados miembros antes y después de la transmisión de los datos de salud electrónicos personales a través de ella. Los Estados miembros son responsables de la organización de sus puntos de contacto nacionales para la salud digital y del tratamiento de datos personales a efectos de la prestación de asistencia sanitaria antes y después de la transmisión de dichos datos a través de MiSalud@UE. La Comisión debe realizar un seguimiento, mediante comprobaciones del cumplimiento, sobre si los puntos de contacto nacionales para la salud digital cumplen los requisitos necesarios con respecto al desarrollo técnico de MiSalud@UE y las reglas pormenorizadas relativas a la seguridad, la confidencialidad y la protección de los datos de salud electrónicos personales. En caso de incumplimiento grave por parte de un punto de contacto nacional para la salud digital, la Comisión debe poder suspender los servicios afectados por el incumplimiento prestados por ese punto de contacto nacional para la salud digital. La Comisión debe actuar como encargada del tratamiento en nombre de los Estados miembros dentro de MiSalud@UE y debe prestar servicios centrales para ella. A fin de garantizar el cumplimiento de la normativa sobre protección de datos y proporcionar un marco de gestión de riesgos para la transmisión de datos de salud electrónicos personales, las responsabilidades específicas de los Estados miembros, como corresponsables del tratamiento, y las obligaciones de la Comisión como encargada del tratamiento en su nombre deben detallarse mediante actos de ejecución. Cada Estado miembro es el único responsable de los datos y servicios en dicho Estado miembro. El presente Reglamento constituye la base jurídica para el tratamiento de datos de salud electrónicos personales en MiSalud@UE como misión realizada en interés público asignada por el Derecho de la Unión a que se refiere el artículo 6, apartado 1, letra e), del Reglamento (UE) 2016/679. Ese tratamiento es necesario para la prestación de asistencia sanitaria en situaciones transfronterizas, tal como se menciona en el artículo 9, apartado 2, letra h), de dicho Reglamento.
(35) Además de los servicios de MiSalud@UE para el intercambio de datos de salud electrónicos personales basados en el formato europeo de intercambio de historias clínicas electrónicas, pueden ser necesarios otros servicios o infraestructuras complementarias, por ejemplo en casos de emergencias de salud pública o cuando la arquitectura de MiSalud@UE no sea adecuada para la aplicación de algunos casos de uso. Algunos ejemplos de tales casos de uso son el apoyo a las funcionalidades de la tarjeta de vacunación, incluido el intercambio de información sobre los planes de vacunación, o la verificación de los certificados de vacunación o de otros certificados relacionados con la salud. Esos casos de uso adicionales podrían ser importantes para introducir una funcionalidad adicional para gestionar las crisis sanitarias, como el apoyo al rastreo de contactos con el fin de contener la propagación de enfermedades infecciosas. MiSalud@UE debe posibilitar los intercambios de datos de salud electrónicos personales con los puntos de contacto nacionales para la salud digital de los terceros países y los sistemas pertinentes establecidos a nivel internacional por organizaciones internacionales para contribuir a la continuidad de la asistencia sanitaria. Esto es especialmente importante para los particulares que viajan a terceros países vecinos o desde ellos, los países candidatos y los países y territorios de ultramar asociados. Se debe comprobar la conexión de esos puntos de contacto nacionales para la salud digital de terceros países a MiSalud@UE y la interoperabilidad con los sistemas digitales establecidos a nivel internacional por organizaciones internacionales, para garantizar que dichos puntos de contacto y sistemas digitales cumplan las especificaciones técnicas, la normativa sobre protección de datos y otros requisitos de MiSalud@UE. Además, dado que la conexión a MiSalud@UE va a implicar transferencias a terceros países de datos de salud electrónicos personales, como el hecho de compartir la historia clínica resumida del paciente cuando este solicite asistencia en ese tercer país, será necesaria la puesta en marcha de los instrumentos de transferencia pertinentes de conformidad con el capítulo V del Reglamento (UE) 2016/679. La Comisión debe estar facultada para adoptar actos de ejecución a fin de facilitar la conexión a MiSalud@UE de esos puntos de contacto nacionales para la salud digital de terceros países y sistemas establecidos a nivel internacional por organizaciones internacionales. Al preparar esos actos de ejecución, la Comisión debe tener en cuenta los intereses de seguridad nacional de los Estados miembros.
(36) A fin de permitir el intercambio fluido de los datos de salud electrónicos y garantizar el respeto de los derechos de las personas físicas y los profesionales sanitarios, los sistemas HCE comercializados en el mercado interior deben poder almacenar y transmitir, de manera segura, datos de salud electrónicos de elevada calidad. Este es un objetivo clave del EEDS para garantizar la seguridad y la libre circulación de los datos de salud electrónicos en toda la Unión. A tal fin, debe establecerse un régimen de autoevaluación de la conformidad obligatoria para los sistemas HCE que traten datos de salud electrónicos de una o más categorías prioritarias, superando así la fragmentación del mercado al mismo tiempo que se garantiza un enfoque proporcionado. Mediante la autoevaluación, los sistemas HCE van a demostrar el cumplimiento de los requisitos en materia de interoperabilidad, seguridad y registro para la comunicación de datos de salud electrónicos personales establecidos por los dos componentes obligatorios de programa informático para HCE armonizados por el presente Reglamento, a saber, el componente de programa informático europeo de interoperabilidad para sistemas HCE y el componente de programa informático europeo de registro para sistemas HCE (en lo sucesivo, «componentes armonizados de programa informático de sistemas HCE»). Los componentes armonizados de programa informático de sistemas HCE se refieren principalmente a la transformación de los datos, aunque pueden implicar la necesidad de requisitos indirectos para el registro y la presentación de datos en los sistemas HCE. Las especificaciones técnicas para los componentes armonizados de programa informático de sistemas HCE deben determinarse mediante actos de ejecución y basarse en el uso del formato europeo de intercambio de historias clínicas electrónicas. Los componentes armonizados de programa informático de sistemas HCE deben concebirse para ser reutilizables e integrarse sin problema con otros componentes dentro de un sistema de programa lógico más amplio.Los requisitos de seguridad de los componentes armonizados de programa informático de sistemas HCE deben incluir elementos específicos de los sistemas HCE, ya que las propiedades de seguridad más generales deben estar incluidas en otros mecanismos, como los del Reglamento (UE) 2024/2847 del Parlamento Europeo y del Consejo (15). Para apoyar ese proceso, deben crearse entornos digitales europeos de pruebas para proporcionar medios automatizados para comprobar si el funcionamiento de los componentes armonizados de programa informático de un sistema HCE cumple con los requisitos establecidos en el presente Reglamento. A tal fin, deben conferirse a la Comisión competencias de ejecución para determinar las especificaciones comunes para esos entornos. La Comisión debe desarrollar los programas informáticos necesarios para los entornos de pruebas y ponerlos a disposición como fuente abierta. Debe corresponder a los Estados miembros la gestión de los entornos digitales de pruebas, ya que están más cerca de los fabricantes y mejor situados para apoyarlos. Los fabricantes deben utilizar esos entornos digitales de pruebas para probar sus productos antes de introducirlos en el mercado, al mismo tiempo que siguen siendo plenamente responsables de la conformidad de sus productos. Los resultados de las pruebas deben formar parte de la documentación técnica del producto. Cuando el sistema HCE o cualquier parte del mismo cumpla las normas europeas o las especificaciones comunes, también se indicará la lista de las normas europeas y las especificaciones comunes pertinentes en la documentación técnica. Para apoyar la comparabilidad de sistemas HCE, la Comisión debe preparar una plantilla uniforme para la documentación técnica que acompañe dichos sistemas.
(37) Los sistemas HCE deben ir acompañados de una ficha informativa que incluya información para sus usuarios profesionales y de instrucciones de uso claras y completas, también en un formato accesible para personas con discapacidad. Si un sistema HCE no va acompañado de esa información, se debe exigir al fabricante del sistema HCE de que se trate, a su representante autorizado y a todos los demás operadores económicos pertinentes que añadan al sistema HCE esa ficha informativa e instrucciones de uso.
(38) Si bien los sistemas HCE destinados específicamente por el fabricante a ser utilizados para el tratamiento de una o más categorías específicas de datos de salud electrónicos deben estar sometidos a una autocertificación obligatoria, los programas informáticos para fines generales no deben considerarse sistemas HCE, ni siquiera cuando se utilicen en un contexto de asistencia sanitaria, y, por tanto, no se debe exigir que cumplan lo dispuesto en el presente Reglamento. Esto incluye casos como los programas informáticos de tratamiento de texto utilizados para redactar informes que pasarían a formar parte de las historias clínicas electrónicas escritas, de la plataforma de uso general o del programa informático de gestión de bases de datos que se utilice como parte de las soluciones de almacenamiento de datos.
(39) El presente Reglamento impone un régimen de autoevaluación de la conformidad obligatoria para los componentes de programa informático armonizados de sistemas HCE, a fin de garantizar que los sistemas HCE introducidos en el mercado de la Unión puedan intercambiar datos en el formato europeo de intercambio de historias clínicas electrónicas y que dispongan de las capacidades de registro necesarias. Dicha autoevaluación de la conformidad obligatoria, que toma forma de declaración UE de conformidad del fabricante, debe garantizar que esos requisitos se cumplan de manera proporcionada, al mismo tiempo que se evite una carga indebida para los Estados miembros y los fabricantes.
(40) Los fabricantes deben colocar en los documentos que acompañen al sistema HCE y, en su caso en el envase, un marcado CE de conformidad que indique que el sistema HCE cumple con el presente Reglamento y, con respecto a los aspectos no regulados por el presente Reglamento, con otra normativa de la Unión aplicable que también exija la colocación de tal marcado. Los Estados miembros deben basarse en los mecanismos existentes para garantizar la correcta aplicación de las disposiciones sobre el marcado CE de conformidad de la normativa de la Unión pertinente y deben adoptar las medidas adecuadas en caso de un uso indebido de ese marcado.
(41) Los Estados miembros deben seguir siendo competentes para determinar los requisitos relativos a cualquier otro componente de programa informático de sistemas HCE, así como las condiciones generales para la conexión de los prestadores de asistencia sanitaria a sus respectivas infraestructuras nacionales, que pueden ser objeto de evaluación por terceros a nivel nacional. A fin de facilitar el buen funcionamiento del mercado interior de los sistemas de HCE, los productos sanitarios digitales y los servicios asociados, es necesario garantizar tanto como sea posible la transparencia en lo que respecta al Derecho nacional que establece requisitos para los sistemas HCE y a las disposiciones sobre su evaluación de la conformidad en relación con aspectos distintos de los componentes armonizados de programa informático de sistemas HCE. Por lo tanto, los Estados miembros deben informar a la Comisión de esos requisitos nacionales para que disponga de la información necesaria para garantizar que no afectan negativamente a los componentes armonizados de programa informático de sistemas HCE.
(42) Ciertos componentes de programa informático de sistemas HCE podrían considerarse productos sanitarios con arreglo al Reglamento (UE) 2017/745 o productos sanitarios para diagnóstico in vitro con arreglo al Reglamento (UE) 2017/746 del Parlamento Europeo y del Consejo (16). Los programas informáticos o los módulos de estos que entren en la definición de producto sanitario, productos sanitarios para diagnóstico in vitro o de un sistema de inteligencia artificial (IA) considerado de alto riesgo (en lo sucesivo, «sistema de IA de alto riesgo») deben estar certificados de conformidad con los Reglamentos (UE) 2017/745, (UE) 2017/746 y (UE) 2024/1689, según proceda. Si bien esos productos han de cumplir obligatoriamente los requisitos previstos en los Reglamentos respectivos que los rigen, los Estados miembros deben adoptar las medidas adecuadas para garantizar que la evaluación de la conformidad correspondiente se efectúe como un procedimiento conjunto o coordinado, a fin de limitar la carga administrativa de los fabricantes y otros operadores económicos. Los requisitos esenciales de interoperabilidad del presente Reglamento solo deben aplicarse en la medida en que el fabricante de un producto sanitario, de un producto sanitario para diagnóstico in vitro o de un sistema de IA de alto riesgo que proporcione datos de salud electrónicos que vayan a ser tratados como parte del sistema HCE, alegue interoperabilidad con dicho sistema. En tal caso, las disposiciones sobre especificaciones comunes para los sistemas HCE deben ser aplicables a dichos productos sanitarios, productos sanitarios para diagnóstico in vitro y sistemas de IA de alto riesgo.
(43) Para apoyar aún más la interoperabilidad y la seguridad, los Estados miembros deben poder mantener o determinar reglas específicas para la adquisición, el reembolso o la financiación de sistemas HCE a nivel nacional en el contexto de la organización, la prestación o la financiación de los servicios sanitarios. Dichas reglas específicas no deben obstaculizar la libre circulación de los sistemas HCE en la Unión. Algunos Estados miembros han introducido la certificación obligatoria de los sistemas HCE o las pruebas de interoperabilidad obligatorias para su conexión a los servicios sanitarios digitales nacionales. Esos requisitos suelen reflejarse en los procedimientos de contratación organizados por los prestadores de asistencia sanitaria y las autoridades nacionales o regionales. La certificación obligatoria de los sistemas HCE a escala de la Unión debe establecer una base de referencia que pueda utilizarse en los procedimientos de contratación a nivel nacional.
(44) A fin de garantizar el ejercicio efectivo por parte de los pacientes de sus derechos en virtud del presente Reglamento, los prestadores de asistencia sanitaria que desarrollen y utilicen un sistema HCE interno para realizar actividades internas sin introducirlo en el mercado a cambio de un pago o remuneración, también deben cumplir lo dispuesto en el presente Reglamento. En este contexto, dichos prestadores de asistencia sanitaria deben cumplir todos los requisitos aplicables a los fabricantes respecto de tales sistemas HCE que son desarrollados internamente y que dichos prestadores de asistencia sanitaria han puesto en servicio. Sin embargo, dado que los prestadores de asistencia sanitaria pueden necesitar más tiempo para prepararse a fin de cumplir el presente Reglamento, esos requisitos solo deben aplicarse a dichos sistemas tras un período transitorio ampliado.
(45) Es necesario establecer una división clara y proporcionada de las obligaciones que se corresponden con la función de cada operador económico en el proceso de suministro y distribución de los sistemas HCE. Los operadores económicos deben ser responsables de cumplir sus respectivas funciones en dicho proceso y garantizar que solo se comercialicen sistemas HCE que cumplan los requisitos pertinentes.
(46) Los fabricantes de sistemas HCE deben demostrar el cumplimiento de los requisitos esenciales en materia de interoperabilidad y seguridad mediante la aplicación de especificaciones comunes. A tal fin, deben conferirse a la Comisión competencias de ejecución para determinar dichas especificaciones comunes relativas a los conjuntos de datos, los sistemas de codificación, las especificaciones técnicas, normas, especificaciones y perfiles para el intercambio de datos, así como los requisitos y principios relacionados con la seguridad de los pacientes y la seguridad, la confidencialidad, la integridad y la protección de los datos personales, y las especificaciones y requisitos relacionados con la gestión de la identificación y el uso de la identificación electrónica. Las autoridades de salud digital deben contribuir al desarrollo de dichas especificaciones comunes. Cuando proceda, esas especificaciones comunes deben basarse en las normas armonizadas existentes para los componentes armonizados de programa informático de sistemas HCE y ser compatibles con el Derecho sectorial. Cuando las especificaciones comunes tengan una importancia particular en relación con los requisitos de protección de datos personales de los sistemas HCE, se someterán a consulta con el Comité Europeo de Protección de Datos (CEPD) y el Supervisor Europeo de Protección de Datos (SEPD) antes de su adopción, de conformidad con el artículo 42, apartado 2, del Reglamento (UE) 2018/1725.
(47) Con el objetivo de garantizar el cumplimiento adecuado y efectivo de los requisitos y las obligaciones previstos en el presente Reglamento, debe aplicarse el sistema relativo a la vigilancia del mercado y la conformidad de los productos establecido por el Reglamento (UE) 2019/1020 del Parlamento Europeo y del Consejo (17). Dependiendo de la organización definida a nivel nacional, dichas actividades de vigilancia del mercado podrían ser llevadas a cabo por las autoridades de salud digital que garanticen la correcta aplicación del capítulo II del presente Reglamento o por una autoridad de vigilancia del mercado independiente responsable de los sistemas HCE. Si bien la designación de autoridades de salud digital como autoridades de vigilancia del mercado podría tener importantes ventajas prácticas para proporcionar la asistencia sanitaria y la asistencia, debe evitarse cualquier conflicto de intereses, por ejemplo separando diferentes funciones.
(48) El personal de las autoridades de vigilancia del mercado no debe tener ningún conflicto de intereses económico, financiero o personal, directo ni indirecto, que pueda considerarse perjudicial para su independencia y, en particular, no se deben encontrar en una situación que pueda afectar directa o indirectamente a la imparcialidad de su conducta profesional. Los Estados miembros deben determinar y publicar el procedimiento de selección de las autoridades de vigilancia del mercado. Han de velar por que el procedimiento sea transparente y no permita conflictos de intereses.
(49) Los usuarios de aplicaciones de bienestar, incluidas las aplicaciones para dispositivos móviles, deben ser informados de la capacidad de dichas aplicaciones para conectarse y suministrar datos a los sistemas HCE o a las soluciones sanitarias electrónicas nacionales, en los casos en que los datos producidos por las aplicaciones de bienestar sean útiles para la asistencia sanitaria. La capacidad de esas aplicaciones para exportar datos en un formato interoperable también es pertinente a efectos de la portabilidad de los datos. Cuando proceda, también debe informarse a los usuarios sobre el cumplimiento por parte de dichas aplicaciones de bienestar de los requisitos de interoperabilidad y seguridad. Sin embargo, dado el gran número de aplicaciones de bienestar y la escasa pertinencia de los datos producidos por muchas de ellas para la asistencia sanitaria, un régimen de certificación para esas aplicaciones no sería proporcionado. Por consiguiente, debe establecerse un régimen de etiquetado obligatorio para las aplicaciones de bienestar para las que se declare su interoperabilidad con los sistemas HCE como mecanismo adecuado para aportar transparencia para los usuarios de las aplicaciones de bienestar en lo que respecta al cumplimiento por estas de los requisitos en el marco del presente Reglamento, lo que debería ser de ayuda para los usuarios a la hora de elegir aplicaciones de bienestar adecuadas y con elevados niveles de interoperabilidad y seguridad. La Comisión debe establecer mediante actos de ejecución los detalles relativos al formato y el contenido de dicha etiqueta.
(50) Los Estados miembros deben seguir pudiendo regular libremente otros aspectos del uso de las aplicaciones de bienestar, siempre que las correspondientes reglas cumplan el Derecho de la Unión.
(51) La distribución de información sobre los sistemas HCE certificados y las aplicaciones de bienestar etiquetadas es necesaria para que los compradores y los usuarios de dichos productos puedan encontrar soluciones interoperables para sus necesidades específicas. Por consiguiente, debe crearse a escala de la Unión una base de datos de sistemas HCE interoperables y aplicaciones de bienestar, que no entren en el ámbito de aplicación de los Reglamentos (UE) 2017/745 y (UE) 2024/1689, similar a la base de datos europea sobre productos sanitarios (Eudamed) establecida por el Reglamento (UE) 2017/745. Los objetivos de la base de datos de la UE para el registro de sistemas HCE y aplicaciones de bienestar deben ser aumentar la transparencia general, evitar múltiples requisitos de notificación y racionalizar y facilitar el flujo de información. En el caso de los productos sanitarios y los sistemas de IA, el registro debe mantenerse en las bases de datos existentes establecidas, respectivamente, en virtud de los Reglamentos (UE) 2017/745 y (UE) 2024/1689, pero los fabricantes deben indicar el cumplimiento de los requisitos de interoperabilidad cuando lo declaren, a fin de proporcionar información a los compradores.
(52) Sin obstaculizar ni sustituir los acuerdos contractuales u otro tipo de mecanismo existente, el presente Reglamento tiene por objeto establecer un mecanismo común para acceder a los datos de salud electrónicos para uso secundario en toda la Unión. En el marco de ese mecanismo, los tenedores de datos de salud deben poner a disposición, sobre la base de un permiso de datos o de una petición de datos de salud, los datos que estén en su poder. Para el objetivo del tratamiento de datos de salud electrónicos para uso secundario, es necesaria una de las bases jurídicas a que se refiere el artículo 6, apartado 1, letras a), c), e) o f), del Reglamento (UE) 2016/679, conjuntamente con el artículo 9, apartado 2, de dicho Reglamento. En consecuencia, el presente Reglamento constituye una base jurídica para el uso secundario de datos de salud electrónicos personales incluidas las garantías exigidas según el artículo 9, apartado 2, letras g) a j), del Reglamento (UE) 2016/679 para permitir el tratamiento de categorías especiales de datos, en cuanto a la licitud de los fines, la fiabilidad de la gobernanza para proporcionar el acceso a los datos de salud, a través de la implicación de los organismos de acceso a datos de salud, y el tratamiento en un entorno de tratamiento seguro, así como disposiciones para el tratamiento de datos, establecidas en el permiso de datos. Por consiguiente, los Estados miembros ya no pueden mantener o introducir, en virtud del artículo 9, apartado 4, del Reglamento (UE) 2016/679, condiciones adicionales, incluidas limitaciones y disposiciones específicas que soliciten el consentimiento de las personas físicas, en relación con el tratamiento para uso secundario de datos de salud electrónicos personales en virtud del presente Reglamento, a excepción de la introducción de medidas más estrictas y salvaguardias adicionales a nivel nacional destinadas a salvaguardar la sensibilidad y el valor de determinados datos tal y como se dispone en el presente Reglamento. Los solicitantes de datos de salud también deben demostrar la existencia de una base jurídica a que se refiere el artículo 6 del Reglamento (UE) 2016/679 que les permita pedir el acceso a los datos de salud electrónicos de conformidad con el presente Reglamento y deben cumplir las condiciones establecidas en el capítulo IV del presente Reglamento.Además, el organismo de acceso a datos de salud debe valorar la información proporcionada por el solicitante de datos de salud, sobre la base de la cual debe poder expedir un permiso de datos para el tratamiento de datos de salud electrónicos personales con arreglo al presente Reglamento, que debe cumplir los requisitos establecidos en el capítulo IV del presente Reglamento. Para el tratamiento de datos de salud electrónicos en poder de los tenedores de datos de salud, el presente Reglamento crea la obligación jurídica, en el sentido del artículo 6, apartado 1, letra c), del Reglamento (UE) 2016/679, de conformidad con su artículo 9, apartado 2, letras i) y j), para el tenedor de datos de salud de poner a disposición de los organismos de acceso a datos de salud los datos de salud electrónicos personales, sin que se vea afectada la base jurídica a efectos del tratamiento inicial, por ejemplo, la prestación de asistencia sanitaria. El presente Reglamento también asigna misiones de interés público en el sentido del artículo 6, apartado 1, letra e), del Reglamento (UE) 2016/679 a los organismos de acceso a datos de salud, y cumple los requisitos del artículo 9, apartado 2, letras g) a j), según proceda, de dicho Reglamento. Si el usuario de datos de salud invoca la base jurídica establecida en el artículo 6, apartado 1, letra e) o f), del Reglamento (UE) 2016/679, el presente Reglamento debe establecer las garantías exigidas en virtud del artículo 9, apartado 2, del Reglamento (UE) 2016/679.
(53) Los datos de salud electrónicos utilizados para uso secundario pueden aportar beneficios sociales. Debe fomentarse la utilización de datos de la vida real y datos acreditativos de la vida real, incluidos resultados comunicados por los pacientes, a efectos de regulación y de formulación de políticas basándose en datos contrastados, así como para la investigación, la evaluación de tecnologías sanitarias y objetivos clínicos. Los datos de la vida real y los datos acreditativos de la vida real tienen el potencial para complementar los datos de salud actualmente disponibles. Para alcanzar ese objetivo, es importante que los conjuntos de datos puestos a disposición para uso secundario de conformidad con el presente Reglamento sean lo más completos posible. El presente Reglamento establece las garantías necesarias para atenuar determinados riesgos inherentes a la consecución de esos beneficios. El uso secundario de datos de salud electrónicos se basa en datos seudonimizados o anonimizados, con el fin de impedir la identificación de los interesados.
(54) Para equilibrar la necesidad de los usuarios de datos de salud de disponer de conjuntos de datos completos y representativos con la necesidad de autonomía de las personas físicas con respecto a sus datos de salud electrónicos personales que se consideren especialmente sensibles, las personas físicas deben poder decidir si sus datos de salud electrónicos personales pueden ser tratados para uso secundario en virtud del presente Reglamento, en forma de un derecho de autoexclusión a que esos datos se pongan a disposición para un uso secundario. Debe preverse un mecanismo para ejercer ese derecho de autoexclusión que sea fácilmente comprensible y accesible y de fácil utilización. Además, es indispensable proporcionar a las personas físicas información suficiente y completa sobre su derecho de autoexclusión, incluidos los beneficios e inconvenientes que conlleve el ejercicio de ese derecho. No debe exigirse a las personas físicas que expliquen los motivos de la autoexclusión y deben tener la posibilidad de reconsiderar su elección en cualquier momento. Sin embargo, para determinados fines con un fuerte vínculo con el interés público, como las actividades de protección contra las amenazas transfronterizas graves para la salud o la investigación científica por razones importantes de interés público, conviene prever la posibilidad de que los Estados miembros establezcan, teniendo en cuenta su contexto nacional, mecanismos para proporcionar acceso a los datos de salud electrónicos personales de las personas físicas que hayan ejercido su derecho de autoexclusión, a fin de garantizar que puedan ponerse a disposición conjuntos de datos completos en esas situaciones. Ese tipo de mecanismos deben cumplir los requisitos establecidos para el uso secundario en virtud del presente Reglamento. La investigación científica por razones importantes de interés público podría incluir, por ejemplo, la investigación que aborde necesidades médicas no satisfechas, incluidas las enfermedades raras o las amenazas emergentes para la salud. Las disposiciones sobre esas excepciones deben respetar la esencia de los derechos y libertades fundamentales y han de ser una medida necesaria y proporcionada en una sociedad democrática para satisfacer el interés público en relación con objetivos científicos y sociales legítimos.Esas excepciones solo deben estar disponibles para los usuarios de datos de salud que sean organismos del sector público, o instituciones, órganos u organismos de la Unión pertinentes con mandato para desempeñar una misión en el ámbito de la salud pública, u otra entidad a la que se haya encomendado el desempeño de una misión pública en el ámbito de la salud pública, o que actúe en nombre o por encargo de una autoridad pública, y solo cuando los datos no puedan ser obtenidos por medios alternativos de manera oportuna y eficaz. Esos usuarios de datos de salud deben justificar que el uso de la excepción es necesario para una solicitud de acceso individual a datos de salud o una petición de datos de salud. Cuando se aplique esa excepción, los usuarios de datos de salud deben seguir aplicando las garantías del capítulo IV, en particular la prohibición de reidentificación o de intentar reidentificar a las personas físicas afectadas.
(55) En el contexto del EEDS, los datos de salud electrónicos ya existen y están siendo recogidos por, entre otros, los prestadores de asistencia sanitaria, las asociaciones profesionales, las instituciones públicas, los reguladores, los investigadores y las aseguradoras en el curso de sus actividades. Aunque esos datos también deben estar disponibles para uso secundario, a saber, para el tratamiento de datos con fines distintos de aquellos para los que se recogieron o produjeron, muchos de ellos no se ponen a disposición para el tratamiento con esos otros fines. Esto limita la capacidad de investigadores, innovadores, responsables políticos, reguladores y médicos para utilizar esos datos con diferentes fines, como la investigación, la innovación, la formulación de políticas, la regulación, la seguridad de los pacientes o la medicina personalizada. A fin de explotar plenamente los beneficios del uso secundario, todos los tenedores de datos de salud deben contribuir en este esfuerzo de poner a disposición para uso secundario las diferentes categorías de datos de salud electrónicos que tengan en su poder, siempre que dicho esfuerzo se realice mediante procesos eficaces y seguros, con el debido respeto de las obligaciones profesionales, incluidas, entre otras, las obligaciones de confidencialidad.
(56) Las categorías de datos de salud electrónicos que pueden tratarse para uso secundario deben ser lo suficientemente amplias y flexibles para responder a la evolución de las necesidades de los usuarios de datos de salud, al mismo tiempo que deben limitarse a los datos relacionados con la salud o cuya influencia en la salud sea conocida. También pueden incluir datos pertinentes del sistema sanitario, por ejemplo, historias clínicas electrónicas, datos de reclamaciones, datos de dispensaciones, datos de los registros de enfermedades o datos genómicos, así como datos con efectos sobre la salud, por ejemplo consumo de diferentes sustancias, situación socioeconómica o comportamiento, y datos sobre factores medioambientales tales como la contaminación, la radiación o el uso de determinadas sustancias químicas. Las categorías de datos de salud electrónicos para uso secundario incluyen algunas categorías de datos que se recogieron principalmente para otros fines como la investigación, la elaboración de estadísticas, la seguridad de los pacientes, las actividades de regulación o formulación de políticas, por ejemplo, los registros de formulación de políticas o los registros relativos a los efectos secundarios de los medicamentos o los productos sanitarios. Existen bases de datos europeas que facilitan la utilización y reutilización de los datos en algunos ámbitos, como el cáncer (el Sistema Europeo de Información del Cáncer) o las enfermedades raras [por ejemplo, la Plataforma Europea para el Registro de Enfermedades Raras y los registros de las redes europeas de referencia (RER)]. Las categorías de datos de salud electrónicos que pueden ser tratadas para uso secundario deben incluir también datos generados automáticamente por productos sanitarios y por las personas, tales como los datos procedentes de aplicaciones de bienestar. Los datos sobre ensayos clínicos e investigaciones clínicas también deben incluirse en las categorías de datos de salud electrónicos para uso secundario cuando haya finalizado el ensayo clínico o la investigación clínica, sin que ello afecte a ningún intercambio voluntario de datos por parte de los promotores de ensayos e investigaciones en curso. Los datos de salud electrónicos para uso secundario deben ponerse a disposición preferentemente en un formato electrónico estructurado que facilite su tratamiento mediante sistemas informáticos. Como ejemplos de formatos electrónicos estructurados cabe citar los registros en una base de datos relacional, los documentos XML o los ficheros CSV y el texto libre, los audios, los vídeos y las imágenes proporcionados como archivos legibles por ordenador.
(57) Los usuarios de datos de salud que se beneficien del acceso a los conjuntos de datos proporcionados en virtud del presente Reglamento podrían enriquecer los datos de esos conjuntos de datos con diversas correcciones, anotaciones y otras mejoras, por ejemplo complementando los datos ausentes o incompletos, mejorando así la exactitud, exhaustividad o calidad de los datos de los conjuntos de datos. Se debe animar a los usuarios de datos de salud a que notifiquen a los organismos de acceso a datos de salud los errores críticos en los conjuntos de datos. Para contribuir a la mejora de la base de datos inicial y el uso ulterior del conjunto de datos enriquecido, los Estados miembros deben poder regular el tratamiento y uso de datos de salud electrónicos con disposiciones que contengan mejoras en relación con el tratamiento de esos datos. El conjunto de datos mejorado debe ponerse a disposición del tenedor de datos de salud original de forma gratuita junto con una descripción de las mejoras. El tenedor de datos de salud debe poner a disposición el nuevo conjunto de datos, a menos que notifique al organismo de acceso a datos de salud una justificación para no hacerlo, por ejemplo, cuando el enriquecimiento por parte del usuario de datos de salud es de baja calidad. También debe garantizarse la disponibilidad de datos de salud electrónicos no personales para uso secundario. En particular, los datos genómicos de patógenos tienen un valor significativo para la salud humana, como se ha puesto de relieve en la pandemia de COVID-19, durante la cual el acceso oportuno a dichos datos y su intercambio demostraron ser esenciales para el rápido desarrollo de herramientas de detección, contramedidas médicas y respuestas a las amenazas para la salud pública. Los mayores beneficios de los esfuerzos en genómica patógena se van a lograr cuando los procesos de salud pública y de investigación compartan conjuntos de datos y colaboren para informarse y mejorar mutuamente.
(58) Con el fin de aumentar la eficacia del uso secundario de los datos de salud electrónicos personales y de aprovechar plenamente las posibilidades que ofrece el presente Reglamento, la disponibilidad en el EEDS de los datos de salud electrónicos descritos en el capítulo IV debe ser tal que los datos sean tan accesibles, de elevada calidad, listos y adecuados para crear valor y calidad científicos, innovadores y sociales como sea posible. Los trabajos sobre la aplicación del EEDS y otras mejoras de los conjuntos de datos deben efectuarse de tal manera que se dé prioridad a los conjuntos de datos que sean los más adecuados para crear ese valor y calidad.
(59) Las entidades públicas o privadas reciben a menudo financiación pública, procedente de fondos nacionales o de la Unión, para recoger y tratar datos de salud electrónicos con fines de investigación, para estadísticas oficiales o no oficiales, o para otros fines similares, también en ámbitos en los que la recogida de tales datos está fragmentada o es difícil, tales como los relacionados con enfermedades raras o cáncer. Esos datos, que son recogidos y tratados por tenedores de datos de salud con apoyo de financiación pública de la Unión o nacional, deben ser puestos a disposición de los organismos de acceso a datos de salud, a fin de maximizar los efectos de la inversión pública y apoyar, en beneficio de la sociedad, la investigación, la innovación, la seguridad de los pacientes o la formulación de políticas. En algunos Estados miembros, las entidades privadas, incluidos los prestadores de asistencia sanitaria privados y las asociaciones profesionales, desempeñan un papel fundamental en el sector sanitario. Los datos de salud en poder de dichos prestadores también deben estar disponibles para uso secundario. Por tanto, los tenedores de datos de salud en el contexto del uso secundario deben ser entidades que sean prestadores de servicios sanitarios o asistenciales, que realicen investigaciones en relación con los sectores de la asistencia sanitaria o el asistencial, o desarrollen productos o servicios destinados a los sectores de la asistencia sanitaria o el asistencial. Esas entidades pueden ser públicas, sin ánimo de lucro o privadas. En consonancia con esa definición, las residencias de ancianos, los centros de día, las entidades que prestan servicios a personas con discapacidad, las entidades con actividades empresariales y tecnológicas relacionadas con la asistencia, como los ortopédicos y las empresas que prestan servicios asistenciales, deben considerarse tenedores de datos de salud. Las personas jurídicas que desarrollen aplicaciones de bienestar también deben ser consideradas tenedores de datos de salud. Las instituciones, órganos u organismos de la Unión que tratan dichas categorías de datos de salud y de datos de asistencia sanitaria, así como los registros de mortalidad, también deben considerarse tenedores de datos de salud. A fin de evitar una carga desproporcionada para las personas físicas y las microempresas, se les debe eximir, por regla general, de las obligaciones que incumben a los tenedores de datos de salud. No obstante, los Estados miembros deben poder ampliar en su Derecho nacional las obligaciones de los tenedores de datos de salud a las personas físicas y a las microempresas. A fin de reducir la carga administrativa, y a la luz de los principios de eficacia y eficiencia, los Estados miembros deben poder exigir en su Derecho nacional que las entidades de intermediación de datos de salud desempeñen las funciones de determinadas categorías de tenedores de datos de salud. Dichas entidades de intermediación de datos de salud deben ser personas jurídicas capaces de tratar, poner a disposición, registrar, proporcionar, limitar el acceso e intercambiar datos de salud electrónicos para uso secundario proporcionados por los tenedores de datos. Esas entidades de intermediación de datos de salud realizan tareas diferentes a las de los servicios de intermediación de datos del Reglamento (UE) 2022/868.
(60) Los datos de salud electrónicos protegidos por derechos de propiedad intelectual e industrial o secretos comerciales, incluidos los datos sobre ensayos clínicos, investigaciones y estudios, pueden ser muy útiles para un uso secundario y pueden fomentar la innovación en la Unión en beneficio de los pacientes de la Unión. Con el fin de incentivar el liderazgo continuo de la Unión en este ámbito, es importante alentar el intercambio de datos sobre ensayos clínicos e investigaciones clínicas a través del EEDS para uso secundario. Los datos sobre ensayos clínicos e investigaciones clínicas deben estar disponibles en la medida de lo posible, al mismo tiempo que se adoptan todas las medidas necesarias para proteger los derechos de propiedad intelectual e industrial y los secretos comerciales. El presente Reglamento no debe utilizarse para reducir o eludir dicha protección y debe ser coherente con las disposiciones pertinentes en materia de transparencia establecidas en el Derecho de la Unión, incluidas las relativas a los datos de ensayos clínicos e investigaciones clínicas. Los organismos de acceso a datos de salud deben evaluar cómo preservar esa protección, permitiendo al mismo tiempo el acceso a dichos datos a los usuarios de datos de salud en la medida de lo posible. Si un organismo de acceso a datos de salud no puede proporcionar el acceso a dichos datos, debe informar al usuario de datos de salud y explicar por qué no es posible proporcionar dicho acceso. Las medidas legales, organizativas y técnicas para preservar los derechos de propiedad intelectual e industrial o los secretos comerciales podrían incluir acuerdos contractuales comunes de acceso a datos de salud electrónicos, obligaciones específicas en el permiso de datos en relación con dichos derechos, el tratamiento previo de los datos para generar datos derivados que protejan un secreto comercial, pero que sean útiles para el usuario de datos de salud o para la configuración del entorno de tratamiento seguro, de modo que el usuario de datos de salud no pueda acceder a dichos datos.
(61) El uso secundario de los datos de salud en el marco del EEDS debe permitir que las entidades públicas, privadas y sin ánimo de lucro, así como los investigadores individuales, tengan acceso a los datos de salud para la investigación, la innovación, la formulación de políticas, las actividades educativas, la seguridad de los pacientes, las actividades de regulación o la medicina personalizada, en consonancia con los fines establecidos en el presente Reglamento. El acceso a los datos para uso secundario debe contribuir al interés general de la sociedad. En particular, el uso secundario de los datos de salud con fines de investigación y desarrollo debe contribuir a beneficiar a la sociedad en forma de nuevos medicamentos, productos sanitarios y productos y servicios de asistencia sanitaria a precios asequibles y justos para los ciudadanos de la Unión, así como a mejorar el acceso a dichos productos y servicios y su disponibilidad en todos los Estados miembros. Las actividades para las que el acceso en el contexto del presente Reglamento es lícito pueden incluir el uso de datos de salud electrónicos para tareas realizadas por organismos del sector público, como el ejercicio de funciones públicas, incluida la vigilancia de la salud pública, las obligaciones de planificación y notificación, la formulación de políticas sanitarias, y la garantía de la seguridad de los pacientes, la calidad de la asistencia y la sostenibilidad de los sistemas sanitarios. Los organismos del sector público y las instituciones, órganos y organismos de la Unión pueden necesitar acceso periódico a los datos de salud electrónicos durante un período de tiempo prolongado, también para cumplir su mandato, tal como dispone el presente Reglamento. Los organismos del sector público pueden realizar esas actividades de investigación recurriendo a terceros, incluidos los subcontratistas, siempre que esos organismos sigan siendo en todo momento los supervisores de dichas actividades. El suministro de datos también debe apoyar actividades relacionadas con la investigación científica. El concepto de fines de investigación científica debe interpretarse de manera amplia, incluyendo el desarrollo tecnológico y la demostración, la investigación fundamental, la investigación aplicada y la investigación financiada con fondos privados.Las actividades relacionadas con la investigación científica incluyen actividades de innovación tales como la formación de algoritmos de IA que podrían utilizarse en la asistencia sanitaria o la asistencia de personas físicas, así como la evaluación y el desarrollo ulterior de algoritmos y productos existentes para tales fines. Es necesario que el EEDS contribuya a la investigación fundamental y, aunque sus beneficios para los usuarios finales y los pacientes puedan ser menos directos, dicha investigación fundamental es crucial para los beneficios sociales a largo plazo. En algunos casos, la información de algunas personas físicas, como la información genómica de personas físicas con una enfermedad determinada, podría contribuir al diagnóstico o al tratamiento de otras. Es necesario que los organismos del sector público vayan más allá del ámbito de las «necesidades excepcionales» del capítulo V del Reglamento (UE) 2023/2854. No obstante, debe permitirse a los organismos de acceso a datos de salud prestar apoyo a organismos del sector público a la hora de tratar o vincular datos. El presente Reglamento proporciona un canal para que los organismos del sector público obtengan acceso a la información que necesitan para cumplir las misiones que les asigna la ley, pero no amplía el mandato de dichos organismos del sector público.
(62) Debe prohibirse cualquier intento de utilizar los datos de salud electrónicos para medidas perjudiciales para las personas físicas, tales como aumentar las primas de seguro, desarrollar actividades perjudiciales para las personas físicas relacionadas con el empleo, las pensiones o el sector bancario, incluidas las hipotecas sobre bienes inmuebles, anunciar productos o tratamientos, automatizar la toma de decisiones individuales, reidentificar a personas físicas o desarrollar productos nocivos. Esa prohibición debe aplicarse a las actividades contrarias a las disposiciones éticas del Derecho nacional, con excepción de las disposiciones éticas relativas al consentimiento del interesado al tratamiento de datos personales y las disposiciones éticas relativas al derecho de autoexclusión, ya que el presente Reglamento prevalece sobre el Derecho nacional de conformidad con el principio general de primacía del Derecho de la Unión. Debe prohibirse también proporcionar acceso a los datos de salud electrónicos a terceros no mencionados en el permiso de datos, o ponerlos a su disposición de algún otro modo. Debe indicarse en el permiso de datos la identidad de las personas autorizadas, en particular la identidad del investigador principal, que tendrán derecho a acceder a los datos de salud electrónicos en el entorno de tratamiento seguro en virtud del presente Reglamento. Los investigadores principales son las principales personas responsables de solicitar el acceso a los datos de salud electrónicos y de tratar los datos solicitados en el entorno de tratamiento seguro en nombre del usuario de datos de salud.
(63) El presente Reglamento no crea unas facultades de uso secundario de datos de salud con fines policiales. La prevención, investigación, detección o enjuiciamiento de infracciones penales o la ejecución de sanciones penales por parte de las autoridades competentes no deben figurar dentro de los fines de uso secundario con arreglo al presente Reglamento. Por consiguiente, los órganos jurisdiccionales y otras entidades del sistema judicial no deben considerarse usuarios de datos de salud en el uso secundario de los datos de salud en virtud del presente Reglamento. Además, los órganos jurisdiccionales y otras entidades del sistema judicial no deben estar cubiertos por la definición de tenedores de datos de salud y, por tanto, no deben ser destinatarios de las obligaciones que incumben a los tenedores de datos de salud en virtud del presente Reglamento. Además, las facultades de las autoridades competentes en materia de prevención, investigación, detección y enjuiciamiento de infracciones penales establecidas por ley para obtener datos de salud electrónicos no se ven afectadas por el presente Reglamento. Del mismo modo, los datos de salud electrónicos en poder de los órganos jurisdiccionales a efectos de procedimientos judiciales quedan fuera del ámbito de aplicación del presente Reglamento.
(64) La creación de uno o varios organismos de acceso a datos de salud, que faciliten el acceso a los datos de salud electrónicos en los Estados miembros, es esencial para promover el uso secundario de los datos relacionados con la salud. Por consiguiente, los Estados miembros deben crear uno o varios organismos de acceso a datos de salud para reflejar, entre otras cosas, su estructura constitucional, organizativa y administrativa. Sin embargo, uno de esos organismos de acceso a datos de salud debe ser designado coordinador en caso de que haya más de un organismo de acceso a datos de salud. Cuando un Estado miembro establezca varios organismos de acceso a datos de salud, debe establecer reglas a nivel nacional para garantizar la participación coordinada de dichos organismos en el Consejo del Espacio Europeo de Datos de Salud (en lo sucesivo, «Consejo del EEDS»). Tal Estado miembro debe, en particular, designar un organismo de acceso a datos de salud que funcione como punto de contacto único de cara a la participación efectiva de tales organismos, y garantizar una cooperación rápida y fluida con otros organismos de acceso a datos de salud, el Consejo del EEDS y la Comisión. Los organismos de acceso a datos de salud pueden variar en términos de organización y tamaño, desde una organización de pleno derecho a una unidad o departamento de una organización existente. Los organismos de acceso a datos de salud no deben verse influidos en sus decisiones sobre el acceso a datos electrónicos para uso secundario y deben evitar cualquier conflicto de intereses. Por tanto, los miembros de los órganos decisorios y de gobierno de cada organismo de acceso a datos de salud y su personal deben abstenerse de cualquier acción que sea incompatible con sus funciones y no deben participar en ninguna actividad que sea incompatible.Sin embargo, la independencia de los organismos de acceso a datos de salud no debe significar que no puedan estar sometidos a mecanismos de control o seguimiento de su gasto financiero o a control jurisdiccional. Cada organismo de acceso a datos de salud debe estar dotado de los recursos financieros, técnicos y humanos, los locales y la infraestructura que sean necesarios para la realización eficaz de sus funciones, incluidas las relacionadas con la cooperación con otros organismos de acceso a datos de salud de toda la Unión. Los miembros de los órganos decisorios y de gobierno de los organismos de acceso a datos de salud y su personal deben tener las cualificaciones, experiencia y capacidades necesarias. Cada organismo de acceso a datos de salud debe disponer de un presupuesto anual público propio, que puede formar parte del presupuesto general del Estado o de otro ámbito nacional. A fin de permitir un mejor acceso a los datos de salud y complementar el artículo 7, apartado 2, del Reglamento (UE) 2022/868, los Estados miembros deben confiar a los organismos de acceso a datos de salud competencias para tomar decisiones sobre el acceso a datos de salud y sobre su uso secundario. Esto podría consistir en asignar nuevas funciones a los organismos competentes designados por los Estados miembros con arreglo al artículo 7, apartado 1, del Reglamento (UE) 2022/868 o en designar a organismos sectoriales existentes o nuevos como responsables de dichas funciones en relación con el acceso a datos de salud.
(65) Los organismos de acceso a datos de salud deben supervisar la aplicación del capítulo IV del presente Reglamento y contribuir a su aplicación coherente en toda la Unión. A tal efecto, los organismos de acceso a datos de salud deben cooperar entre ellos y con la Comisión. Los organismos de acceso a datos de salud también deben cooperar con las partes interesadas, incluidas las organizaciones de pacientes. Los organismos de acceso a datos de salud deben apoyar a los tenedores de datos de salud que sean pequeñas empresas de conformidad con la Recomendación 2003/361/CE de la Comisión (18), en particular a los médicos y las farmacias. Dado que el uso secundario de los datos de salud implica el tratamiento de datos personales relativos a la salud, son de aplicación las disposiciones pertinentes de los Reglamentos (UE) 2016/679 y (UE) 2018/1725 y las autoridades de control en virtud de dichos Reglamentos deben seguir siendo las únicas autoridades competentes para hacer cumplir esas disposiciones. Los organismos de acceso a datos de salud deben informar a las autoridades de protección de datos de cualquier sanción impuesta y de cualquier posible cuestión relacionada con el tratamiento de datos para uso secundario e intercambiar toda la información pertinente de que dispongan para garantizar el cumplimiento de las normas pertinentes. Además de las funciones necesarias para garantizar un uso secundario eficaz de los datos de salud, los organismos de acceso a datos de salud deben esforzarse por ampliar la disponibilidad de conjuntos de datos de salud adicionales y promover el desarrollo de normas comunes. Deben aplicar técnicas probadas de última generación que aseguren que los datos de salud electrónicos para los que se permite un uso secundario se traten de forma que se preserve la privacidad de la información que contienen, como son las técnicas de seudonimización, anonimización, generalización, supresión y aleatorización de datos personales. Los organismos de acceso a datos de salud pueden elaborar conjuntos de datos vinculados para los usuarios de datos de salud tal como se exija en el marco del permiso de datos expedido. A este respecto, los organismos de acceso a datos de salud deben cooperar de forma transfronteriza e intercambiar las mejores prácticas y técnicas. Esto incluye reglas para la seudonimización y la anonimización de conjuntos de microdatos. Cuando sea necesario, la Comisión debe establecer los procedimientos y requisitos, y proporcionar las herramientas técnicas para un procedimiento unificado de seudonimización y anonimización de los datos de salud electrónicos.
(66) Los organismos de acceso a datos de salud deben garantizar que el uso secundario sea transparente, para lo cual deben proporcionar información pública sobre los permisos de datos concedidos y sus justificaciones, las medidas adoptadas para proteger los derechos de las personas físicas, el modo en que las personas físicas pueden ejercer sus derechos en relación con el uso secundario, y los resultados del uso secundario, también mediante enlaces a publicaciones científicas. Cuando proceda, esa información sobre los resultados del uso secundario también debe incluir un resumen de la situación que debe aportar el usuario de datos de salud. Esas obligaciones de transparencia complementan las obligaciones previstas en el artículo 14 del Reglamento (UE) 2016/679. Pueden aplicarse las excepciones previstas en el artículo 14, apartado 5, de dicho Reglamento. Cuando tales excepciones sean aplicables, las obligaciones de transparencia establecidas en el presente Reglamento deben contribuir a garantizar un tratamiento leal y transparente, tal como se contempla en el artículo 14, apartado 2, del Reglamento (UE) 2016/679, por ejemplo, mediante el suministro de información sobre los fines del tratamiento y las categorías de datos tratados, lo que permite a las personas físicas comprender si sus datos se ponen a disposición para un uso secundario con arreglo a los permisos de datos.
(67) Las personas físicas deben ser informadas por los tenedores de datos de salud de los hallazgos significativos relacionadas con su salud que hayan sido realizadas por los usuarios de datos de salud. Las personas físicas deben tener derecho a solicitar que no se las informe de tales constataciones. Los Estados miembros podrían establecer condiciones en cuanto a las modalidades por las que los tenedores de datos de salud proporcionen tal información a las personas físicas de que se trate y en cuanto al ejercicio del derecho a no ser informado. De conformidad con el artículo 23, apartado 1, letra i), del Reglamento (UE) 2016/679, los Estados miembros deben poder limitar el alcance de la obligación de informar a las personas físicas siempre que sea necesario para su protección, en consideración de la seguridad de los pacientes y la ética, retrasando la comunicación de su información hasta que un profesional sanitario pueda comunicar y explicar a las personas físicas de que se trate la información que pueda tener consecuencias para su salud.
(68) A fin de promover la transparencia, los organismos de acceso a datos de salud deben publicar un informe bienal de actividad que ofrezca una síntesis de sus actividades. Cuando un Estado miembro haya designado más de un organismo de acceso a datos de salud, el organismo coordinador debe elaborar y publicar un informe común bienal. Los informes de actividades deben seguir una estructura acordada por el Consejo del EEDS y ofrecer una síntesis de las actividades, que incluya información sobre las decisiones sobre solicitudes, auditorías y el compromiso con las partes interesadas pertinentes. Entre estas partes interesadas pueden figurar representantes de personas físicas, organizaciones de pacientes, profesionales sanitarios, investigadores y comités éticos.
(69) A fin de apoyar el uso secundario, los tenedores de datos de salud deben abstenerse de retener los datos, de solicitar tasas injustificadas que no sean transparentes ni proporcionadas a los costes de puesta a disposición de los datos, o, cuando proceda, a los costes marginales de la recogida de datos, y de solicitar a los usuarios de datos de salud que copubliquen las investigaciones u otras prácticas que puedan disuadirlos de pedir los datos. Cuando un tenedor de datos de salud sea un organismo del sector público, la parte de las tasas vinculada a sus costes no debe cubrir los costes de la recogida inicial de los datos. Cuando sea necesaria una aprobación ética para proporcionar un permiso de datos, la evaluación relativa a la aprobación ética debe basarse en sus propios méritos.
(70) Debe permitirse que los organismos de acceso a datos de salud cobren tasas por las funciones que realizan, teniendo en cuenta las disposiciones horizontales previstas por el Reglamento (UE) 2022/868. Estas tasas pueden tener en cuenta la situación y los intereses de las pequeñas y medianas empresas (pymes), los investigadores individuales o los organismos del sector público. En particular, los Estados miembros deben poder establecer medidas para los organismos de acceso a datos de salud bajo su jurisdicción que hagan posible el cobro de tasas reducidas a determinadas categorías de usuarios de datos de salud. Los organismos de acceso a datos de salud deben poder cubrir los costes de sus actividades con tasas establecidas de manera proporcionada, justificada y transparente. Esto puede dar lugar a tasas más elevadas para algunos usuarios de datos de salud, si la tramitación de sus solicitudes de acceso a datos de salud y peticiones de datos de salud requiere más trabajo. También debe permitirse que los tenedores de datos de salud requieran tasas que reflejen los costes por la puesta a disposición de los datos. Los organismos de acceso a datos de salud deben decidir el importe de esas tasas, que también podrían incluir las tasas solicitadas por el tenedor de datos de salud. Esas tasas deberían ser cobradas por el organismo de acceso a datos de salud al usuario de datos de salud en una única factura. A continuación, el organismo de acceso a datos de salud debe transferir la parte pertinente de las tasas pagadas al tenedor de datos de salud. A fin de garantizar un enfoque armonizado en relación con las políticas y la estructura de las tasas, deben conferirse a la Comisión competencias de ejecución. El artículo 10 del Reglamento (UE) 2023/2854 debe aplicarse a las tasas cobradas en virtud del presente Reglamento.
(71) Con el fin de reforzar el cumplimiento de las disposiciones sobre el uso secundario, deben preverse medidas adecuadas que puedan dar lugar a multas administrativas o medidas de garantía del cumplimiento impuestas por los organismos de acceso a datos de salud o exclusiones temporales o definitivas del marco del EEDS de los usuarios de datos de salud o de los tenedores de datos de salud que no cumplan sus obligaciones. Los organismos de acceso a datos de salud deben estar facultados para verificar el cumplimiento por parte de los usuarios de datos de salud y de los tenedores de datos de salud, y darles la oportunidad de responder a cualquier constatación y de subsanar cualquier infracción. A la hora de decidir la cuantía de la multa administrativa o medida de garantía del cumplimiento para cada caso concreto, los organismos de acceso a datos de salud deben tener en cuenta los márgenes de costes y los criterios establecidos en el presente Reglamento, garantizando así que dichas multas o medidas son proporcionadas.
(72) Dada la sensibilidad de los datos de salud electrónicos, es necesario reducir los riesgos para la privacidad de las personas físicas aplicando el principio de minimización de datos. Por lo tanto, deben estar disponibles datos de salud electrónicos no personales siempre que su suministro resulte suficiente. Si el usuario de datos de salud necesita utilizar datos de salud electrónicos personales, debe indicar claramente en su petición la justificación del uso de ese tipo de datos y el organismo de acceso a datos de salud debe evaluar si dicha justificación es válida. Los datos de salud electrónicos personales solo deben estar disponibles en formato seudonimizado. Teniendo en cuenta los fines específicos del tratamiento, los datos electrónicos personales deben seudonimizarse o anonimizarse lo antes posible en el proceso de puesta a disposición de datos para uso secundario. La seudonimización y la anonimización deben poder realizarlas los organismos de acceso a datos de salud o los tenedores de datos de salud. Como responsables del tratamiento, los organismos de acceso a datos de salud y los tenedores de datos de salud deber poder delegar esas funciones en los encargados del tratamiento. Al proporcionar acceso a un conjunto de datos seudonimizado o anonimizado, un organismo de acceso a datos de salud debe utilizar las normas o las tecnologías de anonimización o seudonimización de última generación, que garanticen en la mayor medida posible que los usuarios de datos de salud no puedan reidentificar a las personas físicas. Esas tecnologías y normas para la anonimización de datos deben seguir desarrollándose. Los usuarios de datos de salud no deben intentar reidentificar a las personas físicas del conjunto de datos proporcionado en virtud del presente Reglamento, y, en caso de hacerlo, deber ser objeto de multas administrativas y las medidas de garantía del cumplimiento establecidas en el presente Reglamento o a posibles sanciones penales, cuando el Derecho nacional así lo prevea. Además, el solicitante de datos de salud debe poder solicitar una respuesta a una petición de datos de salud en formato estadístico anonimizado. En tales casos, el usuario de datos de salud solo trata datos no personales y el organismo de acceso a datos de salud sigue siendo el único responsable del tratamiento de todos los datos personales necesarios para responder a la petición de datos de salud.
(73) Con el fin de garantizar que todos los organismos de acceso a datos de salud expidan permisos de datos de manera similar, es necesario establecer un proceso común normalizado para la expedición de permisos de datos, con peticiones similares en diferentes Estados miembros. El solicitante de datos de salud debe proporcionar a los organismos de acceso a datos de salud varios elementos de información que los ayuden a evaluar la solicitud de acceso a datos de salud y decidir si el solicitante de datos de salud puede recibir un permiso de datos, y debe garantizarse la coherencia entre los distintos organismos de acceso a datos de salud. La información proporcionada como parte de la solicitud de acceso a datos de salud debe cumplir los requisitos establecidos en el presente Reglamento para posibilitar que sea evaluada de forma exhaustiva, ya que solo debe expedirse un permiso de datos si se cumplen todas las condiciones necesarias establecidas en el presente Reglamento. Además, cuando proceda, dicha información debe incluir una declaración del solicitante de datos de salud en la que se disponga que el uso previsto de los datos solicitados no entraña un riesgo de estigmatización o un perjuicio para la dignidad de las personas físicas ni para los grupos relacionados con el conjunto de datos solicitado. Podrá solicitarse una evaluación ética con arreglo al Derecho nacional. En tal caso, los organismos de ética existentes deben poder efectuar estas evaluaciones para el organismo de acceso a datos de salud. Los organismos de ética existentes de los Estados miembros deben poner sus conocimientos especializados a disposición del organismo de acceso a datos de salud para ese fin. Alternativamente, los Estados miembros deben poder disponer que los organismos de ética sean parte del organismo de acceso a datos de salud. El organismo de acceso a datos de salud y, en su caso, los tenedores de datos de salud deben ayudar a los usuarios de datos de salud en la selección de los conjuntos de datos o fuentes de datos adecuados para la finalidad prevista de uso secundario. Cuando el solicitante de datos de salud necesite datos en un formato estadístico anonimizado, debe presentar una petición datos de salud, en la que se pida al organismo de acceso a datos de salud que proporcione directamente el resultado. La denegación de un permiso de datos por parte del organismo de acceso a datos de salud no debe impedir que el solicitante de datos de salud presente una nueva solicitud de acceso a datos de salud. A fin de garantizar un enfoque armonizado entre los organismos de acceso a datos de salud y limitar la carga administrativa para los solicitantes de datos de salud, la Comisión debe apoyar la armonización de las solicitudes de acceso a datos de salud, así como de las peticiones de datos de salud, también mediante el establecimiento de los modelos pertinentes. En casos justificados, como el de una petición compleja y gravosa, se debe permitir al organismo de acceso a datos de salud ampliar el plazo para que los tenedores de datos de salud pongan los datos de salud electrónicos que se han pedido a disposición de dicho organismo.
(74) Dado que los recursos de los organismos de acceso a los datos de salud son limitados, dichos organismos deben poder aplicar reglas de prioridad, por ejemplo dando prioridad a las instituciones públicas ante las entidades privadas, pero no deben discriminar entre organizaciones nacionales y de otros Estados miembros dentro de la misma categoría de prioridades. El usuario de datos de salud debe poder prorrogar la duración del permiso de datos para, por ejemplo, permitir el acceso a conjuntos de datos a los revisores de publicaciones científicas o permitir un análisis adicional del conjunto de datos sobre la base de los resultados iniciales. Para ello se debe exigir una modificación del permiso de datos y puede ser objeto de una tasa adicional. Sin embargo, en todos los casos, el permiso de datos debe reflejar esos usos adicionales del conjunto de datos. Preferiblemente, el usuario de datos de salud debe mencionarlos en su solicitud inicial de acceso a datos de salud. A fin de garantizar un enfoque armonizado entre los organismos de acceso a datos de salud, la Comisión debe apoyar la armonización de los permisos de datos.
(75) Como ha puesto de manifiesto la crisis de la COVID-19, las instituciones, órganos y organismos de la Unión con un mandato legal en el ámbito de la salud pública, especialmente la Comisión, necesitan acceder a los datos de salud durante un período más largo y de forma recurrente. Este puede ser el caso no solo en circunstancias específicas establecidas en el Derecho de la Unión o nacional en tiempos de crisis, sino también para proporcionar periódicamente pruebas científicas y apoyo técnico a las políticas de la Unión. Puede exigirse el acceso a dichos datos en determinados Estados miembros o en todo el territorio de la Unión. Tales instituciones, órganos y organismos de la Unión deben poder beneficiarse de un procedimiento acelerado de modo que los datos estén disponibles habitualmente en menos de dos meses, con la posibilidad de que el plazo se prolongue un mes más en los casos más complejos.
(76) Los Estados miembros deben poder designar tenedores fiables de datos de salud para los que el procedimiento de expedición de permiso de datos pueda realizarse de manera simplificada, a fin de aligerar la carga administrativa que supone para los organismos de acceso a datos de salud la gestión de las peticiones de datos que tratan. Los tenedores fiables de datos de salud deben poder evaluar las solicitudes de acceso a datos de salud presentadas con arreglo a este procedimiento simplificado, sobre la base de su experiencia en la gestión del tipo de datos de salud que están tratando, y emitir una recomendación relativa a un permiso de datos. El organismo de acceso a datos de salud debe seguir siendo responsable de la expedición del permiso de datos final y no debe estar vinculado por la recomendación formulada por el tenedor fiable de datos de salud. Las entidades de intermediación de datos de salud no deben ser designadas tenedores fiables de datos de salud.
(77) Dada la sensibilidad de los datos de salud electrónicos, los usuarios de datos de salud no deben tener acceso ilimitado a dichos datos. Todo acceso de uso secundario a los datos de salud electrónicos en respuesta a una petición debe hacerse a través de un entorno de tratamiento seguro. A fin de garantizar que existen garantías técnicas y de seguridad sólidas para los datos de salud electrónicos, el organismo de acceso a datos de salud o, en su caso, el tenedor fiable de datos de salud debe proporcionar acceso a dichos datos en un entorno de tratamiento seguro, cumpliendo las estrictas normas técnicas y de seguridad establecidas en virtud del presente Reglamento. El tratamiento de datos personales en dicho entorno de tratamiento seguro debe cumplir lo dispuesto en el Reglamento (UE) 2016/679, incluidos, cuando el entorno de tratamiento seguro sea gestionado por un tercero, los requisitos del artículo 28 y, en su caso, del capítulo V de dicho Reglamento. Ese entorno de tratamiento seguro debe reducir los riesgos para la privacidad relacionados con dichas actividades de tratamiento e impedir que los datos de salud electrónicos se transmitan directamente a los usuarios de datos de salud. El organismo de acceso a datos de salud o el tenedor de datos de salud que preste ese servicio debe seguir controlando en todo momento el acceso a datos de salud electrónicos y el acceso concedido a los usuarios de datos de salud deber determinarse en función de las condiciones del permiso de datos expedido. Solo los datos de salud electrónicos no personales que no contengan datos de salud electrónicos personales deben ser descargados por los usuarios de datos de salud de dicho entorno de tratamiento seguro. Por lo tanto, dicho entorno de tratamiento seguro es una garantía esencial para proteger los derechos y las libertades de las personas físicas en relación con el tratamiento de sus datos de salud electrónicos para uso secundario. La Comisión debe ayudar a los Estados miembros a elaborar normas comunes de seguridad con el fin de promover la seguridad y la interoperabilidad de los distintos entornos de tratamiento seguros.
(78) El Reglamento (UE) 2022/868 establece la normativa general para la gestión de la cesión altruista de datos. Dado que el sector sanitario gestiona datos sensibles, deben establecerse criterios adicionales a través del código normativo a que se refiere dicho Reglamento. Cuando dicha normativa disponga el uso de un entorno de tratamiento seguro para ese sector, dicho entorno de tratamiento seguro debe cumplir los criterios establecidos en el presente Reglamento. Los organismos de acceso a datos de salud deben cooperar con las autoridades competentes designadas en virtud del Reglamento (UE) 2022/868 para supervisar la actividad de las organizaciones de cesión altruista de datos en el sector sanitario o asistencial.
(79) Para el tratamiento de datos de salud electrónicos en el ámbito de un permiso de datos o una petición de datos de salud, los tenedores de datos de salud, incluidos los tenedores fiables de datos de salud, los organismos de acceso a datos de salud y los usuarios de datos de salud deben ser considerados, a su vez, responsables del tratamiento de una parte específica del tratamiento y de conformidad con sus respectivas funciones en él. Los tenedores de datos de salud deben ser considerados responsables del tratamiento para la divulgación de los datos de salud electrónicos personales solicitados al organismo de acceso a datos de salud, mientras que los organismos de acceso a datos de salud deben, a su vez, ser considerados responsables del tratamiento de los datos de salud electrónicos personales cuando preparen los datos y los pongan a disposición de los usuarios de datos de salud. Los usuarios de datos de salud deben ser considerados responsables del tratamiento de los datos de salud electrónicos personales en forma seudonimizada en el entorno de tratamiento seguro en virtud de sus permisos de datos. Los organismos de acceso a datos de salud deben ser considerados encargados del tratamiento, en nombre del usuario de datos de salud, para el tratamiento realizado por el usuario de datos de salud en virtud de un permiso de datos en el entorno de tratamiento seguro, así como para el tratamiento para generar una respuesta a una petición de datos de salud. Del mismo modo, los tenedores fiables de datos de salud deben ser considerados responsables del tratamiento de datos de salud electrónicos personales en relación con el suministro de datos de salud electrónicos al usuario de datos de salud con arreglo a un permiso de datos o a una petición de datos de salud. Debe considerarse que los tenedores fiables de datos de salud actúan como encargados del tratamiento por parte del usuario de datos de salud cuando proporcionen datos a través de un entorno de tratamiento seguro.
(80) Con el fin de lograr un marco integrador y sostenible para el uso secundario plurinacional, debe crearse una infraestructura transfronteriza [«DatosSalud@UE» (HealthData@EU)]. DatosSalud@UE debe acelerar el uso secundario, aumentando al mismo tiempo la seguridad jurídica, respetando la privacidad de las personas físicas y siendo interoperable. Debido a la sensibilidad de los datos de salud, deben respetarse, siempre que sea posible, principios como el de «protección de la privacidad desde el diseño» y el de «protección de la privacidad por defecto», así como el concepto de «interrogar datos en lugar de trasladar datos». Los Estados miembros deben designar puntos de contacto nacionales para el uso secundario, como pasarelas tanto organizativas como técnicas para los organismos de acceso a datos de salud, y conectar esos puntos de contacto a DatosSalud@UE. El servicio de acceso a datos de salud de la Unión también debe estar conectado a DatosSalud@UE. Además, los participantes autorizados en DatosSalud@UE pueden ser infraestructuras de investigación establecidas como un Consorcio de Infraestructuras de Investigación Europeas (ERIC, por sus siglas en inglés) en virtud del Reglamento (CE) n.º 723/2009 del Consejo (19), como un Consorcio de Infraestructuras Digitales Europeas (EDIC, por sus siglas en inglés) en virtud de la Decisión (UE) 2022/2481 o infraestructuras similares establecidas en virtud de otros actos jurídicos de la Unión, así como otros tipos de entidades, incluidas las infraestructuras del Foro Estratégico Europeo sobre Infraestructuras de Investigación (ESFRI, por sus siglas en inglés), o las infraestructuras federadas en el marco de la Nube Europea de la Ciencia Abierta (EOSC, por sus siglas en inglés). Los terceros países y las organizaciones internacionales también podrían convertirse en participantes autorizados en DatosSalud@UE, siempre que cumplan los requisitos del presente Reglamento. La Comunicación de la Comisión, de 19 de febrero de 2020, titulada «Una Estrategia Europea de Datos» fomentaba la conexión de los distintos espacios comunes europeos de datos. Por lo tanto, DatosSalud@UE debe permitir el uso secundario de diferentes categorías de datos de salud electrónicos, incluida la vinculación de los datos de salud con los de otros espacios de datos, como los relaciones con el medio ambiente, la agricultura y el sector social. Esa interoperabilidad entre el sector sanitario y otros sectores como el medioambiental, el agrícola o el social podría ser pertinente para obtener información adicional sobre los factores determinantes de la salud. La Comisión podría ofrecer una serie de servicios dentro de DatosSalud@UE, incluido el apoyo para el intercambio de información entre los organismos de acceso a datos de salud y los participantes autorizados en DatosSalud@UE para la tramitación de las solicitudes de acceso transfronterizo, el mantenimiento de los catálogos de datos de salud electrónicos disponibles a través de la infraestructura, la posibilidad de descubrir redes y las consultas de metadatos, y los servicios de conectividad y cumplimiento. La Comisión también podría crear un entorno de tratamiento seguro que permita transmitir y analizar datos procedentes de diferentes infraestructuras nacionales, a petición de los responsables del tratamiento. En aras de la eficiencia informática, la racionalización y la interoperabilidad de los intercambios de datos, los sistemas existentes de intercambio de datos deben reutilizarse todo lo que sea posible, como los que se están construyendo para el intercambio de pruebas en el marco del «sistema técnico basado en el principio de "solo una vez"» del Reglamento (UE) 2018/1724 del Parlamento Europeo y del Consejo (20).
(81) Además, dado que la conexión a DatosSalud@UE podría implicar transferencias a terceros países de datos personales relacionados con el solicitante o usuario de datos de salud, es necesario disponer de instrumentos de transferencia pertinentes de conformidad con el capítulo V del Reglamento (UE) 2016/679 para dichas transferencias.
(82) En el caso de registros o bases de datos transfronterizos, como los registros de las redes europeas de referencia para enfermedades raras, que reciben datos de diferentes prestadores de asistencia sanitaria en varios Estados miembros, el organismo de acceso a datos de salud del Estado miembro en el que esté situado el coordinador del registro debe ser el responsable de proporcionar el acceso a los datos.
(83) El proceso de autorización para acceder a datos de salud electrónicos personales en diferentes Estados miembros puede ser repetitivo y engorroso para los usuarios de datos de salud. Siempre que sea posible, deben establecerse sinergias para reducir la carga y las barreras para los usuarios de datos de salud. Una manera de lograr dicho objetivo es sumarse al principio de «solicitud única», según el cual, con una solicitud, el usuario de datos de salud puede obtener la autorización de múltiples organismos de acceso a datos de salud de diferentes Estados miembros o participantes autorizados en DatosSalud@UE.
(84) Los organismos de acceso a datos de salud deben proporcionar información sobre los conjuntos de datos disponibles y sus características, de modo que los usuarios de datos de salud puedan informarse de los hechos elementales sobre el conjunto de datos y evaluar la posible pertinencia de los hechos para esos usuarios. Por este motivo, cada conjunto de datos debe incluir, como mínimo, información sobre la fuente y la naturaleza de los datos así como las condiciones para su puesta a disposición. El tenedor de datos de salud debe comprobar, al menos una vez al año, que su descripción de los conjuntos de datos en el catálogo nacional de conjuntos de datos es exacta y está actualizada. Por consiguiente, debe establecerse un catálogo de conjuntos de datos de la UE para facilitar la posibilidad de descubrir los conjuntos de datos disponibles en el EEDS; ayudar a los tenedores de datos de salud a publicar sus conjuntos de datos; proporcionar a todas las partes interesadas, incluida la población general, teniendo también en cuenta las necesidades específicas de las personas con discapacidad, información sobre los conjuntos de datos introducidos en el EEDS (como etiquetas de calidad y utilidad, y fichas de información sobre los conjuntos de datos), y proporcionar a los usuarios de datos de salud información actualizada sobre la calidad de los datos y sobre la utilidad de los conjuntos de datos.
(85) La información sobre la calidad y la utilidad de los conjuntos de datos aumenta significativamente el valor de los resultados de la investigación y la innovación intensivas en datos, al mismo tiempo que promueve la toma de decisiones de regulación y formulación de políticas basándose en datos contrastados. Las mejoras en la calidad y la utilidad de los conjuntos de datos mediante una elección fundada del cliente y la armonización de los requisitos conexos a escala de la Unión, teniendo en cuenta las normas, directrices y recomendaciones de la Unión e internacionales existentes para la recogida y el intercambio de datos (por ejemplo, los principios FAIR) también benefician a los tenedores de datos de salud, los profesionales sanitarios, las personas físicas y la economía de la Unión en general. Una etiqueta de calidad y utilidad de los datos para los conjuntos de datos informaría a los usuarios de datos de salud sobre las características de un conjunto de datos en cuanto a calidad y utilidad y les permitiría elegir los conjuntos de datos que mejor se ajusten a sus necesidades. La etiqueta de calidad y utilidad de los datos no debe impedir que los conjuntos de datos estén disponibles a través del EEDS, sino proporcionar un mecanismo de transparencia entre los tenedores de datos de salud y los usuarios de datos de salud. Por ejemplo, un conjunto de datos que no cumpla ningún requisito de calidad y utilidad de los datos debe etiquetarse con la categoría que represente la calidad y la utilidad más pobres, pero debe seguir estando disponible. A la hora de desarrollar el marco de calidad y utilidad de los datos, deben tenerse en cuenta las expectativas generadas por los marcos creados con arreglo al artículo 10 del Reglamento (UE) 2024/1689 y la documentación técnica pertinente especificada en el anexo IV de dicho Reglamento. Los Estados miembros deben fomentar la concienciación sobre la etiqueta de calidad y utilidad de los datos a través de actividades de comunicación. La Comisión podría apoyar dichas actividades. Los usuarios podrían dar prioridad al uso de conjuntos de datos en función de su utilidad y calidad.
(86) El catálogo de conjuntos de datos de la UE debe reducir al mínimo la carga administrativa para los tenedores de datos de salud y otros usuarios de las bases de datos, también debe ser fácil de utilizar, accesible y eficiente en términos de costes, conectar los catálogos nacionales de conjuntos de datos y evitar el registro redundante de conjuntos de datos. Sin perjuicio de los requisitos establecidos en el Reglamento (UE) 2022/868, el catálogo de conjuntos de datos de la UE podría adaptarse a la iniciativa data.europa.eu. Debe garantizarse la interoperabilidad entre el catálogo de conjuntos de datos de la UE, los catálogos nacionales de conjuntos de datos y los catálogos de conjuntos de datos de las infraestructuras de investigación europeas y otras infraestructuras pertinentes de intercambio de datos.
(87) Existe actualmente una cooperación y trabajo entre diferentes organizaciones profesionales, la Comisión y otras instituciones para establecer campos de datos mínimos y otras características de los diferentes conjuntos de datos, por ejemplo, los registros. Ese trabajo está más avanzado en ámbitos como el cáncer, las enfermedades raras, las enfermedades cardiovasculares y metabólicas, la evaluación de los factores de riesgo y las estadísticas, y debe tenerse en cuenta a la hora de definir nuevas normas y modelos armonizados específicos para determinadas enfermedades para elementos de datos estructurados. Sin embargo, muchos conjuntos de datos no están armonizados, lo que plantea problemas de comparabilidad y dificulta la investigación transfronteriza. Por consiguiente, deben establecerse disposiciones más detalladas en actos de ejecución para garantizar la armonización de la codificación y el registro de datos de salud electrónicos a fin de permitir el suministro de tales datos para uso secundario de manera coherente. Esos conjuntos de datos pueden incluir datos de registros de enfermedades raras, bases de datos sobre medicamentos huérfanos, registros de cáncer y registros de enfermedades infecciosas de gran importancia. Los Estados miembros deben actuar para garantizar que los sistemas y servicios europeos de sanidad electrónica y las aplicaciones interoperables generen beneficios económicos y sociales sostenibles, con miras a alcanzar un alto grado de confianza y seguridad, mejorar la continuidad de la asistencia sanitaria y garantizar que el acceso a esta sea seguro y de calidad. Las infraestructuras de datos de salud y los registros existentes pueden proporcionar modelos que resulten útiles a la hora de determinar y aplicar normas sobre datos y la interoperabilidad, y deben utilizarse para permitir la continuidad y aprovechar los conocimientos especializados existentes.
(88) La Comisión debe apoyar a los Estados miembros en el desarrollo de las capacidades y la mejora de la eficacia en el ámbito de los sistemas sanitarios digitales para el uso primario y el uso secundario. Los Estados miembros deben recibir apoyo para reforzar su capacidad. Las actividades a escala de la Unión, como la evaluación comparativa y el intercambio de mejores prácticas, son medidas pertinentes a ese respecto. Esas actividades deben tener en cuenta las circunstancias específicas de las diferentes categorías de partes interesadas, como los representantes de la sociedad civil, los investigadores, las asociaciones médicas y las pymes.
(89) Mejorar la alfabetización sanitaria digital de las personas físicas y de los profesionales sanitarios es esencial para la confianza y la seguridad y el uso adecuado de los datos de salud y, por ende, lograr una aplicación satisfactoria del presente Reglamento. Los profesionales sanitarios se enfrentan a cambios profundos en el contexto de la digitalización y se les va a ofrecer más herramientas digitales como parte de la aplicación del EEDS. Por ello, necesitan mejorar su alfabetización sanitaria digital y sus competencias digitales y los Estados miembros deben proporcionar el acceso a los profesionales sanitarios a cursos de capacitación digital con el fin de que puedan prepararse para trabajar con sistemas HCE. Gracias a estos cursos, los profesionales sanitarios y los técnicos informáticos deben estar suficientemente formados para trabajar con las nuevas infraestructuras digitales, a fin de garantizar la ciberseguridad y la gestión ética de los datos de salud. Los cursos de formación deben elaborarse, revisarse y actualizarse periódicamente, en consulta y cooperación con los expertos pertinentes. Asimismo, la mejora de la alfabetización sanitaria digital es fundamental para facultar a las personas físicas para que ejerzan un verdadero control sobre sus datos de salud, gestionen activamente su salud y su asistencia, y entiendan las implicaciones de la gestión de tales datos para un uso tanto primario como secundario. Los diferentes grupos demográficos tienen distintos grados de alfabetización digital, lo que puede afectar a la capacidad de las personas físicas para ejercer los derechos de control de sus datos de salud electrónicos. Por consiguiente, los Estados miembros, incluidas las autoridades regionales y locales, deben apoyar la alfabetización sanitaria digital y la concienciación de la ciudadanía, velando al mismo tiempo por que la aplicación del presente Reglamento contribuya a reducir las desigualdades y no discrimine a las personas que carecen de capacidades digitales. Debe prestarse especial atención a las personas con discapacidad y a los grupos vulnerables, incluidas las personas migrantes y las de edad avanzada. Los Estados miembros deben crear programas nacionales específicos de alfabetización digital, incluidos programas para maximizar la inclusión social y garantizar que todas las personas físicas puedan ejercer eficazmente sus derechos en virtud del presente Reglamento. Los Estados miembros también deben ofrecer orientaciones centradas en el paciente a las personas físicas en relación con el uso de historias clínicas electrónicas y el uso primario de sus datos de salud electrónicos personales. Las orientaciones deben adaptarse al nivel de alfabetización sanitaria digital del paciente, prestando especial atención a las necesidades de los grupos vulnerables.
(90) También se debe utilizar financiación para contribuir al logro de los objetivos del EEDS. Al definir las condiciones para la contratación pública, las convocatorias de propuestas y la asignación de fondos de la Unión, incluidos los Fondos Estructurales y de Cohesión, los compradores públicos, las autoridades nacionales competentes de los Estados miembros, incluidas las autoridades de salud digital y los organismos de acceso a datos de salud, y la Comisión, deben hacer referencia a las especificaciones técnicas, las normas y los perfiles aplicables en materia de interoperabilidad, seguridad y calidad de los datos, así como a otros requisitos desarrollados en virtud del presente Reglamento. Es necesario distribuir los fondos de la Unión de manera transparente entre los Estados miembros, teniendo en cuenta los diferentes niveles de digitalización de los sistemas sanitarios. La puesta a disposición de los datos para uso secundario requiere recursos adicionales para los sistemas de asistencia sanitaria, en particular los sistemas públicos de asistencia sanitaria. Esa carga adicional debe abordarse y minimizarse durante la fase de aplicación del EEDS.
(91) La aplicación del EEDS requiere inversiones adecuadas en el desarrollo de capacidades y en la formación, así como un compromiso bien financiado con la consulta y la participación públicas a escala de la Unión y nacional. Los costes económicos de la aplicación del presente Reglamento van a necesitar ser sufragados tanto a nivel de la Unión como nacional, y debe encontrarse un reparto equitativo de esa carga entre los fondos de la Unión y los nacionales.
(92) Determinadas categorías de datos de salud electrónicos pueden seguir siendo especialmente sensibles incluso cuando estén en formato anonimizado y, por tanto, no sean personales, como ya se prevé específicamente en el Reglamento (UE) 2022/868. Incluso cuando se utilizan técnicas de anonimización de última generación, sigue existiendo un riesgo residual de que la capacidad de reidentificación pueda estar disponible o se vuelva disponible, más allá de los medios cuya utilización sea razonablemente previsible. Ese riesgo residual está presente en relación con las enfermedades raras, a saber, afecciones potencialmente mortales o debilitantes crónicas que no afectan a más de cinco de cada diez mil personas en la Unión, en las que el número limitado de casos reduce la posibilidad de agregar plenamente los datos publicados con el fin de preservar la privacidad de las personas físicas, y mantener al mismo tiempo un nivel adecuado de granularidad para que los datos sigan siendo significativos. Tal riesgo residual puede afectar a diferentes categorías de datos de salud y puede conducir a la reidentificación de los interesados utilizando medios que vayan más allá de aquellos cuya utilización sea razonablemente previsible. Tal riesgo depende del nivel de granularidad, de la descripción de las características de los interesados, del número de personas afectadas, por ejemplo, en casos de datos incluidos en historias clínicas electrónicas, registros de enfermedades, biobancos y datos generados por personas, en los que la gama de características de identificación es más amplia, y también depende de la posible combinación con otra información, por ejemplo, en zonas geográficas muy pequeñas, o a través de la utilización de métodos tecnológicos que no estaban disponibles en el momento de la anonimización. Tal reidentificación de las personas físicas sería motivo de gran preocupación y podría poner en riesgo la aceptación de las disposiciones sobre uso secundario previstas en el presente Reglamento. Además, las técnicas de agregación están menos probadas para los datos no personales que contienen, por ejemplo, secretos comerciales, como es el caso de la notificación de los ensayos clínicos y las investigaciones clínicas, y perseguir las infracciones de los secretos comerciales fuera de la Unión es más difícil en ausencia de una norma de protección internacional suficiente. Por lo tanto, en el caso de esas categorías de datos de salud, sigue existiendo un riesgo de reidentificación tras la anonimización o agregación, que no puede atenuarse razonablemente en un principio. Esto se ajusta a los criterios indicados en el artículo 5, apartado 13, del Reglamento (UE) 2022/868. Esas categorías de datos de salud forman parte de la facultad para la transferencia a terceros países, establecida en el artículo 5, apartado 13, de dicho Reglamento. Las condiciones especiales establecidas en la delegación de poderes prevista en el artículo 5, apartado 13, del Reglamento (UE) 2022/868 se detallarán en el contexto del acto delegado en virtud de esa delegación de poderes y han de ser proporcionales al riesgo de reidentificación y tener en cuenta las especificidades de las diferentes categorías de datos o de las diferentes técnicas de anonimización o agregación.
(93) El tratamiento de grandes cantidades de datos de salud electrónicos personales a efectos del EEDS como parte de las actividades de tratamiento de datos en el contexto de la tramitación de solicitudes de acceso a datos de salud, permisos de datos y peticiones de datos de salud conlleva mayores riesgos de acceso no autorizado a dichos datos personales, así como la posibilidad de incidentes de ciberseguridad. Los datos de salud electrónicos personales son especialmente sensibles, ya que a menudo contienen información amparada por el secreto médico cuya divulgación a terceros no autorizados puede causar un notable trastorno. Teniendo plenamente en cuenta los principios expuestos en la jurisprudencia del Tribunal de Justicia de la Unión Europea, el presente Reglamento garantiza el pleno respeto de los derechos fundamentales, del derecho a la intimidad y del principio de proporcionalidad. Con el fin de asegurar la plena integridad y confidencialidad de los datos de salud electrónicos personales en virtud del presente Reglamento, garantizar un nivel especialmente elevado de protección y seguridad y reducir el riesgo de acceso ilícito a dichos datos de salud electrónicos personales, el presente Reglamento permite a los Estados miembros exigir que los datos de salud electrónicos personales se almacenen y traten únicamente en la Unión a efectos de las funciones previstas en él, a menos que sea de aplicación una decisión de adecuación adoptada con arreglo al artículo 45 del Reglamento (UE) 2016/679.
(94) El acceso a datos de salud electrónicos por parte de usuarios de datos de salud establecidos en terceros países o por organizaciones internacionales debe producirse únicamente con arreglo al principio de reciprocidad. Poner datos de salud electrónicos a disposición de un tercer país debe permitirse únicamente cuando la Comisión haya establecido, mediante un acto de ejecución, que el tercer país en cuestión permite el acceso a datos de salud electrónicos procedentes de dicho tercer país por entidades de la Unión con arreglo a las mismas condiciones y con las mismas salvaguardias que entidades accediesen a datos de salud electrónicos en la Unión. La Comisión debe hacer un seguimiento y realizar una revisión periódica de la situación en esos terceros países y respecto de las organizaciones internacionales, y elaborar una lista de esos actos de ejecución. Cuando la Comisión considere que un tercer país ya no garantiza el acceso en las mismas condiciones, debe revocar el acto de ejecución correspondiente.
(95) Con el fin de promover la aplicación coherente del presente Reglamento, incluida la interoperabilidad transfronteriza de los datos de salud electrónicos, debe crearse un Consejo del Espacio Europeo de Datos de Salud. La Comisión debe participar en sus actividades y copresidirlo. El Consejo del EEDS debe poder emitir contribuciones escritas relacionadas con la aplicación coherente del presente Reglamento en toda la Unión, también prestando ayuda a los Estados miembros a coordinar el uso de datos de salud electrónicos para la asistencia sanitaria y la certificación, así como en relación con el uso secundario, y la financiación de esas actividades. Esto también puede incluir el intercambio de información sobre riesgos e incidentes en entornos de tratamiento seguros. El intercambio de este tipo de información no afecta a las obligaciones derivadas de otros actos jurídicos, como las notificaciones de violación de la seguridad de los datos en virtud del Reglamento (UE) 2016/679. En términos más generales, las actividades del Consejo del EEDS se entienden sin perjuicio de las facultades de las autoridades de control de conformidad con el Reglamento (UE) 2016/679. Dado que, a nivel nacional, las autoridades de salud digital que se ocupan del uso primario pueden ser diferentes de los organismos de acceso a datos de salud que se ocupan del uso secundario, las funciones son diferentes y es necesaria una cooperación distinta en cada uno de esos ámbitos, el Consejo del EEDS debe poder crear subgrupos que se ocupen de esas dos funciones, así como otros subgrupos, en caso necesario. En aras de un método de trabajo eficiente, las autoridades de salud digital y los organismos de acceso a datos de salud deben crear redes y vínculos a nivel nacional con otros organismos y autoridades, pero también a escala de la Unión. Dichos organismos podrían ser las autoridades de protección de datos, organismos de ciberseguridad, identificación electrónica y normalización, así como los organismos y grupos de expertos en virtud de los Reglamentos (UE) 2022/868, (UE) 2023/2854, (UE) 2024/1689 y el Reglamento (UE) 2019/881 del Parlamento Europeo y del Consejo (21). El Consejo del EEDS debe funcionar de manera independiente, en aras del interés público y de conformidad con su código de conducta.
(96) Cuando se debatan cuestiones consideradas de particular importancia según el Consejo del EEDS, este debe poder invitar a observadores, como el SEPD, representantes de las instituciones de la Unión, incluido el Parlamento Europeo, y otras partes interesadas.
(97) Debe crearse un foro de partes interesadas con el fin de asesorar al Consejo del EEDS en el desempeño de sus funciones mediante aportaciones de las partes interesadas en asuntos relacionados con el presente Reglamento. El foro de partes interesadas debe estar integrado, entre otros, por representantes de organizaciones de pacientes y de consumidores, profesionales sanitarios, sector empresarial, investigadores científicos y el mundo académico. Debe tener una composición equilibrada y representar los puntos de vista de las diferentes partes interesadas pertinentes. Deben estar representados tanto los intereses comerciales como los no comerciales.
(98) Con el fin de garantizar una gestión cotidiana adecuada de las infraestructuras transfronterizas para el uso primario y el uso secundario, es necesario crear grupos rectores compuestos por representantes de los Estados miembros. Estos grupos rectores deben tomar decisiones operativas sobre la gestión técnica cotidiana de las infraestructuras transfronterizas y su desarrollo técnico, por ejemplo, sobre los cambios técnicos de las infraestructuras, la mejora de las funcionalidades o los servicios, o la garantía de la interoperabilidad con otras infraestructuras, sistemas digitales o espacios de datos. Sus actividades no deben incluir contribuir a la elaboración de actos de ejecución que afecten a esas infraestructuras. Esos grupos rectores también deben poder invitar a sus reuniones a representantes de otros participantes autorizados en DatosSalud@UE en calidad de observadores y deben consultar a los expertos pertinentes en el desempeño de sus funciones.
(99) Sin perjuicio de cualquier otro recurso administrativo, judicial o extrajudicial, toda persona física o jurídica debe tener derecho a presentar una reclamación ante una autoridad de salud digital o ante un organismo de acceso a datos de salud cuando considere que sus derechos o intereses en virtud del presente Reglamento se han visto afectados. La investigación abierta a raíz de una reclamación debe llevarse a cabo, bajo control judicial, según convenga en el caso específico. La autoridad de salud digital u organismo de acceso a datos de salud debe informar a la persona física o jurídica de los avances y el resultado de la reclamación en un plazo razonable. Si el caso requiere más investigación o coordinación con otra autoridad de salud digital u organismo de acceso a datos de salud, debe darse información sobre el estado de tramitación de las reclamaciones a la persona física o jurídica. A fin de facilitar la presentación de reclamaciones, cada autoridad de salud digital y organismo de acceso a datos de salud debe adoptar medidas, como proporcionar un formulario de presentación de reclamaciones que también pueda cumplimentarse electrónicamente, sin excluir la posibilidad de utilizar otros medios de comunicación. Cuando la reclamación se refiera a los derechos de las personas físicas en relación con la protección de sus datos personales, la autoridad de salud digital o el organismo de acceso a datos de salud transmitirán la reclamación a las autoridades de control de conformidad con el Reglamento (UE) 2016/679. Las autoridades de salud digital o los organismos de acceso a datos de salud deben cooperar para tramitar y resolver sin demora indebida las reclamaciones, lo que incluye el intercambio de toda información pertinente por medios electrónicos.
(100) La persona física que considere que se han vulnerado los derechos que le reconoce el presente Reglamento debe tener derecho a conferir mandato a una entidad, organización o asociación sin ánimo de lucro constituida con arreglo al Derecho nacional, que tenga objetivos legales de interés público y actúe en el ámbito de la protección de los datos personales, para que presente en su nombre una reclamación.
(101) La autoridad de salud digital, el organismo de acceso a datos de salud, el tenedor de datos de salud o el usuario de datos de salud debe indemnizar cualesquiera daños y perjuicios que sufra una persona física o jurídica como consecuencia de una infracción del presente Reglamento. El concepto de daños y perjuicios debe interpretarse en sentido amplio a la luz de la jurisprudencia del Tribunal de Justicia de la Unión Europea, de tal modo que se respeten plenamente los objetivos del presente Reglamento. Lo anterior se entiende sin perjuicio de cualquier reclamación por daños y perjuicios derivada de la vulneración de otras disposiciones del Derecho de la Unión o nacional. Las personas físicas deben recibir una indemnización total y efectiva por los daños y perjuicios sufridos.
(102) A fin de reforzar la aplicación de lo dispuesto en el presente Reglamento, cualquier infracción de este debe ser castigada con sanciones, incluidas multas administrativas, con carácter adicional a las medidas adecuadas impuestas por los organismos de acceso a datos de salud en virtud del presente Reglamento, o en sustitución de estas. La imposición de sanciones, incluidas las multas administrativas, debe respetar las garantías procesales adecuadas conforme a los principios generales del Derecho de la Unión y de la Carta de los Derechos Fundamentales de la Unión Europea, entre ellas el derecho a la tutela judicial efectiva y a un proceso con todas las garantías.
(103) Procede establecer disposiciones que permitan a los organismos de acceso a datos de salud aplicar multas administrativas por determinadas infracciones del presente Reglamento, que deban considerarse en el marco del presente Reglamento infracciones graves como la reidentificación de personas físicas, la descarga de datos de salud electrónicos personales fuera del entorno de tratamiento seguro o el tratamiento de datos para usos prohibidos o usos que no entren en el ámbito de un permiso de datos. El presente Reglamento debe detallar dichas infracciones, así como el límite máximo y los criterios para fijar las correspondientes multas administrativas, que debe determinar en cada caso concreto el organismo de acceso a datos de salud competente teniendo en cuenta todas las circunstancias concurrentes en él, atendiendo en particular a la naturaleza, gravedad y duración de la infracción y sus consecuencias y a las medidas tomadas para garantizar el cumplimiento de las obligaciones impuestas por el presente Reglamento e impedir o atenuar las consecuencias de la infracción. A efectos de la imposición de multas administrativas en virtud del presente Reglamento, el concepto de empresa debe entenderse con arreglo a los artículos 101 y 102 del TFUE. Debe corresponder a los Estados miembros determinar si cabe imponer multas administrativas a las autoridades públicas, y en qué medida. La imposición de una multa administrativa o la formulación de una advertencia no debe afectar al ejercicio de otras potestades de los organismos de acceso a datos de salud ni a la aplicación de otras sanciones al amparo del presente Reglamento.
(104) A fin de garantizar que el EEDS cumple sus objetivos, deben delegarse en la Comisión los poderes para adoptar actos con arreglo al artículo 290 del TFUE por lo que respecta a la modificación o supresión en el anexo I de las categorías prioritarias de datos de salud electrónicos personales, la lista de datos obligatorios que han de registrar los fabricantes de sistemas HCE y de aplicaciones de bienestar en la base de dato de la UE para el registro de sistemas HCE y aplicaciones de bienestar, así como las modificaciones, adiciones o supresiones de elementos que deban formar parte de la etiqueta de calidad y utilidad de los datos. Reviste especial importancia que la Comisión lleve a cabo las consultas oportunas durante la fase preparatoria, en particular con expertos, y que esas consultas se realicen de conformidad con los principios establecidos en el Acuerdo interinstitucional de 13 de abril de 2016 sobre la mejora de la legislación (22). En particular, a fin de garantizar una participación equitativa en la preparación de los actos delegados, el Parlamento Europeo y el Consejo reciben toda la documentación al mismo tiempo que los expertos de los Estados miembros, y sus expertos tienen acceso sistemáticamente a las reuniones de los grupos de expertos de la Comisión que se ocupen de la preparación de actos delegados.
(105) A fin de garantizar condiciones uniformes de ejecución del presente Reglamento, deben conferirse a la Comisión competencias de ejecución en lo que respecta a:
- las especificaciones técnicas para la interoperabilidad de los servicios de representación de los Estados miembros,
- los requisitos para la calidad de los datos para el registro de datos de salud electrónicos personales en un sistema HCE,
- especificaciones transfronterizas para categorías de datos de salud electrónicos personales,
- las categorías prioritarias de datos de salud electrónicos personales, estableciendo el formato europeo de intercambio de historias clínicas electrónicas,
- actualizaciones sobre el formato europeo de intercambio de historias clínicas electrónicas para integrar las revisiones pertinentes de los sistemas y nomenclaturas de codificación de la asistencia sanitaria,
- especificaciones técnicas que amplíen el formato europeo de intercambio de historias clínicas electrónicas a las categorías adicionales de datos de salud electrónicos personales,
- los requisitos para el mecanismo interoperable y transfronterizo de identificación y autenticación para las personas físicas y los profesionales sanitarios, de conformidad con el Reglamento (UE) n.º 910/2014,
- los requisitos para la ejecución técnica de los derechos de las personas físicas en relación con el uso primario de sus datos de salud electrónicos personales,
- las medidas necesarias para el desarrollo técnico de MiSalud@UE, disposiciones pormenorizadas relativas a la seguridad, la confidencialidad y la protección de los datos de salud electrónicos personales, así como las condiciones para las comprobaciones del cumplimiento necesarias para unirse y permanecer conectado a MiSalud@UE,
- disposiciones sobre los requisitos de ciberseguridad, interoperabilidad técnica, interoperabilidad semántica, operaciones y gestión de servicios en relación con el tratamiento por parte de la Comisión y sus responsabilidades con respecto a los responsables del tratamiento,
- los aspectos técnicos de los servicios complementarios prestados a través de MiSalud@UE,
- los aspectos técnicos de los intercambios de datos de salud electrónicos personales entre MiSalud@UE y otros servicios o infraestructuras,
- la conexión de otras infraestructuras, de puntos de contacto nacionales para la salud digital de terceros países o sistemas establecidos a nivel internacional por organizaciones internacionales a la plataforma de MiSalud@UE y su desconexión de esta,
- especificaciones comunes con respecto a los requisitos esenciales establecidos en el anexo II,
- especificaciones comunes para el entorno digital de pruebas europeo,
- justificaciones de las medidas nacionales adoptadas por las autoridades de vigilancia del mercado, en caso de incumplimiento de sistemas HCE,
- el formato y el contenido de la etiqueta de las aplicaciones de bienestar,
- los principios para las políticas y las estructuras de las tasas que los organismos de acceso a datos de salud y los tenedores fiables de datos de salud pueden cobrar por la puesta a disposición de datos de salud electrónicos para uso secundario,
- la arquitectura de una herramienta informática destinada a apoyar y hacer transparente para los organismos de acceso a datos de salud las medidas de garantía del cumplimiento,
- el logotipo para hacer patente la contribución del EEDS,
- modelos de la solicitud de acceso a datos de salud, del permiso de datos y de la petición de datos de salud,
- los requisitos técnicos, organizativos, de seguridad de la información, de confidencialidad, de protección de datos y de interoperabilidad para los entornos de tratamiento seguros,
- modelos para los acuerdos entre responsables del tratamiento y encargados del tratamiento,
- decisiones sobre el cumplimiento de un punto de contacto nacional para uso secundario de un tercer país o de un sistema establecido a nivel internacional por organizaciones internacionales de los requisitos de DatosSalud@UE a efectos del uso secundario de datos de salud, sobre el cumplimiento del capítulo IV del presente Reglamento y sobre si dicho punto de contacto nacional para uso secundario de un tercer país o dicho sistema da acceso a usuarios de datos de salud situados en la Unión a los datos de salud electrónicos a los que tiene acceso en condiciones equivalentes,
- los requisitos, las especificaciones técnicas y la arquitectura informática de DatosSalud@UE; las condiciones y comprobaciones del cumplimiento para unirse y permanecer conectado a DatosSalud@UE; los criterios mínimos que deben cumplir los puntos de contacto nacionales para uso secundario y los participantes autorizados en DatosSalud@UE; las responsabilidades de los responsables del tratamiento y de los encargados del tratamiento que participen en DatosSalud@UE; las responsabilidades de los responsables y de los encargados del tratamiento en relación con el entorno de tratamiento seguro gestionado por la Comisión, y las especificaciones comunes para la arquitectura de DatosSalud@UE y para su interoperabilidad con otros espacios comunes europeos de datos,
- las decisiones de conexión de participantes autorizados concretos a DatosSalud@UE,
- los elementos mínimos para los conjuntos de datos y las características de esos elementos que deben proporcionar los tenedores de datos de salud,
- las características visuales y las especificaciones técnicas de la etiqueta de calidad y utilidad de los datos,
- las especificaciones mínimas de los conjuntos de datos de alto impacto para el uso secundario
- decisiones sobre si un tercer país permite que los solicitantes de datos de salud de la Unión accedan a los datos de salud electrónicos en dicho tercer país en condiciones que no sean más restrictivas que las establecidas en el presente Reglamento,
- las medidas necesarias para el establecimiento y la actividad del Consejo del EEDS.
Dichas competencias deben ejercerse de conformidad con el Reglamento (UE) n.º 182/2011 del Parlamento Europeo y del Consejo (23).
(106) Los Estados miembros deben tomar todas las medidas necesarias para asegurarse de que se apliquen las disposiciones del presente Reglamento, también mediante el establecimiento de sanciones efectivas, proporcionadas y disuasorias para las infracciones que se cometan. A la hora de decidir la cuantía de la sanción para cada caso concreto, los Estados miembros deben tener en cuenta los límites y criterios establecidos en el presente Reglamento. La reidentificación de personas físicas debe considerarse una vulneración grave del presente Reglamento.
(107) La aplicación del EEDS va a necesitar un importante trabajo de desarrollo para los Estados miembros y los servicios centrales. Con el fin de hacer un seguimiento de los avances realizados a ese respecto, la Comisión debe, hasta la plena aplicación del presente Reglamento, informar anualmente sobre dichos avances, teniendo en cuenta la información proporcionada por los Estados miembros. Esos informes pueden incluir recomendaciones de medidas correctoras, así como una evaluación de los avances realizados.
(108) La Comisión debe efectuar una evaluación del presente Reglamento, a fin de valorar si este alcanza sus objetivos de manera eficaz y eficiente, es coherente y sigue siendo pertinente y aporta valor añadido a escala de la Unión. La Comisión debe efectuar una evaluación específica del presente Reglamento en un plazo de ocho años a partir de su entrada en vigor, y una evaluación global en un plazo de diez años a partir de su entrada en vigor. Tras cada evaluación, la Comisión debe presentar informes sobre sus principales conclusiones al Parlamento Europeo, al Consejo, al Comité Económico y Social Europeo y al Comité de las Regiones.
(109) Para el éxito de la aplicación transfronteriza del EEDS, el Marco Europeo de Interoperabilidad, cuyo ámbito se puso al día y amplió mediante la Comunicación de la Comisión, de 23 de marzo de 2017, titulada «Marco Europeo de Interoperabilidad - Estrategia de aplicación» para tener en cuenta los nuevos o revisados requisitos de interoperabilidad, debe considerarse una referencia común para garantizar la interoperabilidad jurídica, organizativa, semántica y técnica.
(110) Dado que los objetivos del presente Reglamento, a saber, facultar a las personas físicas al proporcionarles un mayor control de sus datos de salud electrónicos personales y apoyar su libertad de circulación garantizando que sus datos de salud los acompañen, fomentar un auténtico mercado interior de servicios y productos sanitarios digitales, y garantizar un marco coherente y eficiente para la reutilización de los datos de salud de las personas físicas con fines de investigación, innovación, formulación de políticas y actividades de regulación, no pueden ser alcanzados de manera suficiente por los Estados miembros únicamente mediante medidas de coordinación, como demuestra la evaluación de los aspectos digitales de la Directiva 2011/24/UE, sino que, debido a que las medidas de armonización relativas a los derechos de las personas físicas en relación con sus datos de salud electrónicos, la interoperabilidad de los datos de salud electrónicos y un marco común y garantías para el uso primario y secundario, pueden lograrse mejor a escala de la Unión, esta puede adoptar medidas, de acuerdo con el principio de subsidiariedad establecido en el artículo 5 del Tratado de la Unión Europea. De conformidad con el principio de proporcionalidad establecido en el mismo artículo, el presente Reglamento no excede de lo necesario para alcanzar dichos objetivos.
(111) La evaluación de los aspectos digitales de la Directiva 2011/24/UE muestra que la eficacia de la red de sanidad electrónica es limitada, pero también que hay un gran potencial para trabajar a nivel de la Unión en el ámbito de la salud digital, como se ha demostrado por el trabajo efectuado durante la pandemia de COVID-19. Por lo tanto, procede modificar la Directiva 2011/24/UE en consecuencia.
(112) El presente Reglamento complementa los requisitos esenciales de ciberseguridad establecidos en el Reglamento (UE) 2024/2847. Los sistemas HCE que sean productos con elementos digitales en el sentido del Reglamento (UE) 2024/2847 también deben cumplir los requisitos esenciales de ciberseguridad establecidos en dicho Reglamento. Los fabricantes de dichos sistemas HCE deben demostrar la conformidad con arreglo a lo dispuesto en el presente Reglamento. A fin de facilitar dicha conformidad, los fabricantes deben poder elaborar un único conjunto de documentos técnicos que contenga los elementos exigidos por ambos actos jurídicos. Debe ser posible demostrar, a través del marco de evaluación en virtud del presente Reglamento, la conformidad de los sistemas HCE con los requisitos esenciales de ciberseguridad establecidos en el Reglamento (UE) 2024/2847. No obstante, no deben aplicarse las partes del procedimiento de evaluación de la conformidad en el marco del presente Reglamento relacionadas con la utilización de entornos de pruebas ya que dichos entornos de pruebas no permiten una evaluación de la conformidad con respecto a los requisitos esenciales de ciberseguridad. Dado que el Reglamento (UE) 2024/2847 no se aplica directamente al software como servicio (SaaS) como tal, los sistemas HCE que se ofrecen a través de una licencia SaaS y los modelos de prestación no entran en el ámbito de aplicación del presente Reglamento. Del mismo modo, los sistemas HCE que se desarrollen y utilicen en interno no entran en el ámbito de aplicación del presente Reglamento, puesto que no se introducen en el mercado.
(113) El SEPD y el CEPD, a los que se consultó de conformidad con el artículo 42, apartados 1 y 2, del Reglamento (UE) 2018/1725, emitieron su dictamen conjunto el 12 de julio de 2022.
(114) El presente Reglamento no debe afectar a la aplicación de la normativa sobre competencia, en particular los artículos 101 y 102 del TFUE. Las disposiciones del presente Reglamento no deben utilizarse para restringir la competencia de forma contraria al TFUE.
(115) Dada la necesidad de preparación técnica, el presente Reglamento debe ser aplicable a partir del 26 de marzo de 2027. Con el fin de contribuir a la ejecución satisfactoria del EEDS y a la creación de condiciones favorables para la cooperación europea en materia de datos de salud, la ejecución debe realizarse por etapas.
HAN ADOPTADO EL PRESENTE REGLAMENTO: