Espacio Europeo de Datos Sanitarios: una revolución para la historias clínicas electrónicas

Álvaro Abad, Juan Ramón Robles, Nick Westbrook
Hogan Lovells
Contact
LinkedIn
Facebook
X
Send
Embed

Hogan Lovells

Los prestadores de asistencia sanitaria almacenan y utilizan historias clínicas electrónicas ("HCE") en el contexto de la prestación de dichos servicios sanitarios. Sin embargo, la configuración de dichas HCE por parte de los prestadores de asistencia sanitaria de la UE se ha realizado muy a menudo de forma fragmentada o de maneras que no garantizan la interoperabilidad, obstaculizando el acceso o el uso de los datos de otras regiones.

El Espacio Europeo de Datos Sanitarios ("EEDS") tiene como objetivo ser la herramienta para resolver estos problemas mediante la creación de un entorno interoperable y común para el manejo y uso de las HCE en la Unión Europea. De este modo se reforzarán los derechos de las personas físicas.

Como aspecto significativo, el EEDS también crearía un nuevo régimen de "uso secundario" que permitiría la reutilización de datos sanitarios electrónicos en poder de una amplia gama de entidades para finalidades secundarias.

La Comisión Europea, en el contexto de la pandemia del COVID-19, constató que el acceso ágil a las HCEs en caso de una crisis sanitaria es crucial, así como el acceso para el diagnóstico y el uso secundario de los datos sanitarios. Sin embargo, actualmente no se dispone a nivel de la UE de una plataforma centralizada e interoperable en la que los ciudadanos puedan acceder a sus HCEs desde un único lugar. Tampoco pueden acceder a dichos datos los profesionales y autoridades sanitarias. Ello supone que los ciudadanos y los profesionales sanitarios que pueden asistirles carecen de información cuando viajan a otros países. Además, los profesionales sanitarios no pueden acceder a las historias completas y tomar decisiones óptimas.

La falta de datos sanitarios electrónicos centralizados y accesibles también constituye un impedimento para el uso de los datos sanitarios con fines secundarios, como la investigación, la elaboración de políticas y el desarrollo de medicamentos.

En este contexto, y siguiendo su Estrategia Digital, la Comisión Europea ha publicado una Propuesta de Reglamento sobre el Espacio Europeo de Datos Sanitarios (EEDS).

Cuestiones generales

¿A qué industrias y sectores afecta el EEDS?

  • Prestadores de asistencia sanitaria en la UE (tanto públicos como privados).

  • Fabricantes y proveedores de sistemas de HCE.

  • Proveedores de servicios de salud y bienestar (apps, dispositivos, etc.).

  • Cualquier entidad (tanto privada como pública) que trate datos sanitarios electrónicos en la UE, como los proveedores de servicios.

  • Investigadores y compañías farmacéuticas.

  • Entidades que desean hacer uso de los datos sanitarios para otros fines secundarios (por ejemplo, compañías de seguros y proveedores de digital health).

¿Qué nuevos derechos tendrán los ciudadanos en relación con las HCE (uso primario)?

Las personas físicas tendrán, entre otros, los siguientes derechos:

  • A acceder de forma inmediata y gratuita a sus datos sanitarios electrónicos personales y a recibir una copia.

  • A que todos los datos sanitarios se registren electrónicamente.

  • A poder introducir sus datos sanitarios electrónicos en su propia HCE.

  • A dar acceso o solicitar a un titular de datos del sector sanitario o de la seguridad social que transmita sus datos sanitarios electrónicos a un destinatario de datos de su elección del sector sanitario o de la seguridad social.

¿Cómo se supervisará y aplicará el EEDS?

Cada Estado miembro designará una autoridad de salud digital a nivel nacional. Se le encomendarán varias competencias, como emitir orientaciones, contribuir a las soluciones que permitan a las personas físicas y a los profesionales sanitarios ejercer sus derechos, etc. Además, los Estados miembros designarán uno o varios organismos de acceso a los datos sanitarios responsables de conceder acceso a los datos sanitarios electrónicos para uso secundario y supervisar el cumplimiento durante dicho uso secundario.

No se prevé un marco sancionador general por infringir el Reglamento EEDS. Sin embargo, existen protecciones específicas en relación con algunos capítulos:

  • La autoridad supervisora de protección de datos de cada país será competente para sancionar a los titulares de los datos (por ejemplo, prestadores de asistencia sanitaria u otras entidades de los sectores sanitario o asistencial, o que realicen investigaciones relacionadas con estos sectores) si no conceden a las personas físicas sus derechos de acceso y transmisión en virtud del EEDS.

  • Los organismos de acceso a los datos sanitarios estarán autorizados a imponer multas a los titulares de datos que obstaculicen el uso secundario de los datos sanitarios electrónicos e incluso a excluir al titular de los datos de la participación en el EEDS durante un periodo de hasta 5 años.

¿Cómo garantiza el EEDS la coherencia transfronteriza?

Cada Estado miembro designará un punto de contacto nacional para garantizar la conexión con todos los demás puntos de contacto nacionales para la salud digital y con la plataforma central para la salud digital. La Comisión Europea creará una plataforma central para la salud digital que prestará servicios para apoyar y facilitar el intercambio de datos sanitarios electrónicos entre los puntos de contacto nacionales. Los Estados miembros garantizarán la conexión de todos los prestadores de asistencia sanitaria a sus puntos de contacto nacionales para la salud digital.

Los Estados miembros velarán por que las farmacias que operen en su territorio puedan dispensar recetas electrónicas expedidas por otros Estados miembros, en las condiciones establecidas en el artículo 11 de la Directiva 2011/24/UE.

Obligaciones para los sistemas de HCEs

Los proveedores de sistemas de HCEs están sujetos a varias obligaciones. Los sistemas de HCEs sujetos al EEDS son los destinados por su proveedor al uso primario de categorías prioritarias de datos sanitarios electrónicos (resúmenes de pacientes, recetas electrónicas, imágenes médicas, etc.). Sin embargo, los softwares generales utilizados en un entorno sanitario no entran en el ámbito de las obligaciones de los sistemas de HCEs. Los proveedores de sistemas de HCEs deberán:

  • Garantizar que sus sistemas de HCEs se ajustan a los requisitos de interoperabilidad y seguridad de que se especifican en un anexo del Reglamento EEDS.

  • Implantar procedimientos para garantizar que el diseño, desarrollo e implantación de un sistema de HCEs sigue cumpliendo los requisitos esenciales.

  • Elaborar la documentación técnica de sus sistemas de HCEs.

  • Colocar el marcado CE.

  • Cumplir las obligaciones de registro.

En un futuro post abordaremos las implicaciones del EEDS para los sistemas de HCEs.

Uso secundario de los datos sanitarios electrónicos

Los datos sanitarios se recopilan en distintos ámbitos de la atención sanitaria. Sin embargo, estos datos son muy valiosos también para otros fines que no están directamente relacionados con las finalidades para las que se recogieron originalmente. La intención de esta legislación es permitir que los datos sanitarios se reutilicen más ampliamente para la investigación, la innovación, la elaboración de políticas, fines normativos y la seguridad de los pacientes. Ahora bien, debido a la naturaleza sensible de los datos sanitarios y al hecho de que pueden contener derechos de propiedad intelectual, secretos comerciales e información comercial confidencial, también deben aplicarse las salvaguardas adecuadas.

¿Qué categorías de datos estarán disponibles para fines secundarios?

El EEDS prevé una lista bastante amplia de categorías de datos que estarán disponibles para su reutilización, entre las que se incluyen: (i) HCEs, (ii) determinantes sociales, ambientales y de comportamiento, (iii) datos genómicos de patógenos, (iv) datos genéticos, (v) datos de identificación relacionados con profesionales sanitarios, (vi) datos sanitarios electrónicos de ensayos clínicos y (vii) datos sanitarios electrónicos de biobancos.

Los organismos de acceso a los datos sanitarios informarán a los usuarios de los datos sobre los conjuntos de datos disponibles y sus características a través de un catálogo de metadatos.

¿Para qué finalidades se permite el uso secundario?

Existe una lista cerrada de finalidades secundarias de tratamiento permitidas:

  • Investigación científica relacionada con los sectores sanitario o asistencial.

  • Actividades de desarrollo e innovación de productos o servicios que contribuyan a la salud pública o garanticen altos niveles de calidad y seguridad de la asistencia sanitaria, medicamentos o productos sanitarios.

  • Formación, ensayo y evaluación de algoritmos, incluso en dispositivos médicos, sistemas de IA y aplicaciones de salud digital, que contribuyan a la salud pública o garanticen altos niveles de calidad y seguridad de la asistencia sanitaria, medicamentos o dispositivos médicos.

  • Prestación de asistencia sanitaria personalizada basada en los datos sanitarios de otras personas físicas.

  • Actividades educativas o docentes en los sectores sanitario o asistencial.

¿Para qué finalidades NO está permitido el uso secundario?

Las finalidades para las que están prohibidos los fines secundarios incluyen, entre otros:

  • Tomar decisiones perjudiciales para una persona física basándose en sus datos sanitarios electrónicos.

  • Excluir a las personas físicas del beneficio de un contrato de seguro o modificar sus cotizaciones y primas de seguro.

  • Desarrollar productos o servicios que puedan perjudicar a las personas y a la sociedad en general, como el tabaco, las bebidas alcohólicas, etc.

  • Actividades publicitarias o de marketing dirigidas a profesionales sanitarios, organizaciones sanitarias o personas físicas.

¿Cuál es la relación en materia de protección de datos entre usuarios y titulares de datos y organismos de acceso a los datos?

El EEDS es claro al respecto. Los organismos de acceso a datos sanitarios y los usuarios de datos serán considerados corresponsables del tratamiento. Los titulares de los datos no tienen ninguna función de encargado del tratamiento ni de corresponsable del tratamiento frente a los usuarios de los datos, salvo cuando exista un único proveedor de datos y la solicitud sea tramitada directamente por el mismo, en cuyo caso serán considerados corresponsables del tratamiento.

¿Es necesario informar de cada permiso de acceso a las personas físicas cuyos datos se utilizan con fines secundarios?

No. Se les proporcionará información pública general sobre todos los permisos de datos, haciendo uso de la excepción de informar prevista en el art. 14.5 del RGPD. No obstante, se informará a las personas físicas de cualquier dato que pueda afectar a su salud.

En cualquier caso, los organismos de acceso a los datos pondrán a disposición del público y de fácil consulta las condiciones en las que los datos sanitarios electrónicos se ponen a disposición para uso secundario, incluida la base jurídica del tratamiento, los derechos de las personas físicas y los resultados o productos de los proyectos para los que se utilizaron los datos sanitarios electrónicos.

¿Cuál es la base jurídica del tratamiento de para los usuarios de datos?

El EEDS proporciona una base jurídica de tratamiento con arreglo al RGPD para los titulares de los datos, así como una excepción para tratar datos sanitarios. Sin embargo, el EEDS no prevé bases jurídicas para los usuarios de datos. Un usuario de datos deberá demostrar su base jurídica de conformidad con el RGPD y explicar la base jurídica específica en la que se basa como parte de la solicitud de acceso a los datos sanitarios electrónicos. Las únicas bases jurídicas permitidas para los usuarios de datos son el interés legítimo o el ejercicio de una tarea de interés público.

¿Pueden los titulares de los datos y los organismos de acceso a datos sanitarios cobrar tasas de acceso para uso secundario?

Sí. Cuando los datos en cuestión no estén en poder de un organismo público, las tasas también podrán incluir una compensación por parte de los costes de recogida de los datos sanitarios electrónicos específicamente en virtud del Reglamento EEDS.

Las tasas serán transparentes y proporcionadas al coste de recopilar y poner a disposición los datos sanitarios electrónicos.

¿Cómo funciona la solicitud de acceso a datos sanitarios con finalidades secundarias?

Las solicitudes de acceso serán gestionadas por el organismo de acceso a los datos sanitarios. Cada Estado miembro designará uno o varios organismos de acceso a los datos sanitarios. Los usuarios de datos que deseen acceder a datos sanitarios electrónicos de más de un Estado miembro presentarán una única solicitud a uno de los organismos de acceso a datos sanitarios de su elección. No obstante, cuando un solicitante solo pida acceso a datos sanitarios electrónicos de un único titular de datos, dicho solicitante podrá presentar una solicitud de acceso a datos o una petición de datos directamente a este titular de datos.

La solicitud contendrá una explicación detallada de las finalidades, los datos sanitarios solicitados, las garantías adoptadas, etc. Cuando el organismo de acceso a datos sanitarios deniegue la expedición de un permiso de datos, deberá justificar su denegación al solicitante. El permiso de datos establecerá las condiciones generales aplicables al usuario de los datos.

Conclusión

El EEDS supondrá una revolución para el manejo de las HCEs y las posibilidades de uso secundario. Los operadores del sector sanitario (y proveedores de sistemas de HCEs) tendrán que adaptarse a las nuevas obligaciones e invertir importantes esfuerzos. Las organizaciones que actualmente disponen de datos sanitarios electrónicos también pueden temer que la propuesta les obligue a facilitar datos protegidos por derechos de propiedad intelectual, secretos comerciales u otra información comercial confidencial. Sin embargo, el EEDS también traerá potencialmente grandes oportunidades para muchas industrias que podrán beneficiarse del acceso a los datos para un uso secundario.

Próximos pasos

  • Los prestadores de asistencia sanitaria tendrán que adaptarse a los requisitos del EEDS en lo que respecta al manejo de las HCEs y los datos sanitarios en general.

  • Los proveedores de sistemas de HCEs deberán garantizar que sus sistemas son conformes con el EEDS y colocar el marcado CE, entre otras obligaciones.

  • Los operadores interesados en el uso secundario de datos sanitarios (farmacéuticas, investigadores, prestadores de servicios, etc.) deben estar atentos a esta propuesta de Reglamento, ya que les brindará oportunidades de negocio.

Recomendamos hacer un seguimiento del desarrollo legislativo del EEDS.

[View source.]

Send Print Report

DISCLAIMER: Because of the generality of this update, the information provided herein may not be applicable in all situations and should not be acted upon without specific legal advice based on particular situations.

© Hogan Lovells | Attorney Advertising

Written by:

Hogan Lovells
Hogan Lovells
Contact
more
less

Hogan Lovells on:

Reporters on Deadline

"My best business intelligence, in one easy email…"

Your first step to building a free, personalized, morning email brief covering pertinent authors and topics on JD Supra:
Sign Up Log in
*By using the service, you signify your acceptance of JD Supra's Privacy Policy.
Custom Email Digest
- hide
- hide