EL ESPACIO EUROPEO DE DATOS SANITARIOS: ¿QUÉ CONSECUENCIAS TRAERÁ SU IMPLANTACIÓN?
En mayo de 2022, la Comisión europea publicó la propuesta de Reglamento sobre el Espacio Europeo de Datos Sanitarios; a este ritmo, algunos esperan que la norma quede definitivamente aprobada en 2023, lo que supondrá un nuevo régimen de obligaciones y requisitos para las organizaciones públicas y privadas que manejen datos de salud.
Desde hace algunos años, las instituciones de la Unión Europea han mostrado un creciente interés por regular el flujo de datos sanitarios, tales como la historia clínica, entre las distintas entidades que conforman el sistema sanitario de los Estados miembros, a fin de establecer un marco jurídico más claro – pero más riguroso – que ofrezca mayor seguridad a los pacientes de toda la Unión.
Tras la publicación de la primera propuesta de Reglamento para la regulación de esta materia, el Supervisor Europeo de Protección de Datos y el Comité Europeo de Protección de Datos han emitido una opinión conjunta sobre la incidencia que la nueva norma podría tener sobre los requisitos ya existentes sobre protección de datos personales. Tal y como sostienen estos organismos de supervisión, las entidades dedicadas a la prestación de servicios sanitarios o a la investigación clínica se verán sometidas a nuevas obligaciones considerablemente rigurosas que, además, deberán conjugar con los requisitos que otros textos el Reglamento General de Protección de Datos o la Ley de Autonomía del Paciente ya les imponen.
¿Qué es el Espacio Europeo de Datos Sanitarios?
Siguiendo lo dispuesto en la propuesta de Reglamento, el Espacio Europeo de Datos Sanitarios es un conjunto de reglas, normas y prácticas comunes, infraestructuras y un marco de gobernanza para el uso primario y secundario de los datos sanitarios electrónicos, con el fin de mejorar el acceso por parte de los ciudadanos a sus datos sanitarios, y el control de dichos datos, en el contexto de la asistencia sanitaria, así como para otros fines que beneficiarían a la sociedad, como la investigación, la innovación, la formulación de políticas, la seguridad de los pacientes, la medicina personalizada, las estadísticas oficiales o las actividades reglamentarias.
En un sentido más práctico, se trata de crear un sistema normativo y técnico que facilite la gestión, el intercambio y la explotación de los datos sanitarios, primordialmente en formato electrónico, que obran en poder de instituciones públicas y privadas, como son los sistemas públicos de salud, las clínicas privadas o los laboratorios farmacéuticos.
¿Qué supondrá para las entidades del sector sanitario?
La propuesta presentada por la Comisión Europea aún puede sufrir importantes modificaciones hasta su aprobación definitiva y, tras ésta, requerirá también un desarrollo más concreto mediante una ley de ámbito nacional. Sin embargo, lo cierto es que ya incluye un importante catálogo de obligaciones y requisitos para las organizaciones del sector sanitario.
La propuesta introduce el concepto del “historial médico electrónico” (HME), conjunto de datos sanitarios del paciente en formato digital. El HME será gestionado de manera centralizada, y será plenamente accesible por los pacientes. Ahora bien, los profesionales sanitarios y las entidades que presten servicios de salud deberán introducir diligentemente todos los datos relativos a la asistencia que reciban sus pacientes, a fin de que la HME se encuentre siempre actualizada. Esto se extiende a los pacientes nacionales de otros Estados miembros de la UE, con lo que los prestadores de servicios sanitarios deberán atenerse a la normativa de desarrollo para garantizar que los usuarios extranjeros atendidos en España ven también actualizada su HME.
Por otro lado, los profesionales sanitarios y los centros hospitalarios también podrán acceder directamente al HME del paciente, salvo que el usuario haya decidido restringir ese acceso, en cuyo caso será necesario contar con su consentimiento antes de realizar la consulta.
La propuesta también regula el uso de los datos de salud en poder de instituciones sanitarias públicas y privadas para fines diferentes a los inicialmente previstos. Estas entidades deberán establecer mecanismos para que terceros accedan fácilmente a la información sanitaria de la que dispongan, como las historias clínicas, los resultados de ensayos clínicos, datos genéticos o datos generados por aplicaciones digitales de salud – incluyendo la información protegida mediante mecanismos de propiedad industrial, aunque con matices –.
No obstante, la norma obliga a distinguir, dentro de estas categorías, los datos personales de los no personales, en función de la normativa de protección de datos. Los datos personales únicamente podrán ser consultados por aquellas entidades que cuenten con un permiso emitido por la Administración competente, mientras que los no personales deberán almacenarse en bases de datos que permitan el acceso sencillo y sin restricciones. Esta distinción es fundamental, pues la publicación indebida de datos personales sanitarios constituye una infracción muy grave, con multas de hasta 20 millones de euros.
Conclusiones
Como vemos, se trata de una normativa sumamente compleja que, además, habrá de aplicarse junto a otras normas como la Ley de Datos, la Ley de Gobernanza de Datos, la Ley de Autonomía del Paciente, la Ley de Investigación Biomédica o la Ley Orgánica de Protección de Datos. Tanto los servicios públicos de salud como las empresas privadas con incidencia en el sector biosanitario deberán hacer un importante esfuerzo para digitalizar sus procesos de un modo que resulte compatible con las exigencias del Espacio Europeo de Datos Sanitarios al tiempo que respete estrictamente todos los requisitos impuestos por estas otras normas. Asimismo, la aplicación del futuro reglamento obligará a estas entidades a tratar de una manera mucho más intensa con las plataformas electrónicas que determine la Administración competente, lo que seguro conllevará nuevas obligaciones en materia de seguridad e interoperabilidad.
Desde Caberseg podemos ayudar a tu entidad implantando las políticas y sistemas necesarios para cumplir con las nuevas normativas que afectan a los datos sanitarios de pacientes, tanto en el sector público cómo privado.
