6.6.2009   

ES

Diario Oficial de la Unión Europea

C 128/20

1.

El 2 de julio de 2008, la Comisión adoptó una propuesta de Directiva del Parlamento Europeo y del Consejo relativa a la aplicación de los derechos de los pacientes en la asistencia sanitaria transfronteriza (denominada en lo sucesivo «la propuesta») (1). La Comisión transmitió la propuesta al SEPD a fin de consultarlo de conformidad con el artículo 28, apartado 2 del Reglamento (CE) no 45/2001.

2.

El objetivo de la propuesta es la creación de un marco comunitario para la asistencia sanitaria transfronteriza dentro de la UE, para los casos en los que la asistencia que buscan los pacientes se dispense en un Estado miembro distinto al de residencia. Se estructura en tres ámbitos principales:

3.

Los objetivos de este marco son dobles: aportar la suficiente claridad acerca del derecho al reembolso de la asistencia sanitaria dispensada en otros Estados miembros, y velar por que se garanticen en la asistencia sanitaria transfronteriza los requisitos necesarios en cuanto a calidad, seguridad y eficacia.

4.

La aplicación de un régimen de asistencia sanitaria transfronteriza exige el intercambio entre las organizaciones y profesionales sanitarios autorizados de los datos personales pertinentes de los pacientes que guardan relación con la salud (denominados en lo sucesivo «datos relativos a la salud»). Estos datos se consideran sensibles y se incluyen en las normas de protección de datos más rigurosas previstas en el artículo 8 de la Directiva 95/46/CE, sobre tratamiento de categorías especiales de datos.

5.

El SEPD celebra que se le haya consultado a este respecto y que se haya mencionado esta consulta en el preámbulo de la propuesta, de conformidad con el artículo 28 del Reglamento (CE) no 45/2001.

6.

Es la primera vez que se consulta formalmente al SEPD sobre una propuesta de Directiva en el ámbito de la asistencia sanitaria. Así pues, en el presente dictamen se formulan algunas observaciones de alcance más general en las que se abordan cuestiones generales de protección de datos personales en el sector de la asistencia sanitaria, que podrían ser igualmente aplicables para otros instrumentos jurídicos pertinentes (de carácter vinculante o no).

7.

Ya desde el inicio, el SEPD desea expresar su respaldo a las iniciativas de mejora de las condiciones de la asistencia sanitaria transfronteriza. De hecho, esta propuesta debe examinarse en el contexto del programa general de la CE para mejorar la salud de los ciudadanos en la sociedad de la información. Entre las restantes iniciativas a este respecto cabe mencionar la Directiva y la comunicación previstas sobre donación y el trasplante de órganos humanos (2), la Recomendación sobre la interoperabilidad transfronteriza de los sistemas de historiales médicos electrónicos (3), así como la comunicación prevista sobre la telemedicina (4). Preocupa al SEPD, sin embargo, el hecho de que todas estas iniciativas relacionadas entre sí no tengan estrechos nexos o interconexiones en materia de protección de la intimidad y seguridad de los datos, dificultando así la adopción de un planteamiento uniforme de protección de datos en la asistencia sanitaria, en particular por lo que atañe al uso de nuevas tecnologías TIC. Sirva de ejemplo que, al tiempo que en la presente propuesta se menciona expresamente la telemedicina en el considerando 10 de la Directiva propuesta, no se hace referencia alguna a la dimensión de protección de datos de la comunicación pertinente de la CE. Más aún, pese a que los historiales clínicos electrónicos son una de las formas posibles de comunicación transfronteriza de datos relativos a la salud, no se establece ningún nexo con las cuestiones relativas a la protección de la intimidad abordadas en la Recomendación pertinente de la Comisión (5). Esto da la impresión de que aún no existe una perspectiva general claramente definida de la protección de la intimidad en la asistencia sanitaria, y que en algunos casos ésta es totalmente inexistente.

8.

Esto mismo se observa en la presente propuesta, en la que el SEPD lamenta observar que no se abordan de manera concreta las repercusiones en el ámbito de la protección de datos. Es cierto que pueden encontrarse menciones relativas a la protección de datos, pero éstas son principalmente de carácter general y no reflejan adecuadamente las necesidades y exigencias específicas de la asistencia sanitaria transfronteriza en lo que respecta a la protección de la intimidad.

9.

El SEPD desea destacar que un planteamiento de la protección de datos uniforme y sólido en todos los instrumentos sobre asistencia sanitaria propuestos no sólo garantizará el derecho fundamental de los ciudadanos o la protección de sus datos sino que también contribuirá al ulterior desarrollo de la asistencia sanitaria transfronteriza en la UE.

10.

El objetivo más destacado de la Comunidad Europea ha sido el de establecer un mercado interior, un espacio sin fronteras interiores, en el que la libre circulación de mercancías, personas, servicios y capitales está garantizada. Evidentemente, el permitir a los ciudadanos desplazarse y residir con más facilidad en otros Estados miembros distintos del de su origen ha suscitado cuestiones relativas a la asistencia sanitaria. Por tal motivo, ya en la década de los noventa se presentaron ante el Tribunal de Justicia, en el contexto del mercado interior, preguntas relativas al reembolso de gastos médicos efectuados en otro Estado miembro. El Tribunal de Justicia reconoció que la libre prestación de servicios establecida en el artículo 49 del Tratado CE incluye la libertad de las personas de trasladarse a otro Estado miembro para recibir tratamiento médico (6). A raíz de ello, ya no podía dispensarse a los pacientes que desearan recibir asistencia sanitaria transfronteriza un trato diferente del dado a los nacionales en su país de origen que recibieran el mismo tratamiento médico sin cruzar la frontera.

11.

Estas sentencias del Tribunal se sitúan en el núcleo de la presente propuesta. Dado que la jurisprudencia del Tribunal se basa en casos individuales, la presente propuesta tiene la finalidad de aportar mayor claridad y garantizar una aplicación más general y efectiva de las libertades de recibir y de prestar servicios sanitarios. Sin embargo, como ya se ha indicado, la propuesta forma parte asimismo de un programa más ambicioso encaminado a mejorar la salud de los ciudadanos en la sociedad de la información, ámbito en el que la UE ve grandes posibilidades de mejorar la asistencia sanitaria transfronteriza con el uso de tecnologías de la información.

12.

Por razones evidentes, la instauración de normas para la asistencia sanitaria transfronteriza es un asunto delicado. Se sitúa en un ámbito sensible, en el que los Estados miembros han establecido sistemas nacionales divergentes, por ejemplo en lo tocante al seguro y al reembolso de los gastos o a la organización de la infraestructura de asistencia sanitaria, con inclusión de las redes y aplicaciones de información sobre atención sanitaria. Si bien en la propuesta actual el legislador comunitario se ha centrado exclusivamente en la asistencia sanitaria transfronteriza, las normas tendrán cuando menos cierta influencia en el modo en que se organizan los sistemas de asistencia sanitaria nacionales.

13.

La mejora de las condiciones de la asistencia sanitaria transfronteriza redundará en beneficio de los ciudadanos. Sin embargo, al mismo tiempo conllevará ciertos riesgos para éstos. Es menester resolver muchos problemas prácticos inherentes a la cooperación transfronteriza entre personas de distintos países que hablan idiomas distintos. Teniendo en cuenta la gran importancia que reviste para cada ciudadano gozar de buena salud, debería excluirse todo riesgo de error en la comunicación y de inexactitud consiguiente. Huelga decir que la intensificación de la asistencia sanitaria transfronteriza, junto con el recurso a las novedades en tecnologías de la información, tiene implicaciones importantes en la protección de los datos personales. El intercambio más eficiente (y por consiguiente, más frecuente) de datos relativos a la salud, el aumento de la distancia entre las personas y los organismos implicados, las diversas legislaciones nacionales que aplican las normas de protección de datos, todos ellos suscitan cuestiones relacionadas con la seguridad de los datos y la seguridad jurídica.

14.

Debe recalcarse que los datos relativos a la salud se consideran una categoría especial de datos, que son acreedores de una protección superior. Tal como lo señaló recientemente el Tribunal Europeo de Derechos Humanos en el contexto del artículo 8 del Convenio Europeo de Derechos Humanos: «La protección de los datos personales, en concreto de los datos médicos, es de esencial importancia en el disfrute de un individuo del derecho al respeto de su vida privada y familiar, tal y como garantiza el artículo 8 del Convenio» (7). Antes de explicar las normas más rigurosas para el tratamiento de los datos relativos a la salud que establece la Directiva 95/46/CE, dedicaremos algunas palabras al concepto de «datos relativos a la salud».

15.

La Directiva 95/46/CE no incluye una definición expresa de los datos relativos a la salud. Por lo regular se aplica una definición amplia, que habitualmente define a los datos relativos a la salud como «datos personales que tienen una relación clara y estrecha con la descripción del estado de salud de una persona» (8). En este sentido, por lo regular los datos relativos a la salud incluyen datos médicos (por ejemplo, derivaciones de pacientes y recetas médicas, protocolos de exploración clínica, pruebas de laboratorio, radiografías, etc.), así como datos financieros y administrativos relativos a la salud (por ejemplo, documentos relativos a hospitalizaciones, número de la seguridad social, programación de citas médicas, facturas por la prestación de servicios de asistencia sanitaria, etc.). Cabe señalarse que a veces se emplea también la expresión «datos médicos» (9) para denotar los datos relativos a la salud, así como la expresión «datos de asistencia sanitaria» (10). En el presente dictamen se empleará sistemáticamente la expresión «datos relativos a la salud».

16.

La norma ISO 27799 da una definición útil de los «datos relativos a la salud»: «cualquier información relacionada con la salud física o mental de una persona o con la prestación de un servicio sanitario a la persona, que puede incluir: a) información sobre el registro de la persona a efectos de la prestación de servicios sanitarios; b) información sobre pagos o sobre la posibilidad de la persona de acogerse a la asistencia sanitaria; c) un número, símbolo o seña particular atribuido a una persona para identificarla de manera exclusiva a efectos sanitarios; d) cualquier información sobre la persona recabada en el curso de la prestación de servicios sanitarios a esa persona; e) información derivada de pruebas clínicas o del examen clínico de una parte del cuerpo o de una sustancia corporal; y f) identificación de una persona (profesional sanitario) como proveedor de asistencia sanitaria a la persona».

17.

El SEPD es muy favorable a la adopción de una definición concreta de la expresión «datos relativos a la salud» en el contexto de la presente propuesta, que podría utilizarse también en el futuro en el marco de otros textos jurídicos pertinentes de la CE (véase la siguiente sección III).

18.

El artículo 18 de la Directiva 95/46/CE fija las normas para el tratamiento de categorías especiales de datos. Estas normas son más rigurosas que las relativas al tratamiento de otros datos, que se establecen en el artículo 7 de la Directiva 95/46/CE. Esto se pone de manifiesto ya al observar que el apartado 1 del artículo 8 declara expresamente que los Estados miembros prohibirán el tratamiento, entre otras cosas, de los datos relativos a la salud. En los apartados siguientes de este artículo se recogen diversas excepciones a esta norma, que son, sin embargo, más restrictivas que los motivos previstos en el artículo 7 para el tratamiento de datos personales normales. Por ejemplo, la prohibición no se aplicará si el interesado ha dado su consentimiento explícito (letra a) del apartado 2 del artículo 8), en contraposición con el consentimiento inequívoco exigido en la letra a) del artículo 7 de la Directiva 95/46/CE. Además, la legislación de un Estado miembro podrá prescribir que, en determinados casos, ni siquiera el consentimiento explicito del interesado pueda levantar la prohibición. El apartado 3 del artículo 8 se consagra exclusivamente al tratamiento de datos relativos a la salud. A tenor de este apartado, no se aplicará la prohibición del apartado 1 cuando el tratamiento de datos resulte necesario para la prevención o para el diagnóstico médico, la prestación de asistencia sanitaria o tratamientos médicos o la gestión de servicios sanitarios, siempre que dicho tratamiento de datos sea realizado por un profesional sanitario sujeto al secreto profesional sea en virtud de la legislación nacional, o de las normas establecidas por las autoridades nacionales competentes, o por otra persona sujeta asimismo a una obligación equivalente de secreto.

19.

El artículo 8 de la Directiva 95/46/CE hace firme hincapié en el hecho de que los Estados miembros deberán disponer las garantías adecuadas. El apartado 4 del artículo 8, por ejemplo, permite que los Estados miembros establezcan otras excepciones a la prohibición del tratamiento de datos sensibles por motivos de interés público importantes, siempre que se dispongan las garantías adecuadas. Con esto se subraya, en líneas generales, la responsabilidad de los Estados miembros de poner especial cuidado en el tratamiento de datos sensibles, como son los relativos a la salud.

20.

Los Estados miembros deben ser particularmente conscientes de la antedicha responsabilidad cuando se trata de la cuestión del intercambio transfronterizo de datos relativos a la salud. Como ya se ha dicho, el intercambio transfronterizo de datos relativos a la salud incrementa el riesgo de tratamiento erróneo o ilegítimo de dichos datos. Es evidente que de ello pueden derivarse gravísimas consecuencias negativas para el interesado. Tanto el Estado miembro de afiliación (en el que el paciente está asegurado) como el Estado miembro de tratamiento (en el que se presta efectivamente la asistencia sanitaria) están implicados en este proceso, por lo que comparten la responsabilidad del mismo.

21.

En este contexto, la seguridad de los datos relativos a la salud se convierte en una cuestión importante. En el asunto reciente mencionado anteriormente, el Tribunal Europeo de Derechos Humanos atribuía especial trascendencia a la confidencialidad de los datos relativos a la salud: «Respetar la confidencialidad de los datos médicos es un principio vital en los sistemas legales de los Estados Contratantes del Convenio. Es crucial, no sólo respetar el sentido de la privacidad de un paciente, sino también, preservar su confidencialidad en la profesión médica y en los servicios de salud en general» (11).

22.

Las normas de protección de datos establecidas en la Directiva 95/46/CE exigen, además, que el Estado miembro de afiliación proporcione al paciente información adecuada, correcta y actualizada sobre la transmisión de sus datos personales a otro Estado miembro, velando al mismo tiempo por que la transmisión a dicho Estado miembro se efectúe de manera segura. El Estado miembro de tratamiento deberá velar asimismo por la recepción segura de estos datos y proporcionar a estos datos el nivel de protección adecuado cuando efectivamente se sometan a tratamiento, con arreglo a su legislación nacional de protección de datos.

23.

El SEPD desea que se hagan patentes en la propuesta las responsabilidades compartidas de los Estados miembros, teniendo presente asimismo la comunicación electrónica de datos, en particular en el contexto de nuevas aplicaciones de TIC, como se expone más adelante.

24.

La mejora del intercambio transfronterizo de datos relativos a la salud se efectúa en particular mediante el recurso a tecnologías de la información. Si bien aún es posible que el intercambio de datos en un régimen de asistencia sanitaria transfronteriza se efectúe en papel (por ejemplo en caso de que el paciente se traslade a otro Estado miembro y lleve consigo todos sus datos pertinentes relativos a la salud, como exámenes de laboratorio, derivaciones, etc.), se observa claramente que el objetivo final es recurrir en su lugar a los medios electrónicos. La comunicación electrónica de datos relativos a la salud contará con el soporte de los sistemas de información sobre asistencia sanitaria establecidos (o que vayan a establecerse) en los Estados miembros (en hospitales, clínicas, etc.), así como con el recurso a las nuevas tecnologías, como las aplicaciones de historial médico electrónico (que posiblemente funcionarán a través de internet) y otros instrumentos, como las cartillas sanitarias. Desde luego, será posible también el empleo combinado del soporte de papel y el intercambio electrónico, en función de los sistemas de asistencia sanitaria de los Estados miembros.

25.

Las aplicaciones de sanidad en línea y de telemedicina, que se inscriben en el ámbito de aplicación de la Directiva propuesta, dependerán exclusivamente del intercambio electrónico de datos relativos a la salud (por ejemplo signos vitales, imágenes, etc.), por lo regular junto con otros sistemas electrónicos existentes de información sobre asistencia sanitaria instaurados en los Estados miembros de tratamiento y de afiliación. Entre éstos se cuentan sistemas que funcionan tanto para la comunicación entre paciente y médico (por ejemplo el seguimiento y el diagnóstico a distancia) como entre médicos (por ejemplo la teleconsulta entre profesionales sanitarios para solicitar asesoramiento especializado sobre casos concretos de asistencia sanitaria). Otras aplicaciones más específicas de asistencia sanitaria que respaldarán el programa general de asistencia sanitaria transfronteriza podrían asimismo depender exclusivamente del intercambio electrónico de datos, por ejemplo la receta médica electrónica o la derivación electrónica de pacientes, que algunos Estados miembros aplican ya en el plano nacional (12).

26.

Teniendo en cuenta las consideraciones expuestas, junto con la actual diversidad de los sistemas sanitarios de los Estados miembros, así como el desarrollo cada vez mayor de aplicaciones de asistencia sanitaria en línea, surgen los dos siguientes ámbitos principales de inquietud en relación con la protección de datos personales en la asistencia sanitaria transfronteriza: a) los diversos niveles de seguridad que pueden aplicar los Estados miembros para la protección de los datos personales (desde el punto de vista de las medidas técnicas y de organización), y b) la integración de la protección de la intimidad en las aplicaciones de asistencia sanitaria en línea, especialmente en las más novedosas. Además, también podrían requerir especial atención otros aspectos, como la utilización secundaria de datos relativos a la salud, especialmente en el ámbito de la elaboración de estadísticas. Estas cuestiones se analizan con más detalle en el resto de la presente sección.

27.

Si bien las Directivas 95/46/CE y 2002/58/CE se aplican de manera uniforme en Europa, la interpretación y la incorporación de algunos de sus elementos pueden diferir en distintos países, especialmente en ámbitos en los que las disposiciones legales tienen carácter general y se dejan a discreción de los Estados miembros. En este sentido, el principal ámbito de consideración es la seguridad del tratamiento, es decir, las medidas (técnicas y de organización) que toman los Estados miembros para garantizar la seguridad de los datos relativos a la salud.

28.

Aun cuando la protección estricta de los datos relativos a la salud es responsabilidad de todos los Estados miembros, por el momento no existe una definición aceptada universalmente de lo que es un nivel «adecuado» de seguridad para la asistencia sanitaria dentro de la UE, que pueda aplicarse en el ámbito de la asistencia sanitaria transfronteriza. Así pues, por ejemplo, en un Estado miembro un hospital podría verse obligado por la reglamentación de protección de datos aplicada a escala nacional a adoptar medidas de seguridad específicas (como por ejemplo la definición de una política de seguridad y de códigos de conducta, normas específicas sobre externalización y recurso a contratistas externos, requisitos de auditoría, etc.), mientras que esto podría no ocurrir en otros Estados miembros. Esta falta de coherencia podría repercutir en el intercambio transfronterizo de datos, especialmente en formato electrónico, dado que no es posible garantizar que los datos gocen del mismo nivel de protección (desde un punto de vista técnico y de organización) entre distintos Estados miembros.

29.

Es menester, por consiguiente, una mayor armonización en este campo, consistente en la definición de un conjunto de requisitos comunes de seguridad para la asistencia sanitaria, que debería ser adoptado en común por los proveedores de servicios de asistencia sanitaria de los Estados miembros. Esta necesidad está claramente en consonancia con la necesidad general de definir principios comunes en los sistemas sanitarios de la UE, tal como se indica en la propuesta.

30.

Esto debería llevarse a cabo de manera genérica, sin imponer a los Estados miembros soluciones técnicas determinadas, pero sí sentando una base para el reconocimiento y la aceptación mutuos, por ejemplo en los ámbitos de la definición de la política de seguridad, la identificación y autenticación de los pacientes y los profesionales sanitarios, etc. Las normas europeas e internacionales existentes (por ejemplo ISO y CEN) de asistencia sanitaria y seguridad, así como conceptos técnicos con buena aceptación y fundamento jurídico [por ejemplo la firma electrónica (13)], podrían emplearse como referencia para el camino.

31.

El SEPD respalda la idea de una armonización de la seguridad en la asistencia sanitaria en el plano de la UE, y estima que la Comisión debería asumir las iniciativas correspondientes, ya en el marco de la actual propuesta (véase la sección III infra).

32.

La protección de la intimidad y la seguridad deberían integrarse en el diseño y la aplicación de cualquier sistema de asistencia sanitaria, y en particular en las aplicaciones de asistencia sanitaria en línea, como ya se ha mencionado en esta propuesta («privacidad en el diseño»). Este requisito indiscutible ha recibido recientemente el apoyo de otros documentos políticos importantes (14), tanto de carácter general como específico del ámbito de la asistencia sanitaria (15).

33.

En el marco de la interoperabilidad de los sistemas de asistencia sanitaria en línea que se aborda en la propuesta, debería destacarse una vez más el concepto de «privacidad en el diseño» que debería servir de base a todas las novedades previstas. Este concepto se aplica en diversos estratos: organizativo, semántico y técnico.

34.

El SEPD estima que el campo de las recetas médicas electrónicas podría utilizarse como el primer ámbito en el cual integrar las garantías de protección de la intimidad y de seguridad ya desde las primeras fases de su desarrollo (véase la sección III infra).

35.

Otro aspecto que cabría considerar en el marco del intercambio transfronterizo de datos relativos a la salud es la utilización secundaria de los datos de asistencia sanitaria, y en particular su uso con fines estadísticos, como se menciona en la actual propuesta.

36.

Según se ha indicado anteriormente en el punto 18, el artículo 8, apartado 4 de la Directiva 95/46/CE prevé la posibilidad de una utilización secundaria de datos relativos a la salud. Sin embargo, este tratamiento ulterior sólo debería efectuarse por motivos «de interés público importantes», y habría de estar sujeto a «garantías adecuadas» establecidas bien por la legislación nacional, bien por decisión de la autoridad de control (16). Además, en el caso del tratamiento de datos estadísticos, como también se menciona en el dictamen del SEPD sobre la propuesta de Reglamento del Parlamento Europeo y del Consejo sobre estadísticas comunitarias de salud pública y de salud y seguridad en el trabajo (17), se plantea un riesgo adicional derivado del distinto significado que pueden tener los conceptos de «confidencialidad» y de «protección de datos» en la aplicación de la legislación sobre protección de datos, por una parte, y de la legislación sobre estadísticas, por otra.

37.

El SEPD desea hacer hincapié en los antedichos elementos en el contexto de la actual propuesta. Deberían incluirse referencias más explícitas a los requisitos de protección de datos para la utilización ulterior de datos relativos a la salud (véase la sección III infra).

38.

La propuesta incluye, en diversas partes del documento, una serie de referencias a la protección de datos y a la intimidad, y concretamente:

39.

El SEPD celebra que se haya tenido en cuenta la protección de datos en la redacción de la propuesta, y que se haya tratado de poner de manifiesto la necesidad general de intimidad en el contexto de la asistencia sanitaria transfronteriza. Sin embargo, las actuales disposiciones de la propuesta en materia de protección de datos son excesivamente generales, o bien se refieren a las responsabilidades de los Estados miembros de manera algo selectiva y dispersa:

Además, como ya se ha mencionado en la introducción del presente dictamen, no existe nexo ni referencia alguna a los aspectos relativos a la intimidad abordados en otros instrumentos jurídicos de la CE (vinculantes o no) en el ámbito de la asistencia sanitaria, especialmente en relación con el uso de nuevas aplicaciones de TIC (como la telemedicina o las historias clínicas electrónicas).

40.

De este modo, si bien por lo general se alude a la protección de la intimidad como un requisito de la asistencia sanitaria transfronteriza, sigue faltando el marco global, tanto en cuanto a las obligaciones de los Estados miembros como a las particularidades que se introducen con motivo del carácter transfronterizo de la prestación de servicios de asistencia sanitaria (en contraposición con la prestación nacional de servicios de asistencia sanitaria). Más concretamente:

41.

Por otra parte, el artículo 18, que trata de la recopilación de datos con fines estadísticos y de seguimiento, suscita algunas consideraciones particulares. El apartado 1 hace referencia a «datos estadísticos y otros datos complementarios»; emplea además, de manera global, la expresión «para efectuar un seguimiento», y a continuación enumera los ámbitos que están sujetos a esos fines de seguimiento, a saber, la prestación de asistencia sanitaria transfronteriza, la atención dispensada, los prestadores y los pacientes, el coste y los resultados. En este contexto, de por sí bastante confuso, se hace una referencia general a la legislación relativa a la protección de datos pero no se establecen requisitos específicos relativos a la utilización ulterior de los datos relativos a la salud, como se prevé en el artículo 8, apartado 4 de la Directiva 95/46/CE. Además, el apartado 2 contiene la obligación incondicional de transmitir este gran volumen de datos a la Comisión, al menos una vez al año. Como no se hace ninguna referencia expresa a una evaluación de la necesidad de esta transmisión, parecería que el legislador comunitario hubiera determinado ya la necesidad de efectuar estas transmisiones a la Comisión.

42.

Con objeto de atender adecuadamente a los elementos mencionados, el SEPD formula una serie de recomendaciones consistentes en cinco fases básicas de modificación que se describen a continuación.

43.

El artículo 4 define los términos fundamentales empleados en la propuesta. El SEPD recomienda vivamente que se introduzca en este artículo una definición de los datos relativos a la salud. Debería aplicarse una interpretación amplia de los datos relativos a la salud, como la que se describe en la sección II del presente dictamen (apartados 14 y 15).

44.

El SEPD también recomienda vivamente la introducción en la propuesta de un artículo concreto relativo a la protección de datos, que pueda implantar la dimensión global de la intimidad de manera clara y comprensible. Este artículo debería: a) describir las responsabilidades de los Estados miembros de afiliación y de tratamiento, incluyendo, entre otras cosas, la necesidad de seguridad del tratamiento, y b) determinar los principales ámbitos de evolución futura, a saber, la armonización de la seguridad y la integración de la protección de la intimidad en la sanidad en línea. Podrían incluirse disposiciones específicas para estos aspectos (dentro del artículo propuesto), según se presentan en las siguientes fases 3 y 4.

45.

Tras la modificación de la fase 2, el SEPD recomienda que la Comisión adopte un mecanismo para la definición de un nivel de seguridad —aceptable de manera común— correspondiente a los datos de asistencia sanitaria en el plano nacional, que tenga en cuenta las normas técnicas existentes en la materia. Esto debería quedar reflejado en la propuesta. Una posibilidad sería la aplicación por medio del procedimiento de comitología, por cuanto éste ya está descrito en el artículo 19 y se aplica a otras partes de la propuesta. Además, podrían emplearse instrumentos complementarios para la elaboración de directrices pertinentes, con participación de todas las partes interesadas, como el Grupo de Trabajo del Artículo 29 y el SEPD.

46.

El artículo 14, sobre el reconocimiento de recetas emitidas en otro Estado miembro, prevé el desarrollo de un modelo comunitario de receta, en apoyo de la interoperabilidad de las recetas electrónicas. Esta medida se adoptará mediante un procedimiento de comitología, como se define en el artículo 19, apartado 2 de la propuesta.

47.

El SEPD recomienda que el modelo de receta electrónica propuesto incorpore la protección de la intimidad y la seguridad, incluso en la definición semántica más básica de este modelo. Esto debería constar de forma expresa en el artículo 14, apartado 2, letra a). También en este caso la participación de todas las partes interesadas reviste la máxima importancia. En este sentido, el SEPD desea que se le informe y se le implique en futuras actuaciones relacionadas con este asunto, a través del procedimiento de comitología propuesto.

48.

Para evitar confusiones, el SEPD aboga por que se aclare el concepto de «otros datos complementarios» en el artículo 18, apartado 1. Además, debería modificarse este artículo en el sentido de hacer una referencia más explícita a los requisitos para la utilización ulterior de los datos relativos a la salud conforme a lo establecido en el artículo 8, apartado 4 de la Directiva 95/46/CE. Además, la obligación de transmitir todos los datos a la Comisión que figura en el apartado 2 debería supeditarse a una evaluación de la necesidad de esta transmisión, con fines legítimos que deberían precisarse debidamente con antelación.

49.

El SEPD desea expresar su respaldo a las iniciativas destinadas a mejorar las condiciones de la asistencia sanitaria transfronteriza. Le inquieta, sin embargo, el hecho de que las iniciativas en este ámbito no siempre están bien coordinadas en lo tocante a la utilización de TIC, la protección de la intimidad y la seguridad, lo que obstaculiza la adopción de un planteamiento universal de protección de datos en el ámbito de la asistencia sanitaria.

50.

El SEPD celebra que en la presente propuesta se haga referencia a la protección de la intimidad. Ahora bien, se requiere una serie de modificaciones, como se explica en la sección III del presente dictamen, para establecer requisitos claros tanto para el Estado miembro de tratamiento como para el de afiliación, así como para abordar adecuadamente la dimensión de protección de datos de la asistencia sanitaria transfronteriza: