29.7.2019   

ES

Diario Oficial de la Unión Europea

L 200/35


DECISIÓN DE EJECUCIÓN (UE) 2019/1269 DE LA COMISIÓN

de 26 de julio de 2019

que modifica la Decisión de Ejecución 2014/287/UE, por la que se fijan los criterios para la creación y evaluación de las redes europeas de referencia y de sus miembros, y se facilita el intercambio de información y conocimientos en materia de creación y evaluación de tales redes

(Texto pertinente a efectos del EEE)

LA COMISIÓN EUROPEA,

Visto el Tratado de Funcionamiento de la Unión Europea,

Vista la Directiva 2011/24/UE del Parlamento Europeo y del Consejo, de 9 de marzo de 2011, relativa a la aplicación de los derechos de los pacientes en la asistencia sanitaria transfronteriza (1), y en particular su artículo 12, apartado 4, letras b) y c),

Considerando lo siguiente:

(1)

En la Decisión de Ejecución 2014/287/UE de la Comisión (2) se fijan los criterios para la creación y evaluación de las redes europeas de referencia y de sus miembros, y se facilita el intercambio de información y conocimientos especializados en materia de creación y evaluación de tales redes. En el artículo 6 de dicha Decisión se invita a los Estados miembros a crear un Consejo de Estados miembros con el fin de decidir si aprueba o no las propuestas de redes, su composición y su disolución. Los Estados miembros crearon el Consejo de Estados miembros, que aprobó posteriormente veintitrés redes europeas de referencia (RER) en diciembre de 2016 y una en febrero de 2017. Todas las redes iniciaron sus actividades en 2017.

(2)

Para aumentar la eficiencia de las redes europeas de referencia, el Consejo de Estados miembros debe convertirse en el foro de intercambio de información y conocimientos especializados, con el fin de dirigir el desarrollo de las RER, orientar a las redes y a los Estados miembros y asesorar a la Comisión sobre asuntos relacionados con la creación de las redes. Para promover el intercambio de experiencias y facilitar un proceso coherente con otros intercambios transfronterizos de datos sanitarios, el Consejo debe prever una estrecha cooperación con la red de sanidad electrónica para desarrollar, siempre que sea posible, enfoques comunes, estructuras de datos y directrices que faciliten un acceso transparente a distintos servicios y racionalicen las normas respecto a los prestadores de asistencia sanitaria. El Consejo también debe promover el debate con otros foros pertinentes de la UE (como el Grupo director sobre promoción de la salud, la prevención de enfermedades y la gestión de las enfermedades no transmisibles) en ámbitos de interés común.

(3)

La experiencia actual de las 24 RER existentes ha mostrado que, para garantizar un funcionamiento eficaz de cada red, sus miembros deben cooperar estrechamente en el desempeño de sus tareas, por ejemplo intercambiando datos sanitarios sobre diagnóstico y tratamiento de los pacientes de forma eficiente y segura, contribuyendo a actividades de investigación científica y al desarrollo de directrices médicas. Una estrecha cooperación requiere confianza mutua entre los miembros de cada red y el reconocimiento mutuo, en particular, de sus conocimientos especializados y su competencia, de la calidad de su atención clínica y de sus recursos humanos, estructurales y de equipamiento específicos, como se establece en el punto 2 del anexo II de la Decisión Delegada 2014/286/UE de la Comisión (3).

(4)

La confianza y el reconocimiento mutuos por pares son igual de importantes cuando los prestadores de asistencia sanitaria desean incorporarse a una red ya existente, ya que garantizan las condiciones previas adecuadas para la cooperación futura dentro de ella. Por consiguiente, un dictamen favorable sobre la solicitud de admisión por parte del Consejo de Dirección de la Red en la que el prestador de asistencia sanitaria desea incorporarse tras una revisión por pares realizada por la red, sobre la base de los criterios y las condiciones establecidos en el punto 2 del anexo II de la Decisión Delegada 2014/286/UE, debe acompañar dicha solicitud cuando sea valorada por un organismo de valoración independiente nombrado por la Comisión. Para que el prestador de asistencia sanitaria pueda expresar su opinión sobre el dictamen del Consejo de Dirección de la Red, debe permitirse al prestador de asistencia sanitaria que presente sus observaciones sobre el proyecto de dictamen en un plazo de un mes a partir de la fecha de recepción de dicho dictamen.

(5)

Deben establecerse plazos razonables para el Consejo de Dirección de la Red por lo que se refiere al proyecto de dictamen y al dictamen final. Por tanto, el plazo para el dictamen final debe fijarse, en principio, en cuatro meses. No obstante, en caso de que el proveedor de asistencia sanitaria presente observaciones sobre el proyecto de dictamen del Consejo de Dirección de la Red, el plazo de cuatro meses para emitir el dictamen final debe prorrogarse un mes para que el Consejo de Dirección de la Red pueda tener en cuenta las observaciones recibidas. Por razones de seguridad jurídica, si el Consejo de Dirección de la Red no envía el proyecto de dictamen o no emite el dictamen final dentro de los plazos establecidos, el dictamen final debe considerarse favorable.

(6)

En caso de que una solicitud de admisión reciba un dictamen desfavorable del Consejo de Dirección de la Red en la que el prestador de asistencia sanitaria desea incorporarse, al mismo tiempo que ha recibido el apoyo, en forma de declaración escrita, del Estado miembro de establecimiento, este debe tener la posibilidad de solicitar al Consejo de Estados miembros que decida, sobre la base de los criterios y las condiciones establecidos en el punto 2 del anexo II de la Decisión Delegada 2014/286/UE, si, a pesar de ello, se puede presentar la solicitud a la Comisión.

(7)

Con el fin de ayudar a los profesionales de la salud a través de las RER a que colaboren a distancia en el diagnóstico y el tratamiento de pacientes con enfermedades complejas raras o de baja prevalencia más allá de las fronteras nacionales y faciliten la investigación científica de tales enfermedades o afecciones, la Comisión ha desarrollado un Sistema de Gestión Clínica de Pacientes («CPMS», por sus siglas en inglés) para las RER, con el objetivo de facilitar la creación y el funcionamiento de las RER, conforme a lo dispuesto en el artículo 12, apartado 4, letra c), de la Directiva 2011/24/UE.

(8)

El CPMS debe proporcionar una infraestructura común para que los profesionales de la salud colaboren en el marco de las RER en el diagnóstico y el tratamiento de pacientes con enfermedades o afecciones complejas raras o de baja prevalencia. Debe proporcionar los medios a través de los cuales tiene lugar el intercambio de información y de conocimientos especializados sobre estas enfermedades, en el marco de las RER, de la forma más eficaz posible.

(9)

Por tanto, el CPMS debe contar con una infraestructura informática segura que ofrezca una interfaz común en la que los prestadores de asistencia sanitaria que sean miembros de las RER, los socios afiliados (4) o los usuarios invitados («los prestadores de asistencia sanitaria autorizados a acceder al CPMS») puedan intercambiar, en el marco de las redes, información sobre los pacientes afectados, con el objetivo de hacer más fácil su acceso a una asistencia sanitaria segura y de alta calidad y promover una cooperación eficaz en materia de asistencia sanitaria entre los Estados miembros, facilitando el intercambio de la información pertinente.

(10)

A fin de garantizar el cumplimiento de las normas de protección de datos y garantizar el uso de un entorno eficaz y seguro para el intercambio electrónico de datos personales de pacientes entre prestadores de asistencia sanitaria en el marco de las RER para los fines a que se refiere el artículo 12, apartado 2, de la Directiva 2011/24/UE, dicho intercambio debe tener lugar únicamente sobre la base del consentimiento expreso del paciente y solo a través del CPMS. Los prestadores de asistencia sanitaria son responsables de garantizar la seguridad de los datos que tratan fuera del CPMS con el objetivo de introducirlos en el CPMS, así como de los datos que no se introducen en el CPMS pero son tratados por ellos en relación con el CPMS (como los formularios de consentimiento), o de los datos que son descargados por ellos a partir del CPMS y son tratados fuera del CPMS.

(11)

El CPMS trata datos sensibles relativos a pacientes que padecen enfermedades complejas raras o de baja prevalencia. Estos datos se tratan únicamente con el fin de facilitar el diagnóstico y el tratamiento de los pacientes, para introducirlos en registros u otras bases de datos pertinentes sobre enfermedades complejas raras o de baja prevalencia, que sirven para fines de investigación científica, clínica o de política sanitaria y para ponerse en contacto con posibles participantes en iniciativas de investigación científica. Los prestadores de asistencia sanitaria en el marco de las RER deben poder tratar los datos de los pacientes en el CPMS una vez que hayan obtenido el consentimiento específico, libre e informado de los pacientes sobre tres usos posibles de sus datos (valoración médica del expediente para asesoramiento sobre diagnóstico y tratamiento, introducción de datos en registros de enfermedades raras o en otras bases de datos respecto a enfermedades complejas raras o de baja prevalencia y posibilidad de que se contacte con los pacientes para que participen en una iniciativa de investigación científica). El consentimiento debe obtenerse por separado para cada uno de estos tres fines. La presente Decisión debe establecer los objetivos y las salvaguardias para el tratamiento de dichos datos en el CPMS. En particular, la Comisión debe establecer las características generales del CPMS en relación con cada red, proporcionar y mantener la infraestructura informática segura necesaria para tal fin y garantizar su funcionamiento y seguridad desde el punto de vista técnico. En consonancia con el principio de minimización de datos, la Comisión debe tratar únicamente los datos personales estrictamente necesarios para garantizar la administración del CPMS en relación con cada red y, por tanto, no debe acceder a los datos sanitarios de los pacientes que se intercambien en las redes europeas de referencia, a menos que sea estrictamente necesario para cumplir sus obligaciones como corresponsable del tratamiento.

(12)

La presente Decisión de Ejecución solo debe aplicarse al tratamiento de datos personales que tenga lugar en el CPMS, en particular los datos de contacto y los datos sanitarios, en el marco de las RER.

(13)

El artículo 26 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo (5) y el artículo 28 del Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo (6) obligan a los corresponsables de las operaciones de tratamiento de datos personales a determinar, de forma transparente, sus responsabilidades respectivas en el cumplimiento de las obligaciones establecidas en dichos Reglamentos. También prevén la posibilidad de que tales responsabilidades sean determinadas por el Derecho de la Unión o del Estado miembro a que estén sujetos los responsables del tratamiento.

(14)

Procede, por tanto, modificar la Decisión de Ejecución 2014/287/UE en consecuencia.

(15)

El Supervisor Europeo de Protección de Datos, al que se consultó de conformidad con el artículo 42, apartado 1, del Reglamento (UE) 2018/1725, emitió su dictamen el 13 de septiembre de 2018.

(16)

Las medidas previstas en la presente Decisión se ajustan al dictamen del Comité creado en virtud del artículo 16 de la Directiva 2011/24/UE.

HA ADOPTADO LA PRESENTE DECISIÓN:

Artículo 1

La Decisión de Ejecución 2014/287/UE se modifica como sigue:

1)

Se inserta el artículo 1 bis siguiente:

«Artículo 1 bis

Definiciones

A los efectos de la presente Decisión, se entenderá por:

a)   “coordinador de redes europeas de referencia”: la persona designada como coordinadora de la red por el miembro de una red europea de referencia que haya sido elegido miembro coordinador, tal como se indica en el considerando 3 y en el artículo 4 de la Decisión Delegada 2014/286/UE;

b)   “Consejo de Dirección de la Red”: el organismo responsable de la gobernanza de la red, compuesto por representantes de cada uno de los miembros de la red, tal como se indica en el considerando 3 y en el anexo I, punto 1, letra b), inciso ii), de la Decisión Delegada 2014/286/UE;

c)   “socio afiliado” (centro nacional asociado, centro nacional de colaboración y plataforma nacional de coordinación): al que se hace referencia en el considerando 14 y en el anexo I, punto 7, letra c), de la Decisión Delegada 2014/286/UE y en la Declaración del Consejo de Estados miembros de 10 de octubre de 2017;

d)   “usuario invitado”: un prestador de asistencia sanitaria que no es miembro ni socio afiliado y que tiene derecho, tras la aprobación del coordinador de la red europea de referencia competente, durante un plazo limitado, a inscribir pacientes en el CPMS y a participar en el panel relacionado con dicho paciente o a participar en un panel específico como experto.».

2)

En el artículo 8 se insertan los apartados 4, 5 y 6 siguientes:

«4.   Si la Comisión llega a la conclusión de que se cumplen los requisitos establecidos en el artículo 8, apartados 2 y 3, el Consejo de Dirección de la Red en la que el prestador de asistencia sanitaria desea integrarse emitirá un dictamen sobre la solicitud de admisión, tras una revisión por pares realizada por la red sobre la base de los criterios y las condiciones establecidos en el punto 2 del anexo II de la Decisión Delegada 2014/286/UE.

5.   Antes de emitir el dictamen mencionado en el apartado 4 y en un plazo de tres meses a partir del momento en que la Comisión haya confirmado que se cumplen los requisitos establecidos en el artículo 8, apartados 2 y 3, el Consejo de Dirección de la Red enviará un proyecto de dictamen al prestador de asistencia sanitaria solicitante, que podrá enviar observaciones a la red en un plazo de un mes a partir de la recepción del proyecto de dictamen. En caso de que el Consejo de Dirección de la Red no reciba observaciones sobre dicho proyecto, emitirá un dictamen final sobre la solicitud de admisión en un plazo de cuatro meses a partir del momento en que la Comisión haya confirmado que se cumplen los requisitos establecidos en el artículo 8, apartados 2 y 3.

En caso de que el Consejo de Dirección de la Red reciba observaciones, el plazo para la emisión del dictamen final se ampliará a cinco meses a partir del momento en que la Comisión haya confirmado que se cumplen los requisitos establecidos en el artículo 8, apartados 2 y 3. Al recibir las observaciones, el Consejo de Dirección de la Red modificará su dictamen y explicará si las observaciones justifican un cambio en su valoración. Si el Consejo de Dirección de la Red no envía el proyecto de dictamen o no emite su dictamen final dentro de los plazos indicados anteriormente, se considerará que el dictamen final es favorable.

6.   En caso de dictamen desfavorable del Consejo de Dirección de la Red, a petición del Estado miembro de establecimiento, el Consejo de Estados miembros podrá emitir un dictamen favorable tras volver a valorar la solicitud sobre la base de los criterios y las condiciones establecidos en el punto 2 del anexo II de la Decisión Delegada 2014/286/UE. Dicho dictamen favorable deberá acompañar a la solicitud.».

3)

En el artículo 9, el apartado 1 se sustituye por el texto siguiente:

«1.   Si se emite un dictamen favorable de conformidad con el artículo 8, apartados 5 o 6, la Comisión nombrará a un organismo para que valore la solicitud de admisión a la que acompaña.».

4)

En el capítulo IV, se inserta el artículo 15 bis siguiente:

«Artículo 15 bis

Intercambio de información y de conocimientos especializados entre los Estados miembros

Se invita a los Estados miembros a intercambiar información y conocimientos especializados en el marco del Consejo de Estados miembros para dirigir el desarrollo de las RER, orientar a las redes y a los Estados miembros y asesorar a la Comisión sobre asuntos relacionados con la creación de las redes.».

5)

Se inserta el artículo 16 bis siguiente:

«Artículo 16 bis

Sistema de Gestión Clínica de Pacientes

1.   Se crea un Sistema de Gestión Clínica de Pacientes (“CPMS”) para el intercambio electrónico de datos personales de pacientes entre prestadores de asistencia sanitaria autorizados a acceder al CPMS en el marco de las RER.

2.   El CPMS consistirá en una herramienta informática segura facilitada por la Comisión para la puesta en común y el alojamiento de datos de los pacientes y para la comunicación oportuna e inmediata de casos de pacientes en el marco de las RER.

3.   Incluirá, entre otras cosas, un visualizador de imágenes médicas, capacidades para la notificación de datos y conjuntos de datos personalizados, e integrará garantías adecuadas en materia de protección de datos de conformidad con el anexo I.».

6)

Se inserta el artículo 16 ter siguiente:

«Artículo 16 ter

Datos personales tratados en el CPMS

1.   Los datos personales de pacientes que consistan en el nombre, el sexo, la fecha y el lugar de nacimiento y otros datos personales necesarios para el diagnóstico y el tratamiento serán intercambiados y tratados en las RER exclusivamente a través del CPMS. El tratamiento de los datos tendrá como únicos fines facilitar la colaboración en la valoración médica del expediente del paciente para su diagnóstico y tratamiento, introducir los datos en registros y otras bases de datos sobre enfermedades complejas raras o de baja prevalencia que sirvan para fines de investigación científica, clínica o de política sanitaria y ponerse en contacto con posibles participantes en iniciativas de investigación científica. Se basará en el consentimiento obtenido de conformidad con el anexo IV.

2.   La Comisión será considerada responsable del tratamiento de datos personales en relación con la gestión de los derechos de acceso y tratará estos datos sobre la base del consentimiento expreso de las personas identificadas por los prestadores de asistencia sanitaria como usuarios y autorizadas por las correspondientes RER, en la medida en que sea necesario para garantizar que:

a)

se concedan a estas personas derechos de acceso;

b)

estas personas puedan ejercer sus derechos y cumplir sus obligaciones, y

c)

la Comisión pueda cumplir sus obligaciones como responsable del tratamiento.

3.   La Comisión no accederá a los datos personales de los pacientes, a menos que sea estrictamente necesario para cumplir sus obligaciones como corresponsable del tratamiento.

4.   Solo podrán acceder a los datos personales de los pacientes en el CPMS las personas autorizadas por RER que pertenezcan a las categorías de personal y de otras personas afiliadas a los prestadores de asistencia autorizados a acceder al CPMS.

5.   El nombre del paciente, así como el lugar y la fecha exacta de nacimiento estarán cifrados y seudonimizados en el CPMS. Los demás datos personales necesarios para el diagnóstico y el tratamiento estarán seudonimizados. Los usuarios del CPMS procedentes de otros prestadores de asistencia sanitaria tendrán a su disposición únicamente datos seudonimizados para los debates en los paneles y la valoración de los expedientes de los pacientes.

6.   La Comisión garantizará la seguridad de la transferencia y el alojamiento de los datos personales.

7.   Los prestadores de asistencia sanitaria autorizados a acceder al CPMS eliminarán los datos que dejen de ser necesarios. Los datos personales de los pacientes solo se conservarán durante el tiempo necesario en interés de la atención al paciente o del diagnóstico de enfermedades, o para garantizar la atención, en el marco de una red europea de referencia, a los miembros de la familia de los pacientes. A más tardar cada 15 años, cada prestador de asistencia sanitaria autorizado a acceder al CPMS sopesará la necesidad de conservar los datos de los pacientes de los que sea responsable.

8.   La eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento de los datos personales en el CPMS será sometida a ensayo, valorada y evaluada con regularidad por la Comisión y por los prestadores de asistencia sanitaria autorizados a acceder al CPMS.».

7)

Se inserta el artículo 16 quater siguiente:

«Artículo 16 quater

Corresponsabilidad de los datos personales de los pacientes tratados a través del CPMS

1.   Cada uno de los prestadores de asistencia sanitaria que tratan datos de los pacientes en el CPMS y la Comisión serán corresponsables del tratamiento de dichos datos en el CPMS.

2.   A los efectos del apartado 1, se atribuirán responsabilidades entre los corresponsables del tratamiento de conformidad con el anexo III.

3.   Cada uno de los corresponsables del tratamiento cumplirá la legislación de la Unión y nacional pertinente a que esté sujeto el respectivo responsable del tratamiento.».

8)

Se añade el anexo III, cuyo texto figura en el anexo I de la presente Decisión.

9)

Se añade el anexo IV, cuyo texto figura en el anexo II de la presente Decisión.

Artículo 2

La presente Decisión entrará en vigor a los veinte días de su publicación en el Diario Oficial de la Unión Europea.

Hecho en Bruselas, el 26 de julio de 2019.

Por la Comisión

El Presidente

Jean-Claude JUNCKER


(1)  DO L 88 de 4.4.2011, p. 45.

(2)  Decisión de Ejecución 2014/287/UE de la Comisión, de 10 de marzo de 2014, por la que se fijan los criterios para la creación y evaluación de las redes europeas de referencia y de sus miembros, y se facilita el intercambio de información y conocimientos en materia de creación y evaluación de tales redes (DO L 147 de 17.5.2014, p. 79).

(3)  Decisión Delegada 2014/286/UE de la Comisión, de 10 de marzo de 2014, por la que se establecen los criterios y las condiciones que las redes europeas de referencia y los prestadores de asistencia sanitaria que deseen ingresar en las redes europeas de referencia deben cumplir (DO L 147 de 17.5.2014, p. 71).

(4)  Como se indica en el considerando 14 y en el anexo I, punto 7, letra c), de la Decisión Delegada 2014/286/UE y en la Declaración del Consejo de Estados miembros de 10 de octubre de 2017, disponible en la siguiente dirección: https://ec.europa.eu/health/sites/health/files/ern/docs/boms_affiliated_partners_en.pdf

(5)  Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos (DO L 119 de 4.5.2016, p. 1).

(6)  Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo, de 23 de octubre de 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión, y a la libre circulación de esos datos, y por el que se derogan el Reglamento (CE) n.o 45/2001 y la Decisión n.o 1247/2002/CE (DO L 295 de 21.11.2018, p. 39).


ANEXO I

«ANEXO III

ASIGNACIÓN DE RESPONSABILIDADES ENTRE CORRESPONSABLES DEL TRATAMIENTO

1.

La Comisión será responsable de:

i)

crear, hacer funcionar y administrar el CPMS;

ii)

proporcionar, en caso necesario, los medios técnicos a los prestadores de asistencia sanitaria para que los pacientes puedan ejercer sus derechos a través del CPMS de conformidad con el Reglamento (UE) 2018/1725, y responder y atender las solicitudes de los interesados cuando así lo requiera la legislación aplicable;

iii)

garantizar que el CPMS cumpla los requisitos aplicables a los sistemas de comunicación e información de la Comisión (1);

iv)

definir y aplicar los medios técnicos que permitan a los pacientes ejercer sus derechos de conformidad con el Reglamento (UE) 2018/1725;

v)

comunicar a los prestadores de asistencia sanitaria cualquier violación de la seguridad de los datos personales en el marco del CPMS;

vi)

exportar conjuntos de datos personales a partir del CPMS en caso de que cambie el encargado del tratamiento de datos;

vii)

determinar las categorías de personal y de otras personas a las que puede concederse el acceso al CPMS, que estén afiliados a los prestadores de asistencia sanitaria autorizados a acceder al CPMS;

viii)

garantizar que el nombre y el lugar de nacimiento de los pacientes (a menos que sea necesario para el diagnóstico y el tratamiento) y la fecha exacta de nacimiento estén cifrados y seudonimizados y que otros datos personales necesarios para el diagnóstico y el tratamiento estén seudonimizados en el CPMS;

ix)

establecer las garantías adecuadas para velar por la seguridad y la confidencialidad de los datos personales de los pacientes que sean tratados a través del CPMS.

2.

Los prestadores de asistencia sanitaria autorizados a acceder al CPMS serán responsables de:

i)

seleccionar a los pacientes cuyos datos personales son tratados a través del CPMS;

ii)

recoger y mantener de manera el consentimiento o los consentimientos expresos, informados, libres y específicos de los pacientes cuyos datos sean tratados a través del CPMS de conformidad con los requisitos mínimos aplicables al formulario de consentimiento especificado en el anexo IV;

iii)

actuar como punto de contacto para sus pacientes, incluso cuando ejercen sus derechos, respondiendo a las solicitudes de los pacientes o de sus representantes y velar por que los pacientes cuyos datos sean tratados a través del CPMS puedan ejercer sus derechos de conformidad con la legislación en materia de protección de datos, utilizando, cuando sea necesario, los medios técnicos facilitados por la Comisión de conformidad con el punto 1, inciso ii);

iv)

revisar, como mínimo cada quince años, la necesidad de tratar los datos personales específicos de los pacientes a través del CPMS;

v)

garantizar la seguridad y la confidencialidad de cualquier tratamiento de los datos personales de los pacientes fuera del CPMS que realice el proveedor de asistencia sanitaria, en caso de que dichos datos sean tratados a efectos del tratamiento de datos personales de los pacientes a través del CPMS;

vi)

comunicar, a la Comisión, a las autoridades de control competentes y, en su caso, a los pacientes, cualquier violación de la seguridad de los datos personales respecto a los datos de los pacientes tratados a través del CPMS, de conformidad con los artículos 33 y 34 del Reglamento (UE) 2016/679 o a petición de la Comisión;

vii)

determinar, en cumplimiento de los criterios de acceso contemplados en el punto 1, inciso vii), del presente anexo, el personal y otras personas afiliadas a ellos a los que se les concederá acceso a los datos personales de los pacientes en el marco del CPMS y comunicarlo a la Comisión;

viii)

asegurarse de que su personal y otras personas afiliadas a ellos, que tengan acceso a los datos personales de los pacientes en el marco del CPMS, reciben la formación adecuada para garantizar que lleven a cabo sus tareas de conformidad con las normas aplicables a la protección de datos personales, y de que están sujetos a la obligación de secreto profesional de conformidad con el artículo 9, apartado 3, del Reglamento (UE) 2016/679.

».

(1)  Decisión (UE, Euratom) 2017/46 de la Comisión, de 10 de enero de 2017, sobre la seguridad de los sistemas de información y comunicación de la Comisión Europea (DO L 6 de 11.1.2017, p. 40), y Decisión de la Comisión (UE, Euratom), de 13 de diciembre de 2017, por la que se establecen las normas de desarrollo de los artículos 3, 5, 7, 8, 9, 10, 11, 12, 14 y 15 de la Decisión 2017/46, sobre la seguridad de los sistemas de información y comunicación de la Comisión [C(2017) 8841 final].


ANEXO II

«ANEXO IV

Requisitos mínimos aplicables al formulario de consentimiento que deben facilitar los prestadores de asistencia sanitaria autorizados a acceder al CPMS

1.

El formulario de consentimiento describirá la base jurídica y la licitud del tratamiento, el concepto y la finalidad de las redes europeas de referencia (RER) establecidas por la Directiva 2011/24/UE, relativa a la aplicación de los derechos de los pacientes en la asistencia sanitaria transfronteriza. Informará de las operaciones de tratamiento específicas y de los derechos respectivos del interesado de conformidad con la legislación aplicable en materia de protección de datos. Explicará que las redes están constituidas por miembros que son proveedores de asistencia sanitaria altamente especializados, a fin de permitir que los profesionales de la salud puedan trabajar juntos para ayudar a los pacientes con enfermedades o afecciones complejas raras o de baja prevalencia que requieran una asistencia sanitaria altamente especializada.

2.

El formulario de consentimiento pedirá el consentimiento expreso del paciente para compartir sus datos personales con una o varias RER, con el único fin de mejorar su acceso al diagnóstico y al tratamiento y la prestación de una asistencia sanitaria de alta calidad. A tal fin, explicará que:

a)

si se da el consentimiento, los datos personales de los pacientes serán tratados por prestadores de asistencia sanitaria autorizados a acceder al CPMS, respetando las siguientes condiciones:

i)

el nombre del paciente, así como el lugar y la fecha exacta de nacimiento no se incluirán en los datos compartidos; los datos de identificación del paciente serán sustituidos por un identificador único que no permitirá la identificación del paciente a nadie que no sea el prestador de asistencia sanitaria (seudonimización);

ii)

solo se compartirán los datos que sean pertinentes para el diagnóstico y el tratamiento, entre ellos la zona de nacimiento y la zona de residencia, el sexo, el año y el mes de nacimiento, imágenes médicas, informes de laboratorio y datos sobre muestras biológicas; también podrán incluirse cartas e informes de otros profesionales de la salud que hayan atendido al paciente en el pasado;

iii)

los datos del paciente se compartirán a través del Sistema de Gestión Clínica de Pacientes (CPMS), un sistema electrónico de información seguro;

iv)

tendrán acceso a los datos del paciente únicamente los profesionales de la salud y otras personas afiliadas a tales prestadores de asistencia sanitaria sujetos a la obligación de secreto profesional que tengan derecho a acceder a los datos de los pacientes en las redes;

v)

los profesionales de la salud y otras personas afiliadas a tales prestadores de asistencia sanitaria autorizados a acceder a los datos de los pacientes podrán realizar consultas en el CPMS y crear informes para identificar casos similares de pacientes;

b)

si no se da el consentimiento, ello no afectará en modo alguno a la atención que el paciente reciba del prestador de asistencia sanitaria correspondiente.

3.

El formulario de consentimiento también podrá requerir el consentimiento adicional del paciente para que sus datos se introduzcan en registros u otras bases de datos sobre enfermedades complejas raras o de baja prevalencia que se destinen a la investigación científica, o con fines clínicos o de política sanitaria. Si se solicita el consentimiento para este fin, el formulario de consentimiento describirá el concepto y la finalidad de los registros o bases de datos sobre enfermedades raras y explicará lo siguiente:

a)

si se da el consentimiento, los datos personales del paciente serán tratados por prestadores de asistencia sanitaria autorizados a acceder al CPMS, respetando las siguientes condiciones:

i)

solo se compartirán los datos pertinentes relacionados con la situación médica del paciente;

ii)

los profesionales de la salud y otras personas afiliadas a tales prestadores de asistencia sanitaria autorizados a acceder a los datos de los pacientes podrán realizar consultas en el CPMS y crear informes para identificar casos similares de pacientes;

b)

si no se da el consentimiento, ello no afectará en modo alguno a la atención que dé al paciente el correspondiente prestador de asistencia sanitaria ni al asesoramiento sobre diagnóstico y tratamiento que facilite la red, a petición del paciente.

4.

El formulario de consentimiento también podrá requerir el consentimiento adicional del paciente para ser contactado por un miembro de la red que considere que el paciente podría ser adecuado para una iniciativa de investigación científica, un proyecto de investigación científica específico o partes de un proyecto de investigación científica. Si se solicita el consentimiento para este fin, el formulario de consentimiento explicará que, en esta fase, el consentimiento a ser contactado con fines de investigación científica no significa dar el consentimiento para que los datos del paciente sean utilizados para una iniciativa específica de investigación científica, ni significa que el paciente vaya a ser contactado, en ningún caso, en relación con un proyecto de investigación científica específico, o que el paciente vaya a participar en tal proyecto, y que:

a)

si se da el consentimiento, los datos personales del paciente serán tratados por prestadores de asistencia sanitaria autorizados a acceder al CPMS, respetando las siguientes condiciones:

i)

los profesionales sanitarios y otras personas afiliadas a tales prestadores de asistencia sanitaria que tienen derecho a acceder a los datos de los pacientes podrán realizar consultas en el CPMS y crear informes para encontrar pacientes que sean adecuados para la investigación científica;

ii)

si se constata que la enfermedad o afección del paciente es pertinente para un proyecto de investigación científica específico, el paciente podrá ser contactado para dicho proyecto de investigación científica específico, a fin de obtener el consentimiento del paciente para que sus datos puedan utilizarse para dicho proyecto de investigación científica;

b)

si no se da el consentimiento, ello no afectará en modo alguno a la atención que dé al paciente el correspondiente prestador de asistencia sanitaria ni al asesoramiento sobre diagnóstico y tratamiento que facilite la red, a petición del paciente.

5.

El formulario de consentimiento explicará los derechos del paciente por lo que se refiere a su consentimiento o sus consentimientos respectivos a compartir datos personales y, en particular, se informará de que el paciente:

a)

tiene derecho a dar o no dar cualquiera de los consentimientos y ello no afectará a la atención que se le preste;

b)

puede retirar el consentimiento que haya dado anteriormente;

c)

tiene derecho a saber qué datos se comparten en una red y a acceder a los datos que contenga, así como a solicitar la corrección de cualquier error;

d)

puede solicitar el bloqueo o la supresión de sus datos personales y tiene derecho a la portabilidad de los datos.

6.

El formulario de consentimiento informará al paciente de que el prestador de asistencia sanitaria conservará los datos personales únicamente durante el tiempo que sea necesario para los fines para los que el paciente ha dado su consentimiento, y de que sopesará, como mínimo una vez cada quince años, si es necesario almacenar los datos personales del paciente en el CPMS.

7.

El formulario de consentimiento informará al paciente sobre la identidad y los datos de contacto de los responsables del tratamiento, especificando claramente que el punto de contacto para ejercer los derechos del paciente es el prestador de asistencia sanitaria concreto autorizado a acceder al CPMS, sobre los datos de contacto de los responsables de protección de datos y, cuando proceda, sobre las medidas correctoras disponibles en relación con la protección de datos, y facilitará los datos de contacto de la autoridad nacional de protección de datos.

8.

El formulario de consentimiento registrará por separado el consentimiento individual correspondiente a cada una de las tres formas distintas de intercambio de datos, de forma específica, expresa e inequívoca:

a)

el consentimiento debe demostrarse mediante una clara acción afirmativa, por ejemplo marcando una casilla y firmando el formulario;

b)

deberán figurar las dos opciones (dar y no dar el consentimiento).

».