29.11.2021   

ES

Diario Oficial de la Unión Europea

L 426/9


REGLAMENTO DE EJECUCIÓN (UE) 2021/2078 DE LA COMISIÓN

de 26 de noviembre de 2021

por el que se establecen normas de desarrollo del Reglamento (UE) 2017/745 del Parlamento Europeo y del Consejo en lo que se refiere a la Base de Datos Europea sobre Productos Sanitarios (Eudamed)

LA COMISIÓN EUROPEA,

Visto el Tratado de Funcionamiento de la Unión Europea,

Visto el Reglamento (UE) 2017/745 del Parlamento Europeo y del Consejo, de 5 de abril de 2017, sobre los productos sanitarios, por el que se modifican la Directiva 2001/83/CE, el Reglamento (CE) n.o 178/2002 y el Reglamento (CE) n.o 1223/2009 y por el que se derogan las Directivas 90/385/CEE y 93/42/CEE del Consejo (1), y en particular su artículo 33, apartado 8,

Considerando lo siguiente:

(1)

El Reglamento (UE) 2017/745 exige a la Comisión que establezca las disposiciones detalladas necesarias para la creación y el mantenimiento de la Base de Datos Europea sobre Productos Sanitarios (Eudamed).

(2)

Conforme al Reglamento (UE) 2017/746 del Parlamento Europeo y del Consejo (2), la Comisión debe crear, mantener y gestionar Eudamed con arreglo a las condiciones y disposiciones detalladas establecidas en el Reglamento (UE) 2017/745.

(3)

De conformidad con lo dispuesto en los Reglamentos (UE) 2017/745 y (UE) 2017/746, la Comisión, las autoridades competentes, las autoridades responsables de los organismos notificados, los organismos notificados, los fabricantes, los representantes autorizados, los importadores, las personas físicas o jurídicas contempladas en el artículo 22, apartado 1, del Reglamento (UE) 2017/745 (productores de sistemas o kits para procedimientos) y los promotores de investigaciones clínicas y estudios de funcionamiento deben tener acceso a la base de datos Eudamed y utilizarla a fin de cumplir sus obligaciones y llevar a cabo sus tareas con arreglo a dichos Reglamentos. Por consiguiente, es necesario ofrecer accesibilidad a Eudamed a través de un sitio web restringido. Además, Eudamed debe facilitar al público información adecuada sobre los productos introducidos en el mercado, los certificados correspondientes expedidos por los organismos notificados, los agentes económicos pertinentes y las investigaciones clínicas. Por tanto, también es necesario que Eudamed sea accesible a través de un sitio web público. Asimismo, para permitir el intercambio de datos entre Eudamed y las bases de datos nacionales, es necesario que esta sea accesible a través de servicios de intercambio de datos de máquina a máquina.

(4)

Por lo que se refiere a las personas físicas y jurídicas que necesitan acceder a Eudamed a través del sitio web restringido, es preciso especificar las condiciones y el procedimiento para conceder dicho acceso.

(5)

La Comisión ha establecido la Nomenclatura Europea de Productos Sanitarios (EMDN, por sus siglas en inglés) de conformidad con los Reglamentos (UE) 2017/745 y (UE) 2017/746. Por consiguiente, esta nomenclatura debe estar disponible en Eudamed de forma gratuita y utilizarse para facilitar información sobre los productos sanitarios incluidos en dicha base de datos.

(6)

A fin de garantizar que los usuarios de Eudamed reciban el apoyo necesario cuando utilicen la base de datos, la Comisión debe proporcionarles la asistencia técnica y administrativa oportuna sobre Eudamed.

(7)

Los usuarios autorizados deben poder cumplir sus obligaciones, incluso en caso de problemas técnicos o mal funcionamiento de Eudamed. Por lo tanto, es necesario especificar mecanismos alternativos para el intercambio de datos en tales situaciones y establecer normas de contingencia para esos mecanismos.

(8)

Las normas de seguridad informática establecidas en la Decisión (UE, Euratom) 2017/46 de la Comisión (3) se aplican a Eudamed. Para que Eudamed funcione de manera segura y esté protegida contra amenazas a la disponibilidad, la integridad y la confidencialidad de sus funciones y datos, deben establecerse normas de seguridad adicionales.

(9)

A fin de mitigar los riesgos y abordar el posible uso fraudulento de la base de datos, deben establecerse disposiciones específicas sobre actividades fraudulentas de los usuarios en Eudamed.

(10)

El Supervisor Europeo de Protección de Datos, a quien se consultó de conformidad con el artículo 42, apartado 1, del Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo (4), emitió su dictamen el 9 de julio de 2021.

(11)

Las medidas previstas en el presente Reglamento se ajustan al dictamen del Comité de Productos Sanitarios.

HA ADOPTADO EL PRESENTE REGLAMENTO:

Artículo 1

Definiciones

A los efectos del presente Reglamento, se entenderá por:

1)

«agente»: la Comisión, una autoridad competente, una autoridad responsable de los organismos notificados, un organismo notificado, un fabricante, un representante autorizado, un importador, un productor de sistemas o kits para procedimientos, o un promotor que se hayan registrado en Eudamed de conformidad con el artículo 3 del presente Reglamento a fin de cumplir sus obligaciones establecidas en los Reglamentos (UE) 2017/745 y (UE) 2017/746;

2)

«usuario autorizado»: una persona física a quien se ha concedido acceso a Eudamed a través del sitio web restringido para actuar en nombre de un agente;

3)

«administrador local de agentes»: un usuario autorizado que tiene derechos para gestionar determinada información sobre los datos del agente y para conceder acceso a Eudamed a través del sitio web restringido a otras personas físicas a fin de que actúen en nombre de dicho agente;

4)

«administrador local de usuarios»: un usuario autorizado que tiene derechos para conceder acceso a Eudamed a través del sitio web restringido a otras personas físicas a fin de que actúen en nombre de un agente;

5)

«mal funcionamiento»: un fallo significativo en el funcionamiento de Eudamed, incluido cualquier fallo causado por circunstancias imprevisibles o por fuerza mayor, que pueda afectar negativamente a la seguridad informática u obstaculizar la disponibilidad de cualquiera de las funcionalidades de los sistemas electrónicos de Eudamed mencionados en el artículo 33, apartado 2, del Reglamento (UE) 2017/745.

Artículo 2

Modos de acceso

1.   Eudamed será accesible para los usuarios autorizados a través de un sitio web restringido («el sitio web restringido») y para los usuarios no identificados a través de un sitio web público («el sitio web público»).

2.   Eudamed será accesible a través de servicios de intercambio de datos de máquina a máquina para las autoridades competentes contempladas en el artículo 101 del Reglamento (UE) 2017/745 y en el artículo 96 del Reglamento (UE) 2017/746 («autoridades competentes») y para los organismos notificados registrados en Eudamed de conformidad con el artículo 3 del presente Reglamento. La Comisión proporcionará a cada Estado miembro y a cada organismo notificado puntos de acceso al intercambio de datos que les permitirán utilizar dichos servicios de intercambio de datos previa solicitud.

Eudamed será accesible a través de servicios de intercambio de datos de máquina a máquina para agentes distintos de las autoridades competentes y los organismos notificados, siempre que el administrador local de agentes del agente en cuestión presente una solicitud para dicho acceso con arreglo al artículo 3, apartado 8, párrafo primero, del presente Reglamento. La Comisión aprobará dicha solicitud en las condiciones establecidas en el artículo 3, apartado 8, párrafo segundo.

Artículo 3

Registro en Eudamed y acceso a Eudamed a través del sitio web restringido

1.   Las personas físicas que deseen recibir acceso a Eudamed a través del sitio web restringido deberán crear una cuenta en el sitio web del servicio de autenticación de la Comisión.

2.   La Comisión registrará las autoridades competentes y las autoridades responsables de los organismos notificados y concederá acceso al sitio web restringido a una primera persona física que actúe en nombre de dichas autoridades. A tal fin, los Estados miembros proporcionarán a la Comisión información sobre sus autoridades competentes, las autoridades responsables de los organismos notificados y las personas físicas que vayan a ser los primeros usuarios autorizados de dichas autoridades.

3.   La Comisión registrará los organismos notificados en Eudamed con arreglo a la información que figure en la base de datos de organismos notificados creada y gestionada por ella (NANDO).

En el caso de los agentes que sean organismos notificados y que deseen recibir acceso a Eudamed a través del sitio web restringido, la primera persona física que actúe en su nombre deberá presentar una solicitud de acceso a través del sitio web restringido. La autoridad responsable del organismo notificado aprobará la solicitud.

4.   Para registrar en Eudamed otras entidades distintas de las mencionadas en los apartados 2 y 3, una persona física que actúe en nombre del posible agente deberá presentar una solicitud de registro de un agente a través del sitio web restringido. La solicitud de registro de un agente incluirá la declaración firmada sobre las responsabilidades en materia de seguridad de la información contemplada en el artículo 10, apartado 1. La autoridad nacional competente aprobará la solicitud de registro de un agente, excepto cuando esta se refiera al promotor de una investigación clínica o de un estudio de funcionamiento.

Cuando se haya aprobado la solicitud de registro de un agente o, en el caso de un promotor, cuando dicha solicitud se haya presentado, la persona física que haya presentado la solicitud contemplada en el párrafo primero recibirá automáticamente acceso al sitio web restringido y será el primer usuario autorizado, siempre que se cumplan las condiciones establecidas en el apartado 6.

A efectos del presente apartado, la autoridad nacional competente será la autoridad del lugar de establecimiento del posible agente. Por lo que se refiere a los fabricantes establecidos fuera de la Unión, la autoridad nacional competente será la autoridad responsable del representante autorizado mencionado en la solicitud de registro de un agente. Por lo que se refiere a los productores de sistemas o kits para procedimientos establecidos fuera de la Unión, la autoridad nacional competente será la autoridad del Estado miembro donde vaya a introducirse en el mercado el primer sistema o kit de procedimiento del productor en cuestión.

5.   Las personas físicas que deseen recibir acceso al sitio web restringido para actuar en nombre de un agente deberán presentar una solicitud de acceso a través del sitio web restringido. Esa solicitud de acceso será aprobada por un administrador local de agentes o un administrador local de usuarios del agente en cuestión.

6.   Las personas físicas que deseen ser usuarios autorizados aceptarán los derechos y las obligaciones de los usuarios que se establezcan en el documento contemplado en el artículo 10, apartado 1, letra a), y consultarán la declaración de privacidad a que se refiere la letra c) de dicho artículo.

7.   El primer usuario autorizado de un agente será considerado automáticamente el primer administrador local de agentes de dicho agente.

8.   A través del sitio web restringido, el administrador local de agentes podrá solicitar a la Comisión una conexión de máquina a máquina para realizar intercambios de datos entre la base de datos del agente y Eudamed.

La Comisión podrá aprobar la solicitud contemplada en el párrafo primero siempre que el administrador local de agentes haya confirmado que el agente cumple los requisitos de seguridad de la información para el intercambio de datos a los que se refiere el artículo 10, apartado 1.

Artículo 4

Nomenclatura

Los usuarios autorizados utilizarán los códigos de acceso abierto de la Nomenclatura Europea de Productos Sanitarios (EMDN) cuando proporcionen información sobre productos sanitarios en Eudamed.

La Comisión facilitará la EMDN de forma gratuita en Eudamed.

Artículo 5

Apoyo técnico y administrativo

1.   La Comisión establecerá un equipo de asistencia técnica de Eudamed, al que se accederá a través de un buzón funcional específico, para prestar la asistencia oportuna a los usuarios de Eudamed.

2.   La Comisión pondrá a disposición de los usuarios de Eudamed la documentación técnica pertinente sobre esta base de datos, las preguntas más frecuentes al respecto y la documentación de apoyo sobre los servicios de intercambio de datos de máquina a máquina.

Artículo 6

Propiedad y tratamiento de los datos personales

1.   La Comisión será la propietaria de Eudamed y tendrá plenos derechos de administración.

2.   El tratamiento de los datos personales en Eudamed se efectuará con arreglo a las obligaciones establecidas en los Reglamentos (UE) 2017/745 y (UE) 2017/746.

3.   Se tratarán las siguientes categorías de datos personales:

a)

nombres de agentes y usuarios autorizados;

b)

datos de contacto de agentes y usuarios autorizados;

c)

identificación y datos de contacto, así como datos sobre las cualificaciones profesionales, de otras personas físicas o jurídicas, que se registrarán en Eudamed a fin de cumplir las obligaciones establecidas en los Reglamentos (UE) 2017/745 y (UE) 2017/746.

Artículo 7

Normas de funcionamiento

1.   Se considerará que los datos se han presentado a Eudamed en la fecha y hora a las que se hayan registrado satisfactoriamente en dicha base de datos. La fecha y hora de presentación se determinarán según la hora central europea (CET) o la hora central europea de verano (CEST), según corresponda.

2.   Eudamed estará accesible en todo momento, excepto durante los períodos de inactividad necesarios y anunciados previamente debido a actividades de mantenimiento, como la publicación de nuevas versiones. La Comisión mostrará con antelación un aviso al respecto en el sitio web restringido o en el sitio web público, según proceda.

Artículo 8

Mal funcionamiento

1.   La Comisión adoptará todas las medidas necesarias para prevenir cualquier mal funcionamiento y detectarlo, sin demoras indebidas, cuando se produzca.

2.   Cuando un agente o un usuario autorizado sospeche la existencia de un mal funcionamiento, informará de ello inmediatamente a la Comisión.

3.   Cuando la Comisión detecte un mal funcionamiento, adoptará las medidas siguientes:

a)

mostrará sin demora un aviso al respecto («aviso de mal funcionamiento») en el sitio web restringido o en el sitio web público, según corresponda, a menos que la naturaleza del mal funcionamiento se lo impida, en cuyo caso, en la medida de lo posible, mostrará el aviso en el sitio web específico para productos sanitarios de la Comisión;

b)

suspenderá los plazos de presentación de datos a Eudamed establecidos en los Reglamentos (UE) 2017/745 y (UE) 2017/746, cuando el mal funcionamiento obstaculice la introducción de los datos pertinentes.

Cuando la Comisión suspenda los plazos de presentación de datos a Eudamed con arreglo al párrafo primero, letra b), el aviso de mal funcionamiento especificará la hora de publicación de dicho aviso y la duración probable de la suspensión.

4.   Además de la suspensión de los plazos contemplada en el apartado 3, párrafo primero, letra b), del presente artículo, cuando un mal funcionamiento obstaculice el cumplimiento de cualquiera de las obligaciones contempladas en el artículo 80, el artículo 87, apartado 1, el artículo 89, apartados 5, 7, 8 y 9, el artículo 95, apartados 2, 4 y 6, o el artículo 98, apartado 2, del Reglamento (UE) 2017/745, o bien en el artículo 76, el artículo 82, apartado 1, el artículo 84, apartados 5, 7, 8 y 9, el artículo 90, apartados 2, 4 y 6, o el artículo 93, apartado 2, del Reglamento (UE) 2017/746, se aplicará uno de los procedimientos siguientes:

a)

si el mal funcionamiento dura más de doce horas a contar desde la publicación del aviso al respecto, el agente proporcionará sin demora a la Comisión, a las autoridades nacionales competentes afectadas y al organismo notificado que haya expedido el certificado de conformidad contemplado en el artículo 56 del Reglamento (UE) 2017/745 o el artículo 51 del Reglamento (UE) 2017/746, según proceda, información general sobre los datos pertinentes y les indicará que la presentación de los datos está pendiente debido al mal funcionamiento;

b)

cuando el mal funcionamiento dure más de veinticuatro horas a contar desde la publicación del aviso al respecto, o cuando el mal funcionamiento dure menos de veinticuatro horas y así lo soliciten las autoridades nacionales competentes afectadas tras recibir la información contemplada en la letra a) del presente apartado, el agente proporcionará sin demora los datos pertinentes a dichas autoridades, en la forma que ellas prescriban.

5.   Además de la suspensión de los plazos contemplada en el apartado 3, párrafo primero, letra b), del presente artículo, en caso de un mal funcionamiento que obstaculice el cumplimiento de una de las obligaciones establecidas en el Reglamento (UE) 2017/745 o en el Reglamento (UE) 2017/746, distinta de las obligaciones contempladas en el apartado 4 del presente artículo, se aplicará el procedimiento siguiente:

a)

si el mal funcionamiento dura más de treinta y seis horas a contar desde la publicación del aviso al respecto, el agente proporcionará sin demora a la Comisión, a las autoridades nacionales competentes afectadas y al organismo notificado que haya expedido el certificado de conformidad contemplado en el artículo 56 del Reglamento (UE) 2017/745 o el artículo 51 del Reglamento (UE) 2017/746, según proceda, información general sobre esos datos y les indicará que la presentación de los datos está pendiente debido al mal funcionamiento;

b)

si el mal funcionamiento dura más de cinco días a contar desde la publicación del aviso al respecto, el agente informará de ello a las autoridades nacionales competentes afectadas y les proporcionará, si así lo solicitan, los datos pertinentes en la forma que ellas prescriban.

6.   Cuando la Comisión compruebe que el mal funcionamiento ha cesado, comunicará dicha información a las autoridades competentes. Además, la Comisión mostrará un aviso al respecto en el sitio web restringido, en el sitio web público, o en ambos, según proceda. Tanto la comunicación como el aviso indicarán la duración del mal funcionamiento y de la suspensión de los plazos contemplada en el apartado 3, letra b).

7.   Cuando la Comisión haya mostrado el aviso contemplado en el apartado 6, los agentes introducirán en Eudamed sin demora los datos que no pudieron presentar durante el mal funcionamiento.

Artículo 9

Sitios web con fines de ensayo y formación

1.   La Comisión pondrá a disposición de los agentes sitios web con fines de ensayo y formación en relación con el uso de Eudamed («sitios web para ensayo y formación»).

Los datos introducidos en los sitios web para ensayo y formación se considerarán ficticios y no se pondrán a disposición del público.

2.   Antes de utilizar por primera vez los servicios de intercambio de datos de máquina a máquina, cada agente hará al menos un intento satisfactorio de presentación de datos con ese método utilizando un sitio web para ensayo y formación.

3.   Siempre que la Comisión tenga intención de introducir algún cambio en los servicios de intercambio de datos de máquina a máquina de Eudamed, lo hará en primer lugar en los sitios web para ensayo y formación y los aplicará en dichos sitios web durante un período que definirá previamente en colaboración con el Grupo de Coordinación de Productos Sanitarios creado en virtud del artículo 103 del Reglamento (UE) 2017/745.

La Comisión informará con antelación a los agentes afectados, a través de Eudamed, de los cambios previstos y del período durante el cual estarán disponibles en los sitios web para ensayo y formación.

Artículo 10

Seguridad informática

1.   La Comisión publicará en el sitio web restringido los documentos siguientes:

a)

un documento sobre los derechos y las obligaciones de los usuarios;

b)

la declaración sobre las responsabilidades en materia de seguridad de la información;

c)

la declaración de privacidad;

d)

los requisitos de seguridad de la información para el intercambio de datos.

2.   Los agentes cumplirán las condiciones establecidas en los documentos contemplados en el apartado 1, letra b), y, en su caso, en la letra d) de ese mismo apartado.

3.   Cuando la Comisión sospeche que se ha producido o se está produciendo un incidente de seguridad informática, un riesgo para la seguridad informática o una amenaza para la seguridad informática, como se definen en el artículo 2, puntos 15, 22 y 25, de la Decisión (UE, Euratom) 2017/46, que considere potencialmente perjudicial para Eudamed, los datos incluidos en ella o la confidencialidad de dichos datos («incidente de seguridad informática, amenaza para la seguridad informática o riesgo para la seguridad informática»), podrá suspender todo acceso a Eudamed.

4.   La Comisión podrá suspender la totalidad o parte de las funcionalidades de los sistemas electrónicos de Eudamed cuando detecte un incidente de seguridad informática, una amenaza para la seguridad informática o un riesgo para la seguridad informática.

Si la suspensión contemplada en el párrafo primero obstaculiza la introducción de datos en Eudamed, se aplicará mutatis mutandis el artículo 8, apartados 3, 4 y 5.

5.   Todo agente o usuario autorizado que tenga conocimiento de un incidente de seguridad informática, una amenaza para la seguridad informática o un riesgo para la seguridad informática, o sospeche de su existencia, informará de inmediato al respecto a la Comisión y a los Estados miembros afectados.

Artículo 11

Actividades fraudulentas de usuarios en Eudamed

1.   Cuando una autoridad competente, un administrador local de agentes o un administrador local de usuarios sospeche que una solicitud de acceso a Eudamed es fraudulenta, denegará la solicitud e informará inmediatamente a la Comisión de dicha denegación por medio del equipo de asistencia técnica contemplado en el artículo 5, apartado 1, especificando que se trata de una presunta solicitud de acceso fraudulenta.

2.   Cuando la Comisión tenga sospechas razonables de que un usuario autorizado ha cometido una actividad fraudulenta que afecte a la seguridad informática de Eudamed, suspenderá temporalmente el acceso de dicho usuario autorizado a Eudamed. En tal caso, la Comisión informará sin demora de la suspensión y de su justificación a todos los Estados miembros y a los agentes afectados.

3.   Todo agente o usuario autorizado que sospeche la existencia de una actividad fraudulenta por parte de un usuario autorizado informará sin demora a la Comisión y a los Estados miembros de la presunta actividad fraudulenta por medio del equipo de asistencia técnica contemplado en el artículo 5, apartado 1.

4.   Cuando la Comisión determine que se ha cometido una actividad fraudulenta en Eudamed, retirará de inmediato el acceso a Eudamed a los usuarios autorizados pertinentes y adoptará las medidas necesarias, tales como, en su caso, impedir cualquier acceso futuro a Eudamed desde las cuentas correspondientes creadas en el sitio web del servicio de autenticación de la Comisión. La Comisión informará sin demora a las autoridades nacionales competentes pertinentes y a los agentes afectados de cualquier medida adoptada con arreglo al presente apartado.

Artículo 12

Entrada en vigor

El presente Reglamento entrará en vigor a los veinte días de su publicación en el Diario Oficial de la Unión Europea.

El presente Reglamento será obligatorio en todos sus elementos y directamente aplicable en cada Estado miembro.

Hecho en Bruselas, el 26 de noviembre de 2021.

Por la Comisión

La Presidenta

Ursula VON DER LEYEN


(1)  DO L 117 de 5.5.2017, p. 1.

(2)  Reglamento (UE) 2017/746 del Parlamento Europeo y del Consejo, de 5 de abril de 2017, sobre los productos sanitarios para diagnóstico in vitro y por el que se derogan la Directiva 98/79/CE y la Decisión 2010/227/UE de la Comisión (DO L 117 de 5.5.2017, p. 176).

(3)  Decisión (UE, Euratom) 2017/46 de la Comisión, de 10 de enero de 2017, sobre la seguridad de los sistemas de comunicación e información en la Comisión Europea (DO L 6 de 11.1.2017, p. 40).

(4)  Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo, de 23 de octubre de 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión, y a la libre circulación de esos datos, y por el que se derogan el Reglamento (CE) n.o 45/2001 y la Decisión n.o 1247/2002/CE (DO L 295 de 21.11.2018, p. 39).