Estrasburgo, 3.5.2022

COM(2022) 197 final

2022/0140(COD)

Propuesta de

REGLAMENTO DEL PARLAMENTO EUROPEO Y DEL CONSEJO

sobre el Espacio Europeo de Datos Sanitarios

(Texto pertinente a efectos del EEE)

{SEC(2022) 196 final} - {SWD(2022) 130 final} - {SWD(2022) 131 final} - {SWD(2022) 132 final}


EXPOSICIÓN DE MOTIVOS

1.CONTEXTO DE LA PROPUESTA

Razones y objetivos de la propuesta

La Estrategia Europea de Datos 1 proponía la creación de espacios comunes europeos de datos en ámbitos específicos. El Espacio Europeo de Datos Sanitarios (EEDS) es la primera propuesta de estos espacios comunes europeos de datos en ámbitos específicos. El EEDS, que abordará los retos específicos en el ámbito de la salud para el acceso a los datos sanitarios y para su intercambio de forma electrónica, es una de las prioridades de la Comisión Europea en el ámbito de la salud 2 y formará parte integrante de la construcción de una Unión Europea de la Salud. El EEDS creará un espacio común en el que las personas físicas podrán controlar fácilmente sus datos sanitarios electrónicos. Los investigadores, los innovadores y los responsables políticos podrán utilizar estos datos sanitarios electrónicos de una manera fiable y segura que respete la privacidad.

En la actualidad, las personas físicas tienen dificultades para ejercer sus derechos sobre sus datos sanitarios electrónicos, incluido el acceso y la transmisión de dichos datos tanto a escala nacional como transfronteriza. Y ello a pesar de las disposiciones del Reglamento (UE) 2016/679 (en lo sucesivo, «el RGPD») 3 , en el que se protegen los derechos de las personas físicas sobre sus datos, incluidos los datos sanitarios. Como muestra el estudio en el que se evalúan las normas de los Estados miembros de la UE en materia de datos sanitarios a la luz del RGPD 4 , la aplicación e interpretación desigual del RGPD por parte de los Estados miembros crea considerables incertidumbres jurídicas, lo que obstaculiza el uso secundario de los datos sanitarios electrónicos. Esto lleva a determinadas situaciones en las que las personas físicas no pueden beneficiarse de tratamientos innovadores y los responsables políticos no pueden reaccionar eficazmente ante una crisis sanitaria, debido a que los investigadores, los innovadores, los reguladores y los responsables políticos encuentran obstáculos para acceder a los datos sanitarios electrónicos necesarios. Además, debido a las diferentes normas y a la limitada interoperabilidad, los fabricantes de productos sanitarios digitales y los proveedores de servicios sanitarios digitales que operan en un Estado miembro y entran en otro se enfrentan a obstáculos y costes adicionales.

Además, la pandemia de COVID-19 ha demostrado aún más la importancia de los datos sanitarios electrónicos para el desarrollo de políticas en respuesta a emergencias sanitarias. También ha puesto de relieve la necesidad de garantizar el acceso oportuno a los datos sanitarios electrónicos personales para la preparación y respuesta ante las amenazas para la salud, así como para el tratamiento, pero también para la investigación, la innovación, la seguridad de los pacientes, la reglamentación, la elaboración de políticas, las estadísticas, o la medicina personalizada. El Consejo Europeo ha reconocido la urgencia de avanzar hacia el EEDS y de darle prioridad.

El objetivo general es garantizar que las personas físicas de la UE tengan un mayor control en la práctica sobre sus datos sanitarios electrónicos. También tiene por objeto garantizar un marco jurídico consistente en mecanismos de gobernanza fiables de la UE y de los Estados miembros y un entorno de tratamiento seguro. Esto permitiría a los investigadores, los innovadores, los responsables políticos y los reguladores a escala de la UE y de los Estados miembros acceder a los datos sanitarios electrónicos pertinentes para mejorar el diagnóstico, el tratamiento y el bienestar de las personas físicas, y dar lugar a políticas mejores y bien informadas. También tiene por objeto contribuir a un auténtico mercado único de productos y servicios sanitarios digitales, y armonizar las normas para, de este modo, impulsar la eficiencia de los sistemas sanitarios.

El artículo 14 de la Directiva 2011/24/UE relativa a la aplicación de los derechos de los pacientes en la asistencia sanitaria transfronteriza 5 fue la primera referencia a la sanidad electrónica en la legislación de la UE. Sin embargo, como se indica en la evaluación de impacto que acompaña a este Reglamento sobre el EEDS, las disposiciones pertinentes de la Directiva sobre asistencia sanitaria transfronteriza tienen carácter voluntario. Esto explica en parte por qué este aspecto de la Directiva ha demostrado una eficacia limitada a la hora de apoyar el control de las personas físicas sobre sus datos sanitarios electrónicos personales a escala nacional y transfronteriza y una eficacia muy baja en los usos secundarios de los datos sanitarios electrónicos. La pandemia de COVID-19 ha puesto de manifiesto la necesidad urgente y el elevado potencial de la interoperabilidad y la armonización, partiendo de la base de los conocimientos técnicos existentes a nivel nacional. Al mismo tiempo, los productos y servicios sanitarios digitales, incluida la telemedicina, se han convertido en parte intrínseca de la prestación de asistencia sanitaria.

La evaluación de los aspectos digitales de la Directiva sobre asistencia sanitaria transfronteriza abordó la pandemia de COVID-19 y el Reglamento (UE) 2021/953 relativo al certificado COVID digital de la UE 6 . Este Reglamento de duración limitada aborda las restricciones a la libre circulación impuestas debido a la COVID-19. La evaluación pone de manifiesto que las disposiciones legales que apoyan la armonización y un enfoque común de la UE para el uso de datos sanitarios electrónicos para fines específicos (en contraposición a la realización únicamente de acciones voluntarias), así como los esfuerzos de la UE para garantizar la interoperabilidad jurídica, semántica y técnica 7 , pueden aportar beneficios. En particular, pueden apoyar significativamente la libre circulación de las personas físicas y promover a la UE como referente mundial en cuanto a la adopción de normas en el ámbito de la salud digital.

El EEDS también promoverá un mejor intercambio y acceso a diferentes tipos de datos sanitarios electrónicos, incluidos los historiales médicos electrónicos, los datos genómicos, los registros de pacientes, etc. No solo apoyará la prestación de asistencia sanitaria (servicios y personal que se dediquen a la prestación de asistencia sanitaria o al uso primario de datos sanitarios electrónicos), sino que también apoyará la investigación sanitaria, la innovación, la formulación de políticas, la reglamentación y la medicina personalizada (uso secundario de datos sanitarios electrónicos). También establecerá mecanismos para la cesión altruista de datos del sector sanitario. El EEDS contribuirá a alcanzar la visión de la Comisión sobre la transformación digital de la UE de aquí a 2030, el objetivo de la Brújula Digital 8 de proporcionar al 100 % de las personas físicas acceso a sus historiales médicos, y la Declaración de Principios Digitales 9 .

Coherencia con las disposiciones existentes en la misma política sectorial

El intercambio transfronterizo de datos sanitarios electrónicos se aborda hasta cierto punto en la Directiva sobre asistencia sanitaria transfronteriza, en particular en su artículo 14 sobre la red de sanidad electrónica. Dicha red, creada en 2011, es un organismo voluntario a escala europea integrado por expertos en salud digital de todos los Estados miembros más Islandia y Noruega. Dichos expertos están trabajando para promover la interoperabilidad a escala de la UE de los datos sanitarios electrónicos y para elaborar directrices, como normas semánticas y técnicas, conjuntos de datos y descripciones de infraestructuras. La evaluación de los aspectos digitales de la Directiva sobre asistencia sanitaria transfronteriza señaló el carácter voluntario de este trabajo y de las directrices. Esto explica por qué han tenido un efecto bastante limitado en el apoyo al acceso de las personas físicas a sus datos sanitarios electrónicos y al control sobre estos. El EEDS tiene por objeto abordar estas cuestiones.

El EEDS se basa en la siguiente legislación: el RGPD, el Reglamento (UE) 2017/745 sobre los productos sanitarios 10 y el Reglamento (UE) 2017/746 sobre los productos sanitarios para diagnóstico in vitro 11 ; la propuesta de Ley de Inteligencia Artificial 12 , la propuesta de Ley de Gobernanza de Datos 13 y la propuesta de Ley de Datos 14 ; la Directiva 2016/1148 sobre seguridad de las redes y sistemas de información (la Directiva SRI) 15 y la Directiva sobre asistencia sanitaria transfronteriza.

Teniendo en cuenta que una cantidad considerable de datos electrónicos a los que se podrá acceder a través del EEDS son datos sanitarios personales relativos a personas físicas de la UE, la propuesta se ha diseñado de plena conformidad no solo con el RGPD, sino también con el Reglamento (UE) 2018/1725 (el Reglamento de protección de datos de la UE) 16 . El RGPD crea la figura del responsable del tratamiento de los datos, a quien concede los derechos de acceso, portabilidad y accesibilidad/transmisión de datos. También designa los datos relacionados con la salud como una «categoría especial de datos», lo que les ofrece una protección especial mediante el establecimiento de garantías adicionales para su tratamiento. El EEDS apoya el reconocimiento de los derechos consagrados en el RGPD aplicados a los datos sanitarios electrónicos, y lo hace independientemente del Estado miembro, el tipo de prestador de asistencia sanitaria, las fuentes de los datos sanitarios electrónicos o la afiliación de la persona física. El EEDS se basa en las posibilidades que ofrece el RGPD para una legislación de la UE sobre el uso de datos sanitarios electrónicos personales para el diagnóstico médico, la prestación de asistencia o tratamiento sanitarios o la gestión de sistemas y servicios sanitarios. También permite el uso de datos sanitarios electrónicos con fines de investigación científica o histórica, para las estadísticas oficiales y con fines de interés público en el ámbito de la salud, por ejemplo en la protección contra las amenazas transfronterizas graves para la salud o garantizando un alto nivel de calidad y seguridad de la asistencia sanitaria y de los medicamentos o productos sanitarios. El EEDS prevé nuevas disposiciones para promover la interoperabilidad y reforzar el derecho de las personas físicas a la portabilidad de los datos en el sector sanitario.

En el contexto de la Unión Europea de la Salud, el EEDS apoyará el trabajo de la Autoridad Europea de Preparación y Respuesta ante Emergencias Sanitarias (HERA) 17 en el Plan Europeo de Lucha contra el Cáncer 18 de la Misión de la UE contra el Cáncer 19 , y en la Estrategia Farmacéutica para Europa 20 . El EEDS creará un entorno jurídico y técnico que apoyará el desarrollo de medicamentos y vacunas innovadores, así como de productos sanitarios y diagnósticos in vitro. Esto ayudará a prevenir y detectar rápidamente las emergencias sanitarias, así como a darles una respuesta rápida. Además, el EEDS contribuirá a mejorar el conocimiento, la prevención, la detección precoz, el diagnóstico, el tratamiento y el seguimiento del cáncer, a través de un acceso a los datos sanitarios y un intercambio seguro de estos a través de las fronteras de la UE entre los prestadores de asistencia sanitaria, que incluirá los datos relacionados con el cáncer de las personas físicas. Por lo tanto, al proporcionar un acceso seguro a una amplia gama de datos sanitarios electrónicos, el EEDS abrirá nuevas oportunidades para la prevención y el tratamiento de las enfermedades de las personas físicas.

La propuesta de EEDS también se basa en los requisitos que se han impuesto a los programas informáticos a través del Reglamento sobre los productos sanitarios y la propuesta de Ley de Inteligencia Artificial. Los programas informáticos de los productos sanitarios ya deben estar certificados con arreglo al Reglamento sobre los productos sanitarios, y los productos sanitarios basados en la inteligencia artificial (IA) y otros sistemas de IA también habrán de cumplir los requisitos de la Ley de Inteligencia Artificial una vez que esta entre en vigor. Sin embargo, se ha detectado una laguna normativa en lo que respecta a los sistemas de información utilizados en el ámbito de la salud, también denominados sistemas de historiales médicos electrónicos («sistemas HME»). La atención se centra, por tanto, en estos sistemas HME destinados a ser utilizados para almacenar y compartir datos sanitarios electrónicos de las personas físicas. Por lo tanto, el EEDS establece requisitos esenciales específicamente para los sistemas HME con el fin de promover la interoperabilidad y la portabilidad de los datos de dicho sistema, lo que permitiría a las personas físicas controlar sus datos sanitarios electrónicos de manera más eficaz. Además, cuando los fabricantes de productos sanitarios y sistemas de IA de alto riesgo declaren la interoperabilidad con los sistemas HME, tendrán que cumplir los requisitos esenciales de interoperabilidad con arreglo al Reglamento EEDS.

Al proporcionar un marco para el uso secundario de datos sanitarios electrónicos, el EEDS se basa en la propuesta de Ley de Gobernanza de Datos y la propuesta de Ley de Datos. Al constituir un marco horizontal, la Ley de Gobernanza de Datos solo establece condiciones genéricas para el uso secundario de los datos del sector público, sin crear un verdadero derecho al uso secundario de dichos datos. La propuesta de Ley de Datos mejora la portabilidad de determinados datos generados por los usuarios, que pueden incluir datos sanitarios, pero no establece normas para todos los datos sanitarios. Por lo tanto, el EEDS complementa estas propuestas de actos legislativos y establece normas más específicas para el sector sanitario. Estas normas específicas abarcan el intercambio de datos sanitarios electrónicos y pueden afectar al proveedor de servicios de intercambio de datos, a los formatos que garanticen la portabilidad de los datos sanitarios, a las normas de cooperación para la cesión altruista de datos sanitarios y a la complementariedad en el acceso a datos privados para un uso secundario.

La Directiva SRI establece las primeras normas a escala de la UE sobre ciberseguridad. Dicha Directiva se está revisando (la «propuesta SRI 2» 21 ), y hay negociaciones en marcha con los colegisladores. Se pretende elevar el nivel de ambición común de la UE respecto al marco regulador de la ciberseguridad mediante un ámbito de aplicación más amplio, normas más claras e instrumentos de supervisión más sólidos. La Comisión aborda esta cuestión sobre la base de tres pilares: 1) las capacidades de los Estados miembros, 2) la gestión de riesgos, 3) la cooperación y el intercambio de información. Los operadores del sistema sanitario siguen estando dentro del ámbito de aplicación. El EEDS va a reforzar la seguridad y la confianza en el marco técnico diseñado para facilitar el intercambio de datos sanitarios electrónicos para uso tanto primario como secundario.

También está previsto que la Comisión adopte una propuesta de Ley de Ciberresiliencia en 2022, con el objetivo de establecer requisitos horizontales de ciberseguridad para los productos digitales y los servicios auxiliares. El conjunto previsto de requisitos esenciales de ciberseguridad que se establecerá en la Ley de Ciberresiliencia se aplicará a todos los sectores y las categorías de productos digitales, y deberán cumplirlos los productores y vendedores de dichos productos antes de introducirlos en el mercado o, en su caso, al ponerlos en servicio, y también a lo largo de todo el ciclo de vida del producto. Estos requisitos serán de carácter general y tecnológicamente neutros. Los requisitos de seguridad establecidos en el EEDS, especialmente en lo que se refiere a los sistemas HME, dictan requisitos más específicos en determinados ámbitos, como el control de acceso.

El EEDS se basa en la nueva propuesta sobre la Identidad Digital Europea 22 que contiene mejoras en el ámbito de la identificación electrónica, entre las que se encuentra la cartera de identidad digital. Esto permitirá mejores mecanismos para la identificación en línea y fuera de línea de las personas físicas y los profesionales sanitarios.

Coherencia con otras políticas de la Unión

La presente propuesta está en consonancia con los objetivos generales de la UE. Entre ellos cabe citar la construcción de una Unión Europea de la Salud más fuerte, la aplicación del pilar europeo de derechos sociales, la mejora del funcionamiento del mercado interior, la promoción de sinergias con la agenda del mercado interior digital de la UE y la realización de una ambiciosa agenda de investigación e innovación. Además, proporcionará un importante conjunto de elementos que contribuirán a la creación de la Unión Europea de la Salud, fomentando la innovación y la investigación y haciendo frente mejor a futuras crisis sanitarias.

La propuesta es coherente con las prioridades de la Comisión de adaptar Europa a la era digital y construir una economía preparada para el futuro que funcione para las personas. También permite explorar el potencial de las regiones transfronterizas como pruebas piloto de soluciones innovadoras para la integración europea, como se sugiere en el informe de la Comisión «Regiones transfronterizas de la UE: verdaderos laboratorios de la integración europea» 23 . Apoya el plan de recuperación de la Comisión, tomando nota de lo aprendiendo en la pandemia de COVID-19, y saca ventaja de unos datos sanitarios electrónicos más fácilmente accesibles cuando es necesario.

2.BASE JURÍDICA, SUBSIDIARIEDAD Y PROPORCIONALIDAD

Base jurídica

La propuesta se basa en los artículos 16 y 114 del Tratado de Funcionamiento de la Unión Europea (TFUE). Esta doble base jurídica es posible si se demuestra que el acto persigue al mismo tiempo varios objetivos vinculados de manera inseparable, sin que uno de ellos sea secundario o solo esté indirectamente relacionado con el otro. Tal es el caso de la presente propuesta, tal como se explica a continuación. Los procedimientos establecidos para cada base jurídica son compatibles entre sí.

En primer lugar, el artículo 114 del TFUE tiene por objeto mejorar el funcionamiento del mercado interior mediante medidas de aproximación de las normas nacionales. Algunos Estados miembros han adoptado medidas legislativas para abordar los problemas descritos anteriormente mediante el establecimiento de sistemas nacionales de certificación de los sistemas HME, mientras que otros no lo han hecho. Esto puede dar lugar a una fragmentación legislativa en el mercado interior y a diferentes normas y prácticas en toda la UE, y también podría generar costes para las empresas que tendrían que cumplir diferentes regímenes.

La base jurídica adecuada es el artículo 114 del TFUE pues la mayoría de las disposiciones de este Reglamento tienen por objeto mejorar el funcionamiento del mercado interior y la libre circulación de mercancías y servicios. A este respecto, el artículo 114, apartado 3, del TFUE exige explícitamente que, al buscar la aproximación, debe garantizarse un nivel de protección elevado de la salud humana, teniendo en cuenta especialmente cualquier novedad basada en hechos científicos. Por lo tanto, esta base jurídica también es adecuada cuando una acción está relacionada con el ámbito de la protección de la salud pública. Esto también respeta plenamente el artículo 168, que establece que debe alcanzarse un alto nivel de protección humana en todas las políticas de la Unión, respetando al mismo tiempo la responsabilidad de los Estados miembros por lo que respecta a la definición de su política de salud y a la organización y prestación de los servicios sanitarios y la atención médica.

La propuesta legislativa permitirá a la UE beneficiarse de la dimensión del mercado interior, ya que los productos y servicios basados en datos sanitarios a menudo se desarrollan utilizando datos sanitarios electrónicos de diferentes Estados miembros y posteriormente se comercializan en toda la UE.

La segunda base jurídica de la presente propuesta es el artículo 16 del TFUE. El RGPD ofrece importantes garantías en relación con los derechos de las personas físicas sobre sus datos sanitarios. Sin embargo, como se indica en la sección 1, estos derechos no pueden aplicarse en la práctica debido a razones de interoperabilidad y a una armonización limitada de los requisitos y las normas técnicas aplicados a escala nacional y de la UE. Además, el alcance del derecho a la portabilidad en virtud del RGPD hace que sea menos eficaz en el sector sanitario 24 . Por lo tanto, es necesario establecer disposiciones y garantías adicionales jurídicamente vinculantes. También es necesario diseñar requisitos y normas específicos que se basen en las garantías previstas en el ámbito del tratamiento de datos sanitarios electrónicos para aprovechar el valor de los datos sanitarios para la sociedad. Además, la propuesta tiene por objeto ampliar el uso de los datos sanitarios electrónicos, reforzando al mismo tiempo los derechos derivados del artículo 16 del TFUE. En general, el EEDS convierte en real la posibilidad que ofrece el RGPD para un Derecho de la Unión con varios fines. Estos fines incluyen el diagnóstico médico, la prestación de asistencia sanitaria, el tratamiento o la gestión de los sistemas y los servicios sanitarios. El EEDS también permite el uso de datos sanitarios electrónicos en interés público en el área de la salud, por ejemplo en la protección contra las amenazas transfronterizas graves para la salud, o garantizando un alto nivel de calidad y seguridad de la salud y de la asistencia sanitaria, así como de los medicamentos o productos sanitarios. También sirve a la investigación científica o histórica y a la elaboración de estadísticas.

Subsidiariedad

La presente propuesta tiene por objeto armonizar los flujos de datos para ayudar a las personas físicas a beneficiarse de la protección y la libre circulación de los datos sanitarios electrónicos, especialmente los datos personales. La propuesta no tiene por objeto regular la forma en que los Estados miembros prestan la asistencia sanitaria.

La evaluación de los aspectos digitales de la Directiva sobre asistencia sanitaria transfronteriza revisó la situación actual de fragmentación, diferencias y obstáculos al acceso a los datos sanitarios electrónicos y a su utilización. Se puso de manifiesto que la acción de los Estados miembros por sí solos no es suficiente y puede obstaculizar un desarrollo y un despliegue rápidos de los productos y servicios sanitarios digitales, incluidos los basados en la inteligencia artificial.

El estudio mencionado anteriormente sobre la aplicación del RGPD en el sector sanitario señala que el Reglamentoestablece amplios derechos sobre el acceso de las personas físicas a sus datos y sobre su transmisión, lo que incluye los datos sanitarios. No obstante, su aplicación práctica se ve obstaculizada por la escasa interoperabilidad en el sector sanitario, que hasta ahora se ha abordado principalmente a través de instrumentos no vinculantes. Estas diferencias en las normas y especificaciones locales, regionales y nacionales también pueden impedir que los fabricantes de productos sanitarios digitales y los proveedores de servicios sanitarios digitales entren en nuevos mercados, donde deben adaptarse a nuevas normas. Así pues, la presente propuesta legislativa está concebida para complementar los derechos y garantías previstos en el RGPD, de modo que puedan alcanzarse efectivamente sus objetivos.

En el mismo estudio se revisó el amplio uso de las disposiciones sobre especificaciones facultativas en el marco del RGPD a nivel nacional. Esto generaba fragmentación y dificultades para acceder a los datos sanitarios electrónicos, tanto a nivel nacional como entre Estados miembros, y tenía efectos sobre la posibilidad de que los investigadores, los innovadores, los responsables políticos y los reguladores llevaran a cabo sus tareas o actividades de investigación o innovación. Todo esto, en última instancia, era perjudicial para la economía europea.

En la evaluación de impacto, la evaluación del artículo 14 de la Directiva sobre asistencia sanitaria transfronteriza muestra que los enfoques adoptados hasta la fecha, consistentes en instrumentos no vinculantes o de baja intensidad, como directrices y recomendaciones destinadas a apoyar la interoperabilidad, no han producido los resultados deseados. El acceso de las personas físicas a sus datos sanitarios electrónicos personales y su control sobre estos siguen siendo limitados, y existen deficiencias significativas en la interoperabilidad de los sistemas de información utilizados en el ámbito de la salud. Además, los enfoques nacionales para afrontar los problemas tienen un alcance limitado y no abordan plenamente la cuestión a escala de la UE. En la actualidad, el intercambio transfronterizo de datos sanitarios electrónicos sigue siendo muy limitado, lo que se explica en parte por la gran diversidad de normas aplicadas a dichos datos en los distintos Estados miembros. En muchos Estados miembros, la interoperabilidad y la portabilidad de los datos se enfrentan a importantes retos nacionales, regionales y locales que dificultan la continuidad de la asistencia y la eficiencia de los sistemas sanitarios. Aunque los datos sanitarios estén disponibles en formato electrónico, no suele haber una continuidad en el seguimiento cuando la persona física utiliza servicios de otro prestador de asistencia sanitaria. La propuesta de EEDS abordará estos retos a escala de la UE, proporcionando mecanismos para mejorar las soluciones de interoperabilidad utilizadas a nivel nacional, regional y local y reforzando los derechos de las personas físicas.

Por lo tanto, es necesaria una acción a escala de la UE en el contenido y la forma indicados para promover el flujo transfronterizo de datos sanitarios electrónicos y fomentar un auténtico mercado interior de dichos datos, así como de los productos y los servicios sanitarios digitales.

Proporcionalidad

La iniciativa pretende poner en marcha las medidas necesarias para alcanzar los principales objetivos. La propuesta crea un marco facilitador que no excede de lo necesario para alcanzar esos objetivos. Aborda los obstáculos existentes para fomentar la materialización del valor potencial de los datos sanitarios electrónicos. Establece un marco que reduce la fragmentación y la inseguridad jurídica. La iniciativa implica a las autoridades nacionales y se basa en el trabajo de estas, y busca una firme implicación de las partes interesadas pertinentes.

El Reglamento propuesto generará costes financieros y administrativos, que se sufragarán mediante la asignación de recursos tanto a nivel de los Estados miembros como de la UE. La evaluación de impacto demuestra que la opción estratégica preferida aporta los mejores beneficios al menor coste, y no excede de lo necesario para alcanzar los objetivos de los Tratados.

Elección del instrumento

La propuesta adopta la forma de un nuevo reglamento. Se considera que este es el instrumento más adecuado, dada la necesidad de un marco regulador que aborde directamente los derechos de las personas físicas y reduzca la fragmentación del mercado único digital. Para evitar la fragmentación resultante de un uso incoherente de las cláusulas pertinentes del RGPD (por ejemplo, el artículo 9, apartado 4), el EEDS utiliza las opciones para un Derecho de la Unión que ofrece el RGPD en relación con el uso de los datos sanitarios, para diversos fines. En la preparación de la propuesta, se analizaron cuidadosamente los diferentes contextos jurídicos nacionales que se basaron en el RGPD al proporcionar legislación nacional. Con el fin de evitar perturbaciones importantes, pero también desarrollos incoherentes en el futuro, el EEDS aspira a presentar una iniciativa que tenga en cuenta los principales elementos comunes de los distintos marcos. No se seleccionó una Directiva, ya que esta opción permitiría una aplicación divergente y un mercado fragmentado que podría afectar a la protección de los datos personales en el sector sanitario y a su libre circulación. La propuesta reforzará la economía de los datos sanitarios de la UE aumentando la seguridad jurídica y garantizando un marco jurídico sectorial totalmente uniforme y coherente. El Reglamento propuesto también insta a la participación de las partes interesadas para garantizar que los requisitos satisfagan las necesidades de los profesionales sanitarios, las personas físicas, el mundo académico, la industria y las demás partes interesadas pertinentes.

3.RESULTADOS DE LAS EVALUACIONES EX POST, DE LAS CONSULTAS CON LAS PARTES INTERESADAS Y DE LAS EVALUACIONES DE IMPACTO

Evaluaciones ex post / controles de la adecuación de la legislación existente

La Directiva sobre asistencia sanitaria transfronteriza se adoptó en 2011 y para 2015 ya había sido transpuesta en todos los Estados miembros. El artículo 14 de la Directiva, que establece la red de sanidad electrónica, se ha evaluado para conocer mejor sus efectos en la salud digital de la UE. La evaluación, que es un anexo del documento de trabajo de los servicios de la Comisión sobre la evaluación de impacto del EEDS, considera que dichos efectos han sido bastante limitados. La evaluación de las disposiciones sobre salud electrónica con arreglo a la Directiva llegó a la conclusión de que su eficacia y su eficiencia han sido bastante limitadas y que ello se debe al carácter voluntario de las acciones de la red de sanidad electrónica.

Los avances en el uso de datos sanitarios electrónicos personales con fines primarios en el contexto de la asistencia sanitaria transfronteriza han sido lentos. La plataforma MiSalud@UE (MyHealth@EU) solo se ha implantado en diez Estados miembros y en la actualidad únicamente cubre dos servicios (la receta electrónica y el historial resumido del paciente). La escasa y lenta aceptación está relacionada en parte con el hecho de que la Directiva, si bien establece el derecho de las personas físicas a recibir un registro en papel del tratamiento dispensado, no exige que este historial médico se facilite en formato electrónico. Para las personas físicas, acceder a sus datos sanitarios electrónicos personales sigue siendo oneroso, y tienen un control limitado sobre sus propios datos sanitarios y sobre su uso para el diagnóstico y el tratamiento médicos. La red de sanidad electrónica recomendó a los Estados miembros que utilizaran en sus contrataciones las normas y especificaciones del formato de intercambio de historiales médicos electrónicos, con el fin de desarrollar la interoperabilidad. Sin embargo, su utilización real del formato fue limitada, lo que dio lugar a un panorama fragmentado en cuanto a la portabilidad de los datos sanitarios electrónicos, con un acceso desigual a estos.

Se espera que la mayoría de los Estados miembros implanten la plataforma MiSalud@UE de aquí a 2025. Solo cuando un mayor número de Estados miembros hayan implantado la plataforma MiSalud@UE y desarrollado las herramientas necesarias, su uso, desarrollo y mantenimiento serán más eficientes en toda la UE. Sin embargo, los avances en materia de sanidad electrónica en los últimos años requieren una acción más coordinada a escala de la UE.

No obstante, tras el brote de la pandemia de COVID-19 en Europa, la red de sanidad electrónica demostró ser muy eficaz y eficiente en tiempos de crisis sanitaria, lo que fomentó la convergencia política.

En cuanto al uso secundario de datos sanitarios electrónicos, las actividades de la red de sanidad electrónica han sido muy limitadas y no muy eficaces. Los documentos sobre macrodatos, pocos y no vinculantes, no fueron objeto de nuevas acciones específicas y su aplicación en la práctica sigue siendo muy limitada. A nivel nacional, surgieron otros agentes en el uso secundario de datos sanitarios electrónicos distintos de los representados en la red de sanidad electrónica. Algunos Estados miembros crearon diferentes organismos para tratar esta cuestión y participaron en la acción conjunta «Hacia el Espacio Europeo de Datos Sanitarios» (TEHDaS). Sin embargo, ni esta acción conjunta ni los numerosos fondos facilitados por la Comisión, por ejemplo en el marco de Horizonte Europa, para apoyar el uso secundario de datos sanitarios electrónicos se han ejecutado suficientemente en coherencia con las actividades de la red de sanidad electrónica.

Por lo tanto, se concluyó que la estructura actual de la red de sanidad electrónica ha dejado de ser la adecuada, ya que solo permite una cooperación de baja intensidad en el uso primario de los datos sanitarios electrónicos y en la interoperabilidad, que no ha resuelto de manera sistemática los problemas de acceso a los datos y de portabilidad a nivel nacional y transfronterizo. Además, la red de sanidad electrónica no es capaz de abordar de manera eficaz y eficiente las necesidades relacionadas con el uso secundario de datos sanitarios electrónicos. La Directiva sobre asistencia sanitaria transfronteriza otorga poderes para actos de ejecución sobre el uso de datos sanitarios electrónicos para uso primario y secundario; estos poderes delegados son limitados.

La pandemia de COVID-19 ha destacado la importancia del acceso seguro y protegido a los datos de salud pública y asistencia sanitaria y de su disponibilidad a través de las fronteras de los Estados miembros, así como la amplia disponibilidad de datos sanitarios electrónicos para la salud pública en el contexto de la libre circulación de personas dentro de la UE durante la pandemia. Sobre la base de un marco regulador sólido, la UE ha sido muy eficaz a la hora de establecer normas y servicios a escala de la UE para facilitar la libre circulación de personas, como el certificado COVID digital de la UE. Sin embargo, el progreso general parece verse obstaculizado por la ausencia de normas vinculantes u obligatorias en toda la UE, y por la limitada interoperabilidad que este hecho conlleva. Abordar esta cuestión no solo beneficiaría a las personas físicas, sino que también contribuiría a la realización del mercado interior digital y a la reducción de los obstáculos a la libre circulación de los productos y servicios sanitarios digitales.

Consultas con las partes interesadas

Durante la preparación de la presente propuesta de EEDS, se consultó a las partes interesadas de diversas maneras. La consulta pública recabó los puntos de vista de las partes interesadas sobre las opciones para establecer el EEDS 25 . Se recibieron comentarios de varios grupos de partes interesadas. Sus puntos de vista se recogen detalladamente en el anexo del documento de trabajo de los servicios de la Comisión sobre la evaluación de impacto.

Desde mayo hasta julio de 2021 se llevó a cabo una consulta pública. Se recibieron en total 382 respuestas válidas. Los participantes en la consulta expresaron su apoyo a la acción a escala de la UE para acelerar la investigación en el ámbito de la salud (89 %), promover el control de las personas físicas sobre sus propios datos sanitarios (88 %) y facilitar la prestación transfronteriza de asistencia sanitaria (83 %). Hubo un gran apoyo para promover el acceso y el intercambio de datos sanitarios a través de una infraestructura digital (72 %) o de una infraestructura de la UE (69 %). La mayoría de los participantes también opinan que las personas físicas deberían poder transmitir los datos recogidos de la sanidad móvil y la telemedicina a los sistemas de historiales médicos electrónicos (77 %). Un esquema de certificación a escala de la UE para promover la interoperabilidad recibió un apoyo del 52 %.

En el ámbito del uso secundario de los datos sanitarios, la mayoría de los participantes afirmaron que un organismo de la UE podría facilitar el acceso a los datos sanitarios con fines secundarios (87 %). Un 67 % apoya el uso obligatorio de normas y requisitos técnicos.

También se recogieron las opiniones de las partes interesadas a través del estudio Assessment of the EU Member States’ rules on health data in the light of the GDPR. Durante el estudio se celebraron cinco talleres con representantes de los ministerios de sanidad, expertos, representantes de las partes interesadas y expertos de las oficinas nacionales de protección de datos 26 . También se llevó a cabo una encuesta a las partes interesadas para validar y complementar los temas abordados e identificados. En total, la encuesta en línea recibió 543 respuestas. Según una encuesta en línea, el 73 % de los encuestados considera que disponer de datos sanitarios en un espacio de datos personales o en un portal de pacientes facilita la transmisión de datos entre los prestadores de la asistencia sanitaria. Además, el 87 % considera que la falta de portabilidad de los datos aumenta los costes de la asistencia sanitaria, y el 84 % que retrasa el diagnóstico y el tratamiento. Alrededor del 84 % opina que deben adoptarse medidas adicionales a escala de la UE para reforzar el control de las personas físicas sobre sus datos sanitarios. Alrededor del 81 % considera que el uso de diferentes bases jurídicas del RGPD dificulta el intercambio de datos sanitarios. Alrededor del 81 % de los encuestados sugieren que la UE debería apoyar el uso secundario de datos sanitarios con arreglo a la misma base jurídica.

Un estudio sobre las lagunas normativas en la prestación y el suministro transfronterizos de servicios y productos sanitarios digitales, incluida la inteligencia artificial, y la evaluación del marco existente para el intercambio transfronterizo de datos sanitarios. Entre septiembre de 2020 y agosto de 2021 se llevó a cabo un estudio sobre datos sanitarios, salud digital e inteligencia artificial en la asistencia sanitaria. Este estudio proporciona las pruebas necesarias para permitir la elaboración de políticas bien fundamentadas en los ámbitos de los productos y servicios sanitarios digitales, la inteligencia artificial, la gobernanza sobre el uso de datos sanitarios y la evaluación del artículo 14 de la Directiva sobre asistencia sanitaria transfronteriza. Las actividades de consulta incluyeron entrevistas, grupos de discusión y encuestas en línea. Las partes interesadas apoyan medidas en una serie de ámbitos, desde orientaciones sobre la calidad de los servicios y productos sanitarios digitales, hasta la interoperabilidad, el reembolso, la identificación y autenticación, y la alfabetización y las capacidades digitales. En cuanto al uso primario, las partes interesadas apoyan que se encomienden a las autoridades de sanidad digital nacionales tareas de apoyo a la prestación transfronteriza de asistencia sanitaria digital y al acceso a los datos sanitarios electrónicos. Además, también apoyan la ampliación de los servicios de MiSalud@UE. Asimismo, se muestran favorables a otorgar a las personas físicas el derecho a la portabilidad de sus historiales médicos electrónicos en un formato interoperable. En cuanto al uso secundario, se apoya el establecimiento de un marco y una estructura jurídicos y de gobernanza, basados en la creación de organismos de acceso a los datos sanitarios en una serie de Estados miembros, con cooperación a nivel de la UE a través de una red o un grupo consultivo. Para reducir los obstáculos, se apoyarían las especificaciones y las normas.

Entre abril y diciembre de 2021 se llevó a cabo un estudio sobre las infraestructuras y el ecosistema de datos en apoyo de la evaluación de impacto del EEDS 27 . El objetivo de este estudio es presentar información empírica que respalde la evaluación de impacto de las opciones para una infraestructura sanitaria digital europea. El estudio identifica, caracteriza y evalúa las opciones para una infraestructura digital, esboza su rentabilidad y proporciona datos sobre las repercusiones previstas, tanto para el uso primario como secundario de los datos sanitarios electrónicos. Se llevaron a cabo talleres interactivos dirigidos a sesenta y cinco partes interesadas que participan activamente en el uso de los datos sanitarios. Su origen es muy variado, e incluye a los ministerios de sanidad, las autoridades de sanidad digital, los puntos de contacto nacionales para la sanidad electrónica, las infraestructuras de investigación de datos sanitarios, los organismos de control, los organismos de acceso a los datos sanitarios, los prestadores de asistencia sanitaria, los pacientes y los grupos de defensa. Además, se elaboró una encuesta centrada en los costes, que incluía preguntas relacionadas con el valor, los beneficios, el efecto y el coste de las distintas opciones.

Por último, el estudio de evaluación de impacto se llevó a cabo entre junio y diciembre de 2021, con el objetivo de presentar información empírica que respalde la evaluación de impacto de las opciones del EEDS. El estudio expone y evalúa las opciones políticas generales para el EEDS, basándose en las pruebas recogidas en los estudios anteriores. La «consulta pública sobre la superación de los obstáculos transfronterizos 28 » también ilustra que las personas físicas se enfrentan a obstáculos relacionados en el contexto de las regiones transfronterizas. En el anexo del documento de trabajo de los servicios de la Comisión se ofrece más información sobre estos estudios.

Obtención y uso de asesoramiento especializado

Varios estudios y contribuciones respaldaron el trabajo sobre el EEDS, entre ellos:

un estudio sobre la evaluación de las normas de los Estados miembros de la UE sobre datos sanitarios a la luz del RGPD 29 ;

un estudio sobre las lagunas normativas en la prestación y el suministro transfronterizos de servicios y productos sanitarios digitales, incluida la inteligencia artificial, y la evaluación del marco existente para el intercambio transfronterizo de datos sanitarios (en preparación);

un estudio sobre un ecosistema de infraestructuras y datos en apoyo de la evaluación de impacto del EEDS (en preparación);

un estudio en apoyo de la evaluación de impacto de las opciones políticas para una iniciativa de la UE sobre un espacio europeo de datos sanitarios (en preparación);

un estudio sobre la interoperabilidad de los historiales médicos electrónicos en la Unión Europea (MonitorEHR) 30 ;

un estudio sobre el uso de datos de la vida real para la investigación, la atención clínica, la toma de decisiones reglamentarias, la evaluación de las tecnologías sanitarias y la elaboración de políticas, que incluye un resumen 31 ;

un estudio de mercado sobre la telemedicina 32 ;

el Dictamen preliminar del Supervisor Europeo de Protección de Datos (SEPD) sobre el EEDS 33 .

Evaluación de impacto

Se realizó una evaluación de impacto de la presente propuesta. El 26 de noviembre de 2021, el Comité de Control Reglamentario emitió un dictamen negativo acerca del primer envío. El 26 de enero de 2022, después de que la evaluación de impacto fuera revisada en profundidad para abordar los comentarios recibidos y volviera a presentarse, el Comité emitió un dictamen favorable sin reservas. Los dictámenes del Comité, las recomendaciones y una explicación de cómo se han tenido en cuenta figuran en el anexo 1 del documento de trabajo de los servicios de la Comisión.

La Comisión examinó diferentes opciones políticas para alcanzar los objetivos generales de la propuesta, consistentes en garantizar que las personas físicas tengan el control de sus propios datos sanitarios electrónicos, que puedan beneficiarse de una serie de productos y servicios relacionados con la salud y que investigadores, innovadores, responsables políticos y reguladores puedan aprovechar al máximo los datos sanitarios electrónicos disponibles.

Se evaluaron tres opciones políticas con distintos grados de intervención reguladora y dos variantes adicionales de estas opciones:

Opción 1: intervención de baja intensidad. Se basa en un mecanismo de cooperación reforzado y en instrumentos voluntarios que abarcarían los productos y servicios sanitarios digitales y el uso secundario de los datos sanitarios electrónicos. Esta opción se apoyaría en la mejora de la gobernanza y la infraestructura digital.

Opción 2 y 2+: intervención de mediana intensidad. Opción que reforzaría los derechos de las personas físicas a controlar digitalmente sus datos sanitarios y proporcionaría un marco de la UE para el uso secundario de datos sanitarios electrónicos. La gobernanza se basaría en los organismos nacionales para el uso primario y secundario de los datos sanitarios electrónicos que aplicarían las políticas a escala nacional y, a escala de la UE, apoyaría el desarrollo de requisitos adecuados. Dos infraestructuras digitales apoyarían el intercambio transfronterizo y el uso secundario de datos sanitarios electrónicos. La aplicación estaría respaldada por una certificación obligatoria de los sistemas HME y una etiqueta voluntaria para las aplicaciones sobre bienestar, con lo que se garantizaría la transparencia para las autoridades, los compradores y los usuarios.

Opción 3 y 3+: intervención de elevada intensidad. Esta opción iría más allá de la opción 2 al asignar a un organismo de la UE ya existente o a uno nuevo la definición de los requisitos a escala de la UE y el acceso a los datos sanitarios electrónicos transfronterizos. También ampliaría la cobertura de la certificación.

La opción preferida es la opción 2+, que se basa en la opción 2. Con ella se garantizaría una certificación de los sistemas HME, una etiqueta voluntaria para las aplicaciones sobre bienestar y un efecto en cascada en los productos sanitarios destinados a ser interoperables con los sistemas HME. Esto garantizaría el mejor equilibrio entre eficacia y eficiencia en la consecución de los objetivos. La opción 1 apenas mejoraría la base de referencia, ya que sigue siendo voluntaria. La opción 3 también sería eficaz, pero tendría costes más elevados, además de que puede tener un mayor impacto en las pymes y ser menos viable desde el punto de vista político.

La opción preferida garantizaría que las personas físicas pudieran acceder digitalmente a sus datos sanitarios electrónicos y transmitirlos, y el acceso sería independiente del prestador de asistencia sanitaria y de la fuente de datos. MiSalud@UE pasaría a ser obligatorio y las personas físicas podrían intercambiar sus datos sanitarios electrónicos personales transfronterizos en una lengua extranjera. Los requisitos obligatorios y la certificación (para los sistemas HME y los productos sanitarios que soliciten la interoperabilidad con dichos sistemas) y una etiqueta voluntaria para las aplicaciones sobre bienestar garantizarían la transparencia para los usuarios y los compradores y reducirían las barreras comerciales transfronterizas para los fabricantes.

Se han mantenido los requisitos obligatorios, pero la certificación por terceros se ha cambiado a una autocertificación unida a una cláusula de revisión previa, que permite una posible transición posterior a la certificación por terceros. Dada la novedad de la certificación, se decidió optar por un enfoque gradual, que daría más tiempo a los Estados miembros y a los fabricantes menos preparados para poner en marcha el sistema de certificación y desarrollar las capacidades. Al mismo tiempo, los Estados miembros más avanzados pueden exigir controles específicos a nivel nacional en el contexto de la contratación pública, la financiación y el reembolso de los sistemas HME. Este cambio reduciría los costes estimados de la certificación para un fabricante individual de un sistema HME entre 20 000-50 000 EUR y 12 000-38 000 EUR, lo que podría dar lugar a una reducción de aproximadamente el 30 % de los costes totales para los fabricantes, que pasarían de 300-1 700 millones EUR a 200-1 200 millones EUR.

Este sistema parece el más proporcionado para los fabricantes en términos de carga administrativa y posibles limitaciones de capacidad de los organismos notificados para la certificación por terceros. Sin embargo, los beneficios reales para los Estados miembros, los pacientes y los compradores deberán analizarse cuidadosamente en la evaluación del marco jurídico al cabo de cinco años.

En cuanto al uso secundario de los datos sanitarios electrónicos, los investigadores, los innovadores, los responsables políticos y los reguladores podrían tener acceso a datos de calidad para su trabajo de manera segura, con una gobernanza fiable y a un coste inferior al del consentimiento. El marco común para el uso secundario reduciría la fragmentación y los obstáculos para los accesos transfronterizos. La opción preferida obliga a los Estados miembros a crear uno o varios organismos de acceso a los datos sanitarios (con un organismo de coordinación) que puedan facilitar el acceso de terceros a los datos sanitarios electrónicos, ya sea como organización nueva o como parte de una organización existente, sobre la base de la Ley de Gobernanza de Datos. Parte de los costes se compensarán mediante el cobro de tasas por parte de los organismos de acceso a los datos sanitarios. Se espera que la creación de organismos de acceso a los datos sanitarios reduzca los costes para los reguladores y los responsables políticos de acceder a los datos sanitarios electrónicos, gracias a una mayor transparencia de la eficacia de los medicamentos, lo que dará lugar a una reducción de los costes en los procesos reglamentarios y en la contratación pública en el ámbito de la salud. La digitalización también puede reducir las pruebas innecesarias y garantizar la transparencia del gasto, lo que permitirá ahorrar en el presupuesto sanitario. Los fondos de la UE apoyarán la digitalización.

El objetivo es garantizar la transparencia de la información relativa a los conjuntos de datos para los usuarios de datos, para lo cual también se adoptó un enfoque gradual. Esto significaría que la descripción del conjunto de datos sería obligatoria para todos los conjuntos de datos, excepto para los que poseen las microempresas, mientras que la etiqueta autodeclarada de calidad de los datos solo sería obligatoria para los titulares de datos con conjuntos de datos financiados con fondos públicos, y voluntaria para los demás. Estos matices introducidos tras la evaluación de impacto no alteran sustancialmente el cálculo de los costes para los titulares de datos derivados de la evaluación de impacto.

Se espera que los beneficios económicos totales de esta opción, a lo largo de diez años, superen los 11 000 millones EUR, por encima de la base de referencia. Este importe se dividiría casi a partes iguales entre los beneficios derivados de las medidas sobre usos primarios (5 600 millones EUR) y secundarios (5 400 millones EUR) de los datos sanitarios.

En el ámbito del uso primario de los datos sanitarios, los pacientes y los prestadores de asistencia sanitaria percibirán beneficios de aproximadamente 1 400 millones EUR y 4 000 millones EUR derivados del ahorro en los servicios sanitarios gracias a la mayor actualización de la telemedicina y a los intercambios más eficientes de datos sanitarios, también a través de las fronteras.

En el ámbito del uso secundario de los datos sanitarios, el uso más eficiente de estos reportará unos beneficios de más de 3 400 millones EUR para investigadores e innovadores en el ámbito de la salud digital, los productos sanitarios y los medicamentos. Los pacientes y la asistencia sanitaria se beneficiarían de un ahorro de 300 y 900 millones EUR gracias al acceso a productos médicos más innovadores y a una mejor toma de decisiones. El uso más intensivo de datos de la vida real en la elaboración de políticas sanitarias generaría ahorros adicionales, estimados en 800 millones EUR, para los responsables políticos y los reguladores.

Los costes globales de la opción preferida se estiman en entre 700 y 2 000 millones EUR por encima de la base de referencia, a lo largo de diez años. La mayor parte de los costes se derivarían de medidas sobre usos primarios (300-1 300 millones EUR) y secundarios (400-700 millones EUR) de los datos sanitarios.

En el ámbito del uso primario de los datos sanitarios, la mayor parte de los costes los asumirían los fabricantes de sistemas HME y de productos destinados a conectarse a dichos sistemas. Esto ascendería aproximadamente a 200-1 200 millones EUR debido a la introducción gradual de la certificación para los sistemas HME, los productos sanitarios y los sistemas de IA de alto riesgo y el etiquetado voluntario para las aplicaciones sobre bienestar. El resto (menos de 100 millones EUR) correspondería a las autoridades públicas, a nivel nacional y de la UE, para completar la cobertura de MiSalud@UE.

En el ámbito del uso secundario de los datos sanitarios, las autoridades públicas, incluidos los reguladores y los responsables políticos de los Estados miembros y de la UE, asumirían los costes (400-700 millones EUR) del despliegue de los organismos de acceso a los datos sanitarios y de la infraestructura digital necesaria para conectarlos con las infraestructuras de investigación y los organismos de la UE, así como de la promoción de la interoperabilidad y la calidad de los datos.

La opción preferida se limita a los aspectos que los Estados miembros no pueden alcanzar satisfactoriamente por sí solos, como demuestra la evaluación del artículo 14 de la Directiva sobre asistencia sanitaria transfronteriza. La opción preferida es proporcionada, dada la intensidad media de la propuesta y los beneficios esperados para las personas físicas y la industria.

La evaluación de los efectos ambientales, en consonancia con la Legislación Europea sobre el Clima 34 , muestra que esta propuesta tendría efectos limitados sobre el clima y el medio ambiente. Si bien las nuevas infraestructuras digitales y el aumento de los volúmenes de tráfico y de almacenamiento de datos pueden aumentar la contaminación digital, una mayor interoperabilidad en la salud compensaría en gran medida esos efectos negativos al reducir la contaminación relacionada con los viajes y el uso de energía y papel.

Adecuación regulatoria y simplificación

No aplicables.

Derechos fundamentales

Dado que el uso de datos sanitarios electrónicos implica el tratamiento de datos personales sensibles, algunos elementos de la propuesta de Reglamento entran en el ámbito de aplicación de la legislación de la UE en materia de protección de datos. Las disposiciones de la presente propuesta se ajustan a la legislación de la UE en materia de protección de datos. Están concebidas para complementar los derechos previstos por la legislación de la UE en materia de protección de datos reforzando el control y el acceso de las personas físicas a sus datos sanitarios electrónicos. Se espera que la propuesta tenga un impacto positivo significativo en los derechos fundamentales relacionados con la protección de los datos personales y la libre circulación. Esto se debe a que, con arreglo a MiSalud@UE, las personas físicas podrán compartir efectivamente sus datos sanitarios electrónicos personales en la lengua del país de destino cuando viajen al extranjero o llevar dichos datos consigo cuando se trasladen a otro país. Las personas físicas tendrán posibilidades adicionales de acceder digitalmente a sus datos sanitarios electrónicos y transmitirlos, sobre la base de las disposiciones del RGPD. Los operadores del mercado del sector sanitario (ya sean prestadores de asistencia sanitaria o de servicios y productos digitales) estarán obligados a compartir datos sanitarios electrónicos con terceros del sector sanitario seleccionados por los usuarios. La propuesta proporcionará los medios para hacer valer estos derechos (a través de normas, especificaciones y etiquetas comunes) sin comprometer las medidas de seguridad necesarias para proteger los derechos de las personas físicas en virtud del RGPD. También contribuiría a una mayor protección de los datos personales relacionados con la salud y a la libre circulación de estos, consagradas en el artículo 16 del TFUE y en el RGPD.

En cuanto al uso secundario de datos sanitarios electrónicos, por ejemplo, para la innovación, la investigación, la política pública, la seguridad de los pacientes, la reglamentación o la medicina personalizada, la propuesta seguirá y cumplirá la legislación de la UE en materia de protección de datos en este ámbito. Se aplicarán garantías y medidas de seguridad sólidas para garantizar la plena protección del derecho fundamental a la protección de datos, de conformidad con el artículo 8 de la Carta de los Derechos Fundamentales de la Unión Europea. La propuesta establece un marco de la UE para el acceso a los datos sanitarios electrónicos con fines de investigación científica e histórica y con fines estadísticos, aprovechando las posibilidades que ofrece a este respecto el RGPD y, para las instituciones y organismos de la UE, el Reglamento de protección de datos de la UE. Incluirá medidas adecuadas y específicas necesarias para salvaguardar los derechos fundamentales y los intereses de las personas físicas de conformidad con el artículo 9, apartado 2, letras h), i) y j), del RGPD, así como el artículo 10, apartado 2, letras h), i) y j), del Reglamento de protección de datos de la UE. La creación de organismos de acceso a los datos sanitarios garantizará un acceso previsible y simplificado a los datos sanitarios electrónicos, así como un mayor nivel de transparencia, rendición de cuentas y seguridad en el tratamiento de los datos. La coordinación de estos organismos a escala de la UE y la consagración de sus actividades en un marco común garantizarán la igualdad de condiciones. Esto apoyará el análisis transfronterizo de datos sanitarios electrónicos para la investigación, la innovación, las estadísticas oficiales, la elaboración de políticas y la reglamentación. La promoción de la interoperabilidad de los datos sanitarios electrónicos y su uso secundario contribuirá a promover un mercado interior de la UE de datos sanitarios electrónicos, de conformidad con el artículo 114 del TFUE.

4.REPERCUSIONES PRESUPUESTARIAS

La presente propuesta establece una serie de obligaciones para las autoridades de los Estados miembros y la Comisión, y exige acciones específicas para promover el establecimiento y el funcionamiento del EEDS. Estas incluyen, en particular, el desarrollo, el despliegue y el mantenimiento de infraestructuras para los usos primarios y secundarios de los datos sanitarios electrónicos. El EEDS mantiene fuertes vínculos con otras acciones de la Unión en los ámbitos de la asistencia sanitaria y social, la digitalización, la investigación, la innovación y los derechos fundamentales.

En sus programas de trabajo de 2021 y 2022, UEproSalud (EU4Health) ya apoya el desarrollo y el establecimiento del EEDS con una contribución inicial sustancial de casi 110 millones EUR. Esto incluye el funcionamiento de la infraestructura existente para usos primarios de los datos sanitarios electrónicos (MiSalud@UE) y para su uso secundario [DatosSalud@UE (HealthData@EU)], la adopción de normas internacionales por parte de los Estados miembros, acciones de desarrollo de capacidades y otras acciones preparatorias, así como un proyecto piloto de infraestructuras para el uso secundario de datos sanitarios, un proyecto piloto para el acceso de los pacientes a sus datos sanitarios a través de MiSalud@UE y su ampliación, y el desarrollo de los servicios centrales para usos secundarios de los datos sanitarios.

El cumplimiento de las obligaciones por parte de la Comisión y las acciones de apoyo asociadas en el marco de la presente propuesta legislativa requerirán 220 millones EUR entre 2023 y 2027, y se financiarán directamente con cargo al programa UEproSalud (170 millones EUR) y adicionalmente con cargo al programa Europa Digital (50 millones EUR) 35 . En ambos casos, los gastos relacionados con la presente propuesta se cubrirán con los importes programados de estos programas.

La ejecución de acciones para el control por parte de las personas físicas de los datos sanitarios electrónicos personales y para su acceso a estos a efectos de la provisión de asistencia sanitaria (capítulo II) requerirá 110 millones EUR. Estas acciones incluyen las operaciones de los servicios de la plataforma sanitaria digital europea para MiSalud@UE, las auditorías de los Estados miembros para los puntos de contacto nacionales para la salud digital como parte de MiSalud@UE, así como el apoyo a la adopción de normas internacionales y al acceso de los pacientes a los datos sanitarios a través de MiSalud@UE.

La aplicación del esquema de autocertificación de los sistemas HME (capítulo III) requerirá más de 14 millones EUR para desarrollar y mantener una base de datos europea para sistemas interoperables de HME y aplicaciones sobre bienestar. Adicionalmente, los Estados miembros tendrán que designar autoridades de vigilancia del mercado encargadas de aplicar los requisitos legislativos. Su función supervisora para la autocertificación de los sistemas HME podría basarse en los dispositivos existentes, por ejemplo en materia de vigilancia del mercado, pero debería estar dotada de conocimientos especializados y de recursos humanos y financieros suficientes. Las acciones para el uso secundario de datos sanitarios electrónicos para la investigación, la innovación, la elaboración de políticas, las decisiones reglamentarias, la seguridad de los pacientes o la medicina personalizada (capítulo IV) requerirán 96 millones EUR. Esta financiación cubrirá la plataforma europea y las auditorías de los Estados miembros para los nodos de conexión, como parte de la infraestructura para usos secundarios de datos sanitarios electrónicos (DatosSalud@UE).

Además, los costes de la conexión de los Estados miembros a las infraestructuras europeas en el marco del EEDS estarán parcialmente cubiertos por programas de financiación de la UE que complementarán UEproSalud. Instrumentos como el Mecanismo de Recuperación y Resiliencia y el Fondo Europeo de Desarrollo Regional (FEDER) podrán apoyar la conexión de los Estados miembros a las infraestructuras europeas.

La aplicación de los objetivos y las disposiciones de este Reglamento se complementará con otras acciones en el marco del programa Europa Digital, el Mecanismo «Conectar Europa» y Horizonte Europa. Estos programas, entre otros, tienen por objeto, respectivamente y, en particular en el ámbito de la salud, crear y fortalecer los recursos de datos de calidad y sus correspondientes mecanismos de intercambio 36 (en el marco del objetivo específico «Inteligencia artificial») y desarrollar, promover e impulsar la excelencia científica 37 . Entre los ejemplos de esta complementariedad figuran el apoyo horizontal al desarrollo y al proyecto piloto a gran escala de una plataforma inteligente de soporte intermedio para espacios comunes de datos, a la que ya se han asignado 105 millones EUR del programa Europa Digital en 2021-2022; inversiones en ámbitos específicos para facilitar el acceso transfronterizo seguro a las imágenes y la genómica del cáncer, financiadas por el programa Europa Digital en 2021-2022 con 38 millones EUR; y los proyectos de investigación e innovación y las acciones de coordinación y apoyo en materia de calidad e interoperabilidad de los datos sanitarios, que ya han recibido 108 millones EUR procedentes de Horizonte Europa (bloque 1) en 2021 y 2022, así como 59 millones EUR del programa de infraestructuras de investigación. Horizonte Europa también ha proporcionado en 2021 y 2022 financiación adicional para el uso secundario de datos sanitarios dirigido a la COVID-19 (42 millones EUR) y al cáncer (3 millones EUR). 

Además, en los casos en los que el sector sanitario carezca de conectividad física, el Mecanismo «Conectar Europa» también contribuir[á] al desarrollo de proyectos de interés común relativos al despliegue de redes digitales seguras desde los puntos de vista operacional y físico de muy alta capacidad y al acceso a las mismas, incluidos sistemas 5G, y al aumento de la resiliencia y la capacidad de las redes troncales digitales en territorios de la Unión 38 . En 2022 y 2023 se han programado 130 millones EUR para la interconexión de las infraestructuras en la nube, también en el ámbito de la salud.

Los costes administrativos de la Comisión se estiman en unos 17 millones EUR, incluidos los costes de recursos humanos y otros gastos administrativos.

La ficha de financiación legislativa, aneja a la presente propuesta, establece las implicaciones presupuestarias y los recursos administrativos y humanos.

5.OTROS ELEMENTOS

Planes de ejecución y modalidades de seguimiento, evaluación e información

Debido a la naturaleza dinámica de la transformación digital de la salud, el seguimiento de los efectos derivados del EEDS constituirá una parte clave de la acción en este ámbito. Para garantizar que las medidas políticas seleccionadas realmente arrojen los resultados previstos y para articular las posibles futuras revisiones, el seguimiento y la evaluación de la aplicación de la presente propuesta resultan necesarios.

El seguimiento de los objetivos específicos y las obligaciones reglamentarias se logrará, en primer lugar, mediante la presentación de informes por parte de las autoridades de sanidad digital y los organismos de acceso a los datos sanitarios. Además, se realizará un seguimiento de los indicadores de MiSalud@UE y de la infraestructura para usos secundarios de los datos sanitarios electrónicos.

La implantación de las infraestructuras, en particular la implantación de la plataforma europea de la nueva infraestructura para usos secundarios de datos sanitarios electrónicos, se llevará a cabo en consonancia con el marco general de gobernanza informática de la Comisión Europea. Por tanto, las opciones de desarrollo de tecnologías de la información y de contratación pública estarán sujetas a la aprobación previa del Consejo de Tecnologías de la Información y Ciberseguridad de la Comisión Europea.

Explicación detallada de las disposiciones específicas de la propuesta

El capítulo I presenta el objeto y el ámbito de aplicación del Reglamento, establece las definiciones utilizadas en todo el instrumento y explica su relación con otros instrumentos de la UE.

El capítulo II desarrolla los derechos y mecanismos adicionales diseñados para complementar los derechos de las personas físicas previstos en el RGPD en relación con sus datos sanitarios electrónicos. Además, describe las obligaciones de los distintos profesionales sanitarios en relación con los datos sanitarios electrónicos. La integración de algunos tipos de datos sanitarios electrónicos en el EEDS se considera prioritaria, en un proceso gradual con un período de transición. Los Estados miembros tendrán que crear una autoridad de sanidad digital responsable de realizar el seguimiento de estos derechos y mecanismos y de garantizar que estos derechos adicionales de las personas físicas se apliquen correctamente. Este capítulo incluye disposiciones relativas a la interoperabilidad de determinados conjuntos de datos relacionados con la salud. Los Estados miembros también tendrán que designar un punto de contacto nacional que se encargará de hacer cumplir las obligaciones y requisitos de dicho capítulo. Por último, se ha concebido una infraestructura común MiSalud@UE para facilitar el intercambio transfronterizo de datos sanitarios electrónicos.

El capítulo III se centra en la aplicación de un esquema de autocertificación obligatorio para los sistemas HME, en el que dichos sistemas deben cumplir los requisitos esenciales relacionados con la interoperabilidad y la seguridad. Este enfoque es necesario para garantizar la compatibilidad de los historiales médicos electrónicos de cada sistema y para facilitar la transmisión de datos sanitarios electrónicos entre ellos. Este capítulo define las obligaciones de cada operador económico de los sistemas HME, los requisitos relativos a la conformidad de dichos sistemas, así como las obligaciones de las autoridades de vigilancia del mercado responsables de los sistemas HME en el contexto de sus actividades. También incluye disposiciones sobre el etiquetado voluntario de las aplicaciones sobre bienestar, interoperables con los sistemas HME, y establece una base de datos de la UE en la que se registrarán los sistemas HME certificados y las aplicaciones sobre bienestar etiquetadas.

El capítulo IV facilita el uso secundario de los datos sanitarios electrónicos, por ejemplo, para actividades de investigación, innovación, elaboración de políticas, seguridad de los pacientes o actividades reglamentarias. En él se define un conjunto de tipos de datos que pueden utilizarse para unos fines definidos, así como los fines prohibidos (por ejemplo, uso de datos contra personas, publicidad comercial, aumento de los seguros, desarrollo de productos peligrosos). Los Estados miembros tendrán que crear un organismo de acceso a los datos sanitarios para el uso secundario de los datos sanitarios electrónicos y garantizar que los titulares de los datos faciliten los datos electrónicos a los usuarios de los datos. Este capítulo también contiene disposiciones sobre la aplicación de la cesión altruista de datos en el ámbito de la salud. También se establecen los deberes y las obligaciones del organismo de acceso a los datos sanitarios, los titulares de los datos y los usuarios de los datos. En particular, los titulares de datos deben cooperar con el organismo de acceso a los datos sanitarios para garantizar que los usuarios de los datos dispongan de datos sanitarios electrónicos. Además, se definen las responsabilidades de los organismos de acceso a los datos sanitarios y de los usuarios de los datos como corresponsables del tratamiento de los datos sanitarios electrónicos en cuestión.

El uso secundario de datos sanitarios electrónicos puede acarrear costes. Este capítulo incluye disposiciones generales sobre la transparencia del cálculo de las tasas. A nivel práctico, se establecen, en particular, requisitos relativos a la seguridad del entorno de tratamiento seguro. Dicho entorno de tratamiento seguro es necesario para acceder a los datos sanitarios electrónicos y tratarlos con arreglo a este capítulo. En la sección 3 se enumeran las condiciones y la información que ha de incluirse en el formulario de petición de datos para obtener acceso a los datos sanitarios electrónicos. También se describen las condiciones asociadas a la expedición del permiso de datos.

La sección 4 de este capítulo contiene principalmente disposiciones sobre la creación y el fomento del acceso transfronterizo a los datos sanitarios electrónicos, de modo que un usuario de datos de un Estado miembro pueda tener acceso a datos sanitarios electrónicos para uso secundario desde otros Estados miembros, sin tener que solicitar un permiso de datos a todos estos Estados miembros. También se describen las infraestructuras transfronterizas diseñadas para permitir este proceso y su funcionamiento.

Por último, este capítulo contiene disposiciones relacionadas con la descripción de los conjuntos de datos y su calidad. Con ello se permitiría a los usuarios de datos determinar el contenido y la calidad potencial del conjunto de datos utilizado y evaluar si estos conjuntos de datos son adecuados para su finalidad.

El capítulo V tiene por objeto presentar otras medidas para que los Estados miembros promuevan la mejora de las capacidades para acompañar el desarrollo del EEDS. Entre ellas figuran el intercambio de información sobre servicios públicos digitales, financiación, etc. Además, este capítulo regula el acceso internacional a datos no personales en el EEDS.

El capítulo VI crea el Consejo del Espacio Europeo de Datos Sanitarios (en lo sucesivo, «el Consejo del EEDS»), que facilitará la cooperación entre las autoridades de sanidad digital y los organismos de acceso a los datos sanitarios, y en particular la relación entre el uso primario y secundario de los datos sanitarios electrónicos. Podrán crearse subgrupos específicos, por ejemplo sobre el uso primario y sobre el uso secundario de los datos sanitarios electrónicos, para centrarse en cuestiones o procesos específicos. El Consejo se encargará de promover la colaboración entre las autoridades de sanidad digital y los organismos de acceso a los datos sanitarios. Asimismo, este capítulo regula la composición del Consejo y organiza su funcionamiento.

Además, este capítulo contiene disposiciones relativas a los grupos de corresponsabilidad del tratamiento de las infraestructuras de la UE que se encargarán de tomar decisiones relacionadas con la infraestructura digital transfronteriza necesaria, tanto para el uso primario como secundario de los datos sanitarios electrónicos.

El capítulo VII permite a la Comisión adoptar actos delegados sobre el EEDS. Tras la adopción de la propuesta, la Comisión tiene la intención de crear un grupo de expertos en consonancia con la Decisión C(2016) 3301, para asesorarla y asistirla en la preparación de los actos delegados, así como en cuestiones relacionadas con la aplicación del Reglamento en lo que respecta a:

conseguir unos beneficios económicos y sociales sostenibles a partir de los sistemas y servicios europeos de sanidad electrónica y las aplicaciones interoperables, que permitan alcanzar un alto grado de confianza y seguridad, mejorar la continuidad de la asistencia sanitaria y garantizar que esta sea segura y de calidad;

mejorar la interoperabilidad de los datos sanitarios electrónicos para la asistencia sanitaria, basándose en las normas europeas, nacionales o internacionales existentes y en la experiencia de otros espacios de datos;

la aplicación armonizada del acceso a datos sanitarios electrónicos para uso primario y de su intercambio, a escala nacional y de la UE;

la interoperabilidad de los sistemas HME y de otros productos que transmiten datos a los historiales médicos electrónicos, incluidos los productos sanitarios, los sistemas de IA y las aplicaciones sobre bienestar; cuando proceda, el grupo de expertos cooperará con el Grupo de Coordinación de Productos Sanitarios y el Comité Europeo de Inteligencia Artificial;

las categorías mínimas de datos sanitarios electrónicos para uso secundario;

la aplicación armonizada del acceso a datos sanitarios electrónicos para uso secundario, a escala nacional y de la UE;

las actividades de cesión altruista de datos en el sector sanitario;

una política armonizada de tasas para el uso secundario de datos sanitarios electrónicos;

las sanciones aplicadas por los organismos de acceso a los datos sanitarios;

los requisitos mínimos y las especificaciones técnicas de DatosSalud@UE y de los entornos de tratamiento seguros;

los requisitos y las especificaciones técnicas de la etiqueta de calidad y utilidad de los datos;

los conjuntos mínimos de datos;

los requisitos técnicos para apoyar la cesión altruista de datos en el sector sanitario;

otros elementos relacionados con el uso primario y secundario de los datos sanitarios electrónicos.

El grupo de expertos podrá cooperar y consultar al Grupo de Coordinación de Productos Sanitarios y al Comité Europeo de Inteligencia Artificial, cuando proceda.

El capítulo VIII contiene disposiciones sobre cooperación y sanciones y establece las disposiciones finales.

2022/0140 (COD)

Propuesta de

REGLAMENTO DEL PARLAMENTO EUROPEO Y DEL CONSEJO

sobre el Espacio Europeo de Datos Sanitarios

(Texto pertinente a efectos del EEE)

EL PARLAMENTO EUROPEO Y EL CONSEJO DE LA UNIÓN EUROPEA,

Visto el Tratado de Funcionamiento de la Unión Europea, y en particular sus artículos 16 y 114,

Vista la propuesta de la Comisión Europea,

Previa transmisión del proyecto de acto legislativo a los parlamentos nacionales,

Visto el dictamen del Comité Económico y Social Europeo 39 ,

Visto el dictamen del Comité de las Regiones 40 ,

De conformidad con el procedimiento legislativo ordinario,

Considerando lo siguiente:

(1)El objetivo del presente Reglamento es crear el Espacio Europeo de Datos Sanitarios (EEDS) con el fin de mejorar el acceso por parte de las personas físicas a sus datos sanitarios electrónicos personales, y el control de dichos datos, en el contexto de la asistencia sanitaria (uso primario de los datos sanitarios electrónicos), así como para otros fines que beneficiarían a la sociedad, como la investigación, la innovación, la formulación de políticas, la seguridad de los pacientes, la medicina personalizada, las estadísticas oficiales o las actividades reglamentarias (uso secundario de los datos sanitarios electrónicos). Además, su finalidad es mejorar el funcionamiento del mercado interior mediante el establecimiento de un marco jurídico uniforme, en particular en lo que respecta al desarrollo, la comercialización y el uso de los sistemas de historiales médicos electrónicos («sistemas HME») de conformidad con los valores de la Unión.

(2)La pandemia de COVID-19 ha puesto de relieve la necesidad de tener un acceso oportuno a datos sanitarios electrónicos para la preparación y respuesta ante las amenazas para la salud, así como para el diagnóstico, el tratamiento y el uso secundario de los datos sanitarios. Disponer de este acceso a su debido tiempo habría contribuido, mediante una vigilancia y un seguimiento eficientes de la salud pública, a una gestión más eficaz de la pandemia y, en última instancia, habría ayudado a salvar vidas. En 2020, la Comisión adaptó urgentemente su Sistema de Gestión Clínica de Pacientes, establecido por la Decisión de Ejecución (UE) 2019/1269 de la Comisión 41 , para permitir a los Estados miembros compartir datos sanitarios electrónicos de los pacientes de COVID-19 que se desplazaban entre los prestadores de asistencia sanitaria y los Estados miembros durante el período álgido de la pandemia, pero esta era solo una solución de emergencia, que mostraba la necesidad de un enfoque estructural a escala de los Estados miembros y de la Unión.

(3)La crisis de la COVID-19 consolidó a la red de sanidad electrónica, una red voluntaria de autoridades de sanidad digital, como el principal pilar para el desarrollo de aplicaciones de rastreo de contactos y de alerta, así como de los aspectos técnicos de los certificados COVID digitales de la UE. También destacó la necesidad de compartir datos sanitarios electrónicos que sean fáciles de encontrar, accesibles, interoperables y reutilizables («principios FAIR»), y de garantizar que los datos sanitarios electrónicos sean tan abiertos como sea posible y tan cerrados como sea necesario. Deben garantizarse las sinergias entre el EEDS, la Nube Europea de la Ciencia Abierta 42 y las infraestructuras europeas de investigación, así como las lecciones aprendidas de las soluciones de intercambio de datos desarrolladas en el marco de la plataforma europea de datos sobre la COVID-19.

(4)El tratamiento de los datos sanitarios electrónicos personales está sujeto a las disposiciones del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo 43 y, en el caso de las instituciones y organismos de la Unión, del Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo 44 . Las referencias a las disposiciones del Reglamento (UE) 2016/679 deben entenderse también como referencias a las disposiciones correspondientes del Reglamento (UE) 2018/1725 para las instituciones y organismos de la Unión, cuando proceda.

(5)Cada vez son más los europeos que cruzan las fronteras nacionales para trabajar, estudiar, visitar a familiares o viajar. Para facilitar el intercambio transfronterizo de datos sanitarios, y en consonancia con la necesidad de facultar a la ciudadanía, los miembros de esta deben poder acceder a sus datos sanitarios en un formato electrónico que pueda ser reconocido y aceptado en toda la Unión. Estos datos sanitarios electrónicos personales podrían incluir datos personales relacionados con la salud física o mental de las personas físicas, incluido el uso de los servicios de asistencia sanitaria, que revelen información sobre su estado de salud, y datos personales sobre las características genéticas heredadas o adquiridas de las personas físicas, que proporcionen información única sobre la fisiología o la salud de dicha persona física y que resulten, en particular, del análisis de una muestra biológica de la persona física en cuestión, así como datos sobre factores determinantes de la salud, como los conductuales, los medioambientales, las influencias físicas, la atención médica y los factores sociales o educacionales. Los datos sanitarios electrónicos también incluyen los datos que han sido inicialmente recogidos para la investigación, las estadísticas, la elaboración de políticas y la reglamentación y pueden ponerse a disposición de conformidad con las normas del capítulo IV. Los datos sanitarios electrónicos se refieren a todas esas categorías de datos, independientemente de que los faciliten los interesados u otras personas físicas o jurídicas, como los profesionales sanitarios, o se traten en relación con la salud o el bienestar de las personas físicas, y deben incluir también los datos inferidos o derivados, como los diagnósticos, las pruebas y los exámenes médicos, así como los datos observados y registrados de forma automática.

(6)El capítulo III del Reglamento (UE) 2016/679 establece disposiciones específicas relativas a los derechos de las personas físicas en relación con el tratamiento de sus datos personales. El EEDS se basa en los mencionados derechos y desarrolla algunos de ellos. El EEDS debe apoyar la aplicación coherente de esos derechos aplicados a los datos sanitarios electrónicos, independientemente del Estado miembro en el que se traten los datos sanitarios electrónicos personales, el tipo de prestador de asistencia sanitaria, las fuentes de datos o el Estado miembro de afiliación de la persona física. Los derechos y normas relacionados con el uso primario de los datos sanitarios electrónicos personales con arreglo a los capítulos II y III del presente Reglamento se refieren a todas las categorías de dichos datos, con independencia de cómo se hayan recogido o de quien los haya facilitado, del fundamento jurídico del tratamiento en virtud del Reglamento (UE) 2016/679, o de si el fundamento jurídico del responsable del tratamiento para actuar como tal es su condición de organización pública o privada.

(7)En los sistemas sanitarios, los datos sanitarios electrónicos personales suelen recogerse en historiales médicos electrónicos, que habitualmente contienen el historial médico de las personas físicas, los diagnósticos y tratamientos, los medicamentos, las alergias, las inmunizaciones, así como las imágenes radiológicas y los resultados de laboratorio, distribuidos entre diferentes entidades del sistema sanitario (médicos generales, hospitales, farmacias, servicios asistenciales). Para que las personas físicas o los profesionales sanitarios puedan acceder a los datos sanitarios electrónicos, compartirlos y modificarlos, algunos Estados miembros han adoptado las medidas jurídicas y técnicas necesarias y han creado infraestructuras centralizadas que conectan los sistemas HME utilizados por los prestadores de asistencia sanitaria y las personas físicas. Como alternativa, algunos Estados miembros apoyan la creación por parte de los prestadores de asistencia sanitaria públicos y privados de espacios de datos sanitarios personales que permitan la interoperabilidad entre los distintos prestadores de asistencia sanitaria. Varios Estados miembros también han apoyado o proporcionado servicios de acceso a los datos sanitarios para pacientes y profesionales sanitarios (por ejemplo, a través de portales de pacientes o profesionales sanitarios). Dichos Estados también han tomado medidas para garantizar que los sistemas HME o las aplicaciones sobre bienestar puedan transmitir datos sanitarios electrónicos con el sistema central de HME (algunos Estados miembros lo hacen garantizando, por ejemplo, un sistema de certificación). Sin embargo, no todos los Estados miembros han implantado tales sistemas, y los Estados miembros que los han aplicado lo han hecho de manera fragmentada. Con el fin de facilitar la libre circulación de los datos sanitarios personales en toda la Unión y evitar consecuencias negativas para los pacientes que reciben asistencia sanitaria en un contexto transfronterizo, es necesaria una acción de la Unión para garantizar que las personas tengan un acceso mejorado a sus propios datos sanitarios electrónicos personales y dispongan de las herramientas para compartirlos.

(8)El derecho de acceso a los datos por parte de las personas físicas, establecido en el artículo 15 del Reglamento (UE) 2016/679, debe seguir desarrollándose en el sector de la salud. En virtud del Reglamento (UE) 2016/679, los responsables del tratamiento no tienen que facilitar el acceso inmediatamente. Aunque en muchos lugares existen portales de pacientes, aplicaciones para dispositivos móviles y otros servicios de acceso a los datos sanitarios personales, incluidas las soluciones nacionales de algunos Estados miembros, el derecho de acceso a los datos sanitarios sigue aplicándose habitualmente en muchos lugares mediante el suministro de los datos sanitarios solicitados en formato papel o como documentos escaneados, lo que lleva mucho tiempo. Esto puede obstaculizar gravemente que las personas físicas accedan a tiempo a los datos sanitarios y tener un impacto negativo en las personas físicas que necesiten acceder inmediatamente debido a circunstancias urgentes relacionadas con su estado de salud. 

(9)Al mismo tiempo, debe considerarse que el acceso inmediato a determinados tipos de datos sanitarios electrónicos personales puede ser perjudicial para la seguridad de las personas físicas, poco ético o inadecuado. Por ejemplo, podría ser poco ético informar a un paciente a través de un canal electrónico sobre un diagnóstico de una enfermedad incurable que probablemente conduzca a su rápido fallecimiento, en lugar de facilitar esta información en primer lugar en una consulta con el paciente. Por lo tanto, debe garantizarse la posibilidad de excepciones limitadas a la aplicación de este derecho. Los Estados miembros podrán imponer tales excepciones cuando constituyan una medida necesaria y proporcionada en una sociedad democrática, de conformidad con los requisitos del artículo 23 del Reglamento (UE) 2016/679. Estas restricciones deben aplicarse retrasando la presentación de los datos sanitarios electrónicos personales de que se trate a la persona física durante un período limitado. Cuando los datos sanitarios solo estén disponibles en papel, si el esfuerzo por facilitar los datos por vía electrónica es desproporcionado, los Estados miembros no deben estar obligados a convertir dichos datos sanitarios en formato electrónico. Toda transformación digital en el sector sanitario debe aspirar a ser inclusiva y beneficiar también a las personas físicas con capacidad limitada para acceder a los servicios digitales y utilizarlos. Las personas físicas deben poder conceder una autorización a las personas físicas de su elección, como a sus familiares u otras personas físicas cercanas, que les permita acceder a sus datos sanitarios electrónicos personales o controlar el acceso a ellos, o utilizar los servicios sanitarios digitales en su nombre. Estas autorizaciones también pueden ser útiles por razones de conveniencia en otras situaciones. Los Estados miembros deben establecer servicios de representación para aplicar estas autorizaciones, que deben estar vinculados a servicios de acceso a datos sanitarios personales, como los portales de pacientes en las aplicaciones para dispositivos móviles orientadas al paciente. Los servicios de representación también deben permitir a los tutores actuar en nombre de sus hijos a cargo; en tales situaciones, las autorizaciones podrían ser automáticas. A fin de tener en cuenta los casos en que la exhibición de algunos datos sanitarios electrónicos personales de los menores a sus tutores podría ser contraria a los intereses o la voluntad del menor, los Estados miembros deben poder establecer dichas limitaciones y garantías en el Derecho nacional, así como la aplicación técnica necesaria. Los servicios de acceso a los datos sanitarios personales, como los portales de pacientes o las aplicaciones para dispositivos móviles, deben hacer uso de dichas autorizaciones y permitir así que las personas físicas autorizadas accedan a los datos sanitarios electrónicos personales que entran en el ámbito de la autorización, a fin de que produzcan el efecto deseado.

(10)Algunos Estados miembros permiten a las personas físicas añadir datos sanitarios electrónicos a sus historiales médicos electrónicos o almacenar información adicional en su propio historial médico personal a la que pueden acceder los profesionales sanitarios. Sin embargo, no se trata de una práctica común en todos los Estados miembros y, por lo tanto, el EEDS debería establecerla en toda la UE. La información introducida por personas físicas puede no ser tan fiable como los datos sanitarios electrónicos introducidos y verificados por los profesionales sanitarios, por lo que debe marcarse claramente para indicar la fuente de dichos datos adicionales. Permitir a las personas físicas un acceso más fácil y rápido a sus datos sanitarios electrónicos también les permite detectar posibles errores, como la información incorrecta o las historias clínicas asignadas incorrectamente a los pacientes, y obtener su rectificación en el ejercicio de sus derechos en virtud del Reglamento (UE) 2016/679. En tales casos, las personas físicas deben poder solicitar la rectificación de los datos sanitarios electrónicos incorrectos en línea, de forma inmediata y gratuita, por ejemplo a través del servicio de acceso a los datos sanitarios personales. Las solicitudes de rectificación de datos deben ser evaluadas y, en su caso, aplicadas por los responsables del tratamiento de datos caso por caso, con la participación, si es necesario, de profesionales sanitarios.

(11)Las personas físicas deben estar facultadas para intercambiar los datos sanitarios electrónicos personales con los profesionales sanitarios de su elección, y facilitar su acceso a dichos datos, más allá del derecho a la portabilidad de los datos establecido en el artículo 20 del Reglamento (UE) 2016/679. Esto es necesario para abordar dificultades y obstáculos objetivos en la situación actual. En virtud del Reglamento (UE) 2016/679, la portabilidad se limita únicamente a los datos tratados sobre la base del consentimiento o de un contrato, lo que excluye los datos tratados con arreglo a otras bases jurídicas, como cuando el tratamiento se basa en la ley, por ejemplo, cuando es necesario para el cumplimiento de una misión de interés público o en el ejercicio del poder público otorgado al responsable del tratamiento. Solo se refiere a los datos facilitados por el interesado a un responsable del tratamiento, excluyendo muchos datos inferidos o indirectos, como diagnósticos o ensayos. Por último, en virtud del Reglamento (UE) 2016/679, la persona física tiene derecho a que los datos personales se transmitan directamente de un responsable del tratamiento a otro solo cuando sea técnicamente posible. Sin embargo, dicho Reglamento no impone la obligación de hacer técnicamente viable esta transmisión directa. Todos estos elementos limitan la portabilidad de los datos y pueden limitar sus beneficios por la prestación de servicios sanitarios de alta calidad, seguros y eficientes a las personas físicas.

(12)Las personas físicas deben poder controlar la transmisión de sus datos sanitarios electrónicos personales a otros prestadores de asistencia sanitaria. Los prestadores de asistencia sanitaria y otras organizaciones que proporcionan historiales médicos electrónicos deben facilitar el ejercicio de este derecho. Las partes interesadas, como los prestadores de asistencia sanitaria, los proveedores de servicios sanitarios digitales o los fabricantes de sistemas HME o de productos sanitarios, no deben limitar ni bloquear el ejercicio del derecho de portabilidad debido al uso de normas de dominio privado u otras medidas adoptadas para limitar la portabilidad. Por estas razones, el marco establecido por el presente Reglamento se basa en el derecho a la portabilidad de los datos establecido en el Reglamento (UE) 2016/679, garantizando que las personas físicas, como interesados, puedan transmitir sus datos sanitarios electrónicos, incluidos los datos inferidos, con independencia de la base jurídica para el tratamiento de los datos sanitarios electrónicos. Este derecho debe aplicarse a los datos sanitarios electrónicos tratados por responsables públicos o privados, independientemente de la base jurídica para el tratamiento de los datos de conformidad con el Reglamento (UE) 2016/679. Este derecho debe aplicarse a todos los datos sanitarios electrónicos.

(13)Es posible que las personas físicas no deseen permitir el acceso a algunas partes de sus datos sanitarios electrónicos personales al tiempo que permiten el acceso a otras partes. Debe apoyarse este intercambio selectivo de datos sanitarios electrónicos personales. Sin embargo, estas restricciones pueden tener consecuencias que amenacen la vida y, por lo tanto, el acceso a los datos sanitarios electrónicos personales debe ser posible para proteger intereses vitales en caso de emergencia. De conformidad con el Reglamento (UE) 2016/679, el interés vital se refiere a situaciones en las que sea necesario proteger un interés esencial para la vida del interesado o de otra persona física. En principio, los datos sanitarios electrónicos personales únicamente deben tratarse sobre la base del interés vital de otra persona física cuando el tratamiento no pueda basarse manifiestamente en una base jurídica diferente. Los Estados miembros deben establecer disposiciones jurídicas más específicas en la legislación nacional sobre los mecanismos de restricción impuestos por la persona física a partes de sus datos sanitarios electrónicos personales. Dado que la indisponibilidad de los datos sanitarios electrónicos personales restringidos puede afectar a la prestación o la calidad de los servicios sanitarios que recibe la persona física, esta debe asumir la responsabilidad del hecho de que el prestador de asistencia sanitaria no pueda tener en cuenta los datos al prestar servicios sanitarios.

(14)En el contexto del EEDS, las personas físicas deben poder ejercer sus derechos consagrados en el Reglamento (UE) 2016/679. Las autoridades de control establecidas de conformidad con el artículo 51 del Reglamento (UE) 2016/679 deben seguir siendo competentes, en particular para supervisar el tratamiento de los datos sanitarios electrónicos personales y para tramitar las reclamaciones presentadas por las personas físicas. A fin de llevar a cabo sus funciones en el sector sanitario y defender los derechos de las personas físicas, las autoridades de sanidad digital deben cooperar con las autoridades de control en virtud del Reglamento (UE) 2016/679.

(15)El artículo 9, apartado 2, letra h), del Reglamento (UE) 2016/679 establece excepciones cuando el tratamiento de datos sensibles es necesario para fines de medicina preventiva o laboral, evaluación de la capacidad laboral del trabajador, diagnóstico médico, prestación de asistencia sanitaria, o tratamiento o gestión de los sistemas y servicios sanitarios sobre la base del Derecho de la Unión o de los Estados miembros. El presente Reglamento debe establecer condiciones y garantías para el tratamiento de datos sanitarios electrónicos por parte de los prestadores de asistencia sanitaria y los profesionales sanitarios, de conformidad con el artículo 9, apartado 2, letra h), del Reglamento (UE) 2016/679, con el fin de acceder a los datos sanitarios electrónicos personales facilitados por las personas físicas o transmitidos por otros prestadores de asistencia sanitaria. No obstante, el presente Reglamento debe entenderse sin perjuicio de las legislaciones nacionales relativas al tratamiento de datos sanitarios, incluida la legislación que establece las categorías de profesionales sanitarios que pueden tratar las diferentes categorías de datos sanitarios electrónicos.

(16)El acceso oportuno y pleno de los profesionales sanitarios a los historiales médicos de los pacientes es fundamental para garantizar la continuidad de la asistencia y evitar duplicaciones y errores. Sin embargo, debido a la falta de interoperabilidad, en muchos casos los profesionales sanitarios no pueden acceder a los historiales médicos completos de sus pacientes y no pueden tomar decisiones médicas óptimas para su diagnóstico y tratamiento, lo que añade costes considerables tanto para los sistemas sanitarios como para las personas físicas y puede dar lugar a peores resultados sanitarios para estas. Los datos sanitarios electrónicos disponibles en un formato interoperable, que pueden transmitirse entre los prestadores de asistencia sanitaria, también pueden reducir la carga administrativa que supone para los profesionales sanitarios introducir o copiar manualmente los datos sanitarios entre los sistemas electrónicos. Por consiguiente, para que los profesionales sanitarios utilicen datos sanitarios electrónicos personales en el ejercicio de sus funciones, deben disponer de los medios electrónicos adecuados, como los portales de profesionales sanitarios. Además, el acceso a los historiales médicos personales debe ser transparente para las personas físicas y estas deben poder ejercer un control pleno sobre dicho acceso, en particular limitando el acceso a la totalidad o a parte de los datos sanitarios electrónicos personales que figuren en sus registros. Los profesionales sanitarios deben abstenerse de obstaculizar la aplicación de los derechos de las personas físicas, como ocurriría si se negaran a tener en cuenta los datos sanitarios electrónicos procedentes de otro Estado miembro y proporcionados en el formato de intercambio de historiales médicos electrónicos de ámbito europeo interoperable y fiable.

(17)La pertinencia de las diferentes categorías de datos sanitarios electrónicos para los distintos escenarios sanitarios varía. Las diferentes categorías también han alcanzado distintos niveles de madurez en la normalización, por lo que la aplicación de mecanismos para su intercambio puede ser más o menos compleja en función de la categoría. Por lo tanto, la mejora de la interoperabilidad y el intercambio de datos debe ser gradual y es necesaria una priorización de las categorías de datos sanitarios electrónicos. Entre las categorías de datos sanitarios electrónicos, la red de sanidad electrónica ha seleccionado los historiales resumidos del paciente, las recetas y dispensaciones electrónicas, los resultados e informes de laboratorio, los informes de alta hospitalaria, y las imágenes médicas y los informes de imagen, como los más pertinentes para la mayoría de las situaciones de asistencia sanitaria, y deben considerarse categorías prioritarias, en cuanto a la aplicación de su acceso y su transmisión, por parte de los Estados miembros. Cuando se identifiquen nuevas necesidades de intercambio de más categorías de datos sanitarios electrónicos a efectos de asistencia sanitaria, debe ampliarse la lista de categorías prioritarias. La Comisión debe estar facultada para ampliar la lista de categorías prioritarias, tras analizar aspectos pertinentes relacionados con la necesidad y la posibilidad de intercambiar nuevos conjuntos de datos, por ejemplo, el apoyo de los sistemas establecidos a nivel nacional o regional por los Estados miembros a dichos conjuntos de datos. Debe prestarse especial atención al intercambio de datos en las regiones fronterizas de los Estados miembros vecinos en las que la prestación de servicios sanitarios transfronterizos es más frecuente y necesita procedimientos aún más rápidos que en toda la Unión en general.

(18)Siempre que sea técnicamente posible, debe permitirse el acceso a todos los datos sanitarios electrónicos que existan en el historial médico electrónico (HME) de una persona física, así como el intercambio de estos. Sin embargo, algunos datos sanitarios electrónicos pueden no estar estructurados o codificados, y la transmisión entre prestadores de asistencia sanitaria puede ser limitada o solo posible en formatos que no permiten la traducción (cuando los datos se comparten a través de las fronteras). A fin de disponer de tiempo suficiente para prepararse para la aplicación, deben fijarse fechas de aplicación diferida que permitan alcanzar la preparación jurídica, organizativa, semántica y técnica para la transmisión de diferentes categorías de datos sanitarios electrónicos. Cuando se detecte la necesidad de intercambiar nuevas categorías de datos sanitarios electrónicos, deben determinarse las fechas de aplicación correspondientes a fin de permitir la realización de dicho intercambio.

(19)El nivel de disponibilidad de datos personales sanitarios y genéticos en formato electrónico varía de un Estado miembro a otro. El EEDS debe facilitar a las personas físicas la disponibilidad de esos datos en formato electrónico. Esto también contribuiría a la consecución del objetivo de que el 100 % de los ciudadanos de la Unión tengan acceso a sus historiales médicos electrónicos de aquí a 2030, tal como se menciona en el programa político «Itinerario hacia la Década Digital». Con el fin de que los datos sanitarios electrónicos sean accesibles y transmisibles, el acceso a ellos y su transmisión deben poder realizarse en un formato común de intercambio de historiales médicos electrónicos de ámbito europeo, al menos para determinadas categorías de datos sanitarios electrónicos, como los historiales resumidos de los pacientes, las recetas y dispensaciones electrónicas, las imágenes médicas y los informes de imagen, los resultados de laboratorio y los informes de alta, que estarán sujetos a períodos transitorios. Cuando una persona física facilite datos sanitarios electrónicos personales a un prestador de asistencia sanitaria o a una farmacia, o estos datos sean transmitidos por otro responsable del tratamiento en el formato de intercambio de historiales médicos electrónicos de ámbito europeo, los datos sanitarios electrónicos deben leerse y aceptarse para la prestación de asistencia sanitaria o para la dispensación de medicamentos, apoyando así la prestación de servicios sanitarios o la dispensación de la receta electrónica. La Recomendación (UE) 2019/243 de la Comisión 45 sienta las bases de dicho formato común de intercambio de historiales médicos electrónicos de ámbito europeo. El uso del formato de intercambio de historiales médicos electrónicos de ámbito europeo debería generalizarse más a escala nacional y de la UE. Si bien la red de sanidad electrónica, de conformidad con el artículo 14 de la Directiva 2011/24/UE del Parlamento Europeo y del Consejo 46 , recomendó a los Estados miembros utilizar el formato de intercambio de historiales médicos electrónicos de ámbito europeo en las contrataciones públicas con el fin de mejorar la interoperabilidad, su utilización en la práctica fue limitada, lo que dio lugar a un panorama fragmentado en cuanto a la igualdad de acceso y la portabilidad de los datos sanitarios electrónicos.

(20)Aunque los sistemas HME están muy extendidos, el nivel de digitalización de los datos sanitarios varía en los Estados miembros en función de las categorías de datos y de la cobertura de los prestadores de asistencia sanitaria que registran datos sanitarios en formato electrónico. Es necesaria una acción de la Unión para apoyar la aplicación de los derechos de acceso a los datos sanitarios electrónicos por parte de los interesados y evitar así una mayor fragmentación. Con el fin de contribuir a una elevada calidad y a la continuidad de la asistencia sanitaria, determinadas categorías de datos sanitarios deben registrarse sistemáticamente en formato electrónico y con arreglo a requisitos específicos de calidad de los datos. El formato de intercambio de historiales médicos electrónicos de ámbito europeo debe constituir la base de las especificaciones relacionadas con el registro y el intercambio de datos sanitarios electrónicos. La Comisión debe estar facultada para adoptar actos de ejecución que determinen aspectos adicionales relacionados con el registro de los datos sanitarios electrónicos, como las categorías de prestadores de asistencia sanitaria que deben registrar los datos sanitarios por vía electrónica, las categorías de datos que deben registrarse electrónicamente o los requisitos de calidad de los datos.

(21)De conformidad con el artículo 168 del Tratado, los Estados miembros son responsables de su política sanitaria, en particular de las decisiones sobre los servicios (incluida la telemedicina) que prestan y reembolsan. No obstante, las diferentes políticas de reembolso no deben constituir obstáculos a la libre circulación de los servicios sanitarios digitales, como la telemedicina, incluidos los servicios de farmacia en línea. Cuando los servicios digitales acompañen a la prestación física de un servicio sanitario, estos deben incluirse en la prestación general de la asistencia.

(22)El Reglamento (UE) n.º 910/2014 del Parlamento Europeo y del Consejo 47 establece las condiciones en las que los Estados miembros llevan a cabo la identificación de las personas físicas en situaciones transfronterizas utilizando medios de identificación expedidos por otro Estado miembro, con lo que se establecen normas para el reconocimiento mutuo de dichos medios de identificación electrónica. El EEDS requiere un acceso seguro a los datos sanitarios electrónicos también en situaciones transfronterizas en las que el profesional sanitario y la persona física procedan de diferentes Estados miembros, a fin de evitar casos de acceso no autorizado. Al mismo tiempo, la existencia de diferentes medios de identificación electrónica no debe constituir un obstáculo para el ejercicio de los derechos de las personas físicas y los profesionales sanitarios. El despliegue de mecanismos interoperables y transfronterizos de identificación y autenticación para las personas físicas y los profesionales sanitarios en el EEDS requiere reforzar la cooperación a escala de la Unión en el Consejo del Espacio Europeo de Datos Sanitarios (en lo sucesivo, «el Consejo del EEDS»). Dado que los derechos de las personas físicas en relación con el acceso a los datos sanitarios electrónicos personales y su transmisión deben aplicarse de manera uniforme en toda la Unión, es necesaria una gobernanza y una coordinación sólidas tanto a nivel de la Unión como de los Estados miembros. Los Estados miembros deben establecer las autoridades de sanidad digital pertinentes para la planificación y aplicación de las normas de acceso a los datos sanitarios electrónicos, su transmisión y la protección de los derechos de las personas físicas y los profesionales sanitarios. Además, se necesitan elementos de gobernanza en los Estados miembros para facilitar la participación de los agentes nacionales en la cooperación a escala de la Unión, canalizando los conocimientos especializados y asesorando sobre el diseño de las soluciones necesarias para alcanzar los objetivos de la EEDS. En la mayoría de los Estados miembros existen autoridades de sanidad digital que se ocupan de los historiales médicos electrónicos, la interoperabilidad, la seguridad o la normalización. Las autoridades de sanidad digital deben establecerse en todos los Estados miembros, como organizaciones independientes o como parte de las autoridades existentes actualmente.

(23)Las autoridades de sanidad digital deben contar con suficientes capacidades técnicas, reuniendo tal vez a expertos de diferentes organizaciones. Las actividades de las autoridades de sanidad digital deben planificarse y supervisarse adecuadamente para garantizar su eficiencia. Las autoridades de sanidad digital deben adoptar las medidas necesarias para garantizar los derechos de las personas físicas mediante la creación de soluciones técnicas nacionales, regionales y locales, como los HME, los portales de pacientes o los sistemas de intermediación de datos de ámbito nacional. Al hacerlo, deben aplicar normas y especificaciones comunes a dichas soluciones, promover la aplicación de las normas y especificaciones en las contrataciones y utilizar otros medios innovadores, incluido el reembolso de soluciones que cumplan los requisitos de interoperabilidad y seguridad del EEDS. Para llevar a cabo sus funciones, las autoridades de sanidad digital deben cooperar a nivel nacional y de la Unión con otras entidades, incluidos los organismos de seguros, los prestadores de asistencia sanitaria, los fabricantes de sistemas HME y de aplicaciones sobre bienestar, así como con las partes interesadas del sector de la salud o de las tecnologías de la información, las entidades que gestionan los mecanismos de reembolso, los organismos de evaluación de tecnologías sanitarias, las autoridades y agencias reguladoras de medicamentos, las autoridades de productos sanitarios, los compradores y las autoridades de ciberseguridad o identificación electrónica.

(24)El acceso a los datos sanitarios electrónicos y su transmisión son pertinentes en situaciones de asistencia sanitaria transfronteriza, ya que pueden contribuir a la continuidad de la asistencia sanitaria cuando las personas físicas viajan a otros Estados miembros o cambian de lugar de residencia. La continuidad de la asistencia sanitaria y el acceso rápido a los datos sanitarios electrónicos personales son aún más importantes para los residentes en las regiones fronterizas, que cruzan la frontera con frecuencia para recibir asistencia sanitaria. En muchas regiones fronterizas, algunos servicios sanitarios especializados pueden estar más cerca al otro lado de la frontera que en el mismo Estado miembro. La transmisión transfronteriza de datos sanitarios electrónicos personales en situaciones en las que una persona física está utilizando servicios de un prestador de asistencia sanitaria establecido en otro Estado miembro necesita una infraestructura. A tal efecto, se ha creado una infraestructura voluntaria, MiSalud@UE (MyHealth@EU), como parte de las acciones previstas en el artículo 14 de la Directiva 2011/24/UE. A través de MiSalud@UE, los Estados miembros empezaron a ofrecer a las personas físicas la posibilidad de compartir sus datos sanitarios electrónicos personales con los prestadores de asistencia sanitaria cuando viajan al extranjero. Para ampliar el apoyo a estas posibilidades, la participación de los Estados miembros en la infraestructura digital MiSalud@UE debe ser obligatoria. Todos los Estados miembros deben unirse a la infraestructura y conectar en ella a los prestadores de asistencia sanitaria y a las farmacias, algo necesario para que las personas físicas ejerzan su derecho a acceder a sus datos sanitarios electrónicos personales y su derecho a hacer uso de dichos datos independientemente del Estado miembro. La infraestructura debe ampliarse gradualmente para dar cobertura a más categorías de datos sanitarios electrónicos.

(25)En el contexto de MiSalud@UE, una plataforma central debe proporcionar una infraestructura común a los Estados miembros para garantizar la conectividad y la interoperabilidad de manera eficiente y segura. La Comisión, a fin de garantizar el cumplimiento de las normas de protección de datos y proporcionar un marco de gestión de riesgos para la transmisión de datos sanitarios electrónicos personales, debe, mediante actos de ejecución, asignar responsabilidades específicas a los Estados miembros, como corresponsables del tratamiento, y prescribir sus propias obligaciones como encargada del tratamiento.

(26)Además de los servicios de MiSalud@UE para el intercambio de datos sanitarios electrónicos personales basados en el formato de intercambio de historiales médicos electrónicos de ámbito europeo, pueden ser necesarios otros servicios o infraestructuras complementarias, por ejemplo en casos de emergencias de salud pública o cuando la arquitectura de MiSalud@UE no sea adecuada para la aplicación de algunos casos de uso. Algunos ejemplos de tales casos de uso son el apoyo a las funcionalidades de la tarjeta de vacunación, incluido el intercambio de información sobre los planes de vacunación, o la verificación de los certificados de vacunación o de otros certificados relacionados con la salud. Esto también sería importante para introducir una funcionalidad adicional para gestionar las crisis sanitarias, como el apoyo al rastreo de contactos con el fin de contener la propagación de enfermedades infecciosas. Se debe comprobar la conexión de los puntos de contacto nacionales para la salud digital de terceros países o la interoperabilidad con los sistemas digitales establecidos a nivel internacional, para garantizar que dichos puntos de contacto nacionales cumplan las especificaciones técnicas, las normas de protección de datos y otros requisitos de MiSalud@UE. La decisión de conectar un punto de contacto nacional de un tercer país debe ser adoptada por los responsables del tratamiento de datos del Grupo de Corresponsabilidad del Tratamiento de MiSalud@UE.

(27)A fin de garantizar el respeto de los derechos de las personas físicas y los profesionales sanitarios, los sistemas HME comercializados en el mercado interior de la Unión deben poder almacenar y transmitir, de manera segura, datos sanitarios electrónicos de alta calidad. Este es un principio clave del Espacio Europeo de Datos Sanitarios para garantizar la seguridad y la libre circulación de los datos sanitarios electrónicos en toda la Unión. A tal fin, debe establecerse un esquema de autocertificación obligatorio para los sistemas HME que traten datos sanitarios electrónicos de una o más categorías prioritarias, superando así la fragmentación del mercado al tiempo que se garantiza un enfoque proporcionado. Mediante esta autocertificación, los sistemas HME deben demostrar el cumplimiento de los requisitos esenciales de interoperabilidad y seguridad establecidos a escala de la Unión. En relación con la seguridad, los requisitos esenciales deben abarcar elementos específicos de los sistemas HME, ya que las propiedades de seguridad más generales deben estar respaldadas por otros mecanismos, como los regímenes de ciberseguridad en virtud del Reglamento (UE) 2019/881 del Parlamento Europeo y del Consejo 48 .

(28)Si bien los sistemas HME destinados específicamente por el fabricante a ser utilizados para el tratamiento de una o más categorías específicas de datos sanitarios electrónicos deben estar sujetos a una autocertificación obligatoria, los programas informáticos para fines generales no deben considerarse sistemas HME, incluso cuando se utilicen en un contexto sanitario, y, por tanto, no deben estar obligados a cumplir las disposiciones del capítulo III.

(29)Los programas informáticos o los módulos de estos que entren en la definición de producto sanitario o de sistema de inteligencia artificial (IA) de alto riesgo deben estar certificados de conformidad con el Reglamento (UE) 2017/745 del Parlamento Europeo y del Consejo 49 y el Reglamento [...] del Parlamento Europeo y del Consejo [Ley de IA, COM(2021) 206 final], según proceda. Los requisitos esenciales de interoperabilidad del presente Reglamento solo deben aplicarse en la medida en que el fabricante de un producto sanitario o de un sistema de IA de alto riesgo que facilite datos sanitarios electrónicos que vayan a ser tratados como parte del sistema HME alegue interoperabilidad con dicho sistema. En tal caso, las disposiciones sobre especificaciones comunes para los sistemas HME deben ser aplicables a dichos productos sanitarios y sistemas de IA de alto riesgo.

(30)Para ampliar el apoyo de los Estados miembros a la interoperabilidad y a la seguridad, estos pueden mantener o definir normas específicas para la contratación pública, el reembolso, la financiación o el uso de los sistemas HME a nivel nacional en el contexto de la organización, la prestación o la financiación de los servicios sanitarios. Dichas normas específicas no deben obstaculizar la libre circulación de los sistemas HME en la Unión. Algunos Estados miembros han introducido la certificación obligatoria de los sistemas HME o las pruebas de interoperabilidad obligatorias para su conexión a los servicios sanitarios digitales nacionales. Estos requisitos suelen reflejarse en las contrataciones organizadas por los prestadores de asistencia sanitaria y las autoridades nacionales o regionales. La certificación obligatoria de los sistemas HME a escala de la Unión debe establecer una base de referencia que pueda utilizarse en la contratación pública a nivel nacional.

(31)A fin de garantizar el ejercicio efectivo por parte de los pacientes de sus derechos en virtud del presente Reglamento, cuando los prestadores de asistencia sanitaria desarrollen y utilicen un sistema HME para llevar a cabo actividades internas sin introducirlo en el mercado a cambio de un pago o remuneración, también deben cumplir lo dispuesto en el presente Reglamento. En este contexto, dichos prestadores de asistencia sanitaria deben cumplir todos los requisitos aplicables a los fabricantes.

(32)Es necesario establecer una división clara y proporcionada de las obligaciones que se corresponden con la función de cada operador en el proceso de suministro y distribución de los sistemas HME. Los operadores económicos deben ser responsables de cumplir sus respectivas funciones en dicho proceso y velar por que solo se comercialicen sistemas HME que cumplan los requisitos pertinentes.

(33)Los fabricantes de sistemas HME deben demostrar el cumplimiento de los requisitos esenciales en materia de interoperabilidad y seguridad mediante la aplicación de especificaciones comunes. A tal fin, deben conferirse a la Comisión competencias de ejecución para determinar dichas especificaciones comunes relativas a los conjuntos de datos, los sistemas de codificación, las especificaciones técnicas, incluidas las normas, especificaciones y perfiles para el intercambio de datos, así como los requisitos y principios relacionados con la seguridad, la confidencialidad, la integridad, la seguridad de los pacientes y la protección de los datos personales, así como las especificaciones y los requisitos relacionados con la gestión de la identificación y el uso de la identificación electrónica. Las autoridades de sanidad digital deben contribuir al desarrollo de dichas especificaciones comunes.

(34)Con el objetivo de garantizar el cumplimiento adecuado y efectivo de los requisitos y las obligaciones previstos en el capítulo III del presente Reglamento, debe aplicarse el sistema relativo a la vigilancia del mercado y la conformidad de los productos establecido por el Reglamento (UE) 2019/1020. Dependiendo de la organización definida a nivel nacional, dichas actividades de vigilancia del mercado podrían ser llevadas a cabo por las autoridades de sanidad digital que garanticen la correcta aplicación del capítulo II o por una autoridad de vigilancia del mercado independiente responsable de los sistemas HME. Si bien la designación de autoridades de sanidad digital como autoridades de vigilancia del mercado podría tener importantes ventajas prácticas para la aplicación de la asistencia sanitaria y de cuidados, debe evitarse cualquier conflicto de intereses, por ejemplo separando diferentes funciones.

(35)Los usuarios de aplicaciones sobre bienestar, como las aplicaciones para dispositivos móviles, deben ser informados de la capacidad de dichas aplicaciones para conectarse y suministrar datos a los sistemas HME o a las soluciones sanitarias electrónicas nacionales, en los casos en que los datos producidos por las aplicaciones sobre bienestar sean útiles para la asistencia sanitaria. La capacidad de esas aplicaciones para exportar datos en un formato interoperable también es pertinente a efectos de la portabilidad de los datos. Cuando proceda, debe informarse a los usuarios sobre el cumplimiento por parte de dichas aplicaciones de los requisitos de interoperabilidad y seguridad. Sin embargo, dado el gran número de aplicaciones sobre bienestar y la escasa pertinencia de los datos producidos por muchas de ellas para la asistencia sanitaria, un esquema de certificación para estas aplicaciones no sería proporcionado. Por consiguiente, debe establecerse un sistema voluntario de etiquetado como mecanismo adecuado para permitir la transparencia para los usuarios de las aplicaciones sobre bienestar en lo que respecta al cumplimiento por estas de los requisitos, lo que ayudará a los usuarios a elegir aplicaciones sobre bienestar adecuadas y con elevados niveles de interoperabilidad y seguridad. La Comisión podrá establecer en actos de ejecución los detalles relativos al formato y el contenido de dicha etiqueta. 

(36)La distribución de información sobre los sistemas HME certificados y las aplicaciones sobre bienestar etiquetadas es necesaria para que los compradores y los usuarios de dichos productos puedan encontrar soluciones interoperables para sus necesidades específicas. Por consiguiente, debe crearse a escala de la Unión una base de datos de sistemas HME interoperables y aplicaciones sobre bienestar que no entren en el ámbito de aplicación de los Reglamentos (UE) 2017/745 y [...] [Ley de IA, COM(2021) 206 final], similar a la base de datos europea sobre productos sanitarios (Eudamed) establecida por el Reglamento (UE) 2017/745. Los objetivos de la base de datos de la UE sobre sistemas HME y aplicaciones sobre bienestar interoperables deben ser aumentar la transparencia general, evitar múltiples requisitos de notificación y racionalizar y facilitar el flujo de información. En el caso de los productos sanitarios y los sistemas de IA, el registro debe mantenerse en las bases de datos existentes establecidas respectivamente en virtud de los Reglamentos (UE) 2017/745 y [...] [Ley de IA, COM(2021) 206 final], pero debe indicarse el cumplimiento de los requisitos de interoperabilidad cuando lo soliciten los fabricantes, a fin de facilitar información a los compradores.

(37)Para el uso secundario de los datos clínicos con fines de investigación, innovación, elaboración de políticas, reglamentación, seguridad de los pacientes o tratamiento de otras personas físicas, deben usarse las posibilidades que ofrece el Reglamento (UE) 2016/679 como base jurídica de la Unión, así como las normas y los mecanismos que ofrezcan medidas adecuadas y específicas capaces de salvaguardar los derechos y las libertades de las personas físicas. El presente Reglamento proporciona la base jurídica, de conformidad con el artículo 9, apartado 2, letras g), h), i) y j), del Reglamento (UE) 2016/679, para el uso secundario de los datos sanitarios, estableciendo las garantías para el tratamiento en cuanto a la licitud de los fines, la fiabilidad de la gobernanza para facilitar el acceso a los datos sanitarios (a través de los organismos de acceso a los datos sanitarios) y la seguridad del entorno de tratamiento, así como modalidades para el tratamiento de datos, establecidas en el permiso de datos. Al mismo tiempo, para solicitar el acceso a los datos con arreglo al presente Reglamento, el solicitante de los datos debe fundamentar jurídicamente dicho acceso de conformidad con el artículo 6 del Reglamento (UE) 2016/679, y cumplir las condiciones establecidas en el capítulo IV. En concreto, para el tratamiento de datos sanitarios electrónicos en poder del titular de los datos con arreglo al presente Reglamento, este crea la obligación jurídica, en el sentido del artículo 6, apartado 1, letra c), del Reglamento (UE) 2016/679, de que el titular de los datos revele dichos datos a los organismos de acceso a los datos sanitarios, mientras que la base jurídica a efectos del tratamiento inicial (por ejemplo, la prestación de asistencia sanitaria) no se ve afectada. El presente Reglamento también cumple las condiciones para dicho tratamiento de conformidad con el artículo 9, apartado 2, letras h), i) y j), del Reglamento (UE) 2016/679. El presente Reglamento asigna misiones de interés público a los organismos de acceso a los datos sanitarios (gestión del entorno de tratamiento seguro, tratamiento de datos antes de su uso, etc.), en el sentido del artículo 6, apartado 1, letra e), del Reglamento (UE) 2016/679, y cumple los requisitos del artículo 9, apartado 2, letra h), inciso i), y letra j), de ese mismo Reglamento. Por lo tanto, en este caso, el presente Reglamento proporciona la base jurídica de conformidad con el artículo 6 y cumple los requisitos del artículo 9 del Reglamento (UE) 2016/679 sobre las condiciones en las que pueden tratarse los datos sanitarios electrónicos. En caso de que el usuario tenga acceso a datos sanitarios electrónicos (para uno de los fines de uso secundario de los datos definidos en el presente Reglamento), el usuario de los datos debe fundamentar jurídicamente el acceso con arreglo al artículo 6, apartado 1, letras e) o f), del Reglamento (UE) 2016/679; la explicación de la base jurídica específica formará parte de la solicitud de acceso a los datos sanitarios electrónicos con arreglo al presente Reglamento: sobre la base de la legislación aplicable, cuando la base jurídica en virtud del Reglamento (UE) 2016/679 sea el artículo 6, apartado 1, letras e) o f), de dicho Reglamento. Si el usuario invoca la base jurídica ofrecida por el artículo 6, apartado 1, letra e), debe hacer referencia a otra legislación nacional o de la UE, diferente del presente Reglamento, que le habilite para tratar datos personales de salud en el cumplimiento de sus funciones. En caso de que el usuario base la licitud del tratamiento en el artículo 6, apartado 1, letra f), del Reglamento (UE) 2016/679, el presente Reglamento es el que establece las garantías. En este contexto, los permisos de datos expedidos por los organismos de acceso a los datos sanitarios son una decisión administrativa que define las condiciones de acceso a los datos.

(38)En el contexto del EEDS, los datos sanitarios electrónicos ya existen y están siendo recogidos por los prestadores de asistencia sanitaria, las asociaciones profesionales, las instituciones públicas, los reguladores, los investigadores, las aseguradoras, etc. en el curso de sus actividades. Algunas categorías de datos se recogen principalmente para la prestación de asistencia sanitaria (por ejemplo, historiales médicos electrónicos, datos genéticos, datos de reclamaciones, etc.), mientras que otras también se recogen para otros fines, como la investigación, las estadísticas, la seguridad de los pacientes, las actividades reglamentarias o la elaboración de políticas (por ejemplo, los registros de enfermedades, los registros de elaboración de políticas, los registros relativos a los efectos secundarios de los medicamentos o los productos sanitarios, etc.). Por ejemplo, existen bases de datos europeas que facilitan la (re)utilización de los datos en algunos ámbitos, como el cáncer (Sistema Europeo de Información del Cáncer) o las enfermedades raras [Plataforma Europea para el Registro de Enfermedades Raras, registros de la red europea de referencia (RER), etc.]. Estos datos también deben estar disponibles para uso secundario. Sin embargo, gran parte de los datos sanitarios existentes no se facilitan para fines distintos de aquellos para los que se recogieron. Esto limita la capacidad de investigadores, innovadores, responsables políticos, reguladores y médicos para utilizar esos datos con diferentes fines, como la investigación, la innovación, la elaboración de políticas, la reglamentación, la seguridad de los pacientes o la medicina personalizada. Con vistas a utilizar plenamente los beneficios del uso secundario de los datos sanitarios electrónicos, todos los titulares de datos deben contribuir a establecer diferentes categorías en los datos sanitarios electrónicos que tengan disponibles para su uso secundario.

(39)Las categorías de datos sanitarios electrónicos que pueden tratarse para uso secundario deben ser lo suficientemente amplias y flexibles para responder a la evolución de las necesidades de los usuarios de los datos, al tiempo que deben limitarse a los datos relacionados con la salud o cuya influencia en la salud sea conocida. También pueden incluir datos pertinentes del sistema sanitario (historiales médicos electrónicos, datos de reclamaciones, registros de enfermedades, datos genómicos, etc.), así como datos con efectos sobre la salud (por ejemplo, consumo de diferentes sustancias, carencia de hogar, seguro de enfermedad, ingresos mínimos, situación profesional, comportamiento), y también factores medioambientales (por ejemplo, contaminación, radiación o uso de determinadas sustancias químicas). También pueden incluir datos generados por las personas, como los datos procedentes de los productos sanitarios, las aplicaciones sobre bienestar u otras aplicaciones sanitarias portátiles y digitales. El usuario de datos que se beneficie del acceso a los conjuntos de datos facilitados en virtud del presente Reglamento podría enriquecerlos con diversas correcciones, anotaciones y otras mejoras, por ejemplo complementando los datos ausentes o incompletos, mejorando así la exactitud, exhaustividad o calidad de los datos del conjunto de datos. Para ayudar en la mejora de la base de datos original y el uso ulterior del conjunto de datos enriquecido, el conjunto de datos con dichas mejoras y una descripción de los cambios deben ponerse a disposición del titular de los datos originales de forma gratuita. El titular de los datos debe poner a disposición del organismo de acceso a los datos sanitarios el nuevo conjunto de datos, a menos que notifique una justificación para no hacerlo, por ejemplo, cuando el enriquecimiento es de baja calidad. También debe garantizarse el uso secundario de datos electrónicos no personales. En particular, los datos genómicos de patógenos tienen un valor significativo para la salud humana, como se ha demostrado durante la pandemia de COVID-19. El acceso oportuno a dichos datos y su intercambio han demostrado ser esenciales para el rápido desarrollo de herramientas de detección, contramedidas médicas y respuestas a las amenazas para la salud pública. Los mayores beneficios del esfuerzo en genómica patógena se lograrán cuando los procesos de salud pública y de investigación compartan conjuntos de datos y trabajen para informarse y mejorar mutuamente.

(40)Los titulares de datos pueden ser prestadores de asistencia sanitaria o proveedores de cuidados públicos, sin ánimo de lucro o privados, organizaciones públicas, sin ánimo de lucro y privadas, asociaciones u otras entidades, y entidades públicas y privadas de investigación en el sector sanitario que traten las categorías de datos sanitarios y relacionados con la salud mencionadas anteriormente. Con el fin de evitar una carga desproporcionada para las pequeñas entidades, las microempresas están excluidas de la obligación de poner sus datos a disposición para uso secundario en el marco del EEDS. Las entidades públicas o privadas reciben a menudo financiación pública, procedente de fondos nacionales o de la Unión, para recoger y tratar datos sanitarios electrónicos con fines de investigación, para las estadísticas (oficiales o no) o para otros fines similares, incluso en ámbitos en los que la recogida de tales datos está fragmentada o es difícil, como las enfermedades raras, el cáncer, etc. Los titulares de datos, que recogen y tratan los datos con financiación pública de la Unión o nacional, deben ponerlos a disposición de los organismos de acceso a los datos sanitarios, a fin de maximizar los efectos de la inversión pública y apoyar la investigación, la innovación, la seguridad de los pacientes o la elaboración de políticas en beneficio de la sociedad. En algunos Estados miembros, las entidades privadas, incluidos los prestadores de asistencia sanitaria privados y las asociaciones profesionales, desempeñan un papel fundamental en el sector sanitario. Los datos sanitarios en poder de dichos prestadores también deben estar disponibles para uso secundario. Al mismo tiempo, los datos que están sujetos a una protección jurídica específica, como la propiedad intelectual e industrial de las empresas de productos sanitarios o de las empresas farmacéuticas, gozan a menudo de la protección de los derechos de autor o de tipos de protección similares. No obstante, las autoridades públicas y los reguladores deben tener acceso a dichos datos, por ejemplo en caso de pandemias, para verificar los productos defectuosos y proteger la salud humana. En tiempos de graves problemas de salud pública (por ejemplo, el fraude en los implantes mamarios PIP), resultó muy difícil para las autoridades públicas acceder a dichos datos para comprender las causas y el conocimiento del fabricante en relación con los defectos de algunos productos. La pandemia de COVID-19 también puso de manifiesto la dificultad de los responsables políticos para tener acceso a los datos sanitarios y a otros datos relacionados con la salud. Dichos datos deben ponerse a disposición para actividades públicas y reglamentarias, ayudando a los organismos públicos en el ejercicio de su mandato legal, y respetando al mismo tiempo, cuando sea pertinente y posible, la protección de los datos comerciales. Deben dictarse normas específicas en relación con el uso secundario de datos sanitarios. Las actividades de cesión altruista de datos podrán llevarlas a cabo diferentes entidades, en el contexto del Reglamento [...] [Ley de Gobernanza de Datos, COM(2020) 767 final] y teniendo en cuenta las especificidades del sector sanitario.

(41)El uso secundario de los datos sanitarios en el marco del EEDS debe permitir que las entidades públicas, privadas y sin ánimo de lucro, así como los investigadores individuales, tengan acceso a los datos sanitarios para la investigación, la innovación, la elaboración de políticas, las actividades educativas, la seguridad de los pacientes, las actividades reglamentarias o la medicina personalizada, en consonancia con los fines establecidos en el presente Reglamento. El acceso a los datos para uso secundario debe contribuir al interés general de la sociedad. Las actividades para las que el acceso en el contexto del presente Reglamento es lícito pueden incluir el uso de datos sanitarios electrónicos para tareas realizadas por organismos públicos, como el ejercicio de funciones públicas, incluida la vigilancia de la salud pública, las obligaciones de planificación y notificación, la elaboración de políticas sanitarias, la garantía de la seguridad de los pacientes, la calidad de la asistencia y la sostenibilidad de los sistemas sanitarios. El presente Reglamento prevé que las instituciones, los órganos y los organismos de la Unión puedan exigir un acceso regular a los datos sanitarios electrónicos durante un período de tiempo prolongado, por ejemplo para cumplir su mandato. Los organismos del sector público podrán llevar a cabo estas actividades de investigación recurriendo a terceros, incluidos los subcontratistas, siempre que estos organismos sigan siendo en todo momento los supervisores de dichas actividades. El suministro de datos también debe apoyar actividades relacionadas con la investigación científica (incluida la investigación privada), el desarrollo y la innovación, y la producción de bienes y servicios para el sector sanitario o el asistencial, como las actividades de innovación o el entrenamiento de algoritmos de IA que puedan proteger la salud de las personas físicas o mejorar la asistencia que reciben. En algunos casos, la información de algunas personas físicas (como la información genómica de personas físicas con una enfermedad determinada) podría apoyar el diagnóstico o el tratamiento de otras. Es necesario que los organismos públicos vayan más allá del ámbito de aplicación de emergencia del capítulo V del Reglamento [...] [Ley de Datos, COM(2022) 68 final]. No obstante, los organismos del sector público podrán solicitar el apoyo de los organismos de acceso a los datos sanitarios para tratar o vincular datos. El presente Reglamento proporciona un canal para que los organismos del sector público obtengan acceso a la información que necesitan para cumplir las funciones que les asigna la ley, pero no amplía el mandato de dichos organismos del sector público. Debe prohibirse cualquier intento de utilizar los datos para cualquier medida perjudicial para las personas físicas, aumentar las primas de seguro, anunciar productos o tratamientos o desarrollar productos nocivos.

(42)La creación de uno o varios organismos de acceso a los datos sanitarios, que facilitan el acceso a los datos sanitarios electrónicos en los Estados miembros, es un componente esencial para promover el uso secundario de los datos relacionados con la salud. Por consiguiente, los Estados miembros deben crear uno o varios organismos de acceso a los datos sanitarios, por ejemplo para reflejar su estructura constitucional, organizativa y administrativa. Sin embargo, uno de estos organismos de acceso a los datos sanitarios debe ser designado coordinador en caso de que haya más de un organismo de acceso a los datos. Cuando un Estado miembro establezca varios organismos, debe establecer normas a nivel nacional para garantizar la participación coordinada de dichos organismos en el Consejo del EEDS. Tal Estado miembro debe, en particular, designar un organismo de acceso a los datos sanitarios que funcione como punto de contacto único de cara a la participación efectiva de tales organismos, y garantizar una cooperación rápida y fluida con otros organismos de acceso a los datos sanitarios, el Consejo del EEDS y la Comisión. Los organismos de acceso a los datos sanitarios pueden variar en términos de organización y tamaño (desde una organización de pleno derecho a una unidad o departamento de una organización existente), pero deben tener las mismas funciones, responsabilidades y capacidades. Los organismos de acceso a los datos sanitarios no deben verse influidos en sus decisiones sobre el acceso a datos electrónicos para uso secundario. Sin embargo, su independencia no debe significar que el organismo de acceso a los datos sanitarios no pueda estar sujeto a mecanismos de control o seguimiento de su gasto financiero o de control jurisdiccional. Todos los organismos de acceso a los datos sanitarios deben estar dotados de los recursos financieros y humanos, los locales y la infraestructura que sean necesarios para la realización eficaz de sus funciones, en particular las relacionadas con la cooperación con otros organismos de acceso a los datos sanitarios de toda la Unión. Cada organismo de acceso a los datos sanitarios debe disponer de un presupuesto anual público propio, que podrá formar parte del presupuesto general del Estado o de otro ámbito nacional. A fin de permitir un mejor acceso a los datos sanitarios y complementar el artículo 7, punto 3, del Reglamento [...] del Parlamento Europeo y del Consejo [Ley de Gobernanza de Datos, COM(2020) 767 final], los Estados miembros deben confiar a los organismos de acceso a los datos sanitarios competencias para tomar decisiones sobre el acceso a los datos sanitarios y sobre su uso secundario. Esto podría consistir en asignar nuevas funciones a los organismos competentes designados por los Estados miembros con arreglo al artículo 7, punto 1, del Reglamento [...] [Ley de Gobernanza de Datos, COM(2020) 767 final] o en designar a organismos sectoriales existentes o nuevos como responsables de dichas funciones en relación con el acceso a los datos sanitarios.

(43)Los organismos de acceso a los datos sanitarios deben supervisar la aplicación del capítulo IV del presente Reglamento y contribuir a su aplicación coherente en toda la Unión. A tal efecto, los organismos de acceso a los datos sanitarios deben cooperar entre ellos y con la Comisión, sin necesidad de acuerdo alguno entre Estados miembros sobre la prestación de asistencia mutua ni sobre dicha cooperación. Los organismos de acceso a los datos sanitarios también deben cooperar con las partes interesadas, incluidas las organizaciones de pacientes. Dado que el uso secundario de los datos sanitarios implica el tratamiento de datos personales relativos a la salud, son de aplicación las disposiciones pertinentes del Reglamento (UE) 2016/679 y las autoridades de control en virtud del Reglamento (UE) 2016/679 y del Reglamento (UE) 2018/1725 deben encargarse de hacer cumplir estas normas. Además, dado que los datos sanitarios son datos sensibles y en virtud del deber de cooperación leal, los organismos de acceso a los datos sanitarios deben informar a las autoridades de protección de datos de cualquier cuestión relacionada con el tratamiento de datos para uso secundario, incluidas las sanciones. Además de las tareas necesarias para garantizar un uso secundario eficaz de los datos sanitarios, los organismos de acceso a los datos sanitarios deben esforzarse por ampliar la disponibilidad de conjuntos de datos sanitarios adicionales, apoyar el desarrollo de la IA en el ámbito de la salud y promover el desarrollo de normas comunes. Deben aplicar técnicas probadas que aseguren que los datos sanitarios electrónicos para los que se permite un uso secundario se traten de forma que se preserve la privacidad de la información que contienen, como son las técnicas de seudonimización, anonimización, generalización, supresión y aleatorización de datos personales; Los organismos de acceso a los datos sanitarios pueden elaborar conjuntos de datos vinculados a los permisos de datos expedidos, a petición de los usuarios de datos. Esto incluye normas para la anonimización de conjuntos de microdatos.

(44)Teniendo en cuenta la carga administrativa que supone para los organismos de acceso a los datos sanitarios informar a las personas físicas cuyos datos se utilizan en proyectos de datos en un entorno de tratamiento seguro, deben aplicarse las excepciones previstas en el artículo 14, apartado 5, del Reglamento (UE) 2016/679. Por consiguiente, los organismos de acceso a los datos sanitarios deben facilitar información general sobre las condiciones de uso secundario de sus datos sanitarios que contengan los elementos de información enumerados en el artículo 14, apartado 1, del Reglamento (UE) 2016/679 y, cuando sea necesario para garantizar un tratamiento leal y transparente, en el artículo 14, apartado 2, de dicho Reglamento, por ejemplo información sobre los fines y las categorías de datos tratados. Deben establecerse excepciones a esta norma cuando los resultados de la investigación puedan contribuir al tratamiento de la persona física de que se trate. En este caso, el usuario de los datos debe informar al organismo de acceso a los datos sanitarios, que debe informar al interesado o a su profesional sanitario. Las personas físicas deben poder acceder a los resultados de los distintos proyectos de investigación en el sitio web del organismo de acceso a los datos sanitarios, idealmente mediante una búsqueda fácil de realizar. La lista de los permisos de datos también debe hacerse pública. A fin de promover la transparencia en su funcionamiento, cada organismo de acceso a los datos sanitarios debe publicar un informe anual de actividad que ofrezca una visión general de sus actividades.

(45)El Reglamento [...] [Ley de Gobernanza de Datos, COM(2020) 767 final] establece las normas generales para la gestión de la cesión altruista de datos. Al mismo tiempo, dado que el sector sanitario gestiona datos sensibles, deben establecerse criterios adicionales a través del código normativo previsto en el Reglamento [...] [Ley de Gobernanza de Datos, COM(2020) 767 final]. Cuando dicho código normativo prevea el uso de un entorno de tratamiento seguro para este sector, debe cumplir los criterios establecidos en el presente Reglamento. Los organismos de acceso a los datos sanitarios deben cooperar con los organismos designados en virtud del Reglamento [...] [Ley de Gobernanza de Datos, COM(2020) 767 final] para supervisar la actividad de las organizaciones de cesión altruista de datos en el sector sanitario o asistencial.

(46)A fin de apoyar el uso secundario de los datos sanitarios electrónicos, los titulares de datos deben abstenerse de retener los datos, solicitar tasas injustificadas que no sean transparentes ni proporcionadas a los costes de puesta a disposición de los datos (y, cuando proceda, con costes marginales para la recogida de datos), y de solicitar a los usuarios de datos que copubliquen las investigaciones u otras prácticas que puedan disuadirlos de solicitar los datos. Cuando sea necesaria una aprobación ética para proporcionar un permiso de datos, su evaluación debe basarse en sus propios méritos. Por otra parte, las instituciones, órganos y organismos de la Unión, incluidos la EMA, el CEPCE y la Comisión, disponen de datos muy importantes y esclarecedores. El acceso a los datos de dichas instituciones, órganos y organismos debe concederse a través del organismo de acceso a los datos sanitarios en el que esté situado el responsable del tratamiento.

(47)Debe permitirse que los organismos de acceso a los datos sanitarios y los titulares de datos únicos cobren tasas por las funciones que realizan, sobre la base de las disposiciones del Reglamento [...] [Ley de Gobernanza de Datos, COM(2020) 767 final]. Estas s tasas podrán tener en cuenta la situación y los intereses de las pymes, los investigadores individuales o los organismos públicos. También debe permitirse que los titulares de datos cobren tasas por la puesta a disposición de los datos. Dichas tasas deben reflejar los costes de la prestación de tales servicios. Los titulares de datos privados también pueden cobrar tasas por la recogida de datos. La Comisión podrá adoptar actos de ejecución a fin de garantizar un enfoque armonizado en relación con las políticas y la estructura de las tasas. Las disposiciones del artículo 10 del Reglamento [Ley de Datos, COM(2022) 68 final] deben aplicarse a las tasas cobradas en virtud del presente Reglamento.

(48)Con el fin de reforzar el cumplimiento de las normas sobre el uso secundario de los datos sanitarios electrónicos, deben adoptarse medidas adecuadas que puedan dar lugar a sanciones o exclusiones temporales o definitivas del marco del EEDS de los usuarios o titulares de datos que no cumplan sus obligaciones. El organismo de acceso a los datos sanitarios debe estar facultado para verificar el cumplimiento y dar a los usuarios y titulares de datos la oportunidad de responder a cualquier conclusión y subsanar cualquier infracción. La imposición de sanciones debe estar sujeta a garantías procesales suficientes conforme a los principios generales del Derecho del Estado miembro pertinente, entre ellas el derecho a la tutela judicial efectiva y a un proceso con todas las garantías.

(49)Dada la sensibilidad de los datos sanitarios electrónicos, es necesario reducir los riesgos para la privacidad de las personas físicas aplicando el principio de minimización de datos establecido en el artículo 5, apartado 1, letra c), del Reglamento (UE) 2016/679. Por lo tanto, el uso de datos sanitarios electrónicos anonimizados que carezcan de datos personales debe estar disponible cuando sea posible y si el usuario de los datos así lo solicita. Si el usuario de datos necesita utilizar datos sanitarios electrónicos personales, debe indicar claramente en su solicitud la justificación del uso de este tipo de datos para la actividad de tratamiento de datos prevista. Los datos sanitarios electrónicos personales solo deben estar disponibles en formato seudonimizado y la clave de cifrado solo puede conservarla el organismo de acceso a los datos sanitarios. Los usuarios de datos no deben intentar desanonimizar a las personas físicas del conjunto de datos facilitado en virtud del presente Reglamento, y están sujetos a sanciones administrativas o posibles sanciones penales, cuando la legislación nacional así lo prevea. Sin embargo, esto no debe impedir que, en los casos en que los resultados de un proyecto llevado a cabo sobre la base de un permiso de datos tengan beneficios para la salud o repercusiones para una persona física afectada (por ejemplo, por el descubrimiento de tratamientos para determinada enfermedad o de factores de riesgo para desarrollarla), los usuarios de los datos informen al organismo de acceso a los datos sanitarios, que a su vez informaría a la persona o personas físicas en cuestión. Además, el solicitante puede pedir a los organismos de acceso a los datos sanitarios que faciliten la respuesta a una petición de datos incluso en forma estadística. En este caso, los usuarios de los datos no tratarían datos sanitarios y el organismo de acceso a los datos sanitarios seguiría siendo el único responsable del tratamiento de los datos necesarios para responder a la petición de datos.

(50)Con el fin de garantizar que todos los organismos de acceso a los datos sanitarios expidan permisos de manera similar, es necesario establecer un proceso común normalizado para la expedición de permisos de datos, con solicitudes similares en diferentes Estados miembros. El solicitante debe proporcionar a los organismos de acceso a los datos sanitarios varios elementos de información que los ayuden a evaluar la solicitud y decidir si el solicitante puede recibir un permiso de datos para el uso secundario de datos, garantizando también la coherencia entre los distintos organismos de acceso a los datos sanitarios. La mencionada información incluirá: la base jurídica en virtud del Reglamento (UE) 2016/679 para solicitar el acceso a los datos (ejercicio de una misión de interés público asignada por ley o interés legítimo), los fines para los que se utilizarían los datos, la descripción de los datos necesarios y posibles fuentes de datos, una descripción de las herramientas necesarias para tratar los datos, así como las características del entorno seguro que se necesitan. Cuando los datos se soliciten en formato seudonimizado, el solicitante de datos deberá explicar por qué es necesario y por qué los datos anónimos no serían suficientes. Podrá solicitarse una evaluación ética con arreglo al Derecho nacional. Los organismos de acceso a los datos sanitarios y, en su caso, los titulares de datos, deben ayudar a los usuarios de datos en la selección de los conjuntos de datos o fuentes de datos adecuados para la finalidad prevista del uso secundario. Cuando el solicitante necesite datos estadísticos anonimizados, debe presentar una solicitud de petición datos, en la que se exija al organismo de acceso a los datos sanitarios que facilite directamente el resultado. A fin de garantizar un enfoque armonizado entre los organismos de acceso a los datos sanitarios, la Comisión debe apoyar la armonización de la solicitud de datos, así como de la petición de datos.

(51)Dado que los recursos de los organismos de acceso a los datos sanitarios son limitados, pueden aplicar normas de priorización, por ejemplo dando prioridad a las instituciones públicas ante las entidades privadas, pero no deben discriminar entre organizaciones nacionales o de otros Estados miembros dentro de la misma categoría de prioridades. El usuario de datos debe poder ampliar la duración del permiso de datos para, por ejemplo, permitir el acceso a los conjuntos de datos a los revisores de publicaciones científicas o permitir un análisis adicional del conjunto de datos sobre la base de las conclusiones iniciales. Esto requeriría una modificación del permiso de datos y podría estar sujeto a una tasa adicional. Sin embargo, en todos los casos, el permiso de datos debe reflejar estos usos adicionales del conjunto de datos. Preferiblemente, el usuario de los datos debe mencionarlos en su petición inicial de expedición del permiso de datos. A fin de garantizar un enfoque armonizado entre los organismos de acceso a los datos sanitarios, la Comisión debe apoyar la armonización del permiso de datos.

(52)Como ha puesto de manifiesto la crisis de la COVID-19, las instituciones, órganos y organismos de la Unión, especialmente la Comisión, necesitan acceder a los datos sanitarios durante un período más largo y de forma recurrente. Este puede ser el caso no solo en circunstancias específicas en tiempos de crisis, sino también para proporcionar periódicamente pruebas científicas y apoyo técnico a las políticas de la Unión. Podrá exigirse el acceso a dichos datos en determinados Estados miembros o en todo el territorio de la Unión.

(53)En el caso de las peticiones de acceso a datos sanitarios electrónicos de un único titular de datos en un único Estado miembro y con el fin de aligerar la carga administrativa que supone para los organismos de acceso a los datos sanitarios la gestión de dicha petición, el usuario de datos debe poder pedir estos datos directamente al titular de los datos, y el titular de los datos debe poder expedir un permiso de datos, cumpliendo ambos, la petición y el permiso, todos los requisitos y garantías vinculados a ellos. Las peticiones plurinacionales y las que requieran la combinación de conjuntos de datos de varios titulares de datos deben canalizarse siempre a través de los organismos de acceso a los datos sanitarios. Los titulares de los datos deben notificar a los organismos de acceso a los datos sanitarios cualquier permiso o petición de datos que faciliten.

(54)Dada la sensibilidad de los datos sanitarios electrónicos, los usuarios de datos no deben tener acceso ilimitado a dichos datos. Todo acceso de uso secundario a los datos sanitarios electrónicos en respuesta a una petición debe hacerse a través de un entorno de tratamiento seguro. A fin de garantizar unas garantías técnicas y de seguridad sólidas para los datos sanitarios electrónicos, el organismo de acceso a los datos sanitarios o, en su caso, el titular de los datos único debe facilitar el acceso a dichos datos en un entorno de tratamiento seguro, cumpliendo las estrictas normas técnicas y de seguridad establecidas en virtud del presente Reglamento. Algunos Estados miembros han adoptado medidas para localizar estos entornos seguros en Europa. El tratamiento de datos personales en dicho entorno seguro debe cumplir lo dispuesto en el Reglamento (UE) 2016/679, incluidos, cuando el entorno seguro sea gestionado por un tercero, los requisitos del artículo 28 y, en su caso, del capítulo V. Este entorno de tratamiento seguro debe reducir los riesgos para la privacidad relacionados con dichas actividades de tratamiento e impedir que los datos sanitarios electrónicos se transmitan directamente a los usuarios de los datos. El organismo de acceso a los datos sanitarios o el titular de los datos que preste este servicio debe seguir controlando en todo momento el acceso a los datos sanitarios electrónicos con acceso concedido a los usuarios de datos en función de las condiciones del permiso de datos expedido. Solo los datos sanitarios electrónicos no personales que no contengan datos sanitarios electrónicos deben ser extraídos por los usuarios de los datos de dicho entorno de tratamiento seguro. Por lo tanto, es una garantía esencial proteger los derechos y las libertades de las personas físicas en relación con el tratamiento de sus datos sanitarios electrónicos para uso secundario. La Comisión debe ayudar a los Estados miembros a elaborar normas comunes de seguridad con el fin de promover la seguridad y la interoperabilidad de los distintos entornos seguros.

(55)Para el tratamiento de datos sanitarios electrónicos en el ámbito de un permiso concedido, los organismos de acceso a los datos sanitarios y los usuarios de los datos deben ser corresponsables del tratamiento en el sentido del artículo 26 del Reglamento (UE) 2016/679, lo que significa que les serán de aplicación las obligaciones de los corresponsables en virtud de dicho Reglamento. La Comisión debe proporcionar, mediante un acto de ejecución, un modelo para los acuerdos de corresponsabilidad del tratamiento, con el fin de ayudar en la firma de dichos acuerdos por parte de los organismos de acceso a los datos y los usuarios de datos sanitarios. Con el fin de lograr un marco integrador y sostenible para el uso secundario plurinacional de datos sanitarios electrónicos, debe crearse una infraestructura transfronteriza. DatosSalud@UE (HealthData@EU) debe acelerar el uso secundario de los datos sanitarios electrónicos, aumentando al mismo tiempo la seguridad jurídica, respetando la privacidad de las personas físicas y siendo interoperable. Debido a la sensibilidad de los datos sanitarios, deben respetarse, siempre que sea posible, principios como el de «protección de la privacidad desde el diseño» y el de «interrogar datos en lugar de trasladar datos». Los participantes autorizados en DatosSalud@UE podrían ser organismos de acceso a los datos sanitarios, infraestructuras de investigación establecidas como Consorcio de Infraestructuras de Investigación Europeas (ERIC) en virtud del Reglamento (CE) n.º 723/2009 del Consejo 50   o estructuras similares establecidas en virtud de otra normativa de la Unión, así como otros tipos de entidades, incluidas las infraestructuras del Foro Estratégico Europeo sobre Infraestructuras de Investigación (ESFRI), y las infraestructuras federadas en el marco de la Nube Europea de la Ciencia Abierta. Los demás participantes autorizados deben obtener la aprobación del grupo de corresponsabilidad del tratamiento para unirse a DatosSalud@UE. Por otra parte, DatosSalud@UE debe permitir el uso secundario de diferentes categorías de datos sanitarios electrónicos, incluida la vinculación de los datos sanitarios con los de otros espacios de datos, como el del medio ambiente, el de la agricultura, el social, etc. La Comisión podría ofrecer una serie de servicios dentro de DatosSalud@UE, incluido el soporte para el intercambio de información entre los organismos de acceso a los datos sanitarios y los participantes autorizados para el tratamiento de las solicitudes de acceso transfronterizo, el mantenimiento de los catálogos de datos sanitarios electrónicos disponibles a través de la infraestructura, la posibilidad de descubrir redes y las consultas de metadatos, y los servicios de conectividad y cumplimiento. La Comisión también podrá crear un entorno seguro que permita transmitir y analizar datos procedentes de diferentes infraestructuras nacionales, a petición de los responsables del tratamiento. La estrategia digital de la Comisión promueve la conexión de los distintos espacios comunes europeos de datos. Para el sector sanitario, la interoperabilidad con sectores como el medioambiental, el social y el agrícola puede ser pertinente para obtener información adicional sobre los factores determinantes de la salud. En aras de la eficiencia informática, la racionalización y la interoperabilidad de los intercambios de datos, los sistemas existentes de intercambio de datos deben reutilizarse todo lo que sea posible, como los que se están construyendo para el intercambio de pruebas en el marco del sistema técnico basado en el principio de «solo una vez» del Reglamento (UE) 2018/1724 del Parlamento Europeo y del Consejo 51 .

(56)En el caso de registros o bases de datos transfronterizos, como los registros de las redes europeas de referencia para enfermedades raras, que reciben datos de diferentes prestadores de asistencia sanitaria en varios Estados miembros, el organismo de acceso a los datos sanitarios en el que esté situado el coordinador del registro debe ser el responsable de facilitar el acceso a los datos.

(57)El proceso de autorización para acceder a datos sanitarios personales de diferentes Estados miembros puede ser repetitivo y engorroso para los usuarios de los datos. Siempre que sea posible, deben establecerse sinergias para reducir la carga y las barreras para los usuarios de los datos. Una manera de lograr este objetivo es sumarse al principio de «solicitud única», según el cual, con una solicitud, el usuario de los datos obtiene la autorización de múltiples organismos de acceso a los datos sanitarios de diferentes Estados miembros.

(58)Los organismos de acceso a los datos sanitarios deben facilitar información sobre los conjuntos de datos disponibles y sus características, de modo que los usuarios de los datos puedan informarse de los hechos elementales sobre el conjunto de datos y evaluar su posible pertinencia para ellos. Por este motivo, cada conjunto de datos debe incluir, como mínimo, información sobre la fuente, la naturaleza de los datos y las condiciones para su puesta a disposición. Por consiguiente, debe establecerse un catálogo de conjuntos de datos de la UE para facilitar la posibilidad de descubrir los conjuntos de datos disponibles en el EEDS; ayudar a los titulares de los datos a publicar sus conjuntos de datos; proporcionar a todas las partes interesadas, incluida la población general, teniendo también en cuenta a las personas con discapacidad, información sobre los conjuntos de datos introducidos en el EEDS (como etiquetas de calidad y utilidad, fichas de información sobre los conjuntos de datos); y proporcionar a los usuarios de datos información actualizada sobre la calidad de los datos y sobre la utilidad de los conjuntos de datos.

(59)La información sobre la calidad y la utilidad de los conjuntos de datos aumenta significativamente el valor de los resultados de la investigación y la innovación intensivas en datos, al tiempo que promueve la toma de decisiones normativas y políticas basadas en datos contrastados. Las mejoras en la calidad y la utilidad de los conjuntos de datos mediante una elección fundada del cliente y la armonización de los requisitos conexos a escala de la Unión, teniendo en cuenta las normas, directrices y recomendaciones de la Unión e internacionales existentes para la recogida y el intercambio de datos (por ejemplo, los principios FAIR: fácil de encontrar, accesible, interoperable y reutilizable), también benefician a los titulares de los datos, los profesionales sanitarios, las personas físicas y la economía de la Unión en general. Una etiqueta de calidad y utilidad de los datos para los conjuntos de datos informaría a los usuarios de datos sobre las características de un conjunto de datos en cuanto a calidad y utilidad y les permitiría elegir los conjuntos de datos que mejor se ajusten a sus necesidades. La etiqueta de calidad y utilidad de los datos no debe impedir que los conjuntos de datos estén disponibles a través del EEDS, sino proporcionar un mecanismo de transparencia entre los titulares y los usuarios de los datos. Por ejemplo, un conjunto de datos que no cumpla ningún requisito de calidad y utilidad de los datos debe etiquetarse con la categoría que represente la calidad y la utilidad más pobres, pero debe seguir estando disponible. A la hora de desarrollar el marco de calidad y utilidad de los datos, deben tenerse en cuenta las expectativas establecidas en los marcos descritos en el artículo 10 del Reglamento [...] [Ley de IA, COM(2021) 206 final] y la documentación pertinente especificada en el anexo IV. Los Estados miembros deben sensibilizar sobre la etiqueta de calidad y utilidad de los datos a través de actividades de comunicación. La Comisión podría apoyar estas actividades.

(60)El catálogo de conjuntos de datos de la UE debe reducir al mínimo la carga administrativa para los titulares de los datos y otros usuarios de las bases de datos; también debe ser fácil de utilizar, accesible y eficiente en términos de costes, conectar los catálogos nacionales de datos y evitar el registro redundante de conjuntos de datos. El catálogo de conjuntos de datos de la UE podría adaptarse a la iniciativa data.europa.eu y sin perjuicio de los requisitos establecidos en el Reglamento [...] [Ley de Gobernanza de Datos, COM(2020) 767 final]. Los Estados miembros deben garantizar que los catálogos nacionales de datos sean interoperables con los catálogos de conjuntos de datos existentes de las infraestructuras de investigación europeas y otras infraestructuras pertinentes de intercambio de datos.

(61)Está en curso la cooperación y el trabajo entre diferentes organizaciones profesionales, la Comisión y otras instituciones para establecer campos de datos mínimos y otras características de los diferentes conjuntos de datos (los registros, por ejemplo). Este trabajo está más avanzado en ámbitos como el cáncer, las enfermedades raras y las estadísticas, y se tendrá en cuenta a la hora de definir nuevas normas. Sin embargo, muchos conjuntos de datos no están armonizados, lo que plantea problemas de comparabilidad y dificulta la investigación transfronteriza. Por consiguiente, deben establecerse normas más detalladas en los actos de ejecución para garantizar la armonización del suministro, la codificación y el registro de datos sanitarios electrónicos. Los Estados miembros deben esforzarse para conseguir unos beneficios económicos y sociales sostenibles gracias a los sistemas y servicios europeos de sanidad electrónica y a las aplicaciones interoperables, con vistas a alcanzar un alto grado de confianza y seguridad, mejorar la continuidad de la asistencia sanitaria y garantizar que el acceso a esta sea seguro y de calidad.

(62)La Comisión debe apoyar a los Estados miembros en el desarrollo de las capacidades y la eficacia en el ámbito de los sistemas sanitarios digitales para el uso primario y secundario de datos sanitarios electrónicos. Los Estados miembros deben recibir apoyo para reforzar su capacidad. Las actividades a escala de la Unión, como la evaluación comparativa y el intercambio de mejores prácticas, son medidas pertinentes a este respecto.

(63)También se debe utilizar financiación para contribuir al logro de los objetivos del EEDS. Al definir las condiciones para la contratación pública, las convocatorias de propuestas y la asignación de fondos de la Unión, incluidos los Fondos Estructurales y de Cohesión, los compradores públicos, las autoridades nacionales competentes de los Estados miembros, incluidas las autoridades de sanidad digital y los organismos de acceso a los datos sanitarios, así como la Comisión, deben hacer referencia a las especificaciones técnicas, las normas y los perfiles aplicables en materia de interoperabilidad, seguridad y calidad de los datos, así como a otros requisitos desarrollados en virtud del presente Reglamento.

(64)Determinadas categorías de datos sanitarios electrónicos pueden seguir siendo especialmente sensibles incluso cuando estén en formato anonimizado y, por tanto, no sean personales, como ya se prevé específicamente en la Ley de Gobernanza de Datos. Incluso cuando se utilizan las técnicas de anonimización más avanzadas, sigue existiendo un riesgo residual de que se pueda existir, o pueda conseguirse, la desanonimización, más allá de los medios razonablemente probables. Este riesgo residual está presente en relación con las enfermedades raras (afecciones potencialmente mortales o debilitantes crónicas que no afectan a más de cinco de cada diez mil personas en la Unión), en las que el número limitado de casos reduce la posibilidad de agregar plenamente los datos publicados, con el fin de preservar la privacidad de las personas físicas, y mantener al mismo tiempo un nivel adecuado de granularidad para que los datos sigan siendo significativos. Esto puede afectar a diferentes tipos de datos sanitarios, lo que dependerá del nivel de granularidad y de descripción de las características de los interesados, o del número de personas afectadas. Y también puede afectar, por ejemplo, a los datos incluidos en historiales médicos electrónicos, registros de enfermedades, biobancos, datos generados por personas, etc., en los que las características de identificación son más amplias y en los que, en combinación con otra información (por ejemplo, en zonas geográficas muy pequeñas) o a través de la utilización de métodos tecnológicos que no estaban disponibles en el momento de la anonimización, se puede producir la desanonimización de los interesados utilizando medios que vayan más allá de aquellos cuya utilización era razonablemente previsible. La materialización de este riesgo de desanonimización de las personas físicas sería motivo de gran preocupación y podría poner en riesgo la aceptación de la política y las normas sobre uso secundario previstas en el presente Reglamento. Además, las técnicas de agregación están menos probadas para los datos no personales que contienen, por ejemplo, secretos comerciales, como es el caso de la notificación de los ensayos clínicos, y perseguir las infracciones de los secretos comerciales fuera de la Unión es más difícil en ausencia de una norma de protección internacional suficiente. Por lo tanto, en el caso de estos tipos de datos sanitarios, sigue existiendo un riesgo de desanonimización tras la anonimización o agregación, que no podría mitigarse razonablemente en un principio. Esto se ajusta a los criterios indicados en el artículo 5, apartado 13, del Reglamento [...] [Ley de Gobernanza de Datos, COM(2020) 767 final], pues estos tipos de datos sanitarios forman parte de la facultad para la transferencia a terceros países, establecida en el mencionado artículo. Las medidas de protección, proporcionales al riesgo de desanonimización, tendrían que tener en cuenta las especificidades de las diferentes categorías de datos o de las diferentes técnicas de anonimización o agregación y se detallarán en el contexto del acto delegado en virtud de la facultad establecida en el artículo 5, punto 13, del Reglamento [...] [Ley de Gobernanza de Datos, COM(2020) 767 final].

(65)Con el fin de promover la aplicación coherente del presente Reglamento, debe crearse un Consejo del Espacio Europeo de Datos Sanitarios (el Consejo del EEDS). La Comisión debe participar en sus actividades. El Consejo debe contribuir a la aplicación coherente del presente Reglamento en toda la Unión, en particular ayudando a los Estados miembros a coordinar el uso de datos sanitarios electrónicos para la asistencia sanitaria y la certificación, pero también en relación con su uso secundario. Dado que, a nivel nacional, las autoridades de sanidad digital que se ocupan del uso primario de los datos sanitarios electrónicos pueden ser diferentes de los organismos de acceso a los datos sanitarios que se ocupan del uso secundario de dichos datos, las funciones son diferentes y es necesaria una cooperación distinta en cada uno de estos ámbitos, el Consejo del EEDS debe poder crear subgrupos que se ocupen de estas dos funciones, así como otros subgrupos, en caso necesario. En aras de un método de trabajo eficiente, las autoridades de sanidad digital y los organismos de acceso a los datos sanitarios deben crear redes y vínculos a nivel nacional con otros organismos y autoridades diferentes, pero también a escala de la Unión. Dichos organismos podrían ser las autoridades de protección de datos, ciberseguridad, identificación electrónica y los organismos de normalización, así como los organismos y grupos de expertos en virtud de los Reglamentos [...], [...], [...] y [...] [Ley de Gobernanza de Datos, Ley de Datos, Ley de Inteligencia Artificial y Reglamento de Ciberseguridad].

(66)Con el fin de gestionar las infraestructuras transfronterizas para el uso primario y secundario de los datos sanitarios electrónicos, es necesario crear el Grupo de Corresponsabilidad del Tratamiento para los participantes autorizados (por ejemplo, para garantizar el cumplimiento de las normas de protección de datos y del presente Reglamento en las operaciones de tratamiento realizadas en dichas infraestructuras).

(67)Dado que los objetivos del presente Reglamento (a saber, facultar a las personas físicas mediante un mayor control de sus datos sanitarios personales y apoyar su libre circulación garantizando que los datos sanitarios los acompañen, fomentar un auténtico mercado único de servicios y productos sanitarios digitales, y garantizar un marco coherente y eficiente para la reutilización de los datos sanitarios de las personas físicas con fines de investigación, innovación, formulación de políticas y actividades reglamentarias) no pueden alcanzarse de manera suficiente por los Estados miembros únicamente mediante medidas de coordinación, como demuestra la evaluación de los aspectos digitales de la Directiva 2011/24/UE, sino que, debido a que las medidas de armonización relativas a los derechos de las personas físicas en relación con sus datos sanitarios electrónicos, la interoperabilidad de los datos sanitarios electrónicos y un marco común y garantías para el uso primario y secundario de los datos sanitarios electrónicos pueden lograrse mejor a escala de la Unión, esta puede adoptar medidas, de acuerdo con el principio de subsidiariedad consagrado en el artículo 5 del Tratado de la Unión Europea. De conformidad con el principio de proporcionalidad establecido en el mismo artículo, el presente Reglamento no excede de lo necesario para alcanzar dichos objetivos.

(68)A fin de garantizar que el EEDS cumple sus objetivos, deben delegarse en la Comisión los poderes para adoptar actos con arreglo al artículo 290 del Tratado de Funcionamiento de la Unión Europea por lo que respecta a las diferentes disposiciones sobre el uso primario y secundario de los datos sanitarios electrónicos. Reviste especial importancia que la Comisión lleve a cabo las consultas oportunas durante la fase preparatoria, en particular con expertos, y que esas consultas se realicen de conformidad con los principios establecidos en el Acuerdo Interinstitucional sobre la Mejora de la Legislación, de 13 de abril de 2016 52 . En particular, a fin de garantizar una participación equitativa en la preparación de los actos delegados, el Parlamento Europeo y el Consejo reciben toda la documentación al mismo tiempo que los expertos de los Estados miembros, y sus expertos tienen acceso sistemáticamente a las reuniones de los grupos de expertos de la Comisión que se ocupen de la preparación de actos delegados.

(69)A fin de garantizar condiciones uniformes de ejecución del presente Reglamento, deben conferirse a la Comisión competencias de ejecución. Dichas competencias deben ejercerse de conformidad con el Reglamento (UE) n.º 182/2011 del Parlamento Europeo y del Consejo 53 .

(70)Los Estados miembros deben tomar todas las medidas necesarias para asegurarse de que se apliquen las disposiciones del presente Reglamento, incluso estableciendo sanciones efectivas, proporcionadas y disuasorias para las infracciones que se cometan. En el caso de ciertas infracciones concretas, los Estados miembros deben tener en cuenta los márgenes y criterios establecidos en el presente Reglamento.

(71)La Comisión debe llevar a cabo una evaluación del presente Reglamento, a fin de valorar si este alcanza sus objetivos de manera eficaz y eficiente, es coherente y sigue siendo pertinente y aporta valor añadido a escala de la Unión. La Comisión debe llevar a cabo una evaluación parcial del presente Reglamento cinco años después de su entrada en vigor sobre la autocertificación de los sistemas HME, y una evaluación global siete años después de su entrada en vigor. La Comisión debe presentar informes sobre sus principales conclusiones al Parlamento Europeo, al Consejo, al Comité Económico y Social Europeo y al Comité de las Regiones.

(72)Para el éxito de la aplicación transfronteriza del EEDS, el Marco Europeo de Interoperabilidad 54 , que garantiza la interoperabilidad jurídica, organizativa, semántica y técnica, debe considerarse una referencia común.

(73)La evaluación de los aspectos digitales de la Directiva 2011/24/UE muestra una eficacia limitada de la red de sanidad electrónica, pero también un gran potencial para el trabajo de la UE en este ámbito, como se ha demostrado durante la pandemia. Por lo tanto, el artículo 14 de la Directiva será derogado y sustituido por el Reglamento actual y la Directiva se modificará en consecuencia.

(74)De conformidad con el artículo 42 del Reglamento (UE) 2018/1725, se consultó al Supervisor Europeo de Protección de Datos y el Comité Europeo de Protección de Datos, quienes emitieron un dictamen sobre […].

(75)El presente Reglamento no debe afectar a la aplicación de la normativa sobre competencia, en particular los artículos 101 y 102 del Tratado. Las medidas establecidas en el presente Reglamento no deben utilizarse para restringir la competencia de forma contraria al Tratado.

(76)Dada la necesidad de preparación técnica, el presente Reglamento debe ser de aplicación a partir del [indíquese la fecha doce meses posterior a la entrada en vigor].

HAN ADOPTADO EL PRESENTE REGLAMENTO:

Capítulo I

Disposiciones generales

Artículo 1

Objeto y ámbito de aplicación

1.El presente Reglamento establece el Espacio Europeo de Datos Sanitarios (EEDS), proporcionando reglas, normas y prácticas comunes, infraestructuras y un marco de gobernanza para el uso primario y secundario de los datos sanitarios electrónicos.

2.El presente Reglamento.

a)refuerza los derechos de las personas físicas con respecto a la disponibilidad y el control de sus datos sanitarios electrónicos;

b)establece normas para la introducción en el mercado, la comercialización o la puesta en servicio de sistemas de historiales médicos electrónicos (sistemas HME) en la Unión;

c)introduce normas y mecanismos para apoyar el uso secundario de datos sanitarios electrónicos;

d)establece una infraestructura transfronteriza obligatoria que permite el uso primario de datos sanitarios electrónicos en el conjunto de la Unión;

e)establece una infraestructura transfronteriza obligatoria para el uso secundario de datos sanitarios electrónicos.

3.El presente Reglamento se aplica a:

a)los fabricantes y proveedores de sistemas HME y aplicaciones sobre bienestar que se introduzcan en el mercado y se pongan en servicio en la Unión y a los usuarios de estos productos;

b)los responsables y los encargados del tratamiento establecidos en la Unión que traten datos sanitarios electrónicos de ciudadanos de la Unión y nacionales de terceros países que residan legalmente en los territorios de los Estados miembros;

c)los responsables y los encargados del tratamiento establecidos en un tercer país que esté conectado a MiSalud@UE (MyHealth@EU) o sea interoperable con esta plataforma, de conformidad con el artículo 12, apartado 5;

d)los usuarios de datos a los que los titulares de datos de la Unión faciliten datos sanitarios electrónicos.

4.El presente Reglamento se entenderá sin perjuicio de otros actos jurídicos de la Unión relativos al acceso a los datos sanitarios electrónicos, al intercambio o al uso secundario de estos, o requisitos relativos al tratamiento de datos en lo que respecta a los datos sanitarios electrónicos, en particular los Reglamentos (UE) 2016/679, (UE) 2018/1725, [...], [Ley de Gobernanza de Datos, COM(2020) 767 final] y [...] [Ley de Datos, COM(2022) 68 final].

5.El presente Reglamento se entenderá sin perjuicio de los Reglamentos (UE) 2017/745 y [...] [Ley de inteligencia artificial, COM(2021) 206 final], en lo que respecta a la seguridad de los productos sanitarios y los sistemas de IA que interactúan con los sistemas HME.

6.El presente Reglamento no afectará a los derechos y obligaciones establecidos en el Derecho de la Unión o nacional en materia de tratamiento de datos a efectos de la presentación de informes, la respuesta a las peticiones de información o la demostración o verificación del cumplimiento de las obligaciones legales.

Artículo 2

Definiciones

1.A los efectos del presente Reglamento, se aplicarán:

a)las definiciones del Reglamento (UE) 2016/679;

b)las definiciones de «asistencia sanitaria», «Estado miembro de afiliación», «Estado miembro de tratamiento», «profesional sanitario», «prestador de asistencia sanitaria», «medicamento» y «receta», de conformidad con el artículo 3, letras a), c), d), f), g), i) y k), de la Directiva 2011/24/UE;

c)las definiciones de «datos», «acceso», «cesión altruista de datos», «organismo del sector público» y «entorno de tratamiento seguro», de conformidad con el artículo 2, apartados 1, 8, 10, 11 y 14 de la [Ley de Gobernanza de Datos, COM(2020) 767 final];

d)las definiciones de «comercialización», «introducción en el mercado», «vigilancia del mercado», «autoridad de vigilancia del mercado», «incumplimiento», «fabricante», «importador», «distribuidor», «operador económico», «medida correctiva», «riesgo», «recuperación» y «retirada», de conformidad con el artículo 2, apartados 1, 2, 3, 4, 7, 8, 9, 10, 13, 16, 18, 22 y 23 del Reglamento (UE) 2019/1020;

e)las definiciones de «producto sanitario», «finalidad prevista», «instrucciones de uso», «funcionamiento», «centro sanitario» y «especificaciones comunes», de conformidad con el artículo 2, apartados 1, 12, 14, 22, 36, y 71 del Reglamento (UE) 2017/745;

f)las definiciones de «identificación electrónica», «medios de identificación electrónica» y «datos de identificación de la persona», de conformidad con el artículo 3, apartados 1, 2 y 3 del Reglamento (UE) n.º 910/2014.

2.Además, a los efectos del presente Reglamento, se entenderá por:

a)«datos sanitarios electrónicos personales»: los datos relativos a la salud y los datos genéticos, tal como se definen en el Reglamento (UE) 2016/679, así como los datos relativos a factores determinantes de la salud, o los datos tratados en relación con la prestación de servicios sanitarios, que se traten en formato electrónico;

b)«datos sanitarios electrónicos no personales»: los datos relativos a datos sanitarios y genéticos en formato electrónico que no estén incluidos en la definición de datos personales establecida en el artículo 4, apartado 1, del Reglamento (UE) 2016/679;

c)«datos sanitarios electrónicos»: los datos sanitarios electrónicos personales o no personales;

d)«uso primario de datos sanitarios electrónicos»: el tratamiento de datos sanitarios electrónicos personales para la prestación de servicios sanitarios con el fin de evaluar, conservar o restablecer el estado de salud de la persona física a la que se refieren dichos datos, que incluye la prescripción, dispensación y provisión de medicamentos y productos sanitarios, así como para los servicios pertinentes de seguridad social, administrativos o de reembolso;

e)«uso secundario de datos sanitarios electrónicos»: el tratamiento de datos sanitarios electrónicos para los fines establecidos en el capítulo IV del presente Reglamento; los datos utilizados podrán incluir datos sanitarios electrónicos personales recogidos inicialmente en el contexto de un uso primario, pero también datos sanitarios electrónicos recogidos para un uso secundario;

f)«interoperabilidad»: la capacidad de las organizaciones, así como de las aplicaciones o dispositivos informáticos del mismo fabricante o de diferentes fabricantes, para interactuar con fines mutuamente beneficiosos, que consista en un intercambio de información y conocimientos que no modifique el contenido de los datos entre estas organizaciones, aplicaciones o dispositivos informáticos, a través de los procesos a los que dan apoyo;

g)«formato de intercambio de historiales médicos electrónicos de ámbito europeo»: un formato estructurado, de uso común y legible por máquina que permite la transmisión de datos sanitarios electrónicos personales entre diferentes aplicaciones, dispositivos y prestadores de asistencia sanitaria;

h)«registro de datos sanitarios electrónicos»: la grabación de datos sanitarios en un formato electrónico mediante la introducción manual de datos, la recogida de datos por un dispositivo o la conversión de datos sanitarios no electrónicos a formato electrónico, para que puedan ser tratados en un sistema HME o en una aplicación sobre bienestar;

i)«servicio de acceso a datos sanitarios electrónicos»: un servicio en línea, como un portal o una aplicación para dispositivos móviles, que permite a las personas físicas que no actúan en su función profesional acceder a sus propios datos sanitarios electrónicos o a los de aquellas personas físicas a cuyos datos sanitarios electrónicos están autorizados a acceder legalmente;

j)«servicio de acceso de los profesionales sanitarios»: un servicio, apoyado por un sistema HME, que permite a los profesionales sanitarios acceder a los datos de las personas físicas a las que están tratando;

k)«destinatario de los datos»: una persona física o jurídica que recibe datos de otro responsable del tratamiento en el contexto del uso primario de datos sanitarios electrónicos;

l)«telemedicina»: la prestación de servicios sanitarios, incluida la atención a distancia y las farmacias en línea, mediante el uso de tecnologías de la información y la comunicación, en situaciones en las que el profesional sanitario y el paciente (o varios profesionales sanitarios) no se encuentran en el mismo lugar;

m)«HME» (historial médico electrónico): una recopilación de datos sanitarios electrónicos relacionados con una persona física y recogidos en el sistema sanitario, tratados con fines de asistencia sanitaria;

n)«sistema HME» (sistema de historiales médicos electrónicos): todo aparato o programa informático destinado por el fabricante a ser utilizado para almacenar, intermediar, importar, exportar, convertir, editar o visualizar historiales médicos electrónicos; 

o)«aplicación sobre bienestar»: todo aparato o programa informático destinado por el fabricante a ser utilizado por una persona física para el tratamiento de datos sanitarios electrónicos con fines distintos de la asistencia sanitaria, como el bienestar y la adopción de estilos de vida saludables;

p)«marcado CE de conformidad»: un marcado mediante el que el fabricante indica la conformidad del sistema HME con los requisitos aplicables establecidos en el presente Reglamento y con el resto de la legislación de la Unión aplicable que prevea su colocación;

q)«incidente grave»: todo funcionamiento defectuoso o deterioro de las características o del rendimiento de un sistema HME comercializado que, directa o indirectamente, pueda haber dado lugar, o pueda dar lugar, a alguna de las siguientes consecuencias:

i)la muerte de una persona física o daños graves para su salud;

ii)una perturbación grave de la gestión y la explotación de infraestructuras críticas en el sector sanitario;

r)«punto de contacto nacional para la salud digital»: una pasarela organizativa y técnica que ofrece servicios transfronterizos de información sanitaria digital para un uso primario de datos sanitarios electrónicos, bajo la responsabilidad de los Estados miembros;

s)«plataforma central para la salud digital»: una plataforma de interoperabilidad que presta servicios para apoyar y facilitar el intercambio de datos sanitarios electrónicos entre los puntos de contacto nacionales para la salud digital;

t)«MiSalud@EU (MyHealth@EU)»: la infraestructura transfronteriza para el uso primario de datos sanitarios electrónicos integrada por los puntos de contacto nacionales para la salud digital y la plataforma central para la salud digital;

u)«punto de contacto nacional para el uso secundario de datos sanitarios electrónicos»: una pasarela organizativa y técnica que permite el uso secundario transfronterizo de datos sanitarios electrónicos, bajo la responsabilidad de los Estados miembros;

v)«plataforma central para el uso secundario de datos sanitarios electrónicos»: una plataforma de interoperabilidad creada por la Comisión, que presta servicios para apoyar y facilitar el intercambio de información entre los puntos de contacto nacionales para el uso secundario de datos sanitarios electrónicos;

x)«DatosSalud@UE (HealthData@EU)»: la infraestructura que conecta los puntos de contacto nacionales para el uso secundario de datos sanitarios electrónicos y la plataforma central;

y)«titular de datos»: toda persona física o jurídica que sea una entidad o un organismo del sector sanitario o asistencial, o que lleve a cabo investigaciones en relación con estos sectores, así como instituciones, órganos y organismos de la Unión que tengan el derecho o la obligación, de conformidad con el presente Reglamento, con el Derecho de la Unión aplicable o con la legislación nacional por la que se aplique el Derecho de la Unión, o, en el caso de los datos no personales, mediante el control del diseño técnico de un producto y de los servicios conexos, de poner a disposición, así como de registrar o entregar determinados datos, restringir el acceso a ellos o intercambiarlos;

z)«usuario de datos», una persona física o jurídica que tiene acceso legítimo a determinados datos sanitarios electrónicos personales o no personales y está autorizada a usarlos con fines comerciales o no comerciales;

aa)«permiso de datos»: una decisión administrativa expedida a un usuario de datos por un organismo de acceso a los datos sanitarios o un titular de los datos con el fin de que pueda tratar para un uso secundario los datos sanitarios electrónicos especificados en el permiso, en las condiciones establecidas en el presente Reglamento;

ab)«conjunto de datos»: una colección estructurada de datos sanitarios electrónicos;

ac)«catálogo de conjuntos de datos»: una colección de descripciones de conjuntos de datos, organizada de manera sistemática y que contiene una parte pública orientada al usuario, en la que se puede acceder a la información relativa a los parámetros individuales de los conjuntos de datos por medios electrónicos a través de un portal en línea;

ad)«calidad de los datos»: el grado en que las características de los datos sanitarios electrónicos son adecuadas para un uso secundario;

ae)«etiqueta de calidad y utilidad de los datos»: un diagrama gráfico, incluida una escala, que describe la calidad de los datos y las condiciones de uso de un conjunto de datos.

Capítulo II

Uso primario de datos sanitarios electrónicos

Sección 1

Acceso a los datos sanitarios electrónicos personales para uso primario y transmisión de estos datos

Artículo 3

Derechos de las personas físicas en relación con el uso primario de sus datos sanitarios electrónicos

1.Las personas físicas tendrán derecho a acceder a sus datos sanitarios electrónicos personales que hayan sido tratados en el contexto de un uso primario de datos sanitarios electrónicos, de forma inmediata y gratuita, y en un formato fácilmente legible, consolidado y accesible.

2.Las personas físicas tendrán derecho a recibir una copia electrónica, en el formato de intercambio de historiales médicos electrónicos de ámbito europeo a que se refiere el artículo 6, de al menos sus datos sanitarios electrónicos en las categorías prioritarias a que se refiere el artículo 5.

3.De conformidad con el artículo 23 del Reglamento (UE) 2016/679, los Estados miembros podrán restringir el alcance de este derecho siempre que sea necesario para la protección de la persona física, en consideración de la seguridad de los pacientes y la ética, retrasando el acceso a sus datos sanitarios electrónicos personales durante un tiempo limitado hasta que un profesional sanitario pueda comunicar y explicar adecuadamente a la persona física la información, cuando pueda tratarse de consecuencias graves para su salud.

4.Cuando los datos sanitarios personales no se hayan registrado electrónicamente antes de la aplicación del presente Reglamento, los Estados miembros podrán exigir que dichos datos estén disponibles en formato electrónico, de conformidad con el presente artículo. Ello no afectará a la obligación de poner a disposición en formato electrónico los datos sanitarios electrónicos personales registrados tras la aplicación del presente Reglamento, de conformidad con el presente artículo.

5.Los Estados miembros:

a)establecerán uno o varios servicios de acceso a datos sanitarios electrónicos a nivel nacional, regional o local que permitan el ejercicio de los derechos a que se refieren los apartados 1 y 2;

b)establecerán uno o varios servicios de representación que permitan a una persona física autorizar a otras personas físicas de su elección el acceso a sus datos sanitarios electrónicos en su nombre.

Los servicios de representación proporcionarán autorizaciones gratuitas, por vía electrónica o en papel. Autorizarán a los tutores u otros representantes, de forma automática o previa solicitud, a acceder a los datos sanitarios electrónicos de las personas físicas cuyos asuntos administran. Los Estados miembros podrán disponer que las autorizaciones no se hagan efectivas, siempre que sea necesario por razones relacionadas con la protección de la persona física y, en particular, en razón de la seguridad de los pacientes y la ética. Los servicios de representación serán interoperables entre los Estados miembros.

6.Las personas físicas podrán introducir sus datos sanitarios electrónicos en su propio HME o en el de las personas físicas a cuya información sanitaria puedan acceder, a través de servicios de acceso a datos sanitarios electrónicos o aplicaciones relacionadas con dichos servicios. Se indicará si esta información ha sido introducida por la persona física o por su representante.

7.Los Estados miembros velarán por que, en el ejercicio del derecho de rectificación en virtud del artículo 16 del Reglamento (UE) 2016/679, las personas físicas puedan solicitar fácilmente una rectificación en línea a través de los servicios de acceso a los datos sanitarios electrónicos a que se refiere el apartado 5, letra a), del presente artículo.

8.Las personas físicas tendrán derecho a permitir el acceso a sus datos sanitarios electrónicos a un titular de datos del sector sanitario o de la seguridad social o a solicitarle que los transmita a un destinatario de datos de su elección del sector sanitario o de la seguridad social, de forma inmediata, gratuita y sin obstáculos por parte del titular de los datos o de los fabricantes de los sistemas utilizados por ese titular.

Las personas físicas tendrán derecho a que, cuando el titular de los datos y el destinatario de los datos estén situados en diferentes Estados miembros y esos datos sanitarios electrónicos correspondan a las categorías a que se refiere el artículo 5, el titular de los datos los transmita en el formato de intercambio de historiales médicos electrónicos de ámbito europeo a que se refiere el artículo 6 y el destinatario de los datos los lea y acepte.

No obstante lo dispuesto en el artículo 9 del Reglamento [...] [Ley de Datos, COM(2022) 68 final], el destinatario de los datos no estará obligado a compensar al titular de los datos por haber puesto a disposición los datos sanitarios electrónicos.

Las personas físicas tendrán derecho a que, cuando las categorías prioritarias de datos sanitarios electrónicos personales a que se refiere el artículo 5 sean transmitidas o puestas a disposición por la persona física con arreglo al formato de intercambio de historiales médicos electrónicos de ámbito europeo a que se refiere el artículo 6, dichos datos sean leídos y aceptados por otros prestadores de asistencia sanitaria.

9.No obstante lo dispuesto en el artículo 6, apartado 1, letra d), del Reglamento (UE) 2016/679, las personas físicas tendrán derecho a restringir el acceso de los profesionales sanitarios a la totalidad o parte de sus datos sanitarios electrónicos. Los Estados miembros establecerán las normas y garantías específicas relativas a dichos mecanismos de restricción.

10.Las personas físicas tendrán derecho a obtener información sobre los prestadores de asistencia sanitaria y los profesionales sanitarios que hayan accedido a sus datos sanitarios electrónicos en el contexto de la asistencia sanitaria. La información se facilitará de forma inmediata y gratuita a través de los servicios de acceso a los datos sanitarios electrónicos.

11.La autoridad o las autoridades de control responsables de supervisar la aplicación del Reglamento (UE) 2016/679 también serán responsables de supervisar la aplicación del presente artículo, de conformidad con las disposiciones pertinentes de los capítulos VI, VII y VIII del Reglamento (UE) 2016/679. Serán competentes para imponer multas administrativas hasta el importe máximo mencionado en el artículo 83, apartado 5, de ese Reglamento. Las autoridades de control y las autoridades de sanidad digital a que se refiere el artículo 10 del presente Reglamento cooperarán, cuando proceda, en la aplicación del presente Reglamento, en el marco de sus competencias respectivas.

12.La Comisión determinará, mediante actos de ejecución, los requisitos relativos a la ejecución técnica de los derechos establecidos en el presente artículo. Dichos actos de ejecución se adoptarán de conformidad con el procedimiento consultivo a que se refiere el artículo 68, apartado 2.

Artículo 4

Acceso de los profesionales sanitarios a los datos sanitarios electrónicos personales

1.Cuando traten datos en formato electrónico, los profesionales sanitarios:

a)tendrán acceso a los datos sanitarios electrónicos de las personas físicas a las que estén tratando, independientemente del Estado miembro de afiliación y del Estado miembro de tratamiento;

b)garantizarán que los datos sanitarios electrónicos personales de las personas físicas a las que estén tratando se actualicen con la información relativa a los servicios sanitarios prestados.

2.En consonancia con el principio de minimización de datos previsto en el Reglamento (UE) 2016/679, los Estados miembros podrán establecer normas relativas a las categorías de datos sanitarios electrónicos personales que requieran las diferentes profesiones sanitarias. Estas normas no se basarán en la fuente de datos sanitarios electrónicos.

3.Los Estados miembros velarán por que los profesionales sanitarios tengan acceso, como mínimo, a las categorías prioritarias de datos sanitarios electrónicos a que se refiere el artículo 5 a través de los servicios de acceso para los profesionales sanitarios. Los profesionales sanitarios que dispongan de medios de identificación electrónica reconocidos tendrán derecho a utilizar gratuitamente dichos servicios de acceso para los profesionales sanitarios.

4.Cuando la persona física haya restringido el acceso a los datos sanitarios electrónicos, no se informará al prestador de asistencia sanitaria ni a los profesionales sanitarios del contenido de los datos sanitarios electrónicos sin la autorización previa de la persona física, incluso cuando el prestador o el profesional en cuestión esté informado de la existencia y la naturaleza de los datos sanitarios electrónicos restringidos. En los casos en que el tratamiento sea necesario para proteger los intereses vitales del interesado o de otra persona física, el prestador de asistencia sanitaria o el profesional sanitario podrán tener acceso a los datos sanitarios electrónicos restringidos. Tras dicho acceso, el prestador de asistencia sanitaria o el profesional sanitario informará al titular de los datos y a la persona física afectada o a sus tutores de que se ha concedido el acceso a los datos sanitarios electrónicos. La legislación de los Estados miembros podrá incluir otras garantías adicionales.

Artículo 5

Categorías prioritarias de datos sanitarios electrónicos personales para uso primario

1.Cuando los datos se traten en formato electrónico, los Estados miembros facilitarán el acceso y el intercambio de datos sanitarios electrónicos personales para uso primario que estén total o parcialmente incluidos en las siguientes categorías:

a)historiales resumidos de los pacientes;

b)recetas electrónicas;

c)dispensaciones electrónicas;

d)imágenes médicas e informes de imágenes;

e)resultados de laboratorio;

f)informes de altas hospitalarias.

Las principales características de las categorías de datos sanitarios electrónicos contempladas en el párrafo primero serán las que figuran en el anexo I.

El acceso a los datos sanitarios electrónicos y su intercambio para uso primario podrán facilitarse para otras categorías de datos sanitarios electrónicos personales disponibles en los HME de las personas físicas.

2.La Comisión estará facultada para adoptar actos delegados, de conformidad con el artículo 67, a fin de modificar la lista de las categorías prioritarias de datos sanitarios electrónicos del apartado 1. Estos actos delegados también podrán modificar el anexo I añadiendo, modificando o suprimiendo las principales características de las categorías prioritarias de datos sanitarios electrónicos e indicando, en su caso, el aplazamiento de la fecha de aplicación. Las categorías de datos sanitarios electrónicos que se añadan mediante dichos actos delegados deberán cumplir los siguientes criterios:

a)la categoría es pertinente para los servicios sanitarios prestados a personas físicas;

b)según la información más reciente, la categoría se utiliza en un número significativo de sistemas HME utilizados en los Estados miembros;

c)existen normas internacionales para la categoría que han sido examinadas con vistas a su posible aplicación en la Unión.

Artículo 6

Formato de intercambio de historiales médicos electrónicos de ámbito europeo

1.La Comisión determinará, mediante actos de ejecución, las especificaciones técnicas para las categorías prioritarias de datos sanitarios electrónicos personales a que se refiere el artículo 5, estableciendo el formato de intercambio de historiales médicos electrónicos de ámbito europeo. El formato incluirá los elementos siguientes:

a)conjuntos de datos que contengan datos sanitarios electrónicos y definan estructuras, como campos de datos y grupos de datos para la representación del contenido clínico y otras partes de los datos sanitarios electrónicos;

b)sistemas de codificación y valores que deben utilizarse en los conjuntos de datos que contengan datos sanitarios electrónicos;

c)especificaciones técnicas para el intercambio de datos sanitarios electrónicos, incluida su representación de contenidos, normas y perfiles.

2.Dichos actos de ejecución se adoptarán de conformidad con el procedimiento consultivo a que se refiere el artículo 68, apartado 2. Los Estados miembros velarán por que, cuando las categorías prioritarias de datos sanitarios electrónicos personales a que se refiere el artículo 5 sean facilitadas directamente por una persona física o se transmitan a un prestador de asistencia sanitaria por medios automáticos en el formato a que se refiere el apartado 1, el destinatario de los datos lea y acepte dichos datos.

3.Los Estados miembros velarán por que las categorías prioritarias de datos sanitarios electrónicos personales a que se refiere el artículo 5 se faciliten en el formato a que se refiere el apartado 1 y por que el destinatario de esos datos los lea y acepte.

Artículo 7

Registro de datos sanitarios electrónicos personales

1.Los Estados miembros velarán por que, cuando los datos se traten en formato electrónico, los profesionales sanitarios registren sistemáticamente los datos sanitarios pertinentes pertenecientes a las categorías prioritarias contempladas en el artículo 5 en relación con los servicios sanitarios que prestan a personas físicas, en formato electrónico en un sistema HME.

2.Cuando los datos sanitarios electrónicos de una persona física se registren en un Estado miembro que no sea el Estado miembro de afiliación de esa persona, el Estado miembro de tratamiento velará por que el registro se realice con los datos de identificación de la persona física en el Estado miembro de afiliación.

3.La Comisión determinará, mediante actos de ejecución, los requisitos para el registro de datos sanitarios electrónicos por parte de los prestadores de asistencia sanitaria y las personas físicas, según proceda. Dichos actos de ejecución establecerán lo siguiente:

a)las categorías de prestadores de asistencia sanitaria que deben registrar los datos sanitarios por vía electrónica;

b)las categorías de datos sanitarios que los prestadores de asistencia sanitaria a que se refiere la letra a) deben registrar sistemáticamente en formato electrónico;

c)los requisitos de calidad de los datos relativos al registro electrónico de datos sanitarios.

Dichos actos de ejecución se adoptarán de conformidad con el procedimiento consultivo a que se refiere el artículo 68, apartado 2.

Artículo 8

Telemedicina en el contexto de la asistencia sanitaria transfronteriza

Cuando un Estado miembro acepte la prestación de servicios de telemedicina, aceptará, en las mismas condiciones, la prestación de servicios del mismo tipo por prestadores de asistencia sanitaria situados en otros Estados miembros.

Artículo 9

Gestión de la identificación 

1.Cuando una persona física utilice servicios de telemedicina o servicios de acceso a los datos sanitarios personales a que se refiere el artículo 3, apartado 5, letra a), podrá identificarse electrónicamente utilizando cualquier medio de identificación electrónica reconocido de conformidad con el artículo 6 del Reglamento (UE) n.º 910/2014.

2.La Comisión determinará, mediante actos de ejecución, los requisitos para el mecanismo interoperable y transfronterizo de identificación y autenticación para las personas físicas y los profesionales sanitarios, de conformidad con el Reglamento (UE) n.º 910/2014 [modificado por COM(2021) 281 final]. Este mecanismo facilitará la transferibilidad de los datos sanitarios electrónicos en un contexto transfronterizo. Dichos actos de ejecución se adoptarán de conformidad con el procedimiento consultivo a que se refiere el artículo 68, apartado 2.

3.La Comisión implementará los servicios requeridos por el mecanismo interoperable y transfronterizo de identificación y autenticación a que se refiere el apartado 2 del presente artículo a escala de la Unión, como parte de la infraestructura sanitaria digital transfronteriza a que se refiere el artículo 12, apartado 3.

4.Las autoridades de sanidad digital y la Comisión implementarán el mecanismo transfronterizo de identificación y autenticación a nivel de la Unión y de los Estados miembros, respectivamente.

Artículo 10

Autoridad de sanidad digital

1.Cada Estado miembro designará una autoridad de sanidad digital responsable de la aplicación y el cumplimiento del presente capítulo a nivel nacional. El Estado miembro comunicará a la Comisión la identidad de la autoridad de sanidad digital a más tardar en la fecha de aplicación del presente Reglamento. Cuando una autoridad de sanidad digital designada sea una entidad formada por varias organizaciones, el Estado miembro comunicará a la Comisión una descripción de la separación de tareas entre las organizaciones. La Comisión hará pública esta información.

2.Se encomendarán a cada autoridad de sanidad digital las siguientes tareas:

a)garantizar la aplicación de los derechos y obligaciones contemplados en los capítulos II y III mediante la adopción de las soluciones técnicas nacionales, regionales o locales necesarias y el establecimiento de las normas y mecanismos pertinentes;

b)garantizar que las personas físicas, los profesionales sanitarios y los prestadores de asistencia sanitaria dispongan de información completa y actualizada sobre la aplicación de los derechos y obligaciones contemplados en los capítulos II y III;

c)para la aplicación de las soluciones técnicas a que se refiere la letra a), asegurar que estas cumplen con lo dispuesto en los capítulos II y III y en el anexo II;

d)contribuir, a escala de la Unión, al desarrollo de soluciones técnicas que permitan a las personas físicas y a los profesionales sanitarios ejercer sus derechos y obligaciones establecidos en el presente capítulo;

e)facilitar a las personas con discapacidad el ejercicio de sus derechos enumerados en el artículo 3 del presente Reglamento, de conformidad con la Directiva (UE) 2019/882 del Parlamento Europeo y del Consejo 55 .

f)supervisar los puntos de contacto nacionales para la salud digital y cooperar con otras autoridades de sanidad digital y la Comisión en el desarrollo de MiSalud@UE;

g)garantizar la aplicación, a nivel nacional, del formato de intercambio de historiales médicos electrónicos de ámbito europeo, en cooperación con las autoridades nacionales y las partes interesadas;

h)contribuir, a escala de la Unión, al desarrollo del formato de intercambio de historiales médicos electrónicos de ámbito europeo y a la elaboración de especificaciones comunes relativas a la interoperabilidad, la protección, la seguridad o los derechos fundamentales de conformidad con el artículo 23, y de las especificaciones de la base de datos de la UE para sistemas HME y aplicaciones sobre bienestar a que se refiere el artículo 32;

i)cuando proceda, realizar actividades de vigilancia del mercado de conformidad con el artículo 28, garantizando al mismo tiempo que se evita cualquier conflicto de intereses;

j)desarrollar la capacidad nacional para aplicar la interoperabilidad y la seguridad del uso primario de datos sanitarios electrónicos y participar en intercambios de información y actividades de desarrollo de capacidades a escala de la Unión;

k)ofrecer, de conformidad con la legislación nacional, servicios de telemedicina y garantizar que dichos servicios sean fáciles de utilizar, accesibles a diferentes grupos de personas físicas y profesionales sanitarios, incluidas las personas físicas con discapacidad, que no sean discriminatorios y que ofrezcan la posibilidad de elegir entre servicios digitales y presenciales;

l)cooperar con las autoridades de vigilancia del mercado, participar en las actividades relacionadas con la gestión de los riesgos que plantean los sistemas HME y de los incidentes graves y supervisar la aplicación de medidas correctivas de conformidad con el artículo 29;

m)cooperar con otras entidades y organismos pertinentes a escala nacional o de la Unión para garantizar la interoperabilidad, la portabilidad de los datos y la seguridad de los datos sanitarios electrónicos, así como con los representantes de las partes interesadas, incluidos los representantes de los pacientes, los prestadores de asistencia sanitaria, los profesionales sanitarios y las asociaciones del sector;

n)cooperar con las autoridades de control, de conformidad con el Reglamento (UE) n.º 910/2014, el Reglamento (UE) 2016/679 y la Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo 56 , con otras autoridades pertinentes, incluidas las autoridades competentes en materia de ciberseguridad e identificación electrónica, el Comité Europeo de Inteligencia Artificial, el Grupo de Coordinación de Productos Sanitarios, el Comité Europeo de Innovación en materia de Datos y las autoridades competentes en virtud del Reglamento [...] [Ley de Datos, COM(2022) 68 final];

o)elaborar cuando proceda, en colaboración con las autoridades de vigilancia del mercado, un informe anual que contenga una visión general de sus actividades. El informe se transmitirá a la Comisión. El informe anual de actividades seguirá una estructura acordada a nivel de la Unión en el seno del Consejo del Espacio Europeo de Datos Sanitarios (Consejo del EEDS), a fin de facilitar la evaluación comparativa con arreglo al artículo 59. El informe contendrá, como mínimo, información sobre:

i)las medidas adoptadas para la aplicación del presente Reglamento;

ii)el porcentaje de personas físicas que tiene acceso a diferentes categorías de datos de sus historiales médicos electrónicos;

iii)la tramitación de las peticiones de personas físicas en el ejercicio de sus derechos en virtud del presente Reglamento;

iv)el número de prestadores de asistencia sanitaria de diferentes tipos, incluidas farmacias, hospitales y otros puntos de asistencia que estén conectados a MiSalud@UE, calculado: a) en términos absolutos, b) como porcentaje de todos los prestadores de asistencia sanitaria del mismo tipo y c) como porcentaje de personas físicas que pueden utilizar los servicios;

v)el volumen de datos sanitarios electrónicos de diferentes categorías compartidos a través de las fronteras mediante MiSalud@UE;

vi)el nivel de satisfacción de las personas físicas con los servicios de MiSalud@UE;

vii)el número de sistemas HME certificados y de aplicaciones sobre bienestar etiquetadas que se hayan inscrito en la base de datos de la UE;

viii)el número de casos de incumplimiento de los requisitos obligatorios;

ix)una descripción de las actividades llevadas a cabo en relación con el compromiso con las partes interesadas pertinentes, y la consulta a estas, entre las que se encuentran los representantes de las personas físicas, las organizaciones de pacientes, los profesionales sanitarios, los investigadores y los comités éticos;

x)información sobre la cooperación con otros organismos competentes, en particular en el ámbito de la protección de datos, la ciberseguridad y la inteligencia artificial.

3.La Comisión estará facultada para adoptar actos delegados, de conformidad con el artículo 67, a fin de completar el presente Reglamento, encomendando a las autoridades de sanidad digital las tareas adicionales necesarias para llevar a cabo las funciones que les confiere el presente Reglamento y para modificar el contenido del informe anual.

4.Los Estados miembros velarán por que cada autoridad de control disponga de los recursos humanos, técnicos y financieros, así como de los locales e infraestructuras necesarios para el desempeño efectivo de sus tareas y el ejercicio de sus competencias.

5.En el desempeño de sus funciones, la autoridad de sanidad digital cooperará activamente con los representantes de las partes interesadas, incluidos los representantes de los pacientes. Los miembros de la autoridad de sanidad digital evitarán todo conflicto de intereses. 

Artículo 11

Derecho a presentar una reclamación ante una autoridad de sanidad digital

1.Sin perjuicio de cualquier otro recurso administrativo o judicial, las personas físicas y jurídicas tendrán derecho a presentar una reclamación, de forma individual o, en su caso, colectiva, ante la autoridad de sanidad digital. Cuando la reclamación se refiera a los derechos de las personas físicas contemplados en el artículo 3 del presente Reglamento, la autoridad de sanidad digital informará a las autoridades de control de conformidad con el Reglamento (UE) 2016/679.

2.La autoridad de sanidad digital ante la que se haya presentado la reclamación informará al reclamante sobre el curso del procedimiento y la decisión que se tome.

3.Las autoridades de sanidad digital cooperarán para tramitar y resolver sin demora indebida las reclamaciones, lo que incluirá el intercambio de toda información pertinente por medios electrónicos.

Sección 2

Infraestructura transfronteriza para el uso primario de datos sanitarios electrónicos

Artículo 12

MiSalud@UE

1.La Comisión establecerá una plataforma central de salud digital para prestar servicios que apoyen y faciliten el intercambio de datos sanitarios electrónicos entre los puntos de contacto nacionales para la salud digital de los Estados miembros.

2.Cada Estado miembro designará un punto de contacto nacional para la salud digital a fin de garantizar su conexión a todos los demás puntos de contacto nacionales para la salud digital y a la plataforma central para la salud digital. Cuando un punto de contacto nacional designado sea una entidad integrada por varias organizaciones responsables de la ejecución de diferentes servicios, el Estado miembro comunicará a la Comisión una descripción de la separación de tareas entre las organizaciones. El punto de contacto nacional para la salud digital se considerará participante autorizado en la infraestructura. Cada Estado miembro comunicará a la Comisión la identidad de su punto de contacto nacional a más tardar el [fecha de aplicación del presente Reglamento]. Dicho punto de contacto podrá establecerse en el seno de la autoridad de sanidad digital establecida en virtud del artículo 10 del presente Reglamento. Los Estados miembros comunicarán a la Comisión toda modificación posterior de la identidad de esos puntos de contacto. La Comisión y los Estados miembros pondrán dicha información a disposición del público.

3.Cada punto de contacto nacional para la salud digital facilitará el intercambio de los datos sanitarios electrónicos personales a que se refiere el artículo 5 con todos los demás puntos de contacto nacionales. El intercambio se realizará en el formato de intercambio de historiales médicos electrónicos de ámbito europeo.

4.La Comisión adoptará, mediante actos de ejecución, las medidas necesarias para el desarrollo técnico de MiSalud@UE, normas detalladas relativas a la seguridad, la confidencialidad y la protección de los datos sanitarios electrónicos, así como las condiciones y los controles de conformidad necesarios para unirse y mantener la conexión a MiSalud@UE y las condiciones de exclusión temporal o definitiva de esta plataforma. Dichos actos de ejecución se adoptarán de conformidad con el procedimiento consultivo a que se refiere el artículo 68, apartado 2.

5.Los Estados miembros garantizarán la conexión de todos los prestadores de asistencia sanitaria a sus puntos de contacto nacionales para la salud digital y velarán por que los que estén conectados puedan realizar intercambios bidireccionales de datos sanitarios electrónicos con el punto de contacto nacional para la salud digital.

6.Los Estados miembros velarán por que las farmacias que operen en sus territorios, incluidas las farmacias en línea, puedan dispensar recetas electrónicas expedidas por otros Estados miembros, en las condiciones establecidas en el artículo 11 de la Directiva 2011/24/UE. Las farmacias accederán a las recetas electrónicas que se les transmitan desde otros Estados miembros a través de MiSalud@UE, y deberán aceptarlas. Tras la dispensación de medicamentos a partir de una receta electrónica de otro Estado miembro, las farmacias notificarán la dispensación al Estado miembro que haya expedido la receta, a través de MiSalud@UE.

7.Los puntos de contacto nacionales para la salud digital actuarán como corresponsables del tratamiento de los datos sanitarios electrónicos comunicados a través de MiSalud@UE para las operaciones de tratamiento en las que participen. La Comisión actuará como encargada del tratamiento.

8.La Comisión, mediante actos de ejecución, distribuirá responsabilidades entre los responsables del tratamiento y con respecto al encargado del tratamiento a que se refiere el apartado 7 del presente artículo, de conformidad con el capítulo IV del Reglamento (UE) 2016/679. Dichos actos de ejecución se adoptarán de conformidad con el procedimiento consultivo a que se refiere el artículo 68, apartado 2.

9.El Grupo de Corresponsabilidad del Tratamiento aprobará la incorporación de cada participante autorizado a MiSalud@UE para diferentes servicios o la desconexión de un participante en función de los resultados de los controles de conformidad.

Artículo 13

Servicios e infraestructuras sanitarias digitales transfronterizos complementarios

1.Los Estados miembros podrán proporcionar a través de MiSalud@UE servicios complementarios que faciliten la telemedicina, la salud móvil, el acceso de las personas físicas a sus datos sanitarios traducidos, el intercambio o la verificación de certificados relacionados con la salud, incluidos los carnés de vacunación, los servicios de apoyo y seguimiento de la salud pública o los sistemas, los servicios sanitarios y las aplicaciones interoperables de salud digital, con vistas a lograr un alto nivel de confianza y seguridad, mejorar la continuidad de la asistencia y garantizar el acceso a una asistencia sanitaria segura y de calidad. A tal fin, la Comisión establecerá, mediante actos de ejecución, los aspectos técnicos. Dichos actos de ejecución se adoptarán de conformidad con el procedimiento consultivo a que se refiere el artículo 68, apartado 2.

2.La Comisión y los Estados miembros podrán facilitar el intercambio de datos sanitarios electrónicos con otras infraestructuras, como el Sistema de Gestión Clínica de Pacientes u otros servicios o infraestructuras en los ámbitos de la salud, la asistencia o la seguridad social que puedan convertirse en participantes autorizados en MiSalud@UE. La Comisión establecerá, mediante actos de ejecución, los aspectos técnicos de estos intercambios. Dichos actos de ejecución se adoptarán de conformidad con el procedimiento consultivo a que se refiere el artículo 68, apartado 2. La conexión de otra infraestructura a la plataforma central de salud digital estará sujeta a una decisión del Grupo de Corresponsabilidad del Tratamiento de MiSalud@UE a que se refiere el artículo 66.

3.Los Estados miembros y la Comisión procurarán garantizar la interoperabilidad de MiSalud@UE con los sistemas tecnológicos establecidos a nivel internacional para el intercambio de datos sanitarios electrónicos. La Comisión podrá adoptar un acto de ejecución por el que se establezca que un punto de contacto nacional de un tercer país o un sistema establecido a nivel internacional cumple los requisitos de MiSalud@UE a efectos del intercambio electrónico de datos sanitarios. Antes de adoptar tal acto de ejecución, se llevará a cabo bajo la supervisión de la Comisión un control de conformidad del punto de contacto nacional del tercer país o del sistema establecido a nivel internacional.

Los actos de ejecución a que se refiere el párrafo primero del presente apartado se adoptarán de conformidad con el procedimiento a que se refiere el artículo 68. La conexión del punto de contacto nacional del tercer país o del sistema establecido a nivel internacional a la plataforma central para la salud digital, así como la decisión sobre su desconexión, estarán sujetas a una decisión del Grupo de Corresponsabilidad del Tratamiento para MiSalud@UE a que se refiere el artículo 66.

La Comisión hará pública la lista de actos de ejecución adoptados en virtud del presente apartado.

CAPÍTULO III

Sistemas HME y aplicaciones sobre bienestar

Sección 1

Disposiciones generales relativas a los sistemas HME

Artículo 14

Interrelación con la legislación que regula los productos sanitarios y los sistemas de IA

1.Los sistemas HME destinados por el fabricante a un uso primario de las categorías prioritarias de datos sanitarios electrónicos a que se refiere el artículo 5 estarán sujetos a las disposiciones establecidas en el presente capítulo.

2.El presente capítulo no se aplicará a los programas informáticos generales utilizados en un entorno sanitario.

3.Los fabricantes de productos sanitarios, tal como se definen en el artículo 2, punto 1, del Reglamento (UE) 2017/745, que declaren la interoperabilidad de sus productos con los sistemas HME deberán demostrar la conformidad con los requisitos esenciales de interoperabilidad establecidos en el anexo II, sección 2, del presente Reglamento. El artículo 23 del presente capítulo será aplicable a dichos productos sanitarios.

4.Los proveedores de sistemas de IA de alto riesgo, tal como se definen en el artículo 6 del Reglamento [...] [Ley de IA, COM(2021) 206 final] y que no están incluidos en el ámbito de aplicación del Reglamento (UE) 2017/745, que declaren la interoperabilidad de dichos sistemas de IA con los sistemas HME, deberán demostrar que cumplen los requisitos esenciales de interoperabilidad establecidos en el anexo II, sección 2, del presente Reglamento. El artículo 23 del presente capítulo será aplicable a esos sistemas de IA de alto riesgo. 

5.Los Estados miembros podrán mantener o definir normas específicas para la adquisición, el reembolso o la financiación de sistemas HME en el contexto de la organización, prestación o financiación de servicios sanitarios.

Artículo 15

Introducción en el mercado y puesta en servicio

1.Los sistemas HME solo podrán introducirse en el mercado o ponerse en servicio si cumplen las disposiciones del presente capítulo.

2.Se considerarán puestos en servicio los sistemas HME que se fabriquen y utilicen en instituciones establecidas en la Unión y los sistemas HME que se ofrezcan como un servicio en el sentido del artículo 1, apartado 1, letra b), de la Directiva (UE) 2015/1535 del Parlamento Europeo y del Consejo 57 a una persona física o jurídica establecida en la Unión. 

Artículo 16

Declaraciones

En la ficha informativa, las instrucciones de uso o cualquier otra información que acompañe a los sistemas HME, y en la publicidad de estos sistemas, estará prohibido el uso de textos, denominaciones, marcas comerciales, fotografías e imágenes u otros signos que puedan inducir a error al usuario en cuanto a la finalidad prevista, la interoperabilidad y la seguridad de los sistemas por alguno de los siguientes medios:

a)atribuir al sistema HME funciones y propiedades que no posee;

b)no informar al usuario de las posibles limitaciones relacionadas con la interoperabilidad o las características de seguridad del sistema HME en relación con su finalidad prevista;

c)sugerir usos del sistema HME distintos de los que se indica en la documentación técnica que forman parte de la finalidad prevista.

Sección 2

Obligaciones de los operadores económicos con respecto a los sistemas HME

Artículo 17

Obligaciones de los fabricantes de sistemas HME

1.Los fabricantes de sistemas HME:

a)garantizarán que sus sistemas HME sean conformes con los requisitos esenciales establecidos en el anexo II y con las especificaciones comunes de conformidad con el artículo 23;

b)elaborarán la documentación técnica de sus sistemas HME de conformidad con el artículo 24;

c)garantizarán que sus sistemas HME vayan acompañados, de forma gratuita para el usuario, de la ficha informativa prevista en el artículo 25 y de instrucciones de uso claras y completas;

d)elaborarán la declaración UE de conformidad contemplada en el artículo 26;

e)colocarán el marcado CE, como dispone el artículo 27.

f)cumplirán las obligaciones de registro a que se refiere el artículo 32;

g)adoptarán sin demora indebida las medidas correctivas que resulten necesarias cuando sus sistemas HME no sean conformes con los requisitos esenciales establecidos en el anexo II, o recuperarán o retirarán esos sistemas;

h)informarán a los distribuidores de sus sistemas HME y, en su caso, al representante autorizado y a los importadores de las medidas correctivas o de la recuperación o retirada;

i)informarán a las autoridades de vigilancia del mercado del Estado miembro donde hayan comercializado o puesto en servicio sus sistemas HME de la no conformidad y de las medidas correctivas adoptadas;

j)facilitarán a una autoridad de vigilancia del mercado, a petición de esta, toda la información y documentación necesarias para demostrar la conformidad de su sistema HME con los requisitos esenciales establecidos en el anexo II.

k)cooperarán con las autoridades de vigilancia del mercado, a petición de estas, en cualquier acción destinada a adaptar sus sistemas HME a los requisitos esenciales establecidos en el anexo II.

2.Los fabricantes de sistemas HME se asegurarán de que existen procedimientos para garantizar que el diseño, el desarrollo y la implantación de un sistema HME siguen cumpliendo los requisitos esenciales establecidos en el anexo II y las especificaciones comunes a que se refiere el artículo 23. Los cambios en el diseño o las características del sistema HME se tendrán debidamente en cuenta y se reflejarán en la documentación técnica.

3.Los fabricantes de sistemas HME conservarán la documentación técnica y la declaración UE de conformidad durante diez años a partir de la introducción en el mercado del último sistema HME cubierto por la declaración UE de conformidad.

Artículo 18

Representantes autorizados

1.Antes de comercializar un sistema HME en la Unión, un fabricante de estos sistemas establecido fuera de la Unión tendrá que designar, mediante mandato escrito, a un representante autorizado que esté establecido en el territorio de la Unión.

2.El representante autorizado efectuará las tareas especificadas en el mandato recibido del fabricante. El mandato deberá permitir al representante autorizado realizar como mínimo las tareas siguientes:

a)mantener la declaración UE de conformidad y la documentación técnica a disposición de las autoridades de vigilancia del mercado durante el período contemplado en el artículo 17, apartado 3;

b)facilitar a una autoridad de vigilancia del mercado, previa solicitud motivada, la información y documentación necesarias para demostrar la conformidad del sistema HME con los requisitos esenciales establecidos en el anexo II;

c)cooperar con las autoridades de vigilancia del mercado, a petición de estas, en cualquier acción correctiva adoptada en relación con los sistemas HME cubiertos por su mandato.

Artículo 19

Obligaciones de los importadores

1.Los importadores introducirán en el mercado de la Unión únicamente sistemas HME que sean conformes con los requisitos esenciales establecidos en el anexo II.

2.Antes de comercializar un sistema HME, los importadores se asegurarán de que:

a)el fabricante ha elaborado la documentación técnica y la declaración UE de conformidad;

b)el sistema HME lleva el marcado CE de conformidad;

c)el sistema HME va acompañado de la ficha informativa a que se refiere el artículo 25 y de las instrucciones de uso adecuadas.

3.Los importadores indicarán su nombre, su nombre comercial registrado o marca comercial registrada y su dirección de contacto en un documento que acompañe al sistema HME.

4.Los importadores se asegurarán de que, mientras esté bajo su responsabilidad, el sistema HME no se altere de manera que se comprometa su conformidad con los requisitos esenciales establecidos en el anexo II.

5.Cuando un importador considere o tenga motivos para creer que un sistema HME no es conforme con los requisitos esenciales del anexo II, no lo comercializará hasta que lo sea. A tal efecto, el importador informará sin demora indebida al fabricante del sistema HME y a las autoridades de vigilancia del mercado del Estado miembro en el que lo haya comercializado.

6.Los importadores conservarán una copia de la declaración UE de conformidad a disposición de las autoridades de vigilancia del mercado durante el período mencionado en el artículo 17, apartado 3, y se asegurarán de que la documentación técnica pueda ponerse a disposición de dichas autoridades, previa solicitud.

7.Los importadores facilitarán a una autoridad de vigilancia del mercado, previa solicitud motivada, la información y documentación necesarias para demostrar la conformidad de un sistema HME en la lengua oficial del Estado miembro en el que esté establecida la autoridad de vigilancia del mercado. Cooperarán con dicha autoridad, a petición suya, en cualquier acción destinada a adaptar sus sistemas HME a los requisitos esenciales establecidos en el anexo II.

Artículo 20

Obligaciones de los distribuidores

1.Antes de comercializar un sistema HME, los distribuidores comprobarán que:

a)el fabricante ha elaborado la declaración UE de conformidad.

b)el sistema HME lleva el marcado CE de conformidad;

c)el sistema HME va acompañado de la ficha informativa a que se refiere el artículo 25 y de las instrucciones de uso adecuadas;

d)en su caso, el importador ha cumplido los requisitos establecidos en el artículo 19, apartado 3. 

2.Los distribuidores se asegurarán de que, mientras esté bajo su responsabilidad, el sistema HME no se vea alterado de manera que se comprometa su conformidad con los requisitos esenciales establecidos en el anexo II.

3.Cuando un distribuidor considere o tenga motivos para creer que un sistema HME no es conforme con los requisitos esenciales del anexo II, no los comercializará hasta que lo sea. Además, el distribuidor informará sin demora indebida a tal efecto al fabricante o al importador, así como a las autoridades de vigilancia del mercado de los Estados miembros en los que se haya comercializado el sistema HME.

4.Los distribuidores facilitarán a una autoridad de vigilancia del mercado, previa solicitud motivada, la información y documentación necesarias para demostrar la conformidad del sistema HME. Cooperarán con dicha autoridad, a petición suya, en cualquier acción destinada a adaptar sus sistemas HME a los requisitos esenciales establecidos en el anexo II.

Artículo 21

Casos en los que las obligaciones de los fabricantes de un sistema HME se aplican a los importadores y los distribuidores

A los efectos del presente Reglamento, se considerarán fabricantes y, por consiguiente estarán sujetos a las obligaciones establecidas en el artículo 17, los importadores o distribuidores que comercialicen un sistema HME con su nombre comercial o marca o modifiquen un sistema HME que ya haya sido introducido en el mercado de forma que pueda verse afectada su conformidad con el presente Reglamento.

Artículo 22

Identificación de los operadores económicos

Los operadores económicos identificarán, previa solicitud, ante las autoridades de vigilancia del mercado, durante diez años a partir de la introducción en el mercado del último sistema HME cubierto por la declaración UE de conformidad:

a)a cualquier operador económico que les haya suministrado un sistema HME;

b)a cualquier operador económico al que hayan suministrado un sistema HME.

Sección 3

Conformidad del sistema HME

Artículo 23

Especificaciones comunes

1.La Comisión adoptará, mediante actos de ejecución, especificaciones comunes con respecto a los requisitos esenciales establecidos en el anexo II, incluido un plazo para la aplicación de esas especificaciones comunes. Cuando proceda, las especificaciones comunes tendrán en cuenta las especificidades de los productos sanitarios y los sistemas de IA de alto riesgo a que se refiere el artículo 14, apartados 3 y 4.

Dichos actos de ejecución se adoptarán de conformidad con el procedimiento consultivo a que se refiere el artículo 68, apartado 2.

2.Entre las especificaciones comunes a que se refiere el apartado 1, se incluirán las siguientes:

a)el ámbito de aplicación;

b)la aplicabilidad a las diferentes categorías de sistemas HME o de las funciones que abarquen;

c)la versión;

d)el período de validez;

e)la parte normativa;

f)la parte explicativa, incluidas las directrices de aplicación pertinentes.

3.Las especificaciones comunes podrán incluir elementos relacionados con lo siguiente:

a)conjuntos de datos que contengan datos sanitarios electrónicos y definan estructuras, como campos de datos y grupos de datos para la representación del contenido clínico y otras partes de los datos sanitarios electrónicos;

b)sistemas de codificación y valores que deben utilizarse en los conjuntos de datos que contengan datos sanitarios electrónicos;

c)otros requisitos relacionados con la calidad de los datos, como la exhaustividad y exactitud de los datos sanitarios electrónicos;

d)especificaciones técnicas, normas y perfiles para el intercambio de datos sanitarios electrónicos;

e)requisitos y principios relacionados con la seguridad, la confidencialidad, la integridad, la seguridad de los pacientes y la protección de los datos sanitarios electrónicos;

f)especificaciones y requisitos relacionados con la gestión de la identificación y el uso de la identificación electrónica.

4.Los sistemas HME, los productos sanitarios y los sistemas de IA de alto riesgo a que se refiere el artículo 14, que sean conformes con las especificaciones comunes a que se refiere el apartado 1, se considerarán conformes con los requisitos esenciales cubiertos por dichas especificaciones, o con algunos de ellos, establecidos en el anexo II y cubiertos por dichas especificaciones comunes o con algunas de ellas. 

5.Cuando las especificaciones comunes relativas a los requisitos de interoperabilidad y seguridad de los sistemas HME afecten a productos sanitarios o sistemas de IA de alto riesgo incluidos en el ámbito de aplicación de otros actos, como los Reglamentos (UE) 2017/745 o [...] [Ley de IA, COM(2021) 206 final], la adopción de esas especificaciones comunes podrá ir precedida de una consulta al Grupo de Coordinación de Productos Sanitarios (MDCG) a que se refiere el artículo 103 del Reglamento (UE) 2017/745 o al Comité Europeo de Inteligencia Artificial a que se refiere el artículo 56 del Reglamento [...] [Ley de IA, COM(2021) 206 final], según proceda.

6.Cuando las especificaciones comunes relativas a los requisitos de interoperabilidad y seguridad de los productos sanitarios o sistemas de IA de alto riesgo incluidos en el ámbito de aplicación de otros actos, como el Reglamento (UE) 2017/745 o el Reglamento [...] [Ley de IA, COM(2021) 206 final], afecten a los sistemas HME, la adopción de esas especificaciones comunes podrá ir precedida de una consulta al Consejo del EEDS, en concreto a su subgrupo para los capítulos II y III del presente Reglamento.

Artículo 24

Documentación técnica

1.La documentación técnica se preparará previamente a la introducción en el mercado o puesta en servicio del sistema HME y se mantendrá actualizada.

2.La documentación técnica se elaborará de modo que demuestre que el sistema HME cumple los requisitos esenciales establecidos en el Anexo II y proporcionará a las autoridades de vigilancia del mercado toda la información que necesiten para evaluar si el sistema HME es conforme con tales requisitos. Contendrá, como mínimo, los elementos contemplados en el anexo III.

3.La documentación técnica se redactará en una de las lenguas oficiales de la Unión. Previa solicitud motivada de la autoridad de vigilancia del mercado de un Estado miembro, el fabricante proporcionará una traducción de las partes pertinentes de la documentación técnica en la lengua oficial de dicho Estado miembro.

4.Cuando una autoridad de vigilancia del mercado solicite al fabricante la documentación técnica o la traducción de algunas de sus partes, podrá fijar un plazo de treinta días para su recepción o traducción, salvo que un riesgo grave e inmediato justifique un plazo más corto. Si el fabricante no cumple los requisitos de los apartados 1, 2 y 3, la autoridad de vigilancia del mercado podrá exigirle que encargue a un organismo independiente, a sus expensas, la realización de un ensayo en un plazo determinado con el fin de verificar la conformidad con los requisitos esenciales establecidos en el anexo II y con las especificaciones comunes a que se refiere el artículo 23.

Artículo 25

Ficha informativa que acompaña al sistema HME

1.Los sistemas HME irán acompañados de una ficha informativa que incluya información concisa, completa, correcta y clara que sea pertinente, accesible y comprensible para los usuarios.

2.La ficha informativa a que se refiere el apartado 1 especificará:

a)la identidad, el nombre comercial registrado o la marca registrada, y los datos de contacto del fabricante y, en su caso, de su representante autorizado;

b)el nombre y la versión del sistema HME y la fecha de su presentación;

c)su finalidad prevista;

d)las categorías de datos sanitarios electrónicos para cuyo tratamiento el sistema HME ha sido diseñado;

e)las normas, los formatos y las especificaciones, así como sus respectivas versiones, con los que funciona el sistema HME.

3.La Comisión estará facultada para adoptar actos delegados, de conformidad con el artículo 67, que completen el presente Reglamento, a fin de que los fabricantes puedan introducir la información a que se refiere el apartado 2 en la base de datos de sistemas HME y aplicaciones sobre bienestar de la UE a que se refiere el artículo 32, como alternativa a la entrega, con el sistema HME, de la ficha informativa a que se refiere el apartado 1.

Artículo 26

Declaración UE de conformidad

1.La declaración UE de conformidad deberá indicar que el fabricante del sistema HME ha demostrado que se cumplen los requisitos esenciales establecidos en el anexo II.

2.Cuando, en lo que atañe a aspectos que no son objeto del presente Reglamento, los sistemas HME estén sujetos a otras disposiciones legislativas de la Unión que también requieran por parte del fabricante una declaración UE de conformidad que acredite el cumplimiento de los requisitos de dicha legislación, se elaborará una única declaración UE de conformidad relativa a todos los actos de la Unión aplicables al sistema HME. La declaración contendrá toda la información necesaria para determinar la legislación de la Unión a la que se refiere la declaración.

3.La declaración UE de conformidad contendrá, como mínimo, la información indicada en el anexo IV y se traducirá a la lengua o lenguas oficiales de la Unión que determine el Estado miembro en que se comercialice el producto.

4.Al elaborar una declaración UE de conformidad, el fabricante asumirá la responsabilidad de la conformidad del sistema HME.

Artículo 27

Marcado CE

1.El marcado CE se colocará de manera visible, legible e indeleble en los documentos que acompañan al sistema HME y, en su caso, en el embalaje.

2.El marcado CE estará sujeto a los principios generales establecidos en el artículo 30 del Reglamento (CE) n.º 765/2008 del Parlamento Europeo y del Consejo 58 .

Sección 4

Vigilancia del mercado para los sistemas HME

Artículo 28

Autoridades de vigilancia del mercado

1.El Reglamento (UE) 2019/1020 se aplicará a los sistemas HME contemplados en el capítulo III del presente Reglamento.

2.Los Estados miembros designarán la autoridad o las autoridades de vigilancia del mercado responsables de la aplicación del presente capítulo. Otorgarán a dichas autoridades las competencias, los recursos, el equipamiento y los conocimientos necesarios para desempeñar correctamente sus funciones con arreglo al presente Reglamento. Los Estados miembros comunicarán la identidad de las autoridades de vigilancia del mercado a la Comisión, que publicará la lista de esas autoridades.

3.Las autoridades de vigilancia del mercado designadas con arreglo al presente artículo podrán ser las autoridades de sanidad digital designadas con arreglo al artículo 10. Cuando una autoridad de sanidad digital desempeñe funciones de autoridad de vigilancia del mercado, se evitará todo conflicto de intereses.

4.Las autoridades de vigilancia del mercado informarán periódicamente a la Comisión sobre los resultados de las actividades pertinentes de vigilancia del mercado.

5.Las autoridades de vigilancia del mercado de los Estados miembros cooperarán entre sí y con la Comisión. La Comisión velará por que se organicen los intercambios de información necesarios a tal efecto.

6.En el caso de los productos sanitarios o los sistemas de IA de alto riesgo a que se refiere el artículo 14, apartados 3 y 4, las autoridades responsables de la vigilancia del mercado serán las mencionadas en el artículo 93 del Reglamento (UE) 2017/745 o en el artículo 59 del Reglamento [...] [Ley de IA, COM(2021) 206 final], según proceda.

Artículo 29

Gestión de los riesgos que plantean los sistemas HME y de los incidentes graves

1.Cuando una autoridad de vigilancia del mercado considere que un sistema HME presenta un riesgo para la salud o la seguridad de las personas físicas o para otros aspectos de la protección del interés público, pedirá al fabricante del sistema HME en cuestión, a su representante autorizado y a todos los demás operadores económicos pertinentes que adopten las medidas adecuadas para asegurarse de que dicho sistema ya no presente ese riesgo cuando se introduzca en el mercado, para retirarlo del mercado o para recuperarlo en un plazo razonable.

2.El operador económico a que se refiere el apartado 1, se asegurará de que se adopten medidas correctivas en relación con todos los sistemas HME afectados que haya introducido en el mercado de la Unión.

3.La autoridad de vigilancia del mercado informará sin demora a la Comisión y a las autoridades de vigilancia del mercado de los demás Estados miembros de las medidas aplicadas de conformidad con el apartado 1. La información facilitada incluirá todos los detalles disponibles, en particular los datos necesarios para identificar el sistema HME afectado y para determinar su origen, la cadena de suministro del sistema, el tipo de riesgo planteado y la naturaleza y duración de las medidas nacionales adoptadas.

4.Los fabricantes de sistemas HME introducidos en el mercado notificarán cualquier incidente grave que afecte a un sistema HME a las autoridades de vigilancia del mercado de los Estados miembros en los que se haya producido dicho incidente grave, así como las medidas correctivas adoptadas o previstas por el fabricante.

Esta notificación se efectuará, sin perjuicio de los requisitos de notificación de incidentes con arreglo a la Directiva (UE) 2016/1148, inmediatamente después de que el fabricante haya establecido un vínculo causal entre el sistema HME y el incidente grave, o la posibilidad razonable de que exista dicho vínculo, y, en cualquier caso, a más tardar quince días después de que el fabricante tenga conocimiento del incidente grave que afecta al sistema HME.

5.Las autoridades de vigilancia del mercado a que se refiere el apartado 4 informarán sin demora a las demás autoridades de vigilancia del mercado del incidente grave y de las medidas correctivas adoptadas o previstas por el fabricante o que se requieran para minimizar el riesgo de reaparición del incidente grave.

6.Cuando la autoridad de sanidad digital no desempeñe tareas como autoridad de vigilancia del mercado, esta cooperará con la autoridad de sanidad digital. La autoridad de vigilancia del mercado informará a la autoridad de sanidad digital de cualquier incidente grave y de los sistemas HME que presenten un riesgo, incluidos los riesgos relacionados con la interoperabilidad, la protección y la seguridad de los pacientes, así como de cualquier acción correctiva, recuperación o retirada de dichos sistemas HME.

Artículo 30

Gestión de los casos de incumplimiento

1.Si una autoridad de vigilancia del mercado constata alguna de las situaciones indicadas a continuación, pedirá al fabricante del sistema HME afectado, a su representante autorizado y a todos los demás operadores económicos pertinentes que pongan fin al incumplimiento en cuestión:

a)el sistema HME no es conforme con los requisitos esenciales establecidos en el anexo II;

b)la documentación técnica no está disponible o es incompleta; 

c)la declaración UE de conformidad no se ha elaborado o no se ha elaborado correctamente;

d)el marcado CE se ha colocado incumpliendo el artículo 27 o no se ha colocado.

2.Si el incumplimiento al que se refiere el apartado 1 persiste, el Estado miembro en cuestión adoptará las medidas pertinentes para restringir o prohibir la introducción en el mercado del sistema HME, o garantizará su recuperación o retirada del mercado.

Sección 5

Otras disposiciones sobre interoperabilidad

Artículo 31

Etiquetado voluntario de las aplicaciones sobre bienestar

1.Cuando un fabricante de una aplicación sobre bienestar declare la interoperabilidad con un sistema HME y, por tanto, el cumplimiento de los requisitos esenciales del anexo II y de las especificaciones comunes del artículo 23, esa aplicación podrá ir acompañada de una etiqueta que indique claramente su conformidad con dichos requisitos. La etiqueta será expedida por el fabricante de la aplicación sobre bienestar.

2.La etiqueta incluirá la información siguiente:

a)las categorías de datos sanitarios electrónicos respecto de las cuales se haya confirmado el cumplimiento de los requisitos esenciales establecidos en el anexo II;

b)una referencia a las especificaciones comunes para demostrar la conformidad;

c)el período de validez de la etiqueta.

3.La Comisión podrá determinar, mediante actos de ejecución, el formato y el contenido de la etiqueta. Dichos actos de ejecución se adoptarán de conformidad con el procedimiento consultivo a que se refiere el artículo 68, apartado 2.

4.La etiqueta se redactará en una o varias lenguas oficiales de la Unión que determine el Estado o los Estados miembros en cuyo mercado se introduzca la aplicación sobre bienestar. 

5.La validez de la etiqueta no excederá de cinco años.

6.Si la aplicación sobre bienestar está integrada en un dispositivo, la etiqueta que la acompaña se colocará sobre este. También pueden utilizarse códigos de barras 2D para mostrar la etiqueta.

7.Las autoridades de vigilancia del mercado comprobarán la conformidad de las aplicaciones sobre bienestar con los requisitos esenciales establecidos en el anexo II.

8.Cada proveedor de una aplicación de bienestar para la que se haya expedido una etiqueta velará por que la aplicación que se introduzca en el mercado o se ponga en servicio vaya acompañada gratuitamente de la etiqueta para cada unidad individual.

9.Cada distribuidor de una aplicación sobre bienestar para la que se haya expedido una etiqueta la pondrá a disposición de los clientes en el punto de venta en formato electrónico o, previa solicitud, en formato físico.

10.Los requisitos del presente artículo no se aplicarán a las aplicaciones sobre bienestar que sean sistemas de IA de alto riesgo según se definen en el Reglamento [...] [Ley de IA, COM(2021) 206 final].

Artículo 32

Registro de los sistemas HME y las aplicaciones sobre bienestar

1.La Comisión creará y mantendrá una base de datos de acceso público con información sobre los sistemas HME para los que se haya emitido una declaración UE de conformidad con arreglo al artículo 26 y las aplicaciones sobre bienestar para las que se haya expedido una etiqueta con arreglo al artículo 31.

2.Antes de introducir en el mercado o poner en servicio un sistema HME a que se refiere el artículo 14 o una aplicación sobre bienestar a que se refiere el artículo 31, el fabricante de dicho sistema o de dicha aplicación o, en su caso, su representante autorizado, registrarán los datos requeridos en la base de datos de la UE mencionada en el apartado 1.

3.Los productos sanitarios o los sistemas de IA de alto riesgo a que se refiere el artículo 14, apartados 3 y 4, del presente Reglamento se registrarán en la base de datos creada de conformidad con los Reglamentos (UE) 2017/745 o [...] [Ley de IA, COM(2021) 206 final], según proceda.

4.La Comisión estará facultada para adoptar actos delegados, de conformidad con el artículo 67, a fin de determinar la lista de los datos que deben registrar los fabricantes de sistemas HME y de aplicaciones sobre bienestar con arreglo al apartado 2.

CAPÍTULO IV

Uso secundario de datos sanitarios electrónicos

Sección 1

Condiciones generales relativas al uso secundario de datos sanitarios electrónicos

Artículo 33

Categorías mínimas de datos electrónicos para uso secundario

1.Los titulares de datos pondrán a disposición las siguientes categorías de datos electrónicos para uso secundario de conformidad con lo dispuesto en el presente capítulo:

a)historiales médicos electrónicos;

b)determinantes sociales, ambientales y de comportamiento relacionados con la salud;

c)datos genómicos pertinentes sobre patógenos que repercuten en la salud humana;

d)datos administrativos relacionados con la salud, incluidos los datos sobre reclamaciones y reembolsos;

e)datos genéticos, genómicos y proteómicos humanos;

f)datos sanitarios electrónicos generados por personas, incluidos los productos sanitarios, las aplicaciones sobre bienestar u otras aplicaciones sanitarias digitales;

g)datos de identificación relacionados con los profesionales de la salud que dispensan tratamiento a una persona física;

h)registros de datos sanitarios para toda la población (registros de salud pública);

i)datos sanitarios electrónicos procedentes de los registros médicos para enfermedades específicas;

j)datos sanitarios electrónicos procedentes de ensayos clínicos;

k)datos sanitarios electrónicos procedentes de productos sanitarios y de registros de medicamentos y de productos sanitarios;

l)grupos de investigación, cuestionarios y encuestas relacionadas con la salud;

m)datos sanitarios electrónicos procedentes de biobancos y bases de datos específicas;

n)datos electrónicos relativos a las condiciones de seguro, la situación profesional, la educación, el estilo de vida, el bienestar y el comportamiento relacionados con la salud;

o)datos sanitarios electrónicos mejorados (corrección, anotación o enriquecimiento de los datos) que han sido recibidos por el titular de los datos después de ser tratados como resultado de un permiso de datos.

2.El requisito del párrafo primero no se aplicará a los titulares de datos que puedan considerarse microempresas con arreglo a la definición del artículo 2 del anexo de la Recomendación 2003/361/CE de la Comisión 59 .

3.Los datos sanitarios electrónicos a que se refiere el apartado 1 abarcarán los datos tratados para la prestación de servicios sanitarios o asistenciales o para la salud pública, la investigación, la innovación, la elaboración de políticas, las estadísticas oficiales, la seguridad de los pacientes o con fines reglamentarios, recogidos por entidades y organismos del sector sanitario o asistencial, incluidos los prestadores públicos y privados del sector sanitario o asistencial, las entidades u organismos que llevan a cabo investigaciones en relación con estos sectores, y las instituciones, órganos y organismos de la Unión.

4.Los datos sanitarios electrónicos que conlleven derechos de propiedad intelectual e industrial protegidos y secretos comerciales de empresas privadas se pondrán a disposición para un uso secundario. Cuando dichos datos se pongan a disposición para un uso secundario, se adoptarán todas las medidas necesarias para preservar la confidencialidad de los derechos de propiedad intelectual e industrial y los secretos comerciales.

5.Cuando la legislación nacional exija el consentimiento de la persona física, los organismos de acceso a los datos sanitarios tendrán en cuenta las obligaciones establecidas en el presente capítulo para facilitar el acceso a los datos sanitarios electrónicos.

6.Cuando un organismo del sector público obtenga datos en situaciones de emergencia, tal como se definen en el artículo 15, letras a) o b), del Reglamento [...] [Ley de Datos, COM(2022) 68 final], de conformidad con las normas establecidas en dicho Reglamento, podrá contar con el apoyo técnico de un organismo de acceso a los datos sanitarios para el tratamiento de los datos o para combinarlos con otros datos para su análisis conjunto.

7.La Comisión estará facultada para adoptar actos delegados, de conformidad con el artículo 67, a fin de modificar la lista del apartado1 para adaptarla a la evolución de los datos sanitarios electrónicos disponibles.

8.Los organismos de acceso a los datos sanitarios podrán facilitar el acceso a categorías adicionales de datos sanitarios electrónicos que se les hayan encomendado en virtud de la legislación nacional o sobre la base de la cooperación voluntaria con los titulares de datos pertinentes a nivel nacional, en particular a los datos sanitarios electrónicos en poder de entidades privadas del sector sanitario.

Artículo 34

Fines para los que pueden tratarse datos sanitarios electrónicos para uso secundario

1.Los organismos de acceso a los datos sanitarios solo darán acceso a los datos sanitarios electrónicos a que se refiere el artículo 33 cuando la finalidad prevista del tratamiento perseguida por el solicitante sea conforme con: 

a)las actividades de interés público en el ámbito de la salud pública y la salud laboral, como la protección contra las amenazas transfronterizas graves para la salud, la vigilancia de la salud pública o la garantía de unos niveles elevados de calidad y seguridad de la asistencia sanitaria y de los medicamentos o productos sanitarios;

b)el apoyo a los organismos del sector público o a las instituciones, órganos y organismos de la Unión, incluidas las autoridades reguladoras, en el sector sanitario o asistencial en el desempeño de las funciones definidas en sus mandatos;

c)la elaboración de estadísticas oficiales nacionales, plurinacionales y de la Unión relativas al sector sanitario o asistencial;

d)las actividades de educación o de enseñanza en el sector sanitario o asistencial;

e)la investigación científica relacionada con el sector sanitario o asistencial;

f)las actividades de desarrollo e innovación de productos o servicios que contribuyan a la salud pública o a la seguridad social, o que garanticen niveles elevados de calidad y seguridad de la asistencia sanitaria, de los medicamentos o de los productos sanitarios;

g)el entrenamiento, la prueba y la evaluación de algoritmos, también con respecto a los productos sanitarios, los sistemas de IA y las aplicaciones sanitarias digitales, que contribuyan a la salud pública o a la seguridad social, o que garanticen niveles elevados de calidad y seguridad de la asistencia sanitaria, de los medicamentos o de los productos sanitarios;

h)la prestación de asistencia sanitaria personalizada consistente en evaluar, mantener o restablecer el estado de salud de las personas físicas, sobre la base de los datos sanitarios de otras personas físicas.

2.Cuando la finalidad prevista del tratamiento perseguida por el solicitante coincida con uno de los fines mencionados en el apartado 1, letras a) a c), el acceso a los datos sanitarios electrónicos a que se refiere el artículo 33 solo se concederá a los organismos del sector público y a las instituciones, órganos y organismos de la Unión que ejerzan las funciones que les confiere el Derecho de la Unión o nacional, incluso cuando el tratamiento de datos para llevar a cabo dichas funciones se encomiende a un tercero en nombre de dicho organismo del sector público o de las instituciones, órganos y organismos de la Unión.

3.El acceso a los datos de titularidad privada con fines de prevención, respuesta o asistencia en la recuperación de emergencias públicas se garantizará de conformidad con el artículo 15 del Reglamento [...] [Ley de Datos, COM(2022) 68 final].

4.Los organismos del sector público o las instituciones, órganos y organismos de la Unión que obtengan acceso a datos sanitarios electrónicos protegidos por derechos de propiedad intelectual e industrial y secretos comerciales en el ejercicio de las funciones que les confieren el Derecho de la Unión o el Derecho nacional adoptarán las medidas específicas necesarias para preservar la confidencialidad de esos datos.

Artículo 35

Prohibición del uso secundario de datos sanitarios electrónicos

Se prohibirá el acceso a los datos sanitarios electrónicos obtenidos a través de un permiso de datos expedido de conformidad con el artículo 46, y su tratamiento, cuando el fin sea:

a)tomar decisiones perjudiciales para una persona física sobre la base de sus datos sanitarios electrónicos; para ser calificadas de «decisiones», deben producir efectos jurídicos o afectar de manera igualmente significativa a dichas personas físicas;

b)tomar decisiones en relación con una persona física o grupos de personas físicas para excluirlas del beneficio de un contrato de seguro o modificar sus cotizaciones y primas de seguro;

c)llevar a cabo actividades de publicidad o comercialización dirigidas a profesionales sanitarios, organizaciones del sector o personas físicas;

d)facilitar el acceso a los datos sanitarios electrónicos a terceros no mencionados en el permiso de datos, o ponerlos a su disposición de algún otro modo;

e)desarrollar productos o servicios que puedan perjudicar a las personas y a las sociedades en general, incluidas, entre otras, las drogas ilícitas, las bebidas alcohólicas, los productos del tabaco o los bienes o servicios diseñados o modificados de manera que contravengan el orden público o la moral.

Sección 2

Gobernanza y mecanismos para el uso secundario de datos sanitarios electrónicos

Artículo 36

Organismos de acceso a los datos sanitarios

1.Los Estados miembros designarán uno o varios organismos de acceso a los datos sanitarios responsables de conceder el acceso a los datos sanitarios electrónicos para uso secundario. Los Estados miembros podrán crear uno o varios organismos nuevos del sector público o recurrir a organismos del sector público existentes o a servicios internos de organismos del sector público que cumplan las condiciones establecidas en el presente artículo. Cuando un Estado miembro designe varios organismos de acceso a los datos sanitarios, elegirá a uno de ellos para actuar como coordinador, con la responsabilidad de coordinar las peticiones con los demás organismos de acceso a los datos sanitarios.

2.Los Estados miembros velarán por que cada organismo de acceso a los datos sanitarios disponga de los recursos humanos, técnicos y financieros, así como de los locales e infraestructuras necesarios para el desempeño efectivo de sus funciones y el ejercicio de sus competencias.

3.En el desempeño de sus funciones, los organismos de acceso a los datos sanitarios cooperarán activamente con los representantes de las partes interesadas, especialmente con los representantes de los pacientes, los titulares de los datos y los usuarios de los datos. El personal de los organismos de acceso a los datos sanitarios evitará todo conflicto de intereses. Los organismos de acceso a los datos sanitarios no obedecerán instrucción alguna cuando tomen sus decisiones.

4.Los Estados miembros comunicarán a la Comisión la identidad de los organismos de acceso a los datos sanitarios designados con arreglo al apartado 1 a más tardar en la fecha de aplicación del presente Reglamento. Asimismo, comunicarán a la Comisión toda modificación posterior de la identidad de dichos organismos. La Comisión y los Estados miembros pondrán dicha información a disposición del público.

Artículo 37

Funciones de los organismos de acceso a los datos sanitarios

1.Los organismos de acceso a los datos sanitarios desempeñarán las siguientes funciones:

a)decidir sobre las solicitudes de acceso a los datos de conformidad con el artículo 45, autorizar y expedir permisos de datos con arreglo al artículo 46 para acceder a los datos sanitarios electrónicos para uso secundario que sean de su competencia nacional y decidir sobre las peticiones de datos de conformidad con el capítulo II del Reglamento [...] [Ley de Gobernanza de Datos, COM(2020) 767 final] y el presente capítulo;

b)apoyar a los organismos del sector público en el desempeño de las tareas consagradas en su mandato, sobre la base del Derecho nacional o de la Unión;

c)apoyar a las instituciones, órganos y organismos de la Unión en el desempeño de las tareas consagradas en sus mandatos, sobre la base del Derecho nacional o de la Unión;

d)tratar datos sanitarios electrónicos para los fines establecidos en el artículo 34, incluida la recogida, combinación, preparación y divulgación de dichos datos para uso secundario sobre la base de un permiso de datos;

e)tratar los datos sanitarios electrónicos de otros titulares de datos pertinentes sobre la base de un permiso de datos o una petición de datos para los fines establecidos en el artículo 34;

f)adoptar las medidas necesarias para preservar la confidencialidad de los derechos de propiedad intelectual e industrial y de los secretos comerciales;

g)reunir y compilar o facilitar el acceso a los datos sanitarios electrónicos necesarios de los distintos titulares de datos cuyos datos sanitarios electrónicos estén incluidos en el ámbito de aplicación del presente Reglamento y ponerlos a disposición de los usuarios de los datos en un entorno de tratamiento seguro de conformidad con los requisitos establecidos en el artículo 50;

h)contribuir a las actividades de cesión altruista de los datos de conformidad con el artículo 40;

i)apoyar el desarrollo de sistemas de inteligencia artificial, el entrenamiento, la prueba y la validación de estos sistemas y el desarrollo de normas y directrices armonizadas en virtud del Reglamento [...] [Ley de IA, COM(2021) 206 final] para el entrenamiento, la prueba y la validación de los sistemas de IA en el ámbito de la salud;

j)cooperar con los titulares de datos y supervisarlos para garantizar la aplicación coherente y precisa de la etiqueta de calidad y utilidad de los datos establecida en el artículo 56;

k)mantener un sistema de gestión para registrar y tramitar las solicitudes de acceso a los datos, las peticiones de datos y los permisos de datos expedidos y las peticiones de datos atendidas, facilitando al menos información sobre el nombre del solicitante de datos, la finalidad del acceso, la fecha de expedición, la duración del permiso de datos y una descripción de la solicitud o de la petición de datos;

l)mantener un sistema de información pública para cumplir las obligaciones establecidas en el artículo 38;

m)cooperar a escala nacional y de la Unión para establecer medidas y requisitos adecuados para acceder a los datos sanitarios electrónicos en un entorno de tratamiento seguro;

n)cooperar a escala nacional y de la Unión y asesorar a la Comisión sobre técnicas y mejores prácticas para el uso y la gestión de datos sanitarios electrónicos;

o)facilitar el acceso transfronterizo a los datos sanitarios electrónicos para uso secundario alojados en otros Estados miembros a través de DatosSalud@UE y cooperar estrechamente entre sí y con la Comisión.

p)enviar gratuitamente al titular de los datos, antes de la expiración del permiso de datos, una copia del conjunto de datos corregido, anotado o enriquecido, según proceda, y una descripción de las operaciones realizadas en el conjunto de datos original; 

q)facilitar públicamente el acceso, por medios electrónicos, a:

i)un catálogo nacional de conjuntos de datos que incluirá detalles sobre la fuente y la naturaleza de los datos sanitarios electrónicos, de conformidad con los artículos 56 y 58, y las condiciones para su puesta a disposición; El catálogo nacional de conjuntos de datos también se pondrá a disposición de los puntos únicos de información con arreglo al artículo 8 del Reglamento [...] [Ley de Gobernanza de Datos, COM(2020) 767 final];

ii)todos los permisos, peticiones y solicitudes de datos en sus sitios web en un plazo de treinta días hábiles a partir de la expedición del permiso de datos o de la respuesta a una petición de datos;

iii)las sanciones aplicadas de conformidad con el artículo 43;

iv)los resultados comunicados por los usuarios de los datos de conformidad con el artículo 46, apartado 11;

r)cumplir las obligaciones con respecto a las personas físicas con arreglo al artículo 38;

s)solicitar a los usuarios y titulares de datos toda la información pertinente para verificar la aplicación del presente capítulo;

t)desempeñar cualquier otra tarea relacionada con la puesta a disposición del uso secundario de datos sanitarios electrónicos en el contexto del presente Reglamento.

2.En el ejercicio de sus funciones, los organismos de acceso a los datos sanitarios:

a)cooperarán con las autoridades de control en virtud del Reglamento (UE) 2016/679 y del Reglamento (UE) 2018/1725 en relación con los datos sanitarios electrónicos personales y con el Consejo del EEDS;

b)informarán a las autoridades de control pertinentes con arreglo al Reglamento (UE) 2016/679 y al Reglamento (UE) 2018/1725 cuando un organismo de acceso a los datos sanitarios haya impuesto sanciones u otras medidas de conformidad con el artículo 43 en relación con el tratamiento de datos sanitarios electrónicos personales y cuando dicho tratamiento se refiera a un intento de desanonimizar a un particular o realizar un tratamiento ilícito de datos sanitarios electrónicos personales;

c)cooperarán con las partes interesadas, incluidas las organizaciones de pacientes, los representantes de las personas físicas, los profesionales sanitarios, los investigadores y los comités éticos, cuando proceda de conformidad con el Derecho de la Unión y el nacional;

d)cooperarán con otros organismos nacionales competentes, incluidos los que supervisan las organizaciones de cesión altruista de datos en virtud del Reglamento [...] [Ley de Gobernanza de Datos, COM(2020) 767 final], las autoridades competentes en virtud del Reglamento [...] [Ley de Datos, COM(2022) 68 final] y las autoridades nacionales competentes para el Reglamento (UE) 2017/745 y el Reglamento [...] [Ley de IA, COM(2021) 206 final].

3.Los organismos de acceso a los datos sanitarios podrán asistir a los organismos del sector público cuando estos accedan a datos sanitarios electrónicos sobre la base del artículo 14 del Reglamento [...] [Ley de Datos, COM(2022) 68 final].

4.La Comisión estará facultada para adoptar actos delegados, de conformidad con el artículo 67, a fin de modificar la lista de tareas del apartado 1 del presente artículo con el objeto de reflejar la evolución de las actividades realizadas por los organismos de acceso a los datos sanitarios.

Artículo 38

Obligaciones de los organismos de acceso a los datos sanitarios con respecto a las personas físicas

1.Los organismos de acceso a los datos sanitarios pondrán a disposición del público y facilitarán la consulta de las condiciones en las que se facilitan los datos sanitarios electrónicos para uso secundario, con información relativa a:

a)la base jurídica en virtud de la cual se concede el acceso;

b)las medidas técnicas y organizativas adoptadas para proteger los derechos de las personas físicas;

c)los derechos de las personas físicas aplicables en relación con el uso secundario de los datos sanitarios electrónicos;

d)las disposiciones para que las personas físicas ejerzan sus derechos de conformidad con el capítulo III del Reglamento (UE) 2016/679;

e)los resultados o los productos de los proyectos para los que se utilizaron los datos sanitarios electrónicos.

2.Los organismos de acceso a los datos sanitarios no estarán obligados a facilitar a cada persona física la información específica prevista en el artículo 14 del Reglamento (UE) 2016/679 en relación con el uso de sus datos para proyectos sujetos a un permiso de datos y facilitarán información pública general sobre todos los permisos de datos expedidos de conformidad con el artículo 46.

3.Cuando un usuario de datos informe a un organismo de acceso a los datos sanitarios de una constatación que pueda afectar a la salud de una persona física, el organismo de acceso a los datos sanitarios podrá informar de ello a la persona física y al profesional sanitario que la trate.

4.Los Estados miembros informarán periódicamente al público en general sobre el papel y los beneficios de los organismos de acceso a los datos sanitarios.

Artículo 39

Presentación de informes por los organismos de acceso a los datos sanitarios

1.Cada organismo de acceso a los datos sanitarios publicará un informe anual de actividad que contendrá, como mínimo, lo siguiente:

a)información relativa a las solicitudes de acceso a datos sanitarios electrónicos que se hayan presentado, como los tipos de solicitantes, el número de permisos de datos concedidos o denegados, las finalidades de acceso y las categorías de datos sanitarios electrónicos a los que se haya accedido, así como un resumen de los resultados de los usos de los datos sanitarios electrónicos, cuando proceda;

b)una lista de los permisos de datos que impliquen acceder a datos sanitarios electrónicos tratados por el organismo de acceso a los datos sanitarios sobre la base de la cesión altruista de datos y una descripción resumida de los fines de interés general perseguidos, cuando proceda, incluidos los resultados de los permisos de datos concedidos;

c)información sobre el cumplimiento de los compromisos reglamentarios y contractuales por los usuarios y los titulares de los datos, así como sobre las sanciones impuestas;

d)información sobre las auditorías realizadas a los usuarios de los datos para garantizar la conformidad del tratamiento con el presente Reglamento;

e)información sobre las auditorías relativas a la conformidad de los entornos de tratamiento seguros con las normas, especificaciones, y requisitos definidos;

f)información sobre la tramitación de las peticiones de personas físicas con respecto al ejercicio de sus derechos de protección de datos;

g)una descripción de las actividades realizadas en relación con el compromiso con las partes interesadas pertinentes, y la consulta a estas, entre las que se encuentran los representantes de las personas físicas, las organizaciones de pacientes, los profesionales sanitarios, los investigadores y los comités éticos;

h)información sobre la cooperación con otros organismos competentes, en particular en el ámbito de la protección de datos, la ciberseguridad, la cesión altruista de datos y la inteligencia artificial;

i)los ingresos procedentes de permisos de datos y peticiones de datos;

j)la satisfacción de los solicitantes que piden el acceso a los datos;

k)el número medio de días transcurridos entre la solicitud y el acceso a los datos;

l)el número de etiquetas de calidad de los datos expedidas, desglosadas por categoría de calidad;

m)el número de publicaciones de investigación revisadas por pares, documentos políticos y procedimientos reglamentarios que utilizan datos a los que se accede a través del EEDS;

n)el número de productos y servicios sanitarios digitales, incluidas las aplicaciones de IA, desarrollados utilizando datos a los que se accede a través del EEDS.

2.El informe se transmitirá a la Comisión.

3.La Comisión estará facultada para adoptar actos delegados, de conformidad con el artículo 67, a fin de modificar el contenido del informe anual de actividad.

Artículo 40

Cesión altruista de datos en el ámbito de la salud

1.Cuando traten datos sanitarios electrónicos personales, las organizaciones de cesión altruista de datos deberán cumplir las normas establecidas en el capítulo IV del Reglamento [...] [Ley de Gobernanza de Datos, COM(2020) 767 final]. Cuando las organizaciones de cesión altruista de datos traten datos sanitarios electrónicos personales utilizando un entorno de tratamiento seguro, dichos entornos también deberán cumplir los requisitos establecidos en el artículo 50 del presente Reglamento.

2.Los organismos de acceso a los datos sanitarios apoyarán a las autoridades competentes designadas de conformidad con el artículo 23 del Reglamento [...] [Ley de Gobernanza de Datos, COM(2020) 767 final] cuando supervisen a las entidades que llevan a cabo actividades de cesión altruista de datos.

Artículo 41

Obligaciones de los titulares de datos

1.Cuando un titular de datos esté obligado a poner a disposición datos sanitarios electrónicos en virtud del artículo 33, de otra legislación de la Unión, o de una legislación nacional por la que se aplique el Derecho de la Unión, cooperará de buena fe con los organismos de acceso a los datos sanitarios, cuando proceda.

2.El titular de los datos comunicará al organismo de acceso a los datos sanitarios una descripción general del conjunto de datos que posee de conformidad con el artículo 55.

3.Cuando una etiqueta de calidad y utilidad de los datos acompañe al conjunto de datos con arreglo al artículo 56, el titular de los datos facilitará documentación suficiente al organismo de acceso a los datos sanitarios para que este pueda confirmar la exactitud de la etiqueta.

4.El titular de los datos pondrá los datos sanitarios electrónicos a disposición del organismo de acceso a los datos sanitarios en un plazo de dos meses a partir de la recepción de la solicitud del organismo de acceso a los datos sanitarios. En casos excepcionales, el organismo de acceso a los datos sanitarios podrá prorrogar dicho plazo por un período adicional de dos meses.

5.Cuando un titular de datos haya recibido conjuntos de datos enriquecidos tras un tratamiento basado en un permiso de datos, pondrá a disposición el nuevo conjunto de datos, a menos que lo considere inadecuado y así lo notifique al organismo de acceso a los datos sanitarios.

6.Los titulares de datos sanitarios electrónicos no personales garantizarán el acceso a los datos a través de bases de datos abiertas y fiables para facilitar el acceso sin restricciones a todos los usuarios y el almacenamiento y la conservación de los datos. Las bases de datos públicas abiertas y fiables dispondrán de una gobernanza sólida, transparente y sostenible y de un modelo transparente de acceso de los usuarios.

7.La Comisión estará facultada para adoptar actos delegados, de conformidad con el artículo 67, a fin de modificar las obligaciones de los titulares de datos en el presente artículo para reflejar la evolución de las actividades realizadas por los titulares de datos.

Artículo 42

Tasas

1.Los organismos de acceso a los datos sanitarios y los titulares de datos individuales podrán cobrar tasas por la puesta a disposición de datos sanitarios electrónicos para uso secundario. Las tasas incluirán los costes relacionados con el desarrollo del procedimiento de solicitud, que comprenden la evaluación de la solicitud de datos o petición de datos, la concesión, denegación o modificación de un permiso de datos con arreglo a los artículos 45 y 46, o la respuesta a una petición de datos en virtud del artículo 47, de conformidad con el artículo 6 del Reglamento [...] [Ley de Gobernanza de Datos, COM(2020) 767 final].

2.Cuando los datos en cuestión no estén en poder del organismo de acceso a los datos o de un organismo del sector público, las tasas también podrán incluir una compensación en concepto de una parte de los costes derivados de la recogida de los datos sanitarios electrónicos específicamente en virtud del presente Reglamento, además de las tasas que puedan cobrarse con arreglo al apartado 1. La parte de las tasas vinculadas a los costes del titular de los datos se abonará al titular de los datos.

3.Los datos sanitarios electrónicos a que se refiere el artículo 33, apartado 1, letra o), se pondrán a disposición de un nuevo usuario de forma gratuita o a cambio de una tasa equivalente a la compensación por los costes de los recursos humanos y técnicos utilizados para enriquecer los datos sanitarios electrónicos. Esta tasa se abonará a la entidad que haya enriquecido los datos sanitarios electrónicos.

4.Las tasas cobradas a los usuarios de datos con arreglo al presente artículo por los organismos de acceso a los datos sanitarios o los titulares de datos serán transparentes y proporcionadas al coste de la recogida y puesta a disposición de los datos sanitarios electrónicos para uso secundario, estarán objetivamente justificadas y no restringirán la competencia. Se excluirá de este cálculo la ayuda recibida por el titular de los datos con cargo a donaciones, fondos públicos nacionales o de la Unión, para crear, desarrollar o actualizar un conjunto de datos. Los intereses y necesidades específicos de las pymes, los organismos públicos, las instituciones, órganos y organismos de la Unión que participan en la investigación, la política sanitaria o el análisis, las instituciones educativas y los prestadores de asistencia sanitaria se tendrán en cuenta a la hora de fijar las tasas, reduciéndolas proporcionalmente a su tamaño o presupuesto.

5.Cuando los titulares de datos y los usuarios de datos no lleguen a un acuerdo sobre el nivel de las tasas en el plazo de un mes a partir de la concesión del permiso de datos, el organismo de acceso a los datos sanitarios podrá fijar las tasas en proporción al coste de la puesta a disposición de datos sanitarios electrónicos para uso secundario. Cuando el titular de los datos o el usuario de los datos no estén de acuerdo con la tasa establecida por el organismo de acceso a los datos sanitarios, podrán recurrir a los órganos de resolución de litigios establecidos de conformidad con el artículo 10 del Reglamento [...] [Ley de Datos, COM(2022) 68 final].

6.La Comisión podrá, mediante actos de ejecución, establecer principios y normas para las políticas y las estructuras de las tasas. Dichos actos de ejecución se adoptarán de conformidad con el procedimiento consultivo a que se refiere el artículo 68, apartado 2.

Artículo 43

Sanciones de los organismos de acceso a los datos sanitarios

1.Los organismos de acceso a los datos sanitarios supervisarán y controlarán el cumplimiento por parte de los usuarios de datos y los titulares de datos de los requisitos establecidos en el presente capítulo.

2.Cuando soliciten a los usuarios datos y a los titulares de datos la información necesaria para verificar el cumplimiento del presente capítulo, los organismos de acceso a los datos sanitarios actuarán de manera proporcionada al desempeño de la tarea de verificación del cumplimiento.

3.Cuando los organismos de acceso a los datos sanitarios constaten que un usuario de datos o un titular de datos no cumple los requisitos del presente capítulo, lo notificarán inmediatamente al usuario de los datos o al titular de los datos y le darán la oportunidad de expresar su opinión en un plazo de dos meses.

4.Los organismos de acceso a los datos sanitarios estarán facultados para revocar el permiso de datos expedido de conformidad con el artículo 46 y para detener la operación de tratamiento de datos sanitarios electrónicos afectada que esté llevando a cabo el usuario de datos, con el fin de garantizar el cese del incumplimiento al que se refiere el apartado 3, inmediatamente o en un plazo razonable, y adoptarán medidas adecuadas y proporcionadas destinadas a garantizar el tratamiento conforme por parte de los usuarios de los datos. A este respecto, los organismos de acceso a los datos sanitarios podrán, cuando proceda, revocar el permiso de datos y excluir al usuario de datos del acceso a los datos sanitarios electrónicos durante un período de hasta cinco años.

5.Cuando los titulares de los datos no pongan los datos sanitarios electrónicos a disposición de los organismos de acceso a los datos sanitarios con la intención manifiesta de obstruir el uso de los datos sanitarios electrónicos, o no respeten los plazos establecidos en el artículo 41, el organismo de acceso a los datos sanitarios estará facultado para imponer al titular de los datos multas por cada día de retraso, que deberán ser transparentes y proporcionadas. El organismo de acceso a los datos sanitarios fijará el importe de las multas. En caso de incumplimiento reiterado por parte del titular de los datos de la obligación de cooperación leal con el organismo de acceso a los datos sanitarios, dicho organismo podrá excluir al titular de los datos de la participación en el EEDS durante un período de hasta cinco años. Cuando un titular de datos haya sido excluido de la participación en el EEDS de conformidad con el presente artículo, por intención manifiesta de obstruir el uso secundario de datos sanitarios electrónicos, no tendrá derecho a facilitar el acceso a los datos sanitarios de conformidad con el artículo 49.

6.El organismo de acceso a los datos sanitarios comunicará sin demora al usuario o al titular de los datos afectados las medidas impuestas en virtud del apartado 4, así como su justificación, y fijará un plazo razonable para que el usuario o el titular de los datos cumpla las medidas.

7.Las sanciones y medidas impuestas en virtud del apartado 4 se pondrán a disposición de otros organismos de acceso a los datos sanitarios.

8.La Comisión podrá definir, mediante un acto de ejecución, la arquitectura de una herramienta informática destinada a apoyar y hacer transparente para otros organismos de acceso a los datos sanitarios las actividades a que se refiere el presente artículo, especialmente las sanciones y exclusiones. Dichos actos de ejecución se adoptarán de conformidad con el procedimiento consultivo a que se refiere el artículo 68, apartado 2.

9.Toda persona física o jurídica afectada por una decisión de un organismo de acceso a los datos sanitarios tendrá derecho a la tutela judicial efectiva contra dicha decisión.

10.La Comisión podrá publicar directrices sobre las sanciones que deberán aplicar los organismos de acceso a los datos sanitarios.

Sección 3

Permiso de datos para el uso secundario de datos sanitarios electrónicos

Artículo 44

Minimización de datos y limitación de la finalidad

1.El organismo de acceso a los datos sanitarios garantizará que solo se facilite el acceso a los datos sanitarios electrónicos solicitados que sean pertinentes para los fines de tratamiento indicados en la solicitud de acceso a los datos por parte del usuario de los datos y en consonancia con el permiso de datos concedido.

2.Los organismos de acceso a los datos sanitarios facilitarán los datos sanitarios electrónicos en un formato anonimizado, cuando la finalidad del tratamiento por el usuario de los datos pueda alcanzarse con dichos datos, teniendo en cuenta la información facilitada por este.

3.Cuando la finalidad del tratamiento del usuario de datos no pueda alcanzarse con datos anonimizados, teniendo en cuenta la información proporcionada por el usuario de los datos, los organismos de acceso a los datos sanitarios facilitarán el acceso a los datos sanitarios electrónicos en formato seudonimizado. La información necesaria para revertir la seudonimización solo estará a disposición del organismo de acceso a los datos sanitarios. Los usuarios de datos no desanonimizarán los datos sanitarios electrónicos que se les faciliten en formato seudonimizado. El incumplimiento por parte del usuario de los datos de las medidas del organismo de acceso a los datos sanitarios que garanticen la seudonimización estará sujeto a las sanciones correspondientes.

Artículo 45

Solicitudes de acceso a los datos

1.Cualquier persona física o jurídica podrá presentar una solicitud de acceso a los datos para los fines mencionados en el artículo 34.

2.La solicitud de acceso a los datos incluirá:

a)una explicación detallada del uso previsto de los datos sanitarios electrónicos, especificando para cuál de los fines contemplados en el artículo 34, apartado 1, se solicita el acceso;

b)una descripción de los datos sanitarios electrónicos solicitados, su formato y fuentes de datos, cuando sea posible, incluida la cobertura geográfica cuando se soliciten datos de varios Estados miembros;

c)una indicación de si los datos sanitarios electrónicos deben facilitarse en un formato anonimizado;

d)cuando proceda, una explicación de los motivos por los que se solicita el acceso a datos sanitarios electrónicos en un formato seudonimizado;

e)una descripción de las garantías previstas para evitar cualquier otro uso de los datos sanitarios electrónicos;

f)una descripción de las garantías previstas para proteger los derechos e intereses del titular de los datos y de las personas físicas afectadas;

g)una estimación del período de tiempo necesario para el tratamiento de los datos sanitarios electrónicos;

h)una descripción de las herramientas y los recursos informáticos necesarios para un entorno seguro.

3.Los usuarios de datos que deseen acceder a datos sanitarios electrónicos de más de un Estado miembro presentarán una única solicitud a uno de los organismos de acceso a los datos sanitarios de su elección, que será responsable de compartir la solicitud con otros organismos de acceso a datos sanitarios y participantes autorizados en la infraestructura DatosSalud@UE a que se refiere el artículo52, que hayan sido identificados en la solicitud de acceso a los datos. En el caso de las solicitudes de acceso a datos sanitarios electrónicos procedentes de más de un Estado miembro, el organismo de acceso a los datos sanitarios notificará a los demás organismos de acceso a los datos sanitarios pertinentes la recepción de una solicitud que les incumba en un plazo de quince días a partir de la fecha de recepción de la solicitud de acceso a los datos.

4.Cuando el solicitante tenga la intención de acceder a los datos sanitarios electrónicos personales en un formato seudonimizado, junto con la solicitud de acceso a los datos se facilitará la siguiente información adicional:

a)una descripción de la forma en que el tratamiento cumpliría lo dispuesto en el artículo 6, apartado 1, del Reglamento (UE) 2016/679;

b)información sobre la evaluación de los aspectos éticos del tratamiento, cuando proceda y de conformidad con la legislación nacional.

5.Para la ejecución de las tareas a que se refiere el artículo 37, apartado 1, letras b) y c), los organismos del sector público y las instituciones, órganos y organismos de la Unión facilitarán la misma información que se solicita en virtud del artículo 45, apartado 2, excepto en el caso de la letra g), donde presentarán información sobre el período durante el cual se puede acceder a los datos, la frecuencia de dicho acceso o la frecuencia de las actualizaciones de los datos.

Cuando los organismos del sector público y las instituciones, órganos y organismos de la Unión tengan la intención de acceder a los datos sanitarios electrónicos en un formato seudonimizado, también se facilitará una descripción de cómo el tratamiento cumpliría lo dispuesto en el artículo 6, apartado 1, del Reglamento (UE) 2016/679 o en el artículo 5, apartado 1, del Reglamento (UE) 2018/1725, según proceda.

6.La Comisión podrá establecer, mediante actos de ejecución, los modelos para la solicitud de acceso a los datos a que se refiere el presente artículo, el permiso de datos a que se refiere el artículo 46 y la petición de datos a que se refiere el artículo 47. Dichos actos de ejecución se adoptarán de conformidad con el procedimiento contemplado en el artículo 68, apartado 2.

7.La Comisión estará facultada para adoptar actos delegados, de conformidad con el artículo 67, con el fin de modificar la lista de información de los apartados 2, 4, 5 y 6 del presente artículo para garantizar que la lista es adecuada para tramitar una solicitud de acceso a los datos a escala nacional o transfronteriza.

Artículo 46

Permiso de datos

1.Los organismos de acceso a los datos sanitarios evaluarán si la solicitud cumple uno de los fines enumerados en el artículo 34, apartado 1, del presente Reglamento, si los datos solicitados son necesarios para los fines enumerados en la solicitud y si el solicitante cumple los requisitos del presente capítulo. En tal caso, el organismo de acceso a los datos sanitarios expedirá un permiso de datos.

2.Los organismos de acceso a los datos sanitarios denegarán todas las solicitudes que incluyan uno o varios de los fines enumerados en el artículo 35 o cuando no se cumplan los requisitos del presente capítulo.

3.Un organismo de acceso a los datos sanitarios expedirá o denegará un permiso de datos en un plazo de dos meses a partir de la recepción de la solicitud de acceso a los datos. No obstante lo dispuesto en el Reglamento [...] [Ley de Gobernanza de Datos, COM(2020) 767 final], el organismo de acceso a los datos sanitarios podrá ampliar en hasta dos meses adicionales el plazo para responder a una solicitud de acceso a los datos cuando sea necesario para tener en cuenta la complejidad de la petición. En tales casos, el organismo de acceso a los datos sanitarios notificará lo antes posible al solicitante que se necesita más tiempo para examinar la solicitud, junto con los motivos del retraso. En caso de que un organismo de acceso a los datos sanitarios no adopte una decisión en el plazo fijado, el permiso de datos deberá expedirse.

4.Tras la expedición del permiso de datos, el organismo de acceso a los datos sanitarios solicitará inmediatamente al titular de los datos los datos sanitarios electrónicos. El organismo de acceso a los datos sanitarios pondrá los datos sanitarios electrónicos a disposición del usuario de los datos en un plazo de dos meses a partir de que los haya recibido de los titulares de los datos, a menos que el organismo de acceso a los datos sanitarios especifique que facilitará los datos en un plazo especificado más largo.

5.Cuando el organismo de acceso a los datos sanitarios deniegue la expedición del permiso de datos, deberá justificar la denegación al solicitante.

6.El permiso de datos establecerá las condiciones generales aplicables al usuario de los datos, en particular:

a)los tipos y el formato de los datos sanitarios electrónicos a los que puede acceder con arreglo al permiso de datos, incluidas sus fuentes;

b)la finalidad para la que se facilitan los datos;

c)la duración del permiso de datos;

d)información sobre las características técnicas y las herramientas de que dispone el usuario de los datos en el entorno de tratamiento seguro;

e)las tasas que debe pagar el usuario de los datos;

f)cualquier condición específica adicional que se indique en el permiso de datos concedido.

7.Los usuarios de datos tendrán derecho a acceder a los datos sanitarios electrónicos y a tratarlos de conformidad con el permiso de datos que se les haya concedido en virtud del presente Reglamento.

8.La Comisión estará facultada, de conformidad con el procedimiento establecido en el artículo 67, para adoptar actos delegados a fin de modificar la lista de los aspectos que deben incluirse en el permiso de datos a que se refiere el apartado 7 del presente artículo.

9.El permiso de datos expedido tendrá la duración necesaria para cumplir los fines para los que se solicita, que no excederá de cinco años. Esta duración podrá prorrogarse una vez, a petición del usuario de los datos, sobre la base de argumentos y documentos que justifiquen dicha prórroga, presentados un mes antes de la expiración del permiso de datos, por un período que no podrá exceder de cinco años. No obstante lo dispuesto en el artículo 42, el organismo de acceso a los datos sanitarios podrá aumentar progresivamente las tasas para reflejar los costes y riesgos del almacenamiento de datos sanitarios electrónicos durante un período que exceda los cinco años iniciales. Con el fin de reducir los costes y tasas, el organismo de acceso a los datos sanitarios también podrá proponer al usuario de datos que almacene el conjunto de datos en un sistema de almacenamiento con capacidades reducidas. Los datos en el entorno de tratamiento seguro se suprimirán en un plazo de seis meses a partir de la expiración del permiso de datos. A petición del usuario de datos, el organismo de acceso a los datos sanitarios almacenará la fórmula utilizada para la creación del conjunto de datos solicitados.

10.Si es necesario actualizar el permiso de datos, el usuario de los datos deberá presentar una petición de modificación del permiso de datos.

11.Los usuarios de datos harán públicos los resultados o los productos del uso secundario de datos sanitarios electrónicos, incluida la información pertinente para la prestación de la asistencia sanitaria, a más tardar dieciocho meses después de haberse completado el tratamiento de los datos sanitarios electrónicos o tras haber recibido la respuesta a la petición de datos a que se refiere el artículo 47. Dichos resultados o efectos solo contendrán datos anonimizados. El usuario de los datos informará a los organismos de acceso a los datos sanitarios de los que haya obtenido el permiso de datos y contribuirá a hacer pública la información en los sitios web de dichos organismos. Siempre que los usuarios de datos hayan utilizado datos sanitarios electrónicos de conformidad con el presente capítulo, mostrarán su reconocimiento a las fuentes electrónicas de los datos sanitarios y al hecho de que se han obtenido datos sanitarios electrónicos en el contexto del EEDS.

12.Los usuarios de los datos informarán al organismo de acceso a los datos sanitarios de cualquier conclusión clínicamente significativa que pueda influir en el estado de salud de las personas físicas cuyos datos estén incluidos en el conjunto de datos.

13.La Comisión podrá desarrollar, mediante un acto de ejecución, un logotipo para hacer patente la contribución del EEDS. Dicho acto de ejecución se adoptará con arreglo al procedimiento consultivo contemplado en el artículo 68, apartado 2.

14.La responsabilidad de los organismos de acceso a los datos sanitarios como corresponsables del tratamiento se limita al ámbito de aplicación del permiso de datos expedido, hasta que concluya la actividad de tratamiento.

Artículo 47

Petición de datos

1.Cualquier persona física o jurídica podrá presentar una petición de datos para los fines a que se refiere el artículo 34. Los organismos de acceso a los datos sanitarios solo responderán a una petición de datos en un formato estadístico anonimizado y el usuario de los datos no tendrá acceso a los datos sanitarios electrónicos utilizados para proporcionar dicha respuesta.

2.Las peticiones de datos incluirán los elementos mencionados en el artículo 45, apartado 2, letras a) y b), y, en caso necesario, podrán incluir también:

a)una descripción del resultado esperado del organismo de acceso a los datos sanitarios;

b)una descripción del contenido estadístico.

3.Cuando un solicitante haya pedido un resultado en forma anonimizada, incluido en formato estadístico, sobre la base de una petición de datos, el organismo de acceso a los datos sanitarios evaluará el resultado en un plazo de dos meses y, cuando sea posible, proporcionará el resultado al usuario de los datos en un plazo de dos meses.

Artículo 48

Puesta a disposición de datos para los organismos del sector público y las instituciones, órganos y organismos de la Unión sin un permiso de datos

No obstante lo dispuesto en el artículo 46 del presente Reglamento, no será necesario un permiso de datos para acceder a los datos sanitarios electrónicos en virtud del presente artículo. Cuando lleve a cabo las tareas previstas en el artículo 37, apartado 1, letras b) y c), el organismo de acceso a los datos sanitarios informará a los organismos del sector público y a las instituciones, órganos y organismos de la Unión sobre la disponibilidad de los datos en un plazo de dos meses a partir de la solicitud de acceso a los datos, de conformidad con el artículo 9 del Reglamento [...] [Ley de Gobernanza de Datos, COM(2020) 767 final]. No obstante lo dispuesto en dicho Reglamento [...] [Ley de Gobernanza de Datos, COM(2020) 767 final], el organismo de acceso a los datos sanitarios podrá ampliar hasta en dos meses adicionales el plazo cuando sea necesario para tener en cuenta la complejidad de la solicitud. El organismo de acceso a los datos sanitarios pondrá los datos sanitarios electrónicos a disposición del usuario de los datos en un plazo de dos meses a partir de que los haya recibido de los titulares de los datos, a menos que especifique que facilitará los datos en un plazo más largo.

Artículo 49

Acceso a los datos sanitarios electrónicos de un titular individual de datos

1.Cuando un solicitante pida el acceso a datos sanitarios electrónicos únicamente de un titular individual de datos en un único Estado miembro, sin perjuicio de lo dispuesto en el artículo 45, apartado 1, dicho solicitante podrá presentar una solicitud de acceso a los datos o una petición de datos directamente al titular de los datos. La solicitud de acceso a los datos cumplirá los requisitos establecidos en el artículo 45 y la petición de datos cumplirá los requisitos del artículo 47. Las peticiones plurinacionales y las que requieran la combinación de conjuntos de datos de varios titulares de datos deberán canalizarse a través de los organismos de acceso a los datos sanitarios.

2.En tal caso, el titular de los datos podrá expedir un permiso de datos de conformidad con el artículo 46 o responder a una petición de datos de conformidad con el artículo 47. A continuación, el titular de los datos facilitará el acceso a los datos sanitarios electrónicos en un entorno de tratamiento seguro de conformidad con el artículo 50 y podrá cobrar tasas de conformidad con el artículo 42.

3.No obstante lo dispuesto en el artículo 51, el proveedor individual de datos y el usuario de datos se considerarán corresponsables del tratamiento.

4.En un plazo de tres meses, el titular de los datos informará por vía electrónica al organismo de acceso a los datos sanitarios pertinente de todas las solicitudes de acceso a datos presentadas, de todos los permisos de datos expedidos y de las peticiones de datos atendidas en virtud del presente artículo, a fin de que el organismo de acceso a los datos sanitarios pueda cumplir sus obligaciones de conformidad con el artículo 37, apartado 1, y el artículo 39.

Artículo 50

Entorno de tratamiento seguro

1.Los organismos de acceso a los datos sanitarios facilitarán el acceso a los datos sanitarios electrónicos únicamente a través de un entorno de tratamiento seguro, con medidas técnicas y organizativas y requisitos de seguridad e interoperabilidad. En particular, adoptarán las siguientes medidas de seguridad:

a)restringir el acceso al entorno de tratamiento seguro a las personas autorizadas enumeradas en el correspondiente permiso de datos;

b)minimizar el riesgo de lectura, copia, modificación o supresión no autorizadas de los datos sanitarios electrónicos alojados en un entorno de tratamiento seguro a través de los medios tecnológicos más avanzados;

c)limitar la introducción de datos sanitarios electrónicos y la inspección, modificación o supresión de los datos sanitarios electrónicos alojados en el entorno de tratamiento seguro a un número limitado de personas identificables autorizadas;

d)garantizar que los usuarios de datos solo tengan acceso a los datos sanitarios electrónicos cubiertos por su permiso de datos, únicamente mediante identidades de usuario individuales y únicas y modos de acceso confidenciales;

e)conservar registros identificables de acceso al entorno de tratamiento seguro durante el período de tiempo necesario para verificar y auditar todas las operaciones de tratamiento en dicho entorno;

f)garantizar el cumplimiento y supervisar las medidas de seguridad a que se refiere el presente artículo para mitigar las posibles amenazas para la seguridad.

2.Los organismos de acceso a los datos sanitarios garantizarán que los titulares de los datos puedan cargar los datos sanitarios electrónicos y que el usuario de los datos pueda acceder a ellos en un entorno de tratamiento seguro. Los usuarios de datos solo podrán descargar datos sanitarios electrónicos no personales desde el entorno de tratamiento seguro.

3.Los organismos de acceso a los datos sanitarios velarán por que se lleven a cabo auditorías periódicas de los entornos de tratamiento seguros.

4.La Comisión establecerá, mediante actos de ejecución, los requisitos técnicos, de seguridad de la información y de interoperabilidad para los entornos de tratamiento seguros. Dichos actos de ejecución se adoptarán de conformidad con el procedimiento consultivo a que se refiere el artículo 68, apartado 2.

Artículo 51

Corresponsables del tratamiento

1.Los organismos de acceso a los datos sanitarios y los usuarios de los datos, incluidas las instituciones, órganos y organismos de la Unión, se considerarán corresponsables del tratamiento de los datos sanitarios electrónicos de conformidad con el permiso de datos.

2.La Comisión establecerá, mediante actos de ejecución, un modelo para el acuerdo entre los corresponsables del tratamiento. Dichos actos de ejecución se adoptarán con arreglo al procedimiento consultivo establecido en el artículo 68, apartado 2.

Sección 4

Acceso transfronterizo a datos sanitarios electrónicos para uso secundario

Artículo 52

Infraestructura transfronteriza para el uso secundario de datos sanitarios electrónicos (DatosSalud@UE)

1.Cada Estado miembro designará un punto de contacto nacional para el uso secundario de datos sanitarios electrónicos, que será responsable de poner a disposición los datos sanitarios electrónicos para uso secundario en un contexto transfronterizo, y comunicará sus nombres y datos de contacto a la Comisión. El punto de contacto nacional podrá ser el coordinador del organismo de acceso a los datos sanitarios contemplado en el artículo 36. La Comisión y los Estados miembros pondrán dicha información a disposición del público.

2.Los puntos de contacto nacionales a que se refiere el apartado 1 serán participantes autorizados en la infraestructura transfronteriza para el uso secundario de datos sanitarios electrónicos (DatosSalud@UE). Los puntos de contacto nacionales facilitarán el acceso transfronterizo a los datos sanitarios electrónicos para uso secundario a los diferentes participantes autorizados en la infraestructura y cooperarán estrechamente entre sí y con la Comisión.

3.Las instituciones, órganos y organismos de la Unión que participen en la investigación, la política sanitaria o los análisis serán participantes autorizados de DatosSalud@UE.

4.Las infraestructuras de investigación relacionadas con la salud o las estructuras similares cuyo funcionamiento se base en el Derecho de la Unión y que apoyen el uso de datos sanitarios electrónicos con fines de investigación, elaboración de políticas, estadísticas, seguridad de los pacientes o reglamentación serán participantes autorizados en DatosSalud@UE.

5.Los terceros países o las organizaciones internacionales podrán ser participantes autorizados cuando cumplan las normas del capítulo IV del presente Reglamento y faciliten a los usuarios de datos situados en la Unión, en términos y condiciones equivalentes, el acceso a los datos sanitarios electrónicos de que dispongan sus organismos de acceso a los datos sanitarios. La Comisión podrá adoptar actos de ejecución por los que se determine que un punto de contacto nacional de un tercer país o un sistema establecido a nivel internacional cumple los requisitos de DatosSalud@UE a efectos del uso secundario de datos sanitarios y el capítulo IV del presente Reglamento y da acceso a los usuarios de datos situados en la Unión a los datos sanitarios electrónicos a los que tiene acceso en condiciones equivalentes. El cumplimiento de estos requisitos jurídicos, organizativos, técnicos y de seguridad, incluidas las normas para entornos de tratamiento seguro con arreglo al artículo 50, se comprobará bajo el control de la Comisión. Dichos actos de ejecución se adoptarán de conformidad con el procedimiento consultivo a que se refiere el artículo 68, apartado 2. La Comisión hará pública la lista de actos de ejecución adoptados en virtud del presente apartado.

6.Se dotará a cada participante autorizado de la capacidad técnica necesaria para conectarse y participar en DatosSalud@UE. Cada participante cumplirá los requisitos y especificaciones técnicas necesarios para explotar la infraestructura transfronteriza y permitir que los participantes autorizados se conecten entre sí dentro de ella.

7.La Comisión estará facultada para adoptar actos delegados, de conformidad con el artículo 67, a fin de modificar el presente artículo para añadir o suprimir categorías de participantes autorizados en DatosSalud@UE, teniendo en cuenta el dictamen del Grupo de Corresponsabilidad del Tratamiento con arreglo al artículo 66 del presente Reglamento.

8.Los Estados miembros y la Comisión crearán la infraestructura DatosSalud@UE para apoyar y facilitar el acceso transfronterizo a los datos sanitarios electrónicos para uso secundario, conectando los puntos de contacto nacionales para el uso secundario de datos sanitarios electrónicos de todos los Estados miembros y los participantes autorizados en dicha infraestructura.

9.La Comisión desarrollará, implantará y gestionará una plataforma básica para DatosSalud@UE, proporcionando los servicios de tecnología de la información necesarios para facilitar la conexión entre los organismos de acceso a los datos sanitarios como parte de la infraestructura transfronteriza para el uso secundario de datos sanitarios electrónicos. La Comisión solo tratará los datos sanitarios electrónicos en nombre de los corresponsables del tratamiento como encargada del tratamiento.

10.Cuando lo soliciten dos o más organismos de acceso a los datos sanitarios, la Comisión podrá proporcionar un entorno de tratamiento seguro para los datos procedentes de más de un Estado miembro que cumplan los requisitos del artículo 50. Cuando dos o más organismos de acceso a los datos sanitarios introduzcan datos sanitarios electrónicos en el entorno de tratamiento seguro gestionado por la Comisión, serán corresponsables del tratamiento y la Comisión será la encargada del tratamiento.

11.Los participantes autorizados actuarán como corresponsables de las operaciones de tratamiento en las que participen en el marco de DatosSalud@UE y la Comisión actuará como encargada del tratamiento.

12.Los Estados miembros y la Comisión procurarán garantizar la interoperabilidad de DatosSalud@UE con otros espacios comunes europeos de datos pertinentes a que se refieren los Reglamentos [...] [Ley de Gobernanza de Datos, COM(2020) 767 final] y [...] [Ley de Datos, COM(2022) 68 final].

13.La Comisión podrá establecer, mediante actos de ejecución:

a)los requisitos, las especificaciones técnicas, la arquitectura informática de DatosSalud@UE y las condiciones y controles de conformidad para que los participantes autorizados se incorporen y permanezcan conectados a la infraestructura, así como las condiciones de exclusión temporal o definitiva de esta;

b)los criterios mínimos que deben cumplir los participantes autorizados en la infraestructura;

c)las responsabilidades de los corresponsables y del encargado o de los encargados del tratamiento que participen en las infraestructuras transfronterizas;

d)las responsabilidades de los corresponsables y del encargado o de los encargados del tratamiento en relación con el entorno seguro gestionado por la Comisión;

e)especificaciones comunes para la interoperabilidad y la arquitectura relativas a DatosSalud@UE con otros espacios comunes europeos de datos.

Dichos actos de ejecución se adoptarán de conformidad con el procedimiento consultivo a que se refiere el artículo 68, apartado 2.

14.La aprobación para la incorporación de un participante autorizado a DatosSalud@UE o su desconexión de la infraestructura será concedida por el Grupo de Corresponsabilidad del Tratamiento, sobre la base de los resultados de los controles de conformidad.

Artículo 53

Acceso a fuentes transfronterizas de datos sanitarios electrónicos para uso secundario

1.En el caso de los registros y las bases de datos transfronterizos, el organismo de acceso a los datos sanitarios en el que esté registrado el titular de los datos será competente para decidir sobre las solicitudes de acceso a los datos para poder acceder a los datos sanitarios electrónicos. Cuando el registro tenga corresponsables del tratamiento, el organismo de acceso a los datos sanitarios que facilitará el acceso a los datos sanitarios electrónicos será el organismo del Estado miembro en el que esté establecido uno de los corresponsables del tratamiento.

2.Cuando los registros o las bases de datos de varios Estados miembros se organicen en una única red de registros o bases de datos a escala de la Unión, los registros asociados podrán designar a uno de sus miembros como coordinador para garantizar el suministro de datos de la red de registros para uso secundario. El organismo de acceso a los datos sanitarios del Estado miembro en el que esté situado el coordinador de la red será competente para decidir sobre las solicitudes de acceso a los datos para poder acceder a los datos sanitarios electrónicos de la red de registros o de bases de datos.

3.La Comisión podrá adoptar, mediante actos de ejecución, las normas necesarias para facilitar la tramitación de las solicitudes de acceso a los datos de DatosSalud@UE, incluido un formulario de solicitud común, un modelo común de permiso de datos, formularios normalizados para acuerdos contractuales comunes de acceso a los datos sanitarios electrónicos y procedimientos comunes para la tramitación de peticiones transfronterizas, de conformidad con los artículos 45, 46, 47 y 48. Dichos actos de ejecución se adoptarán de conformidad con el procedimiento consultivo a que se refiere el artículo 68, apartado 2.

Artículo 54

Reconocimiento mutuo

1.Al tramitar una solicitud de acceso transfronterizo a datos sanitarios electrónicos para uso secundario, los organismos de acceso a los datos sanitarios y los participantes autorizados pertinentes seguirán siendo responsables de tomar las decisiones de concesión o denegación del acceso a los datos sanitarios electrónicos en el ámbito de sus competencias, de conformidad con los requisitos de acceso establecidos en el presente capítulo.

2.Un permiso de datos expedido por un organismo de acceso a los datos sanitarios afectado puede beneficiarse del reconocimiento mutuo por parte del otro organismo de acceso a los datos sanitarios afectado.

Sección 5

Calidad y utilidad de los datos sanitarios para uso secundario

Artículo 55

Descripción de un conjunto de datos

1.Los organismos de acceso a los datos sanitarios informarán a los usuarios de los datos sobre los conjuntos de datos disponibles y sus características a través de un catálogo de metadatos. Cada conjunto de datos incluirá información sobre la fuente, el ámbito, las principales características, la naturaleza de los datos sanitarios electrónicos y las condiciones de disponibilidad de los datos sanitarios electrónicos.

2.La Comisión establecerá, mediante actos de ejecución, los elementos de información mínimos que deben proporcionar los titulares de datos para los conjuntos de datos y sus características. Dichos actos de ejecución se adoptarán de conformidad con el procedimiento consultivo a que se refiere el artículo 68, apartado 2.

Artículo 56

Etiqueta de calidad y utilidad de los datos

1.Los conjuntos de datos disponibles a través de los organismos de acceso a los datos sanitarios podrán obtener de los titulares de los datos una etiqueta de la Unión relativa a la calidad y utilidad de los datos.

2.Los conjuntos de datos que contengan datos sanitarios electrónicos recogidos y tratados con el apoyo de la financiación pública nacional o de la Unión tendrán una etiqueta de calidad y utilidad de los datos, de conformidad con los principios establecidos en el apartado 3.

3.La etiqueta de calidad y utilidad de los datos deberá cumplir los siguientes elementos:

a)para la documentación de datos: metadatos, documentación de apoyo, modelo de datos, diccionario de datos, normas utilizadas, procedencia;

b)calidad técnica, que demuestre la exhaustividad, singularidad, exactitud, validez, oportunidad y coherencia de los datos;

c)para los procesos de gestión de la calidad de los datos: nivel de madurez de los procesos de gestión de la calidad de los datos, incluidos los procesos de revisión y auditoría y el examen de sesgos;

d)cobertura: representación de datos sanitarios electrónicos multidisciplinares, representatividad de la población incluida en la muestra, marco temporal medio en el que una persona física aparece en un conjunto de datos;

e)información sobre el acceso y el suministro: tiempo transcurrido entre la recogida de los datos sanitarios electrónicos y su inclusión en el conjunto de datos, plazo de suministro de los datos sanitarios electrónicos tras la aprobación de la solicitud de acceso a estos;

f)información sobre el enriquecimiento de datos: combinación e incorporación de datos en un conjunto de datos existente, incluidos enlaces con otros conjuntos de datos.

4.La Comisión estará facultada para adoptar actos delegados, de conformidad con el artículo 67, para modificar la lista de los principios de la etiqueta de calidad y utilidad de los datos. Dichos actos delegados también podrán modificar la lista establecida en el apartado 3 añadiendo, modificando o suprimiendo los requisitos relativos a la calidad y utilidad de los datos.

5.La Comisión establecerá, mediante actos de ejecución, las características visuales y las especificaciones técnicas de la etiqueta de calidad y utilidad de los datos, sobre la base de los elementos a que se refiere el apartado 3. Dichos actos de ejecución se adoptarán de conformidad con el procedimiento consultivo a que se refiere el artículo 68, apartado 2. Esos actos de ejecución tendrán en cuenta los requisitos del artículo 10 del Reglamento [...] [Ley de la IA, COM(2021) 206 final] y cualquier especificación común o norma armonizada adoptada en apoyo de dichos requisitos.

Artículo 57

Catálogo de conjuntos de datos de la UE

1.La Comisión establecerá un catálogo de conjuntos de datos de la UE que conectará los catálogos nacionales de conjuntos de datos establecidos por los organismos de acceso a los datos sanitarios y otros participantes autorizados en DatosSalud@UE.

2.El catálogo de conjuntos de datos de la UE y los catálogos de conjuntos de datos nacionales se pondrán a disposición del público.

Artículo 58

Especificaciones mínimas para el conjunto de datos

La Comisión podrá determinar, mediante actos de ejecución, las especificaciones mínimas de los conjuntos de datos transfronterizos para el uso secundario de datos sanitarios electrónicos, teniendo en cuenta las infraestructuras, normas, directrices y recomendaciones de la Unión existentes. Dichos actos de ejecución se adoptarán de conformidad con el procedimiento consultivo a que se refiere el artículo 68, apartado 2.

Capítulo V

Medidas adicionales

Artículo 59

Desarrollo de capacidades

La Comisión apoyará el intercambio de mejores prácticas y conocimientos especializados, con el fin de desarrollar las capacidades de los Estados miembros para reforzar los sistemas sanitarios digitales para el uso primario y secundario de datos sanitarios electrónicos. Para apoyar el desarrollo de capacidades, la Comisión elaborará directrices de evaluación comparativa para el uso primario y secundario de los datos sanitarios electrónicos.

Artículo 60

Requisitos adicionales para la contratación pública y la financiación de la Unión

1.Los compradores públicos, las autoridades nacionales competentes, incluidas las autoridades de sanidad digital y los organismos de acceso a los datos sanitarios, y la Comisión harán referencia a las especificaciones técnicas, normas y perfiles aplicables a que se refieren los artículos 6, 23, 50 y 56, según proceda, como puntos de orientación para la contratación pública y para la redacción de sus documentos de licitación o convocatorias de propuestas, así como para definir las condiciones de financiación de la Unión en relación con el presente Reglamento, incluidas las condiciones favorables para los Fondos Estructurales y de Cohesión.

2.La condición ex ante para la financiación de la Unión tendrá en cuenta los requisitos desarrollados en el marco de los capítulos II, III y IV.

Artículo 61

Transferencia de datos electrónicos no personales a terceros países

1.Los datos electrónicos no personales facilitados por los organismos de acceso a los datos sanitarios que se basen en datos electrónicos de una persona física incluidos en una de las categorías del artículo 33 [letras a), e), f), i), j), k) y m)] se considerarán muy sensibles en el sentido del artículo 5, punto 13, del Reglamento [...] [Ley de Gobernanza de Datos, COM(2020) 767 final], siempre que su transferencia a terceros países presente un riesgo de desanonimización por medios que vayan más allá de los que puedan utilizarse razonablemente, habida cuenta del número limitado de personas físicas implicadas en dichos datos, del hecho de que están geográficamente dispersos o de los avances tecnológicos esperados en un futuro próximo.

2.Las medidas de protección para las categorías de datos mencionadas en el apartado 1 dependerán de la naturaleza de los datos y de las técnicas de anonimización y se detallarán en el acto delegado que se adopte en virtud de la facultad establecida en el artículo 5, punto 13, del Reglamento [...] [Ley de Gobernanza de Datos, COM(2020) 767 final].

Artículo 62

Acceso internacional a datos sanitarios electrónicos no personales y transferencia internacional de esos datos

1.Las autoridades de sanidad digital, los organismos de acceso a los datos sanitarios, los participantes autorizados en las infraestructuras transfronterizas contempladas en los artículos 12 y 52 y los usuarios de datos adoptarán todas las medidas técnicas, jurídicas y organizativas razonables, incluidos los acuerdos contractuales, a fin de impedir la transferencia internacional o el acceso gubernamental a los datos sanitarios electrónicos no personales conservados en la Unión cuando dicha transferencia o acceso pueda crear un conflicto con el Derecho de la Unión o con el Derecho nacional del Estado miembro de que se trate, sin perjuicio de lo dispuesto en los apartados 2 o 3 del presente artículo.

2.Las sentencias de los órganos jurisdiccionales de un tercer país o las resoluciones de las autoridades administrativas de terceros países por las que se exija a una autoridad de sanidad digital, un organismo de acceso a los datos sanitarios o los usuarios de datos transferir datos sanitarios electrónicos no personales conservados en la Unión e incluidos en el ámbito de aplicación del presente Reglamento, o dar acceso a tales datos, solo podrán reconocerse o ejecutarse de cualquier forma si se basan en un acuerdo internacional, como un tratado de asistencia jurídica mutua, vigente entre el tercer país solicitante y la Unión o entre el tercer país solicitante y un Estado miembro.

3.En ausencia del acuerdo internacional a que se refiere el apartado 2 del presente artículo, cuando una autoridad de sanidad digital, un organismo de acceso a los datos sanitarios o los usuarios de datos sean los destinatarios de una resolución o sentencia de un órgano jurisdiccional de un tercer país o una resolución de una autoridad administrativa de un tercer país por la que se exija transferir datos no personales conservados en la Unión e incluidos en el ámbito de aplicación del presente Reglamento, o dar acceso a tales datos, y el cumplimiento de dicha resolución pueda poner al destinatario en una situación de conflicto con el Derecho de la Unión o con el Derecho del Estado miembro pertinente, la transferencia o el acceso a tales datos por la autoridad del tercer país únicamente tendrán lugar si:

a)el sistema del tercer país exige que se expongan los motivos y la proporcionalidad de la resolución o sentencia y que dicha resolución o sentencia sea de carácter específico, por ejemplo, estableciendo un vínculo suficiente con determinadas personas sospechosas o infracciones;

b)la oposición motivada del destinatario está sujeta a revisión por un órgano jurisdiccional competente del tercer país; y

c)el órgano jurisdiccional competente del tercer país que dicta la resolución o sentencia o revisa la resolución de una autoridad administrativa está facultado por el Derecho del tercer país en cuestión para tener debidamente en cuenta los intereses jurídicos pertinentes del proveedor de los datos protegidos por el Derecho de la Unión o por el Derecho nacional del Estado miembro pertinente.

4.Si se cumplen las condiciones establecidas en los apartados 2 o 3, la autoridad de sanidad digital, un organismo de acceso a los datos sanitarios o un organismo de cesión altruista de datos facilitará la cantidad mínima de datos admisible en respuesta a una petición, sobre la base de una interpretación razonable de tal petición.

5.Antes de dar cumplimiento a la petición, las autoridades de sanidad digital, los organismos de acceso a los datos y los usuarios de los datos informarán al titular de datos de que una autoridad administrativa de un tercer país ha presentado una solicitud de acceso a sus datos, excepto en los casos en que la solicitud sirva a fines de aplicación de la ley y mientras sea necesario para preservar la eficacia de las actividades correspondientes de aplicación de la ley.

Artículo 63

Acceso internacional a datos sanitarios electrónicos personales y transferencia internacional de esos datos

En el contexto del acceso internacional a datos sanitarios electrónicos personales y transferencia internacional de estos, los Estados miembros podrán mantener o introducir condiciones adicionales, inclusive limitaciones, de conformidad con lo dispuesto en el artículo 9, apartado 4, del Reglamento (UE) 2016/679.

Capítulo VI

Gobernanza y coordinación europeas

Artículo 64

Consejo del Espacio Europeo de Datos Sanitarios (Consejo del EEDS)

1.Se crea un Consejo del Espacio Europeo de Datos Sanitarios (Consejo del EEDS) para facilitar la cooperación y el intercambio de información entre los Estados miembros. El Consejo del EEDS estará integrado por representantes de alto nivel de las autoridades de sanidad digital y de los organismos de acceso a los datos sanitarios de los Estados miembros. Podrán asistir a las reuniones otras autoridades nacionales, como las autoridades de vigilancia del mercado a que se refiere el artículo 28, así como el Comité Europeo de Protección de Datos y el Supervisor Europeo de Protección de Datos, cuando las cuestiones debatidas sean pertinentes para ellos. El Consejo también podrá invitar a expertos y observadores a asistir a sus reuniones, y podrá cooperar con otros expertos externos, cuando proceda. Otras instituciones, órganos y organismos de la Unión, las infraestructuras de investigación y otras estructuras similares tendrán un papel de observadores.

2.Dependiendo de las funciones relacionadas con el uso de datos sanitarios electrónicos, el Consejo del EEDS podrá trabajar en subgrupos en los que estén representadas las autoridades de sanidad digital o los organismos de acceso a los datos sanitarios para un determinado ámbito. En caso necesario, los subgrupos podrán celebrar reuniones conjuntas.

3.La composición, organización, funcionamiento y cooperación de los subgrupos se establecerán en el reglamento interno propuesto por la Comisión.

4.Se invitará a las partes interesadas y a terceras partes pertinentes, incluidos los representantes de los pacientes, a asistir a las reuniones del Consejo del EEDS y a participar en sus trabajos, en función de los temas debatidos y del grado de sensibilidad.

5.El Consejo del EEDS cooperará con otros organismos, entidades y expertos pertinentes, como el Comité Europeo de Innovación en materia de Datos a que se refiere el artículo 26 del Reglamento [...] [Ley de Gobernanza de Datos, COM(2020) 767 final], los organismos competentes creados en virtud del artículo 7 del Reglamento [...] [Ley de Datos, COM(2022) 68 final], los organismos de supervisión creados en virtud del artículo 17 del Reglamento [...] [Reglamento sobre la identificación electrónica], el Comité Europeo de Protección de Datos a que se refiere el artículo 68 del Reglamento (UE) 2016/679 y los organismos de ciberseguridad.

6.La Comisión presidirá las reuniones del Consejo del EEDS.

7.El Consejo del EEDS estará asistido por una secretaría proporcionada por la Comisión.

8.La Comisión adoptará, mediante actos de ejecución, las medidas necesarias para el establecimiento, la gestión y el funcionamiento del Consejo del EEDS. Dichos actos de ejecución se adoptarán de conformidad con el procedimiento consultivo a que se refiere el artículo 68, apartado 2.

Artículo 65

Funciones del Consejo del EEDS

1.El Consejo del EEDS tendrá las siguientes funciones relacionadas con el uso primario de datos sanitarios electrónicos, de conformidad con los capítulos II y III:

a)ayudar a los Estados miembros a coordinar las prácticas de las autoridades de sanidad digital;

b)presentar contribuciones por escrito e intercambiar buenas prácticas sobre cuestiones relacionadas con la coordinación de la aplicación a nivel de los Estados miembros del presente Reglamento y de los actos delegados y de ejecución adoptados en virtud del mismo, en particular por lo que respecta a: 

i)las disposiciones de los capítulos II y III,

ii)el desarrollo de servicios en línea que faciliten un acceso seguro, incluida una identificación electrónica segura, a los datos sanitarios electrónicos para los profesionales sanitarios y las personas físicas,

iii)otros aspectos del uso primario de datos sanitarios electrónicos;

c)facilitar la cooperación entre las autoridades de sanidad digital a través del desarrollo de las capacidades, estableciendo la estructura de los informes anuales de actividad, la revisión inter pares de los informes anuales de actividad y el intercambio de información;

d)compartir información sobre la gestión de los riesgos que plantean los sistemas de HME y los incidentes graves;

e)facilitar el intercambio de puntos de vista sobre el uso primario de datos sanitarios electrónicos con las partes interesadas pertinentes, incluidos los representantes de los pacientes, los profesionales sanitarios, los investigadores, los reguladores y los responsables políticos del sector sanitario.

2.El Consejo del EEDS tendrá las siguientes funciones relacionadas con el uso secundario de datos sanitarios electrónicos de conformidad con el capítulo IV:

a)ayudar a los Estados miembros a coordinar las prácticas de los organismos de acceso a los datos sanitarios en la aplicación de las disposiciones establecidas en el capítulo IV, a fin de garantizar una aplicación coherente del presente Reglamento;

b)presentar contribuciones por escrito e intercambiar buenas prácticas sobre cuestiones relacionadas con la coordinación de la aplicación a nivel de los Estados miembros del presente Reglamento y de los actos delegados y de ejecución adoptados en virtud del mismo, en particular por lo que respecta a:

xi)la aplicación de las normas de acceso a los datos sanitarios electrónicos,

xii)las especificaciones técnicas o las normas existentes relativas a los requisitos establecidos en el capítulo IV,

xiii)la política de incentivos para promover la calidad de los datos y la mejora de la interoperabilidad,

xiv)las políticas relativas a las tasas que deben cobrar los organismos de acceso a los datos sanitarios y los titulares de datos,

xv)el establecimiento y la aplicación de sanciones,

xvi)otros aspectos del uso secundario de datos sanitarios electrónicos;

c)facilitar la cooperación entre los organismos de acceso a los datos sanitarios mediante el desarrollo de las capacidades, estableciendo la estructura para la presentación de informes anuales de actividad, la revisión inter pares de estos informes y el intercambio de información;

d)compartir información sobre los riesgos y los incidentes de protección de datos relacionados con el uso secundario de datos sanitarios electrónicos, así como su gestión;

e)contribuir a la labor del Comité Europeo de Innovación en materia de Datos que se creará de conformidad con el artículo 29 del Reglamento [...] [Ley de Gobernanza de Datos, COM(2020) 767 final];

f)facilitar el intercambio de puntos de vista sobre el uso secundario de datos sanitarios electrónicos con las partes interesadas pertinentes, incluidos los representantes de los pacientes, los profesionales sanitarios, los investigadores, los reguladores y los responsables políticos del sector sanitario.

Artículo 66

Grupos de corresponsabilidad de las infraestructuras de la Unión

1.La Comisión creará dos grupos encargados de la corresponsabilidad de las infraestructuras transfronterizas contempladas en los artículos 12 y 52. Los grupos estarán compuestos por representantes de los puntos de contacto nacionales y otros participantes autorizados en dichas infraestructuras.

2.La composición, la organización, el funcionamiento y la cooperación de los subgrupos se establecerán en el reglamento interno adoptado por esos grupos.

3.Las partes interesadas y las terceras partes pertinentes, incluidos los representantes de los pacientes, podrán ser invitadas a asistir a las reuniones de los grupos y a participar en sus trabajos.

4.Los grupos elegirán a los presidentes de sus reuniones.

5.Los grupos estarán asistidos por una secretaría proporcionada por la Comisión.

6.Los grupos adoptarán decisiones relacionadas con el desarrollo y la explotación de las infraestructuras transfronterizas de conformidad con los capítulos II y IV, los cambios de infraestructura, la introducción de infraestructuras o servicios adicionales o la garantía de interoperabilidad con otras infraestructuras, sistemas digitales o espacios de datos. El grupo también tomará decisiones relativas a la incorporación o desconexión de los participantes autorizados individuales en las infraestructuras.

CAPÍTULO VII

Delegación y Comité

Artículo 67

Ejercicio de la delegación

1.Se otorgan a la Comisión los poderes para adoptar actos delegados en las condiciones establecidas en el presente artículo.

2.Los poderes para adoptar los actos delegados a que se refieren el artículo 5, apartado 2, el artículo 10, apartado 3, el artículo 25, apartado 3, el artículo 32, apartado 4, el artículo 33, apartado 7, el artículo 37, apartado 4, el artículo 39, apartado 3, el artículo 41, apartado 7, el artículo 45, apartado 7, el artículo 46, apartado 8, el artículo 52, apartado 7, y el artículo 56, apartado 4, se otorgan a la Comisión por un período indeterminado a partir de la fecha de entrada en vigor del presente Reglamento.

3.Los poderes para adoptar actos delegados a que se refieren el artículo 5, apartado 2, el artículo 10, apartado 3, el artículo 25, apartado 3, el artículo 32, apartado 4, el artículo 33, apartado 7, el artículo 37, apartado 4, el artículo 39, apartado 3, el artículo 41, apartado 7, el artículo 45, apartado 7, el artículo 46, apartado 8, el artículo 52, apartado 7, y el artículo 56, apartado 4, podrán ser revocados en todo momento por el Parlamento Europeo o por el Consejo. La Decisión de revocación pondrá término a la delegación de los poderes que en ella se especifiquen. La Decisión surtirá efecto el día siguiente al de su publicación en el Diario Oficial de la Unión Europea o en una fecha posterior indicada en ella. No afectará a la validez de los actos delegados que ya estén en vigor.

4.Antes de la adopción de un acto delegado, la Comisión consultará a los expertos designados por cada Estado miembro de conformidad con los principios establecidos en el Acuerdo interinstitucional de 13 de abril de 2016 sobre la mejora de la legislación.

5.Tan pronto como la Comisión adopte un acto delegado lo notificará simultáneamente al Parlamento Europeo y al Consejo.

6.Los actos delegados adoptados en virtud del artículo 5, apartado 2, el artículo 10, apartado 3, el artículo 25, apartado 3, el artículo 32, apartado 4, el artículo 33, apartado 7, el artículo 37, apartado 4, el artículo 39, apartado 3, el artículo 41, apartado 7, el artículo 45, apartado 7, el artículo 46, apartado 8, el artículo 52, apartado 7, y el artículo 56, apartado 4, entrarán en vigor únicamente si, en un plazo de tres meses a partir de su notificación al Parlamento Europeo y al Consejo, ninguna de estas instituciones formula objeciones o si, antes del vencimiento de dicho plazo, ambas informan a la Comisión de que no las formularán. El plazo se prorrogará tres meses a iniciativa del Parlamento Europeo o del Consejo.

Artículo 68

Procedimiento de comité

1.La Comisión estará asistida por un comité. Dicho comité será un comité en el sentido del Reglamento (UE) n.º 182/2011.

2.En los casos en que se haga referencia al presente apartado, se aplicará el artículo 4 del Reglamento (UE) n.º 182/2011.

Capítulo VIII

Varios

Artículo 69

Sanciones

Los Estados miembros establecerán el régimen de sanciones aplicables a cualquier infracción del presente Reglamento y adoptarán todas las medidas necesarias para garantizar su ejecución. Las sanciones serán efectivas, proporcionadas y disuasorias. Los Estados miembros notificarán el régimen de sanciones y las medidas a la Comisión a más tardar en la fecha de aplicación del presente Reglamento, y le comunicarán de inmediato cualquier modificación posterior.

Artículo 70

Evaluación y revisión

1.Una vez transcurridos cinco años desde la entrada en vigor del presente Reglamento, la Comisión llevará a cabo una evaluación específica, especialmente en lo que se refiere al capítulo III, y presentará un informe sobre sus principales conclusiones al Parlamento Europeo y al Consejo, al Comité Económico y Social Europeo y al Comité de las Regiones, acompañado, en su caso, de una propuesta de modificación. La evaluación incluirá una valoración de la autocertificación de los sistemas HME y examinará la necesidad de introducir un procedimiento de evaluación de la conformidad realizado por los organismos notificados.

2.Una vez transcurridos siete años desde la entrada en vigor del presente Reglamento, la Comisión llevará a cabo una evaluación global del presente Reglamento y presentará un informe sobre sus principales conclusiones al Parlamento Europeo, al Consejo, al Comité Económico y Social Europeo y al Comité de las Regiones, acompañado, en su caso, de una propuesta de modificación.

3.Los Estados miembros facilitarán a la Comisión la información necesaria para la elaboración del informe.

Artículo 71

Modificación de la Directiva 2011/24/UE

Se suprime el artículo 14 de la Directiva 2011/24/UE.

Capítulo IX

Aplicación diferida y disposiciones finales

Artículo 72

Entrada en vigor y aplicación

El presente Reglamento entrará en vigor a los veinte días de su publicación en el Diario Oficial de la Unión Europea.

Será aplicable a partir de doce meses después de su entrada en vigor.

No obstante, los artículos 3, 4, 5, 6, 7, 12, 14, 23 y 31 serán aplicables como sigue:

a)a partir de un año tras la fecha de inicio de la aplicación, a las categorías de datos sanitarios electrónicos personales a que se refiere el artículo 5, apartado 1, letras a), b) y c), y a los sistemas HME destinados por el fabricante al tratamiento de esas categorías de datos;

b)a partir de tres años tras la fecha de inicio de la aplicación, a las categorías de datos sanitarios electrónicos personales a que se refiere el artículo 5, apartado 1, letras d), e) y f), y a los sistemas HME destinados por el fabricante al tratamiento de esas categorías de datos;

c)a partir de la fecha establecida en los actos delegados adoptados en virtud del artículo 5, apartado 2, para las demás categorías de datos sanitarios electrónicos personales.

El capítulo III se aplicará a los sistemas HME puestos en servicio en la Unión con arreglo al artículo 15, apartado 2, a partir de tres años después de la fecha de inicio de la aplicación.

El presente Reglamento será obligatorio en todos sus elementos y directamente aplicable en cada Estado miembro.

Hecho en Estrasburgo, el

Por el Parlamento Europeo    Por el Consejo

El Presidente / La Presidenta    El Presidente / La Presidenta

FICHA DE FINANCIACIÓN LEGISLATIVA

1.MARCO DE LA PROPUESTA/INICIATIVA

1.1.Denominación de la propuesta/iniciativa

1.2.Política(s) afectada(s)

1.3.La propuesta/iniciativa se refiere a:

1.4.Objetivo(s)

1.4.1.Objetivo(s) general(es)

1.4.2.Objetivo(s) específico(s)

1.4.3.Resultado(s) e incidencia esperados

1.4.4.Indicadores de rendimiento

1.5.Justificación de la propuesta/iniciativa

1.5.1.Necesidad(es) que debe(n) satisfacerse a corto o largo plazo, incluido un calendario detallado del despliegue de la aplicación de la iniciativa

1.5.2.Valor añadido de la intervención de la Unión (puede derivarse de distintos factores, como mejor coordinación, seguridad jurídica, mejora de la eficacia o complementariedades). A efectos del presente punto, se entenderá por «valor añadido de la intervención de la Unión» el valor resultante de una intervención de la Unión que viene a sumarse al valor que se habría generado de haber actuado los Estados miembros de forma aislada.

1.5.3.Principales conclusiones extraídas de experiencias similares anteriores

1.5.4.Compatibilidad con el marco financiero plurianual y posibles sinergias con otros instrumentos adecuados

1.5.5.Evaluación de las diferentes opciones de financiación disponibles, en particular, posibilidades de reasignación

1.6.Duración e incidencia financiera de la propuesta/iniciativa

1.7.Modo(s) de gestión previsto(s)

2.MEDIDAS DE GESTIÓN

2.1.Normas en materia de seguimiento e informes

2.2.Sistema(s) de gestión y de control

2.2.1.Justificación del / de los modo(s) de gestión, del / de los mecanismo(s) de aplicación de la financiación, de las modalidades de pago y de la estrategia de control propuestos

2.2.2.Información relativa a los riesgos identificados y al / a los sistema(s) de control interno establecidos para atenuarlos

2.2.3.Estimación y justificación de la relación coste/beneficio de los controles (ratio «gastos de control ÷ valor de los correspondientes fondos gestionados»), y evaluación del nivel esperado de riesgo de error (al pago y al cierre)

2.3.Medidas de prevención del fraude y de las irregularidades

3.INCIDENCIA FINANCIERA ESTIMADA DE LA PROPUESTA/INICIATIVA

3.1.Rúbrica(s) del marco financiero plurianual y línea(s) presupuestaria(s) de gastos afectada(s)

3.2.Incidencia financiera estimada de la propuesta en los créditos

3.2.1.Resumen de la incidencia estimada en los créditos de operaciones

3.2.2.Resultados estimados financiados con créditos de operaciones

3.2.3.Resumen de la incidencia estimada en los créditos administrativos

3.2.4.Compatibilidad con el marco financiero plurianual vigente

3.2.5.Contribución de terceros

3.3.Incidencia estimada en los ingresos

FICHA DE FINANCIACIÓN LEGISLATIVA

1.MARCO DE LA PROPUESTA/INICIATIVA 

1.1.Denominación de la propuesta/iniciativa

Reglamento del Parlamento Europeo y del Consejo relativo al Espacio Europeo de Datos Sanitarios

1.2.Política(s) afectada(s) 

Rúbrica 1: Mercado único, innovación y economía digital

Rúbrica 2: Cohesión, Resiliencia y Valores

1.3.La propuesta/iniciativa se refiere a: 

 una acción nueva 

 una acción nueva a raíz de un proyecto piloto / una acción preparatoria 60  

 la prolongación de una acción existente 

 una fusión o reorientación de una o más acciones hacia otra/una nueva acción 

1.4.Objetivo(s)

1.4.1.Objetivo(s) general(es)

El objetivo general de la intervención es establecer las normas que rigen el Espacio Europeo de Datos Sanitarios para garantizar el acceso de las personas físicas a sus propios datos sanitarios y el control sobre estos, mejorar el funcionamiento del mercado único para el desarrollo y el uso de productos y servicios sanitarios innovadores basados en datos sanitarios y garantizar que los investigadores, innovadores, responsables políticos y reguladores puedan aprovechar al máximo los datos sanitarios disponibles para su trabajo, preservando al mismo tiempo la confianza y la seguridad.

1.4.2.Objetivo(s) específico(s)

Objetivo específico n.º 1

Facultar a las personas físicas mediante un mayor acceso digital a sus datos sanitarios y un mayor control sobre estos, y apoyar su libre circulación.

Objetivo específico n.º 2

Establecer requisitos específicos para los sistemas de historiales médicos electrónicos (HME) y obligaciones para garantizar que los sistemas HME introducidos en el mercado y utilizados sean interoperables, seguros y respeten los derechos de las personas físicas en relación con sus datos sanitarios.

Objetivo específico n.º 3 

Garantizar un marco coherente y eficiente para el uso secundario de los datos sanitarios de las personas físicas para la investigación, la innovación, la elaboración de políticas, las estadísticas oficiales, la seguridad de los pacientes o las actividades reglamentarias.

1.4.3.Resultado(s) e incidencia esperados

Especificar los efectos que la propuesta/iniciativa debería tener sobre los beneficiarios / los grupos destinatarios.

Objetivo específico n.º 1

Las personas físicas deben beneficiarse de un acceso más fácil a sus propios datos sanitarios y un mayor control sobre estos, también a través de las fronteras.

Objetivo específico n.º 2

Los proveedores y los fabricantes de sistemas HME deben beneficiarse de un conjunto mínimo pero claro de requisitos en materia de interoperabilidad y seguridad de dichos sistemas, reduciendo los obstáculos a su suministro en todo el mercado único.

Objetivo específico n.º 3

Las personas físicas deben beneficiarse de una gran cantidad de productos y servicios sanitarios innovadores que se prestan y desarrollan sobre la base del uso primario y secundario de datos sanitarios, preservando al mismo tiempo la confianza y la seguridad.

Los usuarios de datos sanitarios, es decir, los investigadores, los innovadores, los responsables políticos y los reguladores, deberían beneficiarse de un uso secundario más eficiente de los datos sanitarios.

1.4.4.Indicadores de rendimiento

Precisar los indicadores para hacer un seguimiento de los avances y logros.

Objetivo específico n.º 1

a)Número de prestadores de asistencia sanitaria de diferentes tipos conectados a MiSalud@UE (MyHealth@EU) calculado en términos absolutos, como porcentaje de todos los prestadores de asistencia sanitaria y como porcentaje de las personas físicas que pueden utilizar los servicios prestados en MiSalud@UE.

b)Volumen de datos sanitarios electrónicos personales de diferentes categorías compartidos a través de las fronteras utilizando MiSalud@UE.

c)Porcentaje de personas físicas que tienen acceso a sus historiales médicos electrónicos.

d)Nivel de satisfacción de las personas físicas con los servicios de MiSalud@UE.

Estos datos se recogerán mediante informes anuales de las autoridades de sanidad digital.

Objetivo específico n.º 2

e)Número de sistemas HME certificados y de aplicaciones sobre bienestar etiquetadas inscritas en la base de datos de la UE.

f)Número de casos de incumplimiento de los requisitos obligatorios.

Estos datos se recogerán mediante informes anuales de las autoridades de sanidad digital.

Objetivo específico n.º 3

g)Número de conjuntos de datos publicados en el catálogo europeo de datos.

h)Número de solicitudes de acceso a datos, desglosadas en solicitudes nacionales y plurinacionales, procesadas, aceptadas o rechazadas por los organismos de acceso a los datos sanitarios.

Estos datos se recogerán mediante informes anuales de organismos de acceso a los datos sanitarios.

1.5.Justificación de la propuesta/iniciativa 

1.5.1.Necesidad(es) que debe(n) satisfacerse a corto o largo plazo, incluido un calendario detallado del despliegue de la aplicación de la iniciativa

El Reglamento será plenamente aplicable cuatro años después de su entrada en vigor, una vez que haya expirado la aplicación diferida. Antes de esa fecha deberán haberse aprobado las disposiciones relativas a los derechos de las personas físicas (capítulo II), la certificación de los sistemas HME (capítulo III), el uso secundario de los datos sanitarios (capítulo IV) y la gobernanza (capítulo V). En particular, los Estados miembros deberán haber designado previamente a las autoridades existentes o las nuevas autoridades que desempeñarán las funciones previstas en la legislación, de forma que el Consejo del Espacio Europeo de Datos Sanitarios (el Consejo del EEDS) se pueda constituir y pueda prestarles asistencia. La infraestructura para los usos primarios y secundarios de los datos sanitarios también debe estar operativa con anterioridad para que todos los Estados miembros se incorporen a ella antes de que este Reglamento sea plenamente aplicable.

1.5.2.Valor añadido de la intervención de la Unión (puede derivarse de distintos factores, como mejor coordinación, seguridad jurídica, mejora de la eficacia o complementariedades). A efectos del presente punto, se entenderá por «valor añadido de la intervención de la Unión» el valor resultante de una intervención de la Unión que viene a sumarse al valor que se habría generado de haber actuado los Estados miembros de forma aislada.

Motivos para actuar en el ámbito europeo (ex ante)

Como se muestra en la evaluación del artículo 14 de la Directiva 2011/24/UE sobre asistencia sanitaria transfronteriza, los enfoques adoptados hasta la fecha, consistentes en instrumentos no vinculantes o de baja intensidad, como directrices y recomendaciones destinadas a apoyar la interoperabilidad, no han producido los resultados deseados. Los enfoques nacionales para abordar los problemas tienen un alcance limitado y no abordan plenamente la cuestión a escala de la UE: el intercambio transfronterizo de datos sanitarios sigue siendo muy limitado, lo que se explica en parte por la gran diversidad de normas aplicadas a dichos datos en los distintos Estados miembros. En muchos Estados miembros, la interoperabilidad y la portabilidad de los datos se enfrentan a importantes retos nacionales, regionales y locales que dificultan la continuidad de la asistencia y la eficiencia de los sistemas sanitarios. Aunque los datos sanitarios estén disponibles en formato electrónico, no suele haber una continuidad en el seguimiento cuando la persona física utiliza servicios de otro prestador de asistencia sanitaria.

Valor añadido de la Unión que se prevé generar (ex post)

La acción a escala europea a través de este Reglamento aumentará la eficacia de las medidas adoptadas para hacer frente a estos retos. El establecimiento de derechos comunes para las personas físicas en lo que se refiere al acceso a sus datos sanitarios y al control sobre ellos, y el establecimiento de normas y obligaciones comunes para la interoperabilidad y la seguridad de los sistemas HME reducirán los costes del flujo de datos sanitarios en toda la UE. Una base jurídica común para el uso secundario de los datos sanitarios también aumentará la eficiencia de los usuarios de datos en el ámbito de la salud. El establecimiento de un marco común de gobernanza que abarque los usos primarios y secundarios de los datos sanitarios facilitará la coordinación.

1.5.3.Principales conclusiones extraídas de experiencias similares anteriores

La evaluación de las disposiciones de la Directiva sobre asistencia sanitaria transfronteriza relacionadas con la salud digital concluyó que, dado el carácter voluntario de las acciones de la red de sanidad electrónica, la eficacia y la eficiencia en cuanto al aumento de los intercambios transfronterizos de datos sanitarios han sido bastante limitadas. Los avances son lentos en la aplicación de MiSalud@UE. Si bien la red de sanidad electrónica recomendó a los Estados miembros que utilizaran las normas, los perfiles y las especificaciones del formato de intercambio de historiales médicos electrónicos en las contrataciones públicas, con el fin de construir sistemas interoperables, su adopción ha sido limitada, lo que ha dado lugar a un panorama fragmentado en cuanto a la igualdad de acceso y la portabilidad de los datos sanitarios. Por este motivo, es necesario establecer normas, derechos y obligaciones específicos en relación con el acceso de las personas físicas a sus propios datos sanitarios y el control sobre ellos, y con respecto al intercambio transfronterizo de dichos datos para usos primarios y secundarios, con una estructura de gobernanza que garantice la coordinación de organismos responsables específicos a escala de la Unión.

1.5.4.Compatibilidad con el marco financiero plurianual y posibles sinergias con otros instrumentos adecuados

El Espacio Europeo de Datos Sanitarios mantiene fuertes vínculos con otras acciones de la Unión en los ámbitos de la asistencia sanitaria y social, la digitalización, la investigación, la innovación y los derechos fundamentales.

Este Reglamento define las normas, los derechos y las obligaciones para el funcionamiento del Espacio Europeo de Datos Sanitarios, así como el despliegue de las infraestructuras, los esquemas de certificación y etiquetado, y los marcos de gobernanza necesarios. Estas medidas complementan las disposiciones horizontales de la Ley de Gobernanza de Datos, la Ley de Datos y el Reglamento General de Protección de Datos.

El cumplimiento de las obligaciones por parte de la Comisión y las acciones de apoyo asociadas en virtud de la presente propuesta jurídica requerirán 220 millones EUR entre 2023 y 2027. Está previsto que la mayoría de los costes del presente Reglamento (170 millones EUR) se financien con cargo al programa UEproSalud (EU4Health), de conformidad con el artículo 4, letra f), del Reglamento UEproSalud 61 . Las acciones previstas también contribuyen a la consecución de los objetivos específicos del artículo 4, letras a), b) y h). El programa Europa Digital financiará el acceso de los pacientes a sus datos sanitarios a través de MiSalud@UE con 50 millones EUR adicionales. En ambos casos, los gastos relacionados con la presente propuesta se cubrirán con los importes programados de estos programas.

En sus programas de trabajo de 2021 y 2022, UEproSalud ya apoya el desarrollo y el establecimiento del Espacio Europeo de Datos Sanitarios con una contribución inicial sustancial de casi 110 millones EUR. Esto incluye el funcionamiento de la infraestructura existente para usos primarios de los datos sanitarios (MiSalud@UE), la adopción de normas internacionales por parte de los Estados miembros, acciones de desarrollo de capacidades y otras acciones preparatorias, así como un proyecto piloto de infraestructuras para el uso secundario de datos sanitarios, un proyecto piloto para el acceso de los pacientes a sus datos sanitarios a través de MiSalud@UE y su ampliación, y el desarrollo de los servicios centrales para usos secundarios de los datos sanitarios.

Además de los 330 millones EUR de UEproSalud y del programa Europa Digital que acaban de describirse, otras acciones en el marco del programa Europa Digital, el Mecanismo «Conectar Europa» y Horizonte Europa complementarán y facilitarán la aplicación del Espacio Europeo de Datos Sanitarios. Por otra parte, la Comisión puede apoyar, previa solicitud, a los Estados miembros en la consecución de los objetivos de la presente propuesta mediante la prestación de apoyo técnico directo con cargo al instrumento de apoyo técnico. Estos programas, entre otros, tienen por objeto, respectivamente y, en particular en el ámbito de la salud, crear y fortalecer los recursos de datos de calidad y sus correspondientes mecanismos de intercambio 62 y desarrollar, promover e impulsar la excelencia científica 63 . Entre los ejemplos de esta complementariedad figuran el apoyo horizontal al desarrollo y al proyecto piloto a gran escala de una plataforma inteligente de soporte intermedio para espacios comunes de datos, a la que ya se han asignado 105 millones EUR del programa Europa Digital en 2021-2022; inversiones en ámbitos específicos para facilitar el acceso transfronterizo seguro a las imágenes y la genómica del cáncer, financiadas por el programa Europa Digital en 2021-2022 con 38 millones EUR; y los proyectos de investigación e innovación y las acciones de coordinación y apoyo en materia de calidad e interoperabilidad de los datos sanitarios, que ya han recibido 108 millones EUR procedentes de Horizonte Europa (bloque 1) en 2021 y 2022, así como 59 millones EUR del programa de infraestructuras de investigación. Horizonte Europa también ha proporcionado en 2021 y 2022 financiación adicional para el uso secundario de datos sanitarios dirigido a la COVID-19 (42 millones EUR) y al cáncer (3 millones EUR).

Además, en los casos en los que el sector sanitario carezca de conectividad física, el Mecanismo «Conectar Europa» contribuir[á] al desarrollo de proyectos de interés común relativos al despliegue de redes digitales seguras desde los puntos de vista operacional y físico de muy alta capacidad y al acceso a las mismas, incluidos sistemas 5G, y al aumento de la resiliencia y la capacidad de las redes troncales digitales en territorios de la Unión 64 . En 2022 y 2023 se han programado 130 millones EUR para la interconexión de las infraestructuras en la nube, también en el ámbito de la salud.

Además, los costes de la conexión de los Estados miembros a las infraestructuras europeas en el marco del Espacio Europeo de Datos Sanitarios estarán parcialmente cubiertos por programas de financiación de la UE que complementarán UEproSalud. Instrumentos como el Mecanismo de Recuperación y Resiliencia y el Fondo Europeo de Desarrollo Regional (FEDER) podrán apoyar la conexión de los Estados miembros a las infraestructuras europeas.

1.5.5.Evaluación de las diferentes opciones de financiación disponibles, en particular, posibilidades de reasignación

El cumplimiento de las obligaciones por parte de la Comisión y las acciones de apoyo asociadas en el marco de la presente propuesta jurídica se financiarán directamente con cargo al programa UEproSalud y recibirán apoyo adicional del programa Europa Digital.

Las acciones redistribuidas en el marco del programa Europa Digital y Horizonte Europa en relación con la salud y la salud digital también podrán complementar las acciones de ejecución en apoyo del presente Reglamento en el marco de UEproSalud.

1.6.Duración e incidencia financiera de la propuesta/iniciativa

 Duración limitada

   en vigor desde [el] [DD.MM]AAAA hasta [el] [DD.MM]AAAA

    incidencia financiera desde AAAA hasta AAAA para los créditos de compromiso y desde AAAA hasta AAAA para los créditos de pago.

 Duración ilimitada

Ejecución con una fase de puesta en marcha desde enero de 2023,

y pleno funcionamiento a partir de la última fecha.

1.7.Modo(s) de gestión previsto(s) 65  

 Gestión directa por la Comisión

por sus servicios, incluido su personal en las Delegaciones de la Unión;

por las agencias ejecutivas.

 Gestión compartida con los Estados miembros

 Gestión indirecta mediante delegación de tareas de ejecución presupuestaria en:

terceros países o los organismos que estos hayan designado;

organizaciones internacionales y sus agencias (especificar);

el BEI y el Fondo Europeo de Inversiones;

los organismos a que se hace referencia en los artículos 70 y 71 del Reglamento Financiero;

organismos de Derecho público;

organismos de Derecho privado investidos de una misión de servicio público, en la medida en que presenten garantías financieras suficientes;

organismos de Derecho privado de un Estado miembro a los que se haya encomendado la ejecución de una colaboración público-privada y que presenten garantías financieras suficientes;

personas a quienes se haya encomendado la ejecución de acciones específicas en el marco de la PESC, de conformidad con el título V del Tratado de la Unión Europea, y que estén identificadas en el acto de base correspondiente.

Si se indica más de un modo de gestión, facilítense los detalles en el recuadro de observaciones.

Observaciones

2.MEDIDAS DE GESTIÓN 

2.1.Normas en materia de seguimiento e informes 

Especificar la frecuencia y las condiciones de dichas medidas.

El Reglamento se revisará y evaluará a los siete años de su entrada en vigor. Cinco años después de la entrada en vigor del Reglamento se llevará a cabo una evaluación específica de la autocertificación de los sistemas HME y se reflexionará sobre la necesidad de introducir un procedimiento de evaluación de la conformidad realizado por los organismos notificados. La Comisión informará sobre las conclusiones de la evaluación al Parlamento Europeo, al Consejo, al Comité Económico y Social Europeo y al Comité de las Regiones.

La propuesta incluye la ampliación y el despliegue de las infraestructuras digitales transfronterizas para usos primarios y secundarios de los datos sanitarios, lo que facilitará el seguimiento de varios indicadores.

2.2.Sistema(s) de gestión y de control 

2.2.1.Justificación del / de los modo(s) de gestión, del / de los mecanismo(s) de aplicación de la financiación, de las modalidades de pago y de la estrategia de control propuestos

El Reglamento establece una nueva política con respecto a la protección de los datos sanitarios electrónicos, normas armonizadas para los sistemas de historiales médicos electrónicos (HME) y normas y gobernanza para la reutilización de los datos sanitarios. Estas nuevas normas requieren un mecanismo de coordinación común para la aplicación transfronteriza de las obligaciones estipuladas en este Reglamento en forma de un nuevo grupo consultivo que coordine las actividades de las autoridades nacionales.

Las acciones previstas en este Reglamento se ejecutarán por medio de gestión directa, utilizando los métodos de ejecución que ofrece el Reglamento Financiero, principalmente subvenciones y contratación pública. La gestión directa permite establecer acuerdos de subvención y contratos con los beneficiarios y los contratistas directamente implicados en actividades de interés para las políticas de la Unión. La Comisión garantizará el seguimiento directo del resultado de las acciones financiadas. Las modalidades de pago de las acciones financiadas se adaptarán a los riesgos correspondientes a las operaciones financieras.

A fin de garantizar la eficacia, eficiencia y economía de los controles de la Comisión, la estrategia de control se orientará hacia un equilibrio de controles ex ante y ex post y se centrará en tres fases clave de la ejecución de subvenciones/contratos, de conformidad con el Reglamento Financiero:

a)la selección de propuestas/licitaciones que se ajusten a los objetivos políticos del Reglamento;

b)los controles operativos, el seguimiento y los controles ex ante que tienen por objeto la ejecución de los proyectos, la contratación pública, la financiación previa, los pagos intermedios y finales, y la gestión de garantías.

Los controles ex post en los locales de los beneficiarios/contratistas también se llevarán a cabo sobre una muestra de transacciones. La selección de dichas transacciones combinará una evaluación del riesgo y una selección aleatoria.

2.2.2.Información relativa a los riesgos identificados y al / a los sistema(s) de control interno establecidos para atenuarlos

La aplicación de este Reglamento se centra en la adjudicación de contratos públicos y subvenciones para actividades y organizaciones específicas.

Los contratos públicos se celebrarán principalmente para el suministro de plataformas europeas a las infraestructuras digitales y los servicios asociados, y para la asistencia técnica del marco de gobernanza.

Las subvenciones se concederán principalmente para fomentar la conexión de los Estados miembros a las infraestructuras europeas, apoyar proyectos de interoperabilidad y llevar a cabo acciones conjuntas. El período de ejecución de los proyectos y actividades subvencionados oscila normalmente entre uno y tres años.

Los principales riesgos son los siguientes:

a)el riesgo de no lograr plenamente los objetivos del Reglamento debido a una adopción insuficiente, a una insuficiente calidad en la ejecución de los proyectos o contratos seleccionados, o a la existencia de retrasos en dicha ejecución;

b)el riesgo de uso ineficiente o mala gestión económica de los fondos adjudicados, tanto en el caso de las subvenciones (complejidad de las normas de financiación) como de la contratación pública (existe un número limitado de proveedores económicos con los conocimientos especializados necesarios, por lo que no hay posibilidades suficientes de comparar las ofertas de precios en algunos sectores);

c)el riesgo para la reputación de la Comisión, si se descubren fraudes o actividades delictivas; solo es posible obtener garantías parciales a partir de los sistemas de control interno de terceros, debido al elevado número y la heterogeneidad de los contratistas y beneficiarios, cada uno de ellos con su propio sistema de control.

La Comisión puso en marcha procedimientos internos encaminados a hacer frente a los riesgos señalados. Los procedimientos internos se ajustan plenamente a lo dispuesto en el Reglamento Financiero y comprenden consideraciones de rentabilidad y medidas de lucha contra el fraude. En este marco, la Comisión continúa explorando posibilidades para mejorar la gestión y conseguir una mayor eficiencia. El marco de control se caracteriza fundamentalmente por los aspectos siguientes:

1)Controles antes y durante la ejecución de los proyectos:

a)Se pondrá en marcha un sistema adecuado de gestión de proyectos que esté centrado en las contribuciones de los proyectos y los contratos a los objetivos de las políticas, garantice la participación sistemática de todos los agentes, establezca la presentación periódica de informes sobre gestión de proyectos completada con visitas in situ, en función de cada caso, incluidos informes sobre los riesgos a la alta dirección, y que mantenga una flexibilidad presupuestaria adecuada.

b)Se utilizan modelos de acuerdos de subvención y de contratos de servicio, desarrollados dentro de la Comisión. En estos se contemplan una serie de disposiciones de control tales como los certificados de auditoría, las garantías financieras, las auditorías in situ y las inspecciones de la OLAF. Las normas que regulan la subvencionabilidad de los gastos se están simplificando, por ejemplo, mediante la utilización de costes unitarios, sumas a tanto alzado, contribuciones no vinculadas a los costes y otras posibilidades ofrecidas por el Reglamento Financiero. Con ello se reducirá el coste de los controles y se hará hincapié en las comprobaciones y los controles de las zonas de alto riesgo.

c)Todo el personal firma el código de buena conducta administrativa. Además, el personal que participa en el procedimiento de selección o en la gestión de los acuerdos de subvención o contratos debe (también) firmar una declaración de ausencia de conflictos de interés. El personal asiste regularmente a sesiones de formación y participa en redes de intercambio de las mejores prácticas.

d)La ejecución técnica de los proyectos será objeto de comprobaciones documentales periódicas sobre la base de los informes de situación técnicos de los contratistas y los beneficiarios; también se celebran reuniones y se visita in situ a los contratistas/beneficiarios en casos individuales.

2)Controles al final del proyecto:

Se llevan a cabo auditorías ex post sobre una muestra de transacciones para verificar sobre el terreno la admisibilidad de las declaraciones de gastos. Con estos controles, se pretende prevenir, detectar y corregir los errores materiales relativos a la legalidad y la regularidad de las transacciones financieras. A fin de conseguir una gran repercusión de los controles, la selección de los beneficiarios que se vayan a auditar prevé combinar una selección basada en el riesgo con un muestreo aleatorio, y prestar atención a los aspectos operativos siempre que sea posible durante las auditorías in situ.

2.2.3.Estimación y justificación de la relación coste/beneficio de los controles (ratio «gastos de control ÷ valor de los correspondientes fondos gestionados»), y evaluación del nivel esperado de riesgo de error (al pago y al cierre) 

Los costes anuales del nivel sugerido de controles en el marco del tercer programa de salud, 2014-2020, representaron aproximadamente entre el 4 y el 7 % del presupuesto anual del gasto operativo. Ello está justificado por la diversidad de transacciones que han de someterse a control. En efecto, en el ámbito de la salud, la gestión directa lleva aparejada la concesión de numerosos contratos y subvenciones para acciones desde muy pequeñas hasta muy grandes, y el pago de numerosas subvenciones de funcionamiento a organizaciones no gubernamentales. El riesgo relacionado con estas actividades se refiere a la capacidad de las organizaciones más pequeñas (en particular) para controlar eficazmente los gastos.

La Comisión considera que es probable que los costes medios de los controles sean los mismos para las acciones propuestas en virtud del presente Reglamento.

En el marco del tercer programa de salud, 2014-2020, en un período de cinco años, la tasa de error de las auditorías sobre el terreno de las subvenciones en régimen de gestión directa fue del 1,8 %, mientras que en el caso de los contratos públicos se situó por debajo del 1 %. Este nivel de error se considera aceptable, ya que es inferior al nivel de tolerancia del 2 %.

Las acciones propuestas no afectarán al modo actual de gestión de los créditos. El sistema de control existente ha demostrado ser capaz de prevenir o detectar errores o irregularidades, y en caso de que existan, rectificarlos. Se adaptará para incluir las nuevas acciones y garantizar que la tasa de error residual (una vez corregida) se mantenga por debajo del umbral del 2 %.

2.3.Medidas de prevención del fraude y de las irregularidades 

Especificar las medidas de prevención y protección existentes o previstas, por ejemplo, en la estrategia de lucha contra el fraude.

En cuanto a las actividades en gestión directa, la Comisión adoptará las medidas adecuadas para garantizar que los intereses financieros de la Unión Europea queden protegidos mediante la aplicación de medidas preventivas contra el fraude, la corrupción y cualquier otra actividad ilegal, mediante la realización de controles efectivos y, si se detectan irregularidades, mediante la recuperación de las cantidades abonadas indebidamente y, cuando proceda, la imposición de sanciones efectivas, proporcionadas y disuasorias. A tal efecto, la Comisión adoptó una estrategia de lucha contra el fraude, actualizada por última vez en abril de 2019 [COM(2019) 196], que abarca, en particular, las medidas de prevención, detección y corrección siguientes:

La Comisión o sus representantes y el Tribunal de Cuentas estarán facultados para auditar, sobre la base de documentos y sobre el terreno, a todos los beneficiarios de subvenciones, contratistas y subcontratistas que hayan recibido fondos de la Unión. La OLAF estará autorizada a realizar controles e inspecciones sobre el terreno de los operadores económicos interesados directa o indirectamente por tal financiación.

La Comisión también aplica una serie de medidas, consistentes en que:

a)las decisiones, los acuerdos y los contratos que resulten de la ejecución del Reglamento facultarán expresamente a la Comisión, en particular a la OLAF y al Tribunal de Cuentas, para realizar auditorías, comprobaciones sobre el terreno e inspecciones, para recuperar fondos pagados indebidamente y, en su caso, para imponer sanciones administrativas;

b)durante la fase de evaluación de una convocatoria de propuestas o una licitación, se comprobará la admisibilidad de los solicitantes o licitadores atendiendo a los criterios de exclusión publicados, sobre la base de declaraciones y del sistema de detección precoz y exclusión;

c)se simplificarán las normas que regulan la admisibilidad de los costes con arreglo a lo dispuesto en el Reglamento Financiero;

d)se ofrecerá con regularidad formación sobre temas relacionados con el fraude y las irregularidades a todo el personal que intervenga en la gestión de los contratos, así como a los auditores y controladores que verifiquen las declaraciones de los beneficiarios sobre el terreno.

3.INCIDENCIA FINANCIERA ESTIMADA DE LA PROPUESTA/INICIATIVA 

3.1.Rúbrica(s) del marco financiero plurianual y línea(s) presupuestaria(s) de gastos afectada(s) 

·Líneas presupuestarias existentes

En el orden de las rúbricas del marco financiero plurianual y las líneas presupuestarias.

Rúbrica del marco financiero plurianual

Línea presupuestaria

Tipo de 
gasto

Contribución

Número  

CD/CND 66

de países de la AELC 67

de países candidatos 68

de terceros países

en el sentido del artículo 21, apartado 2, letra b), del Reglamento Financiero

1

02 04 03. Programa Europa Digital — Inteligencia artificial

CD

NO

2b

06 06 01. Programa EU4Health

CD

NO

7 

20 02 06. Gastos administrativos

CND 

NO

NO

NO

NO

3.2.Incidencia financiera estimada de la propuesta en los créditos 

3.2.1.Resumen de la incidencia estimada en los créditos de operaciones 

   La propuesta/iniciativa no exige la utilización de créditos de operaciones.

   La propuesta/iniciativa exige la utilización de créditos de operaciones, tal como se explica a continuación:

En millones EUR (al tercer decimal)

Rúbrica del marco financiero  
plurianual

1

Mercado único, innovación y economía digital

DG CNECT

Año 
2022 69

Año 
2023

Año 
2024

Año 
2025

Año 
2026

Año 
2027

Años siguientes (anual)

TOTAL 2023-2027

• Créditos de operaciones

02 04 03. Programa Europa Digital — Inteligencia artificial

Créditos de compromiso

(1 a)

10,000

20,000

20,000

50,000

Créditos de pago

(2a)

5,000

15,000

10,000

10,000

10,000 70

50,000

Créditos de carácter administrativo financiados mediante la dotación de programas específicos 71  

Línea presupuestaria

(3)

TOTAL de los créditos 
para la DG CNECT

Créditos de compromiso

= 1a + 1b + 1c + 3

10,000

20,000

20,000

50,000

Créditos de pago

= 2a + 2b + 2c

+ 3

5,000

15,000

10,000

10,000

10,000

50,000

Las contribuciones del programa Europa Digital a partir de 2023 son indicativas y se tendrán en cuenta en el contexto de la preparación de los respectivos programas de trabajo. Su asignación final estará sujeta a la priorización de la financiación en el contexto del procedimiento de adopción subyacente y del acuerdo del Comité del Programa correspondiente.



TOTAL de los créditos de operaciones

Créditos de compromiso

(4)

10,000

20,000

20,000

50,000

Créditos de pago

(5)

5,000

15,000

10,000

10,000

10,000

50,000

• TOTAL de los créditos de carácter administrativo financiados mediante la dotación de programas específicos

(6)

TOTAL de los créditos  
correspondientes a la RÚBRICA 1 
del marco financiero plurianual

Créditos de compromiso

= 4 + 6

10,000

20,000

20,000

50,000

Créditos de pago

= 5 + 6

5,000

15,000

10,000

10,000

10,000

50,000

Rúbrica del marco financiero  
plurianual

2b

Cohesión, resiliencia y valores

DG SANTE

Año 
2022 72

Año 
2023

Año 
2024

Año 
2025

Año 
2026

Año 
2027

Años siguientes (anual)

TOTAL 2023-2027

• Créditos de operaciones

06 06 01. Programa EU4Health

Créditos de compromiso

(1 a)

26,000

25,000

34,000

35,000

50,000

15,000

170,000

Créditos de pago

(2a)

13,000

25,500

29,500

34,500

67,500

15,000

170,000

Créditos de carácter administrativo financiados mediante la dotación de programas específicos 73  

Línea presupuestaria

(3)

TOTAL de los créditos 
para la DG SANTE

Créditos de compromiso

= 1a + 1b + 1c + 3

26,000

25,000

34,000

35,000

50,000

15,000

170,000

Créditos de pago

= 2a + 2b + 2c

+3

13,000

25,500

29,500

34,500

67,500

15,000

170,000



TOTAL de los créditos de operaciones

Créditos de compromiso

(4)

26,000

25,000

34,000

35,000

50,000

15,000

170,000

Créditos de pago

(5)

13,000

25,500

29,500

34,500

67,500

15,000

170,000

• TOTAL de los créditos de carácter administrativo financiados mediante la dotación de programas específicos

(6)

TOTAL de los créditos  
correspondientes a la RÚBRICA 2b 
del marco financiero plurianual

Créditos de compromiso

= 4 + 6

26,000

25,000

34,000

35,000

50,000

15,000

170,000

Créditos de pago

= 5 + 6

13,000

25,500

29,500

34,500

67,500

15,000

170,000





Rúbrica del marco financiero  
plurianual

7

Gastos administrativos

Esta sección debe rellenarse mediante «los datos presupuestarios de carácter administrativo» introducidos primeramente en el anexo de la ficha de financiación legislativa (anexo V de las normas internas), que se carga en DECIDE a efectos de consulta entre servicios.

En millones EUR (al tercer decimal)

Año 
2022

Año 
2023

Año 
2024

Año 
2025

Año 
2026

Año 
2027

Años siguientes (anual)

TOTAL 2023-2027

DG SANTE

• Recursos humanos

3,289

3,289

3,289

3,289

3,289

3,289

16,445

• Otros gastos administrativos

0,150

0,150

0,250

0,250

0,250

0,250

1,050

TOTAL para la DG SANTE

Créditos

3,439

3,439

3,539

3,539

3,539

3,539

17,495

TOTAL de los créditos 
correspondientes a la RÚBRICA 7 
del marco financiero plurianual 

(Total de los créditos de compromiso = total de los créditos de pago)

3,439

3,439

3,539

3,539

3,539

3,539

17,495

En millones EUR (al tercer decimal)

Año 
2022

Año 
2023

Año 
2024

Año 
2025

Año 
2026

Año 
2027

Años siguientes (anual)

TOTAL 2023-2027

TOTAL de los créditos  
correspondientes a las RÚBRICA 1 a 7 
del marco financiero plurianual 

Créditos de compromiso

29,439

38,439

57,539

38,539

73,539

18,539

237,495

Créditos de pago

16,439

33,939

48,039

48,039

91,039

18,539

237,495

3.2.2.Resultados estimados financiados con créditos de operaciones 

Créditos de compromiso en millones EUR (al tercer decimal)

Indicar los objetivos y los resultados

Año 
2022

Año 
2023

Año 
2024

Año 
2025

Año 
2026

Año 
2027

Años siguientes (anual)

TOTAL 2023-2027

RESULTADOS

Tipo 74

Coste medio

Número

Coste

Número

Coste

Número

Coste

Número

Coste

Número

Coste

Número

Coste

Número

Coste

Número total

Coste total

OBJETO ESPECIFICO N.º 1

Desarrollo y mantenimiento de la plataforma básica europea para MiSalud@UE y apoyo a los Estados miembros

16,400

 

18,000

 

28,000

 

10,000

 

38,000

 

8,000

 

110,400

Subtotal del objetivo específico n.º 1

16,400

 

18,000

 

28,000

 

10,000

 

38,000

 

8,000

 

110,400

OBJETO ESPECIFICO N.º 2

Base de datos para los sistemas HME y las aplicaciones sobre bienestar

3,100

 

3,000

 

3,000

 

3,000

 

2,000

 

2,000

 

14,100

Subtotal del objetivo específico n.º 2

3,100

 

3,000

 

3,000

 

3,000

 

2,000

 

2,000

 

14,100

OBJETO ESPECIFICO N.º 3

Desarrollo y mantenimiento de la plataforma básica europea para DatosSalud@UE (HealthData@EU) y apoyo a los Estados miembros

6,500

 

14,000

 

23,000

 

22,000

 

30,000

 

5,000

 

95,500

Subtotal del objetivo específico n.º 3

6,500

 

14,000

 

23,000

 

22,000

 

30,000

 

5,000

 

95,500

TOTALES

26,000

 

35,000

 

54,000

 

35,000

 

70,000

 

15,000

 

220,000

3.2.3.Resumen de la incidencia estimada en los créditos administrativos 

   La propuesta/iniciativa no exige la utilización de créditos administrativos

   La propuesta/iniciativa exige la utilización de créditos administrativos, tal como se explica a continuación:

En millones EUR (al tercer decimal)

Año 
2022

Año 
2023

Año 
2024

Año 
2025

Año 
2026

Año 
2027 y años siguientes

TOTAL

RÚBRICA 7 
del marco financiero plurianual

Recursos humanos

3,289

3,289

3,289

3,289

3,289

16,445

Otros gastos administrativos

0,150

0,150

0,250

0,250

0,250

1,050

Subtotal de la RÚBRICA 7 
del marco financiero plurianual

3,439

3,439

3,539

3,539

3,539

17,495

Año 
2022

Año 
2023

Año 
2024

Año 
2025

Año 
2026

Año 
2027 y años siguientes

TOTAL

Al margen de la RÚBRICA 7 75   
del marco financiero plurianual

Recursos humanos

Otros gastos administrativos

Subtotal  
al margen de la RÚBRICA 7 
del marco financiero plurianual

Año 
2022

Año 
2023

Año 
2024

Año 
2025

Año 
2026

Año 
2027 y años siguientes

TOTAL

TOTAL

3,439

3,439

3,539

3,539

3,539

17,495

Los créditos necesarios para recursos humanos y otros gastos de carácter administrativo se cubrirán mediante créditos de la DG ya asignados a la gestión de la acción y/o reasignados dentro de la DG, que se complementarán, en caso necesario, con cualquier dotación adicional que pudiera asignarse a la DG gestora en el marco del procedimiento de asignación anual y a la luz de los imperativos presupuestarios existentes.

3.2.3.1.Necesidades estimadas en recursos humanos

   La propuesta/iniciativa no exige la utilización de recursos humanos.

   La propuesta/iniciativa exige la utilización de recursos humanos, tal como se explica a continuación:

Estimación que debe expresarse en unidades de equivalente a jornada completa

Año 
2022

Año 
2023

Año 2024

Año 2025

Año 
2026

Año 2027 y años posteriores

• Empleos de plantilla (funcionarios y personal temporal)

20 01 02 01 (Sede y Oficinas de Representación de la Comisión)

16

16

16

16

16

20 01 02 03 (Delegaciones)

01 01 01 01 (Investigación indirecta)

01 01 01 11 (Investigación directa)

Otras líneas presupuestarias (especificar)

20 02 01 (AC, ENCS, INT de la «dotación global»)

9

9

9

9

9

20 02 03 (AC, AL, ENCS, INT y JED en las Delegaciones)

XX 01 xx yy zz 76

- en la sede

- en las Delegaciones

01 01 01 02 (AC, ENCS, INT; investigación indirecta)

01 01 01 12 (AC, INT, ENCS; investigación directa)

Otras líneas presupuestarias (especificar)

TOTAL

25

25

25

25

25

06 es la política o título presupuestario en cuestión.

Las necesidades en materia de recursos humanos las cubrirá el personal de la DG ya destinado a la gestión de la acción y/o reasignado dentro de la DG, que se complementará, en caso necesario, con cualquier dotación adicional que pudiera asignarse a la DG gestora en el marco del procedimiento de asignación anual y a la luz de los imperativos presupuestarios existentes.

Descripción de las tareas que deben llevarse a cabo:

Funcionarios y agentes temporales

Se necesitarán 12 puestos de AD en unidades de EJC (10 en la Unidad política y 2 en la unidad informática de la DG SANTE) y 4 puestos de AST en EJC (3 en la Unidad política y 1 en la Unidad de informática de la DG SANTE) para llevar a cabo las tareas relacionadas con el desarrollo y el funcionamiento del EEDS, que son las siguientes:

a)gestión de la infraestructura digital transfronteriza MiSalud@UE;

b)gestión de la infraestructura digital transfronteriza para usos secundarios;

c)normalización de historiales médicos electrónicos y los intercambios de datos sanitarios;

d)calidad de los datos de los historiales médicos electrónicos y de los intercambios de datos sanitarios;

e)acceso a los datos sanitarios para usos secundarios;

f)denuncias, infracciones y controles de conformidad;

g)apoyo logístico al marco de gobernanza (reuniones presenciales y en línea);

h)tareas horizontales en materia de comunicación, gestión de las partes interesadas y relaciones interinstitucionales;

i)coordinación interna;

j)gestión de las actividades.

Se cubrirán 6,5 puestos AD en unidades de EJC y 4 puestos de AST en unidades de EJC con personal que trabaja actualmente en salud digital y en el intercambio de datos sanitarios, con arreglo al artículo 14 de la Directiva 2011/24/UE, y en los preparativos para el Reglamento sobre el EEDS. Los 5,5 puestos AD en equivalentes de EJC restantes se cubrirán con una redistribución interna de la DG SANTE.

Personal externo

Para la realización de las tareas enumeradas anteriormente, el personal AD y AST contará con el apoyo de 5 AC y 4 ENCS de la DG SANTE.

Se cubrirán 4 puestos AC en unidades de EJC y 3 puestos de END en unidades de EJC con personal que trabaja actualmente en salud digital y en el intercambio de datos sanitarios, con arreglo al artículo 14 de la Directiva 2011/24/UE, y en los preparativos para el Reglamento sobre el EEDS. El puesto AC y el puesto ENCS restantes, ambos en equivalentes de EJC, se cubrirán con una redistribución interna de la DG SANTE.

3.2.4.Compatibilidad con el marco financiero plurianual vigente 

La propuesta/iniciativa:

   puede ser financiada en su totalidad mediante una redistribución dentro de la rúbrica correspondiente del marco financiero plurianual (MFP).

Los créditos se reasignarán dentro de la dotación financiera asignada al programa EU4Health y al programa Europa Digital en el MFP 2021-2027.

   requiere el uso de los márgenes no asignados con cargo a la rúbrica correspondiente del MFP o el uso de instrumentos especiales tal como se define en el Reglamento del MFP.

   requiere una revisión del MFP.

3.2.5.Contribución de terceros 

La propuesta/iniciativa:

   no prevé la cofinanciación por terceros

   prevé la cofinanciación por terceros que se estima a continuación:

Créditos en millones EUR (al tercer decimal)

Año 
N 77

Año 
N + 1

Año 
N + 2

Año 
N + 3

Insertar tantos años como sea necesario para reflejar la duración de la incidencia (véase el punto 1.6)

Total

Especificar el organismo de cofinanciación 

TOTAL de los créditos cofinanciados

 

3.3.Incidencia estimada en los ingresos 

   La propuesta/iniciativa no tiene incidencia financiera en los ingresos.

   La propuesta/iniciativa tiene la incidencia financiera que se indica a continuación:

   en los recursos propios

   en otros ingresos

indicar si los ingresos se asignan a líneas de gasto    

En millones EUR (al tercer decimal)

Línea presupuestaria de ingresos:

Créditos disponibles para el ejercicio presupuestario en curso

Incidencia de la propuesta/iniciativa 78

Año 
N

Año 
N + 1

Año 
N + 2

Año 
N + 3

Insertar tantos años como sea necesario para reflejar la duración de la incidencia (véase el punto 1.6)

Artículo ………….

En el caso de los ingresos asignados, especificar la línea o líneas presupuestarias de gasto en la(s) que repercutan.

Otras observaciones (por ejemplo, método/fórmula que se utiliza para calcular la incidencia en los ingresos o cualquier otra información).

(1)    Comisión Europea. Estrategia Europea de Datos (2020). https://ec.europa.eu/info/strategy/priorities-2019-2024/europe-fit-digital-age/european-data-strategy_es.
(2)    Como se indica en la carta de mandato a la comisaria Stella Kyriakides (en inglés) .
(3)    Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (DO L 119 de 4.5.2016, p. 1).
(4)    Comisión Europea, Assessment of the EU Member States’ rules on health data in the light of the GDPR [«Evaluación de las normas de los Estados miembros de la UE sobre datos sanitarios a la luz del RGPD», documento en inglés], 2021.
(5)    Directiva 2011/24/UE del Parlamento Europeo y del Consejo, de 9 de marzo de 2011, relativa a la aplicación de los derechos de los pacientes en la asistencia sanitaria transfronteriza (DO L 88 de 4.4.2011, p. 45).
(6)    Reglamento (UE) 2021/953 del Parlamento Europeo y del Consejo, de 14 de junio de 2021, relativo a un marco para la expedición, verificación y aceptación de certificados COVID-19 interoperables de vacunación, de prueba diagnóstica y de recuperación (certificado COVID digital de la UE) a fin de facilitar la libre circulación durante la pandemia de COVID-19 (DO L 211 de 15.6.2021, p. 1).
(7)    Comisión Europea, Marco Europeo de Interoperabilidad .
(8)    Comisión Europea, La Década Digital de Europa: metas digitales para 2030 .
(9)    Comisión Europea, Iniciativa sobre la Declaración de Principios Digitales: la «vía europea» para la sociedad digital .  
(10)    Reglamento (UE) 2017/745 del Parlamento Europeo y del Consejo, de 5 de abril de 2017, sobre los productos sanitarios, por el que se modifican la Directiva 2001/83/CE, el Reglamento (CE) n.º 178/2002 y el Reglamento (CE) n.º 1223/2009 y por el que se derogan las Directivas 90/385/CEE y 93/42/CEE del Consejo (DO L 117 de 5.5.2017, p. 1).
(11)    Reglamento (UE) 2017/746 del Parlamento Europeo y del Consejo, de 5 de abril de 2017, sobre los productos sanitarios para diagnóstico in vitro y por el que se derogan la Directiva 98/79/CE y la Decisión 2010/227/UE de la Comisión (DO L 117 de 5.5.2017, p. 176).
(12)    Propuesta de Reglamento por el que se establecen normas armonizadas en materia de inteligencia artificial (Ley de Inteligencia Artificial), COM(2021) 206 final .
(13)    Propuesta de Reglamento relativo a la gobernanza europea de datos (Ley de Gobernanza de Datos),  COM(2020) 767 final .  
(14)    Propuesta de Reglamento sobre normas armonizadas para un acceso justo a los datos y su utilización (Ley de Datos), COM(2022) 068 final .  
(15)    Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016, relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión (DO L 194 de 19.7.2016, p. 1).
(16)    Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo, de 23 de octubre de 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión, y a la libre circulación de esos datos, y por el que se derogan el Reglamento (CE) n.º 45/2001 y la Decisión n.º 1247/2002/CE (DO L 295 de 21.11.2018, p. 39).
(17)     Autoridad de Preparación y Respuesta ante Emergencias Sanitarias Comisión Europea (europa.eu) .
(18)     Un plan contra el cáncer para Europa Comisión Europea (europa.eu) .
(19)    UE contra Comisión Europea (europa.eu) .
(20)     Una estrategia farmacéutica para Europa .
(21)    Propuesta de Directiva del Parlamento Europeo y del Consejo relativa a las medidas destinadas a garantizar un elevado nivel común de ciberseguridad y por la que se deroga la Directiva (UE) 2016/1148, COM(2020) 823 final.
(22)    Propuesta de Reglamento del Parlamento Europeo y del Consejo por el que se modifica el Reglamento (UE) n.º 910/2014 en lo que respecta al establecimiento de un Marco para una Identidad Digital Europea, COM(2021) 281 final .  
(23)    Comisión Europea, informe sobre las «Regiones fronterizas de la UE: verdaderos laboratorios de la integración europea» , 2021.
(24)    La exclusión de los datos «inferidos» y la limitación a los datos tratados sobre la base del consentimiento o de un contrato implican que grandes cantidades de datos relacionados con la salud quedan fuera del ámbito de aplicación del derecho a la portabilidad del RGPD.
(25)     Zona de prensa, Comisión Europea (europa.eu) .
(26)    Más información en Nivel para la Comisión Europea, p. 20.
(27)    Comisión Europea (estudio en preparación). Estudio sobre un ecosistema de infraestructuras y datos en apoyo de la evaluación de impacto del Espacio Europeo de Datos Sanitarios, Trasys.
(28)    Comisión Europea, consulta pública sobre la superación de los obstáculos transfronterizos , 2020.
(29)    Comisión Europea (2020). Assessment of the EU Member States’ rules on health data in the light of the GDPR [«Evaluación de las normas de los Estados miembros de la UE sobre datos sanitarios a la luz del RGPD», documento en inglés]; los anexos están disponibles aquí : https://ec.europa.eu/health/system/files/2021-02/ms_rules_health-data_annex_en_0.pdf .
(30)     eHealth, Interoperability of Health Data and Artificial Intelligence for Health and Care in the EU, Lot 1 - Interoperability of Electronic Health Records in the EU [«Sanidad electrónica, interoperabilidad de los datos sanitarios e inteligencia artificial para la salud y la asistencia en la UE. Lote 1: Interoperabilidad de los historiales médicos electrónicos en la UE», documento en inglés], 2020.
(31)     Study on the use of real-world data (RWD) for research, clinical care, regulatory decision-making, health technology assessment, and policy-making [«Estudio sobre el uso de datos de la vida real para la investigación, la atención clínica, la toma de decisiones reglamentarias, la evaluación de las tecnologías sanitarias y la elaboración de políticas», documento en inglés].
(32)     Market study on telemedicine [documento en inglés].
(33)     Dictamen preliminar 8/2020 sobre el Espacio Europeo de Datos Sanitarios [en inglés].
(34)    Artículo 6, apartado 4, del Reglamento (UE) 2021/1119 del Parlamento Europeo y del Consejo, de 30 de junio de 2021, por el que se establece el marco para lograr la neutralidad climática y se modifican los Reglamentos (CE) n.° 401/2009 y (UE) 2018/1999 («Legislación europea sobre el clima»).
(35)    Las contribuciones del programa Europa Digital a partir de 2023 son indicativas y se tendrán en cuenta en el contexto de la preparación de los respectivos programas de trabajo. Su asignación final estará sujeta a la priorización de la financiación en el contexto del procedimiento de adopción subyacente y del acuerdo del Comité del Programa correspondiente.
(36)    Artículo 5 del Reglamento (UE) 2021/694 del Parlamento Europeo y del Consejo, de 29 de abril de 2021, por el que se establece el Programa Europa Digital y por el que se deroga la Decisión (UE) 2015/2240.
(37)    Artículo 3, apartado 2, letra a), del Reglamento (UE) 2021/695 del Parlamento Europeo y del Consejo, de 28 de abril de 2021, por el que se crea el Programa Marco de Investigación e Innovación «Horizonte Europa», se establecen sus normas de participación y difusión, y se derogan los Reglamentos (UE) n.º 1290/2013 y (UE) n.º 1291/2013.
(38)    Artículo 3, apartado 2, letra c), del Reglamento (UE) 2021/1153 del Parlamento Europeo y del Consejo, de 7 de julio de 2021, por el que se establece el Mecanismo «Conectar Europa» y se derogan los Reglamentos (UE) n.º 1316/2013 y (UE) n.º 283/2014.
(39)    DO C de , p. .
(40)    DO C de , p. .
(41)    Decisión de Ejecución (UE) 2019/1269 de la Comisión, de 26 de julio de 2019, que modifica la Decisión de Ejecución 2014/287/UE, por la que se fijan los criterios para la creación y evaluación de las redes europeas de referencia y de sus miembros, y se facilita el intercambio de información y conocimientos en materia de creación y evaluación de tales redes (DO L 200 de 29.7.2019, p. 35).
(42)     EOSC Portal (eosc-portal.eu) .
(43)    Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (DO L 119 de 4.5.2016, p. 1).
(44)    Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo, de 23 de octubre de 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión, y a la libre circulación de esos datos, y por el que se derogan el Reglamento (CE) n.º 45/2001 y la Decisión n.º 1247/2002/CE (DO L 295 de 21.11.2018, p. 39).
(45)    Recomendación (UE) 2019/243 de la Comisión, de 6 de febrero de 2019, sobre un formato de intercambio de historiales médicos electrónicos de ámbito europeo (DO L 39 de 11.2.2019, p. 18).
(46)    Directiva 2011/24/UE del Parlamento Europeo y del Consejo, de 9 de marzo de 2011, relativa a la aplicación de los derechos de los pacientes en la asistencia sanitaria transfronteriza (DO L 88 de 4.4.2011, p. 45).
(47)    Reglamento (UE) n.º 910/2014 del Parlamento Europeo y del Consejo, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por el que se deroga la Directiva 1999/93/CE (DO L 257 de 28.8.2014, p. 73).
(48)    Reglamento (UE) 2019/881 del Parlamento Europeo y del Consejo, de 17 de abril de 2019, relativo a ENISA (Agencia de la Unión Europea para la Ciberseguridad) y a la certificación de la ciberseguridad de las tecnologías de la información y la comunicación y por el que se deroga el Reglamento (UE) n.º 526/2013 («Reglamento sobre la Ciberseguridad») (DO L 151 de 7.6.2019, p. 15).
(49)    Reglamento (UE) 2017/745 del Parlamento Europeo y del Consejo, de 5 de abril de 2017, sobre los productos sanitarios, por el que se modifican la Directiva 2001/83/CE, el Reglamento (CE) n.º 178/2002 y el Reglamento (CE) n.º 1223/2009 y por el que se derogan las Directivas 90/385/CEE y 93/42/CEE del Consejo (DO L 117 de 5.5.2017, p. 1).
(50)    Reglamento (CE) n.º 723/2009 del Consejo, de 25 de junio de 2009, relativo al marco jurídico comunitario aplicable a los Consorcios de Infraestructuras de Investigación Europeas (ERIC) (DO L 206 de 8.8.2009, p. 1).
(51)    Reglamento (UE) 2018/1724 del Parlamento Europeo y del Consejo, de 2 de octubre de 2018, relativo a la creación de una pasarela digital única de acceso a información, procedimientos y servicios de asistencia y resolución de problemas y por el que se modifica el Reglamento (UE) n.º 1024/2012 (DO L 295 de 21.11.2018, p. 1).
(52)    DO L 123 de 12.5.2016, p. 1.
(53)    Reglamento (UE) n.º 182/2011 del Parlamento Europeo y del Consejo, de 16 de febrero de 2011, por el que se establecen las normas y los principios generales relativos a las modalidades de control por parte de los Estados miembros del ejercicio de las competencias de ejecución por la Comisión (DO L 55 de 28.2.2011, p. 13).
(54)    Comisión Europea, Marco Europeo de Interoperabilidad .
(55)    Directiva (UE) 2019/882 del Parlamento Europeo y del Consejo, de 17 de abril de 2019, sobre los requisitos de accesibilidad de los productos y servicios (DO L 151 de 7.6.2019, p. 70).
(56)    Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016, relativa a medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión (DO L 194 de 19.7.2016, p. 1).
(57)    Directiva (UE) 2015/1535 del Parlamento Europeo y del Consejo, de 9 de septiembre de 2015, por la que se establece un procedimiento de información en materia de reglamentaciones técnicas y de reglas relativas a los servicios de la sociedad de la información (DO L 241 de 17.9.2015, p. 1).
(58)    Reglamento (CE) n.º 765/2008 del Parlamento Europeo y del Consejo, de 9 de julio de 2008, por el que se establecen los requisitos de acreditación y por el que se deroga el Reglamento (CEE) n.º 339/93 (DO L 218 de 13.8.2008, p. 30).
(59)    Recomendación de la Comisión, de 6 de mayo de 2003, sobre la definición de microempresas, pequeñas y medianas empresas (DO L 124 de 20.5.2003, p. 36).
(60)    Tal como se contempla en el artículo 58, apartado 2, letras a) o b), del Reglamento Financiero.
(61)    Reglamento (UE) 2021/522 del Parlamento Europeo y del Consejo, de 24 de marzo de 2021, por el que se establece un programa de acción de la Unión en el ámbito de la salud («programa UEproSalud») para el período 2021-2027 y por el que se deroga el Reglamento (UE) n.º 282/2014.
(62)    Artículo 5 del Reglamento (UE) 2021/694 del Parlamento Europeo y del Consejo, de 29 de abril de 2021, por el que se establece el Programa Europa Digital y por el que se deroga la Decisión (UE) 2015/2240.
(63)    Artículo 3, apartado 2, letra a), del Reglamento (UE) 2021/695 del Parlamento Europeo y del Consejo, de 28 de abril de 2021, por el que se crea el Programa Marco de Investigación e Innovación «Horizonte Europa», se establecen sus normas de participación y difusión, y se derogan los Reglamentos (UE) n.º 1290/2013 y (UE) n.º 1291/2013.
(64)    Artículo 3, apartado 2, letra c), del Reglamento (UE) 2021/1153 del Parlamento Europeo y del Consejo, de 7 de julio de 2021, por el que se establece el Mecanismo «Conectar Europa» y se derogan los Reglamentos (UE) n.º 1316/2013 y (UE) n.º 283/2014.
(65)    Los detalles sobre los modos de gestión y las referencias al Reglamento Financiero pueden consultarse en el sitio BudgWeb: https://myintracomm.ec.europa.eu/budgweb/ES/man/budgmanag/Pages/budgmanag.aspx  
(66)    CD = créditos disociados / CND = créditos no disociados.
(67)    AELC: Asociación Europea de Libre Comercio.
(68)    Países candidatos y, en su caso, candidatos potenciales de los Balcanes Occidentales.
(69)    El año N es el año de comienzo de la ejecución de la propuesta/iniciativa. Sustitúyase «N» por el primer año de aplicación prevista (por ejemplo: 2021). Lo mismo para los años siguientes.
(70)    Este importe procede del compromiso de 2027 y no es un pago recurrente. Se incluye en el cálculo del total para el período 2023-2027.
(71)    Asistencia técnica y/o administrativa y gastos de apoyo a la ejecución de programas o acciones de la UE (antiguas líneas «BA»), investigación indirecta, investigación directa.
(72)    El año N es el año de comienzo de la ejecución de la propuesta/iniciativa. Sustitúyase «N» por el primer año de aplicación prevista (por ejemplo: 2021). Lo mismo para los años siguientes.
(73)    Asistencia técnica y/o administrativa y gastos de apoyo a la ejecución de programas o acciones de la UE (antiguas líneas «BA»), investigación indirecta, investigación directa.
(74)    Los resultados son los productos y servicios que van a suministrarse (por ejemplo, número de intercambios de estudiantes financiados, número de kilómetros de carretera construidos, etc.).
(75)    Asistencia técnica y/o administrativa y gastos de apoyo a la ejecución de programas o acciones de la UE (antiguas líneas «BA»), investigación indirecta, investigación directa.
(76)    Subtecho para el personal externo con cargo a créditos de operaciones (antiguas líneas «BA»).
(77)    El año N es el año de comienzo de la ejecución de la propuesta/iniciativa. Sustitúyase «N» por el primer año de aplicación prevista (por ejemplo: 2021). Lo mismo para los años siguientes.
(78)    Por lo que se refiere a los recursos propios tradicionales (derechos de aduana, cotizaciones sobre el azúcar), los importes indicados deben ser importes netos, es decir, importes brutos tras la deducción del 20 % de los gastos de recaudación.

Estrasburgo, 3.5.2022

COM(2022) 197 final

ANEXOS

del

REGLAMENTO DEL PARLAMENTO EUROPEO Y DEL CONSEJO

sobre el Espacio Europeo de Datos Sanitarios

{SEC(2022) 196 final} - {SWD(2022) 130 final} - {SWD(2022) 131 final} - {SWD(2022) 132 final}


ANEXO I

Principales características de las categorías de datos sanitarios electrónicos

Categoría de datos sanitarios electrónicos

Principales características de los datos sanitarios electrónicos incluidos en la categoría

1.Historial resumido del paciente

Datos sanitarios electrónicos que incluyen hechos clínicos importantes relacionados con una persona identificada y que son esenciales para prestarle una asistencia sanitaria segura y eficiente. La siguiente información forma parte de un historial resumido del paciente:

1.Datos personales

2.Información de contacto

3.Información sobre los seguros

4.Alergias

5.Alertas médicas

6.Información sobre vacunación/profilaxis, posiblemente en forma de carnet de vacunación

7.Problemas actuales, resueltos, cerrados o inactivos

8.Información textual relacionada con el historial médico

9.Productos sanitarios e implantes

10.Procedimientos

11.Estado funcional

12.Medicamentos actuales y pasados que convenga indicar

13.Observaciones sobre los antecedentes sociales relacionadas con la salud

14.Historial de embarazos

15.Datos facilitados por el paciente

16.Resultados de la observación referentes al estado de salud

17.Plan de asistencia

18.Información sobre una enfermedad rara, como detalles sobre los efectos o las características de la enfermedad

2.Receta electrónica

Datos sanitarios electrónicos que constituyen una receta de un medicamento, tal como se define en el artículo 3, letra k), de la Directiva 2011/24/UE.

3.Dispensación electrónica

Información sobre el suministro de un medicamento a una persona física por parte de una farmacia sobre la base de una receta electrónica.

4.Imagen médica e informe de imagen

Datos sanitarios electrónicos relacionados con el uso de tecnologías que se utilizan para observar el cuerpo humano con el fin de prevenir, diagnosticar, vigilar o tratar problemas de salud, o producidos por dichas tecnologías.

5.Resultados de laboratorio

Datos sanitarios electrónicos que reflejan los resultados de estudios realizados principalmente a través de diagnósticos in vitro, como la bioquímica clínica, la hematología, la medicina transfusional, la microbiología, la inmunología y otros, incluidos, en su caso, informes que corroboran la interpretación de los resultados.

6.Informe del alta médica

Datos sanitarios electrónicos relacionados con una visita médica o un episodio de asistencia sanitaria que incluyen información esencial sobre el ingreso, el tratamiento y el alta de una persona física.

ANEXO II

Requisitos esenciales para los sistemas HME y los productos para los que se declara la interoperabilidad con los sistemas HME

Los requisitos esenciales establecidos en el presente anexo se aplicarán mutatis mutandis a los productos para los que se declara la interoperabilidad con los sistemas HME.

1.Requisitos generales

1.1.Un sistema HME deberá funcionar conforme a lo previsto por su fabricante y deberá diseñarse y fabricarse para que, en condiciones normales de uso, se adecúe a su finalidad prevista y su uso no ponga en peligro la seguridad de los pacientes.

1.2.Un sistema HME deberá diseñarse y desarrollarse de manera que pueda suministrarse e instalarse teniendo en cuenta las instrucciones y la información facilitadas por el fabricante, sin que sus características y prestaciones se vean afectadas negativamente durante su uso previsto.

1.3.Un sistema HME deberá diseñarse y desarrollarse de manera que sus características de interoperabilidad, seguridad y protección respeten los derechos de las personas físicas, en consonancia con la finalidad prevista del sistema, tal como se establece en el capítulo II del presente Reglamento.

1.4.Un sistema HME destinado a funcionar en combinación con otros productos, incluidos productos sanitarios, deberá diseñarse y fabricarse de manera que su interoperabilidad y compatibilidad sean fiables y seguras, y los datos sanitarios electrónicos personales puedan compartirse entre el producto y el sistema HME.

2.Requisitos de interoperabilidad

2.1.Un sistema HME deberá permitir el intercambio de datos sanitarios electrónicos personales entre profesionales sanitarios u otras entidades del sistema sanitario, así como entre profesionales sanitarios y portales de pacientes o de profesionales sanitarios, en un formato electrónico interoperable comúnmente utilizado, que, entre otras cosas, incluya el contenido del conjunto de datos, las estructuras de datos, los formatos, los vocabularios, las taxonomías, los formatos de intercambio, las normas, las especificaciones, los perfiles para el intercambio y las listas de códigos, facilitando de este modo una comunicación entre sistemas.

2.2.Un sistema HME deberá ser interoperable y compatible con las infraestructuras europeas establecidas en el presente Reglamento para el intercambio transfronterizo de datos sanitarios electrónicos.

2.3.Un sistema HME que incluya una funcionalidad para introducir datos sanitarios electrónicos personales estructurados deberá permitir el intercambio de tales datos en un formato estructurado comúnmente utilizado y legible por máquina con el fin de facilitar la comunicación entre sistemas.

2.4.Un sistema HME no incluirá características que prohíban o restrinjan el acceso autorizado, el intercambio electrónico de datos sanitarios personales o el uso de estos datos para fines permitidos, o que impongan una carga indebida a tales efectos.

2.5.Un sistema HME no incluirá características que prohíban o restrinjan la exportación autorizada de datos sanitarios electrónicos personales con el fin de sustituir el sistema HME por otro producto, o que impongan una carga indebida a tales efectos.

3.Requisitos de seguridad

3.1.Un sistema HME deberá diseñarse y desarrollarse de manera que garantice un tratamiento seguro y protegido de los datos sanitarios electrónicos e impida el acceso no autorizado a ellos.

3.2.Un sistema HME diseñado para ser utilizado por profesionales sanitarios deberá incluir mecanismos fiables para la identificación y autenticación de estos profesionales, incluidas comprobaciones de los derechos y las cualificaciones profesionales.

3.3.Un sistema HME diseñado para ser utilizado por profesionales sanitarios deberá permitir el uso de información sobre los derechos y las cualificaciones profesionales dentro de los mecanismos de control de acceso, como el control de acceso basado en funciones.

3.4.Un sistema HME diseñado para permitir el acceso de los profesionales sanitarios u otras personas a datos sanitarios electrónicos personales incluirá mecanismos de registro suficientes que graben, como mínimo, la siguiente información sobre cada evento o grupo de eventos de acceso:

a)la identificación del profesional sanitario o de otra persona que haya accedido a los datos sanitarios electrónicos;

b)la identificación de la persona;

c)las categorías de datos a los que se ha accedido;

d)la hora y la fecha de acceso;

e)el origen de los datos.

3.5.Un sistema HME deberá incluir herramientas y mecanismos que permitan a las personas físicas restringir el acceso de los profesionales sanitarios a sus datos sanitarios electrónicos personales. También incluirá mecanismos que permitan el acceso a estos datos en situaciones de emergencia y garanticen que el acceso se registre rigurosamente.

3.6.Un sistema HME deberá incluir herramientas o mecanismos para revisar y analizar los datos de los registros, o deberá facilitar la conexión y la utilización de programas informáticos externos para los mismos fines.

3.7.Un sistema HME diseñado para ser utilizado por los profesionales sanitarios permitirá las firmas digitales u otros mecanismos de no repudio similares.

3.8.Un sistema HME diseñado para el almacenamiento de datos sanitarios electrónicos deberá prever diferentes períodos de conservación y derechos de acceso que tengan en cuenta el origen y las categorías de tales datos.

3.9.Un sistema HME diseñado para ser utilizado por personas físicas deberá permitir su identificación utilizando cualquier medio de identificación electrónica reconocido, tal como se define en el Reglamento (UE) n.º 910/2014, independientemente del Estado miembro que lo haya expedido. Si el servicio admite otros medios de identificación electrónica, su nivel de seguridad deberá ser «sustancial» o «elevado».

ANEXO III

Documentación técnica

La documentación técnica a que se refiere el artículo 24 contendrá como mínimo la siguiente información, en función del sistema HME de que se trate:

1.Una descripción pormenorizada del sistema HME que incluya:

a)su finalidad prevista, la fecha y la versión del sistema HME;

b)las categorías de datos sanitarios electrónicos para cuyo tratamiento el sistema HME ha sido diseñado;

c)la manera en que el sistema HME interactúa, o puede utilizarse para interactuar, con equipos o programas informáticos que no forman parte del propio sistema;

d)las versiones de los programas y los soportes intermedios (firmware) pertinentes y cualquier requisito relativo a la actualización de las versiones;

e)la descripción de todas las formas en las que el sistema HME se ha introducido en el mercado o se ha puesto en servicio;

f)la descripción del equipo informático en el que se prevé que opere el sistema HME;

g)una descripción de la arquitectura del sistema que explique cómo se apoyan o se alimentan mutuamente los componentes de los programas informáticos y cómo se integran en el tratamiento general, que incluya, en su caso, etiquetas con representaciones gráficas (por ejemplo, diagramas y dibujos), así como una indicación clara de las partes o componentes clave y una explicación suficiente para comprender los dibujos y diagramas;

h)las especificaciones técnicas del sistema HME, tales como las características, las dimensiones y los atributos de rendimiento, así como otras variantes o configuraciones y accesorios que figuran normalmente en las especificaciones del producto disponibles para el usuario, por ejemplo en folletos, catálogos y publicaciones similares, incluida una descripción detallada de las estructuras de datos, el almacenamiento y la entrada/salida de datos;

i)una descripción de todo cambio introducido en el sistema a lo largo de su ciclo de vida;

j)las instrucciones de uso para el usuario y, cuando proceda, las instrucciones de instalación.

2.Una descripción detallada del sistema que se utiliza para evaluar el rendimiento del sistema HME, cuando proceda.

3.Las referencias a las especificaciones comunes utilizadas de conformidad con el artículo 23 y con respecto a las cuales se declara la conformidad.

4.Los resultados y los análisis críticos de todas las verificaciones y los ensayos de validación realizados para demostrar la conformidad del sistema HME con los requisitos establecidos en el capítulo III del presente Reglamento, en particular los requisitos esenciales aplicables.

5.Una copia de la ficha informativa mencionada en el artículo 25.

6.Una copia de la declaración UE de conformidad.

ANEXO IV

Declaración UE de conformidad

La declaración UE de conformidad contendrá toda la información siguiente:

1.El nombre del sistema HME, su versión y cualquier otra referencia que permita la identificación del sistema de forma inequívoca.

2.El nombre y la dirección del fabricante o, en su caso, de su representante autorizado.

3.Una indicación de que la declaración UE de conformidad se emite bajo la responsabilidad exclusiva del fabricante.

4.Una declaración de que el sistema HME en cuestión es conforme con las disposiciones del capítulo III del presente Reglamento y, en su caso, con cualquier otra legislación pertinente de la Unión que contemple la emisión de una declaración UE de conformidad.

5.Las referencias a las normas armonizadas pertinentes utilizadas, en relación con las cuales se declara la conformidad.

6.Las referencias a las especificaciones comunes utilizadas, en relación con las cuales se declara la conformidad.

7.El lugar y la fecha de emisión de la declaración, así como la firma, el nombre y el cargo de la persona que ha firmado y, en su caso, una indicación de la persona en cuyo nombre se ha firmado.

8.En su caso, información adicional.