52022PC0197

EXPOSIÇÃO DE MOTIVOS

1.CONTEXTO DA PROPOSTA

•Razões e objetivos da proposta

A Estratégia Europeia para os Dados 1 propôs a criação de espaços comuns europeus de dados específicos por domínio. O Espaço Europeu de Dados de Saúde («EEDS») constitui a primeira proposta deste tipo: dará resposta aos desafios específicos da saúde para o acesso e a partilha de dados de saúde eletrónicos, é uma das prioridades da Comissão Europeia no domínio da saúde 2 e será parte integrante da construção de uma União Europeia da Saúde. O EEDS criará um espaço comum onde as pessoas singulares poderão controlar facilmente os seus dados de saúde eletrónicos. Permitirá igualmente aos investigadores, inovadores e decisores políticos utilizar estes dados de saúde eletrónicos de uma forma segura e fiável que preserve a privacidade.

Atualmente, as pessoas singulares têm dificuldade em exercer os seus direitos sobre os seus dados de saúde eletrónicos, incluindo no que diz respeito ao acesso aos mesmos e à sua transmissão a nível nacional e transfronteiras, não obstante as disposições do Regulamento (UE) 2016/679 (a seguir designado por «RGPD») 3 , que salvaguardam os direitos das pessoas singulares sobre os seus dados, incluindo os dados de saúde. Conforme demonstrado pelo estudo que avalia as regras dos Estados-Membros da UE em matéria de dados de saúde à luz do RGPD 4 , a aplicação e a interpretação desiguais do RGPD pelos Estados-Membros criam incertezas jurídicas consideráveis, resultando em obstáculos à utilização secundária de dados de saúde eletrónicos. São assim criadas determinadas situações em que as pessoas singulares não podem beneficiar de tratamentos inovadores e os decisores políticos não conseguem reagir eficazmente a uma crise sanitária, devido aos obstáculos que impedem o acesso de investigadores, inovadores, entidades reguladoras e decisores políticos aos dados de saúde eletrónicos necessários. Além disso, devido à existência de normas diferentes e a uma interoperabilidade limitada, os fabricantes de produtos digitais de saúde e os prestadores de serviços digitais de saúde que operam num Estado-Membro enfrentam obstáculos e custos adicionais quando entram noutro Estado-Membro.

Por outro lado, a pandemia de COVID-19 evidenciou ainda mais a importância dos dados de saúde eletrónicos para a elaboração de políticas de resposta a emergências sanitárias. Pôs também em evidência o imperativo de garantir o acesso em tempo útil a dados de saúde eletrónicos pessoais para a preparação e resposta a ameaças sanitárias, bem como para o tratamento, mas também para fins de investigação, inovação, segurança dos doentes, regulamentação, elaboração de políticas, estatísticas ou medicina personalizada. O Conselho Europeu reconheceu a urgência de avançar e de dar prioridade ao EEDS.

O seu objetivo geral é assegurar que as pessoas singulares na UE tenham, na prática, um maior controlo sobre os seus dados de saúde eletrónicos. Visa igualmente assegurar um quadro jurídico constituído por mecanismos de governação fiáveis da UE e dos Estados-Membros e um ambiente de tratamento seguro, permitindo assim aos investigadores, inovadores, decisores políticos e entidades reguladoras a nível da UE e dos Estados-Membros aceder a dados de saúde eletrónicos pertinentes, a fim de promover um melhor diagnóstico, tratamento e bem-estar das pessoas singulares e conduzir a políticas mais adequadas e bem fundamentadas. Além disso, visa contribuir para um verdadeiro mercado único dos produtos e serviços de saúde digitais, por intermédio da harmonização das regras, aumentando desta forma a eficiência dos sistemas de saúde.

O artigo 14.º da Diretiva 2011/24/UE relativa ao exercício dos direitos dos doentes em matéria de cuidados de saúde transfronteiriços (a seguir designada por «Diretiva Cuidados de Saúde Transfronteiriços») 5 constituiu a primeira referência à saúde em linha na legislação da UE. No entanto, conforme referido na avaliação de impacto que acompanha o presente regulamento, as disposições pertinentes da Diretiva Cuidados de Saúde Transfronteiriços são de natureza voluntária. Tal explica, em parte, por que razão este aspeto da diretiva demonstrou uma eficácia limitada no apoio ao controlo por parte das pessoas singulares dos seus dados de saúde eletrónicos pessoais a nível nacional e transfronteiriço e uma eficácia muito reduzida nas utilizações secundárias de dados de saúde eletrónicos. A pandemia de COVID-19 deixou exposta a necessidade urgente e o elevado potencial de interoperabilidade e harmonização, com base nas competências técnicas existentes a nível nacional. Ao mesmo tempo, os produtos e serviços de saúde digitais, incluindo a telemedicina, tornaram-se parte intrínseca da prestação de cuidados de saúde.

A avaliação dos aspetos digitais da Diretiva Cuidados de Saúde Transfronteiriços incidiu sobre a pandemia de COVID-19 e o Regulamento (UE) 2021/953 relativo ao Certificado Digital COVID da UE 6 . Este regulamento, limitado no tempo, aborda as restrições à livre circulação impostas devido à COVID-19. A avaliação mostra que as disposições jurídicas que apoiam a harmonização e uma abordagem comum da UE à utilização de dados de saúde eletrónicos para fins específicos (por oposição a ações apenas voluntárias), bem como os esforços da UE para assegurar a interoperabilidade jurídica, semântica e técnica 7 , podem trazer benefícios. Mais concretamente, podem apoiar significativamente a livre circulação das pessoas singulares e promover a UE como referência mundial em matéria de normas no domínio da saúde digital.

O EEDS promoverá igualmente um melhor intercâmbio e acesso a diferentes tipos de dados de saúde eletrónicos, incluindo registos de saúde eletrónicos, dados genómicos, registos de doentes, etc. Será assim possível apoiar não só a prestação de cuidados de saúde (serviços e pessoal envolvidos na prestação de cuidados de saúde ou na utilização primária de dados de saúde eletrónicos), mas também a investigação no domínio da saúde, a inovação, a elaboração de políticas, a regulamentação e a medicina personalizada (utilização secundária de dados de saúde eletrónicos). Estabelecerá igualmente mecanismos para o altruísmo de dados no setor da saúde. O EEDS ajudará a concretizar a visão da Comissão relativa à transformação digital da UE até 2030, o objetivo das Orientações para a Digitalização 8 de fornecer a 100 % das pessoas singulares o acesso aos seus registos médicos, e a Declaração sobre os Princípios Digitais 9 .

•Coerência com as disposições existentes da mesma política setorial

O intercâmbio transfronteiriço de dados de saúde eletrónicos é, em certa medida, abordado na Diretiva Cuidados de Saúde Transfronteiriços, nomeadamente no artigo 14.º sobre a rede de saúde em linha. Criada em 2011, esta rede é um organismo voluntário a nível europeu composto por peritos em saúde digital de todos os Estados-Membros, da Islândia e da Noruega. Estes peritos estão a trabalhar no sentido de promover a interoperabilidade dos dados de saúde eletrónicos à escala da UE e de elaborar orientações, tais como normas semânticas e técnicas, conjuntos de dados e descrições de infraestruturas. A avaliação dos aspetos digitais da Diretiva Cuidados de Saúde Transfronteiriços salientou o caráter voluntário deste trabalho e das orientações, o que explica por que razão tiveram um impacto bastante limitado no apoio ao acesso e ao controlo por parte das pessoas singulares dos seus dados de saúde eletrónicos. O EEDS visa resolver estas questões.

O EEDS baseia-se em legislação como o RGPD, o Regulamento (UE) 2017/745 relativo aos dispositivos médicos (Regulamento Dispositivos Médicos) 10 e o Regulamento (UE) 2017/746 relativo aos dispositivos médicos para diagnóstico in vitro (Regulamento Dispositivos de Diagnóstico In Vitro) 11 , a proposta de Regulamento Inteligência Artificial 12 , a proposta de Regulamento Governação de Dados 13 e a proposta de Regulamento Dados 14 , a Diretiva (UE) 2016/1148 relativa à segurança das redes e da informação (Diretiva SRI) 15 e a Diretiva Cuidados de Saúde Transfronteiriços.

Tendo em conta que uma quantidade substancial de dados eletrónicos a que se terá acesso no EEDS são dados de saúde pessoais relativos a pessoas singulares na UE, a presente proposta é concebida em plena conformidade não só com o RGPD, mas também com o Regulamento (UE) 2018/1725 (Regulamento da UE sobre Proteção de Dados) 16 . O RGPD estabelece os direitos de acesso, de portabilidade e de acessibilidade/transmissão a um novo responsável pelo tratamento de dados. Designa igualmente os dados relacionados com a saúde como uma «categoria especial de dados», conferindo-lhe proteção especial através do estabelecimento de garantias adicionais para o seu tratamento. O EEDS apoia a aplicação dos direitos consagrados no RGPD, na medida em que se aplicam aos dados de saúde eletrónicos, independentemente do Estado-Membro, do tipo de prestador de cuidados de saúde, das fontes de dados de saúde eletrónicos ou da afiliação da pessoa singular. O EEDS baseia-se nas possibilidades oferecidas pelo RGPD de uma legislação da UE relativa à utilização de dados de saúde eletrónicos pessoais para diagnóstico médico, prestação de cuidados de saúde ou tratamento ou gestão de sistemas e serviços de saúde. Permite igualmente a utilização de dados de saúde eletrónicos para fins de investigação científica ou histórica e de elaboração de estatísticas oficiais e para fins de interesse público no domínio da saúde pública, tais como a proteção contra ameaças transfronteiriças graves para a saúde ou a garantia de elevados padrões de qualidade e segurança dos cuidados de saúde e dos medicamentos ou dispositivos médicos. O EEDS prevê novas disposições para promover a interoperabilidade e reforça o direito das pessoas singulares à portabilidade dos dados no setor da saúde.

No contexto da União Europeia da Saúde, o EEDS apoiará o trabalho da Autoridade Europeia de Preparação e Resposta a Emergências Sanitárias (HERA) 17 , o Plano Europeu de Luta contra o Cancro 18 , a Missão da UE contra o Cancro 19 e a Estratégia Farmacêutica para a Europa 20 . O EEDS criará um ambiente jurídico e técnico que apoiará o desenvolvimento de medicamentos e vacinas inovadores, bem como de dispositivos médicos e de diagnóstico in vitro, contribuindo assim para prevenir, detetar e responder rapidamente a emergências sanitárias. Além disso, o EEDS contribuirá para melhorar a compreensão, a prevenção, a deteção precoce, o diagnóstico, o tratamento e a monitorização do cancro, por intermédio do acesso e da partilha transfronteiras seguros entre os prestadores de cuidados de saúde, a nível da UE, de dados de saúde das pessoas singulares, incluindo dados oncológicos. Por conseguinte, ao proporcionar um acesso seguro a uma vasta gama de dados de saúde eletrónicos, o EEDS abrirá novas oportunidades para a prevenção e o tratamento de doenças das pessoas singulares.

A proposta de EEDS baseia-se igualmente nos requisitos impostos em matéria de software pelo Regulamento Dispositivos Médicos e pela proposta de Regulamento Inteligência Artificial. O software para dispositivos médicos já tem de ser certificado ao abrigo do Regulamento Dispositivos Médicos e os dispositivos médicos baseados na IA e outros sistemas de IA também terão de cumprir os requisitos do Regulamento Inteligência Artificial quando entrar em vigor. No entanto, foi identificada uma lacuna regulamentar no que diz respeito aos sistemas de informação utilizados no domínio da saúde, também designados por sistemas de registos de saúde eletrónicos («sistemas de RSE»). Por conseguinte, a tónica é colocada nestes sistemas de RSE que se destinam a ser utilizados para armazenar e partilhar dados de saúde eletrónicos de pessoas singulares. Neste contexto, o EEDS estabelece requisitos essenciais especificamente para os sistemas de RSE, a fim de promover a interoperabilidade e a portabilidade dos dados desses sistemas, o que permitiria às pessoas singulares controlar os seus dados de saúde eletrónicos de forma mais eficaz. Além disso, sempre que declarem interoperabilidade com os sistemas de RSE, os fabricantes de dispositivos médicos e de sistemas de IA de risco elevado terão de cumprir os requisitos essenciais de interoperabilidade ao abrigo do Regulamento EEDS.

Ao assegurar um quadro para a utilização secundária de dados de saúde eletrónicos, o EEDS baseia-se na proposta de Regulamento Governação de Dados e na proposta de Regulamento Dados. Enquanto quadro horizontal, o Regulamento Governação de Dados apenas estabelece condições genéricas para a utilização secundária de dados do setor público, sem criar um direito genuíno à utilização secundária desses dados. A proposta de Regulamento Dados reforça a portabilidade de determinados dados gerados pelos utilizadores, que podem incluir dados de saúde, mas não prevê regras para todos os dados de saúde. Por conseguinte, o EEDS complementa estas propostas de atos legislativos e prevê regras mais específicas para o setor da saúde. Essas regras abrangem o intercâmbio de dados de saúde eletrónicos e podem afetar os prestadores de serviços de partilha de dados, os formatos que asseguram a portabilidade dos dados de saúde, as regras de cooperação para o altruísmo de dados na saúde e a complementaridade no acesso a dados privados para utilização secundária.

A Diretiva SRI estabeleceu as primeiras regras da UE em matéria de cibersegurança. Esta diretiva está a ser alvo de revisão («proposta SRI 2» 21 ), estando atualmente em fase de negociações com os colegisladores. O seu objetivo é elevar o nível comum de ambição da UE para o quadro regulamentar em matéria de cibersegurança, mediante um âmbito de aplicação mais vasto, regras mais claras e instrumentos de supervisão mais sólidos. A proposta da Comissão aborda estas questões em três pilares: 1) capacidades dos Estados-Membros; 2) gestão dos riscos; 3) cooperação e intercâmbio de informações. Os operadores dos sistemas de saúde continuam a ser abrangidos pelo âmbito de aplicação. O EEDS reforça a segurança e a confiança no quadro técnico destinado a facilitar o intercâmbio de dados de saúde eletrónicos para utilização primária e secundária.

Está igualmente prevista a adoção pela Comissão, em 2022, de uma proposta de ato legislativo sobre a ciber-resiliência, com o objetivo de estabelecer requisitos horizontais de cibersegurança para os produtos digitais e serviços auxiliares. O conjunto previsto de requisitos essenciais de cibersegurança que será estabelecido pelo ato legislativo sobre a ciber-resiliência será aplicado a todos os setores e categorias de produtos digitais, devendo ser cumprido pelos produtores e vendedores destes produtos antes de os colocarem no mercado ou, consoante o caso, aquando da sua entrada em serviço, e também ao longo de todo o ciclo de vida dos produtos. Estes requisitos serão de natureza geral e tecnologicamente neutros. Os requisitos de segurança definidos no EEDS, designadamente no que diz respeito aos sistemas de RSE, preveem exigências mais específicas em determinados domínios, como o controlo do acesso.

O EEDS baseia-se na nova proposta relativa à Identidade Digital Europeia 22 , com as melhorias no domínio da identificação eletrónica, incluindo a carteira de identidade digital. Desta forma, será possível melhorar os mecanismos de identificação em linha e fora de linha das pessoas singulares e dos profissionais de saúde.

•Coerência com outras políticas da União

A presente proposta está em consonância com os objetivos globais da UE, que incluem a construção de uma União Europeia da Saúde mais forte, a aplicação do Pilar Europeu dos Direitos Sociais, a melhoria do funcionamento do mercado interno, a promoção de sinergias com a agenda da UE para o mercado interno digital e a concretização de uma agenda ambiciosa de investigação e inovação. Além disso, proporcionará um conjunto importante de elementos que contribuirão para a formação da União Europeia da Saúde, incentivando a inovação e a investigação e respondendo melhor às futuras crises sanitárias.

A proposta é consentânea com as prioridades da Comissão de preparar a Europa para a era digital e criar uma economia pronta para o futuro e que esteja ao serviço dos cidadãos. Permite igualmente explorar o potencial das regiões transfronteiriças enquanto testes-piloto de soluções inovadoras para a integração europeia, conforme sugerido no relatório da Comissão intitulado «Regiões fronteiriças da UE: Laboratórios vivos da integração europeia» 23 . Apoia ainda o Plano de Recuperação da Comissão, retirando ensinamentos da pandemia de COVID-19, e proporciona os benefícios da disponibilidade de dados de saúde eletrónicos mais facilmente acessíveis, sempre que necessário.

2.BASE JURÍDICA, SUBSIDIARIEDADE E PROPORCIONALIDADE

•Base jurídica

A proposta tem por base os artigos 16.º e 114.º do Tratado sobre o Funcionamento da União Europeia (TFUE). A dupla base jurídica é possível se se demonstrar que a medida prossegue simultaneamente vários objetivos que estão ligados de forma indissociável, sem que um seja secundário ou esteja apenas indiretamente relacionado com o outro. É o caso da presente proposta, como se explica a seguir. Os procedimentos previstos para cada base jurídica são compatíveis entre si.

Em primeiro lugar, o artigo 114.º do TFUE visa melhorar o funcionamento do mercado interno por intermédio de medidas de aproximação das regras nacionais. Alguns Estados-Membros tomaram medidas legislativas para resolver os problemas acima descritos, estabelecendo sistemas nacionais de certificação para os sistemas de RSE, ao passo que outros não o fizeram. Tal pode conduzir a uma fragmentação legislativa no mercado interno e a diferentes regras e práticas na UE, podendo igualmente implicar custos para as empresas que teriam de cumprir regimes diferentes.

O artigo 114.º do TFUE constitui a base jurídica adequada, uma vez que a maior parte das disposições do presente regulamento visam melhorar o funcionamento do mercado interno e a livre circulação de mercadorias e de serviços. A este respeito, o artigo 114.º, n.º 3, do TFUE prevê de forma expressa que, ao realizar a harmonização, deve ser garantido um elevado nível de proteção da saúde humana, tendo nomeadamente em conta qualquer nova evolução baseada em dados científicos. Por conseguinte, esta base jurídica é igualmente adequada quando uma ação está relacionada com o domínio da proteção da saúde pública. O que precede encontra-se igualmente em plena conformidade com o artigo 168.º, que estabelece que deve ser alcançado um elevado nível de proteção humana em todas as políticas da União, respeitando simultaneamente a responsabilidade dos Estados-Membros pela definição das respetivas políticas de saúde, bem como pela organização e prestação de serviços de saúde e de cuidados médicos.

A proposta legislativa permitirá à UE beneficiar da dimensão do mercado interno, dado que os produtos e serviços baseados em dados de saúde são muitas vezes desenvolvidos utilizando dados de saúde eletrónicos de diferentes Estados-Membros e posteriormente comercializados em toda a UE.

A segunda base jurídica da presente proposta é o artigo 16.º do TFUE. O RGPD estabelece garantias importantes em relação aos direitos das pessoas singulares sobre os seus dados de saúde. No entanto, conforme referido na secção 1, estes direitos não podem ser aplicados na prática devido a razões de interoperabilidade e a uma harmonização limitada dos requisitos e normas técnicas aplicados a nível nacional e da UE. Além disso, o âmbito de aplicação do direito à portabilidade ao abrigo do RGPD torna-o menos eficaz no setor da saúde 24 . Por conseguinte, é necessário estabelecer disposições e salvaguardas adicionais juridicamente vinculativas. É igualmente necessário conceber requisitos e normas específicos com base nas salvaguardas previstas no domínio do tratamento de dados de saúde eletrónicos, a fim de tirar partido do valor dos dados de saúde para a sociedade. Por outro lado, a proposta visa alargar a utilização de dados de saúde eletrónicos, reforçando simultaneamente os direitos decorrentes do artigo 16.º do TFUE. De um modo geral, o EEDS concretiza a possibilidade oferecida pelo RGPD de uma legislação da UE para vários fins, incluindo o diagnóstico médico, a prestação de cuidados ou tratamentos de saúde ou a gestão de sistemas e serviços de cuidados de saúde. Permite igualmente a utilização de dados de saúde eletrónicos para fins de interesse público no domínio da saúde pública, tais como a proteção contra ameaças transfronteiriças graves para a saúde ou a garantia de elevados padrões de qualidade e segurança dos cuidados de saúde e dos medicamentos ou dispositivos médicos. Serve ainda fins de investigação científica ou histórica e fins estatísticos.

•Subsidiariedade

A presente proposta visa harmonizar os fluxos de dados para ajudar as pessoas singulares a beneficiarem da proteção e da livre circulação de dados de saúde eletrónicos, em especial os dados pessoais. A proposta não visa regulamentar a forma como os Estados-Membros prestam cuidados de saúde.

A avaliação dos aspetos digitais da Diretiva Cuidados de Saúde Transfronteiriços analisou a atual situação de fragmentação, as diferenças e os obstáculos ao acesso e à utilização de dados de saúde eletrónicos. Demonstrou que a ação dos Estados-Membros, por si só, não é suficiente e pode prejudicar o rápido desenvolvimento e implantação de produtos e serviços de saúde digitais, incluindo os baseados na inteligência artificial.

O estudo acima referido sobre a aplicação do RGPD no setor da saúde observa que o regulamento prevê amplos direitos de acesso e transmissão dos dados por parte das pessoas singulares, incluindo os dados de saúde. No entanto, a sua aplicação prática é dificultada pela fraca interoperabilidade no setor dos cuidados de saúde, que, até ao momento, tem sido abordada sobretudo por intermédio de instrumentos jurídicos não vinculativos. As diferenças existentes nas normas e especificações locais, regionais e nacionais podem também impedir os fabricantes de produtos digitais de saúde e os prestadores de serviços digitais de saúde de entrarem em novos mercados, nos quais têm de se adaptar a novas normas. A presente proposta legislativa destina-se, assim, a complementar os direitos e as garantias previstos no RGPD, para que os seus objetivos possam ser efetivamente alcançados.

O mesmo estudo examinou a utilização extensiva, a nível nacional, de disposições facultativas de especificação ao abrigo do RGPD. Esta situação criou fragmentação e dificuldades de acesso aos dados de saúde eletrónicos, tanto a nível nacional como entre os Estados-Membros, tendo ainda impacto na possibilidade de investigadores, inovadores, decisores políticos e entidades reguladoras executarem as suas tarefas ou realizarem investigação ou inovação. Em última análise, foi prejudicial para a economia europeia.

Na avaliação de impacto, o exame do artigo 14.º da Diretiva Cuidados de Saúde Transfronteiriços mostra que as abordagens adotadas até ao momento, que consistem em instrumentos pouco intensivos/não vinculativos, tais como orientações e recomendações destinadas a apoiar a interoperabilidade, não produziram os resultados desejados. O acesso das pessoas singulares aos seus dados de saúde eletrónicos pessoais e o respetivo controlo são ainda limitados e existem deficiências significativas na interoperabilidade dos sistemas de informação utilizados no domínio da saúde. Além disso, as abordagens nacionais para resolver os problemas têm um âmbito limitado e não resolvem inteiramente a questão à escala da UE. Atualmente, o intercâmbio transfronteiriço de dados de saúde eletrónicos é ainda muito limitado, o que se explica, em parte, pela diversidade significativa das normas aplicadas aos dados de saúde eletrónicos nos diferentes Estados-Membros. Em muitos Estados-Membros, existem enormes desafios nacionais, regionais e locais no domínio da interoperabilidade e portabilidade dos dados, o que dificulta a continuidade dos cuidados e a eficiência dos sistemas de saúde. Mesmo que os dados de saúde estejam disponíveis em formato eletrónico, normalmente não acompanham as pessoas singulares quando utilizam serviços de outro prestador de cuidados de saúde. A proposta de EEDS dará resposta a estes desafios a nível da UE, proporcionando mecanismos para melhorar as soluções de interoperabilidade utilizadas a nível nacional, regional e local e reforçando os direitos das pessoas singulares.

Por conseguinte, é necessária uma ação a nível da UE, com o conteúdo e a forma indicados, para promover o fluxo transfronteiriço de dados de saúde eletrónicos e fomentar um verdadeiro mercado interno de dados de saúde eletrónicos e de produtos e serviços de saúde digitais.

•Proporcionalidade

A iniciativa procura pôr em prática as medidas necessárias para alcançar os principais objetivos. A proposta cria um quadro facilitador que não excede o necessário para atingir os objetivos, dá resposta aos obstáculos existentes para promover a concretização do potencial valor dos dados de saúde eletrónicos e estabelece um quadro que reduz a fragmentação e a insegurança jurídica. A iniciativa envolve e depende do trabalho das autoridades nacionais, procurando uma forte participação das partes interessadas.

O regulamento proposto originará custos financeiros e administrativos, que serão suportados mediante a afetação de recursos, tanto a nível dos Estados-Membros como da UE. A avaliação de impacto demonstra que a opção estratégica preferida traz os melhores benefícios ao menor custo. A opção estratégica preferida não excede o necessário para alcançar os objetivos dos Tratados.

•Escolha do instrumento

A proposta assume a forma de um novo regulamento. Este é considerado o instrumento mais adequado, dada a necessidade de um quadro regulamentar que aborde diretamente os direitos das pessoas singulares e reduza a fragmentação no mercado único digital. Para evitar a fragmentação que resultou da utilização não uniforme das cláusulas pertinentes do RGPD (por exemplo, o artigo 9.º, n.º 4), o EEDS utiliza as opções oferecidas pelo RGPD de adoção de legislação da UE no que diz respeito à utilização de dados de saúde, para vários fins. Na preparação da proposta, foram cuidadosamente analisados os diferentes contextos jurídicos nacionais que estabeleceram legislação nacional com base no RGPD. A fim de evitar perturbações importantes, mas também desenvolvimentos futuros incoerentes, o EEDS visa apresentar uma iniciativa que tenha em conta os principais elementos comuns dos diferentes quadros. Não se optou por uma diretiva, uma vez que esta permitiria uma aplicação divergente e um mercado fragmentado que poderiam afetar a proteção e a livre circulação de dados pessoais no setor da saúde. A proposta reforçará a economia de dados de saúde da UE, aumentando a segurança jurídica e garantindo um quadro jurídico setorial plenamente uniforme e coerente. O regulamento proposto insta igualmente à participação das partes interessadas, a fim de assegurar que os requisitos satisfaçam as necessidades dos profissionais de saúde, das pessoas singulares, do meio académico, da indústria e de outras partes interessadas.

3.RESULTADOS DAS AVALIAÇÕES EX POST, DAS CONSULTAS DAS PARTES INTERESSADAS E DAS AVALIAÇÕES DE IMPACTO

•Avaliações ex post/balanços de qualidade da legislação existente

A Diretiva Cuidados de Saúde Transfronteiriços foi adotada em 2011 e transposta em todos os Estados-Membros até 2015. O artigo 14.º da diretiva, que cria a rede de saúde em linha, foi objeto de uma avaliação a fim de compreender melhor o impacto que teve na saúde digital na UE. A avaliação, que constitui um anexo do documento de trabalho dos serviços da Comissão sobre a avaliação de impacto do EEDS, conclui que o seu impacto foi bastante limitado. A avaliação das disposições relativas à saúde em linha ao abrigo da diretiva concluiu que a sua eficácia e eficiência foram bastante limitadas e que tal se deveu à natureza voluntária das ações da rede de saúde em linha.

Os progressos foram lentos na utilização dos dados de saúde eletrónicos pessoais para fins primários no contexto dos cuidados de saúde transfronteiriços. A plataforma A minha saúde @ UE (MyHealth@EU) foi implementada em apenas dez Estados-Membros e, atualmente, apoia apenas dois serviços (receita eletrónica e resumo de saúde do doente). A baixa e lenta utilização está, em parte, relacionada com o facto de que a diretiva, embora estabeleça o direito das pessoas singulares a receberem um registo escrito do tratamento efetuado, não exige que esse registo médico seja fornecido em formato eletrónico. O acesso das pessoas singulares aos seus dados de saúde eletrónicos pessoais continua a ser oneroso e as pessoas singulares têm um controlo limitado sobre os seus próprios dados de saúde e sobre a utilização dos mesmos para efeitos de diagnóstico e tratamento médicos. A rede de saúde em linha recomendou que os Estados-Membros utilizassem as normas e especificações do formato de intercâmbio de registos de saúde eletrónicos nos seus contratos públicos, a fim de reforçar a interoperabilidade. No entanto, a utilização efetiva do formato por parte dos Estados-Membros foi limitada, resultando num panorama fragmentado e em desigualdades no acesso aos dados de saúde eletrónicos e na sua portabilidade.

A maioria dos Estados-Membros deverá implementar a plataforma A minha saúde @ UE (MyHealth@EU) até 2025. Só quando mais Estados-Membros tiverem implementado esta plataforma e desenvolvido os instrumentos necessários é que a sua utilização, desenvolvimento e manutenção se tornarão mais eficientes em toda a UE. No entanto, os progressos registados nos últimos anos no domínio da saúde em linha exigem uma ação mais coordenada a nível da UE.

Ainda assim, na sequência do surto da pandemia de COVID-19 na Europa, a rede de saúde em linha revelou-se muito eficaz e eficiente em tempos de crise de saúde pública, o que promoveu a convergência política.

No que diz respeito à utilização secundária de dados de saúde eletrónicos, as atividades da rede de saúde em linha foram muito limitadas e pouco eficazes. Os poucos documentos não vinculativos sobre megadados não foram seguidos de outras ações específicas e a sua aplicação continua a ser, na prática, muito limitada. A nível nacional, surgiram outros intervenientes no âmbito da utilização secundária de dados de saúde eletrónicos para além dos representados na rede de saúde em linha. Alguns Estados-Membros criaram diferentes organismos para abordar o assunto e participaram na ação conjunta «Rumo a um Espaço Europeu de Dados de Saúde» (TEHDaS — Towards a European Health Data Space). No entanto, nem esta ação conjunta nem os numerosos fundos disponibilizados pela Comissão, por exemplo no âmbito do Horizonte Europa, para apoiar a utilização secundária de dados de saúde eletrónicos foram suficientemente aplicados em consonância com as atividades da rede de saúde em linha.

Concluiu-se, por conseguinte, que a atual estrutura da rede de saúde em linha deixou de ser adequada. Esta rede permite apenas uma cooperação não vinculativa em matéria de utilização primária de dados de saúde eletrónicos e interoperabilidade, que não resolveu de forma sistemática os problemas de acesso e portabilidade dos dados a nível nacional e transfronteiriço. Além disso, a rede de saúde em linha não é capaz de dar resposta às necessidades relacionadas com a utilização secundária de dados de saúde eletrónicos de uma forma eficaz e eficiente. A Diretiva Cuidados de Saúde Transfronteiriços confere competências para adotar atos de execução sobre a utilização de dados de saúde eletrónicos para utilização primária e secundária, mas estas competências são limitadas.

A pandemia de COVID-19 destacou e sublinhou a importância da disponibilidade e de um acesso seguro e protegido aos dados de saúde pública e de cuidados de saúde para além das fronteiras dos Estados-Membros, bem como da ampla disponibilidade de dados de saúde eletrónicos para a saúde pública no contexto da livre circulação de pessoas na UE durante a pandemia. Tendo por base um quadro regulamentar sólido, a UE tem sido muito eficaz no estabelecimento de normas e serviços a nível da UE para facilitar a livre circulação de pessoas, como é o caso do Certificado Digital COVID da UE. Porém, os progressos globais parecem ser dificultados pela ausência de normas vinculativas ou obrigatórias em toda a UE e, consequentemente, por uma interoperabilidade limitada. A resolução desta questão não só beneficiaria as pessoas singulares, como também contribuiria para a realização do mercado interno digital e para a redução dos obstáculos à livre circulação de produtos e serviços de saúde digitais.

•Consultas das partes interessadas

Na elaboração da presente proposta de EEDS, as partes interessadas foram consultadas de várias formas. A consulta pública recolheu os pontos de vista das partes interessadas sobre as opções para a criação do EEDS 25 . Foram recebidas reações de vários grupos de partes interessadas. Os seus pontos de vista podem ser consultados em pormenor no anexo do documento de trabalho dos serviços da Comissão sobre a avaliação de impacto.

Entre maio e julho de 2021, foi realizada uma consulta pública, tendo a Comissão obtido um total de 382 respostas válidas. Os respondentes manifestaram o seu apoio à ação a nível da UE para acelerar a investigação no domínio da saúde (89 %), promover o controlo por parte das pessoas singulares dos seus próprios dados de saúde (88 %) e facilitar a prestação de cuidados de saúde além-fronteiras (83 %). Verificou-se um grande apoio à promoção do acesso e da partilha de dados de saúde através de uma infraestrutura digital (72 %) ou de uma infraestrutura da UE (69 %). A maioria dos respondentes é também de opinião que as pessoas singulares devem poder transmitir para os sistemas de RSE os dados recolhidos a partir da saúde móvel e da telemedicina (77 %). Um sistema de certificação a nível da UE para promover a interoperabilidade atraiu 52 % de apoio.

No domínio da utilização secundária de dados de saúde, a maioria dos respondentes afirmou que um organismo da UE poderia facilitar o acesso aos dados de saúde para fins secundários (87 %). A utilização obrigatória de normas e requisitos técnicos é apoiada por 67 % dos respondentes.

Os pontos de vista das partes interessadas foram também recolhidos através do estudo sobre a «Avaliação das regras dos Estados-Membros da UE em matéria de dados de saúde à luz do RGPD». Durante o estudo, realizaram-se cinco seminários com representantes dos ministérios da saúde, peritos, representantes das partes interessadas e peritos dos serviços nacionais de proteção de dados 26 . Foi igualmente realizado um inquérito às partes interessadas para validar de forma cruzada e complementar os temas abordados e identificados. No total, o inquérito em linha recebeu 543 respostas. 73 % dos respondentes de um inquérito em linha consideram que ter dados de saúde num espaço de dados pessoal ou num portal do utente facilita a transmissão de dados entre prestadores de cuidados de saúde. Além disso, 87 % consideram que a falta de portabilidade dos dados aumenta os custos dos cuidados de saúde, enquanto 84 % consideram que a falta de portabilidade dos dados atrasa o diagnóstico e o tratamento. Cerca de 84 % consideram que devem ser tomadas medidas adicionais a nível da UE para reforçar o controlo por parte das pessoas singulares dos seus dados de saúde. Cerca de 81 % consideram que a utilização de diferentes bases jurídicas do RGPD dificulta a partilha de dados de saúde, sendo igual a percentagem de respondentes que sugerem que a UE deve apoiar a utilização secundária de dados de saúde ao abrigo da mesma base jurídica.

Um estudo sobre as lacunas regulamentares na prestação transfronteiriça de serviços e produtos de saúde digitais, incluindo os baseados na inteligência artificial, centrou-se numa avaliação do quadro existente para o intercâmbio transfronteiriço de dados de saúde. Entre setembro de 2020 e agosto de 2021, realizou-se um estudo sobre dados de saúde, saúde digital e inteligência artificial nos cuidados de saúde. Este estudo fornece os dados necessários para permitir a elaboração de políticas informadas nos domínios dos produtos e serviços de saúde digitais, da inteligência artificial e da governação da utilização de dados de saúde, bem como a avaliação do artigo 14.º da Diretiva Cuidados de Saúde Transfronteiriços. As atividades de consulta incluíram entrevistas, grupos de reflexão e inquéritos em linha. As partes interessadas apoiam medidas em vários domínios, incluindo orientações em matéria de qualidade dos produtos e serviços de saúde digitais, interoperabilidade, reembolso, identificação e autenticação, e literacia e competências digitais. No que diz respeito à utilização primária, as partes interessadas apoiam a atribuição às autoridades nacionais de saúde digital de tarefas de apoio à prestação transfronteiriça de serviços de saúde digitais e ao acesso a dados de saúde eletrónicos. Além disso, apoiam a expansão dos serviços A minha saúde @ UE (MyHealth@EU). Existe também apoio no sentido de dar às pessoas singulares o direito à portabilidade dos seus registos de saúde eletrónicos num formato interoperável. Quanto à utilização secundária, há apoio à criação de uma estrutura e de um quadro jurídico e de governação, tendo por base a criação de organismos responsáveis pelo acesso aos dados de saúde em vários Estados-Membros, com cooperação a nível da UE por intermédio de uma rede ou de um grupo consultivo. A fim de reduzir os obstáculos, haveria apoio à criação de especificações e normas.

Entre abril e dezembro de 2021, realizou-se um estudo sobre uma infraestrutura e um ecossistema de dados, em apoio à avaliação de impacto do EEDS 27 . Este estudo tem por objetivo apresentar informações baseadas em dados concretos que apoiem a avaliação de impacto das opções para uma infraestrutura de saúde digital europeia. O estudo identifica, caracteriza e avalia opções para uma infraestrutura digital, descreve a relação custo-eficácia e fornece dados sobre os impactos esperados, tanto para a utilização primária como para a utilização secundária dos dados de saúde eletrónicos. Foram realizados seminários interativos com 65 partes interessadas que participam ativamente na utilização de dados de saúde, de diferentes origens: ministérios da saúde, autoridades de saúde digital, pontos de contacto nacionais para a saúde em linha, infraestruturas de investigação de dados de saúde, agências reguladoras, organismos responsáveis pelo acesso aos dados de saúde, prestadores de cuidados de saúde, doentes e grupos de apoio. Além disso, foi elaborado um inquérito centrado nos custos, que incluía questões relacionadas com o valor, os benefícios, o impacto e o custo das diferentes opções.

Por último, o estudo de avaliação de impacto foi realizado entre junho e dezembro de 2021, tendo por objetivo apresentar informações baseadas em dados concretos que apoiassem a avaliação de impacto das opções para o EEDS. O estudo apresentou e avaliou as opções estratégicas globais para o EEDS, com base nos dados recolhidos nos estudos anteriores. A «consulta pública sobre a superação dos obstáculos transfronteiriços» 28 demonstra igualmente que as pessoas singulares enfrentam obstáculos conexos no contexto das regiões transfronteiriças. No anexo do documento de trabalho dos serviços da Comissão é possível encontrar mais pormenores sobre estes estudos.

•Recolha e utilização de conhecimentos especializados

Vários estudos e contributos apoiaram o trabalho sobre o EEDS, nomeadamente:

●Um estudo sobre a «Avaliação das regras dos Estados-Membros da UE em matéria de dados de saúde à luz do RGPD» 29 ;

●Um estudo sobre as lacunas regulamentares na prestação transfronteiriça de serviços e produtos de saúde digitais, incluindo os baseados na inteligência artificial, e uma avaliação do quadro existente para o intercâmbio transfronteiriço de dados de saúde (a publicar);

●Um estudo sobre uma infraestrutura e um ecossistema de dados, em apoio à avaliação de impacto do EEDS (a publicar);

●Um estudo de apoio à avaliação de impacto das opções estratégicas para uma iniciativa da UE sobre um EEDS (a publicar);

●Um estudo sobre a interoperabilidade dos registos de saúde eletrónicos na União Europeia (MonitorEHR) 30 ;

●Um estudo sobre a utilização de dados do mundo real (DMR) para a investigação, os cuidados clínicos, a tomada de decisões regulamentares, a avaliação das tecnologias da saúde e a elaboração de políticas, bem como o seu resumo 31 ;

●Um estudo de mercado sobre telemedicina 32 ;

●O parecer preliminar da Autoridade Europeia para a Proteção de Dados (AEPD) sobre o EEDS 33 .

•Avaliação de impacto

A presente proposta foi objeto de uma avaliação de impacto. Em 26 de novembro de 2021, o Comité de Controlo da Regulamentação emitiu um parecer negativo sobre a primeira apresentação. Após uma revisão substancial da avaliação de impacto para ter em conta as observações e uma nova apresentação da avaliação de impacto, o Comité de Controlo da Regulamentação emitiu um parecer positivo sem reservas em 26 de janeiro de 2022. O anexo 1 do documento de trabalho dos serviços da Comissão inclui os pareceres do Comité, as recomendações deste e uma explicação sobre como foram tidas em conta.

A Comissão examinou diferentes opções estratégicas para alcançar os objetivos gerais da proposta, que consistem em garantir que as pessoas singulares tenham controlo sobre os seus próprios dados de saúde eletrónicos, que possam beneficiar de uma série de produtos e serviços relacionados com a saúde e que os investigadores, os inovadores, os decisores políticos e as entidades reguladoras possam tirar o máximo partido dos dados de saúde eletrónicos disponíveis.

Foram avaliadas três opções estratégicas com diferentes graus de intervenção regulamentar e duas variações adicionais dessas opções:

–Opção 1: Intervenção de baixa intensidade: assenta num mecanismo de cooperação reforçada e em instrumentos voluntários que abrangeriam produtos e serviços de saúde digitais e a utilização secundária de dados de saúde eletrónicos. Seria apoiada por uma governação e infraestrutura digital melhoradas.

–Opções 2 e 2+: Intervenção de média intensidade: reforçaria os direitos das pessoas singulares de controlarem digitalmente os seus dados de saúde e disponibilizaria um quadro da UE para a utilização secundária de dados de saúde eletrónicos. A governação dependeria de organismos nacionais para a utilização primária e secundária de dados de saúde eletrónicos, que aplicariam as políticas a nível nacional e, a nível da UE, apoiariam a elaboração de requisitos adequados. Duas infraestruturas digitais apoiariam a partilha transfronteiriça e a utilização secundária de dados de saúde eletrónicos. A aplicação seria apoiada por uma certificação obrigatória dos sistemas de RSE e por um rótulo voluntário para as aplicações de bem-estar, garantindo assim a transparência para as autoridades, os compradores e os utilizadores.

–Opções 3 e 3+: Intervenção de elevada intensidade: iria mais longe do que a opção 2, atribuindo a definição de requisitos a nível da UE e o acesso aos dados de saúde eletrónicos transfronteiriços a um organismo da UE novo ou existente. Alargaria igualmente a cobertura da certificação.

A opção preferida é a opção 2+, que se baseia na opção 2. Esta opção permitiria assegurar uma certificação dos sistemas de RSE, um rótulo voluntário para aplicações de bem-estar e um efeito de cascata nos dispositivos médicos destinados ser interoperáveis com os sistemas de RSE. Esta opção asseguraria o melhor equilíbrio entre eficácia e eficiência na consecução dos objetivos. A opção 1 melhoraria a base de referência apenas ligeiramente, pois continuaria a ser voluntária. A opção 3 seria igualmente eficaz, mas comportaria custos mais elevados, poderia ter um maior impacto nas PME e poderia ser menos viável do ponto de vista político.

A opção preferida asseguraria a possibilidade de as pessoas singulares acederem e transmitirem digitalmente os seus dados de saúde eletrónicos, permitindo também o acesso aos mesmos, independentemente do prestador de cuidados de saúde e da fonte dos dados. A minha saúde @ UE (MyHealth@EU) tornar-se-ia obrigatória e as pessoas singulares poderiam partilhar os seus dados de saúde eletrónicos pessoais além-fronteiras numa língua estrangeira. Os requisitos e a certificação obrigatórios (para os sistemas de RSE e os dispositivos médicos que aleguem interoperabilidade com os sistemas de RSE), bem como um rótulo voluntário para aplicações de bem-estar, assegurariam a transparência para os utilizadores e compradores e reduziriam os obstáculos ao mercado transfronteiras para os fabricantes.

Os requisitos obrigatórios foram mantidos, mas a certificação por terceiros foi alterada para autocertificação, acompanhada de uma cláusula de revisão antecipada, que permite uma possível transição posterior para a certificação por terceiros. Dada a novidade da certificação, decidiu-se optar por uma abordagem faseada, que permitiria aos Estados-Membros e aos fabricantes menos preparados dispor de mais tempo para porem em prática o sistema de certificação e reforçarem as suas capacidades. Ao mesmo tempo, os Estados-Membros mais avançados podem exigir controlos específicos a nível nacional no contexto da contratação pública, do financiamento e do reembolso dos sistemas de RSE. Tal alteração reduziria os custos estimados de certificação de um fabricante individual de um sistema de RSE de 20 000-50 000 EUR para 12 000-38 000 EUR, o que poderia resultar numa redução de cerca de 30 % dos custos globais para os fabricantes (de 0,3-1,7 mil milhões de EUR para 0,2-1,2 mil milhões de EUR).

Este sistema parece ser o mais adequado para os fabricantes em termos de encargos administrativos e potenciais limitações de capacidade dos organismos notificados para a certificação por terceiros. Porém, os benefícios reais que produz para os Estados-Membros, os doentes e os compradores terão de ser cuidadosamente analisados na avaliação do quadro jurídico ao fim de cinco anos.

No que diz respeito à utilização secundária de dados de saúde eletrónicos, os investigadores, os inovadores, os decisores políticos e as entidades reguladoras poderiam ter acesso, de forma segura, a dados de qualidade para o seu trabalho, com uma governação de confiança e a custos inferiores aos do consentimento. O quadro comum para a utilização secundária reduziria a fragmentação e os obstáculos aos acessos transfronteiriços. A opção preferida exige que os Estados-Membros criem um ou mais organismos responsáveis pelo acesso aos dados de saúde (com um organismo de coordenação), que possam facultar acesso a dados de saúde eletrónicos a terceiros, quer como uma nova organização quer como parte de uma organização existente, tendo por base o Regulamento Governação de Dados. Os custos serão parcialmente compensados através de taxas cobradas pelos organismos responsáveis pelo acesso aos dados de saúde. Espera-se que a criação de organismos responsáveis pelo acesso aos dados de saúde reduza os custos para as entidades reguladoras e os decisores políticos no acesso aos dados de saúde eletrónicos, graças a uma maior transparência da eficácia dos medicamentos, resultando numa redução dos custos nos processos regulamentares e nos contratos públicos no domínio da saúde. A digitalização também pode reduzir os testes desnecessários e assegurar a transparência das despesas, permitindo poupanças no orçamento da saúde. Os fundos da UE prestarão apoio à digitalização.

O objetivo consiste em garantir a transparência das informações relativas aos conjuntos de dados para os utilizadores dos dados, recorrendo igualmente a uma abordagem faseada. Desta forma, a descrição do conjunto de dados seria obrigatória para todos os conjuntos de dados, excluindo os detidos por microempresas, enquanto o rótulo de qualidade autodeclarada dos dados seria obrigatório apenas para os detentores de dados com conjuntos de dados financiados por fundos públicos, sendo voluntário para os demais. Estas pequenas diferenças introduzidas após a avaliação de impacto não alteram substancialmente o cálculo dos custos para os detentores de dados decorrente da avaliação de impacto.

Prevê-se que os benefícios económicos totais desta opção, ao longo de dez anos, sejam superiores a 11 mil milhões de EUR, acima da base de referência. Este montante seria repartido quase equitativamente entre os benefícios decorrentes das medidas relativas às utilizações primárias (5,6 mil milhões de EUR) e secundárias (5,4 mil milhões de EUR) dos dados de saúde.

No domínio da utilização primária de dados de saúde, os doentes e os prestadores de cuidados de saúde terão benefícios de cerca de 1,4 mil milhões de EUR e 4 mil milhões de EUR, respetivamente, decorrentes de poupanças nos serviços de saúde por intermédio de uma maior utilização da telemedicina e de intercâmbios mais eficientes de dados de saúde, incluindo a nível transfronteiriço.

Quanto à utilização secundária de dados de saúde, os investigadores e inovadores no domínio da saúde digital, dos dispositivos médicos e dos medicamentos teriam benefícios superiores a 3,4 mil milhões de EUR, graças a uma utilização secundária mais eficiente dos dados de saúde. Os doentes e os cuidados de saúde beneficiariam de poupanças de 0,3 e 0,9 mil milhões de EUR, respetivamente, graças ao acesso a produtos médicos mais inovadores e a uma melhor tomada de decisões. A utilização mais intensiva de dados do mundo real na elaboração das políticas de saúde geraria poupanças adicionais, estimadas em 0,8 mil milhões de EUR, para os decisores políticos e as entidades reguladoras.

Os custos globais da opção preferida foram estimados em 0,7-2 mil milhões de EUR acima da base de referência, ao longo de dez anos. A maioria dos custos teria origem em medidas relativas às utilizações primárias (0,3-1,3 mil milhões de EUR) e secundárias (0,4-0,7 mil milhões de EUR) dos dados de saúde.

No domínio da utilização primária de dados de saúde, seriam os fabricantes de sistemas de RSE e de produtos destinados a ligar-se a sistemas de RSE que suportariam a maior parte dos custos. Estes ascenderiam a cerca de 0,2-1,2 mil milhões de EUR devido à introdução gradual da certificação de sistemas de RSE, dispositivos médicos e sistemas de IA de risco elevado e da rotulagem voluntária para aplicações de bem-estar. Os restantes custos (menos de 0,1 mil milhões de EUR) ficariam a cargo das autoridades públicas, a nível nacional e da UE, para completar a cobertura de A minha saúde @ UE (MyHealth@EU).

No domínio da utilização secundária de dados de saúde, as autoridades públicas, incluindo as entidades reguladoras e os decisores políticos a nível dos Estados-Membros e da UE, suportariam os custos (0,4-0,7 mil milhões de EUR) da implantação dos organismos responsáveis pelo acesso aos dados de saúde e da infraestrutura digital necessária para ligar esses organismos, as infraestruturas de investigação e os organismos da UE, bem como da promoção da interoperabilidade e da qualidade dos dados.

A opção preferida limita-se aos aspetos que os Estados-Membros não podem alcançar satisfatoriamente pelos seus próprios meios, conforme demonstrado pela avaliação do artigo 14.º da Diretiva Cuidados de Saúde Transfronteiriços. A opção preferida é proporcionada, dada a intensidade média da proposta e os benefícios esperados para as pessoas singulares e para a indústria.

A avaliação dos impactos ambientais, em conformidade com a Lei Europeia em matéria de Clima 34 , mostra que a presente proposta resultaria em impactos limitados no clima e no ambiente. Embora as novas infraestruturas digitais e o aumento dos volumes de tráfego e armazenamento de dados possam aumentar a poluição digital, uma maior interoperabilidade na saúde compensaria em grande medida esses impactos negativos, reduzindo a poluição relacionada com viagens e a utilização de energia e papel.

•Adequação da regulamentação e simplificação

Não aplicável.

•Direitos fundamentais

Uma vez que a utilização de dados de saúde eletrónicos implica o tratamento de dados pessoais sensíveis, alguns elementos do regulamento proposto são abrangidos pelo âmbito de aplicação da legislação da UE em matéria de proteção de dados. As disposições da presente proposta estão em conformidade com essa legislação e destinam-se a complementar os direitos por ela conferidos, reforçando o acesso e o controlo por parte das pessoas singulares dos seus dados de saúde eletrónicos. Prevê-se que a proposta tenha um impacto positivo significativo nos direitos fundamentais relacionados com a proteção dos dados pessoais e a livre circulação, dado que, ao abrigo de A minha saúde @ UE (MyHealth@EU), as pessoas singulares poderão efetivamente partilhar os seus dados de saúde eletrónicos pessoais na língua do país de destino quando viajam para o estrangeiro ou levar os seus dados de saúde eletrónicos pessoais consigo quando se mudam para outro país. As pessoas singulares terão possibilidades adicionais de aceder e transmitir digitalmente os seus dados de saúde eletrónicos, com base nas disposições do RGPD. Os operadores do mercado do setor da saúde (prestadores de cuidados de saúde ou prestadores de serviços e produtos digitais) serão obrigados a partilhar dados de saúde eletrónicos com terceiros do setor da saúde selecionados pelos utilizadores. A proposta proporcionará os meios para fazer respeitar estes direitos (por intermédio de normas, especificações e rótulos comuns), sem comprometer as medidas de segurança necessárias para proteger os direitos das pessoas singulares ao abrigo do RGPD. Desta forma, contribuirá para uma maior proteção dos dados pessoais relacionados com a saúde e para a livre circulação desses dados, conforme consagrado no artigo 16.º do TFUE e no RGPD.

No que diz respeito à utilização secundária de dados de saúde eletrónicos, por exemplo para efeitos de inovação, investigação, políticas públicas, segurança dos doentes, regulamentação ou medicina personalizada, a proposta seguirá e cumprirá a legislação da UE relativa à proteção de dados nesta matéria. Serão aplicadas salvaguardas e medidas de segurança sólidas para garantir a plena proteção dos direitos fundamentais da proteção de dados, em conformidade com o artigo 8.º da Carta dos Direitos Fundamentais da UE. A proposta estabelece um quadro da UE relativo ao acesso a dados de saúde eletrónicos para fins de investigação científica e histórica e para fins estatísticos, tendo por base as possibilidades oferecidas a este respeito pelo RGPD e, no caso das instituições e dos organismos da UE, pelo Regulamento da UE sobre Proteção de Dados. Incluirá medidas adequadas e específicas necessárias para salvaguardar os direitos fundamentais e os interesses das pessoas singulares, em conformidade com o artigo 9.º, n.º 2, alíneas h), i) e j), do RGPD e com o artigo 10.º, n.º 2, alíneas h), i) e j), do Regulamento da UE sobre Proteção de Dados. A criação de organismos responsáveis pelo acesso aos dados de saúde assegurará um acesso previsível e simplificado aos dados de saúde eletrónicos, bem como um nível mais elevado de transparência, responsabilização e segurança no tratamento dos dados. A coordenação destes organismos a nível da UE e a integração das suas atividades num quadro comum assegurarão condições de concorrência equitativas, apoiando desta forma a análise transfronteiriça de dados de saúde eletrónicos para fins de investigação, inovação, estatísticas oficiais, elaboração de políticas e regulamentação. A promoção da interoperabilidade dos dados de saúde eletrónicos e da sua utilização secundária contribuirá para fomentar um mercado interno da UE de dados de saúde eletrónicos, em consonância com o artigo 114.º do TFUE.

4.INCIDÊNCIA ORÇAMENTAL

A presente proposta estabelece uma série de obrigações para as autoridades dos Estados-Membros e a Comissão, exigindo ações específicas para promover a criação e o funcionamento do EEDS. Estas abrangem, em especial, o desenvolvimento, a implantação e a manutenção de infraestruturas para as utilizações primárias e secundárias de dados de saúde eletrónicos. O EEDS tem fortes ligações com muitas outras ações da União nos domínios da saúde e da assistência social, da digitalização, da investigação, da inovação e dos direitos fundamentais.

Nos seus programas de trabalho de 2021 e 2022, o Programa UE pela Saúde já apoia o desenvolvimento e a criação do EEDS com uma contribuição inicial substancial de quase 110 milhões de EUR. Tal inclui o funcionamento da infraestrutura existente para utilizações primárias de dados de saúde eletrónicos [A minha saúde @ UE (MyHealth@EU)] e a utilização secundária de dados de saúde eletrónicos [Dados de saúde @ UE (HealthData@EU)], a adoção de normas internacionais pelos Estados-Membros, ações de reforço das capacidades e outras ações preparatórias, bem como um projeto-piloto de infraestrutura para a utilização secundária de dados de saúde, um projeto-piloto para o acesso dos doentes aos seus dados de saúde através de A minha saúde @ UE (MyHealth@EU) e a sua expansão, e o desenvolvimento de serviços centrais para utilizações secundárias de dados de saúde.

O cumprimento das obrigações pela Comissão e as ações de apoio conexas ao abrigo da presente proposta legislativa exigirão 220 milhões de EUR entre 2023 e 2027, com financiamento direto pelo Programa UE pela Saúde (170 milhões de EUR) e apoio adicional do Programa Europa Digital (50 milhões de EUR) 35 . Em ambos os casos, as despesas relacionadas com a presente proposta serão cobertas pelos montantes programados destes programas.

A execução de ações para o controlo e o acesso das pessoas singulares aos dados de saúde eletrónicos pessoais no âmbito da prestação de cuidados de saúde (capítulo II) exigirá 110 milhões de EUR. Estas ações incluem as operações dos serviços da plataforma digital europeia de saúde para A minha saúde @ UE (MyHealth@EU), as auditorias dos Estados-Membros aos pontos de contacto nacionais para a saúde digital como parte de A minha saúde @ UE (MyHealth@EU), o apoio à adoção de normas internacionais e o apoio ao acesso dos doentes aos dados de saúde através de A minha saúde @ UE.

A aplicação do sistema de autocertificação dos sistemas de RSE (capítulo III) exigirá mais de 14 milhões de EUR, tendo em vista desenvolver e manter uma base de dados europeia para sistemas de RSE e aplicações de bem-estar interoperáveis. Além disso, os Estados-Membros serão obrigados a designar autoridades de fiscalização do mercado responsáveis pela aplicação dos requisitos legislativos. A sua função de supervisão para a autocertificação dos sistemas de RSE poderia basear-se nas disposições existentes, por exemplo em matéria de fiscalização do mercado, mas exigiria conhecimentos especializados e recursos humanos e financeiros suficientes. As ações destinadas à utilização secundária de dados de saúde eletrónicos para fins de investigação, inovação, elaboração de políticas, decisões regulamentares, segurança dos doentes ou medicina personalizada (capítulo IV) exigirão 96 milhões de EUR. Este financiamento cobrirá as auditorias da plataforma europeia e dos Estados-Membros aos nós de ligação, como parte da infraestrutura para utilizações secundárias de dados de saúde eletrónicos [Dados de saúde @ UE (HealthData@EU)].

Além disso, os custos da ligação dos Estados-Membros às infraestruturas europeias no âmbito do EEDS serão parcialmente cobertos por programas de financiamento da UE que complementarão o Programa UE pela Saúde. Instrumentos como o Mecanismo de Recuperação e Resiliência (MRR) e o Fundo Europeu de Desenvolvimento Regional (FEDER) poderão apoiar a ligação dos Estados-Membros às infraestruturas europeias.

A execução dos objetivos e das disposições do presente regulamento será complementada por outras ações no âmbito do Programa Europa Digital, do Mecanismo Interligar a Europa e do Horizonte Europa. Estes programas visam, nomeadamente, o aumento de melhores recursos de dados de qualidade e mecanismos de intercâmbio […] correspondentes 36 (ao abrigo do objetivo específico «Inteligência artificial») e [d]esenvolver, promover e impulsionar a excelência científica 37 , respetivamente, incluindo no domínio da saúde. Alguns exemplos dessa complementaridade incluem o apoio horizontal ao desenvolvimento e a projetos-piloto em larga escala de uma plataforma de software intermédio inteligente para espaços comuns de dados, à qual já foram atribuídos 105 milhões de EUR do Programa Europa Digital em 2021-2022; investimentos específicos por domínio para facilitar o acesso seguro transfronteiriço a genómica e imagens oncológicas, apoiados pelo Programa Europa Digital em 2021-2022 com 38 milhões de EUR; e projetos de investigação e inovação e ações de coordenação e apoio em matéria de qualidade e interoperabilidade dos dados de saúde já apoiados pelo Horizonte Europa (agregado 1) com 108 milhões de EUR em 2021 e 2022, bem como 59 milhões de EUR do programa Infraestruturas de Investigação. Em 2021 e 2022, o Horizonte Europa prestou apoio adicional à utilização secundária de dados de saúde referentes à COVID-19 (42 milhões de EUR) e ao cancro (3 milhões de EUR).

Por outro lado, nos casos em que falte conectividade física no setor da saúde, o Mecanismo Interligar a Europa irá também contribuir para o desenvolvimento de projetos de interesse comum relacionados com a implantação e o acesso a redes de muito alta capacidade, incluindo a sistemas de 5G, e para a maior resiliência e capacidade das redes digitais dorsais nos territórios da União 38 . Estão programados 130 milhões de EUR em 2022 e 2023 para a interligação de infraestruturas de computação em nuvem, incluindo no domínio da saúde.

Os custos administrativos da Comissão foram estimados em cerca de 17 milhões de EUR, incluindo os custos com recursos humanos e outras despesas administrativas.

A ficha financeira legislativa em anexo à presente proposta estabelece as implicações em termos de orçamento e recursos humanos e administrativos.

5.OUTROS ELEMENTOS

•Planos de execução e acompanhamento, avaliação e prestação de informações

Dada a natureza dinâmica da transformação digital da saúde, o acompanhamento da evolução dos impactos decorrentes do EEDS constituirá uma parte essencial da ação neste domínio. A fim de assegurar que as medidas estratégicas selecionadas produzem efetivamente os resultados pretendidos e de fundamentar eventuais revisões futuras, é necessário acompanhar e avaliar a aplicação da presente proposta.

O acompanhamento dos objetivos específicos e das obrigações regulamentares será concretizado, em primeiro lugar, por intermédio da apresentação de relatórios pelas autoridades de saúde digital e pelos organismos responsáveis pelo acesso aos dados de saúde. Além disso, proceder-se-á ao acompanhamento dos indicadores A minha saúde @ UE (MyHealth@EU) e da infraestrutura para utilizações secundárias de dados de saúde eletrónicos.

A implementação das infraestruturas, em especial a implementação da plataforma europeia da nova infraestrutura para utilizações secundárias de dados de saúde eletrónicos, será realizada em consonância com o quadro geral de governação de tecnologias de informação da Comissão Europeia. Por conseguinte, as escolhas relativas ao desenvolvimento e à contratação de tecnologias de informação serão sujeitas à aprovação prévia do Conselho de Tecnologias da Informação e Cibersegurança da Comissão Europeia.

•Explicação pormenorizada das disposições específicas da proposta

O capítulo I apresenta o objeto e o âmbito de aplicação do regulamento, estabelece as definições utilizadas no instrumento e explica a sua relação com outros instrumentos da UE.

O capítulo II especifica os direitos e mecanismos adicionais destinados a complementar os direitos das pessoas singulares previstos no RGPD em relação aos seus dados de saúde eletrónicos. Além disso, descreve as obrigações dos vários profissionais de saúde em relação aos dados de saúde eletrónicos. A integração no EEDS de alguns tipos de dados de saúde eletrónicos é identificada como prioritária, num processo faseado com um período de transição. Os Estados-Membros terão de criar uma autoridade de saúde digital, responsável pelo controlo destes direitos e mecanismos e por assegurar que estes direitos adicionais das pessoas singulares sejam devidamente aplicados. Este capítulo inclui disposições relacionadas com a interoperabilidade de determinados conjuntos de dados relacionados com a saúde. Os Estados-Membros terão igualmente de designar um ponto de contacto nacional encarregado de fazer cumprir as obrigações e os requisitos previstos neste capítulo. Por último, é criada uma infraestrutura comum A minha saúde @ UE (MyHealth@EU) para facilitar o intercâmbio transfronteiriço de dados de saúde eletrónicos.

O capítulo III centra-se na implementação de um sistema obrigatório de autocertificação para os sistemas de RSE, em que estes sistemas têm de cumprir requisitos essenciais relacionados com a interoperabilidade e a segurança. Esta abordagem é necessária para garantir a compatibilidade dos registos de saúde eletrónicos entre cada sistema e facilitar a transmissão de dados de saúde eletrónicos entre sistemas. Este capítulo define as obrigações de cada operador económico de sistemas de RSE, os requisitos relacionados com a conformidade desses sistemas, bem como as obrigações das autoridades de fiscalização do mercado responsáveis pelos sistemas de RSE no contexto das suas atividades de fiscalização do mercado. Inclui igualmente disposições sobre a rotulagem voluntária das aplicações de bem-estar, interoperáveis com os sistemas de RSE, e cria uma base de dados da UE onde serão registados os sistemas de RSE certificados e as aplicações de bem-estar rotuladas.

O capítulo IV facilita a utilização secundária de dados de saúde eletrónicos, nomeadamente para fins de investigação, inovação, elaboração de políticas, segurança dos doentes ou atividades regulamentares. Define um conjunto de tipos de dados que podem ser utilizados para fins definidos, bem como os fins proibidos (por exemplo, utilização de dados contra pessoas, publicidade comercial, aumento dos seguros, desenvolvimento de produtos perigosos). Os Estados-Membros terão de criar um organismo responsável pelo acesso aos dados de saúde para a utilização secundária de dados de saúde eletrónicos e assegurar que os dados eletrónicos são disponibilizados pelos seus detentores aos utilizadores dos dados. Este capítulo contém igualmente disposições sobre a aplicação do altruísmo de dados na saúde. São também definidos os deveres e as obrigações do organismo responsável pelo acesso aos dados de saúde, dos detentores dos dados e dos utilizadores dos dados. Em especial, os detentores dos dados devem cooperar com o organismo responsável pelo acesso aos dados de saúde para garantir a disponibilidade de dados de saúde eletrónicos para os utilizadores dos dados. Além disso, são definidas as responsabilidades dos organismos responsáveis pelo acesso aos dados de saúde e dos utilizadores dos dados enquanto responsáveis conjuntos pelo tratamento dos dados de saúde eletrónicos tratados.

A utilização secundária de dados de saúde eletrónicos pode implicar custos. Este capítulo inclui disposições gerais sobre a transparência do cálculo das taxas. A nível prático, são estabelecidos requisitos em matéria de segurança do ambiente de tratamento seguro. Esse ambiente de tratamento seguro é necessário para aceder a dados de saúde eletrónicos e tratá-los ao abrigo deste capítulo. As condições e as informações necessárias no formulário de pedido de dados para obter acesso a dados de saúde eletrónicos são enumeradas na secção 3. São igualmente descritas as condições associadas à emissão da autorização de tratamento de dados.

A secção 4 deste capítulo contém principalmente disposições sobre a configuração e a promoção do acesso transfronteiriço aos dados de saúde eletrónicos, de modo que um utilizador de dados de um Estado-Membro possa ter acesso a dados de saúde eletrónicos para utilização secundária noutros Estados-Membros, sem ter de solicitar uma autorização de tratamento de dados a todos os Estados-Membros em causa. A infraestrutura transfronteiriça concebida para permitir esse processo e o seu funcionamento são igualmente descritos.

Por último, este capítulo contém disposições relacionadas com a descrição do conjunto de dados e a sua qualidade. Será assim possível aos utilizadores dos dados determinar o conteúdo e a qualidade potencial do conjunto de dados utilizado e avaliar se os conjuntos de dados são adequados à sua finalidade.

O capítulo V visa apresentar outras medidas destinadas a promover o reforço das capacidades dos Estados-Membros, por forma a acompanhar o desenvolvimento do EEDS. Estas medidas incluem o intercâmbio de informações sobre serviços públicos digitais, financiamento, etc. Além disso, este capítulo regula o acesso internacional a dados não pessoais no EEDS.

O capítulo VI cria o «Conselho do Espaço Europeu de Dados de Saúde» («Conselho do EEDS»), que facilitará a cooperação entre as autoridades de saúde digital e os organismos responsáveis pelo acesso aos dados de saúde, em especial a relação entre a utilização primária e secundária de dados de saúde eletrónicos. Poderão ser criados subgrupos específicos, nomeadamente para a utilização primária de dados de saúde eletrónicos e para a utilização secundária de dados de saúde eletrónicos, a fim de se centrarem em questões ou processos específicos. O Conselho do EEDS será incumbido de promover a colaboração entre as autoridades de saúde digital e os organismos responsáveis pelo acesso aos dados de saúde. Este capítulo estabelece igualmente a composição do Conselho do EEDS e o modo de organização do seu funcionamento.

Além disso, este capítulo contém disposições relacionadas com os grupos de responsabilidade conjunta pelo tratamento para a infraestrutura da UE, que serão incumbidos de tomar decisões relacionadas com a infraestrutura digital transfronteiriça necessária, tanto para a utilização primária como para a utilização secundária de dados de saúde eletrónicos.

O capítulo VII permite à Comissão adotar atos delegados sobre o EEDS. Na sequência da adoção da proposta, a Comissão tenciona criar um grupo de peritos em conformidade com a Decisão C(2016) 3301, a fim de a aconselhar e assistir na preparação de atos delegados, bem como sobre questões relacionadas com a aplicação do regulamento no que diz respeito ao seguinte:

–criação de sistemas e serviços europeus de saúde digital e aplicações interoperáveis que proporcionem vantagens económicas e sociais sustentáveis, com vista a alcançar um elevado nível de confiança e segurança, reforçar a continuidade dos cuidados e assegurar o acesso a cuidados de saúde seguros e de elevada qualidade,

–reforço da interoperabilidade dos dados de saúde eletrónicos para os cuidados de saúde, com base nas normas europeias, internacionais ou nacionais existentes e na experiência de outros espaços de dados,

–aplicação harmonizada do acesso e partilha de dados de saúde eletrónicos para utilização primária, a nível nacional e da UE,

–interoperabilidade dos sistemas de RSE e de outros produtos que transmitem dados para registos de saúde eletrónicos, incluindo dispositivos médicos, sistemas de IA e aplicações de bem-estar. Se for caso disso, o grupo de peritos coopera com o Grupo de Coordenação dos Dispositivos Médicos e com o Comité Europeu para a Inteligência Artificial,

–categorias mínimas de dados de saúde eletrónicos para utilização secundária,

–aplicação harmonizada do acesso a dados de saúde eletrónicos para utilização secundária, a nível nacional e da UE,

–atividades de altruísmo de dados no setor da saúde,

–política harmonizada de taxas para a utilização secundária de dados de saúde eletrónicos,

–sanções aplicadas pelos organismos responsáveis pelo acesso aos dados de saúde,

–requisitos mínimos e especificações técnicas para Dados de saúde @ UE (HealthData@EU) e para os ambientes de tratamento seguros,

–requisitos e especificações técnicas para o rótulo de qualidade e utilidade dos dados,

–conjuntos de dados mínimos,

–requisitos técnicos para apoiar o altruísmo de dados no setor da saúde,

–outros elementos relacionados com a utilização primária e secundária de dados de saúde eletrónicos.

O grupo de peritos pode cooperar com o Grupo de Coordenação dos Dispositivos Médicos e com o Comité Europeu para a Inteligência Artificial e consultá-los, se for caso disso.

O capítulo VIII contém disposições em matéria de cooperação e sanções e estabelece as disposições finais.

2022/0140 (COD)

Proposta de

REGULAMENTO DO PARLAMENTO EUROPEU E DO CONSELHO

relativo ao Espaço Europeu de Dados de Saúde

(Texto relevante para efeitos do EEE)

O PARLAMENTO EUROPEU E O CONSELHO DA UNIÃO EUROPEIA,

Tendo em conta o Tratado sobre o Funcionamento da União Europeia, nomeadamente os artigos 16.º e 114.º,

Tendo em conta a proposta da Comissão Europeia,

Após transmissão do projeto de ato legislativo aos parlamentos nacionais,

Tendo em conta o parecer do Comité Económico e Social Europeu 39 ,

Tendo em conta o parecer do Comité das Regiões 40 ,

Deliberando de acordo com o processo legislativo ordinário,

Considerando o seguinte:

(1)O objetivo do presente regulamento é criar o Espaço Europeu de Dados de Saúde («EEDS»), a fim de melhorar o acesso e o controlo por parte das pessoas singulares dos seus dados de saúde eletrónicos pessoais no contexto dos cuidados de saúde (utilização primária de dados de saúde eletrónicos), bem como para outros fins que possam beneficiar a sociedade, designadamente a investigação, a inovação, a elaboração de políticas, a segurança dos doentes, a medicina personalizada, as estatísticas oficiais ou as atividades de regulamentação (utilização secundária de dados de saúde eletrónicos). Além disso, o presente regulamento tem por objetivo melhorar o funcionamento do mercado interno mediante o estabelecimento de um quadro jurídico uniforme, em especial para o desenvolvimento, a comercialização e a utilização de sistemas de registos de saúde eletrónicos («sistemas de RSE») em conformidade com os valores da União.

(2)A pandemia de COVID-19 pôs em evidência o imperativo de dispor de acesso em tempo útil a dados de saúde eletrónicos para a preparação e resposta a ameaças sanitárias, bem como para fins de diagnóstico, tratamento e utilização secundária de dados de saúde. O referido acesso em tempo útil teria contribuído, através de uma vigilância e acompanhamento eficientes em saúde pública, para uma gestão mais eficaz da pandemia e, em última instância, teria ajudado a salvar vidas. Em 2020, a Comissão adaptou com caráter de urgência o seu sistema de gestão clínica dos doentes, criado pela Decisão de Execução (UE) 2019/1269 da Comissão 41 , de modo a permitir que os Estados-Membros partilhassem dados de saúde eletrónicos dos doentes com COVID-19 que se deslocassem entre prestadores de cuidados de saúde e entre Estados-Membros durante o pico da pandemia, mas tratou-se apenas de uma solução de emergência, que demonstrou a necessidade de uma abordagem estrutural a nível dos Estados-Membros e da União.

(3)A crise da COVID-19 alicerçou firmemente o trabalho da rede de saúde em linha, uma rede voluntária de autoridades de saúde digital, enquanto pilar fundamental para o desenvolvimento de aplicações móveis de alerta e rastreio de contactos e os aspetos técnicos dos Certificados Digitais COVID da UE. Salientou igualmente a necessidade de partilhar dados de saúde eletrónicos fáceis de encontrar, acessíveis, interoperáveis e reutilizáveis («princípios FAIR») e de assegurar que os dados de saúde eletrónicos sejam tão abertos quanto possível e tão fechados quanto necessário. É importante assegurar sinergias entre o EEDS, a Nuvem Europeia para a Ciência Aberta 42 e as infraestruturas europeias de investigação, bem como os ensinamentos retirados das soluções de partilha de dados desenvolvidas no âmbito da plataforma de dados europeia COVID-19.

(4)O tratamento de dados de saúde eletrónicos pessoais está sujeito ao disposto no Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho 43 e, no caso das instituições e órgãos da União, no Regulamento (UE) 2018/1725 do Parlamento Europeu e do Conselho 44 . As referências às disposições do Regulamento (UE) 2016/679 devem ser entendidas também como referências às disposições correspondentes do Regulamento (UE) 2018/1725 para as instituições e órgãos da União, sempre que pertinente.

(5)São cada vez mais os europeus que atravessam as fronteiras nacionais para trabalhar, estudar, visitar familiares ou viajar. De modo a facilitar o intercâmbio de dados de saúde e em consonância com a necessidade de capacitação dos cidadãos, estes devem poder aceder aos seus dados de saúde num formato eletrónico que possa ser reconhecido e aceite em toda a União. Esses dados de saúde eletrónicos pessoais podem incluir dados pessoais relacionados com a saúde física ou mental de uma pessoa singular, incluindo a prestação de serviços de saúde, que revelem informações sobre o seu estado de saúde, dados pessoais relativos às características genéticas hereditárias ou adquiridas de uma pessoa singular que forneçam informações únicas sobre a fisiologia ou a saúde dessa pessoa singular e que resultem, nomeadamente, da análise de uma amostra biológica proveniente da pessoa singular em causa, assim como dados sobre os determinantes da saúde, como comportamentos, influências ambientais e físicas, cuidados médicos e fatores sociais ou educacionais. Os dados de saúde eletrónicos incluem também dados que foram inicialmente recolhidos para fins de investigação, estatísticas, elaboração de políticas ou regulamentação e que podem ser disponibilizados de acordo com as regras do capítulo IV. Os dados de saúde eletrónicos dizem respeito a todas as categorias desses dados, independentemente do facto de esses dados serem fornecidos pelo titular dos dados ou por outras pessoas singulares ou coletivas, tais como profissionais de saúde, ou de serem tratados em relação à saúde ou ao bem-estar de uma pessoa singular, devendo também incluir dados inferidos e derivados, tais como diagnósticos, testes e exames médicos, bem como dados observados e registados por meios automáticos.

(6)O capítulo III do Regulamento (UE) 2016/679 estabelece disposições específicas relativas aos direitos das pessoas singulares em relação ao tratamento dos seus dados pessoais. O EEDS baseia-se nestes direitos e desenvolve alguns deles de forma mais aprofundada. O EEDS deve apoiar a implementação coerente desses direitos, quando aplicados aos dados de saúde eletrónicos, independentemente do Estado-Membro em que os dados de saúde eletrónicos pessoais são tratados, do tipo de prestador de cuidados de saúde, das fontes de dados ou do Estado-Membro de afiliação da pessoa singular. Os direitos e as regras relacionados com a utilização primária de dados de saúde eletrónicos pessoais ao abrigo dos capítulos II e III do presente regulamento dizem respeito a todas as categorias desses dados, independentemente da forma como foram recolhidos ou de quem os forneceu, do fundamento jurídico para o tratamento ao abrigo do Regulamento (UE) 2016/679 ou do estatuto do responsável pelo tratamento como organização pública ou privada.

(7)Nos sistemas de saúde, os dados de saúde eletrónicos pessoais são, em geral, recolhidos em registos de saúde eletrónicos, que contêm normalmente o historial clínico, diagnósticos e tratamento, medicações, alergias e imunizações de uma pessoa singular, bem como imagens radiológicas e resultados laboratoriais, distribuídos entre diferentes entidades do sistema de saúde (médicos de clínica geral, hospitais, farmácias e serviços de prestação de cuidados). A fim de permitir o acesso, a partilha e a alteração desses dados de saúde eletrónicos por pessoas singulares ou profissionais de saúde, alguns Estados-Membros tomaram as medidas jurídicas e técnicas necessárias e estabeleceram infraestruturas centralizadas que ligam os sistemas de RSE utilizados pelos prestadores de cuidados de saúde e pelas pessoas singulares. Em alternativa, alguns Estados-Membros apoiam os prestadores de cuidados de saúde públicos e privados na criação de espaços de dados de saúde pessoais para permitir a interoperabilidade entre os diferentes prestadores de cuidados de saúde. Vários Estados-Membros também apoiaram ou disponibilizaram serviços de acesso aos dados de saúde para doentes e profissionais de saúde (por exemplo, através de portais do utente ou de profissionais de saúde). Tomaram igualmente medidas para garantir que os sistemas de RSE ou as aplicações de bem-estar possam transmitir dados de saúde eletrónicos ao sistema de RSE central (para o efeito, alguns Estados-Membros asseguram, por exemplo, um sistema de certificação). No entanto, nem todos os Estados-Membros criaram esses sistemas e os Estados-Membros que os criaram fizeram-no de forma fragmentada. A fim de facilitar a livre circulação de dados de saúde pessoais em toda a União e evitar consequências negativas para os doentes que recebem cuidados de saúde num contexto transfronteiriço, é necessária uma ação da União para garantir que as pessoas tenham melhor acesso aos seus próprios dados de saúde eletrónicos pessoais e tenham capacidade para os partilhar.

(8)O direito de acesso aos dados por parte de uma pessoa singular, estabelecido no artigo 15.º do Regulamento (UE) 2016/679, deve ser desenvolvido de forma mais aprofundada no setor da saúde. Nos termos do Regulamento (UE) 2016/679, os responsáveis pelo tratamento não são obrigados a facultar o acesso imediato. Embora existam portais do utente, aplicações móveis e outros serviços de acesso a dados de saúde pessoais em muitos locais, incluindo soluções nacionais em alguns Estados-Membros, o direito de acesso aos dados de saúde continua a ser frequentemente aplicado em muitos locais através da disponibilização dos dados de saúde solicitados em papel ou na forma de documentos digitalizados, um processo que é moroso. Tal pode prejudicar gravemente o acesso em tempo útil das pessoas singulares aos dados de saúde e pode ter um impacto negativo nas pessoas singulares que necessitam desse acesso imediatamente devido a circunstâncias urgentes decorrentes do seu estado de saúde.

(9)Ao mesmo tempo, deve considerar-se que o acesso imediato a determinados tipos de dados de saúde eletrónicos pessoais pode ser prejudicial para a segurança das pessoas singulares, contrário à ética ou inadequado. Por exemplo, pode ser contrário à ética informar um doente através de um canal eletrónico a respeito do diagnóstico de uma doença incurável suscetível de conduzir à sua morte a breve trecho, em lugar de transmitir primeiro essa informação durante uma consulta com o doente. Por conseguinte, afigura-se oportuno garantir a possibilidade de exceções limitadas na aplicação deste direito. Tais exceções podem ser impostas pelos Estados-Membros sempre que constituam uma medida necessária e proporcionada numa sociedade democrática, em harmonia com os requisitos do artigo 23.º do Regulamento (UE) 2016/679. Essas restrições devem ser aplicadas mediante o diferimento por um período limitado da apresentação dos dados de saúde eletrónicos pessoais em causa à pessoa singular. Nos casos em que os dados de saúde só estejam disponíveis em papel, se o esforço para disponibilizar dados por via eletrónica for desproporcionado, não deve existir qualquer obrigação de os Estados-Membros converterem esses dados de saúde para um formato eletrónico. Qualquer transformação digital no setor dos cuidados de saúde deve ter por objetivo ser inclusiva e beneficiar também as pessoas singulares com capacidade limitada para aceder a serviços digitais e utilizá-los. As pessoas singulares devem poder conceder uma autorização a pessoas singulares da sua escolha, como familiares ou outras pessoas singulares próximas, por forma a permitir-lhes aceder ou controlar o acesso aos seus dados de saúde eletrónicos pessoais ou utilizar serviços de saúde digitais em seu nome. Tais autorizações também podem ser úteis por razões de conveniência noutras situações. Para pôr em prática estas autorizações os Estados-Membros devem criar serviços de procuração, que devem estar ligados a serviços de acesso a dados de saúde pessoais, como portais do utente ou aplicações móveis destinadas aos doentes. Os serviços de procuração devem também permitir que os tutores atuem em nome das crianças a seu cargo; nestas situações, as autorizações podem ser automáticas. A fim de ter em conta os casos em que a apresentação de determinados dados de saúde eletrónicos pessoais de menores aos seus tutores possa ser contrária aos interesses ou à vontade do menor, os Estados-Membros devem poder estabelecer tais limitações e salvaguardas no direito nacional, bem como assegurar a necessária aplicação técnica. Os serviços de acesso a dados de saúde pessoais, como os portais do utente ou as aplicações móveis, devem utilizar essas autorizações e permitir, deste modo, o acesso de pessoas singulares autorizadas aos dados de saúde eletrónicos pessoais abrangidos pelo âmbito de aplicação da autorização, para que produzam o efeito desejado.

(10)Alguns Estados-Membros permitem que as pessoas singulares acrescentem dados de saúde eletrónicos aos seus RSE ou guardem informações adicionais no seu registo de saúde pessoal separado a que os profissionais de saúde podem ter acesso. Esta prática, todavia, não é comum em todos os Estados-Membros e deve, por conseguinte, ser estabelecida pelo EEDS em toda a UE. As informações inseridas por pessoas singulares podem não ser tão fiáveis como os dados de saúde eletrónicos introduzidos e verificados pelos profissionais de saúde, pelo que devem ser claramente assinaladas para indicar a proveniência desses dados adicionais. O facto de permitir que as pessoas singulares acedam mais fácil e rapidamente aos seus dados de saúde eletrónicos também lhes permite detetar eventuais erros, como informações incorretas ou registos de doentes incorretamente atribuídos, e pedir que sejam retificados exercendo os seus direitos ao abrigo do Regulamento (UE) 2016/679. Nesses casos, a pessoa singular deve poder solicitar a retificação dos dados de saúde eletrónicos incorretos em linha, imediatamente e sem custos, através, por exemplo, do serviço de acesso aos dados de saúde pessoais. Os pedidos de retificação de dados devem ser avaliados e, se for caso disso, executados pelos responsáveis pelo tratamento dos dados caso a caso, com a intervenção, se necessário, de profissionais de saúde.

(11)É importante conceder mais poderes às pessoas singulares para partilharem e facultarem o acesso aos dados de saúde eletrónicos pessoais aos profissionais de saúde da sua escolha, indo além do direito à portabilidade dos dados estabelecido no artigo 20.º do Regulamento (UE) 2016/679. Tal é necessário para fazer face a dificuldades e obstáculos objetivos na situação atual. Nos termos do Regulamento (UE) 2016/679, a portabilidade está limitada apenas aos dados tratados com base no consentimento ou num contrato, o que exclui os dados tratados ao abrigo de outros fundamentos jurídicos, nomeadamente quando o tratamento se baseia na lei, por exemplo quando o seu tratamento é necessário para o exercício de funções de interesse público ou para o exercício da autoridade pública de que está investido o responsável pelo tratamento. Além disso, diz respeito apenas aos dados fornecidos pelo titular dos dados a um responsável pelo tratamento, excluindo muitos dados inferidos ou indiretos, como diagnósticos ou testes. Por último, nos termos do Regulamento (UE) 2016/679, a pessoa singular só tem direito a que os dados pessoais sejam transmitidos diretamente entre os responsáveis pelo tratamento quando tal for tecnicamente possível. No entanto, o referido regulamento não impõe a obrigação de tornar esta transmissão direta tecnicamente possível. Todos estes elementos limitam a portabilidade dos dados e podem limitar os seus benefícios para a prestação de serviços de saúde de elevada qualidade, seguros e eficientes à pessoa singular.

(12)As pessoas singulares devem poder exercer controlo sobre a transmissão de dados de saúde eletrónicos pessoais a outros prestadores de cuidados de saúde. Os prestadores de cuidados de saúde e outras organizações que disponibilizam RSE devem facilitar o exercício deste direito. As partes interessadas, como os prestadores de cuidados de saúde, os prestadores de serviços de saúde digitais e os fabricantes de sistemas de RSE ou de dispositivos médicos, não devem limitar ou impedir o exercício do direito de portabilidade em virtude da utilização de normas exclusivas ou de outras medidas tomadas para limitar a portabilidade. Por estes motivos, o quadro estabelecido pelo presente regulamento baseia-se no direito à portabilidade dos dados estabelecido no Regulamento (UE) 2016/679, assegurando que as pessoas singulares, enquanto titulares de dados, possam transmitir os seus dados de saúde eletrónicos, incluindo os dados inferidos, independentemente do fundamento jurídico para o tratamento dos dados de saúde eletrónicos. Este direito deve aplicar-se aos dados de saúde eletrónicos tratados por responsáveis pelo tratamento públicos ou privados, independentemente do fundamento jurídico para o tratamento dos dados ao abrigo do Regulamento (UE) 2016/679. Este direito deve aplicar-se a todos os dados de saúde eletrónicos.

(13)As pessoas singulares poderão não querer permitir o acesso a algumas partes dos seus dados de saúde eletrónicos pessoais, mas permitir o acesso a outras partes. Esta partilha seletiva de dados de saúde eletrónicos pessoais deve ser apoiada. No entanto, tais restrições podem ter consequências suscetíveis de constituir uma ameaça para a vida, pelo que deve ser possibilitado o acesso a dados de saúde eletrónicos pessoais a fim de proteger interesses vitais como medida de emergência prioritária. Nos termos do Regulamento (UE) 2016/679, os «interesses vitais» referem-se a situações em que é necessário proteger um interesse essencial à vida do titular dos dados ou de outra pessoa singular. Em princípio, o tratamento de dados de saúde eletrónicos pessoais com base no interesse vital de outra pessoa singular só pode ocorrer quando não puder manifestamente ter como base outro fundamento jurídico. Os Estados-Membros devem prever na legislação nacional disposições jurídicas mais específicas sobre os mecanismos relativos às restrições aplicadas pela pessoa singular sobre partes dos seus dados de saúde eletrónicos pessoais. Uma vez que a indisponibilidade dos dados de saúde eletrónicos pessoais objeto de restrições pode afetar a prestação ou a qualidade dos serviços de saúde prestados à pessoa singular, esta deve assumir a responsabilidade pelo facto de o prestador de cuidados de saúde não poder ter em conta os dados quando presta serviços de saúde.

(14)No contexto do EEDS, é importante que as pessoas singulares possam exercer os seus direitos tal como consagrados no Regulamento (UE) 2016/679. As autoridades de controlo criadas nos termos do artigo 51.º do Regulamento (UE) 2016/679 devem continuar a dispor de competência, em especial, para controlar o tratamento de dados de saúde eletrónicos pessoais e para responder a eventuais reclamações apresentadas pelas pessoas singulares. A fim de desempenhar as suas funções no setor da saúde e defender os direitos das pessoas singulares, as autoridades de saúde digital devem cooperar com as autoridades de controlo nos termos do Regulamento (UE) 2016/679.

(15)O artigo 9.º, n.º 2, alínea h), do Regulamento (UE) 2016/679 prevê exceções nos casos em que o tratamento de dados sensíveis seja necessário para efeitos de medicina preventiva ou do trabalho, para a avaliação da capacidade de trabalho do empregado, o diagnóstico médico, a prestação de cuidados ou tratamentos de saúde ou a gestão de sistemas e serviços de saúde com base no direito da União ou dos Estados-Membros. O presente regulamento deve prever condições e garantias para o tratamento de dados de saúde eletrónicos pelos prestadores de cuidados de saúde e pelos profissionais de saúde, em conformidade com o artigo 9.º, n.º 2, alínea h), do Regulamento (UE) 2016/679, com a finalidade de aceder aos dados de saúde eletrónicos pessoais fornecidos pela pessoa singular ou transmitidos por outros prestadores de cuidados de saúde. No entanto, o presente regulamento não deve prejudicar as legislações nacionais respeitantes ao tratamento de dados de saúde, incluindo a legislação que estabelece categorias de profissionais de saúde habilitados a tratar diferentes categorias de dados de saúde eletrónicos.

(16)O acesso pleno e em tempo útil dos profissionais de saúde aos registos médicos dos doentes é fundamental para assegurar a continuidade dos cuidados e evitar duplicações e erros. Contudo, perante uma falta de interoperabilidade, em muitos casos, os profissionais de saúde não têm acesso aos registos médicos completos dos seus doentes e não podem tomar as melhores decisões médicas para o seu diagnóstico e tratamento, o que implica um acréscimo considerável de custos tanto para os sistemas de saúde como para as pessoas singulares, podendo conduzir a piores resultados em termos de saúde para as pessoas singulares. Os dados de saúde eletrónicos disponibilizados em formato interoperável, que podem ser transmitidos entre prestadores de cuidados de saúde, também podem reduzir os encargos administrativos para os profissionais de saúde decorrentes da introdução manual ou cópia de dados de saúde entre sistemas eletrónicos. Por conseguinte, os profissionais de saúde devem dispor de meios eletrónicos adequados, como portais de profissionais de saúde, que lhes permitam utilizar dados de saúde eletrónicos pessoais no exercício das suas funções. Além disso, o acesso aos registos de saúde pessoais deve ser transparente para as pessoas singulares, que devem poder exercer pleno controlo sobre esse acesso, incluindo através da limitação do acesso à totalidade ou a parte dos dados de saúde eletrónicos pessoais constantes dos seus registos. Os profissionais de saúde devem abster-se de impedir a aplicação dos direitos das pessoas singulares, nomeadamente recusando-se a ter em conta dados de saúde eletrónicos provenientes de outro Estado-Membro e fornecidos no formato europeu interoperável e fiável de intercâmbio de registos de saúde eletrónicos.

(17)A pertinência das diferentes categorias de dados de saúde eletrónicos para diferentes cenários de cuidados de saúde varia. Por outro lado, as diferentes categorias alcançaram diferentes níveis de maturidade em termos de normalização, pelo que a aplicação de mecanismos para o seu intercâmbio pode ser mais ou menos complexa em função da categoria. Por conseguinte, a melhoria da interoperabilidade e da partilha de dados deve ser gradual, sendo necessário definir prioridades para as categorias de dados de saúde eletrónicos. A rede de saúde em linha selecionou categorias de dados de saúde eletrónicos tais como o resumo de dados dos doentes, a receita e a dispensa eletrónicas, os resultados e relatórios laboratoriais, os relatórios de alta hospitalar, a imagiologia e os respetivos relatórios como as mais relevantes para a maioria das situações de cuidados de saúde, sendo estas as categorias que devem ser consideradas prioritárias para que os Estados-Membros disponibilizem o acesso às mesmas e a sua transmissão. Sempre que forem identificadas novas necessidades para o intercâmbio de mais categorias de dados de saúde eletrónicos para fins de cuidados de saúde, a lista de categorias prioritárias deve ser alargada. Deve ser atribuída competência à Comissão para alargar a lista de categorias prioritárias, após análise dos aspetos pertinentes relacionados com a necessidade e a possibilidade de intercâmbio de novos conjuntos de dados, designadamente a sua compatibilidade com sistemas estabelecidos a nível nacional ou regional pelos Estados-Membros. Deve ser dada especial atenção ao intercâmbio de dados em regiões fronteiriças dos Estados-Membros vizinhos onde a prestação de serviços de saúde transfronteiriços é mais frequente e requer procedimentos ainda mais céleres do que a nível da União em geral.

(18)O acesso e a partilha de dados de saúde eletrónicos devem ser viabilizados em relação a todos os dados existentes no RSE de uma pessoa singular, quando tal for tecnicamente exequível. No entanto, alguns dados de saúde eletrónicos podem não ser estruturados ou codificados e a transmissão entre prestadores de serviços de saúde poderá ser limitada ou apenas possível em formatos que não permitem a tradução (quando os dados são partilhados além fronteiras). A fim de permitir tempo suficiente para preparar a execução, devem ser determinadas datas de aplicação diferida de modo a permitir uma preparação jurídica, organizacional, semântica e técnica para a transmissão de diferentes categorias de dados de saúde eletrónicos. Quando for identificada a necessidade de intercâmbio de novas categorias de dados de saúde eletrónicos, devem ser determinadas as respetivas datas de aplicação, a fim de permitir que esse intercâmbio se verifique.

(19)O nível de disponibilidade de dados de saúde pessoais e genéticos em formato eletrónico varia entre os Estados-Membros. O EEDS deverá facilitar às pessoas singulares a obtenção desses dados em formato eletrónico. Tal contribuiria igualmente para a consecução da meta de facultar a 100 % dos cidadãos da União o acesso aos seus registos de saúde eletrónicos até 2030, a que se refere o programa político «Guião para a Década Digital». A fim de tornar os dados de saúde eletrónicos acessíveis e transmissíveis, esses dados devem ser acedidos e transmitidos num formato europeu comum e interoperável de intercâmbio de registos de saúde eletrónicos, pelo menos para determinadas categorias de dados de saúde eletrónicos, como os resumos de saúde dos doentes, as receitas e dispensas eletrónicas, a imagiologia médica e os relatórios imagiológicos, os resultados laboratoriais e os relatórios de alta, sob reserva de períodos de transição. Quando os dados de saúde eletrónicos pessoais são disponibilizados a um prestador de cuidados de saúde ou a uma farmácia por uma pessoa singular, ou são transmitidos por outro responsável pelo tratamento no formato europeu de intercâmbio de registos de saúde eletrónicos, os dados de saúde eletrónicos devem ser lidos e aceites para a prestação de cuidados de saúde ou para a dispensa de um medicamento, apoiando assim a prestação dos serviços de cuidados de saúde ou a dispensa da receita eletrónica. A Recomendação (UE) 2019/243 da Comissão 45 estabelece as bases para esse formato europeu comum de intercâmbio de registos de saúde eletrónicos. A utilização do formato europeu de intercâmbio de registos de saúde eletrónicos deve tornar-se mais generalizada a nível nacional e da UE. Embora a rede de saúde em linha, ao abrigo do artigo 14.º da Diretiva 2011/24/UE do Parlamento Europeu e do Conselho 46 , tenha recomendado aos Estados-Membros que utilizassem o formato europeu de intercâmbio de registos de saúde eletrónicos nos contratos públicos, a fim de melhorar a interoperabilidade, a adoção foi limitada na prática, resultando numa paisagem fragmentada e num acesso e portabilidade desiguais dos dados de saúde eletrónicos.

(20)Embora os sistemas de RSE estejam amplamente disseminados, o nível de digitalização dos dados de saúde varia nos Estados-Membros em função das categorias de dados e da cobertura dos prestadores de cuidados de saúde que registam dados de saúde em formato eletrónico. A fim de apoiar a aplicação dos direitos dos titulares dos dados em matéria de acesso e intercâmbio de dados de saúde eletrónicos, é necessária uma ação da União para evitar uma maior fragmentação. De modo a contribuir para uma elevada qualidade e continuidade dos cuidados de saúde, determinadas categorias de dados de saúde devem ser sistematicamente registadas em formato eletrónico e de acordo com requisitos específicos de qualidade. O formato europeu de intercâmbio de registos de saúde eletrónicos deve constituir a base para as especificações relacionadas com o registo e o intercâmbio de dados de saúde eletrónicos. Deve ser atribuída competência à Comissão para adotar atos de execução a fim de determinar aspetos adicionais relacionados com o registo de dados de saúde eletrónicos, tais como as categorias de prestadores de cuidados de saúde que devem registar dados de saúde por via eletrónica, as categorias de dados a registar eletronicamente ou os requisitos de qualidade dos dados.

(21)Nos termos do artigo 168.º do Tratado, os Estados-Membros são responsáveis pela sua política de saúde, nomeadamente pelas decisões relativas aos serviços (incluindo a telemedicina) que prestam e reembolsam. No entanto, as diferentes políticas de reembolso não devem constituir barreiras à livre circulação de serviços de saúde digitais, como a telemedicina, incluindo os serviços farmacêuticos em linha. Quando os serviços digitais acompanham a prestação presencial de um serviço de saúde, o serviço digital deve ser incluído na prestação geral dos cuidados.

(22)O Regulamento (UE) n.º 910/2014 do Parlamento Europeu e do Conselho 47 estabelece as condições em que os Estados-Membros procedem à identificação das pessoas singulares em situações transfronteiriças através de meios de identificação emitidos por outro Estado-Membro, estabelecendo regras para o reconhecimento mútuo desses meios de identificação eletrónicos. O EEDS exige um acesso seguro aos dados de saúde eletrónicos, incluindo em contextos transfronteiriços em que o profissional de saúde e a pessoa singular são de Estados-Membros diferentes, de modo a evitar situações de acesso não autorizado. Ao mesmo tempo, a existência de diferentes meios de identificação eletrónicos não deve constituir uma barreira ao exercício dos direitos das pessoas singulares e dos profissionais de saúde. A implantação de mecanismos interoperáveis e transfronteiriços de identificação e autenticação de pessoas singulares e profissionais de saúde em todo o EEDS exige o reforço da cooperação a nível da União no âmbito do Conselho do Espaço Europeu de Dados de Saúde («Conselho do EEDS»). Uma vez que os direitos das pessoas singulares em matéria de acesso e transmissão de dados de saúde eletrónicos pessoais devem ser aplicados uniformemente em toda a União, torna-se necessária uma governação e coordenação sólidas tanto a nível da União como dos Estados-Membros. Os Estados-Membros devem estabelecer autoridades de saúde digital competentes para o planeamento e a aplicação de normas relativas ao acesso aos dados de saúde eletrónicos, à sua transmissão e à aplicação dos direitos das pessoas singulares e dos profissionais de saúde. Além disso, são necessários elementos de governação nos Estados-Membros para facilitar a participação dos intervenientes nacionais na cooperação a nível da União, canalizando conhecimentos especializados e prestando aconselhamento sobre a conceção das soluções necessárias para alcançar os objetivos do EEDS. Na maioria do Estados-Membros existem autoridades de saúde digital, que se ocupam de questões como os RSE, a interoperabilidade, a segurança ou a normalização. É necessário estabelecer autoridades de saúde digital em todos os Estados-Membros, enquanto organizações distintas ou integradas nas autoridades atualmente existentes.

(23)As autoridades de saúde digital devem dispor de competências técnicas suficientes, reunindo eventualmente peritos de diferentes organizações. As atividades das autoridades de saúde digital devem ser bem planeadas e acompanhadas, a fim de assegurar a sua eficiência. As autoridades de saúde digital devem tomar as medidas necessárias para garantir os direitos das pessoas singulares através da criação de soluções técnicas nacionais, regionais e locais, tais como RSE nacionais, portais do utente e sistemas de intermediação de dados. Ao fazê-lo, devem aplicar normas e especificações comuns nessas soluções, promover a aplicação das normas e especificações nos contratos públicos e utilizar outros meios inovadores, incluindo o reembolso de soluções que cumpram os requisitos de interoperabilidade e segurança do EEDS. Para desempenharem as suas funções, as autoridades de saúde digital devem cooperar a nível nacional e da União com outras entidades, incluindo organismos de seguros, prestadores de cuidados de saúde, fabricantes de sistemas de RSE e de aplicações de bem-estar, bem como com as partes interessadas do setor da saúde ou das tecnologias da informação, as entidades responsáveis pelos sistemas de reembolso, os organismos de avaliação das tecnologias da saúde, as autoridades e agências reguladoras dos medicamentos, as autoridades responsáveis por dispositivos médicos, os compradores e as autoridades de cibersegurança ou de identificação eletrónica.

(24)O acesso e a transmissão de dados de saúde eletrónicos são relevantes em situações de cuidados de saúde transfronteiriços, dado que podem apoiar a continuidade dos cuidados de saúde quando as pessoas singulares viajam para outros Estados-Membros ou mudam de local de residência. A continuidade dos cuidados e o rápido acesso aos dados de saúde eletrónicos pessoais são ainda mais importantes para os residentes nas regiões fronteiriças, que atravessam frequentemente a fronteira para obter cuidados de saúde. Em muitas regiões fronteiriças, alguns serviços de saúde especializados poderão estar mais próximos do outro lado da fronteira do que no mesmo Estado-Membro. É necessária uma infraestrutura para a transmissão transfronteiriça de dados de saúde eletrónicos pessoais em situações em que uma pessoa singular utilize os serviços de um prestador de cuidados de saúde estabelecido noutro Estado-Membro. Foi criada para esse efeito uma infraestrutura voluntária, A minha saúde @ UE (MyHealth@EU), no âmbito das ações previstas no artigo 14.º da Diretiva 2011/24/UE. Através de A minha saúde @ UE (MyHealth@EU), os Estados-Membros começaram a facultar às pessoas singulares a possibilidade de partilharem os seus dados de saúde eletrónicos pessoais com os prestadores de cuidados de saúde quando viajam para o estrangeiro. Para reforçar essas possibilidades, a participação dos Estados-Membros na infraestrutura digital A minha saúde @ UE (MyHealth@EU) deve tornar-se obrigatória. Todos os Estados-Membros devem aderir à infraestrutura e ligar os prestadores de cuidados de saúde e as farmácias à mesma, uma vez que tal é necessário para a aplicação dos direitos das pessoas singulares de aceder e utilizar os seus dados de saúde eletrónicos pessoais, independentemente do Estado-Membro. A infraestrutura deve ser gradualmente alargada por forma a apoiar outras categorias de dados de saúde eletrónicos.

(25)No contexto de A minha saúde @ UE (MyHealth@EU), deve existir uma plataforma central que disponibilize uma infraestrutura comum para que os Estados-Membros assegurem a conectividade e a interoperabilidade de uma forma eficiente e segura. A fim de garantir o cumprimento das regras em matéria de proteção de dados e de proporcionar um quadro de gestão dos riscos para a transmissão de dados de saúde eletrónicos pessoais, a Comissão deve, por meio de atos de execução, repartir responsabilidades específicas entre os Estados-Membros, enquanto responsáveis conjuntos pelo tratamento, e determinar as suas próprias obrigações enquanto subcontratante.

(26)Para além dos serviços no âmbito de A minha saúde @ UE (MyHealth@EU) para o intercâmbio de dados de saúde eletrónicos pessoais com base no formato europeu de intercâmbio de registos de saúde eletrónicos, podem ser necessários outros serviços ou infraestruturas suplementares, nomeadamente em casos de emergência de saúde pública ou quando a arquitetura de A minha saúde @ UE (MyHealth@EU) se revele inadequada para a implementação de alguns casos de utilização. São exemplos desses casos de utilização o apoio às funcionalidades do boletim de vacinação, incluindo o intercâmbio de informações sobre planos de vacinação, ou a verificação de certificados de vacinação ou outros certificados de saúde. Tal seria importante também para a introdução de funcionalidades adicionais destinadas a fazer face a crises de saúde pública, como o apoio ao rastreio de contactos para efeitos de contenção de doenças infecciosas. A ligação dos pontos de contacto nacionais para a saúde digital de países terceiros ou a interoperabilidade com sistemas digitais estabelecidos a nível internacional deve ser sujeita a uma verificação que assegure a conformidade do ponto de contacto nacional com as especificações técnicas, as regras de proteção de dados e outros requisitos de A minha saúde @ UE (MyHealth@EU). Os responsáveis pelo tratamento no grupo de responsáveis conjuntos pelo tratamento de A minha saúde @ UE (MyHealth@EU) devem tomar uma decisão sobre a ligação de um ponto de contacto nacional de um país terceiro.

(27)A fim de assegurar o respeito pelos direitos das pessoas singulares e dos profissionais de saúde, os sistemas de RSE comercializados no mercado interno da União devem poder conservar e transmitir, de forma segura, dados de saúde eletrónicos de elevada qualidade. Trata-se de um princípio fundamental do EEDS destinado a assegurar a livre circulação de dados de saúde eletrónicos em toda a União. Para esse efeito, deve ser criado um sistema obrigatório de autocertificação para os sistemas de RSE que tratem uma ou mais categorias prioritárias de dados de saúde eletrónicos, a fim de debelar a fragmentação do mercado, assegurando ao mesmo tempo uma abordagem proporcionada. Através desta autocertificação, os sistemas de RSE devem fazer prova da conformidade com os requisitos essenciais de interoperabilidade e segurança definidos a nível da União. No que toca à segurança, os requisitos essenciais devem abranger elementos específicos dos sistemas de RSE, uma vez que as propriedades de segurança mais gerais devem ser apoiadas por outros mecanismos, tais como os sistemas de cibersegurança ao abrigo do Regulamento (UE) 2019/881 do Parlamento Europeu e do Conselho 48 .

(28)Embora os sistemas de RSE especificamente destinados pelo fabricante a serem utilizados no tratamento de uma ou mais categorias específicas de dados de saúde eletrónicos devam ser objeto de autocertificação obrigatória, o software para fins gerais não deve ser considerado um sistema de RSE, mesmo quando utilizado num contexto de cuidados de saúde, pelo que não deve ser obrigatório que cumpra as disposições do capítulo III.

(29)O software ou os módulos de software enquadrados na definição de dispositivo médico ou sistema de inteligência artificial (IA) de risco elevado devem ser certificados em conformidade com o Regulamento (UE) 2017/745 do Parlamento Europeu e do Conselho 49 e com o Regulamento […] do Parlamento Europeu e do Conselho [Regulamento Inteligência Artificial COM(2021) 206 final], consoante o caso. Os requisitos essenciais de interoperabilidade do presente regulamento só devem ser aplicáveis na medida em que o fabricante de um dispositivo médico ou de um sistema de IA de risco elevado, que forneça dados de saúde eletrónicos a tratar no âmbito do sistema de RSE, invoque interoperabilidade com esse sistema de RSE. Nesse caso, as disposições relativas a especificações comuns para os sistemas de RSE devem ser aplicáveis a esses dispositivos médicos e sistemas de IA de risco elevado.

(30)A fim de apoiar ainda mais a interoperabilidade e a segurança, os Estados-Membros podem manter ou definir regras específicas sobre a aquisição, o reembolso, o financiamento ou a utilização de sistemas de RSE a nível nacional no contexto da organização, prestação ou financiamento de serviços de saúde. Essas regras específicas não devem impedir a livre circulação dos sistemas de RSE na União. Alguns Estados-Membros introduziram uma certificação obrigatória dos sistemas de RSE ou ensaios de interoperabilidade obrigatórios para a sua ligação aos serviços nacionais de saúde digitais. Tais requisitos refletem-se, de modo geral, nos contratos públicos organizados pelos prestadores de cuidados de saúde, bem como pelas autoridades nacionais ou regionais. A certificação obrigatória dos sistemas de RSE a nível da União deve estabelecer uma base de referência que possa ser utilizada nos contratos públicos a nível nacional.

(31)Por forma a garantir o exercício efetivo pelos doentes dos seus direitos ao abrigo do presente regulamento, os prestadores de cuidados de saúde devem também cumprir o disposto no presente regulamento sempre que desenvolvam e utilizem um sistema de RSE interno para realizar atividades próprias sem o colocarem no mercado mediante pagamento ou remuneração. Nesse contexto, os referidos prestadores de cuidados de saúde devem cumprir todos os requisitos aplicáveis aos fabricantes.

(32)É necessário prever uma repartição clara e proporcionada das obrigações correspondentes ao papel de cada operador no processo de fornecimento e distribuição de sistemas de RSE. Os operadores económicos devem ser responsáveis pela conformidade em função do papel que desempenham no âmbito desse processo e devem garantir que apenas disponibilizam no mercado sistemas de RSE conformes com os requisitos pertinentes.

(33)Os fabricantes de sistemas de RSE devem demonstrar a conformidade com os requisitos essenciais de interoperabilidade e segurança através da aplicação de especificações comuns. Para o efeito, devem ser atribuídas competências de execução à Comissão para determinar essas especificações comuns em matéria de conjuntos de dados, sistemas de codificação e especificações técnicas, incluindo normas, especificações e perfis para o intercâmbio de dados, bem como requisitos e princípios em matéria de segurança, confidencialidade, integridade, segurança dos doentes e proteção dos dados pessoais, além de especificações e requisitos relacionados com a gestão da identificação e a utilização da identificação eletrónica. As autoridades de saúde digital devem contribuir para a elaboração dessas especificações comuns.

(34)Para assegurar uma execução adequada e eficaz dos requisitos e das obrigações estabelecidos no capítulo III do presente regulamento, deve aplicar-se o sistema de fiscalização do mercado e de conformidade dos produtos estabelecido no Regulamento (UE) 2019/1020. Dependendo da organização definida a nível nacional, essas atividades de fiscalização do mercado podem ser realizadas pelas autoridades de saúde digital, que asseguram a correta aplicação do capítulo II, ou por uma autoridade de fiscalização do mercado distinta responsável pelos sistemas de RSE. Embora a designação de autoridades de saúde digital como autoridades de fiscalização do mercado possa gerar importantes vantagens práticas para no domínio da saúde e da prestação de cuidados, há que evitar quaisquer conflitos de interesses, nomeadamente através da separação das diferentes tarefas.

(35)Os utilizadores de aplicações de bem-estar, como as aplicações móveis, devem ser informados sobre a capacidade de ligação e transmissão de dados dessas aplicações aos sistemas de RSE ou a soluções eletrónicas de saúde nacionais, nos casos em que os dados produzidos por aplicações de bem-estar sejam úteis para efeitos de cuidados de saúde. A capacidade dessas aplicações para exportar dados num formato interoperável é igualmente relevante para efeitos de portabilidade dos dados. Sempre que aplicável, os utilizadores devem ser informados da conformidade dessas aplicações com os requisitos de interoperabilidade e segurança. No entanto, dado o elevado número de aplicações de bem-estar e a relevância limitada dos dados gerados por muitas delas para efeitos de cuidados de saúde, um sistema de certificação para estas aplicações não seria proporcionado. Deve, por conseguinte, ser criado um sistema voluntário de rotulagem como mecanismo adequado para proporcionar transparência aos utilizadores de aplicações de bem-estar no que diz respeito à conformidade com os requisitos, apoiando assim os utilizadores na sua escolha de aplicações de bem-estar adequadas com elevados padrões de interoperabilidade e segurança. A Comissão pode estabelecer os pormenores relativos ao formato e ao conteúdo dos referidos rótulos através de atos de execução.

(36)A distribuição de informações sobre sistemas de RSE certificados e aplicações de bem-estar rotuladas é necessária para permitir que os compradores e os utilizadores desses produtos identifiquem soluções interoperáveis para as suas necessidades específicas. Por conseguinte, deve ser criada a nível da União uma base de dados de sistemas de RSE e de aplicações de bem-estar interoperáveis não abrangidos pelo âmbito de aplicação dos Regulamentos (UE) 2017/745 e […] [Regulamento Inteligência Artificial COM(2021) 206 final], à semelhança da base de dados europeia sobre dispositivos médicos (Eudamed) criada pelo Regulamento (UE) 2017/745. Os objetivos da base de dados da UE de sistemas de RSE e aplicações de bem-estar interoperáveis devem consistir em reforçar a transparência global, evitar múltiplos requisitos de comunicação de informações e simplificar e facilitar o fluxo de informações. No caso dos dispositivos médicos e dos sistemas de IA, deve ser mantido o registo nas bases de dados existentes criadas, respetivamente, nos termos dos Regulamentos (UE) 2017/745 e […] [Regulamento Inteligência Artificial COM(2021) 206 final], mas a conformidade com os requisitos de interoperabilidade deve ser indicada quando esta for invocada pelos fabricantes, a fim de fornecer informações aos compradores.

(37)Para a utilização secundária dos dados clínicos para efeitos de investigação, inovação, elaboração de políticas, regulamentação, segurança dos doentes ou tratamento de outras pessoas singulares, as possibilidades previstas no Regulamento (UE) 2016/679 para a adoção de legislação da União devem ser utilizadas como base, com regras e mecanismos que definam medidas adequadas e específicas de salvaguarda dos direitos e liberdades das pessoas singulares. O presente regulamento constitui o fundamento jurídico, em conformidade com o artigo 9.º, n.º 2, alíneas g), h), i) e j), do Regulamento (UE) 2016/679, para a utilização secundária de dados de saúde, estabelecendo as garantias para o tratamento, em termos de finalidades lícitas, uma governação de confiança para a concessão de acesso aos dados de saúde (por intermédio de organismos responsáveis pelo acesso aos dados de saúde) e para o tratamento num ambiente seguro, bem como as modalidades de tratamento de dados, definidas na autorização de tratamento de dados. Ao mesmo tempo, o requerente dos dados deve demonstrar a existência de um fundamento jurídico nos termos do artigo 6.º do Regulamento (UE) 2016/679, com base no qual pode solicitar o acesso aos dados em conformidade com o presente regulamento, e deve preencher as condições estabelecidas no capítulo IV. Mais concretamente: para o tratamento de dados de saúde eletrónicos detidos pelo detentor dos dados nos termos do presente regulamento, este cria a obrigação jurídica, na aceção do artigo 6.º, n.º 1, alínea c) do Regulamento (UE) 2016/679, de o detentor dos dados divulgar os dados aos organismos responsáveis pelo acesso aos dados de saúde, sem que o fundamento jurídico para efeitos do tratamento inicial (por exemplo, a prestação de cuidados) seja afetado. O presente regulamento satisfaz igualmente as condições para esse tratamento nos termos do artigo 9.º, n.º 2, alíneas h), i) e j), do Regulamento (UE) 2016/679. O presente regulamento atribui tarefas de interesse público aos organismos responsáveis pelo acesso aos dados de saúde (gestão do ambiente de tratamento seguro, tratamento de dados antes da sua utilização, etc.), na aceção do artigo 6.º, n.º 1, alínea e), do Regulamento (UE) 2016/679, e cumpre os requisitos do artigo 9.º, n.º 2, alíneas h), i) e j), do Regulamento (UE) 2016/679. Por conseguinte, neste caso, o presente regulamento constitui o fundamento jurídico nos termos do artigo 6.º e cumpre os requisitos do artigo 9.º do referido regulamento sobre as condições em que os dados de saúde eletrónicos podem ser tratados. Caso o utilizador tenha acesso a dados de saúde eletrónicos (para utilização secundária de dados para uma das finalidades definidas no presente regulamento), o utilizador dos dados deve demonstrar o respetivo fundamento jurídico nos termos do artigo 6.º, n.º 1, alínea e) ou f), do Regulamento (UE) 2016/679 e explicar o fundamento jurídico específico em que se baseia no âmbito do pedido de acesso a dados de saúde eletrónicos nos termos do presente regulamento: com base na legislação aplicável, se o fundamento jurídico nos termos do Regulamento (UE) 2016/679 for o artigo 6.º, n.º 1, alínea e), ou no artigo 6.º, n.º 1, alínea f), do Regulamento (UE) 2016/679. Se invocar um fundamento jurídico previsto no artigo 6.º, n.º 1, alínea e), o utilizador deve fazer referência a outra legislação da UE ou nacional, diferente do presente regulamento, que o mandate para o tratamento de dados de saúde pessoais para efeitos de cumprimento das suas funções. Caso o motivo legítimo para o tratamento pelo utilizador seja o artigo 6.º, n.º 1, alínea f), do Regulamento (UE) 2016/679, é o presente regulamento que estabelece as garantias. Neste contexto, as autorizações de tratamento de dados emitidas pelos organismos responsáveis pelo acesso aos dados de saúde constituem uma decisão administrativa que define as condições de acesso aos dados.

(38)No contexto do EEDS, os dados de saúde eletrónicos já existem e são recolhidos pelos prestadores de cuidados de saúde e por associações profissionais, instituições públicas, entidades reguladoras, investigadores, seguradoras, etc., no decurso das suas atividades. Algumas categorias de dados são recolhidas principalmente para a prestação de cuidados de saúde (por exemplo, registos de saúde eletrónicos, dados genéticos, dados relativos a pedidos de reembolso, etc.), outras são também recolhidas para outros fins, como investigação, estatísticas, segurança dos doentes, atividades regulamentares ou elaboração de políticas (por exemplo, registos de doenças, registos de elaboração de políticas, registos relativos aos efeitos secundários de medicamentos ou dispositivos médicos, etc.). Existem, por exemplo, bases de dados europeias que facilitam a (re)utilização de dados em algumas áreas, como o cancro (Sistema Europeu de Informação sobre o Cancro) ou as doenças raras (Plataforma Europeia para o Registo de Doenças Raras, registos das RER, etc.). Estes dados devem também ser disponibilizados para utilização secundária. No entanto, uma grande parte dos dados existentes relacionados com a saúde não é disponibilizada para outras finalidades além daquelas para que os dados foram recolhidos. Este facto limita a capacidade de os investigadores, inovadores, decisores políticos, entidades reguladoras e médicos utilizarem esses dados para diferentes finalidades, incluindo para efeitos de investigação, inovação, elaboração de políticas, regulamentação, segurança dos doentes ou medicina personalizada. A fim de potenciar plenamente os benefícios da utilização secundária de dados de saúde eletrónicos, todos os detentores de dados devem contribuir para este esforço ao disponibilizarem diferentes categorias de dados de saúde eletrónicos que detêm para utilização secundária.

(39)As categorias de dados de saúde eletrónicos que podem ser tratados para utilização secundária devem ser suficientemente amplas e flexíveis para ter em conta a evolução das necessidades dos utilizadores dos dados, embora continuando limitadas aos dados relacionados com a saúde ou que, reconhecidamente, influenciem a saúde. Podem igualmente incluir dados pertinentes do sistema de saúde (registos de saúde eletrónicos, dados relativos a pedidos de reembolso, registos de doenças, dados genómicos, etc.), bem como dados com impacto na saúde (por exemplo, consumo de diferentes substâncias, estado de sem-abrigo, seguro de saúde, rendimento mínimo, estatuto profissional, comportamento), incluindo fatores ambientais (por exemplo, poluição, radiação, utilização de determinadas substâncias químicas). Podem também incluir dados gerados por pessoas, tais como dados de dispositivos médicos, aplicações de bem-estar ou outros materiais usáveis e aplicações digitais no domínio da saúde. O utilizador de dados que beneficia do acesso aos conjuntos de dados disponibilizados ao abrigo do presente regulamento pode enriquecer os dados com várias correções, anotações e outras melhorias, por exemplo ao completar os dados em falta ou incompletos, melhorando assim a exatidão, a exaustividade ou a qualidade dos dados no conjunto de dados. De modo a apoiar a melhoria da base de dados original e a utilização posterior do conjunto de dados enriquecido, devem ser disponibilizados ao detentor dos dados original, a título gratuito, o conjunto de dados assim melhorado e uma descrição das alterações. O detentor dos dados deve disponibilizar o novo conjunto de dados, a menos que apresente uma notificação justificada em contrário ao organismo responsável pelo acesso aos dados de saúde, por exemplo em casos de má qualidade do enriquecimento dos dados. Deve ser igualmente assegurada a utilização secundária de dados eletrónicos não pessoais. Em especial, os dados genómicos dos agentes patogénicos têm um valor significativo para a saúde humana, tal como demonstrado durante a pandemia de COVID-19. O acesso e a partilha em tempo útil desses dados revelaram-se essenciais para o rápido desenvolvimento de instrumentos de deteção, contramedidas médicas e respostas a ameaças para a saúde pública. O maior benefício do esforço da genómica dos agentes patogénicos será obtido quando a saúde pública e os processos de investigação partilharem conjuntos de dados e trabalharem em colaboração para se informarem e melhorarem mutuamente.

(40)Os detentores de dados podem ser prestadores de cuidados de saúde ou cuidados sociais públicos, sem fins lucrativos ou privados, organizações, associações ou outras entidades públicas, sem fins lucrativos e privadas, bem como entidades públicas e privadas que realizam investigação no setor da saúde, que tratam as categorias de dados de saúde e dados relacionados com a saúde acima mencionadas. A fim de evitar encargos desproporcionados para as entidades de pequena dimensão, as microempresas estão excluídas da obrigação de disponibilizar os seus dados para utilização secundária no âmbito do EEDS. As entidades públicas ou privadas recebem frequentemente financiamento público, proveniente de fundos nacionais ou da União, para recolher e tratar dados de saúde eletrónicos para fins de investigação, estatísticas (oficiais ou não) ou outras finalidades semelhantes, incluindo em domínios em que a recolha desses dados é fragmentada ou difícil, como doenças raras, cancro, etc. Esses dados, recolhidos e tratados pelos detentores dos dados com o apoio de financiamento público da União ou nacional, devem ser disponibilizados pelos detentores dos dados aos organismos responsáveis pelo acesso aos dados de saúde, a fim de maximizar o impacto do investimento público e apoiar a investigação, a inovação, a segurança dos doentes ou a elaboração de políticas que beneficiem a sociedade. Em alguns Estados-Membros, as entidades privadas, incluindo os prestadores de cuidados de saúde privados e as associações profissionais, desempenham um papel central no setor da saúde. Os dados de saúde detidos por esses prestadores devem também ser disponibilizados para utilização secundária. Ao mesmo tempo, os dados que beneficiam de proteção jurídica específica, como os direitos de propriedade intelectual de empresas de dispositivos médicos ou de empresas farmacêuticas, usufruem muitas vezes de proteção em matéria de direitos de autor ou de tipos de proteção equivalentes. No entanto, as autoridades públicas e as entidades reguladoras devem ter acesso a esses dados, nomeadamente em caso de pandemias, a fim de verificar os dispositivos defeituosos e proteger a saúde humana. Em momentos de sérias preocupações de saúde pública (por exemplo, no caso da fraude nos implantes mamários PIP), revelou-se muito difícil para as autoridades públicas aceder a esses dados para compreender as causas e o conhecimento do fabricante sobre as deficiências de alguns dispositivos. A pandemia de COVID-19 revelou igualmente a dificuldade de os decisores políticos terem acesso a dados de saúde e a outros dados relacionados com a saúde. Esses dados devem ser disponibilizados para atividades públicas e de regulamentação, de forma a apoiar os organismos públicos no exercício do seu mandato legal, respeitando, sempre que pertinente e possível, a proteção de que beneficiam os dados comerciais. Devem ser previstas regras específicas relativas à utilização secundária dos dados de saúde. As atividades relacionadas com o altruísmo de dados podem ser executadas por diferentes entidades, no contexto do Regulamento […] [Regulamento Governação de Dados COM(2020) 767 final] e tendo em conta as especificidades do setor da saúde.

(41)A utilização secundária de dados de saúde no âmbito do EEDS deve permitir que as entidades públicas, privadas e sem fins lucrativos, bem como os investigadores individuais, tenham acesso a dados de saúde para fins de investigação, inovação, elaboração de políticas, atividades educativas, segurança dos doentes, atividades de regulamentação ou medicina personalizada, em consonância com os objetivos estabelecidos no presente regulamento. O acesso aos dados para utilização secundária deve contribuir para o interesse geral da sociedade. As atividades para as quais é lícito o acesso no contexto do presente regulamento podem incluir a utilização dos dados de saúde eletrónicos para tarefas desempenhadas por organismos públicos, designadamente, o exercício de funções públicas, incluindo a vigilância da saúde pública, obrigações de planeamento e comunicação de informações, a elaboração de políticas de saúde, a garantia da segurança dos doentes, a qualidade dos cuidados e a sustentabilidade dos sistemas de saúde. Os organismos públicos e as instituições, órgãos e organismos da União podem exigir acesso regular aos dados de saúde eletrónicos durante um período prolongado, incluindo para efeitos de cumprimento do seu mandato, o que está previsto no presente regulamento. Os organismos do setor público podem realizar essas atividades de investigação recorrendo a terceiros, incluindo subcontratantes, desde que o organismo do setor público retenha a função de supervisor dessas atividades. A transmissão dos dados deve também apoiar atividades relacionadas com a investigação científica (incluindo a investigação privada), o desenvolvimento e a inovação, a produção de bens e serviços para os setores da saúde ou da prestação de cuidados, como as atividades de inovação ou o treino de algoritmos de IA que possam proteger a saúde ou a prestação de cuidados a pessoas singulares. Em alguns casos, as informações sobre algumas pessoas singulares (nomeadamente, informações genómicas de pessoas singulares com uma determinada doença) podem apoiar o diagnóstico ou o tratamento de outras pessoas singulares. É necessário que os organismos públicos vão além do âmbito de aplicação de emergência do capítulo V do Regulamento […] [Regulamento Dados COM(2022) 68 final]. No entanto, os organismos do setor público podem solicitar o apoio de organismos responsáveis pelo acesso a dados de saúde para o tratamento ou a ligação de dados. O presente regulamento proporciona um canal para os organismos do setor público obterem acesso às informações de que necessitam para o desempenho das funções que lhes são atribuídas por lei, mas não alarga o mandato desses organismos do setor público. Deve ser proibida toda e qualquer tentativa de utilizar os dados para medidas prejudiciais para a pessoa singular, para o aumento dos prémios de seguro, para publicidade a produtos ou tratamentos ou para o desenvolvimento de produtos nocivos.

(42)A criação de um ou mais organismos responsáveis pelo acesso aos dados de saúde, que apoiem o acesso a dados de saúde eletrónicos nos Estados-Membros, constitui uma componente essencial para promover a utilização secundária de dados relacionados com a saúde. Os Estados-Membros devem, por conseguinte, criar um ou mais organismos responsáveis pelo acesso aos dados de saúde, de modo a refletir, por exemplo, a sua estrutura constitucional, organizacional e administrativa. No entanto, caso exista mais do que um organismo responsável pelo acesso aos dados de saúde, um deles deve ser designado como coordenador. Sempre que um Estado-Membro crie vários organismos, deve estabelecer regras a nível nacional para assegurar a participação coordenada desses organismos no Conselho do EEDS. Esse Estado-Membro deve, em particular, designar um organismo responsável pelo acesso aos dados de saúde que funcione como ponto de contacto único, para permitir a participação efetiva desses organismos e assegurar uma cooperação rápida e harmoniosa com outros organismos responsáveis pelo acesso aos dados de saúde, o Conselho do EEDS e a Comissão. Os organismos responsáveis pelo acesso aos dados de saúde podem variar em termos de organização e dimensão (desde uma organização específica de pleno direito até uma unidade ou departamento de uma organização existente), mas devem ter as mesmas funções, responsabilidades e capacidades. Os organismos responsáveis pelo acesso aos dados de saúde não devem ser influenciados nas suas decisões sobre o acesso a dados eletrónicos para utilização secundária. Contudo, a sua independência não deve implicar que não possam estar sujeitos a mecanismos de controlo ou monitorização no que diz respeito às suas despesas financeiras ou a fiscalização judicial. Deverão ser proporcionados a cada organismo responsável pelo acesso aos dados de saúde os recursos financeiros e humanos, as instalações e as infraestruturas necessários ao desempenho eficaz das suas atribuições, incluindo as relacionadas com a a cooperação com outros organismos responsáveis pelo acesso aos dados de saúde da União. Os organismos responsáveis pelo acesso aos dados de saúde deverão ter orçamentos anuais públicos separados, que poderão estar integrados no orçamento geral do Estado ou nacional. A fim de permitir um melhor acesso aos dados de saúde e complementar o artigo 7.º, n.º 3, do Regulamento […] do Parlamento Europeu e do Conselho [Regulamento Governação de Dados COM(2020) 767 final], os Estados-Membros devem conferir poderes aos organismos responsáveis pelo acesso aos dados de saúde para tomarem decisões sobre o acesso aos dados de saúde e a sua utilização secundária. Tal poderá consistir na atribuição de novas funções aos organismos competentes designados pelos Estados-Membros nos termos do artigo 7.º, n.º 1, do Regulamento […] [Regulamento Governação de Dados COM(2020) 767 final] ou na designação de organismos setoriais, existentes ou novos, responsáveis por essas funções no que respeita ao acesso aos dados de saúde.

(43)Os organismos responsáveis pelo acesso aos dados de saúde devem acompanhar a aplicação do capítulo IV do presente regulamento e contribuir para a sua aplicação coerente em toda a União. Para esse efeito, os organismos responsáveis pelo acesso aos dados de saúde devem cooperar entre si e com a Comissão, sem necessidade de qualquer acordo entre os Estados-Membros quer sobre a prestação de assistência mútua quer sobre tal cooperação. Os organismos responsáveis pelo acesso aos dados de saúde devem também cooperar com as partes interessadas, incluindo as organizações de doentes. Uma vez que a utilização secundária de dados de saúde implica o tratamento de dados pessoais relativos à saúde, aplicam-se as disposições pertinentes do Regulamento (UE) 2016/679 e as autoridades de controlo nos termos do Regulamento (UE) 2016/679 e do Regulamento (UE) 2018/1725 devem ser incumbidas de fazer cumprir essas regras. Além disso, uma vez que os dados de saúde são dados sensíveis, e atendendo ao dever de cooperação leal, os organismos responsáveis pelo acesso aos dados de saúde devem informar as autoridades de proteção de dados de eventuais problemas relacionados com o tratamento de dados para utilização secundária, incluindo sanções. Para além das tarefas necessárias para assegurar uma utilização secundária eficaz dos dados de saúde, os organismos responsáveis pelo acesso aos dados de saúde devem procurar alargar a disponibilidade de conjuntos de dados de saúde adicionais, apoiar o desenvolvimento da IA na saúde e promover a elaboração de normas comuns. Devem ainda aplicar técnicas comprovadas que garantam o tratamento dos dados de saúde eletrónicos de uma forma que preserve a privacidade das informações contidas nos dados em relação aos quais é permitida a utilização secundária, incluindo técnicas de pseudonimização, anonimização, generalização, supressão e aleatorização de dados pessoais. Os organismos responsáveis pelo acesso aos dados de saúde podem preparar conjuntos de dados de acordo com a necessidade do utilizador dos dados associada à autorização de tratamento de dados emitida. Tal inclui regras para tornar anónimos os conjuntos de microdados.

(44)Tendo em conta os encargos administrativos que podem recair sobre os organismos responsáveis pelo acesso aos dados de saúde para informar as pessoas singulares cujos dados são utilizados em projetos de dados num ambiente de tratamento seguro, devem aplicar-se as exceções previstas no artigo 14.º, n.º 5, do Regulamento (UE) 2016/679. Por conseguinte, os organismos responsáveis pelo acesso aos dados de saúde devem fornecer informações gerais sobre as condições de utilização secundária dos seus dados de saúde que contenham os elementos de informação enumerados no artigo 14.º, n.º 1, e, sempre que necessário para assegurar um tratamento justo e transparente, no artigo 14.º, n.º 2, do Regulamento (UE) 2016/679, por exemplo informações sobre a finalidade e as categorias de dados tratadas. Devem ser previstas exceções a esta regra sempre que os resultados da investigação possam contribuir para o tratamento da pessoa singular em causa. Neste caso, o utilizador dos dados deve informar o organismo responsável pelo acesso aos dados de saúde, que deve informar o titular dos dados ou o seu profissional de saúde. As pessoas singulares devem poder aceder aos resultados de diferentes projetos de investigação no sítio Web do organismo responsável pelo acesso aos dados de saúde, idealmente de uma forma que possibilite uma pesquisa fácil. A lista das autorizações de tratamento de dados também deve ser tornada pública. A fim de promover a transparência no seu funcionamento, cada organismo responsável pelo acesso aos dados de saúde deve publicar um relatório anual de atividades que apresente uma panorâmica das suas atividades.

(45)O Regulamento […] [Regulamento Governação de Dados COM(2020) 767 final] estabelece as regras gerais para a gestão do altruísmo de dados. Ao mesmo tempo, uma vez que o setor da saúde gere dados sensíveis, devem ser estabelecidos critérios adicionais através do conjunto de regras previsto no Regulamento […] [Regulamento Governação de Dados COM(2020) 767 final]. Sempre que um conjunto de regras deste tipo preveja a utilização de um ambiente de tratamento seguro para este setor, deve o mesmo cumprir os critérios estabelecidos no presente regulamento. Os organismos responsáveis pelo acesso aos dados de saúde devem cooperar com os organismos designados ao abrigo do Regulamento […] [Regulamento Governação de Dados COM(2020) 767 final] para supervisionar a atividade das organizações de altruísmo de dados no setor da saúde ou da prestação de cuidados.

(46)A fim de apoiar a utilização secundária de dados de saúde eletrónicos, os detentores dos dados devem abster-se de reter os dados, de solicitar taxas injustificadas que não sejam transparentes nem proporcionais aos custos de disponibilização dos dados (e, sendo caso disso, aos custos marginais da recolha de dados), de solicitar aos utilizadores dos dados que copubliquem a investigação ou de outras práticas que possam dissuadir os utilizadores de solicitar os dados. Sempre que seja necessária uma aprovação ética para a emissão de uma autorização de tratamento de dados, a sua avaliação deve basear-se nos seus próprios méritos. Por outro lado, as instituições, órgãos e organismos da União, incluindo a EMA, o ECDC e a Comissão, dispõem de dados muito importantes e esclarecedores. O acesso aos dados destas instituições, órgãos e organismos deve ser concedido através do organismo responsável pelo acesso aos dados de saúde onde o responsável pelo tratamento está localizado.

(47)Os organismos responsáveis pelo acesso aos dados de saúde e os detentores individuais de dados devem ser autorizados a cobrar taxas com base nas disposições do Regulamento […] [Regulamento Governação de Dados COM(2020) 767 final] em relação às suas funções. Estas taxas podem ter em conta a situação e o interesse das PME, dos investigadores individuais ou dos organismos públicos. Os detentores de dados devem também ser autorizados a cobrar taxas pela disponibilização dos dados. Essas taxas devem refletir os custos da prestação desses serviços. Os detentores de dados privados podem igualmente cobrar taxas pela recolha de dados. A fim de assegurar uma abordagem harmonizada das políticas em matéria de taxas e da estrutura das taxas, a Comissão pode adotar atos de execução. As disposições do artigo 10.º do Regulamento [Regulamento Dados COM(2022) 68 final] devem aplicar-se às taxas cobradas ao abrigo do presente regulamento.

(48)A fim de reforçar a aplicação das regras relativas à utilização secundária de dados de saúde eletrónicos, devem ser estabelecidas medidas adequadas que possam conduzir a sanções ou à exclusão temporária ou definitiva do quadro do EEDS dos utilizadores ou detentores de dados que não cumpram as suas obrigações. O organismo responsável pelo acesso aos dados de saúde deve estar habilitado a verificar a conformidade e a dar aos utilizadores e detentores dos dados a oportunidade de responder a constatações e de corrigir infrações. A imposição de sanções deve estar sujeita às garantias processuais adequadas em conformidade com os princípios gerais do direito do Estado-Membro em causa, incluindo a proteção jurídica eficaz e um processo equitativo.

(49)Dada a sensibilidade dos dados de saúde eletrónicos, é necessário reduzir os riscos para a privacidade das pessoas singulares, aplicando o princípio da minimização dos dados estabelecido no artigo 5.º, n.º 1, alínea c), do Regulamento (UE) 2016/679. Por conseguinte, deve ser disponibilizada, sempre que possível e se o utilizador dos dados o solicitar, a utilização de dados de saúde eletrónicos anonimizados que não contenham dados pessoais. Se tiver necessidade de utilizar dados de saúde eletrónicos pessoais, o utilizador dos dados deve indicar claramente no seu pedido a justificação para a utilização deste tipo de dados na atividade de tratamento de dados prevista. Os dados de saúde eletrónicos pessoais só devem ser disponibilizados em formato pseudonimizado e a chave de cifragem só pode estar na posse do organismo responsável pelo acesso aos dados de saúde. Os utilizadores dos dados não devem tentar reidentificar pessoas singulares a partir do conjunto de dados fornecido ao abrigo do presente regulamento, sob pena de sanções administrativas ou de eventuais sanções penais, sempre que a legislação nacional o preveja. No entanto, nos casos em que os resultados de um projeto realizado com base numa autorização de tratamento de dados tenham um benefício ou impacto na saúde de uma determinada pessoa singular (por exemplo, a descoberta de tratamentos ou de fatores de risco de desenvolvimento de uma determinada doença), tal não deve impedir que os utilizadores dos dados informem o organismo responsável pelo acesso aos dados de saúde, que por sua vez informará a(s) pessoa(s) singular(es) em causa. Além disso, o requerente pode solicitar aos organismos responsáveis pelo acesso aos dados de saúde que respondam a um pedido de dados, incluindo sob forma estatística. Neste caso, os utilizadores dos dados não tratariam dados de saúde e o organismo responsável pelo acesso aos dados de saúde continuaria a ser o único responsável pelo tratamento dos dados necessários para responder ao pedido de dados.

(50)A fim de assegurar que todos os organismos responsáveis pelo acesso aos dados de saúde emitam autorizações de forma semelhante, é necessário estabelecer um processo comum normalizado para a emissão de autorizações de tratamento de dados, mediante pedidos de acesso semelhantes nos diferentes Estados-Membros. O requerente deve fornecer aos organismos responsáveis pelo acesso aos dados de saúde vários elementos de informação que os ajudem a avaliar o pedido e a decidir se o requerente pode receber uma autorização de tratamento de dados para efeitos de utilização secundária dos dados, garantindo igualmente a coerência entre os diferentes organismos responsáveis pelo acesso aos dados de saúde. Essas informações incluem: o fundamento jurídico nos termos do Regulamento (UE) 2016/679 para solicitar o acesso aos dados (exercício de funções de interesse público atribuídas por lei ou a existência de um interesse legítimo), as finalidades para as quais os dados seriam utilizados, a descrição dos dados necessários e das possíveis fontes de dados, uma descrição dos instrumentos necessários para tratar os dados, bem como as características necessárias do ambiente seguro. Se os dados forem solicitados em formato pseudonimizado, o requerente dos dados deve explicar por que razão tal é necessário e por que razão os dados anónimos não seriam suficientes. Pode ser solicitada uma avaliação ética com base na legislação nacional. Os organismos responsáveis pelo acesso aos dados de saúde e, se for caso disso, os detentores dos dados, devem prestar assistência aos utilizadores dos dados na seleção dos conjuntos ou fontes de dados adequados para a finalidade prevista da utilização secundária. Se o requerente necessitar de dados estatísticos anonimizados, deve apresentar um pedido de dados, solicitando que o organismo responsável pelo acesso aos dados de saúde forneça diretamente o resultado. A fim de assegurar uma abordagem harmonizada entre os organismos responsáveis pelo acesso aos dados de saúde, a Comissão deve apoiar a harmonização dos pedidos de acesso a dados e dos pedidos de dados.

(51)Uma vez que os seus recursos são limitados, os organismos responsáveis pelo acesso aos dados de saúde podem aplicar regras para a atribuição de prioridades, por exemplo dando prioridade às instituições públicas em relação às entidades privadas, mas não devem discriminar entre as organizações nacionais e as organizações de outros Estados-Membros dentro da mesma categoria de prioridades. O utilizador dos dados deve poder prolongar a duração da autorização de tratamento de dados, a fim de, nomeadamente, permitir o acesso dos revisores de publicações científicas aos conjuntos de dados ou uma análise adicional do conjunto de dados com base nas constatações iniciais. Seria necessária, para este efeito, uma alteração da autorização de tratamento de dados, que poderá implicar o pagamento de uma taxa adicional. No entanto, em todos os casos, a autorização de tratamento de dados deve refletir estas utilizações adicionais do conjunto de dados. De preferência, o utilizador dos dados deve mencioná-las no seu pedido inicial de emissão da autorização de tratamento de dados. De modo a assegurar uma abordagem harmonizada entre os organismos responsáveis pelo acesso aos dados de saúde, a Comissão deve apoiar a harmonização da autorização de tratamento de dados.

(52)Como a crise da COVID-19 demonstrou, as instituições, órgãos e organismos da União, em especial a Comissão, necessitam de acesso a dados de saúde durante um período mais longo e de forma recorrente. Pode ser este o caso não só em circunstâncias específicas em períodos de crise, mas também para facultar regularmente bases científicas e apoio técnico às políticas da União. O acesso a esses dados pode ser exigido em determinados Estados-Membros ou em todo o território da União.

(53)No que diz respeito aos pedidos de acesso a dados de saúde eletrónicos de um único detentor de dados num único Estado-Membro, e a fim de minimizar os encargos administrativos para os organismos responsáveis pelo acesso aos dados de saúde decorrentes da gestão desses pedidos, o utilizador dos dados deve poder solicitar esses dados diretamente ao detentor dos dados e este deve poder emitir uma autorização de tratamento de dados, sem deixarem de cumprir todos os requisitos e garantias associados a esse pedido e a essa autorização. Os pedidos plurinacionais e os pedidos que exijam a combinação de conjuntos de dados de vários detentores de dados devem ser sempre canalizados através de organismos responsáveis pelo acesso a dados de saúde. O detentor dos dados deve comunicar aos organismos responsáveis pelo acesso aos dados de saúde quaisquer autorizações de tratamento de dados ou pedidos de dados que forneça.

(54)Dada a sensibilidade dos dados de saúde eletrónicos, os utilizadores dos dados não devem ter acesso ilimitado aos mesmos. O acesso aos dados de saúde eletrónicos solicitados para utilização secundária deve ser efetuado através de um ambiente de tratamento seguro. A fim de garantir salvaguardas técnicas e de segurança robustas para os dados de saúde eletrónicos, o organismo responsável pelo acesso aos dados de saúde ou, se for caso disso, o detentor único dos dados deve facultar o acesso a esses dados num ambiente de tratamento seguro, em conformidade com as elevadas normas técnicas e de segurança estabelecidas nos termos do presente regulamento. Alguns Estados-Membros tomaram medidas para localizar esses ambientes seguros na Europa. O tratamento de dados pessoais num ambiente seguro deste tipo deve cumprir o disposto no Regulamento (UE) 2016/679, incluindo, se o ambiente seguro for gerido por terceiros, os requisitos do artigo 28.º e, quando aplicável, do capítulo V. Esse ambiente de tratamento seguro deve reduzir os riscos para a privacidade relacionados com essas atividades de tratamento e impedir que os dados de saúde eletrónicos sejam transmitidos diretamente aos utilizadores dos dados. O organismo responsável pelo acesso aos dados de saúde ou o detentor dos dados que presta este serviço deve manter sempre o controlo do acesso aos dados de saúde eletrónicos, sendo que o acesso concedido aos utilizadores dos dados é determinado pelas condições da autorização de tratamento de dados emitida. Apenas devem ser extraídos desse ambiente de tratamento seguro pelos utilizadores de dados os dados de saúde eletrónicos não pessoais. Trata-se, assim, de uma garantia essencial para salvaguardar os direitos e as liberdades das pessoas singulares no que diz respeito ao tratamento dos seus dados de saúde eletrónicos para utilização secundária. A Comissão deve ajudar os Estados-Membros no desenvolvimento de normas de segurança comuns a fim de promover a segurança e a interoperabilidade dos vários ambientes seguros.

(55)Para o tratamento de dados de saúde eletrónicos no âmbito de uma autorização concedida, os organismos responsáveis pelo acesso aos dados de saúde e os utilizadores dos dados devem ser responsáveis conjuntos pelo tratamento, na aceção do artigo 26.º do Regulamento (UE) 2016/679, o que significa que se aplicam as obrigações dos responsáveis conjuntos pelo tratamento ao abrigo desse regulamento. A fim de apoiar os organismos responsáveis pelo acesso aos dados de saúde e os utilizadores dos dados, a Comissão deve, por meio de um ato de execução, facultar um modelo para os acordos de responsabilidade conjunta pelo tratamento que os organismos responsáveis pelo acesso aos dados de saúde e os utilizadores dos dados terão de celebrar. Para alcançar um quadro inclusivo e sustentável para a utilização secundária plurinacional de dados de saúde eletrónicos, deve ser criada uma infraestrutura transfronteiriça. A Dados de saúde @ UE (HealthData@EU) deve acelerar a utilização secundária de dados de saúde eletrónicos, aumentando simultaneamente a segurança jurídica, respeitando a privacidade das pessoas singulares e assegurando a interoperabilidade. Dada a sensibilidade dos dados de saúde, devem ser respeitados, sempre que possível, princípios como a «privacidade desde a conceção» e «interrogar os dados onde estes estão localizados, em vez de transferir dados». Os participantes autorizados na Dados de saúde @ UE (HealthData@EU) podem ser organismos responsáveis pelo acesso a dados de saúde, infraestruturas de investigação criadas sob a forma de Consórcio para uma Infraestrutura Europeia de Investigação («ERIC») ao abrigo do Regulamento (CE) n.º 723/2009 50 do Conselho ou estruturas semelhantes estabelecidas ao abrigo de outra legislação da União, assim como outros tipos de entidades, incluindo infraestruturas no âmbito do Fórum Estratégico Europeu para Infraestruturas de Investigação (ESFRI) ou infraestruturas federadas no âmbito da Nuvem Europeia para a Ciência Aberta (EOSC). Os outros participantes autorizados devem obter a aprovação do grupo de responsabilidade conjunta pelo tratamento para aderir à Dados de saúde @ UE (HealthData@EU). Por outro lado, a Dados de saúde @ UE (HealthData@EU) deve permitir a utilização secundária de diferentes categorias de dados de saúde eletrónicos, incluindo a ligação dos dados de saúde a dados de outros espaços de dados, designadamente, ambientais, agrícolas, sociais, etc. A Comissão pode prestar um conjunto de serviços na Dados de saúde @ UE (HealthData@EU), incluindo o apoio ao intercâmbio de informações entre os organismos responsáveis pelo acesso aos dados de saúde e os participantes autorizados para o tratamento de pedidos de acesso transfronteiriços, a manutenção de catálogos de dados de saúde eletrónicos disponíveis através da infraestrutura, a capacidade de descoberta das redes e consultas de metadados, a conectividade e os serviços de conformidade. A Comissão pode igualmente criar um ambiente seguro que permita a transmissão e análise de dados provenientes de diferentes infraestruturas nacionais, a pedido dos responsáveis pelo tratamento. A estratégia digital da Comissão promove a ligação dos vários espaços comuns europeus de dados. Para o setor da saúde, a interoperabilidade com setores como o ambiental, o social e o agrícola pode ser relevante para obter conhecimentos adicionais sobre os determinantes da saúde. Por razões de eficiência informática, racionalização e interoperabilidade dos intercâmbios de dados, os sistemas existentes de partilha de dados devem ser reutilizados tanto quanto possível, à semelhança dos que estão a ser construídos para o intercâmbio de elementos de prova ao abrigo do sistema técnico baseado no princípio da declaração única, previsto no Regulamento (UE) 2018/1724 do Parlamento Europeu e do Conselho 51 .

(56)No caso de registos ou bases de dados transfronteiriços, como os registos das redes europeias de referência para as doenças raras, que recebem dados de diferentes prestadores de cuidados de saúde em vários Estados-Membros, o organismo responsável pelo acesso aos dados de saúde onde estiver localizado o coordenador do registo deve ser responsável por facultar o acesso aos dados.

(57)O processo de autorização para obter acesso a dados de saúde pessoais em diferentes Estados-Membros pode ser repetitivo e complicado para os utilizadores dos dados. Sempre que possível, devem ser criadas sinergias para reduzir os encargos e os obstáculos para os utilizadores dos dados. Uma forma de alcançar este objetivo consiste em respeitar o princípio do «pedido único», segundo o qual, com um único pedido, o utilizador dos dados obtém autorização de vários organismos responsáveis pelo acesso a dados de saúde em diferentes Estados-Membros.

(58)Os organismos responsáveis pelo acesso aos dados de saúde devem fornecer informações sobre os conjuntos de dados disponíveis e as suas características, para que os utilizadores dos dados possam ser informados de factos elementares sobre o conjunto de dados e avaliar a sua possível relevância para si. Por esta razão, cada conjunto de dados deve incluir, no mínimo, informações respeitantes à fonte, à natureza dos dados e às condições de disponibilização dos dados. Por conseguinte, deve ser criado um catálogo de conjuntos de dados da UE para facilitar a possibilidade de descoberta dos conjuntos de dados disponíveis no EEDS, para ajudar os detentores de dados a publicar os seus conjuntos de dados, para prestar a todas as partes interessadas, incluindo o público em geral, tendo igualmente em conta as pessoas com deficiência, informações sobre os conjuntos de dados colocados no EEDS (tais como rótulos de qualidade e de utilidade ou fichas de informação sobre conjuntos de dados) e para prestar aos utilizadores dos dados informações atualizadas sobre a qualidade e utilidade dos dados relativamente aos conjuntos de dados.

(59)As informações sobre a qualidade e a utilidade dos conjuntos de dados aumentam significativamente o valor dos resultados da investigação e inovação com utilização intensiva de dados, promovendo simultaneamente a tomada de decisões em matéria de regulamentação e de políticas com base em dados concretos. A melhoria da qualidade e da utilidade dos conjuntos de dados através de uma escolha informada dos clientes e a harmonização dos requisitos conexos a nível da União, tendo em conta as normas, orientações e recomendações internacionais e da União existentes em matéria de recolha e intercâmbio de dados (ou seja, os princípios FAIR: Fáceis de encontrar, Acessíveis, Interoperáveis e Reutilizáveis), também beneficiam os detentores dos dados, os profissionais de saúde, as pessoas singulares e a economia da União em geral. Um rótulo de qualidade e utilidade dos dados para os conjuntos de dados informaria os utilizadores dos dados sobre as características de qualidade e utilidade de um conjunto de dados e permitir-lhes-ia escolher os conjuntos de dados que melhor se adequassem às suas necessidades. O rótulo de qualidade e utilidade dos dados não deve impedir a disponibilização de conjuntos de dados através do EEDS, mas sim proporcionar um mecanismo de transparência entre os detentores e os utilizadores dos dados. Por exemplo, um conjunto de dados que não cumpra qualquer requisito de utilidade e qualidade dos dados deve ser rotulado com a classe que representa a qualidade e a utilidade mais fracas, mas deve continuar a ser disponibilizado. As expectativas estabelecidas nos quadros descritos no artigo 10.º do Regulamento […] [Regulamento Inteligência Artificial COM(2021) 206 final] e a respetiva documentação pertinente especificada no anexo IV devem ser tidas em conta ao elaborar o quadro relativo à qualidade e utilidade dos dados. Os Estados-Membros devem sensibilizar para o rótulo de qualidade e utilidade dos dados por intermédio de atividades de comunicação. A Comissão pode apoiar estas atividades.

(60)O catálogo de conjuntos de dados da UE deve minimizar os encargos administrativos para os detentores de dados e outros utilizadores de bases de dados, deve ser intuitivo, acessível e eficaz em termos de custos e deve ligar os catálogos de dados nacionais e evitar o registo redundante de conjuntos de dados. O catálogo de conjuntos de dados da UE poderá ser harmonizado com a iniciativa data.europa.eu e desenvolvido sem prejudicar os requisitos estabelecidos no Regulamento […] [Regulamento Governação de Dados COM(2020) 767 final]. Os Estados-Membros devem assegurar que os catálogos nacionais de dados sejam interoperáveis com os catálogos de conjuntos de dados existentes das infraestruturas de investigação europeias e de outras infraestruturas pertinentes de partilha de dados.

(61)Diferentes organizações profissionais, a Comissão e outras instituições estão atualmente a cooperar e a trabalhar para criar campos mínimos de dados e outras características de diferentes conjuntos de dados (por exemplo, registos). Este trabalho está mais avançado em domínios como o cancro, as doenças raras e as estatísticas e deve ser tomado em conta quando da definição de novas normas. Contudo, muitos conjuntos de dados não estão harmonizados, suscitando problemas de comparabilidade e dificultando a investigação transfronteiriça. Por conseguinte, devem ser estabelecidas regras mais pormenorizadas em atos de execução, a fim de assegurar a harmonização da disponibilização, da codificação e do registo de dados de saúde eletrónicos. Os Estados-Membros devem trabalhar no sentido de proporcionar benefícios económicos e sociais sustentáveis graças aos sistemas e serviços de saúde digitais europeus e das aplicações interoperáveis, com vista a alcançar um elevado nível de confiança e segurança, reforçar a continuidade dos cuidados de saúde e garantir o acesso a cuidados de saúde seguros e de elevada qualidade.

(62)A Comissão deve apoiar os Estados-Membros na consolidação das capacidades e da eficácia no domínio dos sistemas de saúde digitais para a utilização primária e secundária de dados de saúde eletrónicos. Os Estados-Membros devem ser apoiados para reforçar a sua capacidade. Constituem medidas pertinentes a este respeito certas atividades a nível da União, como avaliações comparativas e o intercâmbio de boas práticas.

(63)A utilização dos fundos deve também contribuir para a consecução dos objetivos do EEDS. Os compradores públicos, as autoridades nacionais competentes dos Estados-Membros, incluindo as autoridades de saúde digital e os organismos responsáveis pelo acesso aos dados de saúde, bem como a Comissão, devem fazer referência às especificações técnicas, normas e perfis aplicáveis em matéria de interoperabilidade, segurança e qualidade dos dados, bem como a outros requisitos elaborados nos termos do presente regulamento, ao definirem as condições para os contratos públicos, os convites à apresentação de propostas e a atribuição de fundos da União, incluindo os fundos estruturais e de coesão.

(64)Certas categorias de dados de saúde eletrónicos podem continuar a ser particularmente sensíveis, mesmo quando se apresentam em formato anonimizado e, por conseguinte, não pessoal, como já previsto especificamente no Regulamento Governação de Dados. Mesmo em situações de utilização das técnicas de anonimização mais avançadas, continua a existir um risco residual de que a capacidade de reidentificação possa estar ou ficar disponível, para além dos meios razoavelmente suscetíveis de serem utilizados. Esse risco residual está presente em relação a doenças raras (uma doença potencialmente fatal ou cronicamente debilitante que afeta não mais de cinco em cada dez mil pessoas na União), em que o número limitado de casos reduz a possibilidade de agregar totalmente os dados publicados, a fim de preservar a privacidade das pessoas singulares, mantendo simultaneamente um nível adequado de granularidade para se manterem significativos. Tal pode afetar diferentes tipos de dados de saúde, dependendo do nível de granularidade e de descrição das características dos titulares dos dados, do número de pessoas afetadas ou, por exemplo, no caso de dados incluídos em registos de saúde eletrónicos, registos de doenças, biobancos, dados gerados por pessoas, etc., em que as características de identificação são mais vastas e em que, em combinação com outras informações (por exemplo, em áreas geográficas muito pequenas) ou através da evolução tecnológica de métodos que não estavam disponíveis no momento da anonimização, pode conduzir à reidentificação dos titulares dos dados utilizando meios que vão além dos que são razoavelmente suscetíveis de serem utilizados. A concretização desse risco de reidentificação das pessoas singulares constituiria uma grande preocupação e é suscetível de pôr em risco a aceitação da política e das regras relativas à utilização secundária previstas no presente regulamento. Além disso, as técnicas de agregação são menos testadas no que diz respeito aos dados não pessoais que contêm, por exemplo, segredos comerciais, como no caso dos relatórios de ensaios clínicos, e é mais difícil combater violações de segredos comerciais fora da União na ausência de um nível suficiente de proteção internacional. Por conseguinte, para estes tipos de dados de saúde, continua a existir um risco de reidentificação após a anonimização ou agregação, que não poderá ser razoavelmente atenuado numa fase inicial. Tal enquadra-se nos critérios indicados no artigo 5.º, n.º 13, do Regulamento […] [Regulamento Governação de Dados COM(2020) 767 final]. Estes tipos de dados de saúde enquadrar-se-iam, assim, na habilitação prevista no artigo 5.º, n.º 13, do Regulamento […] [Regulamento Governação de Dados COM(2020) 767 final] para transferência para países terceiros. As medidas de proteção, proporcionais ao risco de reidentificação, teriam de ter em conta as especificidades das diferentes categorias de dados ou das diferentes técnicas de anonimização ou agregação, e serão pormenorizadas no contexto do ato delegado ao abrigo da habilitação estabelecida no artigo 5.º, n.º 13, do Regulamento […] [Regulamento Governação de Dados COM(2020) 767 final].

(65)A fim de promover a aplicação coerente do presente regulamento, deve ser criado um Conselho do Espaço Europeu de Dados de Saúde (Conselho do EEDS). A Comissão deve participar nas suas atividades e presidir ao mesmo. O Conselho deve contribuir para a aplicação coerente do presente regulamento em toda a União, nomeadamente ajudando os Estados-Membros a coordenar a utilização de dados de saúde eletrónicos para os cuidados de saúde e a certificação, mas também no que diz respeito à utilização secundária de dados de saúde eletrónicos. Uma vez que, a nível nacional, as autoridades de saúde digital que se ocupam da utilização primária de dados de saúde eletrónicos podem ser diferentes dos organismos responsáveis pelo acesso aos dados de saúde que se ocupam da utilização secundária de dados de saúde eletrónicos, as funções diferem e existe a necessidade de uma cooperação distinta em cada um destes domínios, o Conselho do EEDS deve poder criar subgrupos que se ocupem destas duas funções, assim como outros subgrupos que sejam necessários. A fim de estabelecer um método de trabalho eficiente, as autoridades de saúde digital e os organismos responsáveis pelo acesso aos dados de saúde devem criar redes e ligações a nível nacional com outros organismos e autoridades diferentes, mas igualmente a nível da União. Esses organismos poderão incluir autoridades de proteção de dados, organismos de cibersegurança, identificação eletrónica e normalização, bem como organismos e grupos de peritos ao abrigo dos Regulamentos […], […], […] e […] [Regulamento Governação de Dados, Regulamento Dados, Regulamento Inteligência Artificial e Regulamento Cibersegurança].

(66)A fim de gerir as infraestruturas transfronteiriças para a utilização primária e secundária de dados de saúde eletrónicos, torna-se necessário criar o grupo de responsabilidade conjunta pelo tratamento para os participantes autorizados (por exemplo para assegurar a conformidade com as regras de proteção de dados e com o presente regulamento em relação às operações de tratamento realizadas nessas infraestruturas).

(67)Dado que os objetivos do presente regulamento, nomeadamente capacitar as pessoas singulares através de um maior controlo dos seus dados de saúde pessoais e apoiar a sua livre circulação assegurando que os dados de saúde as acompanham, promover um mercado único genuíno de produtos e serviços de saúde digitais, assegurar um quadro coerente e eficiente para a reutilização dos dados de saúde das pessoas singulares para fins de investigação, inovação, elaboração de políticas e atividades de regulamentação, não podem ser suficientemente alcançados pelos Estados-Membros unicamente através de medidas de coordenação, tal como demonstrado pela avaliação dos aspetos digitais da Diretiva 2011/24/UE, mas podem, devido à harmonização das medidas relativas aos direitos das pessoas singulares em relação aos seus dados de saúde eletrónicos, à interoperabilidade dos dados de saúde eletrónicos e a um quadro comum e garantias para a utilização primária e secundária de dados de saúde eletrónicos, ser mais bem alcançados ao nível da União, a União pode tomar medidas em conformidade com o princípio da subsidiariedade consagrado no artigo 5.º do Tratado da União Europeia. Em conformidade com o princípio da proporcionalidade consagrado no mesmo artigo, o presente regulamento não excede o necessário para alcançar esses objetivos.

(68)A fim de assegurar que o EEDS cumpre os seus objetivos, o poder de adotar atos em conformidade com o artigo 290.º do Tratado sobre o Funcionamento da União Europeia deve ser delegado na Comissão no que diz respeito às diferentes disposições em matéria de utilização primária e secundária de dados de saúde eletrónicos. É particularmente importante que a Comissão proceda a consultas adequadas durante os trabalhos preparatórios, inclusive ao nível de peritos, e que essas consultas sejam conduzidas de acordo com os princípios estabelecidos no Acordo Interinstitucional, de 13 de abril de 2016, sobre legislar melhor 52 . Em particular, a fim de assegurar a igualdade de participação na preparação dos atos delegados, o Parlamento Europeu e o Conselho recebem todos os documentos ao mesmo tempo que os peritos dos Estados‑Membros e os respetivos peritos têm sistematicamente acesso às reuniões dos grupos de peritos da Comissão que tratem da preparação dos atos delegados.

(69)A fim de assegurar condições uniformes para a execução do presente regulamento, devem ser atribuídas competências de execução à Comissão. Essas competências devem ser exercidas nos termos do Regulamento (UE) n.º 182/2011 do Parlamento Europeu e do Conselho 53 .

(70)Os Estados-Membros devem tomar todas as medidas necessárias para assegurar a aplicação das disposições do presente regulamento, inclusive estabelecendo sanções efetivas, proporcionadas e dissuasivas aplicáveis à sua violação. No caso de determinadas violações específicas, os Estados-Membros devem ter em conta as margens e os critérios estabelecidos no presente regulamento.

(71)A fim de avaliar se o presente regulamento atinge os seus objetivos de forma eficaz e eficiente, se é coerente e continua a ser pertinente e se proporciona valor acrescentado a nível da União, a Comissão deve proceder a uma avaliação do presente regulamento. A Comissão deve proceder a uma avaliação parcial do presente regulamento cinco anos após a sua entrada em vigor, relativa à autocertificação dos sistemas de RSE, e a uma avaliação global sete anos após a sua entrada em vigor. A Comissão deve apresentar relatórios sobre as suas principais conclusões após cada avaliação ao Parlamento Europeu e ao Conselho, ao Comité Económico e Social Europeu e ao Comité das Regiões.

(72)Para garantir o sucesso da aplicação transfronteiriça do EEDS, o Quadro Europeu de Interoperabilidade 54 , destinado a assegurar a interoperabilidade jurídica, organizacional, semântica e técnica, deve ser considerado uma referência comum.

(73)A avaliação dos aspetos digitais da Diretiva 2011/24/UE revela uma eficácia limitada da rede de saúde em linha, mas também um forte potencial para os esforços da UE neste domínio, conforme demonstra o trabalho realizado durante a pandemia. Por conseguinte, o artigo 14.º da diretiva será revogado e substituído pelo atual regulamento e a diretiva será alterada em conformidade.

(74)A Autoridade Europeia para a Proteção de Dados e o Comité Europeu para a Proteção de Dados foram consultados nos termos do artigo 42.º do Regulamento (UE) 2018/1725, e emitiram parecer em […].

(75)O presente regulamento não afeta a aplicação das regras em matéria de concorrência, em particular dos artigos 101.º e 102.º do Tratado. As medidas previstas no presente regulamento não devem ser utilizadas para restringir indevidamente a concorrência de forma contrária ao Tratado.

(76)Dada a necessidade de preparação técnica, o presente regulamento deve aplicar-se a partir de [12 meses após a sua entrada em vigor],

ADOTARAM O PRESENTE REGULAMENTO:

Capítulo I

Disposições gerais

Artigo 1.º

Objeto e âmbito de aplicação

1.O presente regulamento cria o Espaço Europeu de Dados de Saúde («EEDS»), prevendo regras, normas e práticas comuns, infraestruturas e um quadro de governação para a utilização primária e secundária de dados de saúde eletrónicos.

2.O presente regulamento:

a)Reforça os direitos das pessoas singulares em relação à disponibilidade e ao controlo dos seus dados de saúde eletrónicos;

b)Estabelece regras sobre a colocação no mercado, a disponibilização no mercado ou a colocação em serviço de sistemas de registos de saúde eletrónicos («sistemas de RSE») na União;

c)Estabelece regras e mecanismos de apoio à utilização secundária de dados de saúde eletrónicos;

d)Estabelece uma infraestrutura transfronteiriça obrigatória que permite a utilização primária de dados de saúde eletrónicos em toda a União;

e)Estabelece uma infraestrutura transfronteiriça obrigatória para a utilização secundária de dados de saúde eletrónicos.

3.O presente regulamento é aplicável:

a)Aos fabricantes e fornecedores de sistemas de RSE e aplicações de bem-estar colocados no mercado e colocados em serviço na União, bem como aos utilizadores desses produtos;

b)Aos responsáveis pelo tratamento e subcontratantes estabelecidos na União que tratam dados de saúde eletrónicos de cidadãos da União e de nacionais de países terceiros que residam legalmente nos territórios dos Estados-Membros;

c)Aos responsáveis pelo tratamento e subcontratantes estabelecidos num país terceiro que tenham sido ligados a A minha saúde @ UE (MyHealth@EU) ou sejam interoperáveis com esta infraestrutura, nos termos do artigo 12.º, n.º 5;

d)Aos utilizadores de dados a quem são disponibilizados dados de saúde eletrónicos por detentores de dados na União.

4.O presente regulamento não prejudica outros atos jurídicos da União relativos ao acesso, à partilha ou à utilização secundária de dados de saúde eletrónicos, nem os requisitos relativos ao tratamento de dados relacionados com dados de saúde eletrónicos, nomeadamente os Regulamentos (UE) 2016/679, (UE) 2018/1725, […] [Regulamento Governação de Dados COM(2020) 767 final] e […] [Regulamento Dados COM(2022) 68 final].

5.O presente regulamento não prejudica os Regulamentos (UE) 2017/745 e […] [Regulamento Inteligência Artificial COM(2021) 206 final], no que respeita à segurança dos dispositivos médicos e dos sistemas de IA que interagem com os sistemas de RSE.

6.O presente regulamento não afeta os direitos e obrigações estabelecidos no direito da União ou no direito nacional relativos ao tratamento de dados para efeitos de comunicação, de resposta a pedidos de informação ou de demonstração ou verificação do cumprimento das obrigações legais.

Artigo 2.º

Definições

1.Para efeitos do presente regulamento, aplicam-se as seguintes definições:

a)As definições constantes do Regulamento (UE) 2016/679;

b)As definições de «cuidados de saúde», «Estado-Membro de afiliação», «Estado-Membro de tratamento», «profissional de saúde», «prestador de cuidados de saúde», «medicamento» e «receita médica», nos termos do artigo 3.º, alíneas a), c), d), f), g), i) e k), da Diretiva 2011/24/UE;

c)As definições de «dados», «acesso», «altruísmo de dados», «organismo do setor público» e «ambiente de tratamento seguro», nos termos do artigo 2.º, pontos 1, 8, 10, 11 e 14, do [Regulamento Governação de Dados COM(2020) 767 final)];

d)As definições de «disponibilização no mercado», «colocação no mercado», «fiscalização do mercado», «autoridade de fiscalização do mercado», «não conformidade», «fabricante», «importador», «distribuidor», «operador económico», «medida corretiva», «risco», «recolha» e «retirada», nos termos do artigo 2.º, pontos 1, 2, 3, 4, 7, 8, 9, 10, 13, 16, 18, 22 e 23, do Regulamento (UE) 2019/1020;

e)As definições de «dispositivo médico», «finalidade prevista», «instruções de utilização», «desempenho», «instituição de saúde» e «especificações comuns», nos termos do artigo 2.º, pontos 1, 12, 14, 22, 36 e 71, do Regulamento (UE) 2017/745;

f)As definições de «identificação eletrónica», «meio de identificação eletrónica» e «dados de identificação pessoal», nos termos do artigo 3.º, pontos 1, 2 e 3, do Regulamento (UE) n.º 910/2014.

2.Além disso, para efeitos do presente regulamento, entende-se por:

a)«Dados de saúde eletrónicos pessoais», os dados relativos à saúde e os dados genéticos na aceção do Regulamento (UE) 2016/679, bem como os dados referentes a determinantes da saúde ou os dados tratados no âmbito da prestação de serviços de saúde, que são tratados em formato eletrónico;

b)«Dados de saúde eletrónicos não pessoais», os dados relativos à saúde e os dados genéticos em formato eletrónico não abrangidos pela definição de dados pessoais constante do artigo 4.º, ponto 1, do Regulamento (UE) 2016/679;

c)«Dados de saúde eletrónicos», dados de saúde eletrónicos pessoais ou não pessoais;

d)«Utilização primária de dados de saúde eletrónicos», o tratamento de dados de saúde eletrónicos pessoais para a prestação de serviços de saúde a fim de avaliar, manter ou restabelecer o estado de saúde da pessoa singular a quem esses dados dizem respeito, incluindo a prescrição, a dispensa e o fornecimento de medicamentos e dispositivos médicos, bem como para os serviços pertinentes de segurança social, administrativos ou de reembolso;

e)«Utilização secundária de dados de saúde eletrónicos», o tratamento de dados de saúde eletrónicos para os fins estabelecidos no capítulo IV do presente regulamento. Os dados utilizados podem incluir dados de saúde eletrónicos pessoais inicialmente recolhidos no contexto da utilização primária, mas também dados de saúde eletrónicos recolhidos para fins de utilização secundária;

f)«Interoperabilidade», a capacidade de as organizações, bem como as aplicações informáticas ou os dispositivos do mesmo fabricante ou de diferentes fabricantes, interagirem para alcançar objetivos mutuamente benéficos, envolvendo o intercâmbio de informações e conhecimentos, sem alterar o conteúdo dos dados, entre essas organizações, aplicações informáticas ou dispositivos, através dos processos que apoiam;

g)«Formato europeu de intercâmbio de registos de saúde eletrónicos», um formato estruturado, de uso corrente e legível por máquina que permite a transmissão de dados de saúde eletrónicos pessoais entre diferentes aplicações informáticas, dispositivos e prestadores de cuidados de saúde;

h)«Registo de dados de saúde eletrónicos», o ato de registar dados de saúde num formato eletrónico, por intermédio da introdução manual de dados, da recolha de dados por um dispositivo ou da conversão de dados de saúde não eletrónicos num formato eletrónico, para que sejam tratados num sistema de RSE ou numa aplicação de bem-estar;

i)«Serviço de acesso a dados de saúde eletrónicos», um serviço em linha, como um portal ou uma aplicação móvel, que permite às pessoas singulares, que não atuam na sua capacidade profissional, aceder aos seus próprios dados de saúde eletrónicos ou aos dados de saúde eletrónicos das pessoas singulares a cujos dados de saúde eletrónicos estão legalmente autorizadas a aceder;

j)«Serviço de acesso dos profissionais de saúde», um serviço, apoiado por um sistema de RSE, que permite aos profissionais de saúde aceder aos dados das pessoas singulares que estão a tratar;

k)«Destinatário dos dados», uma pessoa singular ou coletiva que recebe dados de outro responsável pelo tratamento no contexto da utilização primária de dados de saúde eletrónicos;

l)«Telemedicina», a prestação de serviços de saúde, incluindo cuidados à distância e farmácias em linha, através da utilização de tecnologias da informação e comunicação, em situações em que o profissional de saúde e o doente (ou vários profissionais de saúde) não estão no mesmo local;

m)«RSE» (registo de saúde eletrónico), um conjunto de dados de saúde eletrónicos relativos a uma pessoa singular e recolhidos no sistema de saúde, tratados para fins de cuidados de saúde;

n)«Sistema de RSE» (sistema de registos de saúde eletrónicos), qualquer dispositivo ou software destinado pelo fabricante a ser utilizado para conservação, intermediação, importação, exportação, conversão, edição ou visualização de registos de saúde eletrónicos;

o)«Aplicação de bem-estar», qualquer dispositivo ou software destinado pelo fabricante a ser utilizado por uma pessoa singular no tratamento de dados de saúde eletrónicos para fins diferentes dos cuidados de saúde, como o bem-estar e a procura de estilos de vida saudáveis;

p)«Marcação de conformidade CE», a marcação através da qual o fabricante indica que o sistema de RSE cumpre os requisitos aplicáveis estabelecidos no presente regulamento e noutra legislação aplicável da União que preveja a sua aposição;

q)«Incidente grave», qualquer anomalia ou deterioração das características ou desempenho de um sistema de RSE disponibilizado no mercado que, direta ou indiretamente, tenha, possa ter tido ou possa vir a ter alguma das seguintes consequências:

i)a morte de uma pessoa singular ou danos graves para a saúde de uma pessoa singular,

ii)uma perturbação grave da gestão e do funcionamento de uma infraestrutura crítica no setor da saúde;

r)«Ponto de contacto nacional para a saúde digital», um portal organizacional e técnico para a prestação de serviços transfronteiriços de informação em matéria de saúde digital para a utilização primária de dados de saúde eletrónicos, sob a responsabilidade dos Estados-Membros;

s)«Plataforma central para a saúde digital», uma plataforma de interoperabilidade que presta serviços destinados a apoiar e a facilitar o intercâmbio de dados de saúde eletrónicos entre os pontos de contacto nacionais para a saúde digital;

t)«A minha saúde @ UE (MyHealth@EU)», a infraestrutura transfronteiriça para a utilização primária de dados de saúde eletrónicos constituída pela combinação dos pontos de contacto nacionais para a saúde digital e a plataforma central para a saúde digital;

u)«Ponto de contacto nacional para a utilização secundária de dados de saúde eletrónicos», um portal organizacional e técnico que permite a utilização secundária transfronteiriça de dados de saúde eletrónicos, sob a responsabilidade dos Estados-Membros;

v)«Plataforma central para a utilização secundária de dados de saúde eletrónicos», uma plataforma de interoperabilidade criada pela Comissão que presta serviços destinados a apoiar e a facilitar o intercâmbio de informações entre os pontos de contacto nacionais para a utilização secundária de dados de saúde eletrónicos;

x)«Dados de saúde @ UE (HealthData@EU)», a infraestrutura que liga os pontos de contacto nacionais para a utilização secundária de dados de saúde eletrónicos e a plataforma central;

y)«Detentor dos dados», qualquer pessoa singular ou coletiva que seja uma entidade ou um organismo do setor da saúde ou da prestação de cuidados ou que conduza investigação relativa a estes setores, bem como uma instituição, órgão ou organismo da União, que tem o direito ou a obrigação, nos termos do presente regulamento, da legislação aplicável da União ou da legislação nacional que transpõe o direito da União, ou, no caso de dados não pessoais, através do controlo da conceção técnica de um produto e dos serviços conexos, a capacidade de disponibilizar, assim como de registar ou de fornecer determinados dados, de restringir o acesso a esses dados ou de proceder ao seu intercâmbio;

z)«Utilizador dos dados», uma pessoa singular ou coletiva que tem acesso legal a dados de saúde eletrónicos pessoais ou não pessoais para fins de utilização secundária;

aa)«Autorização de tratamento de dados», uma decisão administrativa emitida para um utilizador de dados por um organismo responsável pelo acesso aos dados de saúde ou por um detentor de dados para tratar os dados de saúde eletrónicos especificados na autorização de tratamento de dados para os fins de utilização secundária especificados na mesma, com base nas condições estabelecidas no presente regulamento;

ab)«Conjunto de dados», um conjunto estruturado de dados de saúde eletrónicos;

ac)«Catálogo de conjuntos de dados», uma compilação de descrições de conjuntos de dados, organizada de forma sistemática e constituída por uma parte pública orientada para o utilizador, em que as informações relativas aos parâmetros individuais dos conjuntos de dados estão acessíveis por meios eletrónicos através de um portal em linha;

ad)«Qualidade dos dados», o grau em que as características dos dados de saúde eletrónicos são adequadas para a utilização secundária;

ae)«Rótulo de qualidade e utilidade dos dados», um diagrama gráfico, incluindo uma escala, que descreve a qualidade dos dados e as condições de utilização de um conjunto de dados.

Capítulo II

Utilização primária de dados de saúde eletrónicos

Secção 1

Acesso e transmissão de dados de saúde eletrónicos pessoais para fins de utilização primária

Artigo 3.º

Direitos das pessoas singulares em relação à utilização primária dos seus dados de saúde eletrónicos pessoais

1.As pessoas singulares têm o direito de aceder imediatamente, a título gratuito e de forma facilmente legível, consolidada e acessível aos seus dados de saúde eletrónicos pessoais tratados no contexto da utilização primária de dados de saúde eletrónicos.

2.As pessoas singulares têm o direito de receber, no formato europeu de intercâmbio de registos de saúde eletrónicos a que se refere o artigo 6.º, uma cópia eletrónica de pelo menos os seus dados de saúde eletrónicos das categorias prioritárias a que se refere o artigo 5.º.

3.Em conformidade com o artigo 23.º do Regulamento (UE) 2016/679, os Estados-Membros podem limitar o alcance deste direito sempre que seja necessário para a proteção da pessoa singular, por razões de segurança dos doentes e de ética, diferindo o acesso aos seus dados de saúde eletrónicos pessoais durante um período limitado, até que um profissional de saúde possa transmitir e explicar devidamente à pessoa singular as informações suscetíveis de ter um impacto significativo na sua saúde.

4.Quando os dados de saúde pessoais não tiverem sido registados por via eletrónica antes da aplicação do presente regulamento, os Estados-Membros podem exigir que esses dados sejam disponibilizados em formato eletrónico nos termos do presente artigo. Tal não afeta a obrigação de disponibilizar em formato eletrónico, nos termos do presente artigo, os dados de saúde eletrónicos pessoais registados após a aplicação do presente regulamento.

5.Os Estados-Membros devem:

a)Criar um ou mais serviços de acesso a dados de saúde eletrónicos a nível nacional, regional ou local que permitam o exercício dos direitos a que se referem os n.os 1 e 2;

b)Criar um ou mais serviços de procuração que permitam a uma pessoa singular autorizar outras pessoas singulares da sua escolha a aceder aos seus dados de saúde eletrónicos em seu nome.

Os serviços de procuração devem fornecer autorizações a título gratuito, por via eletrónica ou em papel. Devem permitir que os tutores ou outros representantes sejam autorizados, automaticamente ou mediante pedido, a aceder aos dados de saúde eletrónicos das pessoas singulares cujos assuntos administram. Os Estados-Membros podem determinar que as autorizações não se apliquem, sempre que tal seja necessário por razões de proteção da pessoa singular e, em especial, por motivos de segurança dos doentes e de ética. Os serviços de procuração devem ser interoperáveis entre os Estados-Membros.

6.As pessoas singulares podem inserir os seus dados de saúde eletrónicos no seu próprio RSE ou no de pessoas singulares a cujas informações de saúde possam ter acesso, através de serviços de acesso a dados de saúde eletrónicos ou aplicações ligadas a esses serviços. As informações em causa devem ser assinaladas como inseridas pela pessoa singular ou pelo respetivo representante.

7.Os Estados-Membros devem assegurar que, ao exercerem o direito de retificação previsto no artigo 16.º do Regulamento (UE) 2016/679, as pessoas singulares possam solicitar facilmente a retificação em linha através dos serviços de acesso a dados de saúde eletrónicos referidos no n.º 5, alínea a), do presente artigo.

8.As pessoas singulares têm o direito de facultar o acesso aos seus dados de saúde eletrónicos ou de solicitar a um detentor de dados do setor da saúde ou da segurança social que transmita os seus dados de saúde eletrónicos a um destinatário de dados da sua escolha do setor da saúde ou da segurança social, de forma imediata, a título gratuito e sem entraves por parte do detentor dos dados ou dos fabricantes dos sistemas utilizados pelo detentor dos dados.

Sempre que o detentor dos dados e o destinatário dos dados estiverem localizados em Estados-Membros diferentes e os dados de saúde eletrónicos pertencerem às categorias a que se refere o artigo 5.º, as pessoas singulares têm direito a que o detentor dos dados transmita os dados no formato europeu de intercâmbio de registos de saúde eletrónicos a que se refere o artigo 6.º e a que o destinatário dos dados os leia e aceite.

Em derrogação do artigo 9.º do Regulamento […] [Regulamento Dados COM(2022) 68 final], o destinatário dos dados não pode ser obrigado a compensar o detentor dos dados pela disponibilização de dados de saúde eletrónicos.

Sempre que as categorias prioritárias de dados de saúde eletrónicos pessoais a que se refere o artigo 5.º forem transmitidas ou disponibilizadas pela pessoa singular de acordo com o formato europeu de intercâmbio de registos de saúde eletrónicos a que se refere o artigo 6.º, as pessoas singulares têm direito a que esses dados sejam lidos e aceites por outros prestadores de cuidados de saúde.

9.Não obstante o disposto no artigo 6.º, n.º 1, alínea d), do Regulamento (UE) 2016/679, as pessoas singulares têm o direito de restringir o acesso dos profissionais de saúde à totalidade ou a parte dos seus dados de saúde eletrónicos. Os Estados-Membros devem estabelecer as regras e garantias específicas relativas a esses mecanismos de restrição.

10.As pessoas singulares têm o direito de obter informações sobre os prestadores de cuidados de saúde e os profissionais de saúde que acederam aos seus dados de saúde eletrónicos no contexto dos cuidados de saúde. As informações devem ser prestadas de forma imediata e gratuita através de serviços de acesso a dados de saúde eletrónicos.

11.A autoridade ou autoridades de controlo responsáveis pelo controlo da aplicação do Regulamento (UE) 2016/679 são igualmente responsáveis pelo controlo da aplicação do presente artigo, em conformidade com as disposições pertinentes dos capítulos VI, VII e VIII do Regulamento (UE) 2016/679. Dispõem de competências para aplicar coimas até ao montante referido no artigo 83.º, n.º 5, desse regulamento. As referidas autoridades de controlo e as autoridades de saúde digital a que se refere o artigo 10.º do presente regulamento devem, sempre que pertinente, cooperar na aplicação do presente regulamento, no âmbito das respetivas competências.

12.A Comissão determina, por meio de atos de execução, os requisitos relativos à aplicação técnica dos direitos estabelecidos no presente artigo. Os referidos atos de execução são adotados pelo procedimento consultivo a que se refere o artigo 68.º, n.º 2.

Artigo 4.º

Acesso dos profissionais de saúde a dados de saúde eletrónicos pessoais

1.Sempre que tratem dados em formato eletrónico, os profissionais de saúde devem:

a)Ter acesso aos dados de saúde eletrónicos das pessoas singulares que tratam, independentemente do Estado-Membro de afiliação e do Estado-Membro de tratamento;

b)Assegurar que os dados de saúde eletrónicos pessoais das pessoas singulares que tratam sejam atualizados com informações relativas aos serviços de saúde prestados.

2.Em consonância com o princípio da minimização dos dados previsto no Regulamento (UE) 2016/679, os Estados-Membros podem estabelecer regras que determinem as categorias de dados de saúde eletrónicos pessoais exigidos por diferentes profissões no setor da saúde. Essas regras não podem basear-se na fonte dos dados de saúde eletrónicos.

3.Os Estados-Membros devem assegurar que seja disponibilizado aos profissionais de saúde o acesso, pelo menos, às categorias prioritárias de dados de saúde eletrónicos a que se refere o artigo 5.º, através de serviços de acesso dos profissionais de saúde. Os profissionais de saúde que possuam meios de identificação eletrónica reconhecidos têm o direito de utilizar esses serviços de acesso dos profissionais de saúde a título gratuito.

4.Se o acesso aos dados de saúde eletrónicos tiver sido restringido pela pessoa singular, o prestador de cuidados de saúde ou os profissionais de saúde não podem ser informados do conteúdo dos dados de saúde eletrónicos sem autorização prévia da pessoa singular, incluindo no caso de o prestador ou o profissional ser informado da existência e da natureza dos dados de saúde eletrónicos restringidos. Nos casos em que o tratamento seja necessário para proteger os interesses vitais do titular dos dados ou de outra pessoa singular, o prestador de cuidados de saúde ou o profissional de saúde pode obter acesso aos dados de saúde eletrónicos restringidos. Na sequência do referido acesso, o prestador de cuidados de saúde ou o profissional de saúde deve informar o detentor dos dados e a pessoa singular em causa ou os seus tutores de que foi concedido acesso aos dados de saúde eletrónicos. A legislação dos Estados-Membros pode introduzir garantias adicionais.

Artigo 5.º

Categorias prioritárias de dados de saúde eletrónicos pessoais para utilização primária

1.Sempre que os dados forem tratados em formato eletrónico, os Estados-Membros devem assegurar o acesso e o intercâmbio de dados de saúde eletrónicos pessoais para utilização primária que se enquadrem total ou parcialmente nas seguintes categorias:

a)Resumos de saúde dos doentes;

b)Receitas eletrónicas;

c)Dispensas eletrónicas;

d)Imagiologia e relatórios imagiológicos;

e)Resultados laboratoriais;

f)Relatórios de alta.

As principais características das categorias de dados de saúde eletrónicos referidas no primeiro parágrafo são as estabelecidas no anexo I.

O acesso e o intercâmbio de dados de saúde eletrónicos para utilização primária podem ser permitidos para outras categorias de dados de saúde eletrónicos disponíveis no RSE das pessoas singulares.

2.A Comissão fica habilitada a adotar atos delegados em conformidade com o artigo 67.º para alterar a lista de categorias prioritárias de dados de saúde eletrónicos constante do n.º 1. Esses atos delegados podem também alterar o anexo I aditando, modificando ou suprimindo as principais características das categorias prioritárias de dados de saúde eletrónicos e indicando, se for caso disso, uma data de aplicação diferida. As categorias de dados de saúde eletrónicos aditadas por intermédio dos referidos atos delegados devem satisfazer os seguintes critérios:

a)Serem relevantes para os serviços de saúde prestados a pessoas singulares;

b)Serem, de acordo com as informações mais recentes, utilizadas num número significativo de sistemas de RSE utilizados nos Estados-Membros;

c)Existirem normas internacionais relativas à categoria que tenham sido examinadas quanto à possibilidade da sua aplicação na União.

Artigo 6.º

Formato europeu de intercâmbio de registos de saúde eletrónicos

1.A Comissão estabelece, por meio de atos de execução, as especificações técnicas para as categorias prioritárias de dados de saúde eletrónicos pessoais a que se refere o artigo 5.º, definindo o formato europeu de intercâmbio de registos de saúde eletrónicos. O formato deve incluir os seguintes elementos:

a)Conjuntos de dados que contenham dados de saúde eletrónicos e que definam estruturas, tais como campos de dados e grupos de dados para a representação de conteúdos clínicos e de outras componentes dos dados de saúde eletrónicos;

b)Sistemas de codificação e valores a utilizar em conjuntos de dados que contenham dados de saúde eletrónicos;

c)Especificações técnicas para o intercâmbio de dados de saúde eletrónicos, incluindo a representação de conteúdos, as normas e os perfis.

2.Os referidos atos de execução são adotados pelo procedimento consultivo a que se refere o artigo 68.º, n.º 2. Os Estados-Membros devem assegurar que, sempre que as categorias prioritárias de dados de saúde eletrónicos pessoais a que se refere o artigo 5.º sejam diretamente comunicadas por uma pessoa singular ou transmitidas a um prestador de cuidados de saúde por meios automáticos no formato referido no n.º 1, esses dados sejam lidos e aceites pelo destinatário dos dados.

3.Os Estados-Membros devem assegurar que as categorias prioritárias de dados de saúde eletrónicos pessoais a que se refere o artigo 5.º sejam emitidas no formato referido no n.º 1 e que esses dados sejam lidos e aceites pelo destinatário dos dados.

Artigo 7.º

Registo de dados de saúde eletrónicos pessoais

1.Sempre que os dados sejam tratados em formato eletrónico, os Estados-Membros devem assegurar que os profissionais de saúde registam sistematicamente, no formato eletrónico, num sistema de RSE os dados de saúde pertinentes pertencentes, pelo menos, às categorias prioritárias a que se refere o artigo 5.º respeitantes aos serviços de saúde por si prestados a pessoas singulares.

2.Se os dados de saúde eletrónicos de uma pessoa singular forem registados num Estado-Membro que não seja o Estado-Membro de afiliação dessa pessoa singular, o Estado-Membro de tratamento deve assegurar que o registo seja efetuado com os dados de identificação pessoal da pessoa singular no Estado-Membro de afiliação.

3.A Comissão determina, por meio de atos de execução, os requisitos para o registo de dados de saúde eletrónicos pelos prestadores de cuidados de saúde e pelas pessoas singulares, consoante o caso. Esses atos de execução devem estabelecer o seguinte:

a)As categorias de prestadores de cuidados de saúde que devem registar dados de saúde por via eletrónica;

b)As categorias de dados de saúde que devem ser sistematicamente registados em formato eletrónico pelos prestadores de cuidados de saúde a que se refere a alínea a);

c)Os requisitos de qualidade dos dados relativos ao registo eletrónico de dados de saúde.

Os referidos atos de execução são adotados pelo procedimento consultivo a que se refere o artigo 68.º, n.º 2.

Artigo 8.º

Telemedicina no contexto dos cuidados de saúde transfronteiriços

Sempre que um Estado-Membro aceite a prestação de serviços de telemedicina, deve aceitar, nas mesmas condições, a prestação de serviços do mesmo tipo por prestadores de cuidados de saúde estabelecidos noutros Estados-Membros.

Artigo 9.º

Gestão da identificação

1.Sempre que uma pessoa singular utilize serviços de telemedicina ou serviços de acesso a dados de saúde pessoais referidos no artigo 3.º, n.º 5, alínea a), essa pessoa singular tem o direito de se identificar eletronicamente através de qualquer meio de identificação eletrónica reconhecido nos termos do artigo 6.º do Regulamento (UE) n.º 910/2014.

2.A Comissão determina, por meio de atos de execução, os requisitos aplicáveis ao mecanismo interoperável e transfronteiriço de identificação e autenticação para as pessoas singulares e os profissionais de saúde, em conformidade com o Regulamento (UE) n.º 910/2014, com a redação que lhe foi dada pelo [COM(2021) 281 final]. O mecanismo deve facilitar a transferibilidade dos dados de saúde eletrónicos num contexto transfronteiriço. Os referidos atos de execução são adotados pelo procedimento consultivo a que se refere o artigo 68.º, n.º 2.

3.A Comissão implementa, a nível da União, os serviços exigidos pelo mecanismo interoperável e transfronteiriço de identificação e autenticação a que se refere o n.º 2 do presente artigo, no âmbito da infraestrutura de saúde digital transfronteiriça a que se refere o artigo 12.º, n.º 3.

4.As autoridades de saúde digital e a Comissão aplicam o mecanismo transfronteiriço de identificação e autenticação a nível da União e dos Estados-Membros, respetivamente.

Artigo 10.º

Autoridade de saúde digital

1.Cada Estado-Membro deve designar uma autoridade de saúde digital responsável pela aplicação e execução do presente capítulo a nível nacional. O Estado-Membro deve comunicar a identidade da autoridade de saúde digital à Comissão até à data de aplicação do presente regulamento. Caso uma autoridade de saúde digital designada seja uma entidade composta por várias organizações, o Estado-Membro deve comunicar à Comissão uma descrição da separação de funções entre essas organizações. A Comissão torna públicas essas informações.

2.São confiadas a cada autoridade de saúde digital as seguintes funções:

a)Assegurar a aplicação dos direitos e obrigações previstos nos capítulos II e III, mediante a adoção das soluções técnicas nacionais, regionais ou locais necessárias e o estabelecimento de regras e mecanismos adequados;

b)Assegurar que sejam prontamente disponibilizadas às pessoas singulares, aos profissionais de saúde e aos prestadores de cuidados de saúde informações completas e atualizadas sobre a aplicação dos direitos e obrigações previstos nos capítulos II e III;

c)Fazer cumprir o disposto nos capítulos II e III e no anexo II relativamente à aplicação das soluções técnicas a que se refere a alínea a);

d)Contribuir, a nível da União, para a elaboração de soluções técnicas que permitam às pessoas singulares e aos profissionais de saúde exercer os seus direitos e obrigações estabelecidos no presente capítulo;

e)Facilitar às pessoas com deficiência o exercício dos seus direitos enumerados no artigo 3.º do presente regulamento, em conformidade com a Diretiva (UE) 2019/882 do Parlamento Europeu e do Conselho 55 ;

f)Supervisionar os pontos de contacto nacionais para a saúde digital e cooperar com outras autoridades de saúde digital e com a Comissão no desenvolvimento futuro de A minha saúde @ UE (MyHealth@EU);

g)Assegurar a aplicação, a nível nacional, do formato europeu de intercâmbio de registos de saúde eletrónicos, em cooperação com as autoridades nacionais e as partes interessadas;

h)Contribuir, a nível da União, para o desenvolvimento do formato europeu de intercâmbio de registos de saúde eletrónicos e para a elaboração de especificações comuns que abordem preocupações em matéria de interoperabilidade, segurança, proteção ou direitos fundamentais, em conformidade com o artigo 23.º, e das especificações da base de dados da UE para os sistemas de RSE e as aplicações de bem-estar a que se refere o artigo 32.º;

i)Se aplicável, conduzir atividades de fiscalização do mercado em conformidade com o artigo 28.º, assegurando igualmente que sejam evitados quaisquer conflitos de interesses;

j)Reforçar as capacidades nacionais a fim de implementar a interoperabilidade e a segurança da utilização primária de dados de saúde eletrónicos e participar em intercâmbios de informações e em atividades de reforço de capacidades a nível da União;

k)Oferecer, em conformidade com a legislação nacional, serviços de telemedicina e assegurar que esses serviços sejam fáceis de utilizar, acessíveis a diferentes grupos de pessoas singulares e profissionais de saúde, incluindo pessoas com deficiência, não sejam discriminatórios e ofereçam a possibilidade de escolher entre serviços presenciais e serviços digitais;

l)Cooperar com as autoridades de fiscalização do mercado, participar nas atividades relacionadas com a gestão dos riscos colocados pelos sistemas de RSE e de incidentes graves, e supervisionar a aplicação de medidas corretivas em conformidade com o artigo 29.º;

m)Cooperar com outras entidades e organismos relevantes a nível nacional ou da União, a fim de assegurar a interoperabilidade, a portabilidade dos dados e a segurança dos dados de saúde eletrónicos, bem como com representantes das partes interessadas, incluindo representantes dos doentes, prestadores de cuidados de saúde, profissionais de saúde e associações do setor;

n)Cooperar com as autoridades de controlo, nos termos do Regulamento (UE) 910/2014, do Regulamento (UE) 2016/679 e da Diretiva (UE) 2016/1148 do Parlamento Europeu e do Conselho 56 , e com outras autoridades pertinentes, incluindo as autoridades competentes em matéria de cibersegurança e identificação eletrónica, bem como com o Comité Europeu para a Inteligência Artificial, o Grupo de Coordenação dos Dispositivos Médicos, o Comité Europeu da Inovação de Dados e as autoridades competentes ao abrigo do Regulamento […] [Regulamento Dados COM(2022) 68 final];

o)Elaborar um relatório anual de atividades que contenha uma descrição abrangente das suas atividades, em colaboração, sempre que pertinente, com as autoridades de fiscalização do mercado. O relatório deve ser enviado à Comissão. O relatório anual de atividades deve seguir uma estrutura acordada a nível da União no âmbito do Conselho do EEDS, a fim de apoiar a avaliação comparativa nos termos do artigo 59.º. O relatório deve conter, pelo menos, informações respeitantes:

i)às medidas tomadas tendo em vista a aplicação do presente regulamento;

ii)à percentagem de pessoas singulares com acesso a diferentes categorias de dados dos seus registos de saúde eletrónicos;

iii)ao tratamento dos pedidos de pessoas singulares relativos ao exercício dos seus direitos nos termos do presente regulamento;

iv)ao número de prestadores de cuidados de saúde de diferentes tipos, incluindo farmácias, hospitais e outros pontos de atendimento, ligados a A minha saúde @ UE (MyHealth@EU), calculado a) em termos absolutos, b) em percentagem de todos os prestadores de cuidados de saúde do mesmo tipo e c) em percentagem de pessoas singulares que podem utilizar os serviços;

v)aos volumes de dados de saúde eletrónicos de diferentes categorias partilhados além-fronteiras através de A minha saúde @ UE (MyHealth@EU);

vi)ao nível de satisfação das pessoas singulares com os serviços de A minha saúde @ UE (MyHealth@EU);

vii)ao número de sistemas de RSE certificados e de aplicações de bem-estar rotuladas constantes da base de dados da UE;

viii)ao número de casos de não conformidade com os requisitos obrigatórios;

ix)a uma descrição das suas atividades relacionadas com a participação e consulta das partes interessadas pertinentes, incluindo representantes de pessoas singulares, organizações de doentes, profissionais de saúde, investigadores e comités de ética;

x)à cooperação com outros organismos competentes, em especial no domínio da proteção de dados, da cibersegurança e da inteligência artificial.

3.A Comissão fica habilitada a adotar atos delegados em conformidade com o artigo 67.º a fim de completar o presente regulamento, confiando às autoridades de saúde digital as funções adicionais necessárias ao desempenho das missões que lhes são conferidas pelo presente regulamento, e de alterar o conteúdo do relatório anual.

4.Os Estados-Membros devem assegurar que cada autoridade de saúde digital disponha dos recursos humanos, técnicos e financeiros, das instalações e das infraestruturas necessários ao desempenho eficaz das suas funções e ao exercício das suas competências.

5.No exercício das suas funções, a autoridade de saúde digital deve cooperar ativamente com os representantes das partes interessadas, incluindo os representantes dos doentes. Os membros da autoridade de saúde digital devem evitar quaisquer conflitos de interesses.

Artigo 11.º

Direito de apresentar uma reclamação junto de uma autoridade de saúde digital

1.Sem prejuízo de qualquer outra via de recurso administrativo ou judicial, as pessoas singulares e coletivas têm o direito de apresentar uma reclamação, a título individual ou, se for caso disso, coletivamente, junto da autoridade de saúde digital. Se a reclamação disser respeito aos direitos das pessoas singulares nos termos do artigo 3.º do presente regulamento, a autoridade de saúde digital deve informar as autoridades de controlo ao abrigo do Regulamento (UE) 2016/679.

2.A autoridade de saúde digital à qual tenha sido apresentada uma reclamação deve informar o autor da reclamação quanto à evolução do processo e à decisão tomada.

3.As autoridades de saúde digital devem cooperar com vista ao tratamento e resolução das reclamações, incluindo através do intercâmbio de todas as informações pertinentes por via eletrónica, sem demora injustificada.

Secção 2

Infraestrutura transfronteiriça para a utilização primária de dados de saúde eletrónicos

Artigo 12.º

A minha saúde @ UE (MyHealth@EU)

1.Cabe à Comissão criar uma plataforma central para a saúde digital, a fim de prestar serviços destinados a apoiar e facilitar o intercâmbio de dados de saúde eletrónicos entre os pontos de contacto nacionais para a saúde digital dos Estados-Membros.

2.Cada Estado-Membro deve designar um ponto de contacto nacional para a saúde digital, a fim de assegurar a ligação a todos os outros pontos de contacto nacionais para a saúde digital e à plataforma central para a saúde digital. Caso um ponto de contacto nacional designado seja uma entidade composta por várias organizações responsáveis pela execução de diferentes serviços, o Estado-Membro deve comunicar à Comissão uma descrição da separação de funções entre essas organizações. O ponto de contacto nacional para a saúde digital é considerado um participante autorizado na infraestrutura. Cada Estado-Membro deve comunicar à Comissão a identidade do seu ponto de contacto nacional até [data de aplicação do presente regulamento]. O referido ponto de contacto pode ser estabelecido no âmbito da autoridade de saúde digital criada pelo artigo 10.º do presente regulamento. Os Estados-Membros devem igualmente comunicar à Comissão qualquer alteração posterior da identidade desses pontos de contacto. A Comissão e os Estados-Membros tornam pública esta informação.

3.Cada ponto de contacto nacional para a saúde digital deve permitir o intercâmbio dos dados de saúde eletrónicos pessoais a que se refere o artigo 5.º com todos os outros pontos de contacto nacionais. O intercâmbio deve basear-se no formato europeu de intercâmbio de registos de saúde eletrónicos.

4.A Comissão adota, por meio de atos de execução, as medidas necessárias para o desenvolvimento técnico de A minha saúde @ UE (MyHealth@EU), as regras pormenorizadas relativas à segurança, à confidencialidade e à proteção dos dados de saúde eletrónicos, bem como as condições e as verificações de conformidade necessárias para aderir e manter a ligação a A minha saúde @ UE (MyHealth@EU) e as condições para a exclusão temporária ou definitiva dessa plataforma. Os referidos atos de execução são adotados pelo procedimento consultivo a que se refere o artigo 68.º, n.º 2.

5.Os Estados-Membros devem assegurar a ligação de todos os prestadores de cuidados de saúde aos respetivos pontos de contacto nacionais para a saúde digital e assegurar que os prestadores de cuidados de saúde ligados possam proceder ao intercâmbio bidirecional de dados de saúde eletrónicos com o ponto de contacto nacional para a saúde digital.

6.Os Estados-Membros devem assegurar que as farmácias em atividade nos seus territórios, incluindo as farmácias em linha, possam dispensar receitas eletrónicas emitidas por outros Estados-Membros, nas condições previstas no artigo 11.º da Diretiva 2011/24/UE. As farmácias devem ter acesso e aceitar receitas eletrónicas que lhes sejam transmitidas a partir de outros Estados-Membros através de A minha saúde @ UE (MyHealth@EU). Após a dispensa de medicamentos com base numa receita eletrónica de outro Estado-Membro, as farmácias devem comunicar a dispensa ao Estado-Membro que emitiu a receita através de A minha saúde @ UE (MyHealth@EU).

7.Os pontos de contacto nacionais para a saúde digital atuam como responsáveis conjuntos pelo tratamento dos dados de saúde eletrónicos comunicados através de «A minha saúde @ UE (MyHealth@EU)» para as operações de tratamento em que estão envolvidos. A Comissão atua na qualidade de subcontratante.

8.A Comissão, por meio de atos de execução, reparte as responsabilidades entre os responsáveis pelo tratamento e em relação ao subcontratante a que se refere o n.º 7 do presente artigo, nos termos do capítulo IV do Regulamento (UE) 2016/679. Os referidos atos de execução são adotados pelo procedimento consultivo a que se refere o artigo 68.º, n.º 2.

9.A aprovação da adesão de participantes autorizados individuais a A minha saúde @ UE (MyHealth@EU) para diferentes serviços ou da exclusão de um participante é emitida pelo grupo de responsabilidade conjunta pelo tratamento, com base nos resultados das verificações de conformidade.

Artigo 13.º

Serviços e infraestruturas digitais de saúde transfronteiriços suplementares

1.Os Estados-Membros podem prestar, através de A minha saúde @ UE (MyHealth@EU), serviços suplementares que facilitem a telemedicina, a saúde móvel, o acesso das pessoas singulares aos seus dados de saúde traduzidos, o intercâmbio ou a verificação de certificados relacionados com a saúde, incluindo boletins de vacinação, serviços que apoiem a saúde pública e a vigilância da saúde pública ou sistemas, serviços e aplicações interoperáveis de saúde digital, com vista a alcançar um elevado nível de confiança e segurança, reforçar a continuidade dos cuidados e garantir o acesso a cuidados de saúde seguros e de elevada qualidade. A Comissão estabelece, por meio de atos de execução, os aspetos técnicos dessa prestação. Os referidos atos de execução são adotados pelo procedimento consultivo a que se refere o artigo 68.º, n.º 2.

2.A Comissão e os Estados-Membros podem facilitar o intercâmbio de dados de saúde eletrónicos com outras infraestruturas, tais como o sistema de gestão clínica dos doentes ou outros serviços ou infraestruturas nos domínios da saúde, da prestação de cuidados ou da segurança social, que podem tornar-se participantes autorizados de A minha saúde @ UE (MyHealth@EU). A Comissão estabelece, por meio de atos de execução, os aspetos técnicos desses intercâmbios. Os referidos atos de execução são adotados pelo procedimento consultivo a que se refere o artigo 68.º, n.º 2. A ligação de outra infraestrutura à plataforma central para a saúde digital fica sujeita a uma decisão do grupo de responsabilidade conjunta pelo tratamento de A minha saúde @ UE (MyHealth@EU) a que se refere o artigo 66.º.

3.Os Estados-Membros e a Comissão devem procurar assegurar a interoperabilidade de A minha saúde @ UE (MyHealth@EU) com os sistemas tecnológicos estabelecidos a nível internacional para o intercâmbio de dados de saúde eletrónicos. A Comissão pode adotar um ato de execução que estabeleça que um ponto de contacto nacional de um país terceiro ou um sistema estabelecido a nível internacional cumpre os requisitos de A minha saúde @ UE (MyHealth@EU) para efeitos do intercâmbio de dados de saúde eletrónicos. Antes da adoção do referido ato de execução, é efetuada, sob o controlo da Comissão, uma verificação da conformidade do ponto de contacto nacional do país terceiro ou do sistema estabelecido a nível internacional.

Os atos de execução a que se refere o primeiro parágrafo do presente número são adotados em conformidade com o procedimento a que se refere o artigo 68.º. A ligação do ponto de contacto nacional do país terceiro ou do sistema estabelecido a nível internacional à plataforma central para a saúde digital, bem como a decisão de suprimir a ligação, estão sujeitas a uma decisão do grupo de responsabilidade conjunta pelo tratamento de A minha saúde @ UE (MyHealth@EU) a que se refere o artigo 66.º.

A Comissão disponibiliza publicamente a lista dos atos de execução adotados nos termos do presente número.

CAPÍTULO III

Sistemas de RSE e aplicações de bem-estar

Secção 1

Disposições gerais aplicáveis aos sistemas de RSE

Artigo 14.º

Interação com a legislação que regula os dispositivos médicos e os sistemas de IA

1.Os sistemas de RSE destinados pelo seu fabricante à utilização primária das categorias prioritárias de dados de saúde eletrónicos a que se refere o artigo 5.º estão sujeitos às disposições do presente capítulo.

2.O presente capítulo não é aplicável ao software geral utilizado num ambiente de cuidados de saúde.

3.Os fabricantes de dispositivos médicos, na aceção do artigo 2.º, ponto 1, do Regulamento (UE) 2017/745, que aleguem a interoperabilidade desses dispositivos médicos com os sistemas de RSE devem provar a conformidade com os requisitos essenciais de interoperabilidade estabelecidos no anexo II, secção 2, do presente regulamento. O artigo 23.º do presente capítulo é aplicável a esses dispositivos médicos.

4.Os fornecedores de sistemas de IA de risco elevado, na aceção do artigo 6.º do Regulamento […] [Regulamento Inteligência Artificial COM(2021) 206 final], que não sejam abrangidos pelo âmbito do Regulamento (UE) 2017/745, que aleguem a interoperabilidade desses sistemas de IA com os sistemas de RSE terão de comprovar a conformidade com os requisitos essenciais de interoperabilidade estabelecidos no anexo II, secção 2, do presente regulamento. O artigo 23.º do presente capítulo é aplicável a esses sistemas de IA de risco elevado.

5.Os Estados-Membros podem manter ou definir regras específicas para a aquisição, o reembolso ou o financiamento de sistemas de RSE no contexto da organização, da prestação ou do financiamento de serviços de cuidados de saúde.

Artigo 15.º

Colocação no mercado e colocação em serviço

1.Os sistemas de RSE só podem ser colocados no mercado ou colocados em serviço se cumprirem as disposições do presente capítulo.

2.Os sistemas de RSE fabricados e utilizados em instituições de saúde estabelecidas na União e os sistemas de RSE disponibilizados como um serviço, na aceção do artigo 1.º, n.º 1, alínea b), da Diretiva (UE) 2015/1535 do Parlamento Europeu e do Conselho 57 , a uma pessoa singular ou coletiva estabelecida na União são considerados como tendo sido colocados em serviço.

Artigo 16.º

Alegações

Na ficha de informações, nas instruções de utilização e noutras informações que acompanhem os sistemas de RSE, bem como na sua publicidade, é proibido utilizar texto, nomes, marcas, imagens e sinais figurativos ou outros sinais que possam induzir em erro o utilizador no que se refere à sua finalidade prevista, interoperabilidade e segurança:

a)Ao atribuírem ao sistema de RSE funções e propriedades de que este não dispõe;

b)Ao não informarem o utilizador das eventuais limitações relacionadas com a interoperabilidade ou os elementos de segurança do sistema de RSE em relação à sua finalidade prevista;

c)Ao sugerirem utilizações do sistema de RSE diferentes das indicadas na documentação técnica como fazendo parte da finalidade prevista.

Secção 2

Obrigações dos operadores económicos no que diz respeito aos sistemas de RSE

Artigo 17.º

Obrigações dos fabricantes de sistemas de RSE

1.Os fabricantes de sistemas de RSE devem:

a)Assegurar que os seus sistemas de RSE são conformes com os requisitos essenciais estabelecidos no anexo II e com as especificações comuns, em conformidade com o artigo 23.º;

b)Elaborar a documentação técnica dos seus sistemas de RSE, em conformidade com o artigo 24.º;

c)Assegurar que os seus sistemas de RSE são acompanhados, gratuitamente para o utilizador, da ficha de informações prevista no artigo 25.º e de instruções de utilização claras e completas;

d)Elaborar a declaração de conformidade UE a que se refere o artigo 26.º;

e)Apor a marcação CE, em conformidade com o artigo 27.º;

f)Respeitar as obrigações de registo constantes do artigo 32.º;

g)Sem demora injustificada, tomar todas as medidas corretivas necessárias em relação aos seus sistemas de RSE que não estejam em conformidade com os requisitos essenciais estabelecidos no anexo II, ou recolher ou retirar esses sistemas;

h)Informar os distribuidores dos seus sistemas de RSE e, se for caso disso, o mandatário e os importadores quanto a qualquer medida corretiva, recolha ou retirada;

i)Informar as autoridades de fiscalização do mercado dos Estados-Membros nos quais disponibilizaram os seus sistemas de RSE ou os colocaram em serviço sobre a não conformidade e quaisquer medidas corretivas tomadas;

j)A pedido de uma autoridade de fiscalização do mercado, facultar-lhe todas as informações e documentação necessárias para demonstrar a conformidade do seu sistema de RSE com os requisitos essenciais estabelecidos no anexo II;

k)Cooperar com as autoridades de fiscalização do mercado, a pedido destas, no que se refere a qualquer medida tomada para assegurar a conformidade dos seus sistemas de RSE com os requisitos essenciais estabelecidos no anexo II.

2.Os fabricantes de sistemas de RSE devem garantir a existência de procedimentos para assegurar que a conceção, o desenvolvimento e a implantação de um sistema de RSE continuam a cumprir os requisitos essenciais estabelecidos no anexo II e as especificações comuns a que se refere o artigo 23.º. As alterações da conceção ou das características do sistema de RSE devem ser devidamente tidas em conta e refletidas na documentação técnica.

3.Os fabricantes de sistemas de RSE devem conservar a documentação técnica e a declaração de conformidade UE durante dez anos a contar da colocação no mercado do último sistema de RSE abrangido pela declaração de conformidade UE.

Artigo 18.º

Mandatários

1.Antes de disponibilizar um sistema de RSE no mercado da União, um fabricante de um sistema de RSE estabelecido fora da União deve, através de mandato escrito, designar um mandatário estabelecido na União.

2.O mandatário deve praticar os atos definidos no mandato conferido pelo fabricante. O mandato deve permitir ao mandatário, no mínimo:

a)Manter à disposição das autoridades de fiscalização do mercado a declaração de conformidade UE e a documentação técnica durante o período referido no artigo 17.º, n.º 3;

b)Mediante pedido fundamentado de uma autoridade de fiscalização do mercado, facultar-lhe todas as informações e documentação necessárias para demonstrar a conformidade de um sistema de RSE com os requisitos essenciais estabelecidos no anexo II;

c)Cooperar com as autoridades de fiscalização do mercado, a pedido destas, no que se refere a quaisquer medidas corretivas tomadas em relação aos sistemas de RSE abrangidos pelo seu mandato.

Artigo 19.º

Obrigações dos importadores

1.Os importadores só podem colocar no mercado da União sistemas de RSE que estejam em conformidade com os requisitos essenciais estabelecidos no anexo II.

2.Antes de disponibilizarem um sistema de RSE no mercado, os importadores devem assegurar que:

a)O fabricante elaborou a documentação técnica e a declaração de conformidade UE;

b)O sistema de RSE ostenta a marcação CE de conformidade;

c)O sistema de RSE é acompanhado da ficha de informações a que se refere o artigo 25.º e das instruções de utilização adequadas.

3.Os importadores devem indicar o seu nome, o nome comercial registado ou a marca registada e o endereço de contacto num documento que acompanhe o sistema de RSE.

4.Os importadores devem assegurar que, enquanto um sistema de RSE estiver sob a sua responsabilidade, o mesmo não é alterado de tal modo que a sua conformidade com os requisitos essenciais estabelecidos no anexo II seja posta em risco.

5.Caso considere ou tenha motivos para crer que um sistema de RSE não é conforme com os requisitos essenciais do anexo II, o importador não pode disponibilizar esse sistema no mercado até que seja assegurada a sua conformidade. Para o efeito, o importador deve informar sem demora injustificada o fabricante do sistema de RSE e as autoridades de fiscalização do mercado do Estado-Membro em que o disponibilizou.

6.Os importadores devem manter uma cópia da declaração de conformidade UE à disposição das autoridades de fiscalização do mercado durante o período referido no artigo 17.º, n.º 3, e assegurar que a documentação técnica possa ser facultada a essas autoridades, a pedido.

7.Mediante pedido fundamentado de uma autoridade de fiscalização do mercado, os importadores devem facultar-lhe todas as informações e a documentação necessárias para demonstrar a conformidade de um sistema de RSE, na língua oficial do Estado-Membro no qual se localiza a autoridade de fiscalização do mercado. Devem cooperar com a autoridade em causa, a pedido desta, no que se refere a qualquer medida tomada para assegurar a conformidade dos seus sistemas de RSE com os requisitos essenciais estabelecidos no anexo II.

Artigo 20.º

Obrigações dos distribuidores

1.Antes de disponibilizarem um sistema de RSE no mercado, os distribuidores devem certificar-se de que:

a)O fabricante elaborou a declaração de conformidade UE;

b)O sistema de RSE ostenta a marcação CE de conformidade;

c)O sistema de RSE é acompanhado da ficha de informações a que se refere o artigo 25.º e das instruções de utilização adequadas;

d)Se for caso disso, o importador cumpriu os requisitos estabelecidos no artigo 19.º, n.º 3.

2.Os distribuidores devem assegurar que, enquanto um sistema de RSE estiver sob a sua responsabilidade, o mesmo não é alterado de tal modo que a sua conformidade com os requisitos essenciais estabelecidos no anexo II seja posta em risco.

3.Caso considere ou tenha motivos para crer que um sistema de RSE não é conforme com os requisitos essenciais estabelecidos do anexo II, o distribuidor não pode disponibilizar esse sistema no mercado até que seja assegurada a sua conformidade. Além disso, o distribuidor deve informar desse facto, sem demora injustificada, o fabricante ou o importador, bem como as autoridades de fiscalização do mercado dos Estados-Membros em que o sistema de RSE foi disponibilizado no mercado.

4.Mediante pedido fundamentado de uma autoridade de fiscalização do mercado, os distribuidores devem facultar-lhe todas as informações e a documentação necessárias para demonstrar a conformidade de um sistema de RSE. Devem cooperar com a autoridade em causa, a pedido desta, no que se refere a qualquer medida tomada para assegurar a conformidade dos seus sistemas de RSE com os requisitos essenciais estabelecidos no anexo II.

Artigo 21.º

Casos em que as obrigações dos fabricantes de um sistema de RSE se aplicam aos importadores e distribuidores

Os importadores ou distribuidores são considerados fabricantes para efeitos do presente regulamento, ficando sujeitos às obrigações estabelecidas no artigo 17.º, caso tenham disponibilizado um sistema de RSE no mercado sob o seu próprio nome ou marca ou tenham alterado um sistema de RSE já colocado no mercado de tal modo que a conformidade com os requisitos aplicáveis possa ser afetada.

Artigo 22.º

Identificação dos operadores económicos

Mediante pedido, os operadores económicos devem comunicar às autoridades de fiscalização do mercado, durante dez anos a contar da colocação no mercado do último sistema de RSE abrangido pela declaração de conformidade UE, a identidade de:

a)Qualquer operador económico que lhes tenha fornecido um sistema de RSE;

b)Qualquer operador económico a quem tenham fornecido um sistema de RSE.

Secção 3

Conformidade do sistema de RSE

Artigo 23.º

Especificações comuns

1.A Comissão adota, por meio de atos de execução, especificações comuns no que diz respeito aos requisitos essenciais estabelecidos no anexo II, incluindo um prazo para a aplicação dessas especificações comuns. Se pertinente, as especificações comuns devem ter em conta as especificidades dos dispositivos médicos e dos sistemas de IA de risco elevado a que se refere o artigo 14.º, n.os 3 e 4.

Os referidos atos de execução são adotados pelo procedimento consultivo a que se refere o artigo 68.º, n.º 2.

2.As especificações comuns referidas no n.º 1 incluem os seguintes elementos:

a)Âmbito;

b)Aplicabilidade a diferentes categorias de sistemas de RSE ou funções incluídas nesses sistemas;

c)Versão;

d)Período de validade;

e)Parte normativa;

f)Parte explicativa, incluindo eventuais diretrizes de aplicação pertinentes.

3.As especificações comuns podem incluir elementos relacionados com:

b)Sistemas de codificação e valores a utilizar em conjuntos de dados que contenham dados de saúde eletrónicos;

c)Outros requisitos relacionados com a qualidade dos dados, como a exaustividade e a exatidão dos dados de saúde eletrónicos;

d)Especificações técnicas, normas e perfis para o intercâmbio de dados de saúde eletrónicos;

e)Requisitos e princípios relacionados com a segurança, a confidencialidade, a integridade, a segurança dos doentes e a proteção dos dados de saúde eletrónicos;

f)Especificações e requisitos relacionados com a gestão da identificação e a utilização da identificação eletrónica.

4.Os sistemas de RSE, os dispositivos médicos e os sistemas de IA de risco elevado a que se refere o artigo 14.º que estejam em conformidade com as especificações comuns referidas no n.º 1 são considerados conformes com os requisitos essenciais abrangidos por essas especificações, ou partes das mesmas, estabelecidos no anexo II e abrangidos por essas especificações comuns ou pelas partes pertinentes das mesmas.

5.Caso as especificações comuns que abrangem os requisitos de interoperabilidade e segurança dos sistemas de RSE afetem dispositivos médicos ou sistemas de IA de risco elevado abrangidos por outros atos, como o Regulamento (UE) 2017/745 ou o Regulamento […] [Regulamento Inteligência Artificial COM(2021) 206 final], a adoção dessas especificações comuns pode ser precedida de uma consulta ao Grupo de Coordenação dos Dispositivos Médicos (GCDM) a que se refere o artigo 103.º do Regulamento (UE) 2017/745 ou ao Comité Europeu para a Inteligência Artificial a que se refere o artigo 56.º do Regulamento […] [Regulamento Inteligência Artificial COM(2021) 206 final], conforme aplicável.

6.Caso as especificações comuns que abrangem os requisitos de interoperabilidade e segurança de dispositivos médicos ou de sistemas de IA de risco elevado abrangidos por outros atos, como o Regulamento (UE) 2017/745 ou o Regulamento […] [Regulamento Inteligência Artificial COM(2021) 206 final], tenham impacto nos sistemas de RSE, a adoção dessas especificações comuns deve ser precedida de uma consulta ao Conselho do EEDS, em especial ao seu subgrupo para os capítulos II e III do presente regulamento.

Artigo 24.º

Documentação técnica

1.A documentação técnica deve ser elaborada antes da colocação no mercado ou colocação em serviço do sistema de RSE e mantida atualizada.

2.A documentação técnica deve ser elaborada de modo a demonstrar que o sistema de RSE cumpre os requisitos essenciais estabelecidos no anexo II e deve facultar às autoridades de fiscalização do mercado todas as informações necessárias para avaliar a conformidade do sistema de RSE com esses requisitos. A documentação técnica deve conter, no mínimo, os elementos previstos no anexo III.

3.A documentação técnica deve ser redigida numa das línguas oficiais da União. Mediante pedido fundamentado da autoridade de fiscalização do mercado de um Estado-Membro, o fabricante deve facultar uma tradução dos elementos pertinentes da documentação técnica na língua oficial desse Estado-Membro.

4.Sempre que solicitar a um fabricante a documentação técnica ou a tradução de elementos dessa documentação, a autoridade de fiscalização do mercado deve fixar um prazo de 30 dias para a receção dessa documentação ou tradução, salvo se a existência de um risco grave e imediato justificar um prazo mais curto. Se o fabricante não cumprir os requisitos dos n.os 1, 2 e 3, a autoridade de fiscalização do mercado pode exigir-lhe que encarregue um organismo independente de efetuar um ensaio, por sua conta e num prazo especificado, a fim de verificar a conformidade com os requisitos essenciais estabelecidos no anexo II e com as especificações comuns a que se refere o artigo 23.º.

Artigo 25.º

Ficha de informações que acompanha o sistema de RSE

1.Os sistemas de RSE devem ser acompanhados de uma ficha de informações que inclua informações concisas, completas, corretas e claras que sejam pertinentes, acessíveis e compreensíveis para os utilizadores.

2.A ficha de informações a que se refere o n.º 1 deve especificar:

a)A identidade, o nome comercial registado ou a marca registada, e os dados de contacto do fabricante e, se for caso disso, do seu mandatário;

b)O nome e a versão do sistema de RSE, bem como a data do seu lançamento;

c)A finalidade prevista do sistema;

d)As categorias de dados de saúde eletrónicos que o sistema de RSE foi concebido para tratar;

e)As normas, os formatos e as especificações, e respetivas versões, compatíveis com o sistema de RSE.

3.A Comissão fica habilitada a adotar atos delegados nos termos do artigo 67.º para completar o presente regulamento a fim de permitir que os fabricantes introduzam as informações a que se refere o n.º 2 na base de dados da UE destinada a sistemas de RSE e aplicações de bem-estar a que se refere o artigo 32.º, em alternativa ao fornecimento da ficha de informações a que se refere o n.º 1 com o sistema de RSE.

Artigo 26.º

Declaração de conformidade UE

1.A declaração de conformidade UE deve indicar que o fabricante do sistema de RSE demonstrou o cumprimento dos requisitos essenciais estabelecidos no anexo II.

2.Caso os sistemas de RSE estejam sujeitos a outra legislação da União relativa a aspetos não abrangidos pelo presente regulamento, que também exija uma declaração de conformidade UE do fabricante indicando que foi demonstrado o cumprimento dos requisitos dessa legislação, deve ser elaborada uma declaração de conformidade UE única relativa a todos os atos da União aplicáveis ao sistema de RSE. A declaração deve incluir todas as informações necessárias para identificar a legislação da União a que diz respeito.

3.A declaração de conformidade UE deve conter, no mínimo, as informações indicadas no anexo IV e deve ser traduzida para uma ou várias línguas oficiais da União, determinadas pelo(s) Estado(s)-Membro(s) em que o sistema de RSE é disponibilizado.

4.Ao elaborar a declaração de conformidade UE, o fabricante assume a responsabilidade pela conformidade do sistema de RSE.

Artigo 27.º

Marcação CE

1.A marcação CE deve ser aposta de modo visível, legível e indelével nos documentos que acompanham o sistema de RSE e, se for caso disso, na embalagem.

2.A marcação CE está sujeita aos princípios gerais enunciados no artigo 30.º do Regulamento (CE) n.º 765/2008 do Parlamento Europeu e do Conselho 58 .

Secção 4

Fiscalização do mercado de sistemas de RSE

Artigo 28.º

Autoridades de fiscalização do mercado

1.O Regulamento (UE) 2019/1020 é aplicável aos sistemas de RSE abrangidos pelo capítulo III do presente regulamento.

2.Os Estados-Membros designam a ou as autoridades de fiscalização do mercado responsáveis pela aplicação do presente capítulo. Os Estados-Membros devem dotar as respetivas autoridades de fiscalização do mercado dos poderes, recursos, equipamento e conhecimentos necessários ao bom desempenho das suas funções nos termos do presente regulamento. Os Estados-Membros comunicam a identidade das autoridades de fiscalização do mercado à Comissão, que publica a respetiva lista.

3.As autoridades de fiscalização do mercado designadas nos termos do presente artigo podem ser as autoridades de saúde digital designadas nos termos do artigo 10.º. Caso uma autoridade de saúde digital desempenhe funções de autoridade de fiscalização do mercado, devem ser evitados quaisquer conflitos de interesses.

4.As autoridades de fiscalização do mercado devem comunicar regularmente à Comissão os resultados das atividades de fiscalização do mercado pertinentes.

5.As autoridades de fiscalização do mercado dos Estados-Membros devem cooperar entre si e com a Comissão. A Comissão assegura a organização do intercâmbio de informações necessário para o efeito.

6.No caso dos dispositivos médicos ou sistemas de IA de risco elevado a que se refere o artigo 14.º, n.os 3 e 4, as autoridades responsáveis pela fiscalização do mercado são as referidas no artigo 93.º do Regulamento (UE) 2017/745 ou no artigo 59.º do Regulamento […] [Regulamento Inteligência Artificial COM(2021) 206 final], conforme aplicável.

Artigo 29.º

Gestão dos riscos colocados pelos sistemas de RSE e de incidentes graves

1.Caso conclua que um sistema de RSE apresenta um risco para a saúde ou a segurança das pessoas singulares ou para outros aspetos da proteção do interesse público, a autoridade de fiscalização do mercado deve exigir que o fabricante do sistema de RSE em causa, o seu mandatário e todos os outros operadores económicos pertinentes tomem todas as medidas adequadas para garantir que o sistema de RSE em causa já não apresenta esse risco aquando da sua colocação no mercado, para o retirar do mercado ou para o recolher num prazo razoável.

2.O operador económico a que se refere o n.º 1 deve assegurar que são tomadas medidas corretivas a respeito de todos os sistemas de RSE em causa que colocou no mercado da União.

3.A autoridade de fiscalização do mercado deve informar imediatamente a Comissão e as autoridades de fiscalização do mercado dos outros Estados-Membros sobre quaisquer medidas ordenadas nos termos do n.º 1. Essa notificação deve incluir todas as informações disponíveis, em particular os dados necessários à identificação do sistema de RSE em causa, a origem e a cadeia de abastecimento do sistema de RSE, a natureza do risco envolvido e a natureza e duração das medidas nacionais adotadas.

4.Os fabricantes de sistemas de RSE colocados no mercado devem comunicar qualquer incidente grave que envolva um sistema de RSE às autoridades de fiscalização do mercado dos Estados-Membros em que esse incidente grave ocorreu, bem como as medidas corretivas tomadas ou previstas pelo fabricante.

Sem prejuízo dos requisitos de notificação de incidentes nos termos da Diretiva (UE) 2016/1148, essa notificação deve ser efetuada imediatamente após o fabricante ter determinado uma relação causal entre o sistema de RSE e o incidente grave ou a probabilidade razoável dessa relação e, em qualquer caso, o mais tardar 15 dias após o fabricante ter conhecimento do incidente grave que envolveu o sistema de RSE.

5.As autoridades de fiscalização do mercado a que se refere o n.º 4 devem informar sem demora as outras autoridades de fiscalização do mercado quanto ao incidente grave e às medidas corretivas tomadas ou previstas pelo fabricante, ou que lhe tenham sido exigidas, para minimizar o risco de recorrência do incidente grave.

6.Caso as funções da autoridade de fiscalização do mercado não sejam desempenhadas pela autoridade de saúde digital, a autoridade de fiscalização do mercado deve cooperar com esta última. A autoridade de fiscalização do mercado deve informar a autoridade de saúde digital de quaisquer incidentes graves e de sistemas de RSE que representem um risco, incluindo riscos relacionados com a interoperabilidade, a proteção e a segurança dos doentes, bem como de qualquer medida corretiva, recolha ou retirada desses sistemas de RSE.

Artigo 30.º

Gestão dos casos de não conformidade

1.Caso constate uma das seguintes situações, a autoridade de fiscalização do mercado deve exigir que o fabricante do sistema de RSE em causa, o seu mandatário e todos os outros operadores económicos pertinentes ponham termo à não conformidade em causa:

a)O sistema de RSE não está em conformidade com os requisitos essenciais estabelecidos no anexo II;

b)A documentação técnica não está disponível ou não está completa;

c)A declaração de conformidade UE não foi elaborada ou não foi corretamente elaborada;

d)A marcação CE foi aposta em violação do disposto no artigo 27.º ou não foi aposta.

2.Caso a não conformidade a que se refere o n.º 1 persista, o Estado-Membro em causa deve tomar todas as medidas adequadas para restringir ou proibir a colocação no mercado do sistema de RSE ou para garantir que é recolhido ou retirado do mercado.

Secção 5

Outras disposições em matéria de interoperabilidade

Artigo 31.º

Rotulagem voluntária de aplicações de bem-estar

1.Caso um fabricante de uma aplicação de bem-estar alegue a interoperabilidade com um sistema de RSE e, por conseguinte, a conformidade com os requisitos essenciais estabelecidos no anexo II e com as especificações comuns previstas no artigo 23.º, essa aplicação de bem-estar pode ser acompanhada de um rótulo que indique claramente a sua conformidade com os requisitos em causa. O rótulo deve ser emitido pelo fabricante da aplicação de bem-estar.

2.O rótulo deve indicar as seguintes informações:

a)Categorias de dados de saúde eletrónicos em relação às quais foi confirmada a conformidade com os requisitos essenciais estabelecidos no anexo II;

b)Referência a especificações comuns para demonstrar a conformidade;

c)Prazo de validade do rótulo.

3.A Comissão pode, por meio de atos de execução, determinar o formato e o conteúdo do rótulo. Os referidos atos de execução são adotados pelo procedimento consultivo a que se refere o artigo 68.º, n.º 2.

4.O rótulo deve ser redigido numa ou em várias línguas oficiais da União ou em línguas determinadas pelo(s) Estado(s)-Membro(s) em que a aplicação de bem-estar é colocada no mercado.

5.A validade do rótulo não pode exceder cinco anos.

6.Se a aplicação de bem-estar estiver incorporada num dispositivo, o rótulo que a acompanha deve ser colocado no dispositivo. É igualmente possível utilizar códigos de barras bidimensionais para exibir o rótulo.

7.As autoridades de fiscalização do mercado devem verificar a conformidade das aplicações de bem-estar com os requisitos essenciais estabelecidos no anexo II.

8.Cada fornecedor de uma aplicação de bem-estar para a qual tenha sido emitido um rótulo deve assegurar que a aplicação de bem-estar colocada no mercado ou em serviço é acompanhada do rótulo para cada unidade individual, a título gratuito.

9.Cada distribuidor de uma aplicação de bem-estar para a qual tenha sido emitido um rótulo deve disponibilizar o rótulo aos clientes no ponto de venda em formato eletrónico ou, mediante pedido, em suporte físico.

10.Os requisitos do presente artigo não são aplicáveis às aplicações de bem-estar que sejam sistemas de IA de risco elevado, na aceção do Regulamento […] [Regulamento Inteligência Artificial COM(2021) 206 final].

Artigo 32.º

Registo de sistemas de RSE e aplicações de bem-estar

1.A Comissão cria e mantém uma base de dados acessível ao público com informações sobre os sistemas de RSE para os quais tenha sido emitida uma declaração de conformidade UE nos termos do artigo 26.º e sobre as aplicações de bem-estar para as quais tenha sido emitido um rótulo nos termos do artigo 31.º.

2.Antes da colocação no mercado ou em serviço de um sistema de RSE a que se refere o artigo 14.º ou de uma aplicação de bem-estar a que se refere o artigo 31.º, o fabricante desse sistema de RSE ou dessa aplicação de bem-estar ou, se for caso disso, o seu mandatário deve registar os dados exigidos na base de dados da UE a que se refere o n.º 1.

3.Os dispositivos médicos ou os sistemas de IA de risco elevado a que se refere o artigo 14.º, n.os 3 e 4, do presente regulamento devem ser registados na base de dados criada ao abrigo do Regulamento (UE) 2017/745 ou do Regulamento […] [Regulamento Inteligência Artificial COM(2021) 206 final], conforme aplicável.

4.A Comissão fica habilitada a adotar atos delegados nos termos do artigo 67.º para determinar a lista de dados a registar pelos fabricantes de sistemas de RSE e de aplicações de bem-estar nos termos do n.º 2.

CAPÍTULO IV

Utilização secundária de dados de saúde eletrónicos

Secção 1

Condições gerais relativas à utilização secundária de dados de saúde eletrónicos

Artigo 33.º

Categorias mínimas de dados eletrónicos para utilização secundária

1.Os detentores dos dados devem disponibilizar as seguintes categorias de dados eletrónicos para utilização secundária, em conformidade com as disposições do presente capítulo:

a)RSE;

b)Dados com impacto na saúde, incluindo determinantes sociais, ambientais e comportamentais da saúde;

c)Dados genómicos dos agentes patogénicos pertinentes, com impacto na saúde humana;

d)Dados administrativos relacionados com a saúde, incluindo dados relativos a pedidos e reembolsos;

e)Dados genéticos, genómicos e proteómicos humanos;

f)Dados de saúde eletrónicos gerados por pessoas, incluindo os gerados por dispositivos médicos, aplicações de bem-estar ou outras aplicações de saúde digitais;

g)Dados de identificação relativos aos profissionais de saúde envolvidos no tratamento de uma pessoa singular;

h)Registos de dados de saúde a nível da população (registos de saúde pública);

i)Dados de saúde eletrónicos provenientes de registos médicos para doenças específicas;

j)Dados de saúde eletrónicos provenientes de ensaios clínicos;

k)Dados de saúde eletrónicos provenientes de dispositivos médicos e de registos de medicamentos e dispositivos médicos;

l)Coortes de investigação, questionários e inquéritos relacionados com a saúde;

m)Dados de saúde eletrónicos provenientes de biobancos e bases de dados específicas;

n)Dados eletrónicos relacionados com a situação em matéria de seguro, a situação profissional, o nível de escolaridade, o estilo de vida, o bem-estar e o comportamento que são pertinentes para a saúde;

o)Dados de saúde eletrónicos que contêm várias melhorias, tais como correções, anotações e enriquecimento, recebidos pelo detentor dos dados na sequência de um tratamento baseado numa autorização de tratamento de dados.

2.O requisito previsto no n.º 1 não se aplica aos detentores dos dados que sejam considerados microempresas na aceção do artigo 2.º do anexo da Recomendação 2003/361/CE da Comissão 59 .

3.Os dados de saúde eletrónicos a que se refere o n.º 1 abrangem os dados tratados para a prestação de serviços de saúde ou de cuidados ou para efeitos de saúde pública, investigação, inovação, elaboração de políticas, estatísticas oficiais, segurança dos doentes ou regulamentação, recolhidos por entidades e organismos dos setores da saúde ou da prestação de cuidados, incluindo prestadores públicos e privados de saúde ou de cuidados, entidades ou organismos que realizam investigação nestes setores e instituições, órgãos e organismos da União.

4.Os dados de saúde eletrónicos que impliquem propriedade intelectual protegida e segredos comerciais de empresas privadas devem ser disponibilizados para utilização secundária. Sempre que esses dados sejam disponibilizados para utilização secundária, devem ser tomadas todas as medidas necessárias para preservar a confidencialidade dos direitos de propriedade intelectual e dos segredos comerciais.

5.Caso a legislação nacional exija o consentimento da pessoa singular, os organismos responsáveis pelo acesso aos dados de saúde devem basear-se nas obrigações estabelecidas no presente capítulo a fim de facultar o acesso aos dados de saúde eletrónicos.

6.Caso obtenha dados em situações de emergência, tal como definidas no artigo 15.º, alínea a) ou b), do Regulamento […] [Regulamento Dados COM(2022) 68 final], em conformidade com as regras estabelecidas nesse regulamento, um organismo do setor público pode ser apoiado por um organismo responsável pelo acesso aos dados de saúde para efeitos de apoio técnico no tratamento dos dados ou na sua combinação com outros dados para análise conjunta.

7.A Comissão fica habilitada a adotar atos delegados nos termos do artigo 67.º para alterar a lista constante do n.º 1, a fim de a adaptar à evolução dos dados de saúde eletrónicos disponíveis.

8.Os organismos responsáveis pelo acesso aos dados de saúde podem facultar o acesso a outras categorias de dados de saúde eletrónicos que lhes tenham sido confiadas nos termos da legislação nacional ou com base na cooperação voluntária com os detentores dos dados pertinentes a nível nacional, em especial aos dados de saúde eletrónicos na posse de entidades privadas do setor da saúde.

Artigo 34.º

Finalidades para as quais os dados de saúde eletrónicos podem ser tratados para utilização secundária

1.Os organismos responsáveis pelo acesso aos dados de saúde só devem facultar o acesso aos dados de saúde eletrónicos a que se refere o artigo 33.º se a finalidade prevista do tratamento prosseguido pelo requerente estiver em conformidade com:

a)As atividades por razões de interesse público no domínio da saúde pública e da saúde ocupacional, tais como a proteção contra ameaças sanitárias transfronteiriças graves, a vigilância em saúde pública ou a garantia de elevados níveis de qualidade e segurança dos cuidados de saúde e dos medicamentos ou dispositivos médicos;

b)O apoio aos organismos do setor público ou às instituições, órgãos e organismos da União, incluindo as autoridades reguladoras, no setor da saúde ou da prestação de cuidados, no desempenho das suas funções definidas nos respetivos mandatos;

c)A elaboração de estatísticas oficiais a nível nacional, multinacional e da União relacionadas com os setores da saúde ou da prestação de cuidados;

d)As atividades educativas ou de ensino nos setores da saúde ou da prestação de cuidados;

e)A investigação científica relacionada com os setores da saúde ou da prestação de cuidados;

f)As atividades de desenvolvimento e inovação de produtos ou serviços que contribuam para a saúde pública ou para a segurança social, ou que assegurem elevados níveis de qualidade e segurança dos cuidados de saúde, dos medicamentos ou dos dispositivos médicos;

g)O treino, a testagem e a avaliação de algoritmos, incluindo nos dispositivos médicos, sistemas de IA e aplicações de saúde digitais, que contribuam para a saúde pública ou para a segurança social, ou assegurem elevados níveis de qualidade e segurança dos cuidados de saúde, dos medicamentos ou dos dispositivos médicos;

h)A prestação de cuidados de saúde personalizados que consistam em avaliar, manter ou restabelecer o estado de saúde das pessoas singulares, com base nos dados de saúde de outras pessoas singulares.

2.O acesso aos dados de saúde eletrónicos a que se refere o artigo 33.º, caso a finalidade prevista do tratamento prosseguido pelo requerente cumpra uma das finalidades referidas no n.º 1, alíneas a) a c), só pode ser concedido a organismos do setor público e a instituições, órgãos e organismos da União no exercício das funções que lhes são conferidas pelo direito nacional ou da União, incluindo quando o tratamento de dados para o exercício dessas funções seja efetuado por terceiros em nome desse organismo do setor público ou das instituições, órgãos e organismos da União.

3.O acesso a dados detidos pelo setor privado para efeitos de prevenção, resposta ou assistência na recuperação de emergências públicas deve ser assegurado em conformidade com o artigo 15.º do Regulamento […] [Regulamento Dados COM(2022) 68 final].

4.Os organismos do setor público ou as instituições, órgãos e organismos da União que obtenham acesso a dados de saúde eletrónicos que impliquem direitos de propriedade intelectual e segredos comerciais no exercício das funções que lhes são conferidas pelo direito nacional ou da União devem tomar todas as medidas específicas necessárias para preservar a confidencialidade desses dados.

Artigo 35.º

Proibição da utilização secundária de dados de saúde eletrónicos

É proibido solicitar o acesso e proceder ao tratamento de dados de saúde eletrónicos obtidos por meio de uma autorização de tratamento de dados emitida nos termos do artigo 46.º para as seguintes finalidades:

a)Tomar decisões prejudiciais para uma pessoa singular com base nos seus dados de saúde eletrónicos; para que sejam consideradas «decisões», devem produzir efeitos jurídicos ou afetar significativamente de forma similar essas pessoas singulares;

b)Tomar decisões em relação a uma pessoa singular ou a grupos de pessoas singulares no sentido de as excluir do benefício de um contrato de seguro ou de alterar as suas contribuições e prémios de seguro;

c)Realizar atividades de publicidade ou comercialização destinadas a profissionais de saúde, organizações de saúde ou pessoas singulares;

d)Facultar o acesso ou disponibilizar de qualquer outra forma os dados de saúde eletrónicos a terceiros não mencionados na autorização de tratamento de dados;

e)Desenvolver produtos ou serviços suscetíveis de prejudicar as pessoas e as sociedades em geral, incluindo, entre outros, drogas ilícitas, bebidas alcoólicas, produtos do tabaco ou bens ou serviços concebidos ou modificados de forma a violar a ordem pública ou os bons costumes.

Secção 2

Governação e mecanismos para a utilização secundária de dados de saúde eletrónicos

Artigo 36.º

Organismos responsáveis pelo acesso aos dados de saúde

1.Os Estados-Membros designam um ou vários organismos responsáveis pelo acesso aos dados de saúde aos quais cabe conceder o acesso a dados de saúde eletrónicos para utilização secundária. Os Estados-Membros podem criar um ou vários novos organismos do setor público ou recorrer a organismos do setor público existentes ou a serviços internos de organismos do setor público que cumpram as condições estabelecidas no presente artigo. Caso designe vários organismos responsáveis pelo acesso aos dados de saúde, o Estado-Membro deve designar um deles para atuar como coordenador, ficando incumbido da coordenação dos pedidos com os outros organismos responsáveis pelo acesso aos dados de saúde.

2.Os Estados-Membros asseguram que cada organismo responsável pelo acesso aos dados de saúde dispõe dos recursos humanos, técnicos e financeiros, bem como instalações e infraestruturas, necessários ao desempenho efetivo das suas funções e ao exercício dos seus poderes.

3.No desempenho das suas funções, os organismos responsáveis pelo acesso aos dados de saúde devem cooperar ativamente com os representantes das partes interessadas, especialmente com representantes dos doentes, detentores dos dados e utilizadores de dados. O pessoal dos organismos responsáveis pelo acesso aos dados de saúde deve evitar quaisquer conflitos de interesses. Ao tomar as suas decisões, os organismos responsáveis pelo acesso aos dados de saúde não estão vinculados a quaisquer instruções.

4.Os Estados-Membros comunicam à Comissão a identidade dos organismos responsáveis pelo acesso aos dados de saúde designados nos termos do n.º 1 até à data de aplicação do presente regulamento. Devem igualmente comunicar à Comissão qualquer alteração posterior da identidade desses organismos. A Comissão e os Estados-Membros tornam pública esta informação.

Artigo 37.º

Funções dos organismos responsáveis pelo acesso aos dados de saúde

1.Os organismos responsáveis pelo acesso aos dados de saúde exercem as seguintes funções:

a)Decidir sobre os pedidos de acesso aos dados nos termos do artigo 45.º, autorizar e emitir autorizações de tratamento de dados, nos termos do artigo 46.º, para o acesso a dados de saúde eletrónicos abrangidos pela sua esfera de competências nacionais para fins de utilização secundária e decidir sobre os pedidos de dados em conformidade com o capítulo II do Regulamento […] [Regulamento Governação de Dados COM(2020) 767 final] e com o presente capítulo;

b)Apoiar os organismos do setor público na execução das funções consagradas no seu mandato, com base no direito nacional ou da União;

c)Apoiar as instituições, órgãos e organismos da União no exercício das funções consagradas no mandato das instituições, órgãos e organismos da União, com base no direito nacional ou da União;

d)Tratar os dados de saúde eletrónicos para as finalidades previstas no artigo 34.º, incluindo a recolha, combinação, preparação e divulgação desses dados para utilização secundária com base numa autorização de tratamento de dados;

e)Tratar os dados de saúde eletrónicos de outros detentores de dados pertinentes com base numa autorização de tratamento de dados ou num pedido de dados para as finalidades previstas no artigo 34.º;

f)Tomar todas as medidas necessárias para preservar a confidencialidade dos direitos de propriedade intelectual e dos segredos comerciais;

g)Recolher e compilar ou facultar o acesso aos dados de saúde eletrónicos necessários provenientes dos vários detentores dos dados cujos dados de saúde eletrónicos sejam abrangidos pelo âmbito do presente regulamento e colocar esses dados à disposição dos utilizadores dos dados num ambiente de tratamento seguro, em conformidade com os requisitos estabelecidos no artigo 50.º;

h)Contribuir para as atividades de altruísmo de dados, nos termos do artigo 40.º;

i)Apoiar o desenvolvimento de sistemas de IA, o treino, a testagem e a validação de sistemas de IA, bem como a elaboração de normas e orientações harmonizadas ao abrigo do Regulamento […] [Regulamento Inteligência Artificial COM(2021) 206 final] para o treino, a testagem e a validação de sistemas de IA no setor da saúde;

j)Cooperar com os detentores dos dados e supervisioná-los, a fim de assegurar a aplicação coerente e rigorosa do rótulo de qualidade e utilidade dos dados previsto no artigo 56.º;

k)Manter um sistema de gestão para registar e tratar os pedidos de acesso aos dados, os pedidos de dados e as autorizações de tratamento de dados emitidas, bem como os pedidos de dados a que foi dada resposta, facultando, pelo menos, informações sobre o nome do requerente dos dados, a finalidade do acesso, a data de emissão, a duração da autorização de tratamento de dados e uma descrição do pedido de acesso aos dados ou do pedido de dados;

l)Manter um sistema público de informação a fim de cumprir as obrigações estabelecidas no artigo 38.º;

m)Cooperar ao nível nacional e da União a fim de estabelecer medidas e requisitos adequados para o acesso aos dados de saúde eletrónicos num ambiente de tratamento seguro;

n)Cooperar a nível nacional e da União, bem como aconselhar a Comissão sobre as técnicas e as melhores práticas para a utilização e a gestão de dados de saúde eletrónicos;

o)Facilitar o acesso transfronteiriço a dados de saúde eletrónicos para utilização secundária alojados noutros Estados-Membros através da Dados de saúde @ UE (HealthData@EU) e cooperar estreitamente entre si e com a Comissão;

p)Enviar gratuitamente ao detentor dos dados, até ao termo da autorização de tratamento de dados, uma cópia do conjunto de dados corrigido, anotado ou enriquecido, conforme aplicável, e uma descrição das operações realizadas no conjunto de dados original;

q)Tornar público, por via eletrónica:

i)um catálogo de conjuntos de dados nacional, que deve incluir pormenores sobre a fonte e a natureza dos dados de saúde eletrónicos, nos termos dos artigos 56.º e 58.º, bem como as condições de disponibilização dos dados de saúde eletrónicos. O catálogo nacional dos conjuntos de dados deve ser igualmente disponibilizado aos pontos de informação únicos nos termos do artigo 8.º do Regulamento […] [Regulamento Governação de Dados COM(2020) 767 final],

ii)todas as autorizações de tratamento de dados, pedidos de dados e pedidos de acesso aos dados nos seus sítios Web no prazo de 30 dias úteis a contar da emissão da autorização de tratamento de dados ou da resposta a um pedido de dados,

iii)as sanções aplicadas nos termos do artigo 43.º,

iv)os resultados comunicados pelos utilizadores dos dados nos termos do artigo 46.º, n.º 11;

r)Cumprir as obrigações para com as pessoas singulares nos termos do artigo 38.º;

s)Solicitar aos utilizadores e detentores dos dados todas as informações pertinentes para verificar a aplicação do presente capítulo;

t)Desempenhar quaisquer outras funções relacionadas com a disponibilização da utilização secundária de dados de saúde eletrónicos no contexto do presente regulamento.

2.No exercício das suas funções, os organismos responsáveis pelo acesso aos dados de saúde devem:

a)Cooperar com as autoridades de controlo nos termos do Regulamento (UE) 2016/679 e do Regulamento (UE) 2018/1725 em relação aos dados de saúde eletrónicos pessoais e com o Conselho do EEDS;

b)Informar as autoridades de controlo competentes, nos termos do Regulamento (UE) 2016/679 e do Regulamento (UE) 2018/1725, caso um organismo responsável pelo acesso aos dados de saúde tenha imposto sanções ou outras medidas nos termos do artigo 43.º relativamente ao tratamento de dados de saúde eletrónicos pessoais e caso esse tratamento se refira a uma tentativa de reidentificação de uma pessoa singular ou ao tratamento ilícito de dados de saúde eletrónicos pessoais;

c)Cooperar com as partes interessadas, incluindo organizações de doentes, representantes de pessoas singulares, profissionais de saúde, investigadores e comités de ética, se for caso disso, em conformidade com o direito nacional e da União;

d)Cooperar com outros organismos nacionais competentes, incluindo os organismos nacionais competentes que supervisionam as organizações de altruísmo de dados ao abrigo do Regulamento […] [Regulamento Governação de Dados COM(2020) 767 final], as autoridades competentes ao abrigo do Regulamento […] [Regulamento Dados COM(2022) 68 final] e as autoridades nacionais competentes no que respeita ao Regulamento (UE) 2017/745 e ao Regulamento […] [Regulamento Inteligência Artificial COM(2021) 206 final].

3.Os organismos responsáveis pelo acesso aos dados de saúde podem prestar assistência a organismos do setor público, caso esses organismos do setor público acedam a dados de saúde eletrónicos com base no artigo 14.º do Regulamento […] [Regulamento Dados COM(2022) 68 final].

4.A Comissão fica habilitada a adotar atos delegados nos termos do artigo 67.º para alterar a lista de funções constante do n.º 1 do presente artigo, a fim de refletir a evolução das atividades realizadas pelos organismos responsáveis pelo acesso aos dados de saúde.

Artigo 38.°

Obrigações dos organismos responsáveis pelo acesso aos dados de saúde para com as pessoas singulares

1.Os organismos responsáveis pelo acesso aos dados de saúde devem disponibilizar ao público, numa forma facilmente pesquisável, as condições em que os dados de saúde eletrónicos são disponibilizados para utilização secundária, com informações sobre:

a)O fundamento jurídico ao abrigo do qual o acesso é concedido;

b)As medidas técnicas e organizativas tomadas para proteger os direitos das pessoas singulares;

c)Os direitos aplicáveis das pessoas singulares em relação à utilização secundária de dados de saúde eletrónicos;

d)As modalidades segundo as quais as pessoas singulares podem exercer os seus direitos nos termos do capítulo III do Regulamento (UE) 2016/679;

e)Os resultados dos projetos para os quais foram utilizados os dados de saúde eletrónicos.

2.Os organismos responsáveis pelo acesso aos dados de saúde não são obrigados a facultar as informações específicas previstas no artigo 14.º do Regulamento (UE) 2016/679 a cada pessoa singular no que diz respeito à utilização dos seus dados para projetos sujeitos a uma autorização de tratamento de dados e devem disponibilizar informações públicas gerais sobre todas as autorizações de tratamento de dados emitidas nos termos do artigo 46.º.

3.Caso um organismo responsável pelo acesso aos dados de saúde seja informado por um utilizador de dados de uma constatação que possa ter impacto na saúde de uma pessoa singular, o organismo responsável pelo acesso aos dados de saúde pode informar a pessoa singular e o seu profissional de saúde desse facto.

4.Os Estados-Membros devem informar regularmente o público em geral sobre o papel e os benefícios dos organismos responsáveis pelo acesso aos dados de saúde.

Artigo 39.º

Apresentação de relatórios pelos organismos responsáveis pelo acesso aos dados de saúde

1.Cada organismo responsável pelo acesso aos dados de saúde deve publicar um relatório anual de atividades que inclua, pelo menos, os seguintes elementos:

a)Informações relativas aos pedidos de acesso aos dados de saúde eletrónicos apresentados, tais como os tipos de requerentes, o número de autorizações de tratamento de dados concedidas ou recusadas, as finalidades do acesso e as categorias de dados de saúde eletrónicos acedidos, bem como um resumo dos resultados das utilizações dos dados de saúde eletrónicos, se for caso disso;

b)Uma lista das autorizações de tratamento de dados que envolvem o acesso a dados de saúde eletrónicos tratadas pelo organismo responsável pelo acesso aos dados de saúde com base no altruísmo de dados e uma descrição sucinta dos objetivos de interesse geral prosseguidos, se for caso disso, incluindo os resultados das autorizações de tratamento de dados concedidas;

c)Informações sobre o cumprimento dos compromissos regulamentares e contratuais pelos utilizadores e os detentores dos dados, bem como sobre as sanções impostas;

d)Informações sobre as auditorias realizadas aos utilizadores de dados a fim de assegurar a conformidade do tratamento com o presente regulamento;

e)Informações sobre auditorias à conformidade dos ambientes de tratamento seguros com as normas, as especificações e os requisitos definidos;

f)Informações sobre o tratamento dos pedidos de pessoas singulares relativos ao exercício dos seus direitos em matéria de proteção de dados;

g)Uma descrição das suas atividades relacionadas com a participação e consulta das partes interessadas pertinentes, incluindo representantes de pessoas singulares, organizações de doentes, profissionais de saúde, investigadores e comités de ética;

h)Informações sobre a cooperação com outros organismos competentes, em especial no domínio da proteção de dados, da cibersegurança, do altruísmo de dados e da inteligência artificial;

i)Receitas provenientes de autorizações de tratamento de dados e de pedidos de dados;

j)Satisfação dos requerentes de acesso aos dados;

k)Número médio de dias decorridos entre o pedido e o acesso aos dados;

l)Número de rótulos de qualidade dos dados emitidos, desagregados por categoria de qualidade;

m)Número de publicações de investigação revistas por pares, documentos estratégicos e procedimentos regulamentares que utilizam dados acedidos através do EEDS;

n)Número de produtos e serviços de saúde digitais, incluindo aplicações de IA, desenvolvidos com recurso a dados acedidos através do EEDS.

2.O relatório deve ser enviado à Comissão.

3.A Comissão fica habilitada a adotar atos delegados nos termos do artigo 67.º para alterar o conteúdo do relatório anual de atividades.

Artigo 40.º

Altruísmo de dados no setor da saúde

1.Sempre que tratarem dados de saúde eletrónicos pessoais, as organizações de altruísmo de dados devem cumprir as regras estabelecidas no capítulo IV do Regulamento […] [Regulamento Governação de Dados COM(2020) 767 final]. Caso as organizações de altruísmo de dados tratem dados de saúde eletrónicos pessoais com recurso a um ambiente de tratamento seguro, esses ambientes devem cumprir igualmente os requisitos estabelecidos no artigo 50.º do presente regulamento.

2.Os organismos responsáveis pelo acesso aos dados de saúde devem apoiar as autoridades competentes designadas em conformidade com o artigo 23.º do Regulamento […] [Regulamento Governação de Dados COM(2020) 767 final] na monitorização das entidades que realizam atividades de altruísmo de dados.

Artigo 41.º

Obrigações dos detentores dos dados

1.Caso um detentor de dados seja obrigado a disponibilizar dados de saúde eletrónicos nos termos do artigo 33.º, de outra legislação da União ou de legislação nacional que transpõe o direito da União, deve cooperar de boa-fé com os organismos responsáveis pelo acesso aos dados de saúde, se for caso disso.

2.O detentor dos dados deve comunicar ao organismo responsável pelo acesso aos dados de saúde uma descrição geral do conjunto de dados que detém, em conformidade com o artigo 55.º.

3Caso um rótulo de qualidade e utilidade dos dados acompanhe o conjunto de dados nos termos do artigo 56.º, o detentor dos dados deve facultar documentação suficiente ao organismo responsável pelo acesso aos dados de saúde para que este possa confirmar a exatidão do rótulo.

4.O detentor dos dados deve disponibilizar os dados de saúde eletrónicos ao organismo responsável pelo acesso aos dados de saúde no prazo de dois meses a contar da receção do pedido do referido organismo. Em casos excecionais, esse período pode ser prorrogado pelo organismo responsável pelo acesso aos dados de saúde por um período adicional de dois meses.

5.Caso receba conjuntos de dados enriquecidos na sequência de um tratamento baseado numa autorização de tratamento de dados, o detentor dos dados deve disponibilizar o novo conjunto de dados, a menos que o considere inadequado e notifique o organismo responsável pelo acesso aos dados de saúde a este respeito.

6.Os detentores dos dados de saúde eletrónicos não pessoais devem assegurar o acesso aos dados através de bases de dados abertas e fiáveis, a fim de garantir o acesso ilimitado a todos os utilizadores, bem como o armazenamento e a preservação dos dados. As bases de dados públicas, abertas e fiáveis devem dispor de uma governação sólida, transparente e sustentável, bem como de um modelo transparente de acesso dos utilizadores.

7.A Comissão fica habilitada a adotar atos delegados nos termos do artigo 67.º para alterar as obrigações dos detentores dos dados previstas no presente artigo, a fim de refletir a evolução das atividades realizadas pelos detentores dos dados.

Artigo 42.º

Taxas

1.Os organismos responsáveis pelo acesso aos dados de saúde e os detentores individuais de dados podem cobrar taxas pela disponibilização de dados de saúde eletrónicos para utilização secundária. As taxas devem incluir e ser calculadas a partir dos custos relacionados com a realização do procedimento aplicável aos pedidos, incluindo a avaliação de um pedido de acesso a dados ou de um pedido de dados, a concessão, recusa ou alteração de uma autorização de tratamento de dados nos termos dos artigos 45.º e 46.º ou a resposta a um pedido de dados nos termos do artigo 47.º, em conformidade com o artigo 6.º do Regulamento […] [Regulamento Governação de Dados COM(2020) 767 final].

2.Caso os dados em questão não estejam na posse do organismo responsável pelo acesso aos dados ou de um organismo do setor público, as taxas podem também incluir a compensação de parte dos custos de recolha dos dados de saúde eletrónicos especificamente ao abrigo do presente regulamento, para além das taxas que podem ser cobradas nos termos do n.º 1. A parte das taxas associada aos custos do detentor dos dados deve ser paga ao detentor dos dados.

3.Os dados de saúde eletrónicos a que se refere o artigo 33.º, n.º 1, alínea o), são disponibilizados a um novo utilizador a título gratuito ou mediante o pagamento de uma taxa correspondente à compensação pelos custos dos recursos humanos e técnicos utilizados para enriquecer os dados de saúde eletrónicos. Essa taxa é paga à entidade que enriqueceu os dados de saúde eletrónicos.

4.As taxas cobradas aos utilizadores de dados nos termos do presente artigo pelos organismos responsáveis pelo acesso aos dados de saúde ou pelos detentores dos dados devem ser transparentes, proporcionadas face aos custos de recolha e disponibilização de dados de saúde eletrónicos para utilização secundária e objetivamente justificadas e não podem restringir a concorrência. O apoio recebido pelo detentor dos dados decorrente de donativos, fundos públicos nacionais ou da União para criar, desenvolver ou atualizar o conjunto de dados deve ser excluído deste cálculo. As necessidades e os interesses específicos das PME, dos organismos públicos, das instituições, órgãos e organismos da União envolvidos na investigação, nas políticas ou na análise da saúde, dos estabelecimentos de ensino e dos prestadores de cuidados de saúde devem ser tidos em conta ao fixar as taxas, mediante a redução dessas taxas proporcionalmente à sua dimensão ou orçamento.

5.Caso os detentores e os utilizadores dos dados não cheguem a acordo quanto ao nível das taxas no prazo de um mês a contar da concessão da autorização de tratamento de dados, o organismo responsável pelo acesso aos dados de saúde pode fixar as taxas de forma proporcional ao custo da disponibilização dos dados de saúde eletrónicos para utilização secundária. Caso discorde da taxa fixada pelo organismo responsável pelo acesso aos dados de saúde, o detentor ou o utilizador dos dados tem acesso aos organismos de resolução de litígios criados em conformidade com o artigo 10.º do Regulamento […] [Regulamento Dados COM(2022) 68 final].

6.A Comissão pode, por meio de atos de execução, estabelecer princípios e regras para as políticas em matéria de taxas e as estruturas das taxas. Os referidos atos de execução são adotados pelo procedimento consultivo a que se refere o artigo 68.º, n.º 2.

Artigo 43.º

Sanções aplicadas pelos organismos responsáveis pelo acesso aos dados de saúde

1.Os organismos responsáveis pelo acesso aos dados de saúde devem monitorizar e supervisionar o cumprimento, pelos utilizadores e detentores dos dados, dos requisitos estabelecidos no presente capítulo.

2.Ao solicitar aos utilizadores e detentores dos dados as informações necessárias para verificar a conformidade com o presente capítulo, os organismos responsáveis pelo acesso aos dados de saúde devem adotar uma abordagem proporcionada ao desempenho da função de verificação da conformidade.

3.Caso os organismos responsáveis pelo acesso aos dados de saúde constatem que um utilizador ou um detentor de dados não cumpre os requisitos do presente capítulo, devem notificar imediatamente o utilizador ou detentor dos dados dessas constatações e dar-lhe a oportunidade de exprimir os seus pontos de vista no prazo de dois meses.

4.Os organismos responsáveis pelo acesso aos dados de saúde devem ter poderes para revogar a autorização de tratamento de dados emitida nos termos do artigo 46.º e para pôr termo à operação em causa de tratamento dos dados de saúde eletrónicos efetuada pelo utilizador de dados, a fim de assegurar a cessação do incumprimento a que se refere o n.º 3, imediatamente ou num prazo razoável, e devem tomar medidas adequadas e proporcionadas destinadas a garantir o tratamento conforme pelos utilizadores dos dados. A este respeito, os organismos responsáveis pelo acesso aos dados de saúde devem poder, se for caso disso, revogar a autorização de tratamento de dados e excluir o utilizador dos dados de qualquer acesso a dados de saúde eletrónicos por um período máximo de cinco anos.

5.Caso os detentores dos dados não disponibilizem os dados de saúde eletrónicos aos organismos responsáveis pelo acesso aos dados de saúde com a intenção manifesta de obstruir a utilização de dados de saúde eletrónicos, ou não respeitem os prazos fixados no artigo 41.º, o organismo responsável pelo acesso aos dados de saúde tem o poder de aplicar coimas ao detentor dos dados por cada dia de atraso, as quais devem ser transparentes e proporcionadas. O montante das coimas é fixado pelo organismo responsável pelo acesso aos dados de saúde. Caso o detentor dos dados viole repetidamente a obrigação de cooperação leal com o organismo responsável pelo acesso aos dados de saúde, esse organismo pode excluir o detentor dos dados da participação no EEDS por um período máximo de cinco anos. Caso um detentor de dados seja excluído da participação no EEDS nos termos do presente artigo, na sequência da intenção manifesta de obstruir a utilização secundária de dados de saúde eletrónicos, não tem o direito de facultar o acesso aos dados de saúde nos termos do artigo 49.º.

6.O organismo responsável pelo acesso aos dados de saúde deve comunicar sem demora as medidas impostas nos termos do n.º 4 e os respetivos fundamentos ao utilizador ou detentor dos dados em causa, devendo fixar um prazo razoável para que o utilizador ou detentor de dados cumpra essas medidas.

7.Quaisquer sanções e medidas impostas nos termos do n.º 4 devem ser disponibilizadas a outros organismos responsáveis pelo acesso aos dados de saúde.

8.A Comissão pode, por meio de um ato de execução, estabelecer a arquitetura de uma ferramenta informática destinada a apoiar e tornar transparentes para outros organismos responsáveis pelo acesso aos dados de saúde as atividades a que se refere o presente artigo, em especial as sanções e exclusões. Os referidos atos de execução são adotados pelo procedimento consultivo a que se refere o artigo 68.º, n.º 2.

9.Qualquer pessoa singular ou coletiva afetada por uma decisão de um organismo responsável pelo acesso aos dados de saúde tem direito à ação judicial contra essa decisão.

10.A Comissão pode emitir orientações sobre as sanções a aplicar pelos organismos responsáveis pelo acesso aos dados de saúde.

Secção 3

Autorização de tratamento de dados para a utilização secundária de dados de saúde eletrónicos

Artigo 44.º

Minimização dos dados e limitação das finalidades

1.O organismo responsável pelo acesso aos dados de saúde deve assegurar que só é concedido acesso aos dados de saúde eletrónicos solicitados que sejam pertinentes para a finalidade do tratamento indicada no pedido de acesso aos dados pelo utilizador dos dados e em consonância com a autorização de tratamento de dados concedida.

2.Os organismos responsáveis pelo acesso aos dados de saúde devem facultar os dados de saúde eletrónicos num formato anonimizado, sempre que a finalidade do tratamento pelo utilizador dos dados possa ser alcançada com esses dados, tendo em conta as informações fornecidas pelo utilizador de dados.

3.Caso a finalidade do tratamento pelo utilizador dos dados não possa ser alcançada com dados anonimizados, tendo em conta as informações fornecidas pelo utilizador dos dados, os organismos responsáveis pelo acesso aos dados de saúde devem facultar o acesso aos dados de saúde eletrónicos em formato pseudonimizado. As informações necessárias para inverter a pseudonimização só devem estar disponíveis para o organismo responsável pelo acesso aos dados de saúde. Os utilizadores dos dados não podem reidentificar os dados de saúde eletrónicos que lhes são facultados em formato pseudonimizado. O incumprimento pelo utilizador dos dados das medidas do organismo responsável pelo acesso aos dados de saúde que garantem a pseudonimização deve ser objeto de sanções adequadas.

Artigo 45.º

Pedidos de acesso aos dados

1.Qualquer pessoa singular ou coletiva pode apresentar um pedido de acesso aos dados para as finalidades a que se refere o artigo 34.º.

2.O pedido de acesso aos dados deve incluir:

a)Uma explicação pormenorizada da utilização prevista dos dados de saúde eletrónicos, especificando para quais dos fins referidos no artigo 34.º, n.º 1, é solicitado o acesso;

b)Uma descrição dos dados de saúde eletrónicos solicitados, do seu formato e das fontes dos dados, sempre que possível, incluindo a cobertura geográfica, caso os dados sejam solicitados a vários Estados-Membros;

c)Uma indicação sobre se os dados de saúde eletrónicos devem ser disponibilizados num formato anonimizado;

d)Se for caso disso, uma explicação dos motivos pelos quais é solicitado acesso aos dados de saúde eletrónicos num formato pseudonimizado;

e)Uma descrição das garantias previstas para impedir qualquer outra utilização dos dados de saúde eletrónicos;

f)Uma descrição das garantias previstas para proteger os direitos e interesses do detentor dos dados e das pessoas singulares em causa;

g)Uma estimativa do período durante o qual os dados de saúde eletrónicos são necessários para o tratamento;

h)Uma descrição das ferramentas e dos recursos de computação necessários para um ambiente seguro.

3.Os utilizadores de dados que pretendam aceder a dados de saúde eletrónicos provenientes de vários Estados-Membros devem apresentar um pedido único a um dos organismos responsáveis pelo acesso aos dados de saúde da sua escolha, ao qual compete partilhar o pedido com outros organismos responsáveis pelo acesso aos dados de saúde e participantes autorizados na Dados de saúde @ UE (HealthData@EU) a que se refere o artigo 52.º, que tenham sido identificados no pedido de acesso aos dados. No caso de pedidos de acesso a dados de saúde eletrónicos provenientes de vários Estados-Membros, o organismo responsável pelo acesso aos dados de saúde notifica os outros organismos responsáveis pelo acesso aos dados de saúde pertinentes da receção de um pedido que lhes diga respeito, no prazo de 15 dias a contar da data de receção do pedido de acesso aos dados.

4.Caso o requerente pretenda aceder aos dados de saúde eletrónicos pessoais num formato pseudonimizado, devem ser fornecidas, juntamente com o pedido de acesso aos dados, as seguintes informações adicionais:

a)Uma descrição da forma como o tratamento cumpriria o disposto no artigo 6.º, n.º 1, do Regulamento (UE) 2016/679;

b)Informações sobre a avaliação dos aspetos éticos do tratamento, se for caso disso e em consonância com o direito nacional.

5.Para a execução das funções a que se refere o artigo 37.º, n.º 1, alíneas b) e c), os organismos do setor público e as instituições, órgãos e organismos da União devem fornecer as informações solicitadas ao abrigo do artigo 45.º, n.º 2, com exceção da alínea g), devendo neste caso apresentar informações sobre o período durante o qual é possível aceder aos dados, a frequência desse acesso ou a frequência das atualizações dos dados.

Caso os organismos do setor público e as instituições, órgãos e organismos da União pretendam aceder aos dados de saúde eletrónicos em formato pseudonimizado, deve ser facultada igualmente uma descrição da forma como o tratamento cumpriria o disposto no artigo 6.º, n.º 1, do Regulamento (UE) 2016/679 ou no artigo 5.º, n.º 1, do Regulamento (UE) 2018/1725, consoante o caso.

6.A Comissão pode, por meio de atos de execução, estabelecer os modelos para o pedido de acesso aos dados a que se refere o presente artigo, para a autorização de tratamento de dados a que se refere o artigo 46.º e para o pedido de dados a que se refere o artigo 47.º. Os referidos atos de execução são adotados pelo procedimento a que se refere o artigo 68.º, n.º 2.

7.A Comissão fica habilitada a adotar atos delegados nos termos do artigo 67.º para alterar a lista de informações constante dos n.os 2, 4, 5 e 6 do presente artigo, a fim de assegurar a adequação da lista ao tratamento de um pedido de acesso aos dados a nível nacional ou transfronteiriço.

Artigo 46.º

Autorização de tratamento de dados

1.Os organismos responsáveis pelo acesso aos dados de saúde devem avaliar se o pedido cumpre um dos objetivos enumerados no artigo 34.º, n.º 1, do presente regulamento, se os dados solicitados são necessários para as finalidades enumeradas no pedido e se o requerente cumpre os requisitos do presente capítulo. Se for esse o caso, o organismo responsável pelo acesso aos dados de saúde emite uma autorização de tratamento de dados.

2.Os organismos responsáveis pelo acesso aos dados de saúde devem recusar todos os pedidos que incluam uma ou várias das finalidades enumeradas no artigo 35.º ou caso os requisitos do presente capítulo não sejam cumpridos.

3.Os organismos responsáveis pelo acesso aos dados de saúde devem emitir ou recusar uma autorização de tratamento de dados no prazo de dois meses a contar da receção do pedido de acesso aos dados. Em derrogação do Regulamento […] [Regulamento Governação de Dados COM(2020) 767 final], o organismo responsável pelo acesso aos dados de saúde pode prorrogar o prazo de resposta a um pedido de acesso aos dados por mais dois meses, se necessário, tendo em conta a complexidade do pedido. Nesses casos, o organismo responsável pelo acesso aos dados de saúde deve informar o requerente, o mais rapidamente possível, de que é necessário mais tempo para analisar o pedido, indicando os motivos do atraso. Caso um organismo responsável pelo acesso aos dados de saúde não apresente uma decisão no prazo fixado, a autorização de tratamento de dados deve ser emitida.

4.Após a emissão da autorização de tratamento de dados, o organismo responsável pelo acesso aos dados de saúde deve solicitar imediatamente os dados de saúde eletrónicos ao detentor dos dados. O organismo responsável pelo acesso aos dados de saúde deve disponibilizar os dados de saúde eletrónicos ao utilizador dos dados no prazo de dois meses após os receber dos detentores dos dados, a menos que especifique que facultará os dados num prazo especificado mais longo.

5.Caso recuse emitir uma autorização de tratamento de dados, o organismo responsável pelo acesso aos dados de saúde deve apresentar uma justificação dessa recusa ao requerente.

6.A autorização de tratamento de dados deve estabelecer as condições gerais aplicáveis ao utilizador dos dados, nomeadamente:

a)Os tipos e o formato dos dados de saúde eletrónicos acedidos, abrangidos pela autorização de tratamento de dados, incluindo as respetivas fontes;

b)A finalidade para a qual os dados são disponibilizados;

c)A duração da autorização de tratamento de dados;

d)Informações sobre as características técnicas e os instrumentos à disposição do utilizador dos dados no ambiente de tratamento seguro;

e)As taxas a pagar pelo utilizador dos dados;

f)Quaisquer condições específicas adicionais constantes da autorização de tratamento de dados concedida.

7.Os utilizadores dos dados têm o direito de aceder aos dados de saúde eletrónicos e de os tratar em consonância com a autorização de tratamento de dados que lhes foi concedida com base no presente regulamento.

8.A Comissão fica habilitada a adotar atos delegados para alterar a lista de aspetos a abranger por uma autorização de tratamento de dados a que se refere o n.º 7 do presente artigo, nos termos do procedimento estabelecido no artigo 67.º.

9.Uma autorização de tratamento de dados é emitida para o período necessário à consecução das finalidades solicitadas, que não pode ser superior a cinco anos. Este período pode ser prorrogado uma vez, a pedido do utilizador dos dados, com base em argumentos e documentos que justifiquem essa prorrogação apresentados um mês antes do termo da autorização de tratamento de dados, por um período que não pode exceder cinco anos. Em derrogação do artigo 42.º, o organismo responsável pelo acesso aos dados de saúde pode cobrar taxas crescentes, de modo a refletir os custos e os riscos decorrentes do armazenamento de dados de saúde eletrónicos durante um período mais longo que exceda os cinco anos iniciais. A fim de reduzir esses custos e taxas, o organismo responsável pelo acesso aos dados de saúde pode propor igualmente ao utilizador dos dados o armazenamento do conjunto de dados num sistema de armazenamento com capacidades reduzidas. Os dados no ambiente de tratamento seguro são apagados no prazo de seis meses a contar do termo da autorização de tratamento de dados. A pedido do utilizador dos dados, a fórmula relativa à criação do conjunto de dados solicitado é armazenada pelo organismo responsável pelo acesso aos dados de saúde.

10.Caso a autorização de tratamento de dados careça de atualização, o utilizador dos dados deve apresentar um pedido de alteração da mesma.

11.Os utilizadores dos dados devem tornar públicos os resultados ou os produtos da utilização secundária de dados de saúde eletrónicos, incluindo informações pertinentes para a prestação de cuidados de saúde, o mais tardar 18 meses após a conclusão do tratamento dos dados de saúde eletrónicos ou após terem recebido a resposta ao pedido de dados a que se refere o artigo 47.º. Esses resultados ou produtos devem conter unicamente dados anonimizados. O utilizador dos dados deve informar os organismos responsáveis pelo acesso aos dados de saúde junto dos quais foi obtida uma autorização de tratamento de dados e prestar-lhes apoio com o objetivo de tornar públicas as informações nos sítios Web desses organismos. Sempre que tenham utilizado dados de saúde eletrónicos nos termos do presente capítulo, os utilizadores dos dados devem indicar as fontes dos dados de saúde eletrónicos e o facto de os referidos dados terem sido obtidos no contexto do EEDS.

12.Os utilizadores dos dados devem informar o organismo responsável pelo acesso aos dados de saúde de quaisquer conclusões clinicamente significativas que possam influenciar o estado de saúde das pessoas singulares cujos dados estão incluídos no conjunto de dados.

13.A Comissão pode, por meio de um ato de execução, desenvolver um logótipo para o reconhecimento do contributo do EEDS. O referido ato de execução é adotado em conformidade com o procedimento consultivo a que se refere o artigo 68.º, n.º 2.

14.Enquanto responsável conjunto pelo tratamento, a responsabilidade do organismo responsável pelo acesso aos dados de saúde limita-se ao âmbito da autorização de tratamento de dados emitida, até à conclusão da operação de tratamento.

Artigo 47.º

Pedido de dados

1.Qualquer pessoa singular ou coletiva pode apresentar um pedido de dados para as finalidades a que se refere o artigo 34.º. Um organismo responsável pelo acesso aos dados de saúde só responde a um pedido de dados num formato estatístico anonimizado e o utilizador dos dados não pode ter acesso aos dados de saúde eletrónicos utilizados para essa resposta.

2.Um pedido de dados deve incluir os elementos mencionados no artigo 45.º, n.º 2, alíneas a) e b), e, se necessário, pode incluir igualmente:

a)Uma descrição do resultado esperado do organismo responsável pelo acesso aos dados de saúde;

b)Uma descrição do conteúdo estatístico.

3.Caso um requerente tenha solicitado um resultado num formato anonimizado, incluindo o formato estatístico, com base num pedido de dados, o organismo responsável pelo acesso aos dados de saúde avalia o resultado no prazo de dois meses e, se possível, fornece-o ao utilizador dos dados no prazo de dois meses.

Artigo 48.º

Disponibilização de dados aos organismos do setor público e às instituições, órgãos e organismos da União sem uma autorização de tratamento de dados

Em derrogação do disposto no artigo 46.º do presente regulamento, não é exigida uma autorização de tratamento de dados para aceder aos dados de saúde eletrónicos nos termos do presente artigo. No exercício das funções previstas no artigo 37.º, n.º 1, alíneas b) e c), o organismo responsável pelo acesso aos dados de saúde deve informar os organismos do setor público e as instituições, órgãos e organismos da União sobre a disponibilidade dos dados no prazo de dois meses a contar do pedido de acesso aos dados, em conformidade com o artigo 9.º do Regulamento […] [Regulamento Governação de Dados COM(2020) 767 final]. Em derrogação do disposto no Regulamento […] [Regulamento Governação de Dados COM(2020) 767 final], o organismo responsável pelo acesso aos dados de saúde pode prorrogar o prazo por mais dois meses, se necessário, tendo em conta a complexidade do pedido. O organismo responsável pelo acesso aos dados de saúde deve disponibilizar os dados de saúde eletrónicos ao utilizador dos dados no prazo de dois meses após os receber dos detentores de dados, a menos que especifique que facultará os dados num prazo especificado mais longo.

Artigo 49.º

Acesso a dados de saúde eletrónicos de um único detentor de dados

1.Caso um requerente solicite o acesso a dados de saúde eletrónicos de um único detentor de dados num único Estado-Membro, em derrogação do artigo 45.º, n.º 1, esse requerente pode apresentar um pedido de acesso aos dados ou um pedido de dados diretamente ao detentor dos dados. O pedido de acesso aos dados deve cumprir os requisitos estabelecidos no artigo 45.º e o pedido de dados deve cumprir os requisitos do artigo 47.º. Os pedidos plurinacionais e os pedidos que exijam uma combinação de conjuntos de dados de vários detentores de dados devem ser dirigidos aos organismos responsáveis pelo acesso aos dados de saúde.

2.Nesse caso, o detentor dos dados pode emitir uma autorização de tratamento de dados em conformidade com o artigo 46.º ou dar uma resposta a um pedido de dados nos termos do artigo 47.º. O detentor dos dados deve então facultar o acesso aos dados de saúde eletrónicos num ambiente de tratamento seguro nos termos do artigo 50.º e pode cobrar taxas em conformidade com o artigo 42.º.

3.Em derrogação do artigo 51.º, o fornecedor único de dados e o utilizador dos dados são considerados responsáveis conjuntos pelo tratamento.

4.No prazo de três meses, o detentor dos dados deve informar o organismo responsável pelo acesso aos dados de saúde competente, por via eletrónica, de todos os pedidos de acesso aos dados apresentados e de todas as autorizações de tratamento de dados emitidas bem como dos pedidos de dados a que foi dada resposta nos termos do presente artigo, a fim de permitir que o organismo responsável pelo acesso aos dados de saúde cumpra as obrigações que lhe incumbem por força do artigo 37.º, n.º 1, e do artigo 39.º.

Artigo 50.º

Ambiente de tratamento seguro

1.Os organismos responsáveis pelo acesso aos dados de saúde só devem facultar o acesso aos dados de saúde eletrónicos através de um ambiente de tratamento seguro, com medidas técnicas e organizativas e requisitos de segurança e interoperabilidade. Em especial, devem adotar as seguintes medidas de segurança:

a)Limitar o acesso ao ambiente de tratamento seguro às pessoas autorizadas enumeradas na respetiva autorização de tratamento de dados;

b)Minimizar o risco de leitura, cópia, alteração ou remoção não autorizadas de dados de saúde eletrónicos armazenados no ambiente de tratamento seguro através de meios tecnológicos avançados;

c)Limitar a introdução de dados de saúde eletrónicos, bem como a inspeção, alteração ou apagamento de dados de saúde eletrónicos alojados no ambiente de tratamento seguro, a um número limitado de pessoas identificáveis e autorizadas;

d)Assegurar que os utilizadores dos dados só têm acesso aos dados de saúde eletrónicos abrangidos pela respetiva autorização de tratamento de dados, por intermédio de identificadores individuais e únicos do utilizador e de modos de acesso confidenciais;

e)Conservar registos identificáveis de acesso ao ambiente de tratamento seguro durante o período necessário para verificar e auditar todas as operações de tratamento nesse ambiente;

f)Assegurar o cumprimento e monitorizar as medidas de segurança a que se refere o presente artigo, a fim de atenuar potenciais ameaças à segurança.

2.Os organismos responsáveis pelo acesso aos dados de saúde devem assegurar que os dados de saúde eletrónicos possam ser carregados pelos detentores dos dados e acedidos pelo utilizador dos dados num ambiente de tratamento seguro. Os utilizadores dos dados só devem poder descarregar dados de saúde eletrónicos não pessoais a partir do ambiente de tratamento seguro.

3.Os organismos responsáveis pelo acesso aos dados de saúde devem assegurar a realização de auditorias regulares aos ambientes de tratamento seguros.

4.A Comissão estabelece, por meio de atos de execução, os requisitos técnicos, de segurança da informação e de interoperabilidade dos ambientes de tratamento seguros. Os referidos atos de execução são adotados pelo procedimento consultivo a que se refere o artigo 68.º, n.º 2.

Artigo 51.º

Responsáveis conjuntos pelo tratamento

1.Os organismos responsáveis pelo acesso aos dados de saúde e os utilizadores dos dados, incluindo as instituições, órgãos e organismos da União, são considerados responsáveis conjuntos pelo tratamento dos dados de saúde eletrónicos tratados em conformidade com a autorização de tratamento de dados.

2.A Comissão estabelece, por meio de atos de execução, um modelo de acordo entre os responsáveis conjuntos pelo tratamento. Os referidos atos de execução são adotados pelo procedimento consultivo a que se refere o artigo 68.º, n.º 2.

Secção 4

Acesso transfronteiriço a dados de saúde eletrónicos para utilização secundária

Artigo 52.º

Infraestrutura transfronteiriça para a utilização secundária de dados de dados de saúde eletrónicos [Dados de saúde @ UE (HealthData@EU)]

1.Cada Estado-Membro designa um ponto de contacto nacional para a utilização secundária de dados de saúde eletrónicos, responsável por disponibilizar dados de saúde eletrónicos para utilização secundária num contexto transfronteiriço, e comunica os seus nomes e informações de contacto à Comissão. O ponto de contacto nacional pode ser o organismo responsável pelo acesso aos dados de saúde designado como coordenador nos termos do artigo 36.º. A Comissão e os Estados-Membros tornam pública esta informação.

2.Os pontos de contacto nacionais a que se refere o n.º 1 são participantes autorizados na infraestrutura transfronteiriça para a utilização secundária de dados de saúde eletrónicos [Dados de saúde @ UE (HealthData@EU)]. Os pontos de contacto nacionais devem facilitar o acesso transfronteiriço aos dados de saúde eletrónicos para utilização secundária por parte de diferentes participantes autorizados na infraestrutura e devem cooperar estreitamente entre si e com a Comissão.

3.As instituições, órgãos e organismos da União envolvidos na investigação, nas políticas ou na análise da saúde são participantes autorizados da Dados de saúde @ UE (HealthData@EU).

4.As infraestruturas de investigação relacionadas com a saúde ou as estruturas semelhantes cujo funcionamento se baseie no direito da União e que apoiem a utilização de dados de saúde eletrónicos para fins de investigação, elaboração de políticas, estatísticas, segurança dos doentes ou regulamentação são participantes autorizados da Dados de saúde @ UE (HealthData@EU).

5.Os países terceiros ou as organizações internacionais podem tornar-se participantes autorizados se cumprirem as regras do capítulo IV do presente regulamento e permitirem o acesso dos utilizadores de dados localizados na União, em termos e condições equivalentes, aos dados de saúde eletrónicos de que dispõem os seus organismos responsáveis pelo acesso aos dados de saúde. A Comissão pode adotar atos de execução que estabeleçam que um ponto de contacto nacional de um país terceiro ou um sistema estabelecido a nível internacional cumpre os requisitos da Dados de saúde @ UE (HealthData@EU) para efeitos de utilização secundária de dados de saúde, cumpre o capítulo IV do presente regulamento e permite o acesso dos utilizadores de dados localizados na União aos dados de saúde eletrónicos a que tem acesso, em termos e condições equivalentes. O cumprimento destes requisitos legais, organizacionais, técnicos e de segurança, incluindo as normas relativas aos ambientes de tratamento seguros nos termos do artigo 50.º, deve ser verificado sob o controlo da Comissão. Os referidos atos de execução são adotados pelo procedimento consultivo a que se refere o artigo 68.º, n.º 2. A Comissão disponibiliza publicamente a lista dos atos de execução adotados nos termos do presente número.

6.Cada participante autorizado deve dotar-se da capacidade técnica necessária para a ligação à Dados de saúde @ UE (HealthData@EU) e a participação na mesma. Cada participante deve cumprir os requisitos e especificações técnicas necessários para explorar a infraestrutura transfronteiriça e permitir que os participantes autorizados interajam na mesma.

7.A Comissão fica habilitada a adotar atos delegados em conformidade com o artigo 67.º para alterar o presente artigo a fim de aditar ou suprimir categorias de participantes autorizados na Dados de saúde @ UE (HealthData@EU), tendo em conta o parecer do grupo de responsabilidade conjunta pelo tratamento nos termos do artigo 66.º do presente regulamento.

8.Os Estados-Membros e a Comissão devem criar a Dados de saúde @ UE (HealthData@EU) para apoiar e facilitar o acesso transfronteiriço a dados de saúde eletrónicos para utilização secundária, ao estabelecer a ligação entre os pontos de contacto nacionais para a utilização secundária de dados de saúde eletrónicos de todos os Estados-Membros e os participantes autorizados nessa infraestrutura.

9.A Comissão deve desenvolver, implantar e gerir uma plataforma de base para a Dados de saúde @ UE (HealthData@EU), prestando os serviços informáticos necessários para facilitar a ligação entre os organismos responsáveis pelo acesso aos dados de saúde no âmbito da infraestrutura transfronteiriça para a utilização secundária de dados de saúde eletrónicos. A Comissão procede ao tratamento de dados de saúde eletrónicos unicamente em nome dos responsáveis conjuntos pelo tratamento na qualidade de subcontratante.

10.A pedido de dois ou vários organismos responsáveis pelo acesso aos dados de saúde, a Comissão pode proporcionar um ambiente de tratamento seguro para os dados provenientes de vários Estados-Membros, em conformidade com os requisitos do artigo 50.º. Se dois ou mais organismos responsáveis pelo acesso aos dados de saúde colocarem dados de saúde eletrónicos no ambiente de tratamento seguro gerido pela Comissão, tornam-se responsáveis conjuntos pelo tratamento, sendo a Comissão o subcontratante.

11.Os participantes autorizados atuam como responsáveis conjuntos pelas operações de tratamento em que participam realizadas na Dados de saúde @ UE (HealthData@EU), e a Comissão atua na qualidade de subcontratante.

12.Cabe aos Estados-Membros e à Comissão procurar assegurar a interoperabilidade da Dados de saúde @ UE (HealthData@EU) com outros espaços comuns europeus de dados pertinentes, tal como referido nos Regulamentos […] [Regulamento Governação de Dados COM(2020) 767 final] e [Regulamento Dados COM(2022) 68 final].

13.A Comissão pode, por meio de atos de execução, estabelecer:

a)Requisitos, especificações técnicas, a arquitetura informática da Dados de saúde @ UE (HealthData@EU), condições e verificações de conformidade para que os participantes autorizados adiram e permaneçam ligados à Dados de saúde @ UE, bem como condições de exclusão temporária ou definitiva desta infraestrutura;

b)Os critérios mínimos que devem ser cumpridos pelos participantes autorizados na infraestrutura;

c)As responsabilidades dos responsáveis conjuntos pelo tratamento e do(s) subcontratante(s) que participa(m) nas infraestruturas transfronteiriças;

d)As responsabilidades dos responsáveis conjuntos pelo tratamento e do(s) subcontratante(s) no que se refere ao ambiente seguro gerido pela Comissão;

e)Especificações comuns para a interoperabilidade e a arquitetura no que diz respeito à Dados de saúde @ UE (HealthData@EU) com outros espaços comuns europeus de dados.

Os referidos atos de execução são adotados pelo procedimento consultivo a que se refere o artigo 68.º, n.º 2.

14.A aprovação para a adesão de um participante autorizado individual à Dados de saúde @ UE (HealthData@EU) ou a exclusão de um participante da infraestrutura é emitida pelo grupo de responsabilidade conjunta pelo tratamento, com base nos resultados das verificações de conformidade.

Artigo 53.º

Acesso a fontes transfronteiriças de dados de saúde eletrónicos para utilização secundária

1.No caso de bases de dados e registos transfronteiriços, o organismo responsável pelo acesso aos dados de saúde em que o detentor dos dados está registado é competente para decidir sobre os pedidos de acesso aos dados, a fim de facultar acesso aos dados de saúde eletrónicos. Caso o registo disponha de responsáveis conjuntos pelo tratamento, o organismo responsável pelo acesso aos dados de saúde que deve facultar o acesso aos dados de saúde eletrónicos é o organismo do Estado-Membro em que está estabelecido um dos responsáveis conjuntos pelo tratamento.

2.Caso os registos ou as bases de dados de vários Estados-Membros se organizem numa única rede de registos ou de bases de dados a nível da União, os registos associados podem designar um dos seus membros como coordenador para assegurar o fornecimento de dados da rede de registos para utilização secundária. O organismo responsável pelo acesso aos dados de saúde do Estado-Membro em que o coordenador da rede está localizado é competente para decidir sobre os pedidos de acesso aos dados, a fim de facultar acesso aos dados de saúde eletrónicos da rede de registos ou de bases de dados.

3.A Comissão pode, por meio de atos de execução, adotar as regras necessárias para facilitar o tratamento dos pedidos de acesso aos dados para a Dados de saúde @ UE (HealthData@EU), incluindo um formulário comum de pedido, um modelo comum de autorização de tratamento de dados, formulários normalizados para as disposições contratuais comuns de acesso aos dados de saúde eletrónicos e procedimentos comuns para o tratamento de pedidos transfronteiriços, nos termos dos artigos 45.º, 46.º, 47.º e 48.º. Os referidos atos de execução são adotados pelo procedimento consultivo a que se refere o artigo 68.º, n.º 2.

Artigo 54.º

Reconhecimento mútuo

1.Ao tratar um pedido de acesso transfronteiriço a dados de saúde eletrónicos para utilização secundária, os organismos responsáveis pelo acesso aos dados de saúde e os participantes autorizados pertinentes continuam a ser responsáveis pela tomada de decisões de concessão ou recusa de acesso a dados de saúde eletrónicos no âmbito das suas competências, em conformidade com os requisitos de acesso estabelecidos no presente capítulo.

2.Uma autorização de tratamento de dados emitida por um organismo responsável pelo acesso aos dados de saúde em causa pode beneficiar do reconhecimento mútuo pelos outros organismos responsáveis pelo acesso aos dados de saúde em causa.

Secção 5

Qualidade e utilidade dos dados de saúde para utilização secundária

Artigo 55.º

Descrição do conjunto de dados

1.Os organismos responsáveis pelo acesso aos dados de saúde devem informar os utilizadores de dados sobre os conjuntos de dados disponíveis e as suas características através de um catálogo de metadados. Cada conjunto de dados deve incluir informações sobre a fonte, o âmbito, as principais características, a natureza dos dados de saúde eletrónicos e as condições de disponibilização dos dados de saúde eletrónicos.

2.A Comissão estabelece, por meio de atos de execução, os elementos mínimos de informação que os detentores dos dados devem fornecer no que diz respeito aos conjuntos de dados e às suas características. Os referidos atos de execução são adotados pelo procedimento consultivo a que se refere o artigo 68.º, n.º 2.

Artigo 56.º

Rótulo de qualidade e utilidade dos dados

1.Os conjuntos de dados disponibilizados através de organismos responsáveis pelo acesso aos dados de saúde podem ter um rótulo de qualidade e utilidade dos dados da União facultado pelos detentores dos dados.

2.Os conjuntos de dados que contêm dados de saúde eletrónicos recolhidos e tratados com o apoio de financiamento público nacional ou da União devem ter um rótulo de qualidade e utilidade dos dados, em conformidade com os princípios estabelecidos no n.º 3.

3.O rótulo de qualidade e utilidade dos dados deve respeitar os seguintes elementos:

a)Para a documentação dos dados: metadados, documentação de apoio, modelo de dados, dicionário de dados, normas utilizadas, proveniência;

b)Qualidade técnica, que demonstre a exaustividade, o caráter único, a exatidão, a validade, a atualidade e a coerência dos dados;

c)Para os processos de gestão da qualidade dos dados: nível de maturidade dos processos de gestão da qualidade dos dados, incluindo processos de revisão e auditoria, e exame de enviesamentos;

d)Cobertura: representação de dados de saúde eletrónicos multidisciplinares, representatividade da população amostrada, período médio em que uma pessoa singular aparece num conjunto de dados;

e)Informações sobre o acesso e o fornecimento: período entre a recolha dos dados de saúde eletrónicos e a sua adição ao conjunto de dados, período para facultar os dados de saúde eletrónicos após a aprovação do pedido de acesso aos dados de saúde eletrónicos;

f)Informações sobre o enriquecimento de dados: fusão e adição de dados a um conjunto de dados existente, incluindo ligações com outros conjuntos de dados;

4.A Comissão fica habilitada a adotar atos delegados em conformidade com o artigo 67.º para alterar a lista de princípios aplicáveis ao rótulo de qualidade e utilidade dos dados. Esses atos delegados podem igualmente alterar a lista definida no n.º 3 ao aditar, alterar ou suprimir requisitos relativos ao rótulo de qualidade e utilidade dos dados.

5.A Comissão estabelece, por meio de atos de execução, as características visuais e as especificações técnicas do rótulo de qualidade e utilidade dos dados, com base nos elementos a que se refere o n.º 3. Os referidos atos de execução são adotados pelo procedimento consultivo a que se refere o artigo 68.º, n.º 2. Esses atos de execução têm em conta os requisitos do artigo 10.º do Regulamento […] [Regulamento Inteligência Artificial COM(2021) 206 final] e quaisquer especificações comuns ou normas harmonizadas adotadas em apoio desses requisitos.

Artigo 57.º

Catálogo da UE de conjuntos de dados

1.A Comissão cria um catálogo da UE de conjuntos de dados que ligue os catálogos nacionais de conjuntos de dados criados pelos organismos responsáveis pelo acesso aos dados de saúde e outros participantes autorizados na Dados de saúde @ UE (HealthData@EU).

2.O catálogo da UE de conjuntos de dados e os catálogos nacionais de conjuntos de dados devem ser disponibilizados ao público.

Artigo 58.º

Especificações mínimas dos conjuntos de dados

A Comissão pode, por meio de atos de execução, determinar as especificações mínimas aplicáveis aos conjuntos de dados transfronteiriços para utilização secundária de dados de saúde eletrónicos, tendo em conta as infraestruturas, normas, orientações e recomendações da União existentes. Os referidos atos de execução são adotados pelo procedimento consultivo a que se refere o artigo 68.º, n.º 2.

Capítulo V

Ações adicionais

Artigo 59.º

Reforço das capacidades

A Comissão apoia o intercâmbio das melhores práticas e de conhecimentos especializados, com vista a reforçar a capacidade dos Estados-Membros de consolidarem os sistemas de saúde digital destinados à utilização primária e secundária dos dados de saúde eletrónicos. A fim de apoiar o reforço das capacidades, a Comissão elabora diretrizes de avaliação comparativa para a utilização primária e secundária dos dados de saúde eletrónicos.

Artigo 60.º

Requisitos adicionais em matéria de contratos públicos e financiamento da União

1.Os compradores públicos, as autoridades nacionais competentes, incluindo as autoridades de saúde digital e os organismos responsáveis pelo acesso aos dados de saúde, bem como a Comissão, devem fazer referência às especificações técnicas, às normas e aos perfis aplicáveis a que se referem os artigos 6.º, 23.º, 50.º e 56.º, consoante o caso, como pontos de orientação para os contratos públicos e ao elaborarem os seus documentos de concurso ou convites à apresentação de propostas, bem como ao definirem as condições de financiamento da União no que diz respeito ao presente regulamento, incluindo as condições habilitadoras para os fundos estruturais e de coesão.

2.A condicionalidade ex ante para o financiamento da União deve ter em conta os requisitos desenvolvidos no âmbito dos capítulos II, III e IV.

Artigo 61.º

Transferência de dados eletrónicos não pessoais para países terceiros

1.Os dados eletrónicos não pessoais disponibilizados por organismos responsáveis pelo acesso a dados de saúde que se baseiem em dados eletrónicos de uma pessoa singular abrangidos por uma das categorias do artigo 33.º [alíneas a), e), f), i), j), k), m)], são considerados altamente sensíveis na aceção do artigo 5.º, n.º 13, do Regulamento […] [Regulamento Governação de Dados COM(2020) 767 final], desde que a sua transferência para países terceiros apresente um risco de reidentificação através de meios que vão além dos suscetíveis de serem razoavelmente utilizados, tendo em conta o número limitado de pessoas singulares envolvidas nesses dados, o facto de estarem geograficamente dispersas ou a evolução tecnológica esperada num futuro próximo.

2.As medidas de proteção para as categorias de dados mencionadas no n.º 1 dependem da natureza dos dados e das técnicas de anonimização, e são pormenorizadas no ato delegado ao abrigo da habilitação estabelecida no artigo 5.º, n.º 13, do Regulamento […] [Regulamento Governação de Dados COM(2020) 767 final].

Artigo 62.º

Acesso e transferência internacionais de dados de saúde eletrónicos não pessoais

1.As autoridades de saúde digital, os organismos responsáveis pelo acesso aos dados de saúde, os participantes autorizados nas infraestruturas transfronteiriças previstas nos artigos 12.º e 52.º e os utilizadores de dados devem tomar todas as medidas técnicas, jurídicas e organizativas razoáveis, incluindo disposições contratuais, a fim de impedir transferências internacionais ou o acesso governamental a dados de saúde eletrónicos não pessoais detidos na União, caso essa transferência ou esse acesso seja suscetível de entrar em conflito com o direito da União ou o direito nacional do Estado-Membro pertinente, sem prejuízo do disposto no n.º 2 ou 3 do presente artigo.

2.As sentenças de um tribunal de um país terceiro e as decisões de autoridades administrativas de um país terceiro que exijam que uma autoridade de saúde digital, um organismo responsável pelo acesso aos dados de saúde ou um utilizador de dados transfira ou dê acesso a dados de saúde eletrónicos não pessoais abrangidos pelo âmbito de aplicação do presente regulamento e detidos na União só podem ser reconhecidas ou executadas, seja de que forma for, se tiverem por base um acordo internacional, como um acordo de auxílio judiciário mútuo, em vigor entre o país terceiro em causa e a União ou entre o país terceiro em causa e um Estado-Membro.

3.Na ausência de um acordo internacional nos termos do n.º 2 do presente artigo, caso uma decisão judicial ou sentença de um tribunal de um país terceiro ou uma decisão de uma autoridade administrativa de um país terceiro que exija a transferência ou o acesso a dados não pessoais abrangidos pelo âmbito de aplicação do presente regulamento e detidos na União seja dirigida a uma autoridade de saúde digital, a um organismo responsável pelo acesso aos dados de saúde ou a um utilizador de dados, e o cumprimento dessa decisão possa colocar o destinatário numa situação de conflito com o direito da União ou com o direito nacional do Estado-Membro em causa, a transferência dos dados em causa para essa autoridade do país terceiro ou o acesso a esses dados pela mesma autoridade só pode ter lugar se:

a)O sistema do país terceiro exigir que sejam expostos os motivos e a proporcionalidade dessa decisão ou sentença e que essa decisão ou sentença tenha um caráter específico, através, por exemplo, do estabelecimento de uma relação suficiente com determinados suspeitos ou infrações;

b)A objeção fundamentada do destinatário estiver sujeita a reapreciação por um tribunal competente do país terceiro; e

c)O tribunal competente do país terceiro que emite a decisão judicial ou sentença ou reaprecia a decisão de uma autoridade administrativa estiver habilitado, nos termos do direito desse país terceiro, a ter devidamente em conta os interesses jurídicos relevantes do fornecedor dos dados protegidos pelo direito da União ou pelo direito nacional do Estado-Membro em causa.

4.Se estiverem preenchidas as condições previstas no n.º 2 ou no n.º 3, a autoridade de saúde digital, um organismo responsável pelo acesso aos dados de saúde ou um organismo de altruísmo de dados fornece, em resposta a um pedido, a quantidade mínima de dados admissível com base numa interpretação razoável do pedido.

5.As autoridades de saúde digital, os organismos responsáveis pelo acesso aos dados de saúde ou os utilizadores de dados informam o detentor dos dados da existência de um pedido de acesso aos seus dados por parte de uma autoridade administrativa de um país terceiro antes de dar cumprimento a esse pedido, exceto nos casos em que o pedido se destine a atividades de aplicação da lei e enquanto for necessário para preservar a eficácia das atividades de aplicação da lei.

Artigo 63.º

Acesso e transferência internacionais de dados de saúde eletrónicos pessoais

No contexto do acesso e da transferência internacionais de dados de saúde eletrónicos pessoais, os Estados-Membros podem manter ou introduzir outras condições, incluindo limitações, nos termos e condições estabelecidos no artigo 9.º, n.º 4, do Regulamento (UE) 2016/679.

Capítulo VI

Governação e coordenação europeias

Artigo 64.º

Conselho do Espaço Europeu de Dados de Saúde (Conselho do EEDS)

1.É criado o Conselho do Espaço Europeu de Dados de Saúde (Conselho do EEDS) para facilitar a cooperação e o intercâmbio de informações entre os Estados-Membros. O Conselho do EEDS é composto por representantes de alto nível das autoridades de saúde digital e dos organismos responsáveis pelo acesso aos dados de saúde de todos os Estados-Membros. Podem ser convidadas para as reuniões outras autoridades nacionais, incluindo as autoridades de fiscalização do mercado a que se refere o artigo 28.º, o Comité Europeu para a Proteção de Dados e a Autoridade Europeia para a Proteção de Dados, caso as questões em debate sejam pertinentes para os mesmos. O Conselho do EEDS pode igualmente convidar peritos e observadores para assistirem às suas reuniões, e pode cooperar com outros peritos externos, se for caso disso. As outras instituições, órgãos e organismos da União, as infraestruturas de investigação e outras estruturas semelhantes têm estatuto de observadores.

2.Consoante as funções relacionadas com a utilização de dados de saúde eletrónicos, o Conselho do EEDS pode trabalhar em subgrupos, nos quais devem estar representadas as autoridades de saúde digital ou os organismos responsáveis pelo acesso aos dados de saúde de um determinado domínio. Os subgrupos podem, se necessário, realizar reuniões conjuntas.

3.A composição, a organização, o funcionamento e a cooperação dos subgrupos são definidos no regulamento interno apresentado pela Comissão.

4.As partes interessadas e os terceiros pertinentes, incluindo representantes dos doentes, são convidados a assistir às reuniões do Conselho do EEDS e a participar nos seus trabalhos, em função dos temas debatidos e do respetivo grau de sensibilidade.

5.O Conselho do EEDS coopera com outros organismos, entidades e peritos pertinentes, como o Comité Europeu da Inovação de Dados a que se refere o artigo 26.º do Regulamento […] [Regulamento Governação de Dados COM(2020) 767 final], os organismos competentes criados ao abrigo do artigo 7.º do Regulamento […] [Regulamento Dados COM(2022) 68 final], os organismos de supervisão criados ao abrigo do artigo 17.º do Regulamento […] [Regulamento Identificação Eletrónica], o Comité Europeu para a Proteção de Dados a que se refere o artigo 68.º do Regulamento (UE) 2016/679 e os organismos de cibersegurança.

6.A Comissão preside às reuniões do Conselho do EEDS.

7.O Conselho do EEDS é assistido por um secretariado disponibilizado pela Comissão.

8.A Comissão adota, por meio de atos de execução, as medidas necessárias para a criação, a gestão e o funcionamento do Conselho do EEDS. Os referidos atos de execução são adotados pelo procedimento consultivo a que se refere o artigo 68.º, n.º 2.

Artigo 65.º

Funções do Conselho do EEDS

1.O Conselho do EEDS tem as seguintes funções relacionadas com a utilização primária de dados de saúde eletrónicos nos termos dos capítulos II e III:

a)Assistir os Estados-Membros na coordenação das práticas das autoridades de saúde digital;

b)Fornecer contribuições escritas e proceder ao intercâmbio de boas práticas sobre questões relacionadas com a coordenação da aplicação, ao nível dos Estados-Membros, do presente regulamento e dos atos delegados e de execução adotados nos termos do mesmo, em especial no que diz respeito:

i)ao disposto nos capítulos II e III,

ii)ao desenvolvimento de serviços em linha que facilitem o acesso seguro, incluindo a identificação eletrónica segura, aos dados de saúde eletrónicos por parte dos profissionais de saúde e das pessoas singulares,

iii)a outros aspetos da utilização primária de dados de saúde eletrónicos;

c)Facilitar a cooperação entre as autoridades de saúde digital através do reforço das capacidades, do estabelecimento da estrutura para a elaboração de relatórios anuais de atividades, da análise interpares dos referidos relatórios e do intercâmbio de informações;

d)Partilhar informações sobre os riscos colocados pelos sistemas de RSE e os incidentes graves, bem como sobre a sua gestão;

e)Facilitar o intercâmbio de pontos de vista sobre a utilização primária de dados de saúde eletrónicos com as partes interessadas, incluindo representantes dos doentes, profissionais de saúde, investigadores, entidades reguladoras e decisores políticos do setor da saúde.

2.O Conselho do EEDS tem as seguintes funções relacionadas com a utilização secundária de dados de saúde eletrónicos nos termos do capítulo IV:

a)Assistir os Estados-Membros na coordenação das práticas dos organismos responsáveis pelo acesso aos dados de saúde no que se refere à execução das disposições do capítulo IV, a fim de assegurar uma aplicação coerente do presente regulamento;

b)Apresentar contribuições escritas e proceder ao intercâmbio de boas práticas sobre questões relacionadas com a coordenação da aplicação, ao nível dos Estados-Membros, do presente regulamento e dos atos delegados e de execução adotados nos termos do mesmo, em especial no que diz respeito:

i)à aplicação de regras de acesso aos dados de saúde eletrónicos,

ii)a especificações técnicas ou normas existentes relativas aos requisitos estabelecidos no capítulo IV,

iii)à política de incentivos para promover a qualidade dos dados e a melhoria da interoperabilidade,

iv)às políticas relativas às taxas a cobrar pelos organismos responsáveis pelo acesso aos dados de saúde e pelos detentores dos dados,

v)ao estabelecimento e à aplicação de sanções,

vi)a outros aspetos da utilização secundária de dados de saúde eletrónicos;

c)Facilitar a cooperação entre os organismos responsáveis pelo acesso aos dados de saúde através do reforço das capacidades, do estabelecimento da estrutura para a elaboração de relatórios anuais de atividades, da análise interpares dos referidos relatórios e do intercâmbio de informações;

d)Partilhar informações sobre riscos e incidentes em matéria de proteção de dados relacionados com a utilização secundária de dados de saúde eletrónicos, bem como sobre o seu tratamento;

e)Contribuir para os trabalhos do Comité Europeu da Inovação de Dados, a criar em conformidade com o artigo 29.º do Regulamento […] [Regulamento Governação de Dados COM(2020) 767 final];

f)Facilitar o intercâmbio de pontos de vista sobre a utilização secundária de dados de saúde eletrónicos com as partes interessadas, incluindo representantes dos doentes, profissionais de saúde, investigadores, entidades reguladoras e decisores políticos do setor da saúde.

Artigo 66.º

Grupos de responsabilidade conjunta pelo tratamento para as infraestruturas da União

1.A Comissão cria dois grupos encarregados da responsabilidade conjunta pelo tratamento para as infraestruturas transfronteiriças previstas nos artigos 12.º e 52.º. Os grupos são compostos por representantes dos pontos de contacto nacionais e outros participantes autorizados nessas infraestruturas.

2.A composição, a organização, o funcionamento e a cooperação dos subgrupos são definidos no regulamento interno adotado por esses grupos.

3.Podem ser convidados a assistir às reuniões dos grupos e a participar nos seus trabalhos as partes interessadas e terceiros relevantes, incluindo representantes dos doentes.

4.Os grupos elegem os presidentes para as suas reuniões.

5.Os grupos são assistidos por um secretariado disponibilizado pela Comissão.

6.Os grupos tomam decisões relativas ao desenvolvimento e ao funcionamento das infraestruturas transfronteiriças nos termos dos capítulos II e IV, às mudanças de infraestrutura, à adição de infraestruturas ou serviços, ou à garantia da interoperabilidade com outras infraestruturas, sistemas digitais ou espaços de dados. O grupo toma igualmente decisões no que se refere à aceitação da adesão de participantes autorizados individuais às infraestruturas ou à sua exclusão das mesmas.

CAPÍTULO VII

Delegação e comité

Artigo 67.º

Exercício da delegação

1.O poder de adotar atos delegados é conferido à Comissão nas condições estabelecidas no presente artigo.

2.O poder de adotar atos delegados referido no artigo 5.º, n.º 2, no artigo 10.º, n.º 3, no artigo 25.º, n.º 3, no artigo 32.º, n.º 4, no artigo 33.º, n.º 7, no artigo 37.º, n.º 4, no artigo 39.º, n.º 3, no artigo 41.º, n.º 7, no artigo 45.º, n.º 7, no artigo 46.º, n.º 8, no artigo 52.º, n.º 7, e no artigo 56.º, n.º 4, é conferido à Comissão por tempo indeterminado a contar da data de entrada em vigor do presente regulamento.

3.O poder de adotar atos delegados referido no artigo 5.º, n.º 2, no artigo 10.º, n.º 3, no artigo 25.º, n.º 3, no artigo 32.º, n.º 4, no artigo 33.º, n.º 7, no artigo 37.º, n.º 4, no artigo 39.º, n.º 3, no artigo 41.º, n.º 7, no artigo 45.º, n.º 7, no artigo 46.º, n.º 8, no artigo 52.º, n.º 7, e no artigo 56.º, n.º 4, pode ser revogado em qualquer momento pelo Parlamento Europeu ou pelo Conselho. A decisão de revogação põe termo à delegação dos poderes nela especificados. A decisão de revogação produz efeitos a partir do dia seguinte ao da sua publicação no Jornal Oficial da União Europeia ou de uma data posterior nela especificada. A decisão de revogação não afeta os atos delegados já em vigor.

4.Antes de adotar um ato delegado, a Comissão consulta os peritos designados por cada Estado-Membro de acordo com os princípios estabelecidos no Acordo Interinstitucional sobre legislar melhor de 13 de abril de 2016.

5.Assim que adotar um ato delegado, a Comissão notifica-o simultaneamente ao Parlamento Europeu e ao Conselho.

6.Os atos delegados adotados nos termos do artigo 5.º, n.º 2, do artigo 10.º, n.º 3, do artigo 25.º, n.º 3, do artigo 32.º, n.º 4, do artigo 33.º, n.º 7, do artigo 37.º, n.º 4, do artigo 39.º, n.º 3, do artigo 41.º, n.º 7, do artigo 45.º, n.º 7, do artigo 46.º, n.º 8, do artigo 52.º, n.º 7, e do artigo 56.º, n.º 4, só entram em vigor se não tiverem sido formuladas objeções pelo Parlamento Europeu ou pelo Conselho no prazo de três meses a contar da notificação do ato ao Parlamento Europeu e ao Conselho ou se, antes do termo desse prazo, o Parlamento Europeu e o Conselho tiverem informado a Comissão de que não têm objeções a formular. O referido prazo é prorrogável por três meses por iniciativa do Parlamento Europeu ou do Conselho.

Artigo 68.º

Procedimento de comité

1.A Comissão é assistida por um comité. O referido comité é um comité na aceção do Regulamento (UE) n.º 182/2011.

2.Caso se remeta para o presente número, aplica-se o artigo 4.º do Regulamento (UE) n.º 182/2011.

Capítulo VIII

Diversos

Artigo 69.º

Sanções

Os Estados-Membros estabelecem as regras relativas às sanções aplicáveis em caso de violação do disposto no presente regulamento e tomam todas as medidas necessárias para garantir a sua aplicação. As sanções devem ser efetivas, proporcionadas e dissuasivas. Os Estados-Membros notificam a Comissão dessas regras e dessas medidas até à data de aplicação do presente regulamento e notificam-na sem demora de qualquer alteração ulterior.

Artigo 70.º

Avaliação e revisão

1.Decorridos cinco anos da entrada em vigor do presente regulamento, a Comissão procede a uma avaliação específica do presente regulamento, especialmente no que diz respeito ao capítulo III, e apresenta um relatório com as suas principais conclusões ao Parlamento Europeu, ao Conselho, ao Comité Económico e Social Europeu e ao Comité das Regiões, acompanhado, se for caso disso, de uma proposta de alteração. A avaliação deve incluir uma apreciação da autocertificação dos sistemas de RSE e uma reflexão sobre a necessidade de introduzir um procedimento de avaliação da conformidade realizado por organismos notificados.

2.Decorridos sete anos da entrada em vigor do presente regulamento, a Comissão procede a uma avaliação global do presente regulamento e apresenta um relatório com as suas principais conclusões ao Parlamento Europeu, ao Conselho, ao Comité Económico e Social Europeu e ao Comité das Regiões, acompanhado, se for caso disso, de uma proposta de alteração.

3.Os Estados-Membros devem transmitir à Comissão as informações necessárias para a elaboração desse relatório.

Artigo 71.º

Alteração da Diretiva 2011/24/UE

O artigo 14.º da Diretiva 2011/24/UE é suprimido.

Capítulo IX

Aplicação diferida e disposições finais

Artigo 72.º

Entrada em vigor e aplicação

O presente regulamento entra em vigor no vigésimo dia seguinte ao da sua publicação no Jornal Oficial da União Europeia.

O presente regulamento é aplicável a partir de 12 meses após a entrada em vigor.

Todavia, os artigos 3.º, 4.º, 5.º, 6.º, 7.º, 12.º, 14.º, 23.º e 31.º são aplicáveis do seguinte modo:

a)A partir de um ano após a data de entrada em aplicação, às categorias de dados de saúde eletrónicos pessoais a que se refere o artigo 5.º, n.º 1, alíneas a), b) e c), bem como aos sistemas de RSE destinados pelo fabricante ao tratamento dessas categorias de dados;

b)A partir de três anos após a data de entrada em aplicação, às categorias de dados de saúde eletrónicos pessoais a que se refere o artigo 5.º, n.º 1, alíneas d), e) e f), bem como aos sistemas de RSE destinados pelo fabricante ao tratamento dessas categorias de dados;

c)A partir da data estabelecida em atos delegados adotados nos termos do artigo 5.º, n.º 2, para outras categorias de dados de saúde eletrónicos pessoais.

O capítulo III é aplicável aos sistemas de RSE colocados em serviço na União nos termos do artigo 15.º, n.º 2, a partir de três anos após a data de entrada em aplicação.

O presente regulamento é obrigatório em todos os seus elementos e diretamente aplicável em todos os Estados-Membros.

Feito em Estrasburgo, em

Pelo Parlamento Europeu Pelo Conselho

A Presidente O Presidente

FICHA FINANCEIRA LEGISLATIVA

1.CONTEXTO DA PROPOSTA / INICIATIVA

1.1.Denominação da proposta / iniciativa

1.2.Domínio(s) de intervenção em causa

1.3.A proposta / iniciativa refere-se:

1.4.Objetivo(s)

1.4.1.Objetivo(s) geral(is)

1.4.2.Objetivo(s) específico(s)

1.4.3.Resultados e impacto esperados

1.4.4.Indicadores de desempenho

1.5.Justificação da proposta / iniciativa

1.5.1.Necessidade(s) a satisfazer a curto ou a longo prazo, incluindo um calendário pormenorizado para a aplicação da iniciativa

1.5.2.Valor acrescentado da intervenção da União (que pode resultar de diferentes fatores, por exemplo, ganhos decorrentes da coordenação, segurança jurídica, maior eficácia ou complementaridades). Para efeitos do presente ponto, entende-se por «valor acrescentado da intervenção da União» o valor resultante da intervenção da União que se acrescenta ao valor que teria sido criado pela ação isolada dos Estados-Membros.

1.5.3.Ensinamentos retirados de experiências anteriores semelhantes

1.5.4.Compatibilidade com o quadro financeiro plurianual e eventuais sinergias com outros instrumentos adequados

1.5.5.Avaliação das diferentes opções de financiamento disponíveis, incluindo possibilidades de reafetação

1.6.Duração e impacto financeiro da proposta / iniciativa

1.7.Modalidade(s) de gestão prevista(s)

2.MEDIDAS DE GESTÃO

2.1.Disposições em matéria de acompanhamento e prestação de informações

2.2.Sistema(s) de gestão e de controlo

2.2.1.Justificação da(s) modalidade(s) de gestão, do(s) mecanismo(s) de execução do financiamento, das modalidades de pagamento e da estratégia de controlo propostos

2.2.2.Informações sobre os riscos identificados e o(s) sistema(s) de controlo interno criado(s) para os atenuar

2.2.3.Estimativa e justificação da relação custo-eficácia dos controlos (rácio «custos de controlo ÷ valor dos fundos geridos controlados») e avaliação dos níveis previstos de risco de erro (no pagamento e no encerramento)

2.3.Medidas de prevenção de fraudes e irregularidades

3.IMPACTO FINANCEIRO ESTIMADO DA PROPOSTA / INICIATIVA

3.1.Rubrica(s) do quadro financeiro plurianual e rubrica(s) orçamental(ais) de despesas envolvida(s)

3.2.Impacto financeiro estimado da proposta nas dotações

3.2.1.Síntese do impacto estimado nas dotações operacionais

3.2.2.Estimativa das realizações financiadas com dotações operacionais

3.2.3.Síntese do impacto estimado nas dotações administrativas

3.2.4.Compatibilidade com o atual quadro financeiro plurianual

3.2.5.Participação de terceiros no financiamento

3.3.Impacto estimado nas receitas

FICHA FINANCEIRA LEGISLATIVA

1.CONTEXTO DA PROPOSTA / INICIATIVA

1.1.Denominação da proposta / iniciativa

Regulamento do Parlamento Europeu e do Conselho relativo ao Espaço Europeu de Dados de Saúde

1.2.Domínio(s) de intervenção em causa

Rubrica 1: Mercado único, inovação e digital

Rubrica 2: Coesão, Resiliência e Valores

1.3.A proposta / iniciativa refere-se:

◻ a uma nova ação

◻ a uma nova ação na sequência de um projeto-piloto / ação preparatória 60

◻ à prorrogação de uma ação existente

à fusão ou reorientação de uma ou mais ações para outra / uma nova ação

1.4.Objetivo(s)

1.4.1.Objetivo(s) geral(is)

O objetivo geral da intervenção consiste em estabelecer as regras que regulam o Espaço Europeu de Dados de Saúde, a fim de garantir o acesso das pessoas singulares aos seus próprios dados de saúde e o seu controlo sobre esses dados, melhorar o funcionamento do mercado único para o desenvolvimento e a utilização de produtos e serviços de saúde inovadores baseados em dados de saúde, bem como assegurar que os investigadores, os inovadores, os decisores políticos e as entidades reguladoras possam tirar o máximo partido dos dados de saúde disponíveis para o seu trabalho, preservando simultaneamente a confiança e a segurança.

1.4.2.Objetivo(s) específico(s)

Objetivo específico n.º 1

Capacitar as pessoas singulares através de um maior acesso digital e controlo dos seus dados de saúde e apoiar a sua livre circulação.

Objetivo específico n.º 2

Definir requisitos específicos aplicáveis às obrigações e aos sistemas de registos de saúde eletrónicos (RSE), a fim de assegurar que os sistemas de RSE colocados no mercado e utilizados sejam interoperáveis, seguros e respeitem os direitos das pessoas singulares no que se refere aos seus dados de saúde.

Objetivo específico n.º 3

Assegurar um quadro coerente e eficiente para a utilização secundária dos dados de saúde das pessoas singulares para efeitos de investigação, inovação, elaboração de políticas, estatísticas oficiais, segurança dos doentes ou atividades regulamentares.

1.4.3.Resultados e impacto esperados

Especificar os efeitos que a proposta / iniciativa poderá ter nos beneficiários/grupos visados.

Objetivo específico n.º 1

As pessoas singulares devem beneficiar de um acesso mais fácil aos seus próprios dados de saúde, bem como de controlo sobre os mesmos, incluindo a nível transfronteiriço.

Objetivo específico n.º 2

Os fornecedores e os fabricantes de sistemas de RSE devem beneficiar de um conjunto mínimo, mas claro, de requisitos em matéria de interoperabilidade e segurança desses sistemas, reduzindo os obstáculos ao fornecimento desses sistemas em todo o mercado único.

Objetivo específico n.º 3

As pessoas singulares devem beneficiar de uma grande variedade de produtos e serviços de saúde inovadores que são fornecidos e desenvolvidos com base na utilização primária e secundária de dados de saúde, preservando simultaneamente a confiança e a segurança.

Os utilizadores de dados de saúde, designadamente os investigadores, os inovadores, os decisores políticos e as entidades reguladoras, devem beneficiar de uma utilização secundária mais eficiente dos dados de saúde.

1.4.4.Indicadores de desempenho

Especificar os indicadores que permitem acompanhar os progressos e os resultados.

Objetivo específico n.º 1

a)Número de prestadores de cuidados de saúde de diferentes tipos ligados a A minha saúde @ UE (MyHealth@EU), calculado a) em termos absolutos, b) em percentagem de todos os prestadores de cuidados de saúde e c) em percentagem de pessoas singulares que podem utilizar os serviços prestados em A minha saúde @ UE (MyHealth@EU);

b)Volume de dados de saúde eletrónicos pessoais de diferentes categorias partilhados a nível transfronteiriço através de A minha saúde @ UE (MyHealth@EU);

c)Percentagem de pessoas singulares com acesso aos seus registos de saúde eletrónicos;

d)Nível de satisfação das pessoas singulares com os serviços de A minha saúde @ UE (MyHealth@EU);

Estes elementos serão recolhidos por meio de relatórios anuais das autoridades de saúde digital.

Objetivo específico n.º 2

e)Número de sistemas de RSE certificados e de aplicações de bem-estar rotuladas inscritos na base de dados da UE;

f)Número de casos de não conformidade com os requisitos obrigatórios;

Estes elementos serão recolhidos por meio de relatórios anuais das autoridades de saúde digital.

Objetivo específico n.º 3

g)Número de conjuntos de dados publicados no catálogo europeu de dados;

h)Número de pedidos de acesso aos dados, desagregados por pedidos nacionais e plurinacionais, tratados, aceites ou rejeitados pelos organismos responsáveis pelo acesso aos dados de saúde.

Estes elementos serão recolhidos por meio de relatórios anuais dos organismos responsáveis pelo acesso aos dados de saúde.

1.5.Justificação da proposta / iniciativa

1.5.1.Necessidade(s) a satisfazer a curto ou a longo prazo, incluindo um calendário pormenorizado para a aplicação da iniciativa

O regulamento será plenamente aplicável quatro anos após a sua entrada em vigor, após o termo da aplicação diferida. Antes dessa data, devem estar em vigor disposições relativas aos direitos das pessoas singulares (capítulo II), à certificação dos sistemas de RSE (capítulo III), à utilização secundária de dados de saúde (capítulo IV) e à governação (capítulo V). Em especial, os Estados-Membros devem ter previamente designado autoridades existentes e/ou criado novas autoridades para a execução das funções definidas na legislação, de modo que o Conselho do Espaço Europeu de Dados de Saúde (Conselho do EEDS) seja criado e possa prestar-lhes assistência antecipadamente. A infraestrutura para as utilizações primárias e secundárias dos dados de saúde deve também estar operacional antecipadamente, a fim de permitir a integração de todos os Estados-Membros antes de o presente regulamento se tornar plenamente aplicável.

Razões para uma ação a nível europeu (ex ante)

Como demonstra a avaliação do artigo 14.º da Diretiva 2011/24/UE relativa aos cuidados de saúde transfronteiriços, as abordagens adotadas até à data, que consistem em instrumentos de baixa intensidade/não vinculativos, como orientações e recomendações destinadas a apoiar a interoperabilidade, não produziram os resultados desejados. As abordagens nacionais para resolver os problemas têm um âmbito limitado e não resolvem inteiramente a questão ao nível da UE: o intercâmbio transfronteiriço de dados de saúde é ainda muito limitado, o que se explica, em parte, pela diversidade significativa das normas aplicadas aos dados de saúde nos diferentes Estados-Membros. Em muitos Estados-Membros, existem enormes desafios nacionais, regionais e locais no domínio da interoperabilidade e portabilidade dos dados, o que dificulta a continuidade dos cuidados e a eficiência dos sistemas de saúde. Mesmo que os dados de saúde estejam disponíveis em formato eletrónico, normalmente não acompanham a pessoa singular quando utiliza serviços de outro prestador de cuidados de saúde.

Valor acrescentado esperado da intervenção da UE (ex post)

A ação ao nível europeu através do presente regulamento aumentará a eficácia das medidas adotadas para dar resposta a estes desafios. A definição de direitos comuns para as pessoas singulares no que diz respeito ao acesso e controlo da utilização dos seus dados de saúde, bem como a definição de regras e obrigações comuns em matéria de interoperabilidade e segurança dos sistemas de RSE, reduzirão os custos do fluxo de dados de saúde em toda a UE. Um fundamento jurídico comum para a utilização secundária de dados de saúde também produzirá ganhos de eficiência para os utilizadores de dados no domínio da saúde. O estabelecimento de um quadro de governação comum que abranja as utilizações primárias e secundárias dos dados de saúde facilitará a coordenação.

1.5.3.Ensinamentos retirados de experiências anteriores semelhantes

A avaliação das disposições da Diretiva Cuidados de Saúde Transfronteiriços relacionadas com a saúde digital concluiu que, dada a natureza voluntária das ações da rede de saúde em linha, a eficácia e a eficiência no aumento do intercâmbio transfronteiriço de dados de saúde têm sido bastante limitadas. Os progressos são lentos na implementação de A minha saúde @ UE (MyHealth@EU). Embora a rede de saúde em linha tenha recomendado aos Estados-Membros que utilizassem as normas, os perfis e as especificações do formato de intercâmbio de registos de saúde eletrónicos nas aquisições, a fim de criar sistemas interoperáveis, a sua adoção tem sido limitada, resultando numa paisagem fragmentada e num acesso e portabilidade desiguais dos dados de saúde. Por este motivo, é necessário estabelecer regras, obrigações e direitos específicos em matéria de acesso e controlo das pessoas singulares sobre os seus próprios dados de saúde e no que se refere ao intercâmbio transfronteiriço desses dados para as utilizações primárias e secundárias, com uma estrutura de governação que assegure a coordenação de organismos responsáveis específicos ao nível da União.

1.5.4.Compatibilidade com o quadro financeiro plurianual e eventuais sinergias com outros instrumentos adequados

O Espaço Europeu de Dados de Saúde tem fortes ligações com várias outras ações da União nos domínios da saúde e da assistência social, da digitalização, da investigação, da inovação e dos direitos fundamentais.

O presente regulamento define as regras, os direitos e as obrigações para o funcionamento do Espaço Europeu de Dados de Saúde, bem como para a implantação das infraestruturas necessárias, dos sistemas de certificação/rotulagem e dos quadros de governação. Estas medidas complementam as disposições horizontais do Regulamento Governação de Dados, do Regulamento Dados e do Regulamento Geral sobre a Proteção de Dados.

O cumprimento das obrigações pela Comissão e as ações de apoio conexas ao abrigo da presente proposta legislativa exigirão 220 milhões de EUR entre 2023 e 2027. Prevê-se que a maioria dos custos do presente regulamento (170 milhões de EUR) seja financiada pelo Programa UE pela Saúde, em conformidade com o artigo 4.º, alínea f), do Regulamento do Programa UE pela Saúde 61 . As ações previstas contribuem igualmente para a consecução dos objetivos específicos constantes do artigo 4.º, alíneas a), b) e h). O Programa Europa Digital apoiará o acesso dos doentes aos seus dados de saúde através de A minha saúde @ UE (MyHealth@EU), com 50 milhões de EUR adicionais. Em ambos os casos, as despesas relacionadas com a presente proposta serão cobertas pelos montantes programados destes programas.

Nos seus programas de trabalho para 2021 e 2022, o Programa UE pela Saúde já apoia o desenvolvimento e a criação do Espaço Europeu de Dados de Saúde com uma contribuição inicial substancial de quase 110 milhões de EUR. Esta contribuição inclui o funcionamento da infraestrutura existente para utilizações primárias de dados de saúde [A minha saúde @ UE (MyHealth@EU)], a adoção de normas internacionais pelos Estados-Membros, ações de reforço das capacidades e outras ações preparatórias, bem como um projeto-piloto de infraestrutura para a utilização secundária de dados de saúde, um projeto-piloto para o acesso dos doentes aos seus dados de saúde através de A minha saúde @ UE e a sua expansão, assim como o desenvolvimento dos serviços centrais para utilizações secundárias de dados de saúde.

Para além dos já referidos 330 milhões de EUR ao abrigo do Programa UE pela Saúde e do Programa Europa Digital, outras ações no âmbito do Programa Europa Digital, do Mecanismo Interligar a Europa e do Horizonte Europa complementarão e facilitarão a implementação do Espaço Europeu de Dados de Saúde. Além disso, a Comissão pode, mediante pedido, apoiar os Estados-Membros na consecução dos objetivos da presente proposta através da prestação de assistência técnica direta no âmbito do Instrumento de Assistência Técnica. Estes programas visam, nomeadamente, o aumento de melhores recursos de dados de qualidade e mecanismos de intercâmbio […] correspondentes 62 e [d]esenvolver, promover e impulsionar a excelência científica 63 , respetivamente, incluindo no domínio da saúde. Alguns exemplos dessa complementaridade incluem o apoio horizontal ao desenvolvimento e a projetos-piloto em larga escala de uma plataforma de software intermédio inteligente para espaços comuns de dados, à qual já foram atribuídos 105 milhões de EUR do Programa Europa Digital em 2021-2022; investimentos específicos por domínio para facilitar o acesso seguro e transfronteiriço a genómica e imagens oncológicas, apoiados pelo Programa Europa Digital em 2021-2022 com 38 milhões de EUR; e projetos de investigação e inovação e ações de coordenação e apoio em matéria de qualidade e interoperabilidade dos dados de saúde já apoiados pelo Horizonte Europa (agregado 1) com 108 milhões de EUR em 2021 e 2022, bem como 59 milhões de EUR do programa Infraestruturas de Investigação. Em 2021 e 2022, o Horizonte Europa prestou apoio adicional à utilização secundária de dados de saúde referentes à COVID-19 (42 milhões de EUR) e ao cancro (3 milhões de EUR).

Além disso, caso falte conectividade física no setor da saúde, o Mecanismo Interligar a Europa irá contribuir para o desenvolvimento de projetos de interesse comum relacionados com a implantação e o acesso a redes de muito alta capacidade, incluindo a sistemas de 5G e para a maior resiliência e capacidade das redes digitais dorsais nos territórios da União 64 . Estão programados 130 milhões de EUR em 2022 e 2023 para a interligação de infraestruturas de computação em nuvem, incluindo no domínio da saúde.

Além disso, os custos da ligação dos Estados-Membros às infraestruturas europeias no Espaço Europeu de Dados de Saúde serão parcialmente cobertos por programas de financiamento da UE que complementarão o Programa UE pela Saúde. Instrumentos como o Mecanismo de Recuperação e Resiliência (MRR) e o Fundo Europeu de Desenvolvimento Regional (FEDER) poderão apoiar a ligação dos Estados-Membros às infraestruturas europeias.

1.5.5.Avaliação das diferentes opções de financiamento disponíveis, incluindo possibilidades de reafetação

O cumprimento das obrigações pela Comissão e as ações de apoio conexas ao abrigo da presente proposta legislativa serão diretamente financiados pelo Programa UE pela Saúde e apoiados pelo Programa Europa Digital.

As ações reafetadas no âmbito do Programa Europa Digital e do Horizonte Europa no domínio da saúde e da saúde digital poderão também complementar as ações de execução que apoiam o presente regulamento no âmbito do Programa UE pela Saúde.

1.6.Duração e impacto financeiro da proposta / iniciativa

◻ duração limitada

–◻ em vigor entre [DD/MM]AAAA e [DD/MM]AAAA

–◻ impacto financeiro no período compreendido entre AAAA e AAAA para as dotações de autorização e entre AAAA e AAAA para as dotações de pagamento.

duração ilimitada

–Aplicação com um período de arranque progressivo a partir de janeiro de 2023,

–seguido de um período de aplicação a um ritmo de cruzeiro.

1.7.Modalidade(s) de gestão prevista(s) 65

Gestão direta pela Comissão:

–pelos seus serviços, incluindo o pessoal nas delegações da União;

–pelas agências de execução.

◻ Gestão partilhada com os Estados-Membros

◻

Gestão indireta por delegação de tarefas de execução orçamental:

–◻ em países terceiros ou nos organismos por estes designados;

–◻ em organizações internacionais e respetivas agências (a especificar);

–◻ no BEI e no Fundo Europeu de Investimento;

–◻ nos organismos referidos nos artigos 70.º e 71.º do Regulamento Financeiro;

–◻ em organismos de direito público;

–◻ em organismos regidos pelo direito privado com uma missão de serviço público desde que prestem garantias financeiras adequadas;

–◻ em organismos regidos pelo direito privado de um Estado-Membro com a responsabilidade pela execução de uma parceria público-privada e que prestem garantias financeiras adequadas;

–◻ em pessoas encarregadas da execução de ações específicas no quadro da PESC por força do título V do Tratado da União Europeia, identificadas no ato de base pertinente.

–Se assinalar mais de uma modalidade de gestão, queira especificar na secção «Observações».

Observações:

2.MEDIDAS DE GESTÃO

2.1.Disposições em matéria de acompanhamento e prestação de informações

Especificar a periodicidade e as condições.

O regulamento será reexaminado e avaliado no prazo de sete anos a contar da data de entrada em vigor. Cinco anos após a entrada em vigor do regulamento, deve ser realizada uma avaliação específica da autocertificação dos sistemas de RSE e uma reflexão sobre a necessidade de introduzir um procedimento de avaliação da conformidade realizado por organismos notificados. A Comissão comunicará as conclusões da avaliação ao Parlamento Europeu, ao Conselho, ao Comité Económico e Social Europeu e ao Comité das Regiões.

A proposta inclui a expansão e a implantação de infraestruturas digitais transfronteiriças para utilizações primárias e secundárias de dados de saúde, o que facilitará o acompanhamento de vários indicadores.

2.2.Sistema(s) de gestão e de controlo

2.2.1.Justificação da(s) modalidade(s) de gestão, do(s) mecanismo(s) de execução do financiamento, das modalidades de pagamento e da estratégia de controlo propostos

O regulamento estabelece uma nova política no que respeita à proteção dos dados de saúde eletrónicos, regras harmonizadas para os sistemas de registos de saúde eletrónicos (RSE) e regras e governação para a reutilização de dados de saúde. Estas novas regras exigem um mecanismo comum de coordenação para a aplicação transfronteiriça das obrigações do presente regulamento, sob a forma de um novo grupo consultivo que coordene as atividades das autoridades nacionais.

As ações previstas no presente regulamento serão implementadas mediante gestão direta, utilizando as modalidades de execução previstas no Regulamento Financeiro, sobretudo as subvenções e os contratos públicos. A gestão direta permite estabelecer convenções de subvenção e contratos com beneficiários e contratantes diretamente envolvidos em atividades que servem as políticas da União. A Comissão assegurará o acompanhamento direto dos resultados das ações financiadas. As modalidades de pagamento das ações financiadas serão adaptadas aos riscos relativos às operações financeiras.

A fim de assegurar a eficácia, a eficiência e a economia dos controlos da Comissão, a estratégia de controlo será orientada para um equilíbrio entre os controlos ex ante e ex post e centrada em três fases principais da execução das subvenções/dos contratos, em conformidade com o Regulamento Financeiro:

a)Seleção das propostas que correspondem aos objetivos políticos do regulamento.

b)Controlos operacionais, de acompanhamento e ex ante que abranjam a execução dos projetos, os contratos públicos, os pagamentos de pré-financiamento, intercalares e finais, assim como a gestão de garantias.

Serão igualmente realizados controlos ex post, numa amostra de transações, nas instalações dos beneficiários/contratantes. A seleção destas transações conjugará uma avaliação dos riscos e uma seleção aleatória.

2.2.2.Informações sobre os riscos identificados e o(s) sistema(s) de controlo interno criado(s) para os atenuar

A execução do presente regulamento centra-se na atribuição de contratos públicos e subvenções a atividades e organizações específicas.

Os contratos públicos serão celebrados sobretudo para o fornecimento de plataformas europeias para infraestruturas digitais e serviços conexos, bem como para a assistência técnica ao quadro de governação.

As subvenções serão concedidas principalmente para apoiar a ligação dos Estados-Membros às infraestruturas europeias, apoiar projetos de interoperabilidade e realizar ações conjuntas. O período de execução dos projetos e atividades subvencionados varia, na sua maioria, entre um e três anos.

Os principais riscos são os seguintes:

a)Risco de não se atingir plenamente os objetivos do regulamento devido a uma implementação ou qualidade insuficientes ou atrasos na execução dos projetos ou contratos selecionados;

b)Risco de utilização ineficiente ou não económica dos fundos atribuídos, tanto no que se refere às subvenções (complexidade das regras de financiamento) como aos contratos públicos (número limitado de operadores económicos com os conhecimentos especializados necessários, o que implica poucas possibilidades de comparar as ofertas de preços em alguns setores);

c)Risco de reputação para a Comissão, caso sejam detetadas fraudes ou atividades criminosas; os sistemas de controlo interno de terceiros só oferecem garantias parciais devido ao grande número de contratantes e beneficiários heterogéneos, cada um dos quais com o seu próprio sistema de controlo.

A Comissão pôs em prática procedimentos internos que visam cobrir os riscos acima identificados. Os procedimentos internos são plenamente conformes com o Regulamento Financeiro e incluem medidas antifraude e considerações de custo-benefício. Neste contexto, a Comissão continua a explorar as possibilidades de melhorar a gestão e de realizar ganhos de eficiência. As principais características do quadro de controlo são as seguintes:

1)Controlos antes e durante a execução dos projetos:

a)Será criado um sistema adequado de gestão de projetos centrado nas contribuições dos projetos e contratos para os objetivos estratégicos, assegurando uma participação sistemática de todos os intervenientes, estabelecendo um mecanismo de elaboração de relatórios regulares sobre a gestão dos projetos, complementado por visitas no local numa base casuística, incluindo a elaboração de relatórios de risco dirigidos aos quadros superiores, e mantendo uma flexibilidade orçamental adequada;

b)Os modelos de convenções de subvenção e de contratos de prestação de serviços utilizados são desenvolvidos pela Comissão. Estes modelos preveem um certo número de disposições de controlo, tais como certificados de auditoria, garantias financeiras, auditorias no local, bem como inspeções pelo OLAF. As regras que regem a elegibilidade dos custos estão a ser simplificadas, por exemplo, mediante a utilização de custos unitários, montantes fixos, contribuições não relacionadas com os custos e outras possibilidades previstas no Regulamento Financeiro. Desta forma, reduzir-se-á o custo dos controlos e a atenção será concentrada nas verificações e controlos nas áreas de elevado risco;

c)Todo o pessoal assina o código de boa conduta administrativa. O pessoal envolvido no processo de seleção ou na gestão das convenções de subvenção/contratos (também) assina uma declaração de ausência de conflitos de interesses. O pessoal recebe formação regularmente e utiliza redes para o intercâmbio das melhores práticas;

d)A execução técnica de um projeto é objeto de controlos documentais a intervalos regulares com base nos relatórios de progresso técnico dos contratantes e beneficiários; além disso, estão previstas reuniões com os contratantes/beneficiários e visitas no local numa base casuística.

2)Controlos no final do projeto:

São realizadas auditorias ex post numa amostra de transações para verificar, no local, a elegibilidade das declarações de despesas. O objetivo destes controlos é impedir, detetar e corrigir erros materiais relativos à legalidade e à regularidade das operações financeiras. Tendo em vista conseguir um elevado impacto dos controlos, a seleção dos beneficiários a auditar prevê combinar uma seleção baseada nos riscos com uma amostragem aleatória, e prestar atenção a aspetos operacionais, sempre que possível, durante a auditoria no local.

Os custos anuais do nível proposto de controlos no âmbito do terceiro Programa de Saúde 2014-2020 representaram, aproximadamente, 4 % a 7 % do orçamento anual das despesas operacionais. Isto justifica-se pela diversidade de transações a controlar. Com efeito, no domínio da saúde, a gestão direta implica a atribuição de numerosos contratos e subvenções para ações de muito pequena a muito grande dimensão e o pagamento de numerosas subvenções de funcionamento a organizações não-governamentais. O risco associado a estas atividades diz respeito (especialmente) à capacidade das organizações mais pequenas de controlarem eficazmente as despesas.

A Comissão considera que os custos médios dos controlos serão provavelmente os mesmos para as ações propostas ao abrigo do presente regulamento.

Ao abrigo do terceiro Programa de Saúde 2014-2020, em cinco anos, a taxa de erro das auditorias no local a subvenções em regime de gestão direta foi de 1,8 %, ao passo que para os contratos públicos foi inferior a 1 %. Este nível de erro é considerado aceitável, dado que é inferior ao nível de materialidade de 2 %.

As ações propostas não afetarão a forma como as dotações são atualmente geridas. O sistema de controlo em vigor mostrou ser capaz de prevenir e/ou detetar erros e/ou irregularidades e, no caso de existirem, de os corrigir. O sistema será adaptado de modo a incluir as novas ações e a assegurar que as taxas de erro residual (após correção) se mantenham abaixo do limiar de 2 %.

2.3.Medidas de prevenção de fraudes e irregularidades

Especificar as medidas de prevenção e de proteção existentes ou previstas, por exemplo, a título da estratégia antifraude.

No que respeita às suas atividades de gestão direta, a Comissão tomará as medidas adequadas para assegurar a proteção dos interesses financeiros da União Europeia mediante a aplicação de medidas preventivas contra a fraude, a corrupção e outras atividades ilegais, mediante a realização de controlos eficazes e, em caso de deteção de irregularidades, através da recuperação dos montantes pagos indevidamente e, se for caso disso, através da aplicação de sanções efetivas, proporcionadas e dissuasivas. Para o efeito, a Comissão adotou uma estratégia antifraude, atualizada pela última vez em abril de 2019 [COM(2019) 196], que contempla, nomeadamente, as seguintes medidas preventivas, de deteção e corretivas:

A Comissão, ou seus representantes, e o Tribunal de Contas dispõem de poderes para auditar, com base em documentos e no local, todos os beneficiários de subvenções, contratantes e subcontratantes que tenham recebido fundos da União. O OLAF está autorizado a efetuar verificações e inspeções no local em relação aos operadores económicos abrangidos direta ou indiretamente por tais financiamentos.

A Comissão implementa também uma série de medidas, nomeadamente:

a)As decisões, os acordos e os contratos resultantes da aplicação do regulamento autorizarão expressamente a Comissão, incluindo o OLAF, e o Tribunal de Contas a realizar auditorias, verificações e inspeções no local e a recuperar os montantes indevidamente pagos e, se for caso disso, a impor sanções administrativas;

b)Durante a fase de avaliação de um convite à apresentação de propostas/concurso, são aplicados aos candidatos e concorrentes os critérios de exclusão publicados, com base nas declarações e no Sistema de Deteção Precoce e de Exclusão (EDES);

c)As regras que regem a elegibilidade dos custos serão simplificadas, em conformidade com as disposições do Regulamento Financeiro;

d)É dada regularmente formação sobre questões relacionadas com fraudes e irregularidades a todo o pessoal envolvido na gestão dos contratos, bem como aos auditores e controladores que verificam no local as declarações dos beneficiários.

3.IMPACTO FINANCEIRO ESTIMADO DA PROPOSTA / INICIATIVA

3.1.Rubrica(s) do quadro financeiro plurianual e rubrica(s) orçamental(ais) de despesas envolvida(s)

·Atuais rubricas orçamentais

Segundo a ordem das rubricas do quadro financeiro plurianual e das respetivas rubricas orçamentais.

Rubrica do quadro financeiro plurianual	Rubrica orçamental	Tipo de despesa	Participação
	Número	DD/DND 66	dos países da EFTA 67	dos países candidatos 68	de países terceiros	na aceção do artigo 21.º, n.º 2, alínea b), do Regulamento Financeiro
1	02 04 03 – Programa Europa Digital – Inteligência artificial	DD	SIM	SIM	SIM	NÃO
2b	06 06 01 – Programa UE pela Saúde	DD	SIM	SIM	SIM	NÃO
7	20 02 06 Despesas administrativas	DND	NÃO	NÃO	NÃO	NÃO

3.2.Impacto financeiro estimado da proposta nas dotações

3.2.1.Síntese do impacto estimado nas dotações operacionais

–◻ A proposta / iniciativa não acarreta a utilização de dotações operacionais.

– A proposta / iniciativa acarreta a utilização de dotações operacionais, tal como explicitado seguidamente:

Em milhões de EUR (três casas decimais)

Rubrica do quadro financeiro
plurianual

Mercado único, inovação e digital

DG CNECT			Ano 2022 69	Ano 2023	Ano 2024	Ano 2025	Ano 2026	Ano 2027	Anos seguintes (anual)	TOTAL 2023-2027
• Dotações operacionais
02 04 03 – Programa Europa Digital – Inteligência artificial	Autorizações	(1a)			10,000	20,000		20,000		50,000
	Pagamentos	(2a)			5,000	15,000	10,000	10,000	10,000 70	50,000
Dotações de natureza administrativa financiadas a partir da dotação de programas específicos 71
Rubrica orçamental		(3)
TOTAL das dotações para a DG CNECT	Autorizações	= 1a + 1b + 1c + 3			10,000	20,000		20,000		50,000
	Pagamentos	= 2a + 2b + 2c +3			5,000	15,000	10,000	10,000	10,000	50,000
As contribuições do Programa Europa Digital a partir de 2023 são indicativas e serão tidas em conta no contexto da elaboração dos respetivos programas de trabalho. As dotações finais estarão sujeitas à definição de prioridades de financiamento no contexto do processo de adoção subjacente e do acordo do respetivo Comité do Programa.

• TOTAL das dotações operacionais	Autorizações	(4)	10,000	20,000		20,000		50,000
	Pagamentos	(5)	5,000	15,000	10,000	10,000	10,000	50,000
• TOTAL das dotações de natureza administrativa financiadas a partir da dotação de programas específicos		(6)
TOTAL das dotações no âmbito da RUBRICA 1 do quadro financeiro plurianual	Autorizações	= 4 + 6	10,000	20,000		20,000		50,000
	Pagamentos	= 5 + 6	5,000	15,000	10,000	10,000	10,000	50,000

Rubrica do quadro financeiro
plurianual

Coesão, resiliência e valores

DG SANTE			Ano 2022 72	Ano 2023	Ano 2024	Ano 2025	Ano 2026	Ano 2027	Anos seguintes (anual)	TOTAL 2023-2027
• Dotações operacionais
06 06 01 – Programa UE pela Saúde	Autorizações	(1a)		26,000	25,000	34,000	35,000	50,000	15,000	170,000
	Pagamentos	(2a)		13,000	25,500	29,500	34,500	67,500	15,000	170,000
Dotações de natureza administrativa financiadas a partir da dotação de programas específicos 73
Rubrica orçamental		(3)
TOTAL das dotações para a DG SANTE	Autorizações	= 1a + 1b + 1c + 3		26,000	25,000	34,000	35,000	50,000	15,000	170,000
	Pagamentos	= 2a + 2b + 2c +3		13,000	25,500	29,500	34,500	67,500	15,000	170,000

• TOTAL das dotações operacionais	Autorizações	(4)	26,000	25,000	34,000	35,000	50,000	15,000	170,000
	Pagamentos	(5)	13,000	25,500	29,500	34,500	67,500	15,000	170,000
• TOTAL das dotações de natureza administrativa financiadas a partir da dotação de programas específicos		(6)
TOTAL das dotações no âmbito da RUBRICA 2b do quadro financeiro plurianual	Autorizações	= 4 + 6	26,000	25,000	34,000	35,000	50,000	15,000	170,000
	Pagamentos	= 5 + 6	13,000	25,500	29,500	34,500	67,500	15,000	170,000

Rubrica do quadro financeiro
plurianual

Despesas administrativas

Esta secção deve ser preenchida com «dados orçamentais de natureza administrativa» a inserir em primeiro lugar no anexo da ficha financeira legislativa (anexo V das regras internas), que é carregado no DECIDE para efeitos das consultas interserviços.

Em milhões de EUR (três casas decimais)

		Ano 2022	Ano 2023	Ano 2024	Ano 2025	Ano 2026	Ano 2027	Anos seguintes (anual)	TOTAL 2023-2027
DG SANTE
• Recursos humanos			3,289	3,289	3,289	3,289	3,289	3,289	16,445
• Outras despesas de natureza administrativa			0,150	0,150	0,250	0,250	0,250	0,250	1,050
TOTAL para a DG SANTE	Dotações		3,439	3,439	3,539	3,539	3,539	3,539	17,495

TOTAL das dotações
no âmbito da RUBRICA 7
do quadro financeiro plurianual

(Total das autorizações = total dos pagamentos)

3,439

3,539

17,495

Em milhões de EUR (três casas decimais)

		Ano 2022	Ano 2023	Ano 2024	Ano 2025	Ano 2026	Ano 2027	Anos seguintes (anual)	TOTAL 2023-2027
TOTAL das dotações no âmbito das RUBRICAS 1 a 7 do quadro financeiro plurianual	Autorizações		29,439	38,439	57,539	38,539	73,539	18,539	237,495
	Pagamentos		16,439	33,939	48,039	48,039	91,039	18,539	237,495

3.2.2.Estimativa das realizações financiadas com dotações operacionais

Dotações de autorização em milhões de EUR (três casas decimais)

Indicar os objetivos e as realizações ⇩			Ano 2022		Ano 2023		Ano 2024		Ano 2025		Ano 2026		Ano 2027		Anos seguintes (anual)		TOTAL 2023-2027
	REALIZAÇÕES
	Tipo 74	Custo médio	N.º	Custo	N.º	Custo	N.º	Custo	N.º	Custo	N.º	Custo	N.º	Custo	N.º	Custo	N.º Total	Custo total
OBJETIVO ESPECÍFICO N.º 1
Desenvolvimento e manutenção da plataforma europeia central para A minha saúde @ UE (MyHealth@EU) e apoio aos Estados-Membros						16,400		18,000		28,000		10,000		38,000		8,000		110,400
Subtotal do objetivo específico n.º 1						16,400		18,000		28,000		10,000		38,000		8,000		110,400
OBJETIVO ESPECÍFICO N.º 2
Base de dados para sistemas de RSE e aplicações de bem-estar						3,100		3,000		3,000		3,000		2,000		2,000		14,100
Subtotal do objetivo específico n.º 2						3,100		3,000		3,000		3,000		2,000		2,000		14,100
OBJETIVO ESPECÍFICO N.º 3
Desenvolvimento e manutenção da plataforma europeia central para Dados de saúde @ UE (HealthData@EU) e apoio aos Estados-Membros						6,500		14,000		23,000		22,000		30,000		5,000		95,500
Subtotal do objetivo específico n.º 3						6,500		14,000		23,000		22,000		30,000		5,000		95,500
TOTAIS						26,000		35,000		54,000		35,000		70,000		15,000		220,000

3.2.3.Síntese do impacto estimado nas dotações administrativas

–◻ A proposta / iniciativa não acarreta a utilização de dotações de natureza administrativa

– A proposta / iniciativa acarreta a utilização de dotações de natureza administrativa, tal como explicitado seguidamente:

Em milhões de EUR (três casas decimais)

	Ano 2022	Ano 2023	Ano 2024	Ano 2025	Ano 2026	Ano 2027 e seguintes	TOTAL
RUBRICA 7 do quadro financeiro plurianual
Recursos humanos		3,289	3,289	3,289	3,289	3,289	16,445
Outras despesas de natureza administrativa		0,150	0,150	0,250	0,250	0,250	1,050
Subtotal RUBRICA 7 do quadro financeiro plurianual		3,439	3,439	3,539	3,539	3,539	17,495

	Ano 2022	Ano 2023	Ano 2024	Ano 2025	Ano 2026	Ano 2027 e seguintes	TOTAL
Com exclusão da RUBRICA 7 75 do quadro financeiro plurianual
Recursos humanos
Outras despesas de de natureza administrativa
Subtotal com exclusão da RUBRICA 7 do quadro financeiro plurianual

	Ano 2022	Ano 2023	Ano 2024	Ano 2025	Ano 2026	Ano 2027 e anos seguintes	TOTAL
TOTAL		3,439	3,439	3,539	3,539	3,539	17,495

As dotações relativas aos recursos humanos e outras despesas administrativas necessárias serão cobertas pelas dotações da DG já afetadas à gestão da ação e / ou reafetadas na DG e, se necessário, pelas eventuais dotações adicionais que sejam atribuídas à DG gestora no âmbito do processo de afetação anual e atendendo às disponibilidades orçamentais.

3.2.3.1.Necessidades estimadas de recursos humanos

–◻ A proposta / iniciativa não acarreta a utilização de recursos humanos.

– A proposta / iniciativa acarreta a utilização de recursos humanos, tal como explicitado seguidamente:

As estimativas devem ser expressas em termos de equivalente a tempo completo.

		Ano 2022	Ano 2023	Ano 2024	Ano 2025	Ano 2026	Ano 2027 e seguintes
•·Lugares do quadro do pessoal (funcionários e agentes temporários)
20 01 02 01 (na sede e nos gabinetes de representação da Comissão)			16	16	16	16	16
20 01 02 03 (nas delegações da União)
01 01 01 01 (investigação indireta)
01 01 01 11 (investigação direta)
Outras rubricas orçamentais (especificar)
20 02 01 (AC, PND e TT da dotação global)			9	9	9	9	9
20 02 03 (AC, AL, PND, TT e JPD nas delegações)
XX 01 xx yy zz 76	- na sede
	- nas delegações
01 01 01 02 (AC, PND e TT - investigação indireta)
01 01 01 12 (AC, PND e TT - investigação direta)
Outras rubricas orçamentais (especificar)
TOTAL			25	25	25	25	25

06 corresponde ao domínio de intervenção ou título em causa.

As necessidades de recursos humanos serão cobertas pelos efetivos da DG já afetados à gestão da ação e / ou reafetados internamente a nível da DG, completados, caso necessário, por eventuais dotações adicionais que sejam atribuídas à DG gestora no âmbito do processo de afetação anual e atendendo às disponibilidades orçamentais.

Descrição das tarefas a executar:

Funcionários e agentes temporários

Serão necessários 12 AD ETC (dez na unidade estratégica e dois na unidade informática da DG SANTE) e quatro AST ETC (três na unidade estratégica e um na unidade informática da DG SANTE) para desempenhar as tarefas relacionadas com o desenvolvimento e o funcionamento do EEDS, nomeadamente para:

a)A gestão da infraestrutura digital transfronteiriça A minha saúde @ UE (MyHealth@EU);

b)A gestão da infraestrutura digital transfronteiriça para utilizações secundárias;

c)A normalização dos registos de saúde eletrónicos e do intercâmbio de dados de saúde;

d)A qualidade dos dados dos registos de saúde eletrónicos e do intercâmbio de dados de saúde;

e)O acesso aos dados de saúde para utilizações secundárias;

f)As queixas, as infrações e as verificações da conformidade;

g)O apoio logístico ao quadro de governação (reuniões presenciais e em linha);

h)As funções horizontais em matéria de comunicação, gestão das partes interessadas e relações interinstitucionais;

i)A coordenação interna;

j)A gestão das atividades.

Serão cobertos 6,5 AD ETC e 4 AST ETC com pessoal atualmente a trabalhar no domínio da saúde digital e do intercâmbio de dados de saúde, nos termos do artigo 14.º da Diretiva 2011/24/UE, bem como na preparação para o Regulamento EEDS. Os restantes 5,5 AD ETC serão cobertos por reafetação interna da DG SANTE.

Pessoal externo

Para a execução das tarefas acima enumeradas, o pessoal AD e AST será apoiado por 5 AC e 4 PND na DG SANTE.

Serão cobertos 4 AC ETC e 3 PND ETC com pessoal atualmente a trabalhar no domínio da saúde digital e do intercâmbio de dados de saúde, nos termos do artigo 14.º da Diretiva 2011/24/UE, bem como na preparação para o Regulamento EEDS. Os restantes 1 AC ETC e 1 PND ETC serão cobertos por reafetação interna da DG SANTE.

3.2.4.Compatibilidade com o atual quadro financeiro plurianual

A proposta / iniciativa:

– pode ser integralmente financiada por meio da reafetação de fundos no quadro da rubrica pertinente do quadro financeiro plurianual (QFP).

As dotações serão reafetadas no enquadramento financeiro atribuído ao Programa UE pela Saúde e ao Programa Europa Digital no QFP 2021-2027.

–◻ requer o recurso à margem não afetada na rubrica em causa do QFP e / ou o recurso a instrumentos especiais tais como definidos no Regulamento QFP.

–◻ requer uma revisão do QFP.

3.2.5.Participação de terceiros no financiamento

A proposta / iniciativa:

– não prevê o cofinanciamento por terceiros

–◻ prevê o seguinte cofinanciamento por terceiros, a seguir estimado:

Dotações em milhões de EUR (três casas decimais)

	Ano N 77	Ano N+1	Ano N+2	Ano N+3	Inserir os anos necessários para refletir a duração do impacto (ver ponto 1.6)	Total
Especificar o organismo de cofinanciamento
TOTAL das dotações cofinanciadas

3.3.Impacto estimado nas receitas

– A proposta / iniciativa não tem impacto financeiro nas receitas

–◻ A proposta / iniciativa tem o impacto financeiro a seguir descrito:

–◻ nos recursos próprios

–◻ noutras receitas

–indicar, se as receitas forem afetadas a rubricas de despesas ◻

Em milhões de EUR (três casas decimais)

Rubrica orçamental das receitas:	Dotações disponíveis para o atual exercício	Impacto da proposta / iniciativa 78
		Ano N	Ano N+1	Ano N+2	Ano N+3	Inserir os anos necessários para refletir a duração do impacto (ver ponto 1.6)
Artigo ………….

Relativamente às receitas que serão «afetadas», especificar a(s) rubrica(s) orçamental(is) de despesas envolvida(s).

Outras observações (p. ex., método / fórmula de cálculo do impacto nas receitas ou quaisquer outras informações).

(1) Comissão Europeia. Estratégia Europeia para os Dados (2020). https://ec.europa.eu/info/strategy/priorities-2019-2024/europe-fit-digital-age/european-data-strategy_pt.

(2) Tal como referido no documento mission-letter-stella-kyriakides_en.pdf (europa.eu) .

(3) Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados) (JO L 119 de 4.5.2016, p. 1).

(4) Comissão Europeia, Assessment of the EU Member States’ rules on health data in the light of the GDPR (não traduzido para português), 2021.

(5) Diretiva 2011/24/UE do Parlamento Europeu e do Conselho, de 9 de março de 2011, relativa ao exercício dos direitos dos doentes em matéria de cuidados de saúde transfronteiriços (JO L 88 de 4.4.2011, p. 45).

(6) Regulamento (UE) 2021/953 do Parlamento Europeu e do Conselho, de 14 de junho de 2021, relativo a um regime para a emissão, verificação e aceitação de certificados interoperáveis de vacinação, teste e recuperação da COVID-19 (Certificado Digital COVID da UE), a fim de facilitar a livre circulação durante a pandemia de COVID-19 (JO L 211 de 15.6.2021, p. 1).

(7) Comissão Europeia, Quadro Europeu de Interoperabilidade .

(8) Comissão Europeia, Década Digital da Europa: objetivos digitais para 2030 .

(9) Comissão Europeia, iniciativa relativa à Declaração sobre os princípios digitais: a «via europeia» para a sociedade digital .

(10) Regulamento (UE) 2017/745 do Parlamento Europeu e do Conselho, de 5 de abril de 2017, relativo aos dispositivos médicos, que altera a Diretiva 2001/83/CE, o Regulamento (CE) n.º 178/2002 e o Regulamento (CE) n.º 1223/2009 e que revoga as Diretivas 90/385/CEE e 93/42/CEE do Conselho (JO L 117 de 5.5.2017, p. 1).

(11) Regulamento (UE) 2017/746 do Parlamento Europeu e do Conselho, de 5 de abril de 2017, relativo aos dispositivos médicos para diagnóstico in vitro e que revoga a Diretiva 98/79/CE e a Decisão 2010/227/UE da Comissão (JO L 117 de 5.5.2017, p. 176).

(12) Proposta de regulamento que estabelece regras harmonizadas em matéria de inteligência artificial (Regulamento Inteligência Artificial) [ COM(2021) 206 final ].

(13) Proposta de regulamento relativo à governação de dados (Regulamento Governação de Dados) [ COM(2020) 767 final ].

(14) Proposta de regulamento relativo a regras harmonizadas sobre o acesso equitativo aos dados e a sua utilização (Regulamento Dados) [ COM(2022) 68 final ].

(15) Diretiva (UE) 2016/1148 do Parlamento Europeu e do Conselho, de 6 de julho de 2016, relativa a medidas destinadas a garantir um elevado nível comum de segurança das redes e da informação em toda a União (JO L 194 de 19.7.2016, p. 1).

(16) Regulamento (UE) 2018/1725 do Parlamento Europeu e do Conselho, de 23 de outubro de 2018, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas instituições e pelos órgãos e organismos da União e à livre circulação desses dados, e que revoga o Regulamento (CE) n.º 45/2001 e a Decisão n.º 1247/2002/CE (JO L 295 de 21.11.2018, p. 39).

(17) Autoridade de Preparação e Resposta a Emergências Sanitárias | Comissão Europeia (europa.eu) .

(18) Um plano de luta contra o cancro para a Europa | Comissão Europeia (europa.eu) .

(19) Missão da UE: cancro | Comissão Europeia (europa.eu) .

(20) Estratégia farmacêutica para a Europa (europa.eu) .

(21) Proposta de diretiva do Parlamento Europeu e do Conselho relativa a medidas destinadas a garantir um elevado nível comum de cibersegurança na União e que revoga a Diretiva (UE) 2016/1148 [COM(2020) 823 final].

(22) Proposta de regulamento do Parlamento Europeu e do Conselho que altera o Regulamento (UE) n.º 910/2014 no respeitante à criação de um Quadro Europeu para a Identidade Digital [ COM(2021) 281 final ].

(23) Comissão Europeia, Relatório sobre as regiões fronteiriças da UE: Laboratórios vivos da integração europeia , 2021.

(24) A exclusão dos dados «inferidos» e a limitação aos dados tratados com base no consentimento ou num contrato significam que grandes quantidades de dados relacionados com a saúde estão fora do âmbito de aplicação do direito de portabilidade previsto no RGPD.

(25) Espaço da imprensa | Comissão Europeia (europa.eu) .

(26) Mais informações disponíveis no estudo do instituto Nivel para a Comissão Europeia, p. 20.

(27) Comissão Europeia (estudo a publicar). Estudo sobre uma infraestrutura e um ecossistema de dados, em apoio à avaliação de impacto do Espaço Europeu de Dados de Saúde, Trasys.

(28) Comissão Europeia, Public consultation on overcoming cross-border obstacles (não traduzido para português), 2020.

(29) Comissão Europeia (2020). Assessment of the EU Member States rules on health data in the light of GDPR (não traduzido para português). (Anexos disponíveis aqui : https://ec.europa.eu/health/system/files/2021-02/ms_rules_health-data_annex_en_0.pdf ).

(30) eHealth, Interoperability of Health Data and Artificial Intelligence for Health and Care in the EU, Lot 1 - Interoperability of Electronic Health Records in the EU (2020) (não traduzido para português).

(31) Study on the use of real-world data (RWD) for research, clinical care, regulatory decision-making, health technology assessment, and policy-making (não traduzido para português).

(32) Market study on telemedicine (não traduzido para português).

(33) Preliminary Opinion 8/2020 on the European Health Data Space (não traduzido para português).

(34) Artigo 6.º, n.º 4, do Regulamento (UE) 2021/1119 do Parlamento Europeu e do Conselho, de 30 de junho de 2021, que cria o regime para alcançar a neutralidade climática e que altera os Regulamentos (CE) n.º 401/2009 e (UE) 2018/1999 («Lei europeia em matéria de clima»).

(35) As contribuições do Programa Europa Digital a partir de 2023 são indicativas e serão tidas em conta no contexto da preparação dos respetivos programas de trabalho. As dotações finais estarão sujeitas à definição de prioridades de financiamento no contexto do processo de adoção subjacente e do acordo do respetivo Comité do Programa.

(36) Artigo 5.º do Regulamento (UE) 2021/694 do Parlamento Europeu e do Conselho, de 29 de abril de 2021, que cria o Programa Europa Digital e revoga a Decisão (UE) 2015/2240.

(37) Artigo 3.º, n.º 2, alínea a), do Regulamento (UE) 2021/695 do Parlamento Europeu e do Conselho, de 28 de abril de 2021, que estabelece o Horizonte Europa – Programa-Quadro de Investigação e Inovação, que define as suas regras de participação e difusão, e que revoga os Regulamentos (UE) n.º 1290/2013 e (UE) n.º 1291/2013.

(38) Artigo 3.º, n.º 2, alínea c), do Regulamento (UE) 2021/1153 do Parlamento Europeu e do Conselho, de 7 de julho de 2021, que cria o Mecanismo Interligar a Europa e revoga os Regulamentos (UE) n.º 1316/2013 e (UE) n.º 283/2014.

(39) JO C […] de […], p. […].

(40) JO C […] de […], p. […].

(41) Decisão de Execução (UE) 2019/1269 da Comissão, de 26 de julho de 2019, que altera a Decisão de Execução 2014/287/UE que define critérios para a criação e avaliação de redes europeias de referência e dos seus membros, bem como para facilitar o intercâmbio de informações e experiências sobre a criação e avaliação das referidas redes (JO L 200 de 29.7.2019, p. 35).

(42) Portal EOSC (eosc-portal.eu) .

(43) Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados) (JO L 119 de 4.5.2016, p. 1).

(44) Regulamento (UE) 2018/1725 do Parlamento Europeu e do Conselho, de 23 de outubro de 2018, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas instituições e pelos órgãos e organismos da União e à livre circulação desses dados, e que revoga o Regulamento (CE) n.º 45/2001 e a Decisão n.º 1247/2002/CE (JO L 295 de 21.11.2018, p. 39).

(45) Recomendação (UE) 2019/243 da Comissão, de 6 de fevereiro de 2019, relativa a um formato europeu de intercâmbio de registos de saúde eletrónicos (JO L 39, de 11.2.2019, p. 18).

(46) Diretiva 2011/24/UE do Parlamento Europeu e do Conselho, de 9 de março de 2011, relativa ao exercício dos direitos dos doentes em matéria de cuidados de saúde transfronteiriços (JO L 88 de 4.4.2011, p. 45).

(47) Regulamento (UE) n.º 910/2014 do Parlamento Europeu e do Conselho, de 23 de julho de 2014, relativo à identificação eletrónica e aos serviços de confiança para as transações eletrónicas no mercado interno e que revoga a Diretiva 1999/93/CE (JO L 257 de 28.8.2014, p. 73).

(48) Regulamento (UE) 2019/881 do Parlamento Europeu e do Conselho, de 17 de abril de 2019, relativo à ENISA (Agência da União Europeia para a Cibersegurança) e à certificação da cibersegurança das tecnologias da informação e comunicação e que revoga o Regulamento (UE) n.º 526/2013 (Regulamento Cibersegurança) (JO L 151 de 7.6.2019, p. 15).

(49) Regulamento (UE) 2017/745 do Parlamento Europeu e do Conselho, de 5 de abril de 2017, relativo aos dispositivos médicos, que altera a Diretiva 2001/83/CE, o Regulamento (CE) n.º 178/2002 e o Regulamento (CE) n.º 1223/2009 e que revoga as Diretivas 90/385/CEE e 93/42/CEE do Conselho (JO L 117 de 5.5.2017, p. 1).

(50) Regulamento (CE) n.º 723/2009 do Conselho, de 25 de junho de 2009, relativo ao quadro jurídico comunitário aplicável ao Consórcio para uma Infraestrutura Europeia de Investigação (ERIC) (JO L 206 de 8.8.2009, p. 1).

(51) Regulamento (UE) 2018/1724 do Parlamento Europeu e do Conselho, de 2 de outubro de 2018, relativo à criação de uma plataforma digital única para a prestação de acesso a informações, a procedimentos e a serviços de assistência e de resolução de problemas, e que altera o Regulamento (UE) n.º 1024/2012 (JO L 295 de 21.11.2018, p. 1).

(52) JO L 123 de 12.5.2016, p. 1.

(53) Regulamento (UE) n.º 182/2011 do Parlamento Europeu e do Conselho, de 16 de fevereiro de 2011, que estabelece as regras e os princípios gerais relativos aos mecanismos de controlo pelos Estados-Membros do exercício das competências de execução pela Comissão (JO L 55 de 28.2.2011, p. 13).

(54) Comissão Europeia, Quadro Europeu de Interoperabilidade .

(55) Diretiva (UE) 2019/882 do Parlamento Europeu e do Conselho, de 17 de abril de 2019, relativa aos requisitos de acessibilidade dos produtos e serviços (Texto relevante para efeitos do EEE) (JO L 151 de 7.6.2019, p. 70).

(56) Diretiva (UE) 2016/1148 do Parlamento Europeu e do Conselho, de 6 de julho de 2016, relativa a medidas destinadas a garantir um elevado nível comum de segurança das redes e da informação em toda a União (JO L 194 de 19.7.2016, p. 1).

(57) Diretiva (UE) 2015/1535 do Parlamento Europeu e do Conselho, de 9 de setembro de 2015, relativa a um procedimento de informação no domínio das regulamentações técnicas e das regras relativas aos serviços da sociedade da informação (JO L 241 de 17.9.2015, p. 1).

(58) Regulamento (CE) n.º 765/2008 do Parlamento Europeu e do Conselho, de 9 de julho de 2008, que estabelece os requisitos de acreditação e fiscalização do mercado relativos à comercialização de produtos, e que revoga o Regulamento (CEE) n.º 339/93 (JO L 218 de 13.8.2008, p. 30).

(59) Recomendação da Comissão, de 6 de maio de 2003, relativa à definição de micro, pequenas e médias empresas (JO L 124 de 20.5.2003, p. 36).

(60) Tal como referido no artigo 58.º, n.º 2, alínea a) ou b), do Regulamento Financeiro.

(61) Regulamento (UE) 2021/522 do Parlamento Europeu e do Conselho, de 24 de março de 2021, que cria um programa de ação da União no domínio da saúde («Programa UE pela Saúde») para o período 2021-2027 e que revoga o Regulamento (UE) n.º 282/2014.

(62) Artigo 5.º do Regulamento (UE) 2021/694 do Parlamento Europeu e do Conselho, de 29 de abril de 2021, que cria o Programa Europa Digital e revoga a Decisão (UE) 2015/2240.

(63) Artigo 3.º, n.º 2, alínea a), do Regulamento (UE) 2021/695 do Parlamento Europeu e do Conselho, de 28 de abril de 2021, que estabelece o Horizonte Europa – Programa-Quadro de Investigação e Inovação, que define as suas regras de participação e difusão, e que revoga os Regulamentos (UE) n.º 1290/2013 e (UE) n.º 1291/2013.

(64) Artigo 3.º, n.º 2, alínea c), do Regulamento (UE) 2021/1153 do Parlamento Europeu e do Conselho, de 7 de julho de 2021, que cria o Mecanismo Interligar a Europa e revoga os Regulamentos (UE) n.º 1316/2013 e (UE) n.º 283/2014.

(65) As explicações sobre as modalidades de gestão e as referências ao Regulamento Financeiro estão disponíveis no sítio BudgWeb: https://myintracomm.ec.europa.eu/budgweb/EN/man/budgmanag/Pages/budgmanag.aspx

(66) DD = dotações diferenciadas / DND = dotações não diferenciadas.

(67) EFTA: Associação Europeia de Comércio Livre.

(68) Países candidatos e, se aplicável, países candidatos potenciais dos Balcãs Ocidentais.

(69) O ano N é o do início da aplicação da proposta / iniciativa. Substituir «N» pelo primeiro ano de aplicação previsto (por exemplo: 2021). Proceder do mesmo modo relativamente aos anos seguintes.

(70) Este montante decorre da autorização em 2027 e não constitui um pagamento recorrente. Está incluído no cálculo para o total de 2023-2027.

(71) Assistência técnica e / ou administrativa e despesas de apoio à execução de programas e / ou ações da UE (antigas rubricas «BA»), bem como investigação direta e indireta.

(72) O ano N é o do início da aplicação da proposta / iniciativa. Substituir «N» pelo primeiro ano de aplicação previsto (por exemplo: 2021). Proceder do mesmo modo relativamente aos anos seguintes.

(73) Assistência técnica e / ou administrativa e despesas de apoio à execução de programas e / ou ações da UE (antigas rubricas «BA»), bem como investigação direta e indireta.

(74) As realizações dizem respeito aos produtos fornecidos e aos serviços prestados (por exemplo: número de intercâmbios de estudantes financiados, número de quilómetros de estradas construídas, etc.).

(75) Assistência técnica e / ou administrativa e despesas de apoio à execução de programas e / ou ações da UE (antigas rubricas «BA»), bem como investigação direta e indireta.

(76) Sublimite para o pessoal externo coberto pelas dotações operacionais (antigas rubricas «BA»).

(77) O ano N é o do início da aplicação da proposta / iniciativa. Substituir «N» pelo primeiro ano de aplicação previsto (por exemplo: 2021). Proceder do mesmo modo relativamente aos anos seguintes.

(78) No que diz respeito aos recursos próprios tradicionais (direitos aduaneiros e quotizações sobre o açúcar), as quantias indicadas devem ser apresentadas em termos líquidos, isto é, quantias brutas após dedução de 20 % a título de despesas de cobrança.

Categoria de dados de saúde eletrónicos	Principais características dos dados de saúde eletrónicos incluídos na categoria
1.Resumo de saúde do doente	Dados de saúde eletrónicos que incluem factos clínicos importantes relacionados com uma pessoa identificada e que são essenciais para a prestação de cuidados de saúde seguros e eficientes a essa pessoa. As seguintes informações fazem parte do resumo de saúde do doente: 1.Dados pessoais 2.Informações de contacto 3.Informações sobre seguros 4.Alergias 5.Alertas médicos 6.Informações sobre vacinação/profilaxia, eventualmente sob a forma de um boletim de vacinação 7.Problemas atuais, resolvidos, encerrados ou inativos 8.Informações textuais relacionadas com o historial clínico 9.Dispositivos médicos e implantes 10.Procedimentos 11.Estado funcional 12.Medicamentos atuais e medicamentos anteriores pertinentes 13.Observações sobre o historial social relacionadas com a saúde 14.Historial de gravidez 15.Dados facultados pelo doente 16.Resultados das observações relativas ao estado de saúde 17.Planos de cuidados 18.Informações sobre uma doença rara, por exemplo pormenores sobre o impacto ou as características da doença
2.Receita eletrónica	Dados de saúde eletrónicos que constituem uma receita médica de medicamentos, conforme definida no artigo 3.º, alínea k), da Diretiva 2011/24/UE.
3.Dispensa eletrónica	Informações sobre o fornecimento de um medicamento a uma pessoa singular por uma farmácia com base numa receita eletrónica.
4.Imagiologia e relatório imagiológico	Dados de saúde eletrónicos relacionados com a utilização de tecnologias destinadas a visualizar o corpo humano a fim de prevenir, diagnosticar, monitorizar ou tratar doenças, ou gerados pelas referidas tecnologias.
5.Resultados laboratoriais	Dados de saúde eletrónicos que representam os resultados de estudos realizados, designadamente, através de técnicas de diagnóstico in vitro, como a bioquímica clínica, a hematologia, a medicina transfusional, a microbiologia, a imunologia, entre outros, incluindo, se for caso disso, relatórios de apoio à interpretação dos resultados.
6.Relatório de alta	Dados de saúde eletrónicos relacionados com uma consulta médica ou com um episódio de prestação de cuidados e que incluem informações essenciais sobre a admissão, o tratamento e a alta de uma pessoa singular.