(1)

O presente regulamento tem por objetivo criar o Espaço Europeu de Dados de Saúde («EEDS»), a fim de melhorar o acesso e o controlo pelas pessoas singulares relativamente aos seus dados de saúde eletrónicos pessoais no contexto dos cuidados de saúde, bem como atingir com maior eficácia outros fins relacionados com a utilização de dados de saúde eletrónicos nos sectores dos cuidados de saúde e da prestação de cuidados que possam beneficiar a sociedade, designadamente a investigação, a inovação, a elaboração de políticas, a preparação e resposta a ameaças sanitárias, incluindo a prevenção e combate de futuras pandemias, a segurança dos doentes, a medicina personalizada, as estatísticas oficiais ou as atividades de regulamentação. Além disso, o presente regulamento tem por objetivo melhorar o funcionamento do mercado interno mediante a criação de um regime jurídico e técnico uniforme, em especial para o desenvolvimento, comercialização e utilização de sistemas de registos de saúde eletrónicos («sistemas de RSE») em conformidade com os valores da União. O EEDS será um elemento fundamental da criação de uma União Europeia da Saúde forte e resiliente.

(2)

A pandemia de COVID-19 pôs em evidência o imperativo da disponibilidade de acesso em tempo útil a dados de saúde eletrónicos de qualidade para a preparação e resposta a ameaças sanitárias, bem como para fins de prevenção, diagnóstico, tratamento e utilização secundária de tais dados de saúde eletrónicos. O referido acesso em tempo útil poderá contribuir potencialmente, através de uma vigilância e acompanhamento eficientes em saúde pública, para uma gestão mais eficaz de futuras pandemias, para uma redução dos custos e para uma melhor resposta às ameaças sanitárias e, em última instância, podendo ajudar a salvar mais vidas. Em 2020, a Comissão adaptou com caráter de urgência o seu sistema de gestão clínica dos doentes, criado pela Decisão de Execução (UE) 2019/1269 da Comissão (4), de modo a permitir que os Estados-Membros partilhassem dados de saúde eletrónicos dos doentes com COVID-19 que se deslocassem entre prestadores de cuidados de saúde e entre Estados-Membros durante o pico da referida pandemia. Todavia, tal adaptação constitui apenas uma solução de emergência, demonstrando a necessidade de uma abordagem estrutural e coerente a nível dos Estados-Membros e da União, tanto na melhoria da disponibilidade de dados de saúde eletrónicos para a prestação de cuidados de saúde como na facilitação do acesso a tais dados com vista a orientar respostas políticas eficazes e contribuir para normas estritas no atinente à saúde humana.

(3)

A crise da COVID-19 consolidou fortemente o trabalho da rede de saúde em linha (eHealth Network), uma rede voluntária de autoridades responsáveis pela saúde digital, enquanto pilar fundamental para o desenvolvimento de aplicações de rastreio de contactos e de alerta de contactos para dispositivos móveis e os aspetos técnicos dos Certificados Digitais COVID da UE. Salientou igualmente a necessidade de partilhar dados de saúde eletrónicos fáceis de encontrar, acessíveis, interoperáveis e reutilizáveis («princípios FAIR», do inglês findable, accessible, interoperable and reusable), assegurando ao mesmo tempo que os dados de saúde eletrónicos sejam tão abertos quanto possível, sem deixar de respeitar o princípio da minimização dos dados definido no Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho (5). É importante assegurar sinergias entre o EEDS, a Nuvem Europeia para a Ciência Aberta e as infraestruturas europeias de investigação, e deverão ser retirados ensinamentos das soluções de partilha de dados desenvolvidas no âmbito da plataforma de dados europeia COVID-19.

(4)

Dada a sensibilidade dos dados de saúde eletrónicos pessoais, o presente regulamento procura consagrar suficientes garantias, tanto a nível da União como a nível nacional, para salvaguardar um elevado grau de proteção, segurança, confidencialidade e utilização ética dos dados. Tais garantias são necessárias para promover a confiança no tratamento seguro de dados de saúde eletrónicos das pessoas singulares para utilização primária e utilização secundária na aceção do presente regulamento.

(5)

O tratamento de dados de saúde eletrónicos pessoais está sujeito ao disposto no Regulamento (UE) 2016/679 e, no caso das instituições, órgãos e organismos da União, no Regulamento (UE) 2018/1725 do Parlamento Europeu e do Conselho (6). As referências às disposições do Regulamento (UE) 2016/679 deverão ser entendidas também como referências às disposições correspondentes do Regulamento (UE) 2018/1725 para as instituições, órgãos e organismos da União, sempre que pertinente.

(6)

São cada vez mais pessoas que que vivem na União atravessam as fronteiras nacionais para trabalhar, estudar, visitar familiares ou por outras razões. De modo a facilitar o intercâmbio de dados de saúde, e em consonância com a necessidade de capacitar os cidadãos, deverão os mesmos poder aceder aos seus dados de saúde num formato eletrónico que possa ser reconhecido e aceite em toda a União. Tais dados de saúde eletrónicos pessoais poderão incluir dados pessoais relacionados com a saúde física ou mental de uma pessoa singular, incluindo os relacionados com a prestação de serviços de saúde, e que revelem informações sobre o estado de saúde dessa pessoa singular, dados pessoais relativos às características genéticas hereditárias ou adquiridas de uma pessoa singular que disponibilizem informações únicas sobre a fisiologia ou a saúde dessa pessoa e que resultem, nomeadamente, da análise de uma amostra biológica proveniente da pessoa em causa, bem como dados determinantes da saúde, designadamente comportamentos, influências ambientais e físicas, cuidados médicos, e fatores sociais ou educacionais. Os dados de saúde eletrónicos incluem também dados que foram inicialmente recolhidos para fins de investigação, estatísticos, de avaliação de ameaças sanitárias, de elaboração de políticas ou de regulamentação, devendo ser possível disponibilizá-los de acordo com as regras previstas no presente regulamento. Os dados de saúde eletrónicos consistem em todas as categorias desses dados, independentemente da circunstância de tais dados serem facultados pelo seu titular ou por outras pessoas singulares ou coletivas, como profissionais de saúde, ou de serem tratados em relação à saúde ou ao bem-estar de uma pessoa singular, devendo também incluir dados inferidos e derivados, como diagnósticos, testes e exames médicos, bem como dados observados e registados por meios automatizados.

(7)

Nos sistemas de saúde, os dados de saúde eletrónicos pessoais são, em geral, recolhidos em registos de saúde eletrónicos, abrangendo normalmente o historial clínico, diagnósticos e tratamento, medicação, alergias e vacinas de uma pessoa singular, bem como imagens radiológicas, resultados laboratoriais e outros dados médicos, distribuídos entre diferentes atores do sistema de saúde, como médicos de clínica geral, hospitais, farmácias ou serviços de prestação de cuidados. A fim de permitir o acesso, a partilha e a alteração desses dados de saúde eletrónicos por pessoas singulares ou profissionais de saúde, alguns Estados-Membros tomaram as medidas jurídicas e técnicas necessárias e criaram infraestruturas centralizadas que ligam os sistemas de RSE utilizados pelos prestadores de cuidados de saúde e pelas pessoas singulares. Além disso, alguns Estados-Membros dão apoio aos prestadores de cuidados de saúde públicos e privados na criação de espaços de dados de saúde eletrónicos pessoais para permitir a interoperabilidade entre os diferentes prestadores de cuidados de saúde. Vários Estados-Membros também apoiam ou disponibilizam serviços de acesso aos dados de saúde eletrónicos para doentes e profissionais de saúde, designadamente através de portais do utente ou de profissionais de saúde. Esses Estados-Membros tomaram igualmente medidas para garantir que os sistemas de RSE ou as aplicações de bem-estar possam transmitir dados de saúde eletrónicos ao sistema de RSE central, por exemplo, proporcionando um sistema de certificação. No entanto, nem todos os Estados-Membros criaram esses sistemas e os que os criaram fizeram-no de forma fragmentada. A fim de facilitar a livre circulação de dados de saúde eletrónicos pessoais em toda a União e evitar consequências negativas para os doentes que recebem cuidados de saúde num contexto transfronteiriço, é necessária uma ação da União para melhorar o acesso das pessoas singulares aos seus próprios dados de saúde eletrónicos pessoais e para as capacitar a partilhar esses dados. A este respeito, convém que haja uma ação adequada a nível da União e a nível nacional para reduzir a fragmentação, a heterogeneidade e as clivagens, bem como para criar um sistema de fácil utilização e intuitivo em todos os Estados-Membros. Qualquer transformação digital no sector dos cuidados de saúde deverá ter por objetivo ser inclusiva e beneficiar também as pessoas singulares com capacidade limitada para aceder a serviços digitais e utilizá-los, nomeadamente as pessoas com deficiência.

(8)

O Regulamento (UE) 2016/679 prevê disposições específicas relativas aos direitos das pessoas singulares em relação ao tratamento dos seus dados pessoais. O EEDS baseia-se nesses direitos e complementa alguns deles, quando aplicados aos dados de saúde eletrónicos pessoais. Esses direitos aplicam-se independentemente do Estado-Membro em que os dados de saúde eletrónicos pessoais são tratados, do tipo de prestador de cuidados de saúde, das fontes desses dados ou do Estado-Membro de afiliação da pessoa singular. Os direitos e as regras relacionados com a utilização primária de dados de saúde eletrónicos pessoais ao abrigo do presente regulamento dizem respeito a todas as categorias desses dados, independentemente da forma como foram recolhidos ou de quem os disponibilizou, do fundamento jurídico para o tratamento ao abrigo do Regulamento (UE) 2016/679 ou do estatuto do responsável pelo tratamento como organização pública ou privada. Os direitos adicionais de acesso e de portabilidade dos dados de saúde eletrónicos pessoais previstos no presente regulamento deverão aplicar-se sem prejuízo dos direitos de acesso e de portabilidade previstos no Regulamento (UE) 2016/679. As pessoas singulares continuam a gozar desses direitos nas condições previstas no referido regulamento.

(9)

Embora os direitos conferidos pelo Regulamento (UE) 2016/679 devam continuar a aplicar-se, o direito de acesso aos dados por parte de uma pessoa singular, previsto no Regulamento (UE) 2016/679, deverá ser complementado no sector dos cuidados de saúde. Nos termos desse regulamento, os responsáveis pelo tratamento não são obrigados a facultar o acesso imediato. O direito de acesso aos dados de saúde continua a ser frequentemente aplicado em muitos locais através da disponibilização dos dados de saúde solicitados em papel ou na forma de documentos digitalizados, um processo que é moroso para os responsáveis pelo tratamento, como os hospitais ou outros prestadores de cuidados de saúde que facultem o acesso. Tal situação atrasa o acesso em tempo útil das pessoas singulares aos seus dados de saúde e pode ter um impacto negativo nas mesmas caso necessitem desse acesso imediatamente devido a circunstâncias urgentes decorrentes do seu estado de saúde. Por conseguinte, é necessário proporcionar às pessoas singulares uma forma mais eficiente de acederem aos seus próprios dados de saúde eletrónicos pessoais. Deverão ter o direito de aceder gratuita e imediatamente, respeitando simultaneamente a necessidade de praticabilidade tecnológica, a categorias prioritárias específicas de dados de saúde eletrónicos pessoais, como o resumo de saúde, através de um serviço de acesso aos dados de saúde eletrónicos. Esse direito deverá aplicar-se independentemente do Estado-Membro em que os dados de saúde eletrónicos pessoais são tratados, do tipo de prestador de cuidados de saúde, das fontes desses dados ou do Estado-Membro de afiliação da pessoa singular. O âmbito de aplicação desse direito complementar estabelecido ao abrigo do presente regulamento e as condições do seu exercício diferem em alguns aspetos do direito de acesso aos dados pessoais previsto no Regulamento (UE) 2016/679, que abrange todos os dados pessoais detidos por um responsável pelo tratamento e é exercido contra um único responsável pelo tratamento, o qual dispõe de um mês, no máximo, para responder a um pedido. O direito de acesso aos dados de saúde eletrónicos pessoais ao abrigo do presente regulamento deverá limitar-se às categorias de dados abrangidas pelo seu âmbito de aplicação, ser exercido através de um serviço de acesso a dados de saúde eletrónicos e implicar uma resposta imediata. Os direitos previstos no Regulamento (UE) 2016/679 deverão continuar a aplicar-se, permitindo às pessoas singulares beneficiarem dos seus direitos ao abrigo de ambos os regimes jurídicos, em especial o direito de obter uma cópia em papel dos dados de saúde eletrónicos.

(10)

O acesso imediato de pessoas singulares a determinadas categorias dos seus dados de saúde eletrónicos pessoais poderia ser prejudicial à sua segurança ou eticamente censurável. Por exemplo, pode ser eticamente censurável informar um doente através de um canal eletrónico a respeito do diagnóstico de uma doença incurável suscetível de ser terminal, em lugar de transmitir primeiro essa informação durante uma consulta com o doente. Por conseguinte, deverá ser possível diferir o acesso aos dados de saúde eletrónicos pessoais nessas situações por um período de tempo limitado, por exemplo até ao momento em que o profissional de saúde possa explicar a situação ao doente. Os Estados-Membros deverão poder determinar tais exceções sempre que constituam uma medida necessária e proporcionada numa sociedade democrática, em linha com restrições previstas no artigo 23.o do Regulamento (UE) 2016/679.

(11)

O presente regulamento não afeta as competências dos Estados-Membros em matéria de registo inicial de dados de saúde eletrónicos pessoais, como a sujeição do registo de dados genéticos ao consentimento das pessoas singulares ou a outras garantias. Os Estados-Membros podem exigir que os dados sejam disponibilizados em formato eletrónico antes da aplicação do presente regulamento. Tal não deverá afetar a obrigação de disponibilizar em formato eletrónico os dados de saúde eletrónicos pessoais registados após a data de aplicação do presente regulamento.

(12)

De modo a complementar as informações de que dispõem, as pessoas singulares deverão poder acrescentar dados de saúde eletrónicos aos seus RSE, ou guardar informações adicionais no seu registo de saúde pessoal separado, a que os profissionais de saúde possam aceder. No entanto, as informações inseridas por pessoas singulares poderão não ser tão fiáveis quanto os dados de saúde eletrónicos introduzidos e verificados pelos profissionais de saúde, não tendo o mesmo valor clínico ou jurídico que as informações prestadas por profissionais de saúde. Por isso, os dados acrescentados por pessoas singulares nos seus RSE deverão ser claramente distinguíveis dos dados facultados pelos profissionais de saúde. Essa possibilidade de as pessoas singulares acrescentarem e complementarem dados de saúde eletrónicos pessoais não deverá permitir que as mesmas alterem os dados de saúde eletrónicos pessoais que tenham sido facultados por profissionais de saúde.

(13)

O facto de se permitir que as pessoas singulares acedam mais fácil e rapidamente aos seus dados de saúde eletrónicos pessoais permitir-lhes-á detetar eventuais erros, como informações incorretas ou registos de doentes incorretamente atribuídos. Nesses casos, as pessoas singulares deverão poder solicitar, em linha, a retificação dos dados de saúde eletrónicos pessoais incorretos, imediatamente e sem custos, através de um serviço de acesso aos dados de saúde eletrónicos. Tais pedidos de retificação de dados deverão ser tratados pelos responsáveis pelo tratamento em causa, em conformidade com o Regulamento (UE) 2016/679, com a intervenção, se necessário, de profissionais de saúde que disponham de uma especialização pertinente e sejam responsáveis pelo tratamento das pessoas singulares.

(14)

Nos termos do Regulamento (UE) 2016/679, o direito à portabilidade dos dados está limitado aos dados tratados com base no consentimento ou num contrato e disponibilizados pelo titular dos dados a um responsável pelo tratamento. Além disso, nos termos do mesmo regulamento, as pessoas singulares só têm direito a que os dados pessoais sejam transmitidos diretamente entre os responsáveis pelo tratamento quando tal for tecnicamente possível. No entanto, o Regulamento (UE) 2016/679 não impõe a obrigação de tornar essa transmissão direta tecnicamente possível. O direito à portabilidade dos dados deverá ser complementado ao abrigo do presente regulamento, permitindo que as pessoas singulares possam conceder acesso, pelo menos, a categorias prioritárias dos seus dados de saúde eletrónicos pessoais aos profissionais de saúde da sua escolha, proceder ao intercâmbio de tais dados de saúde com tais profissionais de saúde, bem como a descarregar esses dados de saúde. Além disso, as pessoas singulares deverão ter o direito de solicitar a um prestador de cuidados de saúde que transmita uma parte dos seus dados de saúde eletrónicos a um destinatário claramente identificado no sector da segurança social ou dos serviços de reembolso. Essa transmissão deverá ser feita num único sentido.

(15)

O regime previsto no presente regulamento deverá basear-se no direito à portabilidade dos dados estabelecido no Regulamento (UE) 2016/679, assegurando que as pessoas singulares, enquanto titulares de dados, possam transmitir os seus dados de saúde eletrónicos pessoais, incluindo os dados inferidos no formato europeu de intercâmbio de registos de saúde eletrónicos, independentemente do fundamento jurídico para o tratamento dos dados de saúde eletrónicos. Os profissionais de saúde deverão abster-se de impedir a aplicação dos direitos das pessoas singulares, por exemplo recusando-se a ter em conta dados de saúde eletrónicos pessoais provenientes de outro Estado-Membro e transmitidos através do formato europeu interoperável e fiável de intercâmbio de registos de saúde eletrónicos.

(16)

O acesso aos registos de saúde eletrónicos pessoais por prestadores de cuidados de saúde ou outras pessoas deverá ser transparente para as pessoas singulares em causa. Os serviços de acesso aos dados de saúde eletrónicos deverão prestar informações pormenorizadas sobre o acesso aos dados, nomeadamente que entidade ou pessoa singular acedeu a esses dados e quando e quais os dados que foram acedidos. Além disso, as pessoas singulares deverão poder ativar ou desativar as notificações automáticas sobre o acesso aos dados de saúde eletrónicos pessoais relativos às mesmas através dos serviços de acesso dos profissionais de saúde.

(17)

As pessoas singulares poderão não querer permitir o acesso a algumas partes dos seus dados de saúde eletrónicos pessoais, mas permitir o acesso a outras partes. Tal poderá ser particularmente relevante no caso de problemas de saúde sensíveis, como os que digam respeito à saúde mental ou sexual, de intervenções sensíveis, como o aborto, ou de dados sobre medicamentos específicos suscetíveis de revelar outros problemas delicados. Esta partilha seletiva de dados de saúde eletrónicos pessoais deverá, por isso, ser apoiada e concretizada através de restrições definidas pela pessoa singular em causa de igual modo no território de um certo Estado-Membro e em situações de partilha transfronteiriça de dados. Essas restrições deverão permitir um nível de granularidade suficiente para restringir partes dos conjuntos de dados, tais como os elementos dos resumos de saúde. Antes de definirem as restrições, as pessoas singulares deverão ser informadas dos riscos para a segurança do doente decorrentes das limitações de acesso aos dados de saúde. Uma vez que a indisponibilidade dos dados de saúde eletrónicos pessoais objeto de restrições pode afetar a prestação ou a qualidade dos serviços de saúde prestados à pessoa singular, as pessoas singulares que recorram a tais restrições de acesso deverão assumir a responsabilidade pelo facto de o prestador de cuidados de saúde não poder ter em conta os dados quando presta serviços de saúde. As restrições relativamente ao acesso aos dados de saúde eletrónicos pessoais poderão ter consequências suscetíveis de constituir uma ameaça para a vida e, por conseguinte, o acesso a esses dados deverá, no entanto, ser possível sempre que necessário para proteger interesses vitais em situações de emergência. Os Estados-Membros poderão prever no respetivo direito nacional disposições jurídicas mais específicas sobre os mecanismos relativos às restrições aplicadas por pessoas singulares sobre partes dos seus dados de saúde eletrónicos pessoais, em especial no que respeita à responsabilidade médica nos casos em que as restrições tenham sido aplicadas pela pessoa singular em causa.

(18)

Além disso, tendo em conta as diferentes sensibilidades entre os Estados-Membros no que respeita ao grau de controlo dos doentes sobre os seus dados de saúde, os Estados-Membros deverão poder prever um direito absoluto de oposição do acesso aos seus dados de saúde eletrónicos pessoais por parte de qualquer pessoa que não o responsável pelo tratamento inicial, sem qualquer possibilidade de revogar tal oposição em situações de emergência. Em tais casos, os Estados-Membros deverão definir as regras e salvaguardas específicas relativas a esses mecanismos de oposição. Essas regras e salvaguardas específicas também poderão estar associadas a categorias específicas de dados de saúde eletrónicos pessoais, como, por exemplo, os dados genéticos. O direito de oposição implica que os dados de saúde eletrónicos pessoais das pessoas singulares que exercem esse direito não serão disponibilizados através dos serviços criados ao abrigo do EEDS a outras entidades que não o prestador de cuidados de saúde que prestou o tratamento. Os Estados-Membros deverão poder exigir o registo e o armazenamento dos dados de saúde eletrónicos pessoais num sistema de RSE utilizado pelo prestador de cuidados de saúde que prestou os serviços de saúde e ao qual apenas esse prestador de cuidados de saúde tenha acesso. Se uma pessoa singular tiver exercido o direito de oposição, os prestadores de cuidados de saúde continuarão a documentar o tratamento prestado de acordo com as regras aplicáveis e poderão aceder aos dados por si registados. As pessoas singulares que exercerem o direito de oposição deverão ter a possibilidade de revogar a sua decisão. Nesses casos, é possível que os dados de saúde eletrónicos pessoais gerados durante o período da oposição não fiquem disponíveis através dos serviços de acesso e de «A minha saúde @ UE» (MyHealth@EU).

(19)

O acesso pleno e em tempo útil pelos profissionais de saúde aos registos médicos dos doentes é fundamental para assegurar a continuidade dos cuidados e evitar duplicações e erros. Contudo, perante uma falta de interoperabilidade, em muitos casos, os profissionais de saúde não têm acesso aos registos médicos completos dos seus doentes e não podem tomar as melhores decisões médicas para o seu diagnóstico e tratamento, o que implica um acréscimo considerável de custos tanto para os sistemas de saúde como para as pessoas singulares, podendo conduzir a piores resultados em termos de saúde para as pessoas singulares. Os dados de saúde eletrónicos disponibilizados em formato interoperável e que podem ser transmitidos entre prestadores de cuidados de saúde, também podem reduzir os encargos administrativos para os profissionais de saúde decorrentes da introdução manual ou cópia de dados de saúde entre sistemas eletrónicos. Por conseguinte, os profissionais de saúde deverão dispor de meios eletrónicos adequados, como dispositivos eletrónicos e portais de profissionais de saúde ou outros serviços de acesso dos profissionais de saúde, que lhes permitam utilizar dados de saúde eletrónicos pessoais no exercício das suas funções. Uma vez que é difícil determinar antecipadamente e de forma exaustiva que dados existentes nas categorias prioritárias são medicamente relevantes em cada episódio de cuidados, os profissionais de saúde deverão gozar de um acesso a dados abrangente. Quando acedem aos dados relativos aos seus doentes, os profissionais de saúde deverão cumprir o direito aplicável, os códigos de conduta, as normas deontológicas ou outras disposições que regem a conduta ética no que respeita à partilha ou ao acesso às informações, nomeadamente em situações extremas ou em que o doente corra perigo de vida. Em conformidade com o Regulamento (UE) 2016/679, de modo a limitar o seu acesso ao que é relevante num episódio específico de cuidados, os prestadores de cuidados de saúde deverão respeitar o princípio da minimização dos dados quando acedem a dados de saúde eletrónicos pessoais, limitando os dados consultados aos dados estritamente necessários e justificados para um determinado serviço. A prestação de serviços de acesso a profissionais de saúde é uma função atribuída em prol do interesse público pelo presente regulamento e o desempenho dessa função requer o tratamento de dados pessoais, tal como referido o artigo 6.o, n.o 1, alínea e), do Regulamento (UE) 2016/679. O presente regulamento prevê condições e salvaguardas para o tratamento de dados de saúde eletrónicos pelos serviços de acesso dos profissionais de saúde, nos termos do artigo 9.o, n.o 2, alínea h), do Regulamento (UE) 2016/679, nomeadamente disposições pormenorizadas no que diz respeito ao registo do acesso aos dados de saúde eletrónicos pessoais e que visam proporcionar transparência aos titulares dos dados. No entanto, o presente regulamento não deverá prejudicar o direito nacional respeitante ao tratamento de dados de saúde para efeitos de prestação de cuidados de saúde, incluindo o direito nacional que determina categorias de profissionais de saúde habilitados a tratar diferentes categorias de dados de saúde eletrónicos.

(20)

A fim de facilitar o exercício dos direitos complementares de acesso e de portabilidade previstos no presente regulamento, os Estados-Membros deverão criar um ou mais serviços de acesso aos dados de saúde eletrónicos. Esses serviços poderão ser prestados a nível nacional ou regional, ou por prestadores de cuidados de saúde, sob a forma de um portal do utente em linha, de uma aplicação para dispositivos móveis ou de outros meios. Deverão ser concebidos de forma a serem acessíveis, nomeadamente para as pessoas com deficiência. A prestação de tais serviços para que as pessoas singulares possam aceder facilmente aos seus dados de saúde eletrónicos pessoais constitui um interesse público importante. O tratamento de dados de saúde eletrónicos pessoais através desses serviços é necessário para o desempenho das funções atribuídas pelo presente regulamento na aceção do artigo 6.o, n.o 1, alínea e), e do artigo 9.o, n.o 2, alínea g), do Regulamento (UE) 2016/679. O presente regulamento prevê as condições e as salvaguardas necessárias para o tratamento de dados de saúde eletrónicos nos serviços de acesso aos dados de saúde eletrónicos, como, por exemplo, a identificação eletrónica das pessoas singulares que acedem a esses serviços.

(21)

As pessoas singulares deverão poder conceder uma autorização a outras pessoas singulares da sua escolha, como familiares ou outras pessoas singulares próximas, por forma a permitir a essas pessoas da sua escolha aceder ou controlar o acesso aos dados de saúde eletrónicos pessoais das pessoas singulares que concederem a autorização ou utilizar serviços de saúde digitais em seu nome. Tais autorizações também poderão ser convenientes para outras utilizações por parte das pessoa singulares a quem seja concedida uma tal autorização. Para permitir e pôr em prática as referidas autorizações, os Estados-Membros deverão criar serviços de representação, os quais deverão estar ligados a serviços de acesso a dados de saúde eletrónicos pessoais como portais do utente ou aplicações para dispositivos móveis destinadas aos doentes. Esses serviços de representação deverão também permitir que os tutores atuem em nome dos seus dependentes, incluindo menores; nestas situações, as autorizações poderão ser automáticas. Além desses serviços de representação, os Estados-Membros deverão também criar serviços de apoio facilmente acessíveis a serem prestados por pessoal devidamente formado para as ajudar as pessoas naturais ao exercerem os seus direitos. A fim de ter em conta os casos em que a apresentação de determinados dados de saúde eletrónicos pessoais de pessoas dependentes aos seus tutores possa ser contrária aos interesses ou à vontade dos dependentes, incluindo menores, os Estados-Membros deverão poder prever, no direito nacional, tais limitações e salvaguardas, bem como os mecanismos para a sua aplicação técnica. Os serviços de acesso a dados de saúde eletrónicos pessoais, como os portais do utente ou as aplicações para dispositivos móveis destinadas aos doentes, deverão utilizar essas autorizações e permitir, deste modo, o acesso de pessoas singulares autorizadas aos dados de saúde eletrónicos pessoais abrangidos pelo âmbito da autorização. A fim de garantir uma solução horizontal que seja mais fácil de utilizar, as soluções de procuração digital deverão ser alinhadas pelo Regulamento (UE) n.o 910/2014 do Parlamento Europeu e do Conselho (7) e pelas especificações técnicas da carteira europeia de identidade digital. Tal alinhamento iria contribuir para reduzir os encargos administrativos e financeiros para os Estados-Membros, reduzindo o risco de criação de sistemas paralelos que não sejam interoperáveis em toda a União.

(22)

Em alguns Estados-Membros, os cuidados de saúde são prestados por equipas de gestão de cuidados primários, que são grupos de profissionais de saúde dedicados aos cuidados primários, tais como médicos de clínica geral que realizam as suas atividades de cuidados primários com base num plano de cuidados de saúde por eles elaborado. Existem também outros tipos de equipas de cuidados de saúde em vários Estados-Membros para efeitos de prestação de outros cuidados. No âmbito da utilização primária no EEDS, deverá ser concedido acesso aos profissionais de saúde que façam parte dessas equipas.

(23)

As autoridades de controlo criadas nos termos do Regulamento (UE) 2016/679 são responsáveis por controlar a aplicação e executar do referido regulamento, em especial por controlar o tratamento de dados de saúde eletrónicos pessoais e tratar de eventuais reclamações apresentadas pelas pessoas singulares em causa. O presente regulamento prevê direitos adicionais para as pessoas singulares relativamente à utilização primária, que vão além dos direitos de acesso e de portabilidade consagrados no Regulamento (UE) 2016/679, complementando-os. Uma vez que direitos adicionais também deverão ser aplicados pelas autoridades de controlo criadas nos termos do Regulamento (UE) 2016/679, os Estados-Membros deverão garantir que essas autoridades de controlo disponham dos recursos financeiros e humanos, das instalações e das infraestruturas necessárias para o desempenho eficaz dessas atribuições suplementares. A autoridade ou as autoridades de controlo responsáveis por controlar o tratamento de dados de saúde eletrónicos pessoais para utilização primária e velar por que seja realizado em conformidade com o presente regulamento deverão dispor de competências para aplicar coimas. O sistema jurídico da Dinamarca não permite a aplicação de coimas tal como são definidas no presente regulamento. As regras relativas às coimas podem ser aplicadas de modo que, na Dinamarca, as coimas sejam impostas pelos tribunais nacionais competentes como sanção penal, na condição de que essa aplicação das regras tenha um efeito equivalente às coimas impostas pelas autoridades de controlo. Em todo o caso, as coimas impostas deverão ser efetivas, proporcionadas e dissuasivas.

(24)

Na aplicação do presente regulamento, os Estados-Membros devem esforçar-se por respeitar os princípios éticos, como os princípios europeus para a ética da saúde digital, adotados pela rede de saúde em linha em 26 de janeiro de 2022, e o princípio da confidencialidade no relacionamento entre profissionais de saúde e doentes. Reconhecendo a importância dos princípios éticos, os princípios éticos europeus para a saúde digital disponibilizam orientações aos profissionais, investigadores, inovadores, decisores políticos e reguladores.

(25)

A pertinência das diferentes categorias de dados de saúde eletrónicos para diferentes cenários de cuidados de saúde varia. Por outro lado, as diferentes categorias alcançaram diferentes níveis de maturidade no que diz respeito à normalização, pelo que a aplicação de mecanismos para o seu intercâmbio pode ser mais ou menos complexa em função da categoria. Por conseguinte, a melhoria da interoperabilidade e da partilha de dados deverá ser gradual, sendo necessário definir prioridades para certas categorias de dados de saúde eletrónicos. A rede de saúde em linha selecionou categorias de dados de saúde eletrónicos, tais como o resumos de saúde, a receitas e dispensas eletrónicas„ os estudos de imagiologia médica e os relatórios de imagiologia conexos, os resultados de exames médicos — como os resultados laboratoriais e respetivos relatórios — e as notas de alta, como as mais relevantes para a maioria das situações de cuidados de saúde, sendo estas as categorias que deverão ser consideradas prioritárias para que os Estados-Membros disponibilizem o acesso às mesmas e a sua transmissão. Quando essas categorias prioritárias de dados representem grupos de dados de saúde eletrónicos, o presente regulamento deverá aplicar-se não só aos grupos no seu conjunto, mas também às entradas de dados individuais incluídas nesses grupos. Por exemplo, uma vez que o estado de vacinação faz parte do resumo de saúde, os direitos e os requisitos associados ao resumo de saúde deverão também aplicar-se a esse estado de vacinação, mesmo que seja tratado à parte do resumo de saúde no seu conjunto. Sempre que forem identificadas novas necessidades para o intercâmbio de categorias adicionais de dados de saúde eletrónicos para fins de cuidados de saúde, o acesso a essas categorias adicionais e o seu intercâmbio deverão ser permitidos nos termos do presente regulamento. As categorias adicionais deverão começar por ser aplicadas a nível dos Estados-Membros e o intercâmbio, a título voluntário, dessas categorias de dados em situações transfronteiriças entre Estados-Membros cooperantes deverá ser previsto no presente regulamento. Deverá ser dada especial atenção ao intercâmbio de dados em regiões fronteiriças dos Estados-Membros vizinhos onde a prestação de serviços de saúde transfronteiriços é mais frequente e requer procedimentos ainda mais céleres do que a nível da União em geral.

(26)

O nível de disponibilidade de dados de saúde pessoais e genéticos em formato eletrónico varia entre os Estados-Membros. O EEDS deverá facilitar às pessoas singulares a obtenção desses dados em formato eletrónico e um melhor controlo sobre o acesso e partilha dos seus dados de saúde eletrónicos pessoais. Tal contribuiria igualmente para a consecução da meta de facultar a 100 % dos cidadãos da União o acesso aos seus registos de saúde eletrónicos até 2030, a que se refere a Decisão (UE) 2022/2481 do Parlamento Europeu e do Conselho (8). A fim de tornar os dados de saúde eletrónicos acessíveis e transmissíveis, esses dados deverão ser acedidos e transmitidos num formato europeu comum e interoperável de intercâmbio de registos de saúde eletrónicos, pelo menos para determinadas categorias de dados de saúde eletrónicos, como os resumos de saúde, as receitas e dispensas eletrónicas, os estudos de imagiologia médica e os relatórios de imagiologia conexos, os resultados de exames médicos e os relatórios de alta, sujeitos a períodos de transição. Quando os dados de saúde eletrónicos pessoais são disponibilizados a um prestador de cuidados de saúde ou a uma farmácia por uma pessoa singular, ou são transmitidos por outro responsável pelo tratamento no formato europeu de intercâmbio de registos de saúde eletrónicos, esse formato deverá ser aceite e o destinatário deverá poder ler os dados e utilizá-los para a prestação de cuidados de saúde ou para a dispensa de um medicamento, apoiando assim a prestação dos serviços de cuidados de saúde ou a dispensa da receita eletrónica. O formato europeu de intercâmbio de registos de saúde eletrónicos deve ser concebido de forma a facilitar, tanto quanto possível, a tradução dos dados de saúde eletrónicos comunicados através desse formato para as línguas oficiais da União. A Recomendação (UE) 2019/243 da Comissão (9) prevê as bases para esse formato europeu comum de intercâmbio de registos de saúde eletrónicos. A interoperabilidade do EEDS deverá contribuir para assegurar conjuntos de dados de saúde europeus de elevada qualidade. A utilização de um formato europeu de intercâmbio de registos de saúde eletrónicos deverá tornar-se mais generalizada a nível da União e a nível nacional. O formato europeu de intercâmbio de registos de saúde eletrónicos poderá permitir perfis diferentes para a sua utilização em sistemas de RSE e por pontos de contacto nacionais para a saúde digital em «A minha saúde @ UE» para o intercâmbio transfronteiriço de dados.

(27)

Embora os sistemas de RSE estejam amplamente disseminados, o nível de digitalização dos dados de saúde varia nos Estados-Membros em função das categorias de dados e da cobertura dos prestadores de cuidados de saúde que registam dados de saúde em formato eletrónico. A fim de apoiar a aplicação dos direitos dos titulares dos dados em matéria de acesso e intercâmbio de dados de saúde eletrónicos, é necessária uma ação da União para evitar uma maior fragmentação. De modo a contribuir para uma elevada qualidade e continuidade dos cuidados de saúde, determinadas categorias de dados de saúde deverão ser sistematicamente registadas em formato eletrónico e em conformidade com requisitos específicos de qualidade. O formato europeu de intercâmbio de registos de saúde eletrónicos deverá constituir a base para as especificações relacionadas com o registo e o intercâmbio de dados de saúde eletrónicos.

(28)

A telemedicina está a tornar-se um instrumento cada vez mais importante que permite aos doentes ter acesso aos cuidados de saúde e combater as desigualdades. Tem potencial para reduzir as desigualdades no domínio da saúde e reforçar a livre circulação transfronteiras dos cidadãos da União. As ferramentas digitais e outras ferramentas tecnológicas podem facilitar a prestação de cuidados em regiões remotas. Quando os serviços digitais acompanham a prestação presencial de um serviço de saúde, o serviço digital deverá ser incluído na prestação geral de cuidados. Nos termos do artigo 168.o do Tratado sobre o Funcionamento da União Europeia (TFUE), os Estados-Membros são responsáveis pela sua política de saúde, nomeadamente pela organização e prestação de serviços de saúde e de cuidados médicos, incluindo a regulamentação de atividades como as farmácias em linha, a telemedicina e outros serviços que prestam e a que prestam reembolso, em conformidade com a sua legislação nacional. No entanto, as diferentes políticas de cuidados de saúde não deverão constituir barreiras à livre circulação de dados de saúde eletrónicos no contexto da prestação de cuidados de saúde transfronteiriços, como por exemplo a telemedicina e os serviços farmacêuticos em linha.

(29)

O Regulamento (UE) n.o 910/2014 prevê as condições em que os Estados-Membros procedem à identificação das pessoas singulares em situações transfronteiriças através de meios de identificação emitidos por outro Estado-Membro, prevendo regras para o reconhecimento mútuo desses meios de identificação eletrónicos. O EEDS exige um acesso seguro aos dados de saúde eletrónicos, incluindo em situações transfronteiriças. Os serviços de acesso aos dados de saúde eletrónicos e os serviços de telemedicina deverão permitir que as pessoas singulares exerçam os seus direitos, independentemente do seu Estado-Membro de afiliação, e, por isso, facilitar a identificação de pessoas singulares através de qualquer meio de identificação eletrónica reconhecido nos termos do Regulamento (UE) n.o 910/2014. Dada a possibilidade de desafios em matéria de correspondência de identidade em situações transfronteiriças, poderá ser necessário que os Estados-Membros disponibilizem mecanismos de acesso complementares, como fichas ou códigos, às pessoas singulares que cheguem de outros Estados-Membros e recebam cuidados de saúde. A Comissão deverá ficar habilitada a adotar atos de execução para a determinar os requisitos da identificação e autenticação interoperáveis e transfronteiriças de pessoas singulares e profissionais de saúde, incluindo os mecanismos complementares necessários para garantir que as pessoas singulares possam exercer os seus direitos relacionados com dados de saúde eletrónicos pessoais em situações transfronteiriças.

(30)

Os Estados-Membros deverão designar autoridades de saúde digital competentes para o planeamento e a aplicação de normas relativas ao acesso e à transmissão dos dados de saúde eletrónicos e à aplicação dos direitos das pessoas singulares e dos profissionais de saúde, sob a forma de organismos independentes ou como parte de autoridades existentes. O pessoal da autoridade de saúde digital não deverá ter interesses financeiros, ou de outra natureza, em indústrias ou atividades económicas que possam comprometer a sua imparcialidade. Na maioria do Estados-Membros, já existem autoridades de saúde digital, que se ocupam de questões como os RSE, a interoperabilidade, a segurança ou a normalização. No exercício das suas funções, as autoridades de saúde digital deverão cooperar, nomeadamente, com as autoridades de controlo criadas nos termos do Regulamento (UE) 2016/679 e com os organismos de supervisão criadas nos termos do Regulamento (UE) n.o 910/2014. As autoridades de saúde digital podem igualmente cooperar com o Comité Europeu para a Inteligência Artificial, criado nos termos do Regulamento (UE) 2024/1689 do Parlamento Europeu e do Conselho (10), com o Grupo de Coordenação dos Dispositivos Médicos, criado pelo o Regulamento (UE) 2017/745 do Parlamento Europeu e do Conselho (11), com o Comité Europeu da Inovação de Dados, criado nos termos do Regulamento (UE) 2022/868 do Parlamento Europeu e do Conselho (12) e as autoridades competentes ao abrigo do Regulamento (UE) 2023/2854 do Parlamento Europeu e do Conselho (13). Os Estados-Membros deverão facilitar a participação dos intervenientes nacionais na cooperação a nível da União, a transmissão de conhecimentos especializados e a prestação de aconselhamento sobre a conceção das soluções necessárias para alcançar os objetivos do EEDS.

(31)

Sem prejuízo de qualquer outra via de recurso administrativo ou extrajudicial, qualquer pessoa singular ou coletiva deverá ter o direito de intentar uma ação judicial contra as decisões juridicamente vinculativas da autoridade de saúde digital que lhes digam respeito ou caso uma autoridade de saúde digital não atender à reclamação ou não informar a pessoa singular ou coletiva, no prazo de três meses, da evolução ou do resultado da reclamação. A ação contra uma autoridade de saúde digital deverá ser interposta junto dos tribunais dos Estados-Membros onde está estabelecida a autoridade de saúde digital.

(32)

As autoridades de saúde digital deverão dispor de competências técnicas suficientes, possivelmente mediante a reunião de peritos de diferentes organizações. As atividades das autoridades de saúde digital deverão ser bem planeadas e acompanhadas, a fim de assegurar a sua eficiência. As autoridades de saúde digital deverão tomar as medidas necessárias para proteger os direitos das pessoas singulares através da criação de soluções técnicas nacionais, regionais e locais, tais como RSE nacionais, soluções de intermediação e portais do utente. Ao tomar tais medidas de proteção, as autoridades de saúde digital deverão aplicar normas e especificações comuns nessas soluções, promover a aplicação das normas e especificações nos procedimentos de adjudicação de contratos públicos e utilizar outros meios inovadores, incluindo o reembolso de soluções que cumpram os requisitos de interoperabilidade e segurança do EEDS. Os Estados-Membros deverão velar pela realização de iniciativas de formação adequadas. Em particular, os profissionais de saúde deverão ser informados e formados no que diz respeito aos seus direitos e às suas obrigações ao abrigo do presente regulamento. Para desempenharem as suas funções, as autoridades de saúde digital deverão cooperar a nível da União e a nível nacional com outras entidades, incluindo organismos de seguros, prestadores de cuidados de saúde, profissionais de saúde, fabricantes de sistemas de RSE e de aplicações de bem-estar, bem como com outras partes interessadas do sector da saúde ou das tecnologias da informação, as entidades responsáveis pelos sistemas de reembolso, os organismos de avaliação das tecnologias da saúde, as autoridades e agências reguladoras dos medicamentos, as autoridades responsáveis por dispositivos médicos, os compradores e as autoridades de cibersegurança ou de identificação eletrónica.

(33)

O acesso e a transmissão de dados de saúde eletrónicos são relevantes em situações de cuidados de saúde transfronteiriços, dado que podem apoiar a continuidade dos cuidados de saúde quando as pessoas singulares viajam para outros Estados-Membros ou mudam de local de residência. A continuidade dos cuidados e o rápido acesso aos dados de saúde eletrónicos pessoais são ainda mais importantes para os residentes nas regiões fronteiriças, que atravessam frequentemente a fronteira para obter cuidados de saúde. Em muitas regiões fronteiriças, alguns serviços de saúde especializados poderão estar mais próximos do outro lado da fronteira do que no mesmo Estado-Membro. É necessária uma infraestrutura para a transmissão transfronteiriça de dados de saúde eletrónicos pessoais em situações em que uma pessoa singular utilize os serviços de um prestador de cuidados de saúde estabelecido noutro Estado-Membro. A expansão gradual dessas infraestruturas e o seu financiamento deverão ser considerados. Foi criada para esse efeito uma infraestrutura voluntária, «A minha saúde @ UE», no âmbito das ações para alcançar os objetivos definidos na Diretiva 2011/24/UE do Parlamento Europeu e do Conselho (14). Através de «A minha saúde @ UE», os Estados-Membros começaram a facultar às pessoas singulares a possibilidade de partilharem os seus dados de saúde eletrónicos pessoais com os prestadores de cuidados de saúde quando viajam para o estrangeiro. Com base nessa experiência, a participação dos Estados-Membros na «A minha saúde @ UE», conforme prevista no presente regulamento, deverá ser obrigatória. As especificações técnicas para a «A minha saúde @ UE» deverão permitir o intercâmbio de categorias prioritárias de dados de saúde eletrónicos e de categorias adicionais suportadas pelo formato europeu de intercâmbio de registos de saúde eletrónicos. Essas especificações deverão ser estabelecidas por meio de atos de execução e basear-se nas especificações transfronteiriças do formato europeu de intercâmbio de registos de saúde eletrónicos, complementadas por outras especificações em matéria de cibersegurança, de interoperabilidade técnica e semântica, de operações e de gestão de serviços. Os Estados-Membros deverão ser obrigados a aderir à «A minha saúde @ UE», a cumprir as suas especificações técnicas e a conectar os prestadores de cuidados de saúde, incluindo as farmácias, à mesma, uma vez que tal é necessário para permitir que as pessoas singulares exerçam os seus direitos, ao abrigo do presente regulamento, de aceder e utilizar os seus dados de saúde eletrónicos pessoais, independentemente do Estado-Membro em que se encontrem.

(34)

A «A minha saúde @ UE» disponibiliza uma infraestrutura comum para que os Estados-Membros assegurem a conectividade e a interoperabilidade de uma forma eficiente e segura, no intuito de apoiar a prestação de cuidados de saúde transfronteiriços, sem comprometer as responsabilidades dos Estados-Membros antes e depois da transmissão de dados de saúde eletrónicos pessoais através da infraestrutura. A organização dos pontos de contacto nacionais para a saúde digital e o tratamento de dados pessoais para efeitos da prestação de cuidados de saúde antes e depois da transmissão desses dados através da «A minha saúde @ UE» são da responsabilidade dos Estados-Membros. A Comissão deverá fiscalizar, mediante verificações de conformidade, a conformidade dos pontos de contacto nacionais para a saúde digital com os requisitos necessários relativos ao desenvolvimento técnico de «A minha saúde @ UE», bem como com regras pormenorizadas relativas à segurança, confidencialidade e proteção dos dados de saúde eletrónicos pessoais. Em caso de incumprimento grave por parte de um ponto de contacto nacional para a saúde digital, a Comissão deverá ter a possibilidade de suspender os serviços prestados por esse ponto de contacto nacional para a saúde digital que sejam afetados pelo incumprimento. No âmbito da «A minha saúde @ UE», a Comissão deverá agir na qualidade de subcontratante em nome dos Estados-Membros e prestar serviços centrais para o efeito. A fim de assegurar o cumprimento das regras em matéria de proteção de dados e de proporcionar um modelo de gestão dos riscos para a transmissão de dados de saúde eletrónicos pessoais, as responsabilidades específicas dos Estados-Membros enquanto responsáveis conjuntos pelo tratamento e as obrigações da Comissão enquanto subcontratante em seu nome deverão ser especificadas por meio de atos de execução. Cada Estado-Membro é exclusivamente responsável pelos dados e serviços nesse Estado-Membro. O presente regulamento constitui a base jurídica para o tratamento de dados de saúde eletrónicos pessoais na «A minha saúde @ UE» enquanto função de interesse público atribuída pelo direito da União a que se refere o artigo 6.o, n.o 1, alínea e), do Regulamento (UE) 2016/679. Esse tratamento é necessário para a prestação de cuidados de saúde em situações transfronteiriças, conforme referido no artigo 9.o, n.o 2, alínea h), do referido regulamento.

(35)

Para além dos serviços no âmbito de «A minha saúde @ UE» para o intercâmbio de dados de saúde eletrónicos pessoais com base no formato europeu de intercâmbio de registos de saúde eletrónicos, podem ser necessários outros serviços ou infraestruturas suplementares, nomeadamente em casos de emergência de saúde pública ou quando a arquitetura de «A minha saúde @ UE» se revele inadequada para a implementação de alguns casos de uso. São exemplos desses casos de utilização o apoio às funcionalidades do boletim de vacinação, incluindo o intercâmbio de informações sobre planos de vacinação, ou a verificação de certificados de vacinação ou outros certificados de saúde. Tais casos de uso adicionais seriam importantes também para a introdução de funcionalidades adicionais destinadas a fazer face a crises de saúde pública, como o apoio ao rastreio de contactos para efeitos de contenção de doenças infecciosas. A «A minha saúde @ UE» deverá apoiar o intercâmbio de dados de saúde eletrónicos pessoais com pontos de contacto nacionais para a saúde digital de países terceiros pertinentes e sistemas criados a nível internacional por organizações internacionais, a fim de contribuir para a continuidade dos cuidados de saúde. Tal é particularmente relevante para os indivíduos que viagem de e para países terceiros vizinhos, para países candidatos e para países e territórios ultramarinos associados. A ligação de tais pontos de contacto nacionais para a saúde digital de países terceiros com a «A minha saúde @ UE» e a interoperabilidade com sistemas digitais criados a nível internacional por organizações internacionais deverá ser sujeita a uma verificação que assegure a conformidade desses pontos de contacto e sistemas digitais com as especificações técnicas, as regras de proteção de dados e outros requisitos de «A minha saúde @ UE». Além disso, uma vez que a ligação à «A minha saúde @ UE» implicará transferências de dados de saúde eletrónicos pessoais para países terceiros, como, por exemplo, a partilha do resumo de saúde de um doente quando esse doente procure cuidados num país terceiro, terão de existir instrumentos de transferência pertinentes, ao abrigo do capítulo V do Regulamento (UE) 2016/679. A Comissão deverá ficar habilitada a adotar atos de execução para facilitar a ligação desses pontos de contacto nacionais para a saúde digital de países terceiros e sistemas criados a nível internacional por organizações internacionais à «A minha saúde @ UE». Na elaboração dos referidos atos de execução, a Comissão deverá ter em conta os interesses nacionais dos Estados-Membros em matéria de segurança.

(36)

A fim de permitir o intercâmbio contínuo de dados de saúde eletrónicos e assegurar o respeito pelos direitos das pessoas singulares e dos profissionais de saúde, os sistemas de RSE comercializados no mercado interno deverão poder conservar e transmitir, de forma segura, dados de saúde eletrónicos de elevada qualidade. Este é um objetivo fundamental do EEDS destinado a assegurar a livre circulação de dados de saúde eletrónicos em toda a União. Para esse efeito, deverá ser criado um sistema obrigatório de autoavaliação de conformidade para os sistemas de RSE que tratem uma ou mais categorias prioritárias de dados de saúde eletrónicos, a fim de debelar a fragmentação do mercado, assegurando ao mesmo tempo uma abordagem proporcionada. Através da autoavaliação, os sistemas de RSE farão prova da conformidade com os requisitos de interoperabilidade, segurança e registo para comunicação dos dados de saúde eletrónicos pessoais estabelecidos pelos dois componentes de software obrigatórios do RSE harmonizados pelo presente regulamento, a saber, o componente de software europeu de interoperabilidade para sistemas de RSE e o componente de software europeu de registo para sistemas de RSE («componentes de software harmonizados dos sistemas de RSE»). Os componentes de software harmonizados dos sistemas de RSE dizem principalmente respeito à transformação de dados, embora possam implicar a necessidade de requisitos indiretos para o registo de dados e a apresentação de dados nos sistemas de RSE. As especificações técnicas para os componentes de software harmonizados dos sistemas de RSE deverão ser determinadas por meio de atos de execução e deverão basear-se na utilização do formato europeu de intercâmbio de registos de saúde eletrónicos. Os componentes de software harmonizados dos sistemas de RSE deverão ser concebidos de modo a serem reutilizáveis e integrados sem problemas com outros componentes num sistema de software mais amplo. Os requisitos de segurança dos componentes de software harmonizados dos sistemas de RSE deverão abranger elementos específicos dos sistemas de RSE, uma vez que as propriedades de segurança mais gerais deverão ser apoiadas por outros mecanismos, tais como os mecanismos ao abrigo do Regulamento (UE) 2024/2847 do Parlamento Europeu e do Conselho (15). Para apoiar esse processo, deverão ser criados ambientes de ensaio digitais europeus que disponibilizem meios automatizados para testar se o funcionamento dos componentes de software harmonizados de um sistema de RSE funcionam em conformidade com os requisitos previstos no presente regulamento. Para o efeito, deverão ser atribuídas competências de execução à Comissão para determinar as especificações comuns para esses ambientes. A Comissão deverá desenvolver o software necessário para criar os ambientes de ensaio e disponibilizá-los como software de código-fonte aberto. Os Estados-Membros deverão ser responsáveis por explorar estes ambientes de ensaio digital, uma vez que têm uma maior proximidade com os fabricantes e estão numa melhor posição para lhes prestar apoio. Os fabricantes deverão utilizar estes ambientes de ensaio digital para testar os seus produtos antes da sua introdução no mercado e continuam a ser inteiramente responsáveis pela conformidade dos seus produtos. Os resultados do ensaio deverão constar da documentação técnica do produto. Sempre que o sistema de RSE ou partes dele cumpram as normas europeias ou as especificações comuns, deverá também ser indicada na documentação técnica a lista das normas europeias e das especificações comuns pertinentes. Para apoiar a comparabilidade dos sistemas de RSE, a Comissão deverá criar um modelo uniforme para a documentação técnica que acompanha esses sistemas.

(37)

Os sistemas de RSE deverão ser acompanhados de uma ficha de informações que contenha informações destinadas aos seus utilizadores profissionais e de instruções de utilização claras e completas, em formatos acessíveis às pessoas com deficiência. Se um sistema de RSE não for acompanhado da referida ficha de informações, o fabricante do sistema de RSE em causa, o seu mandatário e todos os outros operadores económicos pertinentes são obrigados a acrescentar ao sistema de RSE essa ficha de informações e essas instruções de utilização.

(38)

Embora os sistemas de RSE especificamente destinados pelo fabricante a serem utilizados no tratamento de uma ou mais categorias específicas de dados de saúde eletrónicos devam ser objeto de autocertificação obrigatória, o software para fins gerais não deverá ser considerado um sistema de RSE, mesmo quando utilizado num contexto de cuidados de saúde, pelo que não deverá ser obrigatório que o presente regulamento. Isso aplica-se, designadamente, ao software de processamento de texto utilizado para redigir relatórios que farão parte de registos de saúde eletrónicos escritos, software intermédio de uso geral ou software de gestão de bases de dados utilizado como parte de soluções de armazenamento de dados.

(39)

O presente regulamento impõe um sistema obrigatório de autoavaliação de conformidade para os componentes de software harmonizados dos sistemas de RSE, com vista a garantir que os sistemas de RSE introduzidos no mercado da União possam trocar dados no formato europeu de intercâmbio de registos de saúde eletrónicos e disponham das capacidades de registo necessárias. Esse sistema obrigatório de autoavaliação de conformidade, que seria sob forma de uma declaração de conformidade UE do fabricante, deverá assegurar que esses requisitos são preenchidos de forma proporcionada, evitando ao mesmo tempo encargos desnecessários aos Estados-Membros e aos fabricantes.

(40)

Os fabricantes deverão apor nos documentos que acompanham o sistema de RSE e, se for caso disso, na sua embalagem, uma marcação CE de conformidade que indique que o sistema de RSE está em conformidade com o presente regulamento e, no que diz respeito aos aspetos não abrangidos pelo presente regulamento, com outro direito aplicável da União que também exija a aposição dessa marcação. Os Estados-Membros deverão basear-se nos mecanismos existentes para assegurar a correta aplicação das disposições relativas à marcação CE de conformidade ao abrigo do direito da União aplicável e deverão tomar as medidas adequadas em caso de utilização indevida dessa marcação.

(41)

Os Estados-Membros deverão continuar a ser competentes para definir os requisitos relativos a quaisquer outros componentes de software dos sistemas de RSE e os termos e as condições de ligação dos prestadores de cuidados de saúde às suas infraestruturas nacionais, que poderão ser objeto de avaliação por terceiros a nível nacional. A fim de facilitar o bom funcionamento do mercado interno no que se refere aos sistemas de RSE, dos produtos de saúde digitais e dos serviços conexos, é necessário assegurar a maior transparência possível no que diz respeito ao direito nacional que defina requisitos para os sistemas de RSE e às disposições relativas à avaliação da sua conformidade no que se refere a outros aspetos que não os componentes de software harmonizados dos sistemas de RSE. Por conseguinte, os Estados-Membros deverão informar a Comissão desses requisitos nacionais, para que esta disponha das informações necessárias para garantir que tais requisitos não afetam negativamente os componentes de software harmonizados dos sistemas de RSE.

(42)

Alguns componentes de software dos sistemas de RSE podem ser considerados dispositivos médicos ao abrigo do Regulamento (UE) 2017/745 ou dispositivos médicos para diagnóstico in vitro ao abrigo do Regulamento (UE) 2017/746 do Parlamento Europeu e do Conselho (16). O software ou os módulos de software enquadrados na definição de dispositivo médico, dispositivo médico para diagnóstico in vitro ou sistema de inteligência artificial (IA) considerado de risco elevado («sistema de IA de risco elevado») deverão ser certificados em conformidade com os Regulamentos (UE) 2017/745, (UE) 2017/746 e (UE) 2024/1689, consoante o caso. Embora estes produtos tenham de cumprir os requisitos previstos nos respetivos regulamentos que regem esses produtos, os Estados-Membros deverão tomar as medidas adequadas para que a respetiva avaliação de conformidade seja realizada no âmbito de um procedimento conjunto ou coordenado, a fim de reduzir os encargos administrativos sobre os fabricantes e outros operadores económicos. Os requisitos essenciais de interoperabilidade do presente regulamento só deverão ser aplicáveis na medida em que o fabricante de um dispositivo médico, de um dispositivo médico para diagnóstico in vitro ou de um sistema de IA de risco elevado, que forneça dados de saúde eletrónicos a tratar no âmbito do sistema de RSE, invoque interoperabilidade com esse sistema de RSE. Nesse caso, as disposições relativas a especificações comuns para os sistemas de RSE deverão ser aplicáveis a esses dispositivos médicos, dispositivos médicos para diagnóstico in vitro e sistemas de IA de risco elevado.

(43)

A fim de apoiar ainda mais a interoperabilidade e a segurança, os Estados-Membros deverão poder manter ou definir regras específicas sobre a aquisição, o reembolso ou o financiamento de sistemas de RSE a nível nacional no contexto da organização, prestação ou financiamento de serviços de saúde. Essas regras específicas não deverão impedir a livre circulação dos sistemas de RSE na União. Alguns Estados-Membros introduziram uma certificação obrigatória dos sistemas de RSE ou ensaios de interoperabilidade obrigatórios para a sua ligação aos serviços nacionais de saúde digitais. Tais requisitos refletem-se, de modo geral, nos procedimentos de contratação pública organizados pelos prestadores de cuidados de saúde, bem como pelas autoridades nacionais ou regionais. A certificação obrigatória dos sistemas de RSE a nível da União deverá criar uma base de referência que possa ser utilizada nos procedimentos de contratação pública a nível nacional.

(44)

Por forma a garantir o exercício efetivo pelos doentes dos seus direitos ao abrigo do presente regulamento, os prestadores de cuidados de saúde que desenvolvam e utilizem um sistema de RSE interno para realizar atividades próprias sem o colocarem no mercado mediante pagamento ou remuneração deverão também cumprir o disposto no presente regulamento. Nesse contexto, os referidos prestadores de cuidados de saúde deverão cumprir todos os requisitos aplicáveis aos fabricantes no que se refere a tais sistemas RSE desenvolvidos internamente e que tais prestadores de cuidados de saúde coloquem em serviço. Porém, uma vez que é possível que esses prestadores de cuidados de saúde precisem de mais tempo para se prepararem para dar cumprimento ao presente regulamento, esses requisitos só deverão aplicar-se a esses sistemas após um período de transição alargado.

(45)

É necessário prever uma distribuição clara e proporcionada das obrigações correspondentes ao papel de cada operador no processo de disponibilização e distribuição de sistemas de RSE. Os operadores económicos deverão ser responsáveis pela conformidade em função do papel que desempenham no âmbito desse processo e deverão garantir que apenas disponibilizam no mercado sistemas de RSE conformes com os requisitos pertinentes.

(46)

Os fabricantes de sistemas de RSE deverão demonstrar a conformidade com os requisitos essenciais de interoperabilidade e segurança através da aplicação de especificações comuns. Para o efeito, deverão ser atribuídas competências de execução à Comissão para determinar essas especificações comuns em matéria de conjuntos de dados, sistemas de codificação e especificações técnicas, normas, especificações e perfis para o intercâmbio de dados, bem como requisitos e princípios em matéria de segurança dos doentes e a segurança, confidencialidade, integridade e proteção dos dados pessoais e das especificações e requisitos relacionados com a gestão da identificação e a utilização da identificação eletrónica. As autoridades de saúde digital deverão contribuir para a elaboração dessas especificações comuns. Quando pertinente, tais especificações comuns deverão basear-se nas normas harmonizadas existentes aplicáveis aos componentes de software harmonizados dos sistemas de RSE e ser compatíveis com o direito sectorial. Sempre que sejam particularmente relevantes para os requisitos de proteção de dados pessoais aplicáveis aos sistemas de RSE, as especificações comuns deverão, antes de serem adotadas, ser objeto de consulta com o Comité Europeu para a Proteção de Dados (CEPD) e a Autoridade Europeia para a Proteção de Dados (AEPD) nos termos do artigo 42.o, n.o 2, do Regulamento (UE) 2018/1725.

(47)

Para assegurar que haja uma execução adequada e eficaz dos requisitos e das obrigações previstos no presente regulamento, deverá aplicar-se o sistema de fiscalização do mercado e de conformidade dos produtos previsto no Regulamento (UE) 2019/1020 do Parlamento Europeu e do Conselho (17). Dependendo da organização definida a nível nacional, essas atividades de fiscalização do mercado podem ser realizadas pelas autoridades de saúde digital, que asseguram a correta aplicação do capítulo II do presente regulamento, ou por uma autoridade de fiscalização do mercado distinta responsável pelos sistemas de RSE. Embora a designação de autoridades de saúde digital como autoridades de fiscalização do mercado possa ter vantagens práticas significativas para a implementação da saúde e da prestação de cuidados, há que evitar quaisquer conflitos de interesses, nomeadamente através da separação das diferentes tarefas.

(48)

O pessoal das autoridades de fiscalização do mercado não deverá ter quaisquer conflitos de interesses económicos, financeiros ou pessoais, sejam eles diretos ou indiretos, suscetíveis de serem considerados prejudiciais para a sua independência, e, em especial, não deverá encontrar-se numa situação passível de afetar, direta ou indiretamente, a imparcialidade da sua conduta profissional. Os Estados-Membros deverão determinar e publicar o procedimento de seleção das autoridades de fiscalização do mercado. Deverão assegurar que o procedimento seja transparente e não possa gerar conflitos de interesses.

(49)

Os utilizadores de aplicações de bem-estar, incluindo de aplicações para dispositivos móveis, deverão ser informados sobre a capacidade de ligação e transmissão de dados dessas aplicações aos sistemas de RSE ou a soluções eletrónicas de saúde nacionais, nos casos em que os dados produzidos por aplicações de bem-estar sejam úteis para efeitos de cuidados de saúde. A capacidade dessas aplicações para exportar dados num formato interoperável é igualmente relevante para efeitos de portabilidade dos dados. Sempre que aplicável, os utilizadores deverão também ser informados acerca da conformidade dessas aplicações de bem-estar com os requisitos de interoperabilidade e segurança. No entanto, dado o elevado número de aplicações de bem-estar e a relevância limitada dos dados gerados por muitas delas para efeitos de cuidados de saúde, um sistema de certificação para estas aplicações não seria proporcionado. Deverá, por conseguinte, ser criado um sistema obrigatório de rotulagem para as aplicações de bem-estar para as quais se alegue a interoperabilidade com os sistemas de RSE como mecanismo adequado para proporcionar transparência aos utilizadores de aplicações de bem-estar no que diz respeito à conformidade com os requisitos ao abrigo do presente regulamento, apoiando assim os utilizadores na sua escolha de aplicações de bem-estar adequadas com elevados padrões de interoperabilidade e segurança. A Comissão deverá definir os pormenores relativos ao formato e ao conteúdo dos referidos rótulos através de atos de execução.

(50)

Os Estados-Membros deverão ser livres de regulamentar outros aspetos da utilização das aplicações de bem-estar a que se refere o artigo 31.o, desde que as regras correspondentes estejam em conformidade com o direito da União.

(51)

A distribuição de informações sobre sistemas de RSE certificados e aplicações de bem-estar rotuladas é necessária para permitir que os compradores e os utilizadores desses produtos identifiquem soluções interoperáveis para as suas necessidades específicas. Por conseguinte, deverá ser criada a nível da União uma base de dados de sistemas de RSE e de aplicações de bem-estar interoperáveis não abrangidos pelo âmbito de aplicação dos Regulamentos (UE) 2017/745 e (UE) 2024/1689, à semelhança da base de dados europeia sobre dispositivos médicos (Eudamed) criada pelo Regulamento (UE) 2017/745. Os objetivos da base de dados da UE para registo de sistemas de RSE e aplicações de bem-estar deverão consistir em reforçar a transparência global, evitar múltiplos requisitos de comunicação de informações e simplificar e facilitar o fluxo de informações. No caso dos dispositivos médicos e dos sistemas de IA, deverá ser mantido o registo nas bases de dados existentes criadas, respetivamente, nos termos dos Regulamentos (UE) 2017/745 e (UE) 2024/1689, mas a conformidade com os requisitos de interoperabilidade deverá ser indicada pelos fabricantes quando estes a invoquem, a fim de prestar informações aos compradores.

(52)

O presente regulamento visa criar um mecanismo comum de acesso aos dados de saúde eletrónicos para utilização secundária em toda a União, sem prejudicar ou substituir as disposições contratuais ou de outra natureza em vigor. Ao abrigo desse mecanismo, os detentores dos dados de saúde deverão disponibilizar os dados que detêm mediante uma autorização de tratamento de dados ou um pedido de dados de saúde. Para efeitos do tratamento de dados de saúde eletrónicos para utilização secundária, deve ser exigido um dos fundamentos jurídicos a que se refere o artigo 6.o, n.o 1, alíneas a), c), e) ou f), do Regulamento (UE) 2016/679, em conjugação com o artigo 9.o, n.o 2, do mesmo regulamento. Por conseguinte, o presente regulamento constitui um fundamento jurídico para a utilização secundária de dados de saúde eletrónicos pessoais, incluindo as garantias, exigidas ao abrigo do artigo 9.o, n.o 2, alíneas g) a j), do Regulamento (UE) 2016/679, para permitir o tratamento de categorias especiais de dados, em termos de finalidades lícitas, uma governação de confiança para a concessão de acesso aos dados de saúde, através da intervenção de organismos responsáveis pelo acesso aos dados de saúde, e para o tratamento num ambiente de tratamento seguro, bem como as disposições de tratamento de dados, definidas na autorização de tratamento de dados. Por conseguinte, os Estados-Membros não deverão poder continuar a manter ou impor, nos termos do artigo 9.o, n.o 4, do Regulamento (UE) 2016/679, novas condições, designadamente limitações e disposições específicas que exijam o consentimento das pessoas singulares, no que respeita ao tratamento para utilização secundária de dados de saúde eletrónicos pessoais ao abrigo do presente regulamento, com exceção da introdução de medidas mais rigorosas e salvaguardas adicionais a nível nacional destinadas a salvaguardar a sensibilidade e o valor de determinados dados, tal como previsto no presente regulamento. Os requerentes dos dados de saúde deverão também demonstrar a existência de um fundamento jurídico nos termos do artigo 6.o do Regulamento (UE) 2016/679 o qual lhes permite solicitar o acesso aos dados de saúde eletrónicos em conformidade com o presente regulamento e deverão preencher as condições fixadas no capítulo IV do presente regulamento. Além disso, o organismo responsável pelo acesso aos dados de saúde deverá analisar as informações facultadas pelo requerente de dados de saúde, com base nas quais deverá poder emitir uma autorização de tratamento de dados de saúde eletrónicos pessoais nos termos do presente regulamento, que deverá cumprir os requisitos e as condições fixados no capítulo IV do presente regulamento. Para o tratamento de dados de saúde eletrónicos detidos pelos detentores dos dados de saúde, o presente regulamento cria a obrigação jurídica, na aceção do artigo 6.o, n.o 1, alínea c) do Regulamento (UE) 2016/679, em conformidade com o artigo 9.o, n.o 2, alíneas i) e j), do referido regulamento, de o detentor dos dados de saúde disponibilizar os dados de saúde eletrónicos pessoais aos organismos responsáveis pelo acesso aos dados de saúde, sem que o fundamento jurídico para efeitos do tratamento inicial, por exemplo, a prestação de cuidados de saúde, seja afetado. O presente regulamento também atribui tarefas de interesse público, na aceção do artigo 6.o, n.o 1, alínea e), do Regulamento (UE) 2016/679, aos organismos responsáveis pelo acesso aos dados de saúde e cumpre os requisitos do artigo 9.o, n.o 2, alíneas g) a j), conforme aplicável, desse regulamento. Se o utilizador dos dados de saúde se basear num fundamento jurídico previsto no artigo 6.o, n.o 1, alíneas e) ou f), do Regulamento (UE) 2016/679, o presente regulamento que deverá prever as garantias exigidas nos termos do artigo 9.o, n.o 2, do Regulamento (UE) 2016/679.

(53)

Os dados de saúde eletrónicos usados para utilização secundária podem trazer grandes benefícios sociais. Deverá ser incentivada a utilização de dados do mundo real, incluindo os resultados comunicados pelos doentes, para fins regulamentares e políticos baseados em dados concretos, bem como para a investigação, a avaliação das tecnologias da saúde e os objetivos clínicos. Os dados do mundo real têm potencial para complementar os dados de saúde atualmente disponibilizados. Para o efeito, os conjuntos de dados disponibilizados para utilização secundária nos termos do presente regulamento devem ser o mais completos possível. O presente regulamento prevê as garantias necessárias para mitigar determinados riscos associados à concretização desses benefícios. A utilização secundária de dados de saúde eletrónicos deverá ter por base dados pseudonimizados ou anonimizados, para evitar a identificação dos titulares dos dados.

(54)

Para equilibrar a necessidade de os utilizadores de dados de saúde disporem de conjuntos de dados exaustivos e representativos com a necessidade de autonomia das pessoas singulares em relação aos dados de saúde eletrónicos pessoais que lhes pertençam e que sejam considerados particularmente sensíveis, as pessoas singulares deverão ter poder para tomar a decisão sobre se os seus dados de saúde eletrónicos pessoais podem ser tratados para utilização secundária ao abrigo do presente regulamento, sob a forma de um direito de oposição relativamente à disponibilização desses dados para utilização secundária. Deverá ser disponibilizado um mecanismo de fácil compreensão, acessível e de fácil utilização para exercer esse direito de oposição. Além disso, é imperativo que as pessoas singulares disponham de informações suficientes e completas sobre o seu direito de oposição, nomeadamente sobre as vantagens e desvantagens decorrentes do exercício desse direito. As pessoas singulares não deverão ser obrigadas a justificar a oposição e deverão ter a possibilidade de reconsiderar a sua decisão em qualquer altura. No entanto, para fins estreitamente ligados ao interesse público, como as atividades de proteção contra ameaças transfronteiriças graves para a saúde ou a investigação científica por importantes razões de interesse público, convém prever a possibilidade de os Estados-Membros criarem, tendo em consideração o seu contexto nacional, mecanismos para conceder acesso aos dados pessoais eletrónicos de saúde das pessoas singulares que tenham exercido o seu direito de oposição, a fim de garantir que possam ser disponibilizados conjuntos de dados completos nessas situações. Tais mecanismos deverão cumprir os requisitos previstos para a utilização secundária ao abrigo do presente regulamento. A investigação científica por importantes razões de interesse público pode incluir, por exemplo, atividades de investigação que procurem dar resposta a necessidades médicas não satisfeitas, nomeadamente no domínio das doenças raras ou de ameaças emergentes para a saúde. As regras relativas a tais derrogações deverão respeitar a essência dos direitos e liberdades fundamentais e constituir uma medida necessária e proporcionada numa sociedade democrática para defender o interesse público no que respeita aos objetivos científicos e sociais legítimos. Tais derrogações só deverão estar disponíveis para os utilizadores de dados de saúde que sejam organismos do sector público ou as instituições, órgãos ou organismos competentes da União encarregados de desempenhar funções no domínio da saúde pública, ou por outra entidade encarregada de desempenhar funções no domínio da saúde pública, ou que atue em nome, ou a mandato, de um poder público, e apenas quando os dados não possam ser obtidos de outro modo em tempo útil e com eficácia. Esses utilizadores de dados de saúde deverão justificar que o uso da derrogação é necessário para um pedido individual de acesso aos dados de saúde ou pedido de dados de saúde. Quando essa derrogação é aplicada, as garantias previstas no capítulo IV deverão continuar a ser aplicadas pelos utilizadores de dados de saúde, em especial a proibição da reidentificação ou de tentativas de reidentificação das pessoas singulares em causa.

(55)

No contexto do EEDS, já existem dados de saúde eletrónicos e são recolhidos por, entre outros, prestadores de cuidados de saúde, associações profissionais, instituições públicas, entidades reguladoras, investigadores e seguradoras., no decurso das suas atividades. Esses dados deverão também ser disponibilizados para utilização secundária, isto é, para o tratamento de dados para outras finalidades para além daquelas para as quais os dados foram recolhidos ou gerados, mas muitos desses dados não são disponibilizados tratamento para tais finalidades. Este facto limita a capacidade de os investigadores, inovadores, decisores políticos, entidades reguladoras e médicos utilizarem esses dados para diferentes finalidades, incluindo para efeitos de investigação, inovação, elaboração de políticas, regulamentação, segurança dos doentes ou medicina personalizada. A fim de explorar plenamente os benefícios da utilização secundária, todos os detentores de dados de saúde deverão contribuir para este esforço ao disponibilizarem diferentes categorias de dados de saúde eletrónicos que detêm para utilização secundária, desde que tal esforço seja sempre envidado através de processos eficazes e protegidos, com o devido respeito pelos deveres profissionais, incluindo, entre outros, os deveres de confidencialidade.

(56)

As categorias de dados de saúde eletrónicos que podem ser tratados para utilização secundária deverão ser suficientemente amplas e flexíveis para ter em conta a evolução das necessidades dos utilizadores dos dados de saúde, embora continuando limitadas aos dados relacionados com a saúde ou que, reconhecidamente, influenciem a saúde. Podem igualmente incluir dados pertinentes do sistema de saúde, como registos de saúde eletrónicos, dados relativos a dispensas, dados provenientes de registos de doenças ou dados genómicos, bem como dados com impacto na saúde, por exemplo, dados sobre o consumo de diferentes substâncias, estatuto socioeconómico, seguro de saúde, rendimento mínimo, estatuto profissional ou comportamento, e dados sobre fatores ambientais como a poluição, a radiação ou a utilização de determinadas substâncias químicas. As categorias de dados de saúde eletrónicos para utilização secundária incluem algumas categorias de dados inicialmente recolhidos para outros fins, como investigação, estatística, segurança dos doentes, atividades regulamentares ou elaboração de políticas, por exemplo, registos de elaboração de políticas ou registos relativos aos efeitos secundários de medicamentos ou dispositivos médicos. Existem bases de dados europeias que facilitam a utilização ou a reutilização de dados em algumas áreas, como o cancro (o Sistema Europeu de Informação sobre o Cancro) ou as doenças raras (por exemplo, a Plataforma Europeia para o Registo de Doenças Raras e os registos das redes europeias de referência (RER)). As categorias de dados de saúde eletrónicos que podem ser tratados para utilização secundária deverão também incluir dados gerados automaticamente a partir de dispositivos médicos e dados gerados por pessoas, tais como os dados de aplicações de bem-estar. Os dados relativos a ensaios clínicos e a investigações clínicas deverão também ser incluídos nas categorias de dados eletrónicos para utilização secundária após a conclusão do ensaio clínico ou da investigação clínica, sem prejuízo da partilha voluntária de dados pelos promotores dos ensaios e das investigações em curso. Os dados de saúde eletrónicos para utilização secundária deverão ser disponibilizados, de preferência, num formato eletrónico estruturado que facilite o seu tratamento por sistemas informáticos. Incluem-se, nos exemplos de formato eletrónico estruturado, formatos como os registos numa base de dados relacional, documentos XML ou ficheiros CSV e também texto livre, áudio, vídeos e imagens disponibilizados num formato legível por computador.

(57)

Os utilizadores de dados que beneficiam do acesso aos conjuntos de dados disponibilizados ao abrigo do presente regulamento poderão enriquecer os dados nesses conjuntos de dados com várias correções, anotações e outras melhorias, por exemplo ao completar os dados em falta ou incompletos, melhorando assim a exatidão, a exaustividade ou a qualidade dos dados nos conjuntos de dados. Os utilizadores de dados de saúde deverão ser incentivados a comunicar erros críticos nos conjuntos de dados aos organismos responsáveis pelo acesso aos dados de saúde. De modo a apoiar a melhoria da base de dados inicial e a utilização posterior do conjunto de dados enriquecido, os Estados-Membros deverão poder definir regrar para o tratamento e o uso de dados eletrónicos de saúde contendo melhoramentos relativamente ao tratamento desses dados. O conjunto de dados melhorado deverá ser disponibilizado ao detentor dos dados de saúde original, a título gratuito, o conjunto de dados melhorado juntamente com uma descrição das melhorias. O detentor dos dados de saúde deverá disponibilizar o novo conjunto de dados, a menos que apresente uma notificação justificada para não o ter feito ao organismo responsável pelo acesso aos dados de saúde, por exemplo em casos em que o enriquecimento dos dados é de má qualidade. Deverá ser assegurar-se que os dados eletrónicos de saúde não pessoais estão disponíveis para utilização secundária. Em especial, os dados genómicos dos agentes patogénicos têm um valor significativo para a saúde humana, tal como demonstrado durante a pandemia de COVID-19, durante a qual o acesso e a partilha em tempo útil desses dados se revelaram essenciais para o rápido desenvolvimento de instrumentos de deteção, contramedidas médicas e respostas a ameaças para a saúde pública. O maior benefício dos esforços da genómica dos agentes patogénicos será obtido quando a saúde pública e os processos de investigação partilharem conjuntos de dados e cooperarem para se informarem e melhorarem mutuamente.

(58)

A fim de aumentar a eficácia da utilização secundária de dados de saúde eletrónicos pessoais e de tirar pleno partido das possibilidades oferecidas pelo presente regulamento, a disponibilidade dos dados de saúde eletrónicos descritos no capítulo IV deverá ser garantida no EEDS de modo que sejam, tanto quanto possível, acessíveis, de alta qualidade, prontos e capazes de criar valor e qualidade científicos e sociais e contribuir para a inovação. Os trabalhos com vista à aplicação do EEDS e à introdução de outras melhorias nos conjuntos de dados deverão ser conduzidos de uma maneira que confira prioridade aos conjuntos de dados mais adequados à criação do referido valor e qualidade.

(59)

As entidades públicas ou privadas recebem frequentemente financiamento público, proveniente de fundos nacionais ou da União, para recolher e tratar dados de saúde eletrónicos para fins de investigação, estatísticas — oficiais ou não — ou outras finalidades semelhantes, incluindo em domínios em que a recolha desses dados é fragmentada ou difícil, tal como em relação a doenças raras ou cancro. Esses dados, recolhidos e tratados pelos detentores dos dados de saúde com o apoio de financiamento público da União ou nacional, deverão ser disponibilizados aos organismos responsáveis pelo acesso aos dados de saúde, a fim de maximizar o impacto do investimento público e apoiar a investigação, a inovação, a segurança dos doentes ou a elaboração de políticas e beneficiar a sociedade. Em alguns Estados-Membros, as entidades privadas, incluindo os prestadores de cuidados de saúde privados e as associações profissionais, desempenham um papel central no sector da saúde. Os dados de saúde detidos por esses prestadores deverão também ser disponibilizados para utilização secundária. No contexto da utilização secundária, os detentores de dados de saúde deverão, por isso, ser entidades que sejam prestadores de serviços de saúde ou de cuidados ou que realizam investigação no sector dos cuidados de saúde ou da prestação de cuidados, ou que desenvolvam produtos ou serviços destinados aos sectores dos cuidados de saúde ou da prestação de cuidados. Essas entidades podem ser públicas, sem fins lucrativos ou privadas. De acordo com esta definição, os lares residenciais, os centros de dia, as entidades que prestam serviços a pessoas com deficiência, entidades que desenvolvam atividades económicas e tecnológicas relacionadas com os cuidados, como a ortopedia, e as empresas que prestam cuidados deverão ser considerados detentores de dados de saúde. As pessoas coletivas que desenvolvam aplicações de bem-estar também deverão ser consideradas detentores de dados de saúde. Também deverão ser consideradas detentores de dados de saúde as instituições, os órgãos e os organismos da União que tratem essas categorias de dados de saúde e os registos de mortalidade. Para evitar encargos desproporcionados para as pessoas singulares e para as microempresas, as mesmas deverão, por princípio, ser isentas das obrigações enquanto detentores de dados de saúde. Os Estados-Membros deverão, contudo, ter a possibilidade de alargar as obrigações dos detentores de dados de saúde às pessoas singulares e às microempresas no seu direito nacional. A fim de reduzir os encargos administrativos, e à luz dos princípios da eficácia e da eficiência, os Estados-Membros deverão poder exigir, no seu direito nacional, que as entidades de intermediação de dados de saúde desempenhem as funções de determinadas categorias de detentores de dados de saúde. Essas entidades de intermediação de dados de saúde deverão ser pessoas coletivas capazes de tratar, disponibilizar, registar, disponibilizar, restringir o acesso ou trocar dados de saúde eletrónicos para utilização secundária disponibilizados pelos detentores dos dados. Essas entidades de intermediação de dados de saúde desempenham funções diferentes das dos serviços de intermediação de dados ao abrigo do Regulamento (UE) 2022/868.

(60)

Os dados de saúde eletrónicos que impliquem propriedade intelectual protegida e segredos comerciais, designadamente dados sobre ensaios clínicos, investigações e estudos, podem revelar-se muito úteis para a utilização secundária e podem impulsionar a inovação na União em benefício dos doentes na União. A fim de incentivar a União a permanecer na vanguarda neste domínio, é importante incentivar a partilha dos dados sobre os ensaios clínicos e as investigações clínicas através do EEDS para utilização secundária. Os dados sobre os ensaios e as investigações clínicas deverão ser disponibilizados dentro do possível, tomando as medidas necessárias para proteger os direitos de propriedade intelectual e segredos comerciais. O presente regulamento não deverá ser utilizado para minimizar ou contornar essa proteção e deverá ser coerente com as disposições aplicáveis em matéria de transparência previstas no direito da União, nomeadamente no que diz respeito aos dados sobre ensaios clínicos e investigações clínicas. Os organismos responsáveis pelo acesso aos dados de saúde deverão avaliar o modo como esta proteção pode ser mantida e, ao mesmo tempo, permitir aos utilizadores dos dados de saúde aceder a tais dados tanto quanto possível. Caso o organismo responsável pelo acesso aos dados não possa conceder acesso a esses dados, deverá informar o utilizador dos dados de saúde e indicar o motivo que o impede de conceder o acesso. As medidas jurídicas, organizacionais e técnicas destinadas a proteger os direitos de propriedade intelectual ou os segredos comerciais podem incluir disposições contratuais comuns relativas ao acesso aos dados de saúde eletrónicos, obrigações específicas no âmbito da autorização de tratamento de dados relativas a esses direitos, o pré-tratamento dos dados de forma a gerar dados derivados que protejam um segredo comercial e, ainda assim, preservar a sua utilidade para um utilizador de dados de saúde, ou a configuração do ambiente de tratamento seguro de modo que o acesso a esses dados fique vedado ao utilizador de dados de saúde.

(61)

A utilização secundária de dados de saúde no âmbito do EEDS deverá permitir que as entidades públicas, privadas e sem fins lucrativos, bem como os investigadores individuais, tenham acesso a dados de saúde para fins de investigação, inovação, elaboração de políticas, atividades educativas, segurança dos doentes, atividades de regulamentação ou medicina personalizada, em consonância com os objetivos conforme determinados no presente regulamento. O acesso aos dados para utilização secundária deverá contribuir para o interesse geral da sociedade. Em especial, a utilização secundária de dados de saúde para efeitos de investigação e desenvolvimento deverá assegurar um benefício para a sociedade sob a forma de novos medicamentos, dispositivos médicos, e produtos e serviços de saúde a preços acessíveis e justos para os cidadãos da União, e deverá também melhorar o acesso a esses produtos e serviços e a sua disponibilidade em todos os Estados-Membros. As atividades para as quais é lícito o acesso no contexto do presente regulamento poderão incluir a utilização dos dados de saúde eletrónicos para tarefas desempenhadas por organismos do sector público, designadamente, o exercício de funções públicas, incluindo a vigilância da saúde pública, obrigações de planeamento e comunicação de informações, a elaboração de políticas de saúde, e a garantia da segurança dos doentes, a qualidade dos cuidados e a sustentabilidade dos sistemas de saúde. Os organismos do sector público e as instituições, órgãos e organismos da União poderão precisar de ter acesso regular aos dados de saúde eletrónicos durante um período prolongado, incluindo para efeitos de cumprimento do seu mandato, conforme previsto no presente regulamento. Os organismos do sector público poderão realizar essas atividades de investigação recorrendo a terceiros, incluindo subcontratantes, desde que o organismo do sector público retenha em qualquer caso a função de supervisor dessas atividades. A transmissão dos dados deverá também apoiar atividades relacionadas com a investigação científica. A noção de fins de investigação deverá ser interpretada em sentido lato, incluindo o desenvolvimento tecnológico e a demonstração, a investigação fundamental, a investigação aplicada e a investigação financiada pelo sector privado. As atividades relacionadas com a investigação científica incluem atividades de inovação, como o treino de algoritmos de IA que possam ser utilizados na prestação de serviços de saúde ou na prestação de cuidados a pessoas singulares, bem como a avaliação e o desenvolvimento de algoritmos e produtos existentes para esses fins. É necessário que o EEDS contribua também para a investigação fundamental e, embora os benefícios da investigação fundamental para os utilizadores finais e os doentes possam não ser tão imediatos, esta investigação fundamental é crucial porque acarreta benefícios sociais a longo prazo. Em alguns casos, as informações sobre algumas pessoas singulares, nomeadamente, informações genómicas de pessoas singulares com uma determinada doença, podem contribuir para o diagnóstico ou o tratamento de outras pessoas singulares. É necessário que os organismos do sector público vão além do âmbito «das necessidades excecionais» do capítulo V do Regulamento (UE) 2023/2854. No entanto, os organismos responsáveis pelo acesso a dados de saúde deverão ser autorizados a prestar apoio a organismos do sector público aquando do tratamento ou da ligação de dados. O presente regulamento proporciona um canal para os organismos do sector público obterem acesso às informações de que necessitam para o desempenho das funções que lhes são atribuídas por lei, mas não alarga o mandato desses organismos do sector público.

(62)

Deverá ser proibida toda e qualquer tentativa de utilizar dados de saúde eletrónicos para medidas desfavoráveis às pessoas singulares, como o aumento dos prémios de seguro, o exercício de atividades potencialmente prejudiciais para as pessoas singulares no domínio do emprego, das pensões ou da banca, incluindo as hipotecas de imóveis, a publicidade a produtos ou tratamentos, a automatização da tomada de decisões individuais, a reidentificação de pessoas singulares ou o desenvolvimento de produtos nocivos. Essa proibição deverá ainda aplicar-se às atividades que não cumpram as regras deontológicas ao abrigo do direito nacional, com exceção das regras deontológicas relativas ao consentimento para o tratamento de dados pessoais e das regras deontológicas relativas ao direito de oposição, uma vez que o presente regulamento prevalece sobre o direito nacional em razão do princípio geral do primado do direito da União. Deverá igualmente ser proibido facultar o acesso, ou disponibilizar de qualquer outra forma, os dados de saúde eletrónicos a terceiros não mencionados na autorização de tratamento de dados. A identidade das pessoas autorizadas, em especial a identidade do investigador principal, que terá o direito, nos termos do presente regulamento, de aceder aos dados de saúde eletrónicos num ambiente de tratamento seguro, deverá ser indicada na autorização de tratamento de dados. Os investigadores principais são os principais responsáveis pelo pedido de acesso aos dados de saúde eletrónicos e pelo tratamento dos dados solicitados no ambiente de tratamento seguro, em nome do utilizador dos dados de saúde.

(63)

O presente regulamento não confere poderes para a utilização secundária de dados de saúde para efeitos de aplicação da lei. A prevenção, investigação, deteção ou repressão de infrações penais, ou a execução de sanções penais pelas autoridades competentes não deverão figurar entre os fins de utilização secundária previstos no presente regulamento. Assim, os tribunais e as demais entidades do sistema judicial não deverão ser considerados utilizadores de dados de saúde num contexto de utilização secundária de dados de saúde ao abrigo do presente regulamento. Além disso, os tribunais e demais entidades do sistema judicial não deverão ser incluídos na definição de detentores de dados de saúde e, por conseguinte, não deverão ficar vinculados pelas obrigações que incumbem aos utilizadores de dados de saúde por força do presente regulamento. Além disso, os poderes conferidos por lei às autoridades competentes para obter dados de saúde eletrónicos para efeitos de prevenção, investigação, deteção e repressão de infrações penais não são afetados pelo presente regulamento. Os dados de saúde eletrónicos detidos pelos tribunais para efeitos de processos judiciais também não são abrangidos pelo âmbito de aplicação do presente regulamento.

(64)

A criação de um ou mais organismos responsáveis pelo acesso aos dados de saúde, que apoiem o acesso a dados de saúde eletrónicos nos Estados-Membros, é essencial para promover a utilização secundária de dados relacionados com a saúde. Os Estados-Membros deverão, por conseguinte, criar um ou mais organismos responsáveis pelo acesso aos dados de saúde, de modo a refletir, entre outros, a sua estrutura constitucional, organizacional e administrativa. No entanto, caso exista mais do que um organismo responsável pelo acesso aos dados de saúde, um deles deverá ser designado como coordenador. Sempre que um Estado-Membro crie vários organismos responsáveis pelo acesso aos dados de saúde, deverá prever regras a nível nacional para assegurar a participação coordenada desses organismos no Conselho do Espaço Europeu de Dados de Saúde (o «Conselho do EEDS»). Esse Estado-Membro deverá, em particular, designar um organismo responsável pelo acesso aos dados de saúde que funcione como ponto de contacto único, para permitir a participação efetiva desses organismos e assegurar uma cooperação rápida e harmoniosa com outros organismos responsáveis pelo acesso aos dados de saúde, o Conselho do EEDS e a Comissão. Os organismos responsáveis pelo acesso aos dados de saúde poderão variar em termos de organização e dimensão, desde uma organização específica de pleno direito até uma unidade ou departamento de uma organização existente. Os organismos responsáveis pelo acesso aos dados de saúde não deverão ser influenciados nas suas decisões sobre o acesso a dados eletrónicos para utilização secundária e deverão evitar quaisquer conflitos de interesses. Por conseguinte, os membros dos órgãos de governação e de tomada de decisões de cada organismo responsável pelo acesso aos dados de saúde e o seu pessoal deverão abster-se de qualquer ato incompatível com as suas funções e não deverão exercer qualquer atividade que com elas seja incompatível.Contudo, a independência dos organismos responsáveis pelo acesso aos dados de saúde não deverá implicar que não possam estar sujeitos a mecanismos de controlo ou monitorização no que diz respeito às suas despesas financeiras ou a fiscalização judicial. Deverão ser proporcionados a cada organismo responsável pelo acesso aos dados de saúde os recursos financeiros, técnicos e humanos, as instalações e as infraestruturas necessários ao desempenho eficaz das suas atribuições, incluindo as relacionadas com a cooperação com outros organismos responsáveis pelo acesso aos dados de saúde da União. Os membros dos órgãos de governação e de tomada de decisões dos organismos responsáveis pelo acesso aos dados de saúde e o seu pessoal deverão ter as qualificações, a experiência e as competências necessárias. Cada organismo responsável pelo acesso aos dados de saúde deverá ter um orçamento anual público separado, que poderá estar integrado no orçamento geral do Estado ou nacional. A fim de permitir um melhor acesso aos dados de saúde e complementar o artigo 7.o, n.o 2, do Regulamento (UE) 2022/868, os Estados-Membros deverão conferir poderes aos organismos responsáveis pelo acesso aos dados de saúde para tomarem decisões sobre o acesso aos dados de saúde e a sua utilização secundária. Tal poderá consistir na atribuição de novas funções aos organismos competentes designados pelos Estados-Membros nos termos do artigo 7.o, n.o 1, do Regulamento (UE) 2022/868 ou na designação de organismos sectoriais, existentes ou novos, responsáveis por essas funções no que respeita ao acesso aos dados de saúde.

(65)

Os organismos responsáveis pelo acesso aos dados de saúde deverão acompanhar a aplicação do capítulo IV do presente regulamento e contribuir para a sua aplicação coerente em toda a União. Para esse efeito, os organismos responsáveis pelo acesso aos dados de saúde deverão cooperar entre si e com a Comissão. Os organismos responsáveis pelo acesso aos dados de saúde deverão também cooperar com as partes interessadas, incluindo as organizações de doentes. Os organismos responsáveis pelo acesso aos dados de saúde deverão apoiar os detentores de dados de saúde que sejam pequenas empresas, em conformidade com a Recomendação 2003/361/CE da Comissão (18), em especial os médicos e as farmácias. Uma vez que a utilização secundária de dados de saúde implica o tratamento de dados pessoais relativos à saúde, aplicam-se as disposições pertinentes dos Regulamentos (UE) 2016/679 e (UE) 2018/1725 e as autoridades de controlo nos termos desses regulamentos deverão continuar a ser as únicas autoridades competentes para fazer cumprir essas disposições. Os organismos responsáveis pelo acesso aos dados de saúde deverão informar as autoridades de proteção de dados de quaisquer sanções impostas e de eventuais problemas relacionados com o tratamento de dados para utilização secundária e trocar todas as informações pertinentes de que dispõem para garantir a aplicação das regras pertinentes. Para além das tarefas necessárias para assegurar uma utilização secundária eficaz dos dados de saúde, os organismos responsáveis pelo acesso aos dados de saúde deverão procurar alargar a disponibilidade de conjuntos de dados de saúde adicionais e promover a elaboração de normas comuns. Deverão ainda aplicar técnicas de ponta comprovadas que garantam o tratamento dos dados de saúde eletrónicos de forma a preservar a privacidade das informações contidas nos dados em relação aos quais é permitida a utilização secundária, incluindo técnicas de pseudonimização, anonimização, generalização, supressão e aleatorização de dados pessoais. Os organismos responsáveis pelo acesso aos dados de saúde podem preparar conjuntos de dados para o utilizador dos dados de saúde tal como exigido pela autorização de tratamento de dados emitida. A esse respeito, os organismos responsáveis pelo acesso aos dados de saúde deverão cooperar no plano transfronteiriço para desenvolver e trocar boas práticas e técnicas. Tal inclui regras de pseudonimização e de anonimização dos conjuntos de microdados. Sempre que pertinente, a Comissão deverá definir os procedimentos e os requisitos, e disponibilizar ferramentas técnicas para um procedimento unificado de pseudonimização e de anonimização de dados de saúde eletrónicos.

(66)

Os organismos responsáveis pelo acesso aos dados de saúde deverão garantir que a utilização secundária é transparente, publicando informações sobre as autorizações de tratamento de dados concedidas e as respetivas justificações, as medidas tomadas para proteger os direitos das pessoas singulares, os meios para as pessoas singulares exercerem os seus direitos em relação à utilização secundária, e os resultados da utilização secundária, inclusive através de ligações para publicações científicas. Se for caso disso, essas informações sobre os resultados da utilização secundária deverão também incluir um resumo de fácil compreensão disponibilizado pelo utilizador dos dados de saúde. Essas obrigações de transparência complementam as obrigações previstas no artigo 14.o do Regulamento (UE) 2016/679. Poderiam aplicar-se as exceções previstas no artigo 14.o, n.o 5, desse regulamento. Sempre que tais exceções se apliquem efetivamente, as obrigações de transparência previstas no presente regulamento deverão contribuir para assegurar um tratamento equitativo e transparente, tal como referido no artigo 14.o, n.o 2, do Regulamento (UE) 2016/679, por exemplo, através da prestação de informações sobre o tratamento e as categorias de dados tratadas, permitindo, por conseguinte, às pessoas singulares perceber se os seus dados estão a ser disponibilizados para utilização secundária ao abrigo de autorizações de tratamento de dados.

(67)

As pessoas singulares deverão ser informadas, pelos detentores dos dados de saúde, de constatações importantes relacionadas com a sua saúde feitas pelos utilizadores de dados de saúde. As pessoas singulares deverão ter o direito de pedir para não serem informadas dessas constatações. Os Estados-Membros podem determinar condições sobre as disposições relativas à prestação dessas informações pelos detentores dos dados de saúde às pessoas singulares em causa e sobre o exercício do direito de não ser informado. Em conformidade com o artigo 23.o, n.o 1, alínea i), do Regulamento (UE) 2016/679, os Estados-Membros deverão poder limitar o alcance da obrigação de informar as pessoas singulares sempre que tal seja necessário para a proteção das mesmas, por razões de segurança do doente e de ética, diferindo a comunicação das suas informações até que um profissional de saúde possa comunicar e explicar às pessoas singulares em causa as informações suscetíveis de ter impacto sobre a sua saúde.

(68)

A fim de promover a transparência, os organismos responsáveis pelo acesso aos dados de saúde deverão publicar, de dois em dois anos, relatórios de atividades que apresentem uma panorâmica das suas atividades. Se um Estado-Membro tiver designado mais do que um organismo responsável pelo acesso aos dados de saúde, o organismo incumbido da coordenação deverá elaborar e publicar, de dois em dois anos, um relatório comum. Os relatórios de atividades deverão seguir uma estrutura acordada pelo Conselho do EEDS e apresentar uma panorâmica das atividades, incluindo informações relativas às decisões sobre os pedidos, às auditorias e à participação das partes interessadas pertinentes. Estas partes interessadas podem incluir representantes de pessoas singulares, organizações de doentes, profissionais de saúde, investigadores e comités de ética.

(69)

A fim de apoiar a utilização secundária, os detentores dos dados de saúde deverão abster-se de reter os dados, de solicitar taxas injustificadas que não sejam transparentes nem proporcionais aos custos de disponibilização dos dados ou, sendo caso disso, aos custos marginais da recolha de dados, de solicitar aos utilizadores dos dados de saúde que copubliquem a investigação ou de outras práticas que possam dissuadir os utilizadores dos dados de saúde de solicitar os dados. Se um detentor de dados de saúde for um organismo do sector público, a parte das taxas associada aos seus custos não deverá cobrir os custos da recolha inicial dos dados. Sempre que seja necessária uma aprovação ética para a emissão de uma autorização de tratamento de dados, a avaliação relativa à aprovação ética deverá basear-se nos seus próprios méritos.

(70)

Os organismos responsáveis pelo acesso aos dados de saúde deverão ser autorizados a cobrar taxas, tendo em conta as regras horizontais previstas no Regulamento (UE) 2022/868, em relação às suas funções. Estas taxas poderão ter em conta a situação e o interesse das pequenas e médias empresas (PME), dos investigadores individuais ou dos organismos do sector público. Em especial, os Estados-Membros deverão poder definir medidas para os organismos responsáveis pelo acesso aos dados de saúde na sua jurisdição que tornem possível a cobrança de taxas reduzidas a certas categorias de utilizadores de dados. Os organismos responsáveis pelo acesso aos dados de saúde deverão poder cobrir os custos das suas operações através de taxas fixadas de forma proporcionada, justificada e transparente. Tal poderá implicar taxas mais elevadas para alguns utilizadores de dados de saúde, se a gestão dos seus pedidos de acesso aos dados de saúde e pedidos de dados de saúde exigir mais trabalho. Os detentores de dados de saúde deverão também ser autorizados a cobrar taxas pela disponibilização dos dados que reflitam os seus custos. Os organismos responsáveis pelo acesso aos dados de saúde deverão determinar o valor dessas taxas, que também poderá incluir as taxas solicitadas pelos detentores de dados de saúde. O organismo responsável pelo acesso aos dados de saúde deverá cobrar essas taxas ao utilizador dos dados de saúde numa única fatura. O organismo responsável pelo acesso aos dados de saúde deverá depois transferir a parte pertinente das taxas pagas para o detentor dos dados de saúde. A fim de assegurar uma abordagem harmonizada das políticas em matéria de taxas e da estrutura das taxas, deverão ser atribuídas competências de execução à Comissão. As disposições do artigo 10.o do Regulamento (UE) 2023/2854 deverão aplicar-se às taxas cobradas ao abrigo do presente regulamento.

(71)

A fim de reforçar a aplicação das regras relativas à utilização secundária, deverão ser previstas medidas adequadas que possam conduzir à imposição de coimas ou medidas de execução pelos organismos responsáveis pelo acesso aos dados de saúde ou à exclusão temporária ou definitiva do âmbito do EEDS dos utilizadores de dados de saúde ou detentores de dados de saúde que não cumpram as suas obrigações. O organismo responsável pelo acesso aos dados de saúde deverá estar habilitado a verificar a conformidade dos utilizadores de dados de saúde e dos detentores dos dados de saúde e dar-lhes a oportunidade de responder a constatações e de corrigir infrações. Quando decidem do montante da coima ou das medidas de execução a aplicar em cada caso individual, os organismos responsáveis pelo acesso aos dados de saúde deverão ter em conta as margens de custos e os critérios fixados no presente regulamento, zelando por que essas coimas ou medidas sejam proporcionadas.

(72)

Dada a sensibilidade dos dados de saúde eletrónicos, é necessário reduzir os riscos para a privacidade das pessoas singulares, aplicando o princípio da minimização dos dados. Por conseguinte, deverão ser disponibilizados dados de saúde eletrónicos não pessoais sempre que a disponibilização desses dados seja suficiente. Se tiver necessidade de utilizar dados de saúde eletrónicos pessoais, o utilizador dos dados de saúde deverá indicar claramente no seu pedido a justificação para a utilização desse tipo de dados e o organismo responsável pelo acesso aos dados de saúde deverá avaliar se essa justificação é válida. Os dados de saúde eletrónicos pessoais só deverão ser disponibilizados em formato pseudonimizado. Tendo em conta os fins específicos do tratamento, os dados de saúde eletrónicos pessoais deverão ser pseudonimizados ou anonimizados o mais cedo possível no processo de disponibilização dos dados para utilização secundária. A pseudonimização e a anonimização deverão poder ser efetuadas pelos organismos responsáveis pelo acesso aos dados de saúde ou pelos detentores de dados de saúde. Deverá ser permitido aos organismos responsáveis pelo acesso aos dados de saúde e aos detentores de dados de saúde, enquanto responsáveis pelo tratamento, delegar estas tarefas em subcontratantes. Quando faculta o acesso a um conjunto de dados pseudonimizado ou anonimizado, um organismo responsável pelo acesso aos dados de saúde deverá utilizar normas e tecnologias de pseudonimização ou anonimização de ponta, assegurando, tanto quanto possível, que as pessoas singulares não possam ser reidentificadas pelos utilizadores de dados de saúde. Estas normas e tecnologias de pseudonimização ou anonimização de dados deverão continuar a ser melhoradas. Os utilizadores dos dados de saúde não deverão tentar reidentificar pessoas singulares a partir do conjunto de dados prestado ao abrigo do presente regulamento e, se o fizerem, deverão ser sujeitos à aplicação de coimas e medidas de execução previstas no presente regulamento ou de eventuais sanções penais, sempre que o direito nacional o preveja. Além disso, um requerente de dados de saúde deverá poder solicitar uma resposta a um pedido de dados de saúde num formato estatístico anonimizado. Nestes casos, o utilizador dos dados de saúde apenas trata os dados de saúde não pessoais e o organismo responsável pelo acesso aos dados de saúde continua a ser o único responsável pelo tratamento de quaisquer dados pessoais necessários para responder ao pedido de dados de saúde.

(73)

A fim de assegurar que todos os organismos responsáveis pelo acesso aos dados de saúde emitam autorizações de tratamento de dados de forma semelhante, é necessário prever um processo comum normalizado para a emissão de autorizações de tratamento de dados, mediante pedidos de acesso semelhantes nos diferentes Estados-Membros. O requerente de dados de saúde deverá facultar aos organismos responsáveis pelo acesso aos dados de saúde vários elementos de informação que os ajudem a avaliar o pedido de acesso aos dados de saúde e a decidir se o requerente de dados de saúde pode receber uma autorização de tratamento e deverá ser assegurada a coerência entre os diferentes organismos responsáveis pelo acesso aos dados de saúde. As informações facultadas no âmbito do pedido de acesso aos dados de saúde deverão cumprir os requisitos previstos no presente regulamento, para permitir a sua avaliação exaustiva, uma vez que uma autorização de tratamento de dados só deverá ser emitida se estiverem preenchidas todas as condições necessárias previstas no presente regulamento. Além disso, se for caso disso, essas informações deverão incluir uma declaração do requerente de dados de saúde que ateste que a utilização prevista dos dados de saúde solicitados não representa um risco de estigmatização ou de dano à dignidade das pessoas singulares ou dos grupos com os quais o conjunto de dados solicitado está relacionado. Poderá ser solicitada uma avaliação ética com base no direito nacional. Nesse caso, os organismos de ética existentes deverão poder realizar essas avaliações para o organismo responsável pelo acesso aos dados de saúde. Os organismos de ética existentes dos Estados-Membros deverão pôr os seus conhecimentos especializados à disposição do organismo responsável pelo acesso aos dados de saúde para esse fim. Em alternativa, os Estados-Membros deverão poder prever que os organismos de ética façam parte do organismo responsável pelo acesso aos dados de saúde. O organismo responsável pelo acesso aos dados de saúde e, se for caso disso, os detentores dos dados de saúde, deverão prestar assistência aos utilizadores dos dados de saúde na seleção dos conjuntos ou fontes de dados adequados para a finalidade prevista da utilização secundária. Se o requerente de dados de saúde necessitar de dados num formato estatístico anonimizado, deverá apresentar um pedido de dados de saúde, solicitando que o organismo responsável pelo acesso aos dados de saúde forneça diretamente o resultado. A recusa de uma autorização de tratamento de dados pelo organismo responsável pelo acesso aos dados de saúde não deverá impedir o requerente de dados de saúde de apresentar um novo pedido de acesso aos dados de saúde. A fim de assegurar uma abordagem harmonizada entre os organismos responsáveis pelo acesso aos dados de saúde e limitar os encargos administrativos para os requerentes de dados de saúde, a Comissão deverá apoiar a harmonização dos pedidos de acesso a dados de saúde e dos pedidos de dados de saúde, inclusive prevendo os modelos adequados. Em casos justificados, como, por exemplo, no caso de um pedido complexo e oneroso, o organismo responsável pelo acesso aos dados de saúde deverá ser autorizado a prorrogar o prazo previsto para os detentores dos dados de saúde lhe facultarem os dados de saúde eletrónicos solicitados.

(74)

Uma vez que os seus recursos são limitados, deverá ser permitido aos organismos responsáveis pelo acesso aos dados de saúde aplicar regras para a atribuição de prioridades, por exemplo dando prioridade às instituições públicas em relação às entidades privadas, mas não deverão discriminar entre as organizações nacionais e as organizações de outros Estados-Membros dentro da mesma categoria de prioridades. Um utilizador dos dados de saúde deverá poder prolongar a duração da autorização de tratamento de dados, a fim de, nomeadamente, permitir o acesso dos revisores de publicações científicas aos conjuntos de dados ou uma análise adicional do conjunto de dados com base nas constatações iniciais. Deverá ser necessário, para este efeito, uma alteração da autorização de tratamento de dados, que poderá implicar o pagamento de uma taxa adicional. No entanto, em todos os casos, a autorização de tratamento de dados deverá refletir essas utilizações adicionais do conjunto de dados. De preferência, o utilizador dos dados de saúde deverá mencioná-las no seu pedido inicial de acesso a dados de saúde. De modo a assegurar uma abordagem harmonizada entre os organismos responsáveis pelo acesso aos dados de saúde, a Comissão deverá apoiar a harmonização das autorizações de tratamento de dados.

(75)

Como a crise da COVID-19 demonstrou, as instituições, órgãos e organismos da União com mandato legal no domínio da saúde pública, em especial a Comissão, necessitam de acesso a dados de saúde durante um período mais longo e de forma recorrente. Pode ser este o caso não só para circunstâncias específicas previstas no direito da União ou nacional em períodos de crise, mas também para facultar regularmente bases científicas e apoio técnico às políticas da União. O acesso a esses dados poderá ser exigido em determinados Estados-Membros ou em todo o território da União. Tais instituições, órgãos e organismos da União deverão poder usufruir de um procedimento acelerado para que os dados sejam, por regra, disponibilizados em menos de dois meses, com a possibilidade de prorrogar o prazo por um mês nos casos mais complexos.

(76)

Os Estados-Membros deverão poder designar detentores de dados de confiança para os quais o procedimento de emissão de autorizações de tratamento de dados possa ser efetuado de forma simplificada, a fim de minimizar os encargos administrativos para os organismos responsáveis pelo acesso aos dados de saúde decorrentes da gestão de pedidos relativos aos dados por eles tratados. Os detentores de dados de saúde de confiança deverão poder avaliar os pedidos de acesso aos dados apresentados ao abrigo deste procedimento simplificado, com base nos seus conhecimentos especializados no tratamento do tipo de dados de saúde em causa, e emitir uma recomendação relativa a uma autorização de tratamento de dados. O organismo responsável pelo acesso aos dados de saúde deverá continuar a ser responsável pela emissão da autorização final de tratamento de dados e não deverá ficar vinculado à recomendação emitida pelo detentor dos dados de saúde de confiança. As entidades de intermediação de dados de saúde não deverão ser designadas como detentores de dados de saúde de confiança.

(77)

Dada a sensibilidade dos dados de saúde eletrónicos, os utilizadores dos dados de saúde não deverão ter acesso ilimitado aos mesmos. O acesso aos dados de saúde eletrónicos solicitados para utilização secundária deverá ser efetuado através de um ambiente de tratamento seguro. A fim de garantir a existência de salvaguardas técnicas e de segurança robustas para os dados de saúde eletrónicos, o organismo responsável pelo acesso aos dados de saúde ou, se for caso disso, o detentor dos dados de segurança de confiança deverá facultar o acesso a esses dados num ambiente de tratamento seguro, em conformidade com as elevadas normas técnicas e de segurança fixadas nos termos do presente regulamento. O tratamento de dados pessoais num ambiente seguro de tratamento deverá cumprir o disposto no Regulamento (UE) 2016/679, incluindo, se o ambiente seguro de tratamento for gerido por terceiros, os requisitos do artigo 28.o desse regulamento e, quando aplicável, do capítulo V desse regulamento. Esse ambiente de tratamento seguro deverá reduzir os riscos para a privacidade relacionados com essas atividades de tratamento e impedir que os dados de saúde eletrónicos sejam transmitidos diretamente aos utilizadores dos dados de saúde. O organismo responsável pelo acesso aos dados de saúde ou o detentor dos dados de saúde que presta este serviço deverá manter sempre o controlo do acesso aos dados de saúde eletrónicos, e o acesso concedido aos utilizadores dos dados de saúde deverá ser determinado pelas condições da autorização de tratamento de dados emitida. Apenas os dados de saúde eletrónicos não pessoais que não contenham quaisquer dados de saúde eletrónicos pessoais deverão ser descarregados desse ambiente de tratamento seguro pelos utilizadores de dados de saúde. Por conseguinte, um tal ambiente de tratamento seguro constitui uma garantia essencial para salvaguardar os direitos e as liberdades das pessoas singulares no que diz respeito ao tratamento dos seus dados de saúde eletrónicos para utilização secundária. A Comissão deverá ajudar os Estados-Membros no desenvolvimento de normas de segurança comuns a fim de promover a segurança e a interoperabilidade dos vários ambientes seguros de tratamento.

(78)

O Regulamento (UE) 2022/868 prevê as regras gerais para a gestão do altruísmo de dados. Dado que o sector da saúde gere dados sensíveis, deverão ser fixados critérios adicionais através do conjunto das regras a que se refere esse regulamento. Sempre que tais regras prevejam a utilização de um ambiente de tratamento seguro para esse sector, este deverá cumprir os critérios fixados no presente regulamento. Os organismos responsáveis pelo acesso aos dados de saúde deverão cooperar com as autoridades competentes designadas ao abrigo do Regulamento (UE) 2022/868 para supervisionar a atividade das organizações de altruísmo de dados no sector da saúde ou da prestação de cuidados.

(79)

Para o tratamento de dados de saúde eletrónicos no âmbito de uma autorização de tratamento de dados ou de um pedido de dados de saúde, os detentores de dados de saúde, incluindo os detentores de dados de saúde de confiança, os organismos responsáveis pelo acesso aos dados de saúde e os utilizadores dos dados de saúde deverão, à vez, ser considerados responsáveis pelo tratamento para uma parte específica do processo e de acordo com as respetivas funções nesse processo. Os detentores dos dados de saúde deverão ser considerados responsáveis pelo tratamento para a divulgação dos dados de saúde eletrónicos pessoais solicitados aos organismos responsáveis pelo acesso aos dados de saúde, enquanto os organismos responsáveis pelo acesso aos dados de saúde deverão, por sua vez, ser considerados responsáveis pelo tratamento dos dados de saúde eletrónicos pessoais aquando da preparação dos dados e da sua disponibilização ao utilizador dos dados de saúde. Os utilizadores dos dados de saúde deverão ser considerado responsáveis pelo tratamento dos dados de saúde eletrónicos pessoais em formato pseudonimizado no ambiente de tratamento seguro nos termos das suas autorizações de tratamento de dados. Os organismos responsáveis pelo acesso aos dados de saúde deverão ser considerados subcontratantes em nome do utilizador dos dados de saúde para o tratamento efetuado pelo utilizador dos dados de saúde, mediante uma autorização de tratamento de dados, no ambiente de tratamento seguro, bem como para o tratamento destinado a dar uma resposta a um pedido de dados de saúde. De igual modo, os detentores dos dados de saúde de confiança deverão ser considerados responsáveis pelo seu tratamento de dados de saúde eletrónicos pessoais relacionados com a disponibilização de dados de saúde eletrónicos ao utilizador de dados de saúde nos termos de uma autorização de tratamento de dados ou de um pedido de dados. Os detentores de dados de saúde de confiança deverão considerar-se subcontratantes para o utilizador de dados de saúde quando disponibilizam dados através de um ambiente de tratamento seguro.

(80)

Para alcançar um regime inclusivo e sustentável para a utilização secundária plurinacional de dados de saúde eletrónicos, deverá ser criada uma infraestrutura transfronteiriça «Dados de saúde @ UE» (HealthData@EU). A «Dados de saúde @ UE» deverá acelerar a utilização secundária, aumentando simultaneamente a segurança jurídica, respeitando a privacidade das pessoas singulares e assegurando a interoperabilidade. Dada a sensibilidade dos dados de saúde, deverão ser respeitados, sempre que possível, princípios como a «privacidade desde a conceção», a «privacidade por defeito» e o conceito de «interrogar os dados onde estes estão localizados, em vez de transferir dados». Os Estados-Membros deverão designar pontos de contacto nacionais para a utilização secundária, como portais organizacionais e técnicas para os organismos responsáveis pelo acesso aos dados de saúde, e ligar esses pontos de contacto à «Dados de saúde @ UE». O serviço de acesso aos dados de saúde da União também deverá estar ligado à «Dados de saúde @ UE». Além disso, os participantes autorizados na «Dados de saúde @ UE» podem ser infraestruturas de investigação criadas sob a forma de Consórcio para uma Infraestrutura Europeia de Investigação (ERIC, do inglês European Research Infrastructure Consortium) ao abrigo do Regulamento (CE) n.o 723/2009 do Conselho (19), como um consórcio para uma infraestrutura digital europeia (EDIC, do inglês European digital infrastructure consortium) ao abrigo da Decisão (UE) 2022/2481, ou infraestruturas semelhantes criadas ao abrigo de outro direito da União, assim como outros tipos de entidades, incluindo infraestruturas no âmbito do Fórum Estratégico Europeu para Infraestruturas de Investigação (ESFRI, do inglês European Strategy Forum on Research Infrastructures) ou infraestruturas federadas no âmbito da Nuvem Europeia para a Ciência Aberta (EOSC, do inglês European Open Science Cloud). Países terceiros e organizações internacionais podem igualmente tornar-se participantes autorizados na «Dados de saúde @ UE», desde que cumpram os requisitos do presente regulamento. A Comunicação da Comissão de 19 de fevereiro de 2020 intitulada «Uma estratégia europeia para os dados» promoveu a ligação dos vários espaços comuns europeus de dados. A «Dados de saúde @ UE» deverá, portanto, permitir a utilização secundária de diferentes categorias de dados de saúde eletrónicos, incluindo a ligação dos dados de saúde a dados de outros espaços de dados, como os relacionados com o ambiente, a agricultura e o sector social. Tal interoperabilidade entre o sector da saúde e outros sectores como o ambiental, o agrícola ou o social poderá ser relevante para obter conhecimentos adicionais sobre os determinantes da saúde. A Comissão poderá prestar um conjunto de serviços na «Dados de saúde @ UE», incluindo o apoio ao intercâmbio de informações entre os organismos responsáveis pelo acesso aos dados de saúde e os participantes autorizados na «Dados de saúde @ UE» para o tratamento de pedidos de acesso transfronteiriços, a manutenção de catálogos de dados de saúde eletrónicos disponíveis através da infraestrutura, a capacidade de descoberta das redes e consultas de metadados, a conectividade e os serviços de conformidade. A Comissão poderá igualmente criar um ambiente de tratamento seguro que permita a transmissão e análise de dados provenientes de diferentes infraestruturas nacionais, a pedido dos responsáveis pelo tratamento. Por razões de eficiência informática, racionalização e interoperabilidade dos intercâmbios de dados, os sistemas existentes de partilha de dados deverão ser reutilizados tanto quanto possível, à semelhança dos que estão a ser construídos para o intercâmbio de elementos de prova ao abrigo do sistema técnico baseado no «princípio da declaração única», previsto no Regulamento (UE) 2018/1724 do Parlamento Europeu e do Conselho (20).

(81)

Além disso, uma vez que a ligação à «Dados de saúde @ UE» poderá implicar transferências de dados pessoais relacionados com o requerente ou o utilizador dos dados de saúde para países terceiros, para tais transferências terão de existir instrumentos de transferência pertinentes ao abrigo do capítulo V do Regulamento (UE) 2016/679.

(82)

No caso de registos ou bases de dados transfronteiriços, como os registos das redes europeias de referência para as doenças raras, que recebem dados de diferentes prestadores de cuidados de saúde em vários Estados-Membros, o organismo responsável pelo acesso aos dados de saúde do Estado-Membro onde estiver localizado o coordenador do registo deverá ser responsável por facultar o acesso aos dados.

(83)

O processo de autorização para obter acesso a dados de saúde pessoais eletrónicos em diferentes Estados-Membros pode ser repetitivo e complicado para os utilizadores dos dados de saúde. Sempre que possível, deverão ser criadas sinergias para reduzir os encargos e os obstáculos para os utilizadores dos dados de saúde. Uma forma de alcançar este objetivo consiste em respeitar o princípio do «pedido único», segundo o qual, com um único pedido, o utilizador dos dados de saúde pode obter autorização de vários organismos responsáveis pelo acesso a dados de saúde em diferentes Estados-Membros ou participantes autorizados na «Dados de saúde @ UE».

(84)

Os organismos responsáveis pelo acesso aos dados de saúde deverão prestar informações sobre os conjuntos de dados disponíveis e as suas características, para que os utilizadores dos dados de saúde possam ser informados de factos elementares sobre o conjunto de dados e avaliar a possível relevância desses factos para tais utilizadores. Por esta razão, cada conjunto de dados deverá incluir, no mínimo, informações respeitantes à fonte e à natureza dos dados e às condições de disponibilização dos dados. O detentor dos dados de saúde deverá verificar, no mínimo, todos os anos, se a descrição do seu conjunto de dados no catálogo nacional de conjuntos de dados é exata e está atualizada. Por conseguinte, deverá ser criado um catálogo de conjuntos de dados da UE para facilitar a possibilidade de descoberta dos conjuntos de dados disponíveis no EEDS; ajudar os detentores de dados de saúde a publicar os seus conjuntos de dados; prestar a todas as partes interessadas, incluindo o público em geral, tendo em conta as necessidades específicas das pessoas com deficiência, informações sobre os conjuntos de dados colocados no EEDS, tais como rótulos de qualidade e de utilidade e fichas de informação sobre conjuntos de dados; e prestar aos utilizadores dos dados de saúde informações atualizadas sobre a qualidade e utilidade dos dados relativamente aos conjuntos de dados.

(85)

As informações sobre a qualidade e a utilidade dos conjuntos de dados aumentam significativamente o valor dos resultados da investigação e inovação com utilização intensiva de dados, promovendo simultaneamente a tomada de decisões em matéria de regulamentação e de políticas com base em dados concretos. A melhoria da qualidade e da utilidade dos conjuntos de dados através de uma escolha informada dos clientes e a harmonização dos requisitos conexos a nível da União, tendo em conta as normas, orientações e recomendações internacionais e da União existentes em matéria de recolha e intercâmbio de dados, tais como os princípios FAIR, também beneficiam os detentores dos dados de saúde, os profissionais de saúde, as pessoas singulares e a economia da União em geral. Um rótulo de qualidade e utilidade dos dados para os conjuntos de dados informaria os utilizadores dos dados de saúde sobre as características de qualidade e utilidade de um conjunto de dados e permitir-lhes-ia escolher os conjuntos de dados que melhor se adequassem às suas necessidades. O rótulo de qualidade e utilidade dos dados não deverá impedir a disponibilização de conjuntos de dados através do EEDS, mas sim proporcionar um mecanismo de transparência entre os detentores de saúde e os utilizadores dos dados de saúde. Por exemplo, um conjunto de dados que não cumpra qualquer requisito de utilidade e qualidade dos dados deverá ser rotulado com a classe que representa a qualidade e a utilidade mais fracas, mas deverá continuar a ser disponibilizado. As expectativas previstas nos regimes criados nos termos do artigo 10.o do Regulamento (UE) 2024/1689 e a respetiva documentação técnica pertinente especificada no anexo IV desse regulamento deverão ser tidas em conta ao elaborar o regime relativo à qualidade e utilidade dos dados. Os Estados-Membros deverão sensibilizar para o rótulo de qualidade e utilidade dos dados por intermédio de atividades de comunicação. A Comissão pode apoiar essas atividades. Os utilizadores poderiam privilegiar a utilização de conjuntos de dados em função da sua utilidade e qualidade.

(86)

O catálogo de conjuntos de dados da UE deverá minimizar os encargos administrativos para os detentores de dados de saúde e outros utilizadores de bases de dados, deverá ser de fácil utilização, acessível e eficaz em termos de custos e deverá ligar os catálogos nacionais de conjuntos de dados e evitar o registo redundante de conjuntos de dados. Sem prejuízo dos requisitos previstos no Regulamento (UE) 2022/868, o catálogo de conjuntos de dados da UE poderá ser harmonizado com a iniciativa data.europa.eu. Deverá ser garantida a interoperabilidade entre o catálogo de conjuntos de dados da UE, os catálogos nacionais de conjuntos de dados e os catálogos de conjuntos de dados das infraestruturas de investigação europeias e de outras infraestruturas pertinentes de partilha de dados.

(87)

Diferentes organizações profissionais, a Comissão e outras instituições estão atualmente a cooperar e a trabalhar para criar campos mínimos de dados e outras características de diferentes conjuntos de dados como, por exemplo, registos. Esse trabalho está mais avançado em domínios como o cancro, as doenças raras, as doenças cardiovasculares e metabólicas, a avaliação de fatores de risco e as estatísticas e deverá ser tomado em conta quando da definição de novas normas e modelos harmonizados específicos de cada doença para elementos de dados estruturados. Contudo, muitos conjuntos de dados não estão harmonizados, suscitando problemas de comparabilidade e dificultando a investigação transfronteiriça. Por conseguinte, deverão ser previstas regras mais pormenorizadas em atos de execução, a fim de assegurar a harmonização da codificação e do registo de dados de saúde eletrónicos e garantir a coerência da disponibilização desses dados para utilização secundária. Esses conjuntos de dados podem conter dados de registos de doenças raras, bases de dados de medicamentos órfãos, registos oncológicos e registos de doenças infecciosas altamente pertinentes. Os Estados-Membros deverão trabalhar no sentido de assegurar que os sistemas e serviços de saúde digitais europeus e as aplicações interoperáveis proporcionam benefícios económicos e sociais sustentáveis, com vista a alcançar um elevado nível de confiança e segurança, reforçar a continuidade dos cuidados de saúde e garantir o acesso a cuidados de saúde seguros e de elevada qualidade. As infraestruturas e os registos de dados de saúde existentes podem constituir modelos que sejam úteis para a definição e aplicação de normas em matéria de dados e da interoperabilidade, e deverão ser aproveitados para permitir a continuidade e tirar partido dos conhecimentos especializados existentes.

(88)

A Comissão deverá apoiar os Estados-Membros na consolidação das capacidades e na melhoria da eficácia no domínio dos sistemas de saúde digitais para a utilização primária e utilização secundária. Os Estados-Membros deverão ser apoiados para reforçar a sua capacidade. Constituem medidas pertinentes a esse respeito certas atividades a nível da União, como avaliações comparativas e o intercâmbio de boas práticas. Essas atividades deverão ter em conta as circunstâncias específicas das diferentes categorias de partes interessadas, como representantes da sociedade civil, os investigadores, as sociedades médicas e as PME.

(89)

Melhorar a literacia digital no domínio da saúde, tanto das pessoas singulares como dos profissionais de saúde, é essencial para a confiança e a segurança e a utilização adequada dos dados de saúde e, como tal, é essencial para conseguir uma bem sucedida aplicação do presente regulamento. Os profissionais de saúde enfrentam profundas mudanças no contexto da digitalização e terão à sua disposição outras ferramentas digitais aquando da aplicação do EEDS. Consequentemente, os profissionais de saúde precisam de melhorar a sua literacia digital no domínio da saúde e suas competências digitais, e os Estados-Membros deverão disponibilizar, aos profissionais de saúde, acesso a cursos de literacia digital para que estes se possam preparar para trabalhar com sistemas de RSE. Esses cursos deverão permitir aos profissionais de saúde e aos operadores informáticos receberem formação suficiente para trabalhar com as novas infraestruturas digitais, com vista a garantir a cibersegurança e uma gestão ética dos dados de saúde. Os cursos de formação deverão ser preparados, revistos e atualizados regularmente, em consulta e concertação com os peritos pertinentes. A melhoria da literacia digital no domínio da saúde é essencial para permitir às pessoas singulares exercerem um verdadeiro controlo sobre os seus dados de saúde, gerirem ativamente a sua saúde e os seus cuidados e compreenderem as implicações da gestão desses dados, tanto para utilização primária como para utilização secundária. Os diferentes grupos demográficos têm níveis variáveis de literacia digital, o que pode afetar a capacidade de as pessoas singulares exercerem os seus direitos de controlo sobre os seus dados de saúde eletrónicos. Os Estados-Membros, designadamente as autoridades regionais e locais, deverão, portanto, apoiar a literacia digital no domínio da saúde e a sensibilização do público, assegurando ao mesmo tempo que a aplicação do presente regulamento contribua para reduzir as desigualdades e não discrimine as pessoas que não dispõem de competências digitais. Deverá ser dada especial atenção às pessoas com deficiência e aos grupos vulneráveis, incluindo os migrantes e os idosos. Os Estados-Membros deverão criar programas nacionais específicos para a literacia digital, incluindo programas para maximizar a inclusão social e garantir que todas as pessoas singulares sejam capazes de exercer eficazmente os seus direitos ao abrigo do presente regulamento. Os Estados-Membros deverão ainda disponibilizar às pessoas singulares orientações centradas no doente no que respeita à utilização dos registos de saúde eletrónicos e à utilização primária dos seus dados de saúde eletrónicos pessoais. Essas orientações deverão ser adaptadas ao nível de literacia digital do doente no domínio da saúde, prestando especial atenção às necessidades dos grupos vulneráveis.

(90)

A utilização dos fundos deverá também contribuir para a consecução dos objetivos do EEDS. Os compradores públicos, as autoridades nacionais competentes dos Estados-Membros, incluindo as autoridades de saúde digital e os organismos responsáveis pelo acesso aos dados de saúde, e a Comissão, deverão fazer referência às especificações técnicas, normas e perfis aplicáveis em matéria de interoperabilidade, segurança e qualidade dos dados, bem como a outros requisitos elaborados nos termos do presente regulamento, ao definirem as condições para os contratos públicos, os convites à apresentação de propostas e a atribuição de fundos da União, incluindo os fundos estruturais e de coesão. Os fundos da União devem ser distribuídos de forma transparente pelos Estados-Membros, em função dos diferentes níveis de digitalização dos sistemas de saúde. A disponibilização de dados para utilização secundária exige recursos adicionais para os sistemas de saúde, mormente os sistemas de saúde públicos. Esse encargo adicional deverá ser visado e minimizado durante a fase de implementação do EEDS.

(91)

A implementação do EEDS exige investimentos adequados no reforço das capacidades e na formação, além de um compromisso devidamente financiado no tocante à participação e consulta públicas tanto a nível da União como a nível nacional. Os custos económicos da aplicação do presente regulamento devem ser suportados tanto a nível da União como nacional, devendo determinar-se uma repartição justa desses encargos entre os fundos da União e os fundos nacionais.

(92)

Certas categorias de dados de saúde eletrónicos podem continuar a ser particularmente sensíveis, mesmo quando se apresentam em formato anonimizado e, por conseguinte, não pessoal, como já previsto especificamente no Regulamento (UE) 2022/868. Mesmo quando são utilizadas técnicas de anonimização de ponta, continua a existir um risco residual de que a capacidade de reidentificação possa estar ou ficar disponível, para além dos meios razoavelmente suscetíveis de serem utilizados. Esse risco residual está presente em relação a doenças raras, isto é, uma doença potencialmente fatal ou cronicamente debilitante que afeta não mais de cinco em cada dez mil pessoas na União, em que o número limitado de casos reduz a possibilidade de agregar totalmente os dados publicados, a fim de preservar a privacidade das pessoas singulares, mantendo simultaneamente um nível adequado de granularidade para se manterem significativos. Tal risco residual pode afetar diferentes categorias de dados de saúde e pode conduzir à reidentificação dos titulares dos dados utilizando meios que vão além dos que são razoavelmente suscetíveis de serem utilizados. Tal risco depende do nível de granularidade, de descrição das características dos titulares dos dados, do número de pessoas afetadas, por exemplo, no caso de dados incluídos em registos de saúde eletrónicos, registos de doenças, biobancos e dados gerados por pessoas, em que o leque das características de identificação é mais vasto e em que a possível combinação com outras informações, como por exemplo em áreas geográficas muito pequenas, ou através da evolução tecnológica de métodos que não estavam disponíveis no momento da anonimização. Essa reidentificação das pessoas singulares constituiria uma grande preocupação e seria suscetível de pôr em risco a aceitação das regras relativas à utilização secundária previstas no presente regulamento. Além disso, as técnicas de agregação são menos testadas no que diz respeito aos dados não pessoais que contêm, por exemplo, segredos comerciais, como no caso dos relatórios de ensaios clínicos e investigações clínicas, e é mais difícil combater violações de segredos comerciais fora da União na ausência de um nível suficiente de proteção internacional. Por conseguinte, para essas categorias de dados de saúde, continua a existir um risco de reidentificação após a anonimização ou agregação, que não pode ser razoavelmente atenuado numa fase inicial. Tal enquadra-se nos critérios indicados no artigo 5.o, n.o 13, do Regulamento (UE) 2022/868. Esses tipos de dados de saúde enquadrar-se-iam, assim, na habilitação prevista no artigo 5.o, n.o 13, do referido regulamento para transferência para países terceiros. As condições especiais previstas no âmbito da habilitação prevista no artigo 5.o, n.o 13, do Regulamento (UE) 2022/868 serão pormenorizadas no contexto do ato delegado adotado ao abrigo dessa habilitação, e devem ser proporcionais ao risco de reidentificação, e teriam de ter em conta as especificidades das diferentes categorias de dados ou das diferentes técnicas de anonimização ou agregação.

(93)

O tratamento de grandes quantidades de dados de saúde eletrónicos pessoais para as finalidades do EEDS, no âmbito das atividades de tratamento de dados no contexto da gestão dos pedidos de acesso a dados de saúde, das autorizações de tratamento de dados e dos pedidos de dados de saúde, envolve riscos maiores de acesso não autorizado a esses dados pessoais, assim como a possibilidade de ocorrência de incidentes de cibersegurança. Os dados de saúde eletrónicos pessoais são particularmente sensíveis, uma vez que contêm amiúde de informações abrangidas pelo sigilo médico, cuja divulgação a terceiros não autorizados pode causar inconvenientes importantes. Tendo plenamente em conta os princípios decorrentes da jurisprudência do Tribunal de Justiça da União Europeia, o presente regulamento assegura o pleno respeito dos direitos fundamentais, do direito à privacidade e do princípio da proporcionalidade. No intuito de assegurar a plena integridade e confidencialidade dos dados de saúde eletrónicos pessoais ao abrigo do presente regulamento, garantir um nível particularmente elevado de proteção e segurança e reduzir o risco de acesso ilícito a esses dados de saúde eletrónicos pessoais, o presente regulamento permite aos Estados-Membros requerer que o armazenamento e o tratamento de dados de saúde eletrónicos pessoais ocorram exclusivamente na União para efeitos de execução das tarefas previstas no presente regulamento, salvo se for aplicável uma decisão de adequação adotada nos termos do artigo 45.o do Regulamento (UE) 2016/679.

(94)

O acesso a dados de saúde eletrónicos deverá ser concedido a utilizadores de dados de saúde estabelecidos em países terceiros ou a organizações internacionais apenas com base no princípio da reciprocidade. A disponibilização de dados de saúde eletrónicos a um país terceiro só pode deverá ser autorizada no caso de a Comissão ter previsto, por meio de um ato de execução, que o país terceiro em causa autoriza o acesso a dados de saúde eletrónicos provenientes desse país terceiro por entidades da União nas mesmas condições e com as mesmas garantias que se estivessem a aceder a dados de saúde eletrónicos na União. A Comissão deverá monitorizar e proceder a uma revisão periódica da situação nesses países terceiros e para organizações internacionais e enumerar esses atos de execução. Se a Comissão considerar que um país terceiro deixou de assegurar o acesso nas mesmas condições, deverá revogar o ato de execução correspondente.

(95)

A fim de promover a aplicação coerente do presente regulamento, designadamente no que respeita à interoperabilidade transfronteiriça de dados eletrónicos de saúde, deverá ser criado um Conselho do Espaço Europeu de Dados de Saúde. A Comissão deverá participar nas suas atividades e copresidir ao mesmo. O Conselho do EEDS deverá poder emitir contributos por escrito relacionados com a aplicação coerente do presente regulamento em toda a União, nomeadamente ajudando os Estados-Membros a coordenar a utilização de dados de saúde eletrónicos para os cuidados de saúde e a certificação, mas também no que diz respeito à utilização secundária e ao financiamento dessas atividades. Tal poderá também incluir a partilha de informações sobre riscos e incidentes em ambientes de tratamento seguros. A partilha desse tipo de informações não prejudica as obrigações decorrentes de outros atos jurídicos, como as notificações de violação de dados ao abrigo do Regulamento (UE) 2016/679. Mais genericamente, as atividades do Conselho do EEDS não prejudicam os poderes das autoridades de controlo nos termos do Regulamento (UE) 2016/679. Uma vez que, a nível nacional, as autoridades de saúde digital que se ocupam da utilização primária podem ser diferentes dos organismos responsáveis pelo acesso aos dados de saúde que se ocupam da utilização secundária de dados de saúde eletrónicos, as funções diferem e existe a necessidade de uma cooperação distinta em cada um desses domínios, o Conselho do EEDS deverá poder criar subgrupos que se ocupem dessas duas funções, assim como outros subgrupos que sejam necessários. A fim de criar um método de trabalho eficiente, as autoridades de saúde digital e os organismos responsáveis pelo acesso aos dados de saúde deverão criar redes e ligações a nível nacional com outros organismos e autoridades, mas igualmente a nível da União. Esses organismos poderão incluir autoridades de proteção de dados, organismos de cibersegurança, identificação eletrónica e normalização, bem como organismos e grupos de peritos ao abrigo dos Regulamentos (UE) 2022/868, (UE) 2023/2854 e (UE) 2024/1689 e do Regulamento (UE) 2019/881 do Parlamento Europeu e do Conselho (21). O Conselho do EEDS deverá atuar de forma independente, no interesse público e em conformidade com o seu código de conduta.

(96)

Aquando do debate sobre questões que o Conselho do EEDS considerar terem relevância específica, este deverá poder convidar observadores como, por exemplo, a AEPD, representantes das instituições da União, notadamente o Parlamento Europeu, e outras partes interessadas.

(97)

Deverá ser criado um fórum das partes interessadas para assistir o Conselho do EEDS no desempenho das suas funções através da disponibilização de contributos das partes interessadas sobre matérias relacionadas com o presente regulamento. O fórum das partes interessadas deverá ser composto, nomeadamente, por representantes dos doentes e das organizações de consumidores, dos profissionais de saúde, do sector, dos investigadores científicos e do meio académico. Deverá ter uma composição equilibrada e representar as opiniões das diversas partes interessadas pertinentes. Cumpre assegurar a representação dos interesses quer comerciais quer não comerciais.

(98)

A fim de garantir a gestão corrente adequada das infraestruturas transfronteiriças para a utilização primária e utilização secundária de dados de saúde eletrónicos, torna-se necessário criar grupos de direção compostos por representantes dos Estados-Membros. Esses grupos de direção deverão tomar decisões operacionais sobre a gestão técnica corrente das infraestruturas transfronteiriças e o seu desenvolvimento técnico, nomeadamente sobre alterações técnicas às infraestruturas, com vista à melhoria de funcionalidades ou serviços ou à garantia da interoperabilidade com outras infraestruturas, sistemas digitais ou espaços de dados. As suas atividades não deverão incluir a contribuição para a elaboração de atos de execução que afetem essas infraestruturas. Os grupos de direção deverão igualmente poder convidar representantes de outros participantes autorizados na «Dados de saúde @ UE» para as suas reuniões na qualidade de observadores e deverão consultar os peritos pertinentes no exercício das suas funções.

(99)

Sem prejuízo de qualquer outra via de recurso administrativo, judicial ou extrajudicial, qualquer pessoa singular ou coletiva deverá ter o direito de apresentar reclamação a uma autoridade de saúde digital ou a um organismo responsável pelo acesso aos dados de saúde, se considerar que os seus direitos ou interesses ao abrigo do presente regulamento foram afetados. A investigação decorrente de uma reclamação deverá ser realizada, sob reserva de controlo jurisdicional, na medida adequada ao caso específico. A autoridade de saúde digital ou o organismo responsável pelo acesso aos dados de saúde deverá informar as pessoas singulares ou coletivas do progresso e do resultado da reclamação num prazo razoável. Se o processo exigir uma investigação ou coordenação mais aprofundadas com outra autoridade de saúde digital ou com outro organismo responsável pelo acesso aos dados de saúde, deverão ser prestadas informações no que diz respeito ao progresso do tratamento da reclamação às pessoas singulares ou coletivas. Com vista a facilitar a apresentação de reclamações, todas as autoridades de saúde digitais e todos os organismos responsáveis pelo acesso aos dados de saúde deverão tomar medidas, tais como a disponibilização de um formulário de apresentação de reclamações que também pode ser preenchido eletronicamente, sem prejuízo da possibilidade de serem utilizados outros meios de comunicação. Se a reclamação disser respeito aos direitos das pessoas singulares relacionados com a proteção dos seus dados pessoais, a autoridade de saúde digital ou o organismo responsável pelo acesso aos dados de saúde deverá transmitir a reclamação às autoridades de controlo ao abrigo do Regulamento (UE) 2016/679. As autoridades de saúde digital ou os organismos responsáveis pelo acesso aos dados de saúde deverão cooperar com vista ao tratamento e resolução das reclamações, designadamente através do intercâmbio de todas as informações pertinentes por via eletrónica, sem demora injustificada.

(100)

Se uma pessoa singular considerar que os direitos que lhe são conferidos pelo presente regulamento foram violados, deverá ter o direito de mandatar uma organização, uma associação ou um organismo sem fins lucrativos constituído ao abrigo do direito nacional, cujos objetivos estatutários sejam de interesse público e que exerça a sua atividade no domínio da proteção dos dados pessoais, para que apresente uma reclamação em seu nome.

(101)

A autoridade de saúde digital, o organismo responsável pelo acesso aos dados de saúde, o detentor dos dados de saúde ou o utilizador dos dados de saúde deverá compensar quaisquer danos que uma pessoa singular ou coletiva sofra em resultado uma violação do presente regulamento. O conceito de dano deverá ser interpretado em sentido lato à luz da jurisprudência do Tribunal de Justiça da União Europeia de uma forma que reflita plenamente os objetivos do presente regulamento. Tal não prejudica os pedidos de indemnização por danos provocados pela violação de outras disposições constantes do direito nacional ou da União. As pessoas singulares deverão ser integral e efetivamente indemnizadas pelos danos que tenham sofrido.

(102)

A fim de reforçar a execução das regras do presente regulamento, deverão ser impostas sanções, incluindo coimas, por violação do presente regulamento, para além, ou em substituição, das medidas adequadas que venham a ser impostas pelos organismos responsáveis pelo acesso aos dados de saúde, nos termos do presente regulamento. A imposição de sanções, incluindo coimas, deverá estar sujeita a garantias processuais adequadas em conformidade com os princípios gerais do direito da União e da Carta dos Direitos Fundamentais da União Europeia, incluindo o princípio da tutela jurisdicional efetiva e o direito a um processo equitativo.

(103)

Afigura-se adequado prever disposições que permitam aos organismos responsáveis pelo acesso aos dados de saúde aplicar coimas a determinadas infrações ao presente regulamento, mediante as quais determinadas infrações deverão ser consideradas graves ao abrigo do presente regulamento, tais como a reidentificação de pessoas singulares, o descarregamento de dados de saúde eletrónicos pessoais fora do ambiente de tratamento seguro ou o tratamento de dados para utilizações proibidas ou utilizações não abrangidas por uma autorização de tratamento de dados. O presente regulamento deverá definir tais infrações e o montante máximo e o critério de fixação do valor das coimas daí decorrentes, que deverá ser determinado pelo organismo responsável pelo acesso aos dados de saúde pertinente, em cada caso individual, tendo em conta todas as circunstâncias relevantes da situação específica, ponderando devidamente, em particular, a natureza, a gravidade e a duração da violação e das suas consequências e as medidas tomadas para garantir o cumprimento das obrigações constantes do presente regulamento e para prevenir ou atenuar as consequências da infração. Sempre que forem impostas coimas a empresas, estas deverão ser entendidas como empresas nos termos dos artigos 101.o e 102.o do TFUE para esse efeito. Deverá caber aos Estados-Membros determinar se as autoridades públicas deverão estar sujeitas a coimas e em que medida. A imposição de uma coima ou o envio de um aviso não afetam o exercício de outros poderes dos organismos responsáveis pelo acesso aos dados de saúde ou a aplicação de outras sanções previstas no presente regulamento.

(104)

A fim de assegurar que o EEDS cumpre os seus objetivos, o poder de adotar atos em conformidade com o artigo 290.o do TFUE deverá ser delegado na Comissão no que diz respeito à alteração, adição ou supressão, no anexo I, das principais características das categorias prioritárias de dados de saúde eletrónicos pessoais, a lista dos dados a introduzir pelos fabricantes de sistemas de RSE e de aplicações de bem-estar na base de dados da UE para registo de sistemas de RSE e aplicações de bem-estar, bem como a alteração, o aditamento ou a supressão de elementos a abranger pelo rótulo de qualidade e utilidade dos dados. É particularmente importante que a Comissão proceda às consultas adequadas durante os trabalhos preparatórios, inclusive a nível de peritos, e que essas consultas sejam conduzidas de acordo com os princípios previstos no Acordo Interinstitucional, de 13 de abril de 2016, sobre legislar melhor (22). Em particular, a fim de assegurar a igualdade de participação na preparação dos atos delegados, o Parlamento Europeu e o Conselho recebem todos os documentos ao mesmo tempo que os peritos dos Estados-Membros, e os respetivos peritos têm sistematicamente acesso às reuniões dos grupos de peritos da Comissão que tratem da preparação dos atos delegados.

(105)

A fim de assegurar condições uniformes para a execução do presente regulamento, deverão ser atribuídas competências de execução à Comissão no que diz respeito:

Essas competências deverão ser exercidas nos termos do Regulamento (UE) n.o 182/2011 do Parlamento Europeu e do Conselho (23).

(106)

Os Estados-Membros deverão tomar todas as medidas necessárias para assegurar a aplicação das disposições do presente regulamento, inclusive determinando sanções efetivas, proporcionadas e dissuasivas aplicáveis à sua violação. Ao decidirem o montante da sanção a aplicar em cada caso individual, os Estados-Membros deverão ter em conta as margens e os critérios fixados no presente regulamento. A reidentificação de pessoas singulares deverá ser considerada uma violação grave do presente regulamento.

(107)

A aplicação do EEDS exigirá um extenso trabalho de desenvolvimento em todos os Estados-Membros e nos serviços centrais. Para acompanhar os progressos a esse respeito, a Comissão deverá, até à plena aplicação do presente regulamento, apresentar um relatório anual sobre esses progressos tendo em conta as informações prestadas pelos Estados-Membros. Esses relatórios podem incluir recomendações de medidas corretivas, assim como uma avaliação dos progressos alcançados.

(108)

A fim de avaliar se o presente regulamento atinge os seus objetivos de forma eficaz e eficiente, se é coerente e continua a ser pertinente e se proporciona valor acrescentado a nível da União, a Comissão deverá proceder a uma avaliação do presente regulamento. A Comissão deverá proceder a uma avaliação específica do presente regulamento no prazo de oito anos a contar da sua entrada em vigor e a uma avaliação global no prazo de 10 anos a contar da sua entrada em vigor. A Comissão deverá apresentar relatórios sobre as suas principais conclusões após cada avaliação ao Parlamento Europeu e ao Conselho, ao Comité Económico e Social Europeu e ao Comité das Regiões.

(109)

Para garantir o sucesso da aplicação transfronteiriça do EEDS, o Quadro Europeu de Interoperabilidade, cujo âmbito foi atualizado e ampliado pela Comunicação da Comissão de 23 de março de 2017 intitulada «Quadro Europeu de Interoperabilidade — Estratégia de execução» com vista a abranger os requisitos, novos ou atualizados, de interoperabilidade, destinado a assegurar a interoperabilidade jurídica, organizacional, semântica e técnica, deverá ser considerado uma referência comum que garanta a interoperabilidade jurídica, organizacional, semântica e técnica.

(110)

Atendendo a que os objetivos do presente regulamento, a saber, capacitar as pessoas singulares através de um maior controlo sobre os seus dados de saúde eletrónicos pessoais e apoiar a sua liberdade de circulação assegurando que os seus dados de saúde as acompanham, promover um mercado interno genuíno de produtos e serviços de saúde digitais e para assegurar um regime coerente e eficiente para a reutilização dos dados de saúde das pessoas singulares para fins de investigação, inovação, elaboração de políticas e atividades de regulamentação, não podem ser suficientemente alcançados pelos Estados-Membros unicamente através de medidas de coordenação, tal como demonstrado pela avaliação dos aspetos digitais da Diretiva 2011/24/UE, mas podem, devido à harmonização das medidas relativas aos direitos das pessoas singulares em relação aos seus dados de saúde eletrónicos, à interoperabilidade dos dados de saúde eletrónicos e a um regime comum e garantias para a utilização primária e a utilização secundária, ser mais bem alcançados ao nível da União, a União pode tomar medidas em conformidade com o princípio da subsidiariedade consagrado no artigo 5.o do Tratado da União Europeia. Em conformidade com o princípio da proporcionalidade consagrado no mesmo artigo, o presente regulamento não excede o necessário para alcançar esses objetivos.

(111)

A avaliação dos aspetos digitais da Diretiva 2011/24/UE revela uma eficácia limitada da rede de saúde em linha, mas também que existe um forte potencial para os esforços da UE no domínio da saúde digital, conforme demonstrado pelo trabalho realizado durante a pandemia de COVID-19. Por conseguinte, a Diretiva 2011/24/UE deverá ser alterada em conformidade.

(112)

O presente regulamento complementa os requisitos essenciais de cibersegurança previstos no Regulamento (UE) 2024/2847. Os sistemas de RSE que sejam produtos com elementos digitais na aceção do Regulamento (UE) 2024/2847 e que, por conseguinte, deverá também cumprir os requisitos essenciais de cibersegurança previstos nesse regulamento. Os fabricantes desses sistemas de RSE deverão demonstrar conformidade com o disposto no presente regulamento. A fim de facilitar essa conformidade, os fabricantes deverão poder elaborar uma documentação técnica única que contenha os elementos exigidos por ambos os atos jurídicos. Deverá ser possível demonstrar a conformidade dos sistemas de RSE com os requisitos essenciais de cibersegurança previstos no Regulamento (UE) 2024/2847 através do modelo de avaliação previsto no presente regulamento, exceto no caso de utilização do ambiente de testes previsto no presente regulamento. No entanto, as partes do procedimento de avaliação de conformidade ao abrigo do presente regulamento relacionadas com a utilização de ambientes de testes não deverão ser aplicadas, uma vez que esses ambientes de testes não permitem uma avaliação de conformidade com os requisitos essenciais de cibersegurança. Uma vez que o Regulamento (UE) 2024/2847 não abrange diretamente o software como serviço (SaaS), os sistemas de RSE oferecidos através do modelo de licenciamento e entrega de SaaS não são abrangidos pelo âmbito de aplicação desse regulamento. Do mesmo modo, os sistemas de RSE desenvolvidos e utilizados internamente não são abrangidos pelo âmbito de aplicação do referido regulamento, uma vez que não são colocados no mercado.

(113)

A AEDP e o CEPD foram consultados nos termos do artigo 42.o, n.os 1 e 2 do Regulamento (UE) 2018/1725, e emitiram o seu parecer conjunto em 12 de julho de 2022.

(114)

O presente regulamento não afeta a aplicação das regras em matéria de concorrência, em particular dos artigos 101.o e 102.o do TFUE. As medidas previstas no presente regulamento não deverão ser utilizadas para restringir indevidamente a concorrência de forma contrária ao TFUE.

(115)

Dada a necessidade de preparação técnica, o presente regulamento deverá ser aplicável a partir de 26 de março de 2027. Para o êxito da implementação do EEDS e a criação de condições efetivas para a cooperação europeia no atinente aos dados de saúde, a aplicação deverá ser gradual,