Espacio Europeo de Datos de Salud: Propuesta de Reglamento
Indice
Propuesta de Reglamento sobre el Espacio Europeo de Datos de Salud («EHDS»)
Bajo la denominación de Espacio Europeo de Datos de Salud (EHDS) se está tramitando un Reglamento Europeo para regular un ecosistema de interconexión de datos de salud en formato electrónico a nivel comunitario, estableciendo una serie de pautas, límites y controles centralizados y homogeneizados en el acceso de este tipo de datos con fines estrictamente de atención sanitaria (uso primario), o de investigación, innovación u otros no asistenciales (usos secundarios).
Usos primarios: “Aquellos relativos a la prestación de servicios sanitarios destinados a evaluar, mantener o restablecer el estado de salud. P.ej. prescripción, dispensación y suministro de medicamentos y productos sanitarios, así como para los servicios pertinentes de seguridad social, administrativos o de reembolso”.
No te digo nada y te lo digo todo, Código de Conducta de Farmaindustria…
¿A quién aplica?
Artículo 1.3 – Sujetos obligados: “This Regulation applies to:
(a) manufacturers and suppliers of EHR systems and wellness applications placed on the market and put into service in the Union and the users of such products;
(b) controllers and processors established in the Union processing electronic health data of Union citizens and third-country nationals legally residing in the territories of Member States;
(c) controllers and processors established in a third country that has been connected to or are interoperable with MyHealth@EU, pursuant to Article 12(5);
(d) data users to whom electronic health data are made available by data holders in the Union.”
Objetivos interesantes
El objetivo del Reglamento sobre el Espacio Europeo de Datos de Salud (no es la primera vez que se intenta, como reconoce la propia norma) es que el profesional que atienda a un paciente dentro o fuera de su estado de residencia, pueda acceder a su historial médico con independencia de que la información se haya generado en un centro público o privado, de que ese centro esté en su estado de residencia o en otro diferente dentro de la UE.
Hablando en plata, dos cosas muy importantes:
La primera: Historia Médica europea: si estornudas al principio de tus vacaciones en la T-4 de Madrid, vas al médico en París y te acaban ingresando por neumonía en Berlín, los médicos franchutes y alemanes podrán consultar tu historia médica. Y a tu vuelta, también tu médico de cabecera podrá ver, sin enviar requisitorias judiciales, las pruebas que te hayan hecho y medicinas que te hayan prescrito durante tu viaje.
La segunda: interoperabilidad de la información: la pretendida (ya veremos) desaparición de los fosos defensivos que rodean algunos negocios, bien porque se han excavado a propósito o bien porque no se ha hecho los suficiente (léase: nada) por solucionarlos. En este caso se trata de la falta de interoperabilidad entre las bases de datos de los hospitales privados entre sí y con la sanidad pública, que obliga en el mejor de los casos a “llevarte puestos” los papelotes, cedeses o lo que sea con tus pruebas e informes para que el profesional de la sanidad pública o el de la privada al que pides una segunda opinión tenga que teclear penosamente la información para integrarlo en su propio (y seguramente igual de parcial sistema de gestión documental).
Off topic: gran oportunidad perdida para otra de las añejas reivindicaciones para favorecer el control por el paciente de sus propios datos: el acceso a los datos de la historia clínica «just in time» (después de la consulta) para simplemente recordar lo que te han dicho cuando no te has enterado bien porque estás mayor (le pasa a un amigo), o por ejemplo, uhm, porque estabas enfermo, para verificar que el profesional ha recogido correctamente los datos (los «cinco minutos de atención» no ayudan a esto).
Tratamientos secundarios
En el mismo sentido, en el Reglamento sobre el Espacio Europeo de Datos de Salud se pretende regular en detalle lo que sólo se ha bosquejado en otras normas publicadas o en trámite: la posibilidad (u obligación, depende del caso) para entidades públicas y privadas del sector de acceder a data sets previos para usos secundarios autorizados, de forma rutinaria y con todas las garantías desde el punto de vista de ciberseguridad y protección de datos personales.
Precisamente, esta regulación del acceso y tratamiento de datos de salud para usos secundarios (que ya hemos tratado por aquí y aquí), contempla importantes previsiones en materia de protección de datos y remisiones al RGPD. De ser aprobado con la redacción actual, será una normativa crítica en el tratamiento de datos de salud de ciudadanos europeos o extranjeros que residen en la UE[4] [5] incluyendo ensayos clínicos o investigación.
Esta norma se solapa (glabs) con la Data Governance Act, Data Act, NIS, la IA Act y desde luego, con el RGPD.
En el último sentido, amplía los derechos de acceso y portabilidad de los interesados, regula en detalle el régimen y aprobación de usos secundarios, formatos de escritura y almacenamiento de datos de salud, e impone la figura de corresponsables en buena parte de casos. Que ya era horita.
Cuestiones particulares sobre tratamientos secundarios de datos de salud
Como elementos más relevantes sobre este uso secundario de datos, cabe destacar los siguientes de esta propuesta de Reglamento:
- Creación de una autoridad nacional competente para autorizar accesos secundarios a datos: cada estado de la UE determinará un organismo que valorará las peticiones de acceso a los datos de salud electrónicos y decidirá sobre el acceso a los mismos para dichos fines secundarios
- Categorías de datos: el Reglamento contiene un listado de mínimos de las categorías de datos personales accesibles. P.ej. historia clínica electrónica, genéticos, genómicos, de ámbito administrativo, datos de identificación del profesional sanitario, datos de ensayos clínicos o de registros públicos, entre otros. (Artículo 33).
- Finalidades de tratamiento previstas: determina los usos concretos por las que se podrán tratar dichos datos de salud electrónicos P.ej. fines de interés público en salud pública (con garantía de altos niveles de calidad y seguridad de los medicamentos o productos sanitarios), o para investigación científica, formación, entrenamiento de algoritmos, entre otros. (Artículo 34).
- Finalidades prohibidas: en el artículo 35 se enumeran una serie de usos completamente prohibidos. Entre ellos, destacamos tres por su importancia en protección de datos personales:
- Tomar decisiones perjudiciales para el interesado. El RGPD prohíbe en general estas decisiones solamente cuando se toman mediante algoritmos de decisión completamente automatizada, pero la normativa propuesta no distingue;
- Remitir comunicaciones comerciales o marketing dirigidas a profesionales de la salud, organizaciones sanitarias o personas físicas; o
- Modificar coberturas o primas en contratos de seguro.
- Ceder datos a terceros de manera indebida.
- Minimización de datos: el acceso se autorizará en lo estrictamente necesarios y los datos se entregarán anonimizados, siempre que en esos términos sea posible cumplir con las finalidades establecidas. En caso de no ser posible, se entregarán de manera seudónima con estricta obligación no reidentificar o atacar dicha medida de seguridad. (Artículo 44).
- Duración del tratamiento: limitado a lo solicitado y con un máximo de 5 años, que puede prorrogarse mediante solicitud al organismo de acceso a los datos. (Artículo 46).
- Publicidad de los resultados de investigaciones autorizadas: se deberán hacer públicos los resultados anonimizados en un plazo máximo de 18 meses tras finalizar el tratamiento. (Artículo 46).
- Corresponsabilidad: el destinatario actuará como corresponsable del tratamiento junto con la entidad cedente de los datos. El contrato de corresponsabilidad deberá seguir el modelo que la Comisión Europea apruebe al respecto. (Artículo 51).
- Intercambio y acceso transfronterizo: para el intercambio, petición y control de los datos de salud electrónicos a nivel de la UE se creará la plataforma HealthData@EU. En dicha plataforma se deberán inscribir las entidades que deseen solicitar acceso a los datos, a fin de que la autoridad nacional decida sobre el mismo. (Art 52 a 54).
Darío López Rincón Jorge García Herrero
Foto de medico computadora creado por creativeart – www.freepik.es