Las empresas sanitarias se preparan para el gran cambio en la gestión de los datos de salud
La nueva norma europea impone exigencias técnicas y jurídicas que obligarán a las compañías del sector a rediseñar sistemas y contratos para cumplir en 2027
El pasado 25 de marzo entró en vigor el Reglamento (UE) 2025/327, relativo al Espacio Europeo de Datos de Salud (EEDS) y con ello el inicio del período transitorio para que las empresas del sector sanitario cumplan con lo que marca esta nueva normativa. La aplicación será progresiva hasta 2031 y las primeras obligaciones serán exigibles a partir de marzo de 2027. En este tiempo las compañías sanitarias, tecnológicas y del sector público deberán adaptar sus estructuras técnicas, jurídicas y contractuales a una regulación que busca facilitar la compartición segura de datos de salud electrónicos para usos asistenciales (primarios) y secundarios, como la investigación o la formulación de políticas sanitarias. “El reglamento supone una oportunidad estratégica para el desarrollo del sector, pero también impone exigencias importantes de adaptación”, advierte Paula Garralón, asociada del departamento de commercial y privacidad y protección de datos de Bird & Bird.
Uno de los principales retos es la interoperabilidad de los registros. Las historias clínicas electrónicas y otras fuentes de datos sanitarios deberán ajustarse a un formato estandarizado europeo, compatible entre los Estados miembros. Este cambio técnico conlleva revisar infraestructuras, codificaciones, accesos y sistemas de seguridad. “Tanto si se utiliza un sistema propio como uno contratado a un proveedor externo, habrá que evaluar la posibilidad real de adaptarlo a las exigencias del EEDS, especialmente en términos de interoperabilidad técnica y semántica. También respecto a las obligaciones de transparencia e información a los pacientes”, explica Óscar Jacobo, asociado senior de propiedad intelectual y protección de datos de Ontier. En este sentido, Garralón recomienda “auditar los sistemas de información internos e identificar brechas frente a los estándares europeos”, así como “formar al personal en los nuevos procedimientos”.
El EEDS introduce también una importante novedad respecto al consentimiento de los usuarios sobre el uso secundario de sus datos de salud. A diferencia del Reglamento General de Protección de Datos (RGPD), establece un modelo basado en la obligación legal de compartir los datos, a menos que el ciudadano haya ejercido su derecho de exclusión voluntaria. “El legislador europeo ha decidido eludir el consentimiento expreso, instaurando en su lugar una obligación legal para los tenedores de estos datos de salud de ponerlos a disposición de terceros operadores para fines como la investigación, acompañada de un derecho para los ciudadanos de autoexclusión revocable”, aclara Jacobo.
Riesgos técnicos y jurídicos
Este nuevo modelo presenta ventajas desde el punto de vista del fomento de la investigación sanitaria, pero también riesgos legales. Paula Garralón advierte del peligro de identificación de personas a partir de datos anonimizados”, así como del “uso de estos para fines no autorizados como, por ejemplo, comerciales o discriminatorios”.
Por su parte, Óscar Jacobo insiste en que “el principal reto es doble: por una parte, para los pacientes por la pérdida de control sobre su información personal y, por otra, para los patrocinadores de ensayos o investigaciones clínicas, que deberán tolerar como sus conjuntos de datos se ponen a disposición de terceros, con el riesgo de pérdida o dilución de su retorno en la inversión”.
Esta nueva regulación también obliga a revisar todos los contratos con terceros que accedan o procesen datos de salud. “Deberán regularse contractualmente los requisitos de interoperabilidad, ciberseguridad y confidencialidad, así como cubrir la responsabilidad en que pueda incurrir cada operador en sus competencias”, indica Jacobo. Para Garralón, es esencial que “las empresas principales se aseguren de que los terceros estén realmente preparados para cumplir las garantías y estándares técnicos”. Asimismo, El EEDS no se limita a las empresas europeas. También se aplicará a aquellas organizaciones extranjeras que traten datos de salud de ciudadanos de la UE. Garralón indica que estas compañías “deberán designar un representante en la Unión y cumplir con los estándares técnicos y jurídicos exigidos”.
La adaptación al EEDS será compleja, en gran medida porque aún requiere múltiples actos de ejecución por parte de la Comisión Europea. “El reglamento deja un gran espacio a la Comisión para dictarlos, lo que dota de una fuerte inseguridad jurídica al periodo transitorio”, concluye Jacobo.
Calendario de aplicación del EEDS
Marzo 2025. El Reglamento relativo al Espacio Europeo de Datos de Salud (EEDS) entró en vigor el pasado 25 de marzo, marcando el inicio del período transitorio. Su objetivo es construir un marco europeo común para el intercambio seguro y eficiente de datos de salud electrónicos, armonizando derechos y obligaciones en todos los Estados miembros.
Marzo 2027. Esta es una fecha clave en la que la Comisión Europea deberá haber adoptado varios actos de ejecución esenciales que establecerán normas detalladas para la implementación técnica y jurídica del EEDS. Paralelamente, las empresas que manejen datos sanitarios deberán tener sus sistemas adaptados a las nuevas exigencias del EEDS, incluyendo interoperabilidad, trazabilidad y seguridad reforzada.
Marzo 2029. A partir de este momento, entra en vigor el uso primario de los datos para el primer grupo de categorías: historias clínicas resumidas, recetas y dispensaciones electrónicas. El uso primario se refiere al empleo de los datos con fines asistenciales, es decir, para mejorar directamente la atención médica del paciente. También comenzará la aplicación del uso secundario en la mayoría de las categorías de datos, lo que implica su tratamiento para fines como la investigación, la elaboración de políticas públicas o la innovación.
Marzo 2031. Para esta fecha debe estar operativo en todos los Estados miembros de la UE el uso primario para el segundo grupo de datos: imágenes médicas, resultados de laboratorio e informes de alta hospitalaria. Se amplía también el uso secundario a los datos genómicos y a las otras categorías restantes.
Más allá de 2031. El EEDS prevé una aplicación progresiva, sujeta a los actos delegados de la Comisión y a la adaptación por parte de los Estados miembros, que garantice una transición ordenada.
