·
Administración sanitaria
Atención médica
TI de atención médica / CIO
Portabilidad de datos: sanidad pública vs. privada según la legislación de la UE
Comprende cómo el RGPD (GDPR), el EHDS y la legislación sanitaria nacional crean diferentes obligaciones de portabilidad de datos para proveedores de sanidad pública y privada en toda Europa

Las organizaciones sanitarias que operan en Europa se enfrentan a una obligación legal en materia de portabilidad de datos de pacientes, no a una aspiración técnica. Lo que se comprende menos es que la obligación no se aplica de manera uniforme. Una clínica privada en Ámsterdam, un hospital público en Madrid y un proveedor de modelo mixto en Berlín pueden gestionar el mismo tipo de historia clínica del paciente, pero enfrentarse a requisitos legales significativamente diferentes cuando un paciente solicita trasladar sus datos a otro lugar. La razón radica en una característica estructural del derecho de la UE: las normas de protección de datos se establecen a nivel supranacional, pero la prestación de asistencia sanitaria sigue siendo una competencia nacional, y la base jurídica sobre la que un proveedor procesa los datos del paciente determina qué derechos de portabilidad se aplican realmente. Para los responsables de la toma de decisiones sanitarias encargados del cumplimiento normativo, la infraestructura de TI o las operaciones clínicas, comprender esta distinción es una tarea fundamental antes de que empiecen a acercarse los plazos de implementación del Espacio Europeo de Datos Sanitarios. Entender las obligaciones de seguridad y privacidad de datos es un requisito previo para este análisis.
El marco legal: lo que realmente exige la legislación de la UE
Tres capas regulatorias distintas rigen la portabilidad de datos de pacientes en Europa. Estas interactúan de manera diferente según el tipo de proveedor.
La primera es el Reglamento General de Protección de Datos (RGPD), que establece el derecho básico a la portabilidad de datos en virtud del artículo 20, pero contiene una limitación crítica que reduce significativamente su aplicación en la sanidad pública. La segunda es el Reglamento del Espacio Europeo de Datos Sanitarios (EEDS), Reglamento (UE) 2025/327, que entró en vigor el 26 de marzo de 2025 y representa el cambio estructural más significativo en la gobernanza de datos sanitarios en la historia de la UE. La tercera capa es la legislación nacional de implementación, que regula cómo los sistemas de salud públicos gestionan el acceso y la transferencia de historias clínicas, a menudo a través de legislación sanitaria específica del sector.
Estas capas no operan de forma independiente. El RGPD sigue siendo el marco principal de protección de datos. El EEDS introduce obligaciones específicas del sector que se suman a él. Como señala el análisis de Taylor Wessing sobre la relación EEDS-RGPD, el EEDS no reemplaza al RGPD, sino que construye un marco sectorial sobre él, con una implementación por fases que va desde marzo de 2027 para las disposiciones generales hasta marzo de 2029 para las normas de uso primario y secundario. Los responsables de la toma de decisiones necesitan comprender las tres capas para evaluar sus obligaciones con precisión.
Artículo 20 del RGPD: donde aparece por primera vez la distinción público/privado
El artículo 20 del RGPD otorga a las personas el derecho a recibir sus datos personales en un formato estructurado, de uso común y legible por máquina, y a transmitirlos a otro responsable del tratamiento. Este derecho no es universal. Se aplica únicamente cuando el tratamiento se basa en el consentimiento (artículo 6(1)(a) o artículo 9(2)(a)) o en un contrato (artículo 6(1)(b)). Cuando el tratamiento se fundamenta en una obligación legal o en el desempeño de una tarea pública, artículos 6(1)(c) y 6(1)(e) respectivamente, el artículo 20 no se aplica.
Este es el punto en el que la distinción público/privado se vuelve operativamente significativa por primera vez. La mayoría de los proveedores de sanidad pública procesan datos de pacientes bajo un mandato legal. Un servicio nacional de salud que atiende a un paciente no lo hace sobre la base de un contrato con ese paciente, ni típicamente sobre la base del consentimiento. Cumple una función pública legalmente definida. Esto significa que el derecho de portabilidad del RGPD no se aplica directamente a la mayor parte del procesamiento de datos en el sistema de salud público de la UE.
La consecuencia práctica es que los pacientes que buscan portar sus historias clínicas desde un hospital público a un especialista privado, o de un sistema nacional de salud a otro, no pueden confiar en el artículo 20 del RGPD. En su lugar, deben recurrir a las disposiciones de la legislación sanitaria nacional, que varían considerablemente entre los Estados miembros.
Cómo se trata a los proveedores de sanidad pública según la legislación de la UE y nacional
Los proveedores de sanidad pública en toda la UE implementan los derechos de acceso y transferencia de historias clínicas de pacientes a través de legislación específica del sector, no de las disposiciones de portabilidad del RGPD. Las obligaciones existen, pero están arraigadas en marcos de legislación sanitaria que difieren sustancialmente según la jurisdicción.
En los principales mercados europeos, el panorama está fragmentado:
Modelos nórdicos (Dinamarca, Finlandia, Suecia): cuentan con una infraestructura de sistemas de historias clínicas nacionales y portales de pacientes relativamente maduros, con derechos legales de acceso a historias clínicas integrados en la legislación sanitaria. El sistema Kanta de Finlandia proporciona a los pacientes un punto de acceso digital centralizado para las historias clínicas mantenidas por los proveedores públicos.
Alemania introdujo un derecho legal para que los pacientes reciban copias de sus historias clínicas en virtud de la Ley de Derechos del Paciente (Patientenrechtegesetz), con proveedores obligados a responder sin demora indebida. El país también ha estado desarrollando su Telematikinfrastruktur (TI) como columna vertebral nacional de interoperabilidad.
Francia ha implementado la plataforma Mon Espace Santé como un espacio de datos sanitarios orientado al paciente. Proporciona acceso a historias clínicas de proveedores públicos bajo el marco de la legislación nacional de salud digital.
Sistemas públicos del sur de Europa (España, Italia, Portugal): tienen derechos de acceso legales pero enfrentan una mayor variación a nivel regional, con una calidad de implementación estrechamente vinculada a la capacidad de la autoridad sanitaria regional.
El punto clave para los responsables de la toma de decisiones es que estas obligaciones son reales y exigibles, pero se administran a través de marcos del ministerio de salud, no de autoridades de protección de datos. Esto significa que el organismo supervisor, el mecanismo de aplicación y el plazo aplicable pueden diferir de los que se aplican a un proveedor privado bajo el RGPD.
Cómo se trata a los proveedores de sanidad privada según el RGPD
Los proveedores de sanidad privada que procesan datos de pacientes sobre la base del consentimiento o el contrato están directamente sujetos al artículo 20 del RGPD. Esto se aplica a la mayoría de las clínicas privadas, consultas especializadas y servicios de diagnóstico independientes que operan en la UE donde ningún mandato legal rige la relación de tratamiento.
En virtud del artículo 20, los pacientes pueden solicitar:
Sus datos personales en un formato estructurado, de uso común y legible por máquina
La transmisión directa de esos datos a otro responsable del tratamiento, cuando sea técnicamente factible
Una respuesta en el plazo de un mes desde la solicitud, ampliable por dos meses adicionales cuando las solicitudes sean complejas o numerosas (con notificación al paciente dentro del primer mes)
Lo que se considera "datos personales" a efectos de portabilidad en un contexto clínico es más amplio de lo que muchos proveedores privados suponen. Incluye datos proporcionados activamente por el paciente (información de registro, historial médico proporcionado en la admisión) y datos generados a través de la relación de servicio (registros de citas, historias clínicas de consulta, resultados de pruebas). No incluye datos derivados o inferidos por el proveedor, una distinción que se vuelve relevante al considerar códigos clínicos generados por inteligencia artificial (IA), un sistema informático que realiza tareas que normalmente requieren inteligencia humana, o puntuaciones de riesgo.
"Legible por máquina" según el RGPD significa un formato que una computadora puede procesar automáticamente, como JSON, XML o CSV. Un PDF escaneado o un documento impreso no cumple este requisito. Muchos sistemas de historias clínicas privados pueden exportar datos en estos formatos, pero producir una exportación estructurada clínicamente significativa que preserve la codificación, la terminología y las relaciones de registros es un desafío técnico aparte.
El Espacio Europeo de Datos Sanitarios: cerrando la brecha entre sectores
El Reglamento EEDS es el desarrollo más significativo en esta área que los responsables de la toma de decisiones sanitarias deben seguir. Su objetivo central es establecer un marco coherente para el acceso y la portabilidad de datos sanitarios que se aplique tanto a proveedores públicos como privados, cerrando la brecha creada por la dependencia de la base jurídica del RGPD.
El EEDS introduce varios mecanismos directamente relevantes para la portabilidad:
Un derecho de portabilidad de uso primario reforzado en virtud del artículo 3(8), que va más allá del artículo 20 del RGPD al eliminar la restricción de la base jurídica y cubrir los datos procesados bajo cualquier base legal del artículo 9 del RGPD, no solo el consentimiento o el contrato. Sin embargo, este derecho se aplica únicamente a los titulares de datos del sector de la salud y la seguridad social. Esto significa que los pacientes pueden solicitar la portabilidad de sus datos sanitarios de proveedores públicos de este sector que anteriormente quedaban fuera del ámbito del artículo 20 del RGPD.
La infraestructura MyHealth@EU, que permite el acceso transfronterizo a los datos sanitarios de los pacientes en los Estados miembros participantes, con puntos de contacto nacionales que coordinan la interoperabilidad.
Formatos de datos estandarizados, con HL7 FHIR emergiendo como la base de interoperabilidad para los sistemas de historias clínicas bajo los requisitos del EEDS.
Organismos de Acceso a Datos Sanitarios (HDABs), que gobernarán el uso secundario de datos sanitarios por parte de investigadores, la industria y organismos públicos, sujetos a un sistema de permisos.
Como confirma el informe legal de Skadden sobre el EEDS, todos los proveedores de asistencia sanitaria establecidos en la UE, incluidos hospitales, clínicas y consultas privadas, están sujetos a las mismas obligaciones de cumplimiento del EEDS para el intercambio de datos, la interoperabilidad y el acceso de los pacientes. El incumplimiento conlleva multas equivalentes a las del RGPD.
La literatura académica señala ambigüedades en el texto del EEDS. Un análisis revisado por pares en Computer Law & Security Review señala una tensión entre el considerando 12, que pide que la portabilidad se aplique a cualquier responsable del tratamiento de datos, privado o público, y el propio artículo 3(8), que limita las obligaciones a los titulares de datos "del sector de la salud y la seguridad social". El alcance preciso de quién califica como titular de datos sanitarios en casos límite (aplicaciones de bienestar, proveedores de salud ocupacional, plataformas de telemedicina) sigue sujeto a interpretación.
Plazos de transferencia de historias clínicas: una comparación por tipo de proveedor y mercado
Los plazos de respuesta para las solicitudes de portabilidad y transferencia de historias clínicas varían significativamente según el tipo de proveedor, la legislación aplicable y la jurisdicción.
Contexto | Marco aplicable | Plazo |
|---|---|---|
Proveedor privado (base de consentimiento/contrato) | Artículo 20 del RGPD | Un mes, ampliable por dos meses |
Proveedor público (base de tarea pública) | Legislación sanitaria nacional | Varía según el Estado miembro |
Alemania (privado y público) | Ley de Derechos del Paciente | Sin demora indebida |
Francia | Legislación nacional de salud digital | Varía según el tipo de historia clínica |
Post-EEDS (todos los proveedores) | Disposiciones de uso primario del EEDS | A especificar en actos de ejecución |
Se espera que el EEDS introduzca plazos más armonizados entre los Estados miembros, pero los plazos específicos para las solicitudes de portabilidad orientadas al paciente bajo el marco de uso primario del EEDS se determinarán a través de actos de ejecución y la transposición de los Estados miembros. Los responsables de la toma de decisiones deben seguir de cerca los procesos de transposición nacional del EEDS, ya que estos establecerán los parámetros operativos para los programas de cumplimiento.
Requisitos de formato: datos estructurados, interoperabilidad y qué deben soportar los sistemas
El RGPD exige que los datos portables se proporcionen en un formato legible por máquina, pero no especifica un estándar técnico concreto. Esto ha producido una variación significativa en la práctica, con algunos proveedores suministrando exportaciones en JSON o XML y otros ofreciendo archivos CSV que carecen de historias clínicas estructuradas o contexto de terminología.
El EEDS aborda esto directamente. Como confirma el análisis de A&O Shearman sobre los requisitos de sistemas de historias clínicas del EEDS, el reglamento exige que los titulares de datos sanitarios mantengan datos estructurados e interoperables en formatos compatibles con el marco técnico del EEDS, con HL7 FHIR como el estándar emergente para el intercambio de datos clínicos.
Para los sistemas de historias clínicas que operan en entornos públicos y privados, esto crea varios requisitos prácticos:
La capacidad de exportar datos clínicos estructurados en formatos compatibles con HL7 FHIR, preservando códigos SNOMED CT, clasificaciones ICD y terminología de medicamentos
Portales de acceso orientados al paciente que permitan a las personas ver, descargar y transmitir sus historias clínicas sin requerir intermediación administrativa
Registro de auditoría de todos los eventos de acceso y exportación de datos, para demostrar el cumplimiento tanto de las obligaciones de responsabilidad del RGPD como de los controles de acceso del EEDS
Interoperabilidad con la infraestructura nacional de sistemas de historias clínicas (como la TI de Alemania, Mon Espace Santé de Francia o Kanta de Finlandia) cuando sea aplicable
Los sistemas legacy, es decir, sistemas informáticos antiguos que siguen en uso porque reemplazarlos resulta costoso o complejo, en instituciones públicas presentan un desafío particular. Muchos sistemas nacionales de salud operan en plataformas de historias clínicas que no fueron diseñadas pensando en la exportación de datos estructurados, y el coste y la complejidad de actualizar o reemplazar estos sistemas es sustancial. La investigación sobre infraestructura segura compatible con el EEDS destaca que cumplir con los requisitos del artículo 50 para entornos de procesamiento seguros y estándares de interoperabilidad requiere una inversión técnica significativa, especialmente en instituciones que históricamente han operado sistemas aislados y no interoperables.
Condiciones de consentimiento y base jurídica: por qué lo cambian todo
La base jurídica en la que un proveedor se apoya para procesar datos de pacientes es la variable más determinante para establecer qué obligaciones de portabilidad se aplican. Esto no es un detalle técnico. Es el fundamento de todo el análisis de cumplimiento.
Para los proveedores de sanidad pública, las bases relevantes son típicamente el artículo 6(1)(c) (obligación legal) y el artículo 6(1)(e) (tarea pública), combinados con el artículo 9(2)(h) (fines de atención sanitaria o social) para datos de categorías especiales. Estas bases excluyen al proveedor del artículo 20 del RGPD, pero no eliminan todas las obligaciones relacionadas con la portabilidad. La legislación sanitaria nacional aún rige el acceso y la transferencia de historias clínicas.
Para los proveedores de sanidad privada, la situación es más compleja. Muchos procesan datos bajo una combinación de bases: consentimiento para usos de datos opcionales (marketing, participación en investigación), contrato para la relación de tratamiento principal y, en algunos casos, obligación legal para informes obligatorios. El derecho de portabilidad bajo el artículo 20 del RGPD se aplica solo a los datos procesados bajo consentimiento o contrato. Esto significa que un proveedor privado debe poder identificar, a nivel de registro, qué datos se procesaron sobre qué base.
Los proveedores de modelo mixto, como clínicas privadas contratadas para prestar servicios dentro de un sistema de salud público, u hospitales públicos con áreas de pacientes privados, enfrentan el análisis más complejo. El asesoramiento de Arnold & Porter sobre el EEDS señala que la definición de "titular de datos sanitarios" del EEDS se aplica a cualquier persona jurídica con el derecho u obligación de procesar datos sanitarios personales, independientemente de si son nominalmente públicos o privados. Las personas físicas y las microempresas (menos de 10 empleados y un volumen de negocios anual o balance total que no exceda los 2 millones de euros) están excluidas de las obligaciones de titular de datos sanitarios por defecto, aunque los Estados miembros pueden extender las obligaciones a ellas.
Un análisis indexado en PubMed del marco de uso secundario del EEDS señala que el diseño del reglamento refleja una elección política deliberada de alejarse del consentimiento como mecanismo principal para la gobernanza de datos sanitarios, reemplazándolo con un sistema basado en permisos administrado por Organismos de Acceso a Datos Sanitarios para uso secundario. Para el uso primario, el derecho de portabilidad reforzado bajo el artículo 3(8) evita la dependencia de la base jurídica, pero solo una vez que las disposiciones relevantes del EEDS entren en vigor en marzo de 2029.
Portabilidad transfronteriza: qué sucede cuando los pacientes se mueven entre Estados miembros
La portabilidad de historias clínicas transfronteriza es el área donde la fragmentación es más aguda y donde se espera que el EEDS tenga el mayor impacto práctico. Actualmente, un paciente que se traslada de Francia a los Países Bajos, o un trabajador transfronterizo que recibe atención en un Estado miembro diferente, no cuenta con un mecanismo fiable para garantizar que sus historias clínicas se transfieran con ellos. Los sistemas nacionales de historias clínicas utilizan diferentes modelos de datos, distintos sistemas de codificación y protocolos de acceso diversos.
El EEDS aborda esto a través de la infraestructura MyHealth@EU, que requiere que los Estados miembros participen en el intercambio transfronterizo de datos sanitarios a través de puntos de contacto nacionales. La infraestructura se basa en el marco existente epSOS/eHealth Digital Service Infrastructure (eHDSI), pero amplía significativamente su alcance y mandato legal.
La investigación sobre la implementación de Organismos de Acceso a Datos Sanitarios del EEDS identifica varios desafíos persistentes para el uso secundario transfronterizo de datos sanitarios: madurez inconsistente del sistema de salud digital entre los Estados miembros, estándares variables de calidad de datos y la ausencia de marcos de gobernanza armonizados para los Organismos de Acceso a Datos Sanitarios. Estos desafíos se aplican con igual o mayor fuerza a la portabilidad transfronteriza de uso primario, donde la infraestructura técnica y legal para la transferencia fluida de historias clínicas sigue estando poco desarrollada en la mayoría de los Estados miembros.
Para los proveedores que operan en regiones fronterizas, como la frontera franco-alemana, el corredor del Benelux o el mercado laboral transfronterizo nórdico, o que atienden a poblaciones de pacientes internacionalmente móviles, el enfoque práctico actual implica historias clínicas en poder del paciente (en papel o digitales) como solución puente hasta que la infraestructura del EEDS esté operativa.
Implicaciones prácticas para la infraestructura de TI en entornos mixtos público-privados
Para los responsables de la toma de decisiones que gestionan TI en entornos de atención tanto públicos como privados, el análisis legal anterior se traduce en un conjunto de requisitos operativos concretos.
Soportar múltiples bases jurídicas dentro de una sola plataforma es el desafío más inmediato. Un sistema de historias clínicas utilizado en un entorno de modelo mixto debe ser capaz de registrar y actuar sobre diferentes bases de procesamiento para distintas categorías de datos y poblaciones de pacientes, y de generar exportaciones de portabilidad que reflejen correctamente qué datos califican bajo el artículo 20 del RGPD y cuáles estarán cubiertos por el artículo 3(8) del EEDS una vez en vigor.
Las obligaciones de auditoría y registro se aplican en ambos marcos. Los requisitos de responsabilidad del RGPD (artículo 5(2)) exigen que los responsables del tratamiento demuestren el cumplimiento, lo que en la práctica implica registrar todos los eventos de acceso, exportación y transferencia de datos. El EEDS añade requisitos de registro adicionales para las interacciones con organismos de acceso a datos sanitarios e intercambios transfronterizos.
Las decisiones de arquitectura de interoperabilidad que se tomen ahora determinarán la preparación para el cumplimiento entre 2027 y 2029. La Ley de Datos de la UE (Reglamento (UE) 2023/2854), que se hizo aplicable el 12 de septiembre de 2025, añade obligaciones adicionales de intercambio de datos para dispositivos médicos conectados y herramientas de salud digital, creando una capa de cumplimiento adicional para los proveedores privados que utilizan equipos clínicos habilitados para IoT o dispositivos portátiles de monitoreo de salud. Para una visión general más amplia del panorama regulatorio, consulte nuestra guía sobre regulaciones de IA sanitaria de la UE.
Los portales de acceso orientados al paciente son cada vez más un requisito de cumplimiento. Tanto el RGPD (a través del derecho de acceso bajo el artículo 15) como el EEDS (a través del derecho de acceso de uso primario) exigen que los pacientes puedan acceder a sus datos de manera oportuna y accesible. Los proveedores que dependen de procesos de solicitud manual, como formularios en papel, equipos administrativos o entrega postal, enfrentan tanto riesgo de incumplimiento como ineficiencia operativa a medida que aumentan los volúmenes de solicitudes.
Brechas clave de cumplimiento a evaluar antes de la implementación del EEDS
Las áreas más comunes donde los proveedores públicos y privados actualmente no alcanzan el estándar de cumplimiento emergente son identificables a partir del análisis legal y técnico anterior. Para los equipos de TI y cumplimiento que construyen hojas de ruta antes de los plazos por fases del EEDS, las siguientes representan las brechas de mayor prioridad:
Formatos de historias clínicas no legibles por máquina: Muchos proveedores, particularmente en sistemas públicos, todavía generan documentación clínica en formatos como PDF escaneados o formatos legacy propietarios que no pueden procesarse automáticamente. Cumplir con los requisitos de formato del EEDS requerirá ya sea el reemplazo del sistema o soluciones de middleware capaces de transformar salidas legacy en exportaciones compatibles con HL7 FHIR.
Ausencia de portales de acceso a datos orientados al paciente: Los proveedores que aún no han implementado portales de autoservicio para pacientes necesitarán construir o adquirir esta capacidad. El marco de uso primario del EEDS asume el acceso digital como predeterminado.
Documentación de consentimiento poco clara en entornos privados: Los proveedores privados que se basan en el consentimiento como base jurídica para algún procesamiento deben poder demostrar que el consentimiento se dio libremente, fue específico, informado e inequívoco, y deben poder vincular los registros de consentimiento a categorías de datos específicas para fines de portabilidad.
Sistemas de historias clínicas legacy que no pueden exportar datos estructurados: Esta es la brecha de infraestructura más significativa en los sistemas de salud públicos. La investigación IMPaCT-Data sobre infraestructura compatible con el EEDS demuestra que cumplir con los requisitos de seguridad e interoperabilidad del artículo 50 del EEDS exige una inversión técnica sustancial, y que muchas implementaciones existentes de sistemas de historias clínicas del sector público carecen de la arquitectura para soportarlo sin una remediación significativa.
Clasificación poco clara del procesamiento de modelo mixto: Los proveedores que operan en modalidades públicas y privadas sin un mapeo claro de qué actividades se basan en qué base jurídica están expuestos tanto al riesgo de incumplimiento del RGPD como del EEDS. Un mapeo documentado de actividades de procesamiento, actualizado para reflejar las obligaciones de titular de datos sanitarios del EEDS, es un requisito previo fundamental.
Vale la pena reconocer una limitación genuina en el estado actual de la evidencia. El análisis académico de las disposiciones de portabilidad del EEDS identifica ambigüedades no resueltas en el texto del reglamento que solo se aclararán a través de actos de ejecución, transposición de los Estados miembros y, eventualmente, orientación de la autoridad supervisora o jurisprudencia. Los responsables de la toma de decisiones deben tratar las evaluaciones de cumplimiento actuales como hipótesis de trabajo sujetas a revisión a medida que el marco regulatorio madure.
La evolución del concepto de datos sanitarios a través del RGPD, la Ley de Gobernanza de Datos y el EEDS refleja una trayectoria política deliberada hacia un mayor acceso a datos y portabilidad intersectorial. El ritmo de implementación, y el grado de armonización logrado en la práctica, dependerá en gran medida de las decisiones de transposición nacional que todavía se están tomando en los Estados miembros de la UE.
Preguntas frecuentes
¿El RGPD otorga a los pacientes el derecho a portar sus datos sanitarios de cualquier proveedor?
No. El derecho a la portabilidad de datos del Reglamento General de Protección de Datos bajo el artículo 20 se aplica solo cuando el procesamiento se basa en el consentimiento o el contrato. La mayoría de los proveedores de sanidad pública procesan datos de pacientes bajo un mandato legal, lo que significa que el artículo 20 no se les aplica. Los pacientes que buscan transferir historias clínicas desde un hospital público deben recurrir a la legislación sanitaria nacional, que varía considerablemente entre los Estados miembros de la UE.
¿Qué es el Espacio Europeo de Datos Sanitarios y cuándo se aplica?
El Espacio Europeo de Datos Sanitarios (EEDS) es un reglamento de la UE (Reglamento (UE) 2025/327) que entró en vigor el 26 de marzo de 2025. Introduce un marco específico del sector para el acceso y la portabilidad de datos sanitarios que se sitúa junto al Reglamento General de Protección de Datos. Las disposiciones generales se aplican desde marzo de 2027, con normas de uso primario y secundario que siguen en marzo de 2029. Se aplica a todos los proveedores de asistencia sanitaria establecidos en la UE, incluidos tanto hospitales públicos como clínicas privadas.
¿Cómo cambia el EEDS los derechos de portabilidad en comparación con el RGPD?
El EEDS introduce un derecho de portabilidad reforzado bajo el artículo 3(8) que elimina la restricción de la base jurídica que se encuentra en el artículo 20 del RGPD. Esto significa que los pacientes podrán solicitar la portabilidad de sus datos sanitarios de proveedores públicos que anteriormente quedaban fuera del alcance del RGPD. Sin embargo, este derecho se aplica solo a los titulares de datos del sector de la salud y la seguridad social, y no entra en vigor hasta marzo de 2029.
¿Qué formato deben usar los proveedores al responder a una solicitud de portabilidad?
Según el RGPD, los datos portables deben proporcionarse en un formato estructurado, de uso común y legible por máquina, como JSON, XML o CSV. Un PDF escaneado o un documento impreso no cumple con este requisito. El EEDS va más allá al exigir que los titulares de datos sanitarios mantengan datos estructurados e interoperables en formatos compatibles con el marco técnico del EEDS, con HL7 FHIR emergiendo como el estándar para el intercambio de datos clínicos.
¿Cuánto tiempo tiene un proveedor privado para responder a una solicitud de portabilidad de datos?
Según el artículo 20 del RGPD, un proveedor privado que procesa datos sobre la base del consentimiento o el contrato debe responder dentro de un mes de recibir la solicitud. Cuando las solicitudes son complejas o numerosas, esto puede extenderse por dos meses adicionales, siempre que el proveedor notifique al paciente dentro del primer mes. Los proveedores públicos se rigen por la legislación sanitaria nacional, y los plazos varían según el Estado miembro.
¿Qué obligaciones de portabilidad se aplican a los proveedores de modelo mixto?
Los proveedores de modelo mixto, como clínicas privadas contratadas para prestar servicios dentro de un sistema de salud público, enfrentan el análisis de cumplimiento más complejo. El EEDS define un "titular de datos sanitarios" como cualquier persona jurídica con el derecho u obligación de procesar datos sanitarios personales, independientemente de si son nominalmente públicos o privados. Esto significa que los proveedores de modelo mixto necesitan un mapeo claro de qué actividades se basan en qué base jurídica para evaluar sus obligaciones con precisión bajo el RGPD y el EEDS.
¿Cómo funciona la portabilidad transfronteriza para pacientes que se mueven entre Estados miembros de la UE?
Actualmente, no existe un mecanismo fiable para que los pacientes que se trasladan entre Estados miembros garanticen que sus historias clínicas se transfieran con ellos. Los sistemas nacionales de historias clínicas utilizan diferentes modelos de datos, sistemas de codificación y protocolos de acceso. El EEDS aborda esto a través de la infraestructura MyHealth@EU, que requiere que los Estados miembros participen en el intercambio transfronterizo de datos sanitarios a través de puntos de contacto nacionales. Hasta que esa infraestructura esté operativa, las historias clínicas en poder del paciente siguen siendo la solución puente práctica para pacientes internacionalmente móviles.
¿Cuáles son las brechas de cumplimiento más comunes que los proveedores deben abordar antes de los plazos del EEDS?
Las brechas de mayor prioridad identificadas son: documentación clínica almacenada en formatos no legibles por máquina, como PDF escaneados; la ausencia de portales de acceso a datos de autoservicio orientados al paciente; documentación de consentimiento poco clara en entornos privados; sistemas de historias clínicas legacy que no pueden exportar datos estructurados en formatos compatibles con HL7 FHIR; y la ausencia de un mapeo documentado de actividades de procesamiento que distinga el procesamiento de tareas públicas del procesamiento basado en consentimiento o contrato.
¿El EEDS se aplica a pequeñas consultas privadas y microempresas?
Las personas físicas y las microempresas, definidas como organizaciones con menos de 10 empleados y un volumen de negocios anual o balance total que no exceda los 2 millones de euros, están excluidas de las obligaciones de titular de datos sanitarios bajo el EEDS por defecto. Sin embargo, los Estados miembros tienen la opción de extender estas obligaciones a ellas a través de la legislación nacional de transposición, por lo que los proveedores en esta categoría deben seguir de cerca la implementación en su propia jurisdicción.
¿Qué significa el EEDS para los sistemas de historias clínicas en instituciones públicas?
Las instituciones públicas enfrentan un desafío de infraestructura significativo. Muchos sistemas nacionales de salud operan en plataformas de historias clínicas que no fueron diseñadas pensando en la exportación de datos estructurados. Cumplir con los requisitos del artículo 50 del EEDS para entornos de procesamiento seguros y estándares de interoperabilidad exige una inversión técnica sustancial. La investigación citada confirma que muchas implementaciones existentes del sector público carecen de la arquitectura para soportar el cumplimiento del EEDS sin un trabajo de remediación significativo.