viernes, 26 de marzo de 2021

RESUMEN DEL DICTAMEN PRELIMINAR DEL SUPERVISOR EUROPEO DE DATOS PERSONALES SOBRE EL ESPACIO EUROPEO DE DATOS RELATIVOS A LA SALUD

 

Por: Carlos A. FERREYROS SOTO

        Doctor en Derecho
        Université de Montpellier I Francia.
        M. Sc. Institut Agronomique Méditerranéen
        cferreyros@hotmail.com

PROLOGO

En febrero de 2020 la Comisión Europea presentó su Comunicación sobre "Una Estrategia Europea de Datos". Esta Comunicación contempla la creación de un espacio común en el ámbito sanitario, en concreto, el espacio europeo de datos relativos a la salud, que se presenta como una herramienta esencial para la prevención, la detección y la cura de enfermedades, así como para la toma de decisiones fundadas y basadas en pruebas y para mejorar la efectividad, la accesibilidad y la sostenibilidad de los sistemas de salud.

Si bien el SEPD apoya firmemente los objetivos relativos a la promoción del intercambio de datos relativos a la salud y al fomento de la investigación médica, subraya la necesidad de definir salvaguardias en materia de protección de datos desde el momento inicial de la creación del espacio europeo de datos relativos a la salud. En este dictamen preliminar, el SEPD subraya, por tanto, los elementos esenciales que se deben tener en cuenta en el desarrollo del espacio europeo de datos relativos a la salud desde el punto de vista de la protección de datos.

El Supervisor Europeo de Protección de DatosSEPD:

-  pide el establecimiento de una base jurídica sólida para realizar operaciones en el marco del espacio europeo de datos relativos a la salud, acorde  con el Reglamento General de Protección de Datos y en particular el cumplimiento del tratamiento de categorías especiales de datos.

- requiere establecer límites claros de un tratamiento lícito de los datos y un tratamiento ulterior compatible con los fines iniciales. La transparencia y la disponibilidad pública de la información relativa al tratamiento de datos en el marco del espacio europeo de datos relativos a la salud serán clave para fomentar la confianza pública en la iniciativa.

- pide a la Comisión aclarar las funciones y responsabilidades de las partes implicadas, así como identificar de forma clara las categorías concretas de datos que estarán disponibles en el marco del espacio europeo de datos relativos a la salud. Además, pide que los Estados miembros establezcan mecanismos para valorar la validez y la calidad de las fuentes de datos.

- destaca la importancia de consolidar el espacio europeo de datos relativos a la salud con una infraestructura de seguridad integral, con medidas de seguridad organizativas y técnicas de vanguardia, para proteger los datos que se procesen en el espacio europeo de datos relativos a la salud. Las evaluaciones de impacto relativas a la protección de datos pueden ser una herramienta muy útil para determinar el riesgo en las operaciones de tratamiento de datos y las medidas de mitigación que se deben adoptar.

- recomienda prestar especial atención al uso ético de los datos en el marco del espacio europeo de datos relativos a la salud.

- propone establecer un mecanismo fuerte de gobernanza de datos que ofrezca garantías suficientes para una gestión lícita, responsable y ética anclada en los valores de la UE, entre ellos el respeto a los derechos fundamentales.

- está interesado en las iniciativas políticas para alcanzar la «soberanía tecnológica» y tiene preferencia por que los datos sean procesados por entidades que compartan los valores europeos, que incluyen la privacidad y la protección de datos. En consecuencia no transferencia de datos personales a menos que las personas interesadas cuyos datos personales se vayan a transferir a un tercer país gocen de un nivel de protección sustancialmente equivalente al que se garantiza en la Unión Europea.

-  pide a los Estados miembros garantizar la aplicación efectiva del derecho a la portabilidad de los datos explícitamente en el espacio europeo de datos relativos a la salud, junto con el desarrollo de los requisitos técnicos necesarios.

El texto completo del Dictamen Preliminar se encuentra disponible en alemán, francés, e inglés en el sitio web de SEPD: www.edps.europa.eu

 ____________________________________________________________

Resumen del dictamen preliminar del Supervisor Europeo de Protección de Datos sobre el espacio europeo de datos relativos a la salud

(El texto completo del presente Dictamen puede encontrarse en alemán, francés e inglés en el sitio web del SEPD www.edps.europa.eu)

(2021/C 99/09)

Texto del resumen ejecutivo

El 19 de febrero de 2020, la Comisión Europea presentó su Comunicación sobre «Una Estrategia Europea de Datos». Esta Comunicación contempla la creación de un espacio común en el ámbito sanitario, en concreto, el espacio europeo de datos relativos a la salud, que se presenta como una herramienta esencial para la prevención, la detección y la cura de enfermedades, así como para la toma de decisiones fundadas y basadas en pruebas y para mejorar la efectividad, la accesibilidad y la sostenibilidad de los sistemas de salud.

Si bien el SEPD apoya firmemente los objetivos relativos a la promoción del intercambio de datos relativos a la salud y al fomento de la investigación médica, subraya la necesidad de definir salvaguardias en materia de protección de datos desde el momento inicial de la creación del espacio europeo de datos relativos a la salud. En este dictamen preliminar, el SEPD subraya, por tanto, los elementos esenciales que se deben tener en cuenta en el desarrollo del espacio europeo de datos relativos a la salud desde el punto de vista de la protección de datos.

El SEPD pide que se establezca una base jurídica sólida para realizar operaciones en el marco del espacio europeo de datos relativos a la salud de acuerdo con el artículo 6, apartado 1, del Reglamento General de Protección de Datos y recuerda también que dichas operaciones deben cumplir con el artículo 9 del Reglamento General de Protección de Datos relativo al tratamiento de categorías especiales de datos.

El SEPD destaca, asimismo, que debido al carácter sensible de los datos que serán objeto de tratamiento en el marco del espacio europeo de datos relativos a la salud, los límites de qué constituye un tratamiento lícito de los datos y un tratamiento ulterior compatible con los fines iniciales deben estar muy claros para todas las partes implicadas. Por lo tanto, la transparencia y la disponibilidad pública de la información relativa al tratamiento de datos en el marco del espacio europeo de datos relativos a la salud serán clave para fomentar la confianza pública en la iniciativa.

El SEPD también pide a la Comisión aclarar las funciones y responsabilidades de las partes implicadas, así como identificar de forma clara las categorías concretas de datos que estarán disponibles en el marco del espacio europeo de datos relativos a la salud. Además, pide que los Estados miembros establezcan mecanismos para valorar la validez y la calidad de las fuentes de datos.

El SEPD destaca la importancia de consolidar el espacio europeo de datos relativos a la salud con una infraestructura de seguridad integral, con medidas de seguridad organizativas y técnicas de vanguardia, para proteger los datos que se procesen en el espacio europeo de datos relativos a la salud. En este contexto, el SEPD recuerda que las evaluaciones de impacto relativas a la protección de datos pueden ser una herramienta muy útil para determinar el riesgo en las operaciones de tratamiento de datos y las medidas de mitigación que se deben adoptar.

El SEPD recomienda prestar especial atención al uso ético de los datos en el marco del espacio europeo de datos relativos a la salud, para lo que sugiere tener en cuenta los comités éticos existentes y su papel en el contexto de la legislación nacional.

El SEPD está convencido de que el éxito del espacio europeo de datos relativos a la salud dependerá del establecimiento de un mecanismo fuerte de gobernanza de datos que ofrezca garantías suficientes para una gestión lícita, responsable y ética anclada en los valores de la UE, entre ellos el respeto a los derechos fundamentales. El mecanismo de gobernanza debe regular, como mínimo, las entidades que estarán autorizadas a ofrecer datos en el espacio europeo de datos relativos a la salud, los usuarios de dicho espacio, los puntos de contacto y las autoridades competentes nacionales de los Estados miembros y el papel de los acuerdos de protección de datos en este contexto.

El SEPD está interesado en las iniciativas políticas para alcanzar la «soberanía tecnológica» y tiene preferencia por que los datos sean procesados por entidades que compartan los valores europeos, que incluyen la privacidad y la protección de datos. Asimismo, el SEPD pide a la Comisión que garantice que los actores participantes en el espacio europeo de datos relativos a la salud, y, en particular, los responsables del tratamiento, no transfieren datos personales a menos que las personas interesadas cuyos datos personales se vayan a transferir a un tercer país gocen de un nivel de protección sustancialmente equivalente al que se garantiza en la Unión Europea.

El SEPD pide a los Estados miembros garantizar la aplicación efectiva del derecho a la portabilidad de los datos explícitamente en el espacio europeo de datos relativos a la salud, junto con el desarrollo de los requisitos técnicos necesarios. A este respecto, considera que podría ser necesario un análisis de deficiencias en relación con la necesidad de integrar las salvaguardias del Reglamento General de Protección de Datos con otras salvaguardias legales dispuestas, por ejemplo, por el Derecho de la competencia o directrices éticas.

I.   INTRODUCCIÓN Y ALCANCE DEL DICTAMEN

1.

El 19 de febrero de 2020, la Comisión Europea («Comisión») presentó su Comunicación sobre «Una Estrategia Europea de Datos» (1). La estrategia forma parte de un conjunto de documentos, entre ellos una Comunicación sobre la configuración del futuro digital de Europa (2) y un Libro Blanco sobre la inteligencia artificial: un enfoque europeo orientado a la excelencia y la confianza (3).

2.

Una de las iniciativas clave de la Estrategia Europea de Datos («Estrategia de Datos») es crear espacios comunes europeos de datos en sectores estratégicos y en ámbitos de interés público, que facilitarán a las autoridades públicas y a las empresas el acceso a datos de alta calidad para impulsar el crecimiento y crear valor. En términos más generales, las distintas iniciativas de la Estrategia de Datos coinciden con la ambición de la Comisión de mantener a «[...] Europa a la vanguardia de una economía ágil en el manejo de los datos, respetando y promoviendo al mismo tiempo los valores fundamentales que constituyen el fundamento de nuestras sociedades». (4)

3.

En junio de 2020, el SEPD emitió su Dictamen 3/2020 sobre la Estrategia Europea de Datos («Dictamen 3/2020») (5), tras una consulta informal sobre el borrador realizada por la Comisión en enero de 2020. El Dictamen 3/2020 presenta la opinión del SEPD sobre la Estrategia de Datos y se refiere en especial a ciertos conceptos relevantes desde la perspectiva de la protección de datos, como el concepto de «bien público», los datos abiertos, el uso de datos para la investigación científica, los intermediarios de datos, el altruismo en los datos y la transmisión de datos a nivel internacional.

4.

El SEPD señala que la sanidad electrónica es un área fundamental de interés público en la que la Estrategia de Datos de la Comisión contempla la creación de un espacio común, el espacio europeo de datos relativos a la salud. Según la Estrategia de Datos, el espacio europeo de datos relativos a la salud es esencial para la prevención, la detección y la cura de enfermedades, así como para la toma de decisiones fundadas y basadas en pruebas y para mejorar la efectividad, la accesibilidad y la sostenibilidad de los sistemas de salud. (6)

5.

En su última reunión de octubre de 2020, el Consejo Europeo también acogió con satisfacción «[...] la Estrategia Europea de Datos, que apoya las ambiciones digitales de la UE a nivel mundial de construir una verdadera economía europea de datos competitiva, al tiempo que se garantizan los valores europeos y un elevado nivel de seguridad y protección de los datos y la protección de la privacidad. Resalta la necesidad de que se mejore la disponibilidad de datos de gran calidad y de que se fomenten y faciliten un mejor intercambio y puesta en común de los datos, así como la interoperabilidad. El Consejo Europeo se felicita por la creación de espacios comunes europeos de datos en sectores estratégicos y, en particular, invita a la Comisión a que dé prioridad al espacio de datos sanitarios, cuya creación está prevista antes del término de 2021». (7)

6.

Si bien el SEPD apoya firmemente los objetivos relativos a la promoción del intercambio de datos sanitarios y al fomento de la investigación sobre nuevas estrategias de prevención, tratamientos, medicamentos y productos sanitarios, también subraya la necesidad de que se definan salvaguardias en materia de protección de datos desde un principio. En el contexto de la pandemia de COVID-19, la Unión Europea ha visto más que nunca la necesidad de que los principios en materia de tratamiento de datos del Reglamento General de Protección de Datos se apliquen plenamente. De acuerdo con las conclusiones recientes del Consejo Europeo, el SEPD recuerda los derechos fundamentales a la protección de datos y a la privacidad y pide que los principios relativos a la protección de datos se incorporen a las futuras soluciones de sanidad electrónica que pronto estarán en el corazón de todos los sistemas de sanidad electrónica europeos. En este contexto, señalamos que las salvaguardias en materia de protección de datos deben incorporarse en el próximo espacio europeo de datos relativos a la salud, para garantizar el respeto de los derechos fundamentales de las personas, entre ellos, el derecho a la privacidad y a la protección de los datos de carácter personal recogidos en los artículos 7 y 8 de la Carta de los Derechos Fundamentales de la Unión Europea («la Carta»).

7.

El objetivo de este dictamen preliminar es contribuir al trabajo de la Comisión sobre el futuro espacio europeo de datos relativos a la salud, en concreto mediante la identificación de los elementos esenciales que deben tenerse en cuenta para su desarrollo desde el punto de vista de la protección de datos. Este dictamen preliminar debe leerse en conjunción con otros dictámenes pertinentes del SEPD, como el Dictamen sobre la Estrategia Europea de Datos (8), el Dictamen preliminar sobre la investigación científica (9), el Dictamen sobre los datos abiertos (10), el Dictamen sobre el Libro Blanco de la Comisión Europea sobre la inteligencia artificial (11) y el Dictamen del SEPD sobre la propuesta de refundición de la Directiva sobre reutilización de la información del sector público (ISP) (12). Cabe mencionar que el presente dictamen preliminar se entiende sin perjuicio de las observaciones futuras que el SEPD pueda formular de conformidad con el artículo 42 del Reglamento (UE) 2018/1725 en el contexto de las futuras consultas legislativas previstas por la Comisión.

IV.   CONCLUSIONES Y RECOMENDACIONES

En vista de lo anterior, el SEPD formula las recomendaciones siguientes:

46.

Respalda la iniciativa de crear un espacio común europeo de datos relativos a la salud y reconoce su papel clave para mejorar el acceso y la calidad de la asistencia sanitaria al permitir a las autoridades competentes tomar decisiones sobre políticas fundadas y basadas en pruebas y al apoyar la investigación científica. El SEPD pide, sin embargo, la adopción de las salvaguardias necesarias en materia de protección de datos de forma paralela al trabajo para la creación del espacio europeo de datos relativos a la salud.

47.

Recuerda que todas las operaciones de tratamiento de datos resultantes de la creación del espacio europeo de datos relativos a la salud requerirán una base jurídica sólida acorde con la legislación europea de protección de datos, en particular, el artículo 6, apartado 1, y el artículo 9 del Reglamento General de Protección de Datos para el tratamiento de categorías especiales de datos.

48.

Considera que la futura iniciativa legislativa sobre el espacio europeo de datos relativos a la salud también debería tener como objetivo contribuir a reducir la fragmentación jurídica con relación al tratamiento de datos sanitarios y a la investigación científica, y garantizar también, por tanto, la utilización y reutilización lícita y ética de los datos en el marco del espacio europeo de datos relativos a la salud.

49.

Aboga por ofrecer mayor claridad sobre los límites de lo que constituyen un tratamiento de datos y un tratamiento posterior compatible lícitos a todas las partes implicadas en el proceso del espacio europeo de datos relativos a la salud, y a la vez fortalecer la transparencia en el tratamiento de datos haciendo públicas las condiciones de reutilización.

50.

Considera fundamental el establecimiento de reglas claras para los Estados miembros en relación con la identificación de responsables del tratamiento en el contexto del espacio europeo de datos relativos a la salud, ante quienes los particulares podrán ejercer sus derechos a la protección de datos, de conformidad con la legislación actual (Reglamento General de Protección de Datos y Reglamento 2018/1725).

51.

Solicita que se identifiquen de forma clara los principales actores implicados y las categorías de datos que se podrán tratar en el espacio europeo de datos relativos a la salud y considera fundamental la participación clara de las autoridades de protección de datos europeas en su supervisión y el cumplimiento de las normas sobre protección de datos.

52.

Solicita la adopción de una infraestructura de seguridad integral, con medidas de seguridad organizativas y técnicas de vanguardia, para proteger los datos confidenciales que se traten en el espacio europeo de datos relativos a la salud.

53.

Recuerda el papel fundamental de las evaluaciones de impacto relativas a la protección de datos, y recomienda que, siempre que sea posible, se hagan públicos los resultados de dichas evaluaciones, como medida para fomentar la confianza y la transparencia.

54.

Pide el establecimiento de un mecanismo fuerte de gobernanza de datos que ofrezca suficientes garantías de una gestión lícita, responsable y ética de los datos que se traten en el marco del espacio europeo de datos relativos a la salud.

55.

Tiene preferencia por que los datos sean tratados por entidades que compartan los valores europeos, que incluyen la privacidad y la protección de datos.

56.

Apoya firmemente la consecución de la soberanía de los datos, de manera que los datos generados en Europa generen valor para las empresas europeas y se traten de conformidad con las normas y reglamentos de la UE.

57.

Pide a la Comisión que garantice que los actores participantes en el espacio europeo de datos relativos a la salud, y en particular, los responsables del tratamiento, no transfieren datos personales a menos que las personas interesadas cuyos datos personales se vayan a transferir a un tercer país gocen de un nivel de protección esencialmente equivalente al que se garantiza en la Unión Europea.

58.

Invita a la Comisión a velar en su propuesta legislativa por que los Estados miembros garanticen la aplicación del derecho a la portabilidad de los datos junto con el desarrollo de los requisitos técnicos necesarios en el marco del espacio europeo de datos relativos a la salud que permitan el ejercicio efectivo de dichos derechos por las personas interesadas.

59.

Recomienda realizar un análisis de deficiencias en relación con la necesidad de integrar las salvaguardias del Reglamento General de Protección de Datos con otras salvaguardias legales previstas, por ejemplo, en la legislación sobre competencia o en directrices éticas.

Bruselas, 17 de noviembre de 2020.

Wojciech Rafał WIEWIÓROWSKI


(1)  COM(2020) 66 final https://ec.europa.eu/info/sites/info/files/communication-european-strategy-data-19feb2020_en.pdf.

(2)  COM(2020) 67 final, https://ec.europa.eu/info/strategy/priorities-2019-2024/europe-fit-digital-age/shaping-europedigital-future_en

(3)  COM(2020) 65 final, https://ec.europa.eu/info/strategy/priorities-2019-2024/europe-fit-digital-age/excellence-trustartificial-intelligence_en

(4)  COM(2020) 66 final https://eur-lex.europa.eu/legal-content/ES/TXT/PDF/?uri=CELEX:52020DC0066&from=EN, p. 2.

(5)  Dictamen 3/2020 del SEPD sobre la Estrategia Europea de Datos https://edps.europa.eu/sites/edp/files/publication/20-06-16_opinion_data_strategy_en.pdf.

(6)  COM(2020) 66 final https://ec.europa.eu/info/sites/info/files/communication-european-strategy-data-19feb2020_en.pdf, p. 22.

(7)  Véase https://data.consilium.europa.eu/doc/document/ST-13-2020-INIT/es/pdf .

(8)  Dictamen 3/2020 del SEPD sobre la Estrategia Europea de Datos https://edps.europa.eu/sites/edp/files/publication/20-06-16_opinion_data_strategy_en.pdf.

(9)  Dictamen preliminar del SEPD sobre la protección de datos y la investigación científica https://edps.europa.eu/sites/edp/files/publication/20-01-06_opinion_research_en.pdf.

(10)  Dictamen del Supervisor Europeo de Protección de Datos relativo al Paquete de medidas sobre datos abiertos de la Comisión Europea, en el que se incluye la propuesta de Directiva del Parlamento Europeo y del Consejo por la que se modifica la Directiva 2003/98/CE relativa a la reutilización de la información del sector público (ISP), una Comunicación sobre datos abiertos y una Decisión 2011/833/UE de la Comisión relativa a la reutilización de los documentos de la Comisión, https://edps.europa.eu/sites/edp/files/publication/12-04-18_open_data_es.pdf.

(11)  Dictamen 4/2020 del SEPD sobre el Libro Blanco de la Comisión Europea sobre la inteligencia artificial: un enfoque europeo orientado a la excelencia y la confianza https://edps.europa.eu/sites/edp/files/publication/20-06-19_opinion_ai_white_paper_en.pdf.

(12)  Dictamen 5/2018 del SEPD sobre la propuesta de refundición de la Directiva sobre reutilización de la información del sector público (ISP) https://edps.europa.eu/sites/edp/files/publication/18-07-11_psi_directive_opinion_en.pdf.

No hay comentarios:

Publicar un comentario