LA COMISIÓN EUROPEA,
Visto el Tratado de Funcionamiento de la Unión Europea,
Vista la Directiva 2011/24/UE del Parlamento Europeo y del Consejo, de 9 de marzo de 2011, relativa a la aplicación de los derechos de los pacientes en la asistencia sanitaria transfronteriza (1), y en particular su artículo 14, apartado 3,
Considerando lo siguiente:
(1) El artículo 14 de la Directiva 2011/24/UE insta a la Unión a apoyar y facilitar la colaboración y el intercambio de información entre los Estados miembros mediante una red discrecional que conecte entre sí a las autoridades nacionales responsables en materia de sanidad electrónica que designen los Estados miembros (en lo sucesivo, «red de sanidad electrónica»).
(2) La Decisión de Ejecución 2011/890/UE de la Comisión (2) establece las normas del establecimiento, la gestión y el funcionamiento de la red de sanidad electrónica.
(3) En este momento, la Decisión no establece normas adecuadas sobre determinados aspectos necesarios para un funcionamiento suficientemente transparente de la red de sanidad electrónica, en particular sobre el papel de dicha red y de la Comisión en relación con la infraestructura de servicios digitales de sanidad electrónica para los servicios transfronterizos de información de sanidad electrónica, así como acerca de los nuevos requisitos en materia de protección de datos en virtud del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo («Reglamento general de protección de datos») (3) y el Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo (4).
(4) La transparencia en la gestión de la red de sanidad electrónica debe garantizarse estableciendo normas sobre las condiciones de adhesión a la red y de retirada de la misma. Dado que la participación en la red de sanidad electrónica es discrecional, los Estados miembros deben poder sumarse a ella en cualquier momento. A efectos de organización, conviene que los Estados miembros que deseen participar en la red informen de su intención a la Comisión con la debida antelación.
(5) La comunicación electrónica es un medio adecuado para el intercambio rápido y fiable de datos entre los Estados miembros participantes en la red de sanidad electrónica. En este ámbito se han registrado avances significativos. En particular, con el fin de facilitar la interoperabilidad de los sistemas europeos de sanidad electrónica, los Estados miembros participantes en la red de sanidad electrónica que decidieron mejorar su cooperación en este ámbito con el apoyo de la Comisión desarrollaron la infraestructura de servicios digitales de sanidad electrónica para los servicios transfronterizos de información de sanidad electrónica, como herramienta informática para el intercambio de datos sanitarios en el marco del programa del Mecanismo «Conectar Europa» (5). Esta circunstancia debe reflejarse en la presente Decisión. Por otra parte, como se subraya en la Comunicación de la Comisión, de 25 de abril de 2018, relativa a la consecución de la transformación digital de la sanidad y los servicios asistenciales en el Mercado Único Digital, la capacitación de los ciudadanos y la creación de una sociedad más saludable (6), debe aclararse el papel respectivo de los Estados miembros participantes y de la Comisión en relación con el funcionamiento de la infraestructura de servicios digitales de sanidad electrónica para los servicios transfronterizos de información de sanidad electrónica.
(6) Como se reconoce en las Conclusiones del Consejo sobre la salud en la sociedad digital de 2017 (7), el papel de la infraestructura de servicios digitales de sanidad electrónica para los servicios transfronterizos de información de sanidad electrónica debe ser facilitar el intercambio transfronterizo de datos sanitarios entre los Estados miembros que participen en la red de sanidad electrónica, como los datos de los pacientes contenidos en las recetas electrónicas y los historiales resumidos, y, en última instancia, historiales médicos electrónicos más completos, así como desarrollar otros casos de uso y otros ámbitos de información sanitaria.
(7) La infraestructura de servicios digitales de sanidad electrónica para los servicios transfronterizos de información de sanidad electrónica se compone de servicios básicos y servicios genéricos, tal como se establece en el Reglamento (UE) n.o 283/2014 del Parlamento Europeo y del Consejo (8). La Comisión Europea desarrolla, implanta y mantiene los servicios básicos. Junto con los servicios genéricos, deben posibilitar y apoyar la conectividad transeuropea. Del desarrollo, la implantación y el mantenimiento de los servicios genéricos se encargan los puntos de contacto nacionales para la sanidad electrónica, designados por cada Estado miembro. Los puntos de contacto nacionales para la sanidad electrónica, utilizando los servicios genéricos, conectan la infraestructura nacional con los puntos de contacto de otros Estados miembros a través de las plataformas centrales de servicios.
(8) Con el fin de mejorar el intercambio transfronterizo de datos sanitarios y lograr la interoperabilidad técnica, semántica y organizativa entre los sistemas nacionales de sanidad electrónica, la red de sanidad electrónica debe desempeñar, en el contexto de la infraestructura de servicios digitales de sanidad electrónica para los servicios transfronterizos de información de sanidad electrónica, un papel de liderazgo en la elaboración y coordinación de los requisitos y especificaciones comunes necesarios.
(9) La red de sanidad electrónica ya está llevando a cabo varias actividades en el ámbito de la sanidad electrónica, que se detallan en su programa de trabajo plurianual y tienen por objeto principalmente proporcionar orientación, compartir buenas prácticas o buscar formas comunes de colaboración. Entre esas actividades cabe citar las siguientes: su labor para que los ciudadanos puedan desempeñar un papel activo en la gestión de sus datos sanitarios, en particular en el ámbito de la sanidad electrónica, la salud móvil y la telemedicina, y para que los pacientes puedan acceder a sus datos sanitarios y utilizarlos y compartirlos, así como en la alfabetización de los pacientes en el ámbito de la salud digital. Otras actividades de la red guardan relación con el uso innovador de los datos sanitarios, en particular los macrodatos, la inteligencia artificial, el desarrollo de conocimientos sobre la política de asistencia sanitaria, incluido asesoramiento, en cooperación con las partes interesadas a nivel nacional y de la UE, sobre la promoción de la salud, la prevención de enfermedades y la mejora de la prestación de asistencia sanitaria mediante un mejor uso de los datos sanitarios. La red presta apoyo a los Estados miembros para que puedan compartir y utilizar datos sanitarios y médicos con fines de salud pública e investigación. De conformidad con el artículo 14, apartado 2, letra c), de la Directiva 2011/24/UE, también apoya a los Estados miembros en el desarrollo de medidas de identificación electrónica y de autenticación para facilitar la transferibilidad de los datos en la asistencia sanitaria transfronteriza, en particular en lo que se refiere a la infraestructura de servicios digitales de sanidad electrónica para los servicios transfronterizos de información de sanidad electrónica, teniendo en cuenta el marco eIDAS y otras acciones en curso a escala de la Unión.
(10) La red de sanidad electrónica también está trabajando para reforzar la continuidad de la asistencia mediante la mejora de la aceptación de los servicios transfronterizos de sanidad electrónica, el desarrollo de nuevos casos de uso y nuevos ámbitos de información sanitaria, además de los historiales resumidos de los pacientes y las recetas electrónicas, así como para resolver los problemas de implementación relacionados con la interoperabilidad, la protección de datos, la seguridad de los datos o las competencias electrónicas en el caso de los profesionales de la salud. También facilita una mayor interoperabilidad de los sistemas nacionales de tecnologías de la información y las comunicaciones y la transferibilidad transfronteriza de los datos sanitarios electrónicos en la asistencia sanitaria transfronteriza, proporcionando orientación sobre los requisitos y especificaciones que deben utilizarse para lograr la interoperabilidad técnica, semántica y organizativa entre los sistemas nacionales de asistencia sanitaria digital. La red está trabajando para fomentar una mayor cooperación en el desarrollo y el intercambio de buenas prácticas en relación con las estrategias nacionales de sanidad digital, a fin de fomentar la convergencia de cara a un sistema interoperable de sanidad electrónica. (11) Al preparar las orientaciones relativas a los aspectos de seguridad del intercambio de datos, la red de sanidad electrónica debe beneficiarse de la experiencia del Grupo de cooperación en materia de seguridad de las redes y de la información (SRI) creado en virtud del artículo 11 de la Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo (9), y de la Agencia de Seguridad de las Redes y de la Información de la Unión Europea (ENISA).
(12) La red de sanidad electrónica también promueve el intercambio de puntos de vista entre sus miembros sobre los retos estratégicos nacionales con respecto a las nuevas tecnologías y a la utilización de los datos, y debe propiciar debates con otros foros pertinentes de la Unión (como el Grupo director sobre promoción de la salud, prevención de enfermedades y gestión de enfermedades no transmisibles o el Consejo de Estados miembros para las redes europeas de referencia) sobre las prioridades, las orientaciones estratégicas y su aplicación.
(13) El 6 de febrero de 2019, la Comisión adoptó una Recomendación sobre un formato de intercambio de historiales médicos electrónicos de ámbito europeo (10) («la Recomendación de la Comisión»). Con el fin de apoyar la aceptación y el desarrollo ulterior del formato de intercambio de historiales médicos electrónicos de ámbito europeo y de facilitar su uso, se espera que la red de sanidad electrónica, en colaboración con la Comisión, las partes interesadas, los profesionales clínicos, los representantes de los pacientes y las autoridades pertinentes, elabore orientaciones, apoye en mayor medida el desarrollo y la supervisión del formato de intercambio de historiales médicos electrónicos y asista a los Estados miembros a la hora de garantizar la privacidad y la seguridad del intercambio de datos. A fin de reforzar la interoperabilidad, la red ha elaborado directrices de inversión (11), que recomiendan tener en cuenta las normas y especificaciones a que se refiere la Recomendación de la Comisión, en particular a efectos de los procedimientos de contratación pública.
(14) Dado que la infraestructura de servicios digitales de sanidad electrónica para los servicios transfronterizos de información de sanidad electrónica es un elemento importante del funcionamiento de la red, debe aclararse el papel de la red de sanidad electrónica en dicha infraestructura y en otros servicios europeos de sanidad electrónica compartidos, a fin de garantizar la transparencia en el funcionamiento de la red.
(15) Con objeto de garantizar el intercambio efectivo de datos sanitarios entre los Estados miembros, la red de sanidad electrónica debe poder trabajar para que los Estados miembros puedan realizar dichos intercambios. En particular, basándose en el cumplimiento de requisitos predefinidos, en las pruebas y las auditorías de la Comisión y, si es posible, de otros expertos, la red de sanidad electrónica debe tener la posibilidad de decidir sobre la preparación organizativa, semántica y técnica de los Estados miembros candidatos para intercambiar datos sanitarios electrónicos completos y validados para los casos de uso adoptados, a través de sus respectivos puntos de contacto nacionales para la sanidad electrónica, así como su conformidad permanente a ese respecto.
(16) Para un funcionamiento eficaz y transparente de la red, deben establecerse normas relativas a la adopción del reglamento interno y el programa de trabajo plurianual, así como a la creación de subgrupos, con el fin de garantizar el funcionamiento eficaz de la red de sanidad electrónica. El reglamento interno debe especificar el procedimiento aplicable a las decisiones relativas al intercambio de datos personales a través de la infraestructura de servicios digitales de sanidad electrónica para los servicios transfronterizos de información de sanidad electrónica, tal como se ha descrito anteriormente.
(17) Los miembros interesados de la red de sanidad electrónica pueden mejorar su cooperación en ámbitos incluidos en los cometidos de la red. Este tipo de cooperación está dirigida por los Estados miembros y tiene carácter voluntario. Es lo que ocurre con la infraestructura de servicios digitales de sanidad electrónica para los servicios transfronterizos de información de sanidad electrónica y puede ser el caso también de otros servicios europeos de sanidad electrónica compartidos que se hayan desarrollado en el marco de la red de sanidad electrónica. Cuando los Estados miembros decidan mejorar su cooperación, deben acordar las normas de dicha cooperación y comprometerse a cumplirlas.
(18) A fin de seguir garantizando la transparencia del funcionamiento de la red de sanidad electrónica, debe explicarse su relación con la Comisión, en particular en lo que respecta a los cometidos de la red y el papel de la Comisión en el intercambio transfronterizo de datos sanitarios a través de la infraestructura de servicios digitales de sanidad electrónica para los servicios transfronterizos de información de sanidad electrónica.
(19) El tratamiento de datos personales de pacientes, representantes de los Estados miembros, expertos y observadores que participen en la red de sanidad electrónica, efectuado bajo la responsabilidad de los Estados miembros u otras organizaciones u organismos públicos de los Estados miembros, debe llevarse a cabo de conformidad con el Reglamento general de protección de datos y la Directiva 2002/58/CE del Parlamento Europeo y del Consejo (12). La Comisión debe tratar los datos personales de los representantes de las autoridades nacionales responsables de la sanidad electrónica, otros representantes de los Estados miembros, expertos y observadores que participen en la red de sanidad electrónica de conformidad con el Reglamento (UE) 2018/1725. El tratamiento de datos personales, realizado bajo la responsabilidad de la Comisión, a efectos de gestionar y garantizar la seguridad de los servicios básicos de la infraestructura de servicios digitales de sanidad electrónica para los servicios transfronterizos de información de sanidad electrónica, debe ajustarse al Reglamento (UE) 2018/1725.
(20) Los Estados miembros, representados por las autoridades nacionales pertinentes u otros organismos designados, determinan conjuntamente la finalidad y los medios del tratamiento de datos personales a través de la infraestructura de servicios digitales de sanidad electrónica para los servicios de información transfronteriza de sanidad electrónica, por lo que son responsables del tratamiento. Las responsabilidades respectivas de los responsables del tratamiento deben definirse en un acuerdo separado. La Comisión, como proveedora de soluciones técnicas y organizativas de la infraestructura de servicios digitales de sanidad electrónica para los servicios transfronterizos de información de sanidad electrónica, trata los datos personales cifrados de los pacientes en nombre de los Estados miembros entre los puntos de contacto nacionales para la sanidad electrónica y es, por lo tanto, un encargado del tratamiento. De acuerdo con el artículo 28 del Reglamento general de protección de datos y el artículo 29 del Reglamento (UE) 2018/1725, el tratamiento por el encargado se regirá por un contrato u otro acto jurídico con arreglo al Derecho de la Unión o de los Estados miembros, que vincule al encargado respecto del responsable del tratamiento y que especifique el tratamiento. La presente Decisión establece las normas que rigen el tratamiento por la Comisión como encargada del tratamiento.
(21) A fin de garantizar la igualdad de derechos de acceso sobre la base del Reglamento general de protección de datos y del Reglamento (UE) 2018/1725, debe considerarse a la Comisión responsable del tratamiento de los datos personales relativos a la gestión de los derechos de acceso a los servicios básicos de la infraestructura de servicios digitales de sanidad electrónica para los servicios transfronterizos de información de sanidad electrónica.
(22) Para que los procedimientos de reembolso sean transparentes, deben establecerse normas relativas a los gastos de los participantes en las actividades de la red de sanidad electrónica.
(23) Procede, por tanto, derogar la Decisión de Ejecución 2011/890/UE y sustituirla por la presente Decisión por motivos de seguridad jurídica y de claridad.
(24) Las medidas previstas en la presente Decisión se ajustan al dictamen del Comité creado en virtud del artículo 16 de la Directiva 2011/24/UE.
HA ADOPTADO LA PRESENTE DECISIÓN:
Objeto
La presente Decisión establece las normas necesarias para el establecimiento, la gestión y el funcionamiento de la red de autoridades nacionales responsables en materia de sanidad electrónica de conformidad con lo dispuesto en el artículo 14, apartado 1, de la Directiva de 2011/24/UE.
Definiciones
1. A efectos de la presente Decisión, se entenderá por:
a) «red de sanidad electrónica»: la red voluntaria que conecta a las autoridades nacionales encargadas de la sanidad electrónica, designadas por los Estados miembros, y que persigue los objetivos establecidos en el artículo 14 de la Directiva 2011/24/UE;
b) «puntos de contacto nacionales para la sanidad electrónica»: las pasarelas organizativas y técnicas para la prestación de servicios transfronterizos de información de sanidad electrónica bajo la responsabilidad de los Estados miembros;
c) «servicios transfronterizos de información de sanidad electrónica»: los servicios existentes tratados por medio de los puntos de contacto nacionales para la sanidad electrónica y a través de una plataforma central de servicios desarrollada por la Comisión a efectos de la asistencia sanitaria transfronteriza;
d) «infraestructura de servicios digitales de sanidad electrónica para los servicios transfronterizos de información de sanidad electrónica»: la infraestructura que posibilita la prestación de servicios transfronterizos de información de sanidad electrónica por medio de los puntos de contacto nacionales para la sanidad electrónica y la plataforma central europea de servicios; esta infraestructura incluye tanto servicios genéricos, según se definen en el artículo 2, apartado 2, letra e), del Reglamento (UE) n.o 283/2014, desarrollados por los Estados miembros, como una plataforma central de servicios, según se define en el artículo 2, apartado 2, letra d), del mismo Reglamento, desarrollada por la Comisión;
e) «otros servicios europeos de sanidad electrónica compartidos»: servicios digitales que pueden desarrollarse en el marco de la red de sanidad electrónica y compartirse entre los Estados miembros;
f) «modelo de gobernanza»: un conjunto de normas relativas a la designación de los organismos que participan en los procesos decisorios que afectan a la infraestructura de servicios digitales de sanidad electrónica para los servicios transfronterizos de información de sanidad electrónica o a otros servicios europeos de sanidad electrónica compartidos que se hayan desarrollado en el marco de la red de sanidad electrónica, así como una descripción de dichos procesos.
2. Las definiciones del artículo 4, puntos 1, 2, 7 y 8, del Reglamento (UE) 2016/679 se aplicarán en consecuencia.
Composición de la red de sanidad electrónica
1. Serán miembros de la red de sanidad electrónica las autoridades de los Estados miembros responsables en materia de sanidad electrónica que designen los Estados miembros que participen en dicha red.
2. Los Estados miembros que deseen participar en la red de sanidad electrónica notificarán por escrito a la Comisión:
a) su decisión de participar en la red de sanidad electrónica;
b) la autoridad nacional responsable en materia de sanidad electrónica que se convertirá en miembro de la red de sanidad electrónica, así como el nombre del representante y el de su suplente.
3. Los Estados miembros notificarán por escrito a la Comisión:
a) su decisión de retirarse de la red de sanidad electrónica;
b) todo cambio en la información a que se refiere el apartado 2, letra b).
4. La Comisión pondrá a disposición del público la lista de miembros participantes en la red de sanidad electrónica.
Actividades de la red de sanidad electrónica
1. Al perseguir el objetivo contemplado en el artículo 14, apartado 2, letra a), de la Directiva 2011/24/UE, la red de sanidad electrónica podrá, en particular:
a) facilitar una mayor interoperabilidad de los sistemas nacionales de tecnologías de la información y de las comunicaciones y la transferibilidad transfronteriza de los datos sanitarios electrónicos en la asistencia sanitaria transfronteriza;
b) proporcionar orientación a los Estados miembros, en cooperación con otras autoridades de supervisión competentes, en relación con el intercambio de datos sanitarios entre los Estados miembros y la capacitación de los ciudadanos para acceder a sus datos sanitarios y compartirlos;
c) proporcionar orientación a los Estados miembros y facilitar el intercambio de buenas prácticas en relación con el desarrollo de diferentes servicios sanitarios digitales, como la telemedicina, la salud móvil o las nuevas tecnologías en el ámbito de los macrodatos y la inteligencia artificial, teniendo en cuenta las acciones en curso a escala de la UE;
d) proporcionar orientación a los Estados miembros en lo que respecta al apoyo a la promoción de la salud, la prevención de enfermedades y la mejora de la prestación de asistencia sanitaria mediante un mejor uso de los datos sanitarios y la mejora de las competencias digitales de los pacientes y los profesionales de la salud;
e) proporcionar orientación a los Estados miembros y facilitar el intercambio voluntario de mejores prácticas sobre las inversiones en infraestructuras digitales;
f) proporcionar orientación a los Estados miembros, en colaboración con otros organismos y partes interesadas pertinentes, sobre los casos de uso necesarios para la interoperabilidad clínica y las herramientas para lograrla;
g) proporcionar orientación a los miembros sobre la seguridad de la infraestructura de servicios digitales de sanidad electrónica para los servicios transfronterizos de información de sanidad electrónica o para otros servicios europeos de sanidad electrónica compartidos que se desarrollen en el marco de la red de sanidad electrónica, teniendo en cuenta la legislación y los documentos elaborados a nivel de la Unión, en particular en el ámbito de la seguridad, así como recomendaciones en el ámbito de la ciberseguridad, colaborando estrechamente con el Grupo de cooperación en materia de seguridad de las redes y de la información y con las autoridades nacionales, cuando proceda.
2. Al elaborar las directrices en relación con unos métodos eficaces que permitan utilizar los datos médicos en beneficio de la salud pública y la investigación a que se refiere el artículo 14, apartado 2, letra b), inciso ii), de la Directiva 2011/24/ UE, la red de sanidad electrónica tendrá en cuenta las directrices adoptadas por el Consejo Europeo de Protección de Datos, al que consultará, en su caso. Estas directrices también podrán abordar la información intercambiada a través de la infraestructura de servicios digitales de sanidad electrónica para los servicios transfronterizos de información de sanidad electrónica o para otros servicios europeos de sanidad electrónica compartidos.
Funcionamiento de la red de sanidad electrónica
1. La red de sanidad electrónica aprobará su reglamento interno por mayoría simple de sus miembros.
2. La red de sanidad electrónica adoptará un programa de trabajo plurianual y un instrumento de evaluación de la ejecución de dicho programa.
3. Para cumplir sus cometidos, la red de sanidad electrónica podrá crear subgrupos permanentes relativos a tareasespecíficas, en particular en relación con la infraestructura de servicios digitales de sanidad electrónica para los servicios transfronterizos de información de sanidad electrónica o para otros servicios europeos de sanidad electrónica compartidos que se desarrollen en el marco de la red de sanidad electrónica.
4. La red de sanidad electrónica también podrá crear subgrupos temporales, en particular con expertos, para examinar cuestiones específicas sobre la base de un mandato definido por la propia red. Dichos subgrupos se disolverán tan pronto como hayan cumplido su mandato.
5. Cuando los miembros de la red de sanidad electrónica decidan mejorar su cooperación en algunos ámbitos incluidos en los cometidos de la red, deben acordar las normas de dicha cooperación y comprometerse a cumplirlas.
6. Para alcanzar sus objetivos, la red de sanidad electrónica colaborará estrechamente con las acciones conjuntas que apoyen sus actividades, cuando tales acciones conjuntas existan, con las partes interesadas o con otros organismos o mecanismos de apoyo interesados, y tendrá en cuenta los resultados obtenidos en el marco de dichas actividades.
7. La red de sanidad electrónica elaborará, junto con la Comisión, los modelos de gobernanza de la infraestructura de servicios digitales de sanidad electrónica para los servicios transfronterizos de información de sanidad electrónica y participará en dicha gobernanza del siguiente modo:
i) acordando las prioridades de la infraestructura de servicios digitales de sanidad electrónica y supervisando su funcionamiento,
ii) elaborando directrices y sus requisitos de funcionamiento, incluida la selección de las normas utilizadas a efectos de la infraestructura de servicios digitales de sanidad electrónica para los servicios transfronterizos de información de sanidad electrónica,
iii) decidiendo si debe permitirse a los miembros de la red de sanidad electrónica iniciar y continuar el intercambio de datos sanitarios electrónicos a través de la infraestructura de servicios digitales de sanidad electrónica para los servicios de información transfronteriza de sanidad electrónica por medio de sus puntos de contacto nacionales para la sanidad en línea, sobre la base de su conformidad con los requisitos establecidos por la red de sanidad electrónica, según lo evaluado en las pruebas que proporcione la Comisión y las auditorías que lleve a cabo,
iv) aprobando el plan de trabajo anual destinado a la infraestructura de servicios digitales de sanidad electrónica para los servicios transfronterizos de información de sanidad electrónica.
8. La red de sanidad electrónica podrá elaborar, junto con la Comisión, modelos de gobernanza de otros servicios europeos de sanidad electrónica compartidos que se hayan desarrollado en el marco de la red de sanidad electrónica, y participar en su gobernanza. La red también podrá fijar las prioridades, junto con la Comisión, y elaborar directrices para el funcionamiento de dichos servicios europeos de sanidad electrónica compartidos.
9. El reglamento interno podrá prever que los países, que no sean Estados miembros, que apliquen la Directiva 2011/24/ UE puedan participar en las reuniones de la red de sanidad electrónica en calidad de observadores.
10. Tanto los miembros de la red de sanidad electrónica y sus representantes, como los expertos y observadores invitados guardarán el secreto profesional a que les obliga el artículo 339 del Tratado y respetarán las normas de seguridad de la Comisión relativas a la protección de la información clasificada de la UE, que figuran en la Decisión (UE, Euratom) 2015/444 de la Comisión (13). Si no respetan esas obligaciones, el presidente de la red de sanidad electrónica podrá adoptar todas las medidas apropiadas previstas en el reglamento interno.
Relación entre la red de sanidad electrónica y la Comisión
1. La Comisión:
a) asistirá y copresidirá las reuniones de la red de sanidad electrónica junto con el representante de los miembros;
b) cooperará con la red de sanidad electrónica y le prestará apoyo en relación con sus actividades;
c) se hará cargo de la secretaría de la red de sanidad electrónica;
d) desarrollará, implementará y mantendrá las medidas técnicas y organizativas apropiadas relativas a los servicios básicos de la infraestructura de servicios digitales de sanidad electrónica para los servicios transfronterizos de información de sanidad electrónica;
e) prestará apoyo a la red de sanidad electrónica a la hora de decidir sobre la conformidad técnica y organizativa de los puntos de contacto nacionales para la sanidad en línea con los requisitos para el intercambio transfronterizo de datos sanitarios, proporcionando y llevando a cabo las pruebas y auditorías necesarias; los expertos de los Estados miembros podrán ayudar a los auditores de la Comisión.
2. La Comisión podrá asistir a las reuniones de los subgrupos de la red de sanidad electrónica.
3. La Comisión podrá consultar a la red de sanidad electrónica sobre cuestiones relacionadas con la sanidad electrónica a nivel de la Unión y el intercambio de mejores prácticas en materia de sanidad electrónica.
4. La Comisión pondrá a disposición del público información sobre las actividades realizadas por la red de sanidad electrónica.
Protección de datos
1. Los Estados miembros, representados por las autoridades nacionales pertinentes u otros organismos designados, serán considerados responsables del tratamiento de los datos personales que traten a través de la infraestructura de servicios digitales de sanidad electrónica para los servicios de información transfronteriza de sanidad electrónica, y determinarán de manera clara y transparente las responsabilidades respectivas de los responsables del tratamiento.
2. La Comisión será considerada encargada del tratamiento de los datos personales de pacientes que tenga lugar a través de la infraestructura de servicios digitales de sanidad electrónica para los servicios transfronterizos de información de sanidad electrónica. En su calidad de encargada del tratamiento, la Comisión gestionará los servicios básicos de la infraestructura de servicios digitales de sanidad electrónica para los servicios transfronterizos de información de sanidad electrónica y cumplirá las obligaciones que incumben a los encargados del tratamiento establecidas en el anexo de la presente Decisión. La Comisión no tendrá acceso a los datos personales de pacientes tratados a través de la infraestructura de servicios digitales de sanidad electrónica para los servicios transfronterizos de información de sanidad electrónica.
3. La Comisión será considerada responsable del tratamiento de los datos personales necesarios a efectos de conceder y gestionar los derechos de acceso a los servicios básicos de la infraestructura de servicios digitales de sanidad electrónica para los servicios transfronterizos de información de sanidad electrónica. Se trata de los datos de contacto de los usuarios, incluidos nombre y apellidos, dirección de correo electrónico y afiliación.
Gastos
1. La Comisión no remunerará los servicios de quienes participen en las actividades de la red de sanidad electrónica.
2. La Comisión reembolsará los gastos de estancia y desplazamiento de quienes participen en las actividades de la red de sanidad electrónica con arreglo a sus disposiciones vigentes relativas al reembolso de los gastos efectuados por personas ajenas a la Comisión invitadas a participar en reuniones en calidad de expertos. Dichos gastos se reembolsarán dentro del límite de los créditos disponibles que se hayan asignado en el marco del procedimiento anual de asignación de recursos.
Derogación
Queda derogada la Decisión de Ejecución 2011/890/UE.
Las referencias a la Decisión derogada se entenderán hechas a la presente Decisión.
Destinatarios
Los destinatarios de la presente Decisión son los Estados miembros.
Hecho en Bruselas, el 22 de octubre de 2019.
Por la Comisión
Vytenis ANDRIUKAITIS
Miembro de la Comisión
(1) DO L 88 de 4.4.2011, p. 45.
(2) Decisión de Ejecución 2011/890/UE de la Comisión, de 22 de diciembre de 2011, por la que se establecen las normas del establecimiento, gestión y funcionamiento de la red de autoridades nacionales responsables en materia de salud electrónica (DO L 344 de 28.12.2011, p. 48).
(3) Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (DO L 119 de 4.5.2016, p. 1).
(4) Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo, de 23 de octubre de 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión, y a la libre circulación de esos datos, y por el que se derogan el Reglamento (CE) n.o 45/2001 y la Decisión n.o 1247/2002/CE (DO L 295 de 21.11.2018, p. 39).
(5) Reglamento (UE) n.o 1316/2013 del Parlamento Europeo y del Consejo, de 11 de diciembre de 2013, por el que se crea el Mecanismo «Conectar Europa», por el que se modifica el Reglamento (UE) n.o 913/2010 y por el que se derogan los Reglamentos (CE) n. o 680/2007 y (CE) n.o 67/2010 (DO L 348 de 20.12.2013, p. 129).
(6) Comunicación de la Comisión relativa a la consecución de la transformación digital de la sanidad y los servicios asistenciales en el Mercado Único Digital, la capacitación de los ciudadanos y la creación de una sociedad más saludable [COM(2018) 233 final, p. 7].
(7) Conclusiones del Consejo sobre la salud en la sociedad digital: avanzar en la innovación basada en los datos en el ámbito de la salud (2017/C 440/05), apartado 30.
(8) Reglamento (UE) n.o 283/2014 del Parlamento Europeo y del Consejo, de 11 de marzo de 2014, relativo a unas orientaciones para las redes transeuropeas en el sector de las infraestructuras de telecomunicaciones y por el que se deroga la Decisión n.o 1336/97/CE (DO L 86 de 21.3.2014, p. 14).
(9) Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016, relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión (DO L 194 de 19.7.2016, p. 1). (10) Recomendación (UE) 2019/243 de la Comisión, de 6 de febrero de 2019, sobre un formato de intercambio de historiales médicos electrónicos de ámbito europeo (DO L 39 de 11.2.2019, p. 18).
(11) https://ec.europa.eu/health/sites/health/files/ehealth/docs/ev_20190611_co922_en.pdf.
(12) Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas) (DO L 201 de 31.7.2002, p. 37).
(13) Decisión (UE, Euratom) 2015/444 de la Comisión, de 13 de marzo de 2015, sobre las normas de seguridad para la protección de la información clasificada de la UE (DO L 72 de 17.3.2015, p. 53).
La Comisión:
1. Creará una infraestructura de comunicación que interconecte las redes de los miembros de la red de sanidad electrónica que participen en la infraestructura de servicios digitales de sanidad electrónica para los servicios transfronterizos de información de sanidad electrónica, y velará por su seguridad y fiabilidad (en lo sucesivo, «infraestructura de comunicación centralizada y segura»). Para cumplir sus obligaciones, la Comisión podrá recurrir a terceros. La Comisión velará por que se apliquen a estos terceros las mismas obligaciones en materia de protección de datos establecidas en la presente Decisión.
2. Configurará parte de la infraestructura de comunicación centralizada y segura para que los puntos de contacto nacionales para la sanidad electrónica puedan intercambiar información de forma segura, fiable y eficiente.
3. La Comisión tratará los datos personales siguiendo instrucciones documentadas de los responsables del tratamiento.
4. Adoptará todas las medidas organizativas, físicas y lógicas de seguridad necesarias para el mantenimiento de la infraestructura de comunicación centralizada y segura. A tal fin, la Comisión:
a) designará una entidad responsable de la gestión de la seguridad a nivel de la infraestructura de comunicación centralizada y segura, comunicará a los responsables del tratamiento sus datos de contacto y garantizará su disponibilidad para reaccionar ante amenazas para la seguridad;
b) asumirá la responsabilidad de la seguridad de la infraestructura de comunicación centralizada y segura;
c) velará por que todas las personas a las que se conceda acceso a la infraestructura de comunicación centralizada y segura estén sujetas a una obligación contractual, profesional o legal de confidencialidad;
d) velará por que el personal con acceso a información clasificada cumpla los criterios de habilitación y confidencialidad correspondientes.
5. Adoptará todas las medidas de seguridad necesarias para evitar poner en peligro el correcto funcionamiento del dominio de las otras partes. A tal fin, la Comisión instaurará los procedimientos específicos relativos a la conexión a la infraestructura de comunicación centralizada y segura. Estos incluirán:
a) un procedimiento de evaluación de riesgos a fin de detectar y estimar las amenazas potenciales para el sistema;
b) un procedimiento de auditoría y verificación a fin de:
i) comprobar la correspondencia entre las medidas de seguridad implementadas y la política de seguridad aplicada,
ii) controlar periódicamente la integridad de los ficheros del sistema, los parámetros de seguridad y las autorizaciones concedidas,
iii) detectar violaciones de la seguridad e intrusiones,
iv) introducir cambios para evitar las deficiencias existentes en materia de seguridad, y
v) definir las condiciones en las que se autorizará, también a petición de los responsables del tratamiento, la realización de auditorías independientes, en particular inspecciones, y verificaciones de las medidas de seguridad y se contribuirá a ellas;
c) un procedimiento de control de los cambios para documentar y medir el impacto de un cambio antes de su aplicación y mantener informados a los puntos de contacto nacionales para la sanidad electrónica sobre cualquier modificación que pueda afectar a la comunicación con otras infraestructuras nacionales o a su seguridad;
d) un procedimiento de mantenimiento y reparación para especificar las normas y condiciones que deben cumplirse en caso de que deba procederse al mantenimiento o reparación de equipos;
e) un procedimiento en caso de producirse un incidente de seguridad para definir el régimen de notificación y transmisión de la información, informar sin demora a la administración nacional responsable, así como al Supervisor Europeo de Protección de Datos, de cualquier violación de la seguridad y definir un procedimiento disciplinario en caso de violaciones de la seguridad.
6. Adoptará medidas de seguridad físicas o lógicas para las instalaciones que alojen el equipo de la infraestructura de comunicación centralizada y segura y para los controles de los datos lógicos y el acceso de seguridad. A tal fin, la Comisión:
a) aplicará medidas de seguridad física para establecer perímetros de seguridad específicos y que permitan detectar las violaciones;
b) controlará el acceso a las instalaciones y mantendrá un registro de visitantes a efectos de localización;
c) velará por que las personas externas a las que se haya concedido acceso a las instalaciones sean acompañadas por personal debidamente autorizado de su organización;
d) velará por que no puedan añadirse, sustituirse ni suprimirse equipos sin la autorización previa de los organismos responsables designados;
e) controlará el acceso desde y hacia otras redes interconectadas a la infraestructura de comunicación centralizada y segura;
f) velará por que las personas que accedan a la infraestructura de comunicación centralizada y segura sean identificadas y autenticadas;
g) verificará los derechos de autorización relacionados con el acceso a la infraestructura de comunicación centralizada y segura en caso de que se produzca una violación de la seguridad que afecte a esta infraestructura;
h) mantendrá la integridad de la información transmitida a través de la infraestructura de comunicación centralizada y segura;
i) implementará medidas técnicas y organizativas de seguridad para evitar el acceso no autorizado a datos personales;
j) implementará, cuando sea necesario, medidas para bloquear el acceso no autorizado a la infraestructura de comunicación centralizada y segura desde el dominio de los puntos de contacto nacionales para la sanidad electrónica (por ejemplo, bloqueo de una ubicación/dirección IP).
7. Tomará medidas para proteger su dominio, incluida la desconexión, en caso de que se produzca una desviación sustancial con respecto a los principios y conceptos de calidad o seguridad.
8. Mantendrá un plan de gestión de riesgos relacionado con su ámbito de responsabilidad.
9. Supervisará, en tiempo real, el desempeño de todos los componentes de servicio de los servicios de la infraestructura de comunicación centralizada y segura, elaborará estadísticas regulares y llevará registros.
10. Prestará apoyo a todos los servicios de la infraestructura de comunicación centralizada y segura en inglés, 24/7, por teléfono, correo electrónico o portal web, y aceptará llamadas de usuarios autorizados: coordinadores de la infraestructura de comunicación centralizada y segura y sus respectivos servicios de asistencia, responsables de proyectos y personas designadas de la Comisión.
11. Apoyará a los responsables del tratamiento facilitando información relativa a la infraestructura de comunicación centralizada y segura de la infraestructura de servicios digitales de sanidad electrónica para los servicios transfronterizos de información de sanidad electrónica, con el fin de cumplir las obligaciones establecidas en los artículos 35 y 36 del Reglamento (UE) 2016/679.
12. Velará por que los datos que se transfieran en la infraestructura de comunicación centralizada y segura estén cifrados.
13. Adoptará todas las medidas pertinentes para impedir que los operadores de la infraestructura de comunicación centralizada y segura accedan sin autorización a los datos transferidos.
14. Adoptará medidas para facilitar la interoperabilidad y la comunicación entre las administraciones nacionales competentes designadas de la infraestructura de comunicación centralizada y segura.
Agencia Estatal Boletín Oficial del Estado
Avda. de Manoteras, 54 - 28050 Madrid