El impacto del Digital Omnibus en el sector sanitario
¿Cómo podría afectar este Reglamento podría al sector sanitario ?
(Imagen: E&J)
El impacto del Digital Omnibus en el sector sanitario
¿Cómo podría afectar este Reglamento podría al sector sanitario ?
(Imagen: E&J)
La Comisión Europea propuso en el mes de noviembre el Reglamento Ómnibus Digital, un texto encaminado a enmendar un amplio acervo legislativo digital con el objetivo de aliviar la carga regulatoria que suponen estas normas para los distintos operadores jurídicos en nombre de la competitividad y, a ojos de algunos, en detrimento de los derechos de las personas físicas. A fin de cuentas, se pretende impulsar la innovación y reducir de forma significativa los costes de cumplimiento normativo, aunque no puede descartarse que esta orientación responda, en parte, a presiones externas.
En cualquier caso, no son pocos los que se han hecho eco de la reciente propuesta, no obstante, son pocos quienes se han detenido a reflexionar sobre cómo este Reglamento podría afectar al sector sanitario. Así, esta reforma técnica normativa afecta, entre otros, al Reglamento General de Protección de Datos, al Reglamento de IA, al Reglamento de Datos, al Reglamento de Gobernanza de Datos y la Directiva Open Access.
Marco legal de protección de datos
En materia de protección de datos, se observa una plena alineación con la destacada jurisprudencia del Tribunal de Justicia de la Unión Europea (TJUE) relativa a la Doctrina Escania. En otras palabras, esta innovación normativa codifica la redefinición contextual del concepto de datos personales, dado que no se considerarán como tales cuando la entidad en cuestión no disponga de medios razonables para identificar a la persona. En este contexto, la Comisión Europea contará con la facultad de establecer los criterios que permitan determinar en qué circunstancias los datos pseudonimizados dejarán de ser considerados datos personales. Esto tiene especial relevancia en el ámbito sanitario, por ejemplo, en investigaciones científicas en las que las historias clínicas se pseudonimizan: si los investigadores no disponen de medios para identificar a los pacientes, dichos datos podrán tratarse con menos restricciones, -que no con menos garantías-, facilitando la realización de estudios sin comprometer la privacidad de los individuos.
Cabe destacar que los datos de salud deben seguir interpretándose de manera estricta, incluyendo únicamente aquellos datos que indiquen de forma directa el estado físico o mental de un individuo. En consecuencia, quedan excluidas las inferencias, correlaciones o conclusiones derivadas de análisis estadísticos o algoritmos, salvo que dichos resultados permitan conocer explícitamente el estado de salud de la persona. Igualmente, se enfatiza el principio de limitación de la finalidad, estableciendo que el tratamiento posterior con fines de investigación científica, interés público o estadísticos no será considerado incompatible con la finalidad original, siempre que se mantengan las garantías previstas por el Reglamento General de Protección de Datos.
Suscríbete a nuestra
NEWSLETTER
(Imagen: E&J)
Asimismo, la propuesta crea una nueva base legal bajo el paraguas del artículo 9 del Reglamento General de Protección de Datos para tratar categorías especiales de datos, como es el caso de los datos de salud, con el fin de detectar y corregir sesgos en sistemas y modelos de IA con ciertas medidas técnicas y organizativas que mitiguen los riesgos. Esto es especialmente relevante en el sector de la salud dado que los sistemas de IA son, por lo general, de alto riesgo ya sea por tratarse de un producto sanitario o por caer en el anexo III del Reglamento de Inteligencia Artificial y, por tanto, susceptibles de afectar a los derechos fundamentales y las libertades de los individuos. En concreto, la representatividad de los datos es crucial durante la fase de entrenamiento de la IA con el fin de prevenir sesgos y garantizar que el algoritmo haya sido previamente entrenado con datos representativos de la población a la que se aplicará. En este contexto, la medida legislativa permite tratar datos sensibles de manera lícita para auditar sesgos, corrigiendo la limitación previa que impedía detectar la discriminación oculta.
A este respecto, la evaluación de impacto de datos personales no se ha quedado atrás, y se contempla la creación de una única lista europea que armonice las listas puestas a disposición por las distintas autoridades nacionales de protección de datos para determinar la necesidad de llevar a cabo una evaluación de impacto, así como el establecimiento de una metodología común. Este aspecto no es desdeñable, pues son innumerables las evaluaciones de impacto llevadas a cabo en el sector sanitario debido a la sensibilidad de los datos tratados y su potencial impacto en los interesados.
Por otro lado, se ha aumentado el plazo de la notificación de violaciones de datos en caso de brechas de seguridad de 72 a 96 horas a través de la ventanilla única y solamente cuando exista un alto riesgo para los derechos y libertades. De la misma forma, se limita el derecho de acceso reconocido por el Reglamento General de Protección de Datos, pues el responsable de tratamiento podría negarse o cobrar una tarifa razonable en casos manifiestamente infundados, excesivos, o incluso en el caso de que exista un abuso de dicho derecho. Esto es especialmente interesante en el marco del Reglamento del Espacio Europeo de Datos de Salud, en la medida en la que este introduce un desarrollo sustancial de este derecho respecto al acceso inmediato y gratuito a la historia clínica electrónica, la obtención de una copia y la notificación sobre cualquier acceso a esta.
Por último, se tratará de consolidar el marco legal de datos en el Reglamento de Datos. Esto se traduce en la integración del Reglamento sobre circulación de datos no personales, el Reglamento de Gobernanza de Datos y la Directiva de Datos abiertos en el Reglamento de Datos con el objetivo de evitar duplicidades.
(Imagen: E&J)
Marco legal de IA
En términos del Reglamento de Inteligencia Artificial, además de la habilitación de una base legal que permita tratar datos de salud con fines de mitigación de sesgos, existen otras novedades. En particular, la Comisión Europea elaborará una guía que permita aplicar correctamente en la práctica las exenciones de ámbito de aplicación del reglamento para la investigación previstas por los artículos 2.6 y 2.8.
En la misma línea, se procurará que la implementación del Reglamento de Inteligencia Artificial junto al Reglamento de Productos Sanitarios y Productos Sanitarios de diagnóstico in vitro sea lo más fácil y predecible posible, permitiendo una evaluación de conformidad conjunta que favorezca la innovación en el sector. En total concordancia con este planteamiento, el reglamento extiende sus medidas de apoyo no solo a las pymes, sino también a las empresas medianas, reforzando así la atención destinada a las start-ups y a las compañías en fase de expansión.
En los mismos términos, con el fin de garantizar una cierta coherencia, se establecerá un procedimiento único de solicitud y evaluación para los organismos notificados que sean designados bajo el Reglamento de IA y de Productos Sanitarios. Respecto a la Oficina de IA, la IA que tenga consideración de productos sanitarios no será supervisada por esta, por lo que es deducible que la autoridad competente será la Agencia Europea del Medicamento.
Por último, pero no menos importante, las obligaciones esenciales para los sistemas de IA de alto riesgo quedarán supeditadas a que la Comisión Europea adopte una decisión que confirme la existencia de medidas de apoyo suficientes para facilitar el cumplimiento normativo. Si dicha decisión se materializa, la aplicación de las obligaciones para los sistemas de IA del anexo III se retrasará 6 meses adicionales, y la de los sistemas incluidos en el anexo I como los productos sanitarios, se prorrogará 12 meses más. En consecuencia, el anexo III comenzaría a aplicarse el 2 de diciembre de 2027 y el anexo I el 2 de agosto de 2028.
