El 15 de marzo de 2024 las instituciones europeas alcanzaron un acuerdo sobre el Reglamento del Espacio Europeo de Datos Sanitarios (EEDS). A partir del momento en que comience a aplicarse, el régimen del uso secundario o re-utilización de datos de salud y genéticos conocerá importantes novedades, que toda organización sanitaria debería tener en mente.
La primera cuestión a considerar es que toda aquella organización (salvo las microempresas) que posea bases de datos de este tipo tendrá que declarar su existencia, incluyendo sus características principales. Más aún, deberá permitir que quienquiera que muestre un interés en utilizar esos datos para las finalidades previstas en la norma (como la investigación científica) pueda tener acceso a los datos. Dicho acceso, eso sí, se articulará sobre la base de un procedimiento que garantice la confidencialidad de la información. Para empezar, el acceso se producirá mediante la intervención de unos organismos de nueva creación, los organismos de acceso, que serán quienes decidan qué solicitudes se atienden y cuáles no, o en qué casos hay que permitir un acceso a datos pseudonimizados y en cuáles sólo se tratarán datos anonimizados (que sí se podrán ceder, por cierto). También serán estos organismos quienes organicen los espacios seguros en los que se producirá el acceso, de modo que la figura jugará un papel esencial en toda esta nueva arquitectura normativa.
¿Y qué ocurrirá con los pacientes? Esta es, sin duda, una cuestión clave. En el texto final acordado se ha optado por su sistema de opt-out o exclusión voluntaria: los Estados reconocerán a los interesados un derecho a oponerse a que sus datos puedan re-utilizarse. Y esto sin que sea necesario justificar su negativa al tratamiento de esos datos y a través de un mecanismo que ha de ser fácil de comprender. Con tal fin, las autoridades responsables deberán proporcionarnos información suficiente al efecto, expresando claramente los pros y los contras de la decisión adoptada. No obstante, hay una excepción a este escenario general: cada Estado podrá establecer en su legislación nacional excepciones a ese derecho de oposición cuando los datos se vayan a utilizar para determinados fines, como la investigación científica realizada por razones importantes de interés público por organismos del sector público, incluyendo los terceros que actúen en nombre de dichas entidades o por encargo de las mismas. El Reglamento abre, además, la posibilidad de que los Estados Miembros introduzcan garantías aún más importantes cuando se traten datos genéticos, genómicos u otros ómicos, como la exigencia de consentimiento para su tratamiento, pero es muy improbable que España se acoja a esta posibilidad, que sí puede tener cabida en otros países, como Alemania, por ejemplo.
En conclusión, el Reglamento ha trazado un nuevo marco jurídico para el tratamiento de datos de salud y genéticos que, sin derogar lo establecido en el Reglamento General de Protección de Datos, permitirá, en principio, mejorar la disponibilidad de datos para investigación, por más que, en la práctica, el resultado final dependerá de las opciones normativas que adopten los diferentes Estados. Lo que en cualquier caso es seguro es que las instituciones sanitarias tendrán que realizar un esfuerzo por mejorar sustancialmente la gestión de esta clase de datos. Ajústense el cinturón que vienen curvas.