El Reglamento sobre el Espacio Europeo de Datos Sanitarios y TEHDAS2 establecen una nueva hoja de ruta para el uso transfronterizo de datos

La publicación oficial del Reglamento (UE) 2025/327 relativo al Espacio Europeo de Datos de Salud (EEDS) del 5 de marzo de 2025, constituye un hito sin precedentes en la integración digital de la Unión Europea. Este Reglamento no solo busca armonizar el acceso de los ciudadanos a sus historias clínicas, sino que establece un marco ambicioso para que la información sanitaria se convierta en el motor de la investigación científica, la innovación tecnológica y la formulación de políticas públicas basadas en la evidencia. El EEDS representa el primer "espacio" de datos común europeo dedicado a un sector específico, diseñado para superar la fragmentación legislativa y técnica que históricamente ha dificultado la colaboración transfronteriza en salud.

La entrada en vigor del reglamento el 26 de marzo de 2025, marcó el inicio de una fase de transición estructurada. Aunque el marco general ha comenzado a ser operativo, la aplicación de las disposiciones más complejas será progresiva, extendiéndose hasta el año 2035 para cubrir todas las categorías de datos y funcionalidades previstas. Este calendario escalonado responde a la magnitud de los cambios requeridos en las infraestructuras tecnológicas nacionales y la necesidad de adaptar los marcos legales de los 27 Estados miembros.

El núcleo del EEDS se divide en dos "pilares" fundamentales: el uso primario y el uso secundario de los datos. El uso primario se centra en el empoderamiento del paciente, permitiéndole acceder y compartir sus datos electrónicos de salud ambas de forma gratuita y sin trabas en todo el territorio de la Unión. Por otro lado, el uso secundario − objeto de intenso debate y desarrollo técnico actual − abre la puerta a que investigadores, empresas y reguladores utilicen grandes volúmenes de datos para desarrollar nuevos tratamientos, entrenar algoritmos de inteligencia artificial (IA) y mejorar la eficiencia de los sistemas sanitarios.

La gobernanza se articula a través de la creación de autoridades de salud digital en cada Estado miembro para el uso primario y de organismos de acceso a datos de salud (HDABs, por sus siglas en inglés) para gestionar el uso secundario.

Uso secundario de datos: un catalizador para la investigación y la IA

El Capítulo cuarto del reglamento regula el uso secundario, permitiendo la reutilización de datos para fines de interés público, investigación científica y desarrollo tecnológico. Esta disposición es especialmente relevante para el entrenamiento, prueba y evaluación de algoritmos de IA en el sector salud, donde la calidad y el volumen de los datos son determinantes para la precisión de los modelos diagnósticos y predictivos.

A diferencia del uso primario, el acceso a los datos para uso secundario no requiere el consentimiento individual por cada estudio; sino que se fundamenta en el interés público, siempre que se obtenga un permiso específico del HDAB correspondiente. Sin embargo, se establece un derecho de "opt-out" o exclusión voluntaria, permitiendo que las personas decidan que sus datos no se utilicen para estos fines, salvo en casos excepcionales de interés público superior.

TEHDAS2: la hoja de ruta técnica para la implementación operativa

La acción conjunta TEHDAS2 (Towards the European Health Data Space 2) es el instrumento técnico principal encargado de desarrollar las directrices y especificaciones necesarias para que el Capítulo cuarto del reglamento sea una realidad funcional. Con la participación de 29 países y coordinado por el Fondo de Innovación Finlandés, o Sitra, TEHDAS2 se construye sobre los cimientos de su predecesor para garantizar que el ecosistema sea práctico, seguro e interoperable.

El trabajo de TEHDAS2 se organiza a través de consultas públicas que permiten a los interesados −desde asociaciones de pacientes hasta la industria farmacéutica− aportar su visión sobre los borradores de directrices. El 19 de enero se completó la segunda ola de consultas, que ha recibido más de 750 respuestas, reflejando el alto nivel de compromiso de los agentes del sector con la implementación del Reglamento EEDS.

Claves de las recientes consultas de TEHDAS2

Las consultas recientes se han centrado en aspectos operativos críticos que determinarán la viabilidad del sistema de uso secundario de los datos de salud. Entre los documentos analizados destacan las siguientes guías:

• Tasas (Fees). Estas directrices proponen que los HDAB establezcan tasas transparentes, proporcionales y basadas en el coste real del servicio. Se recomienda un modelo de facturación centralizado para simplificar la burocracia para los usuarios de datos, contemplándose reducciones de tasas para determinadas categorías de usuarios, como organismos públicos, universidades o microempresas, según defina cada Estado miembro.
• Sanciones (Penalties). TEHDAS2 ha trabajado en la armonización de las medidas de cumplimiento para asegurar que las infracciones al reglamento se traten de forma coherente en toda la Unión, alineándose con los sistemas legales nacionales. Las multas pueden alcanzar hasta el 4% del volumen de negocios global de una entidad.
• Entornos de tratamiento seguro (Secure Processing Environment - SPEs). Es recomendable que los datos nunca abandonen las infraestructuras controladas. Los usuarios realizarán sus análisis dentro de los SPEs y solo podrán extraer resultados agregados o anónimos. TEHDAS2 describe requisitos comunes de ciberseguridad, interoperabilidad y trazabilidad para estos entornos.
• Descripción de los datos (Data Description). Para poder solucionar el problema de no saber qué datos existen, se ha propuesto el estándar HealthDCAT-AP (vocabulario de catálogo de datos y perfil de aplicación). Este modelo de metadatos permitirá a los titulares describir sus conjuntos de datos de forma que sean fácilmente localizables a través de catálogos nacionales y el portal europeo HealthData@EU.

Convergencia regulatoria: EEDS, Reglamento IA y Reglamento de Datos

Para las empresas tecnológicas y del sector de la salud, el reto no es solo cumplir con el EEDS, sino consolidar su interacción con otras normativas críticas como el Reglamento de IA y el Reglamento de Datos. En particular, determinados sistemas de salud digital que incorporen inteligencia artificial −especialmente aquellos con finalidad diagnóstica, terapéutica o de apoyo a la toma de decisiones clínicas− podrán calificarse como sistemas de IA de "alto riesgo" conforme al Reglamento de Inteligencia Artificial, lo que activará obligaciones adicionales de gestión de riesgos, gobernanza de datos y supervisión humana.

Para evitar la asfixia administrativa, la Comisión Europea está promoviendo el "Digital Omnibus", un paquete de simplificación regulatoria que busca reducir cargas administrativas, evitar duplicidades y armonizar requisitos de cumplimiento.

Comentario de Osborne Clarke

El Reglamento 2025/327 representa un cambio tectónico en la responsabilidad legal de los operadores sanitarios y tecnológicos. Las empresas deben ser conscientes de que el cumplimiento ya no se limita a las obligaciones clásicas de protección de datos, sino que incorpora ahora una dimensión mucho más dinámica de transmisión y acceso regulados. La figura del tenedor de datos de salud impone deberes activos de compartición que deben gestionarse con extrema cautela para no comprometer secretos comerciales o derechos de propiedad intelectual, aspectos que el reglamento protege pero que requieren una señalización explícita ante los HDABs.

Para las empresas del sector, la clave de 2026 será la monitorización de los actos de ejecución de la Comisión Europea y el desarrollo normativo del EEDS. La proactividad en el diseño de productos bajo principios de interoperabilidad será el factor determinante para capitalizar las oportunidades de un ecosistema que promete ahorrar miles de millones de euros y salvar vidas a través de la inteligencia colectiva de los datos.