• Un análisis crítico dirigido al Parlamento Europeo para su enmienda.

AUTORA: Soledad Cabezón. Médica cardióloga. Miembro de la Comisión de Redacción de la rAJM.

Revista nº 24. Octubre 2023.

La Comisión Europea (CE) ha marcado, ahora ya sin vacilaciones, las pautas para crear un espacio común de datos sanitarios europeos (EEDS) mediante la propuesta de Reglamento relativa al Espacio Europeo de Datos Sanitarios¹, cuyo objetivo es el de facilitar su circulación con fines tanto de uso primario, por parte de los pacientes para su asistencia médica y farmacológica, a través del acceso a su historia de salud (MiSalud@UE), como de uso secundario para otros fines que beneficiarían a la sociedad, como la investigación, la innovación, la formulación de políticas, la seguridad de los pacientes, la medicina personalizada, las estadísticas oficiales o las actividades reglamentarias (HealthData@EU).

A lo largo de la última década, la CE ha tratado de establecer un EEDS a través de diferentes iniciativas legislativas con escaso éxito. Destacan, primero, la Directiva de Sanidad Transfronteriza de 2011/24/EU sobre los derechos de los pacientes en la sanidad transfronteriza (en adelante Directiva sobre Sanidad Transfronteriza)² y posteriormente el Reglamento General de Protección de Datos 2016/679 (RGPD)³ hasta llegar a la actual Propuesta de Reglamento relativa al EESD, propiciado por un contexto de pandemia y la necesidad de coordinar políticas sanitarias a nivel europeo, un mayor conocimiento del potencial económico de la explotación de los datos sanitarios, así como con un progresivo desarrollo de la ciberseguridad, dando lugar a la propuesta de un marco vinculante para compartir y generar conocimiento, así como un nuevo sector económico dentro de la salud.

La Directiva sobre Sanidad Transfronteriza pretendía facilitar la movilidad de la ciudadanía europea, es decir, el uso primario de los datos, y un limitado uso secundario para compartir conocimiento sobre las enfermedades raras y poder mejorar su abordaje. Sin embargo, ninguno de estos propósitos se ha alcanzado suficientemente, especialmente el primero. El carácter voluntario de sus disposiciones, las diferentes trabas interpuestas por los EEMM, como un sistema de reembolso disuasorio en muchos casos, un sistema de precios por los servicios prestados en consonancia con los propios de los ciudadanos del país asistencial, generando el temor en convertirse en una posible carga para los sistemas sanitarios más accesibles, aunque lejos de lo que podría haber resultado en un modelo de negocio como “turismo sanitario” desigual, entre otras razones, no han permitido una implementación adecuada de la normativa.

El RGPD, garantista con los derechos de los pacientes, trata de dar un paso más en el desarrollo del uso secundario de los datos sanitarios pero tampoco ha resultado la herramienta adecuada para ello. Aunque introduce el concepto de “la reutilización de los datos”, “la interpretación desigual del RGPD obstaculiza el uso secundario…”. Además, al situar al paciente en el centro, confiriéndole la titularidad de los mismos, obviando a los sistemas de salud, a pesar de que se haya conformado mediante fondos públicos sufragados por los EEMM, ha resultado ser un obstáculo para la circulación de los datos al requerir del consentimiento informado (“en virtud del Reglamento (UE) 2016/679, la portabilidad se limita únicamente a los datos tratados sobre la base del consentimiento o de un contrato, lo que excluye los datos tratados con arreglo a otras bases jurídicas, excluyendo muchos datos inferidos o indirectos, como diagnósticos o ensayos”).

El debate sobre el consentimiento y su alcance ya reconocía que podría resultar en tal obstáculo a la circulación del conocimiento, pero no se concibe en ese momento otra fórmula posible con el paciente en el centro como titular de los datos. A su vez, los datos que se pueden compartir bajo el RGPD son muy limitados, incluyéndose los datos de salud bajo el artículo 4 en datos sensibles (“los relacionados con la salud, especialmente los que contienen información genética, sobre la conducta u orientación sexual y los datos biométricos son considerados una categoría especial, y requieren de protección especial”) con estrictas condiciones para su circulación (el artículo 6.1 del RGPD 2016/679 establece la necesidad de otorgar el consentimiento por parte del interesado para determinados fines específicos. A su vez, el artículo 9 sobre el tratamiento de las categorías de especiales de datos personales, en su punto 1 donde prohíbe el tratamiento de datos personales relacionados con la salud y los genéticos, estableciendo en el apartado 2 excepciones al mismo.   

En definitiva, la falta de obligatoriedad, la dispar interpretación de la normativa, la metodología elegida y la falta de interoperabilidad de los sistemas hacen de facto imposible alcanzar un verdadero EEDS. 

Mientras, el desarrollo digital señala progresivamente un nuevo y próspero ámbito económico que sitúa los datos como “el petróleo del siglo XXI”, con una industria farmacéutica que viene tratando de simplificar los estudios científicos mediante la incorporación y análisis masivo de datos pre o post autorización, todo ello de la mano de la irrupción de los sistemas informáticos con capacidad de analizar altos volúmenes de datos; pero será la pandemia, que precisa de la coordinación de los sistemas sanitarios, la que dé lugar al ansiado contexto que impulse definitivamente un EEDS. Las instituciones europeas, hasta ahora reticentes a abordar asuntos que puedan considerarse en el ámbito de los EEMM, como es la organización de sus sistemas sanitarios, encuentran la oportunidad para hacer efectivo el EEDS y crear “un auténtico mercado único de productos y servicios sanitarios digitales” dentro de La Unión Europea de la Salud.

Para alcanzar la necesaria fluidez de la circulación de los datos, la CE pretende establece su carácter vinculante y para ello, ahora sí, reconoce la titularidad de los datos sanitarios a los prestadores y proveedores de servicios sanitarios, mayoritariamente los sistemas nacionales de salud, pero eximiéndoles del derecho de su explotación, y para ello invoca el artículo 114 del TFEU sobre el  mercado interior de la UE⁴, por lo que  los datos sanitarios quedan así considerados meramente servicios y productos del mercado (“su finalidad es mejorar el funcionamiento del mercado interior mediante el establecimiento de un marco jurídico uniforme, en particular en lo que respecta al desarrollo, la comercialización…..”), alejados de la concepción de bien común o social más acorde al artículo 168 del TFEU, así como de la competencia que su apartado 7 torga a los EEMM en cuanto a la organización y prestación de los servicios sanitarios, o la Carta de Derechos Fundamentales del UE, donde a salud ocupa uno de ellos.

En definitiva, la interoperabilidad y la vinculación necesarias quedarían, por fin, alcanzados mediante la base jurídica de artículo 114 del TFEU, que eleva la competencia a nivel europeo y permite el tratamiento de  los datos sanitarios electrónicos en poder del titular de los datos con arreglo al presente Reglamento, creando la obligación jurídica, en el sentido del artículo 6, apartado 1, letra c), del RGPD, de forma que el titular de los datos revele dichos datos a los organismos de acceso a los datos sanitarios.

Además, para evitar toda discrecionalidad en la implementación que permite una Directiva, elige la fórmula de reglamento, con menor margen de discrecionalidad posible. La aplicación del artículo 114 del TFEU quedaría garantizado también apelando al principio de subsidiariedad del artículo 5 (“En los ámbitos en los que la Unión no tiene competencias exclusivas, el principio de subsidiariedad, consagrado en el Tratado de la Unión Europea, define las circunstancias en las que es preferible la actuación de la Unión en lugar de los Estados miembros”), asegurando la interoperabilidad de los sistemas. La Ley de Gobernanza de Datos⁵ constituye un marco horizontal que solo establece condicione genéricas para el uso secundario de los datos del sector público, sin crear un verdadero derecho al uso secundario de dichos datos.

Un segundo aspecto importante a abordar es la preservación de los derechos de intimidad y privacidad de los pacientes, para lo que se invoca el artículo 16 del TFUE establece las competencias a nivel europeo y, aunque la Ley de Ciberresiliencia⁶ establece los requisitos horizontales de ciberseguridad para los productos digitales y los servicios auxiliares, la propuesta de reglamento de EEDS concreta que para el uso primario deja la capacidad de oposición por parte del paciente, mientras que para el uso secundario se prescinde del mismo, considerando que la anonimización es suficiente garantía de estos derechos, aunque permite la pseudoanonimización “cuando la finalidad del tratamiento del usuario de datos no pueda alcanzarse con datos anonimizados”, lo que no deja de ser preocupante, sobre todo cuando se amplía el concepto de datos sanitarios (tabla 1) a “datos sanitarios electrónicos personales»: los datos relativos a la salud y los datos genéticos, tal como se definen en el Reglamento (UE) 2016/679, así como los datos relativos a factores determinantes de la salud, o los datos tratados en relación con la prestación de servicios sanitarios, que se traten en formato electrónico”.

Esta apuesta decidida por la CE por un EEDS tiene, además de una justificación científica, una clara intención económica. Los beneficios de este nuevo mercado se estiman en más de 11000 millones de euros en los próximos 10 años, divididos casi a partes iguales entre los derivados del uso primario (5600 millones de euros) y el secundario (5400 millones de euros). En concreto, 1400 y 4000 millones euros derivados del ahorro en los servicios sanitario mediante el uso primario; para el uso secundario estima 400 millones de euros para investigadores e innovadores, un ahorro de 300 y 900 millones por mejoría en el acceso y la asistencia sanitaria y de 800 millones de euros para los responsables políticos y los reguladores. Sin embargo, probablemente estos beneficios sean bastante mayores para el sector privado de no excluirse la aplicación de las normas de propiedad intelectual y/o se introducen criterios de retorno público, pues considera “«usuario de datos», una persona física o jurídica que tiene acceso legítimo a determinados datos sanitarios electrónicos personales o no personales y está autorizada a usarlos con fines comerciales o no comerciales”.(…).” sin distinción entre usuario privado o público (“El uso secundario de los datos sanitarios en el marco del EEDS debe permitir que las entidades públicas, privadas y sin ánimo de lucro, así como los investigadores individuales, tengan acceso a los datos sanitarios para la investigación, la innovación, la elaboración de políticas, las actividades educativas, la seguridad de los pacientes, las actividades reglamentarias o la medicina personalizada,…”). Mientras, se echa en falta una reciprocidad entre los derechos y obligaciones de los titulares públicos y privados, pues, aunque considera “titular de datos: toda persona física o jurídica que sea una entidad o un organismo del sector sanitario o asistencia, o que lleve a cabo investigaciones”, quedando  “los operadores del mercado del sector sanitario (ya sean prestadores de asistencia sanitaria o de servicios y productos digitales) obligados a compartir datos sanitarios”, se especifica que “los titulares de datos, que recogen y tratan los datos con financiación pública de la Unión o nacional, deben ponerlos a disposición de los organismos de acceso a los datos sanitario”, y recoge que “en algunos Estados miembros, las entidades privadas, incluidos los prestadores de asistencia sanitaria privados y las asociaciones profesionales, desempeñan un papel fundamental en el sector sanitario. Los datos sanitarios en poder de dichos prestadores también deben estar disponibles para uso secundario”, es de dudoso cumplimiento esta declaración a falta de un marco de reciprocidad que establezca claramente las obligaciones del sector privado usuario del EEDS, a falta de competencias por parte de la CE sobre el sector privado.

Por otro lado, en lo referente a la aplicación de los derechos de propiedad intelectual, aunque considera que “los datos que están sujetos a una protección jurídica específica, como la propiedad intelectual e industrial de las empresas de productos sanitarios o de las empresas farmacéuticas, gozan a menudo de la protección de los derechos de autor o de tipos de protección similares. No obstante, las autoridades públicas y los reguladores deben tener acceso a dichos datos, por ejemplo en caso de pandemias”, de nuevo no queda claro el marco en el que esto pueda exigirse, salvo que se establezca ese marco de reciprocidad de obligaciones y derechos bajo la definición de un marco de retorno público o, incluso, la exclusión de la aplicación de estos derechos de monopolio, así como mediante de una definición acorde de lo se deben considerar participantes autorizados de DatosSalud@UE, ahora: “las infraestructuras de investigación relacionadas con la salud o las estructuras similares cuyo funcionamiento se base en el Derecho de la Unión y que apoyen el uso de datos sanitarios electrónicos con fines de investigación, elaboración de políticas, estadísticas, seguridad de los pacientes o reglamentación serán participantes autorizados en DatosSalud@UE”.

Si quedaba alguna duda, los titulares de estos datos, obligados a compartir estos datos, lo deben hacer bajo las normas generales para la gestión de la cesión altruista de datos que establece la Ley de Gobernanza de Datos⁵, permitiendo sólo el establecimiento de unas tasas limitadas a “reflejar los costes de la prestación de tales servicios” (“se excluirá de este cálculo la ayuda recibida por el titular de los datos con cargo a donaciones, fondos públicos nacionales o de la Unión, para crear, desarrollar o actualizar un conjunto de datos. Los intereses y necesidades específicos de las pymes, los organismos públicos, las instituciones, órganos y organismos de la Unión que participan en la investigación, la política sanitaria o el análisis, las instituciones educativas y los prestadores de asistencia sanitaria se tendrán en cuenta a la hora de fijar las tasas, reduciéndolas proporcionalmente a su tamaño o presupuesto”), los sistemas sanitarios públicos quedan excluidos de los beneficios económicos de la explotación de los datos, generados con fondos públicos, y que algunos gestores sanitarios consideran una gran oportunidad para garantizar su sostenibilidad⁷, trasladándose hacia el sector privado esos potenciales beneficios. Una vez más, los datos sanitarios ahora, como los medicamentos, se alejan del concepto de bien común en mayor consonancia con el Derecho Fundamental a la Salud y los asimila a servicio o producto del mercado, y sujeto a sus reglas; concepción neoliberal de la salud, donde el incremento del conocimiento se considera objetivo suficiente para mejorar las condiciones de la sociedad, sin necesidad regular y garantizar el acceso equitativo al mismo.

Sin embargo, los costes se asumirán mayoritariamente por los fabricantes de sistemas de historia médica electrónica y de productos destinados a conectarse a dichos sistema (200-1200 millones de euros) en el ámbito del uso primario. Los relativos al uso secundario de serán las autoridades públicas, incluidos los reguladores y los responsables políticos de los EEMM y de la UE, los que los asuman los (400-700 millones de euros).

Esta visión poco parece atender a los principios éticos que la UNESCO⁸ identifica y señala a tener en cuenta sobre la aplicación del Big Data en Salud, como son la independencia, privacidad y, en concreto, el de justicia social, este último en términos de accesibilidad y solidaridad. La justificación de oportunidad social del reglamento en base a los avances científicos que pueda promover mediante el impulso de la investigación no pueden considerarse justos a priori, sin garantías de acceso efectivo y equitativo al mismo por el conjunto de la sociedad. El progreso científico en sí mismo no supone el avance equitativo y justo de la sociedad, más cuando el garante público, el Estado, queda despojado de su capacidad de regular el mercado.

El principio de justicia social se explicita en la Cumbre Iberoamericana de noviembre de 2018 que apoya el derecho a disfrutar de los beneficios del progreso científico (“avanzar hacia el reconocimiento efectivo de la ciencia como un derecho humano”) ⁹, en un intento de desarrollar el artículo 27 de la Declaración Universal de Derechos Humanos (“toda persona tiene derecho a participar en el avance científico y sus beneficios”), así como el artículo 15 del Pacto de Derechos Económicos, Sociales y Culturales (“los Estados reconocen el derecho de todos (…) a disfrutar de los beneficios del progreso científico y sus aplicaciones”).  Se echa en falta pues, un sistema de retorno justo de la inversión pública que, como los economistas Stiglitz y Varian¹⁰ y diferentes organizaciones humanitarias vienen solicitando, consideren estos datos como un bien público,). Sin embargo, la propuesta presenta un claro interés económico sin una apuesta firme en términos de justicia social.

Cabe decir que la fórmula elegida no era la única posible. Suiza ya abrió el debate sobre la propiedad de estos datos y la necesidad de generar beneficios sociales a la hora de compartirlos¹¹ introduciendo el principio de justicia social, los derechos de los pacientes y la confianza en las instituciones públicas como principios rectores en la gestión de los datos de salud. Por otro lado, la iniciativa British Biobank, se trata de un proyecto sin ánimo de lucropara estimular la investigación biomédica donde se comparte de forma altruista una base de datos de pacientes, pero de carácter voluntario, y financiación a través de tarifas para el acceso a los recursos, pero “sin permitir el uso injustificado de los derechos de propiedad intelectual que pueden restringir la investigación o el acceso a la salud” ¹².

Más lejos aún queda de que injustificadamente no se haya considerado un “mercado público de datos”, donde los sistemas de salud puedan obtener mayores beneficios que las tasas para cubrir solo los costes o incluso que no se propicie la investigación pública, titular de los datos, y con ello, un cambio en el modelo farmacéutico, cuya factura supone en la actualidad la principal amenaza para la sostenibilidad de los sistemas sanitarios públicos, lo que apunta a un empeoramiento con la descapitalización del sistema público a cambio de nuevos productos protegidos por un sistema de patentes, cuya disponibilidad y accesibilidad seguirá bajo el control de la industria farmacéutica.

En definitiva, a falta de enmienda por el Parlamento Europeo, estamos ante la más ambiciosa propuesta de explotación de datos sanitarios a la fecha en el mundo desarrollado, donde los titulares de los datos,  las instituciones sanitarias públicas, quedan obligados a compartirlos de forma altruista, sin criterios de retorno público ni claras normas de exclusión de la propiedad intelectual, lo que redundará en claro fortalecimiento del sector farmacéutico industrial y una amenaza a la sostenibilidad, quedando por ver el resultado en términos de generación de conocimiento y de acceso al mismo en términos de justicia social. El papel del Estado queda relegado a mero intermediario entre los titulares, participantes autorizados y usuarios a través de los organismos de acceso a los datos sanitarios, para lo que debe designar una autoridad de sanidad digital responsable de la aplicación y el cumplimiento del presente capítulo a nivel nacional.

Es obvio que son muchos los aspectos a mejorar en la propuesta, pero a elegir uno, habría que comenzar con la modificación y/o implementación de la base jurídica donde el artículo 168 no quede supeditado al 114, la salud al mercado; de otra manera los sistemas sanitarios públicos quedaran descapitalizados, cuyas consecuencias a medio largo plazo en términos de desigualdad pueden ser de una trascedencia irremediable.

Referencias

1. Propuesta de Reglamento – El Espacio Europeo de Datos Sanitarios. COM(2022) 197/2. https://health.ec.europa.eu/publications/proposal-regulation-european-health data-space_en
2. Directive 2011/24/EU of the European Parliament and of the Council of 9 March 2011 on the application of patients’ rights in cross-border healthcare. OJ L 88, 4.4.2011, p. 45–65.http://data.europa.eu/eli/dir/2011/24/oj
3. Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (Texto pertinente a efectos del EEE). OJ L 119, 4.5.2016, p. 1–88. https://eur-lex.europa.eu/ES/legal-content/summary/general-data-protectionregulation-gdpr.html
4. Consolidated version of the Treaty on the Functioning of the European Union. OJ C 326, 26.10.2012, p. 47–390.  http://data.europa.eu/eli/treaty/tfeu_2012/oj
5. Regulation (EU) 2022/868 of the European Parliament and of the Council of 30 May 2022 on European data governance and amending Regulation (EU) 2018/1724 (Data Governance Act) (Text with EEA relevance). PE/85/2021/REV/1.http://data.europa.eu/eli/reg/2022/868/oj
6. Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on horizontal cybersecurity requirements for products with digital elements and amending Regulation (EU) 2019/1020. COM/2022/454 final. https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=celex:52022PC0454
7. Report of the IBC Data and Healt. SHS/YES/IBC-24/17/3 REV.2 http://unesdoc.unesco.org/images/0024/002487/248724e.pdf.
8. Soledad Cabezón Ruiz y Rubén Morilla. Big Data en Salud: Un nuevo paradigma para regular, un desafío para la justicia social. Rev Esp Salud Pública. 2021; Vol. 95: 7 de octubre e1-13.
9. Mouton Dorey C, Baumann H & Biller-Andorno N. Patient data and patient rights: Swiss healthcare stakehol- ders’ ethical awareness regarding large patient data sets – a qualitative study. BMC Med Ethics. 2018. 7;19(1):20.doi: 10.1186/s12910018-0261-x
10. Ibero-American Summit of November, 2018. Disponible en: https://www.cumbresiberoamericanas.com/ibero-american- summit-2018-focused-on-sustainable-development-group/
11. British Bibank. De Lecuona I, Villalobos-Quesada M. European pers- pectives on Big Data applied to health: The case of bio- banks and human databases. Dev World Bioeth. 2018. 3:291-298. doi: 10.1111/dewb.12208
12. Retorno Público. Taylor L. The ethics of Big Data as a public good: which public? Whose goods? Philos Trans A Math Phys Eng Sci. 2016. 28;374(2083):20160126. doi: 10.1098/rsta.2016.0126