El GDPR y el EHDS son los dos grandes marcos normativos de datos de salud en la UE. El GDPR es la ley general. El EHDS es ley especial (lex specialis) para el sector salud. Se complementan, no se excluyen.
Tabla comparativa
Dimensión
GDPR
EHDS
Naturaleza
Reglamento general de protección de datos
Reglamento específico para datos de salud
Ámbito
Todos los datos personales en todos los sectores
Solo datos de salud (primario y secundario)
Objetivo principal
Proteger derechos y libertades fundamentales
Facilitar intercambio y reutilización de datos de salud
Base legal
Art. 16 TFUE
Art. 16 y 114 TFUE
Relación
Ley general
Lex specialis (prevalece en su ámbito)
Uso primario (asistencia)
Aspecto
GDPR
EHDS
Acceso del paciente
Art. 15: 1 mes, posible coste
Acceso inmediato, gratuito, electrónico
Portabilidad
Art. 20: limitado, no aplica bien a salud
Portabilidad real de HCE entre países UE
Historia clínica electrónica
No regula
Etiquetado obligatorio, interoperabilidad FHIR
Receta electrónica
No regula
Intercambio transfronterizo obligatorio
Control de accesos
Accountability (Art. 5.2, 24)
Registro obligatorio de accesos + notificación al paciente
Uso secundario (investigación)
Aspecto
GDPR
EHDS
Base legal para investigación
Art. 9.2(j) + Art. 89
Marco específico con HDABs
Consentimiento
Explícito (Art. 9.2.a) u opt-in
Opt-out (exclusión voluntaria)
Acceso a datos
Negociación caso por caso
Permiso único europeo
Entornos de análisis
No regula específicamente
SPE (Secure Processing Environments) obligatorios
Gobernanza
Responsable/Encargado definen
HDABs nacionales + HealthData@EU
Obligaciones
Aspecto
GDPR
EHDS
DPO
Obligatorio (Art. 37)
Obligatorio + ampliado
EIPD
Cuando hay alto riesgo (Art. 35)
Refuerza para datos de salud
Breach notification
72h AEPD + afectados (Art. 33-34)
Mismas reglas + notificar a HDAB
Registro actividades
Obligatorio (Art. 30)
Mismo requisito
Etiquetado de sistemas
❌ No aplica
✅ Sistemas HCE deben certificarse
Autoridad supervisora
AEPD / autoridades nacionales
AEPD + HDAB nacional
Para empresas de salud: ¿Qué cambia?
Solo GDPR GDPR + EHDS
══════════════ ══════════════
Consentimiento Opt-out como opción
Datos locales Datos paneuropeos
Sistemas propios Sistemas interoperables FHIR
Investigación Permiso único europeo
caso por caso
Principales novedades que trae el EHDS:
Interoperabilidad obligatoria — tu sistema HCE debe hablar FHIR
Secondary use facilitado — te pueden pedir tus datos para investigación
Opt-out — debes implementarlo para tus pacientes
Certificación — tu software sanitario necesita etiqueta EHDS
Acceso del paciente — debe ser inmediato y electrónico
HDAB — tu empresa tendrá que colaborar con el organismo de acceso a datos
Lo que NO cambia
✅ El GDPR sigue aplicando íntegramente
✅ Los principios del Art. 5 siguen vigentes
✅ Las categorías especiales del Art. 9 siguen protegidas
✅ Los derechos ARSOLIP se mantienen
✅ Las sanciones del GDPR coexisten con las del EHDS