Cómo preparar un centro sanitario para el EHDS (Espacio Europeo de Datos Sanitarios)

El Reglamento (UE) 2025/327 sobre el Espacio Europeo de Datos Sanitarios (EHDS) se aprobó en 2025 y entra en aplicación escalonada entre 2026 y 2029. La mayoría de los hospitales españoles no tiene un roadmap real para cumplirlo. Muchos creen que con el RGPD basta. No basta.

Qué es el EHDS en una frase ejecutiva

El EHDS convierte los datos sanitarios europeos en una infraestructura común: el ciudadano accede a su historia clínica en cualquier país de la UE (uso primario) y los investigadores, gestores y reguladores acceden a datos seudonimizados bajo permiso para investigación y política sanitaria (uso secundario). El centro sanitario deja de ser propietario opaco y pasa a ser nodo acreditado de una red.

Calendario real

Cuidado con las fechas. Las obligaciones no son simultáneas. El calendario aproximado para centros sanitarios y responsables de datos es el siguiente.

Planificar asumiendo que el plazo duro es 2029 es un error estratégico. Las obligaciones de uso primario de 2027 implican un rediseño serio del HIS y de la plataforma de consentimiento, y 18 meses no son suficientes para un hospital grande.

Los cuatro pilares

01. Uso primario

El paciente tiene derecho de acceso electrónico, portabilidad y rectificación sobre su historia clínica electrónica en un formato interoperable. Categorías prioritarias: resumen clínico, prescripción y dispensación, imagen médica, resultados de laboratorio e informes de alta. Si tu HIS no exporta a formato FHIR R4 con SNOMED-CT, no cumples.

02. Uso secundario

Investigadores, autoridades de política sanitaria y reguladores pueden solicitar acceso a datos seudonimizados para fines tasados: investigación científica, evaluación de políticas, entrenamiento y validación de sistemas de IA, estadística oficial. El centro sanitario actúa como proveedor de datos y responde al HDAB nacional, no directamente al solicitante.

03. Gobernanza

Cada Estado miembro designa un Health Data Access Body (HDAB). En España previsiblemente se articulará a través del Ministerio de Sanidad con participación de las comunidades autónomas. El HDAB emite los permisos de datos, audita cumplimiento y sanciona. El interlocutor del hospital es el HDAB, no Bruselas.

04. Infraestructura

MyHealth@EU es el hub de uso primario; HealthData@EU es el hub de uso secundario. El centro sanitario se conecta a nodos nacionales. Esto requiere APIs, endpoints seguros, catálogos de datos publicados y procesos de seudonimización auditables. No es trivial y no es barato.

Por qué tu HIS actual no está listo

La mayoría de los sistemas de información hospitalarios españoles acumulan dos décadas de deuda técnica: datos estructurados en tablas propietarias, codificaciones mixtas (CIE-9, CIE-10, clasificaciones internas), ausencia de FHIR nativo, consentimientos en papel o en PDFs escaneados, integraciones punto a punto entre subsistemas. El EHDS no es compatible con esa arquitectura.

Checklist de 10 puntos para un CIO hospitalario

1. Mapeo exhaustivo de fuentes de datos clínicos. Inventario de HIS, RIS, LIS, farmacia, anatomía patológica, dispositivos. Nada debe quedar fuera del catálogo.
2. Adopción de FHIR R4 como lingua franca. Los nuevos módulos se compran ya FHIR-native; los legacy se envuelven con un motor de integración.
3. Normalización terminológica a SNOMED-CT y LOINC. CIE-10 no es suficiente para uso secundario granular.
4. Plataforma de consentimiento granular electrónica. Un consentimiento global ya no vale. El paciente puede opt-out por categoría y finalidad.
5. Catálogo de datos publicado con metadatos según DCAT-AP-Health. Sin catálogo no hay descubrimiento, y sin descubrimiento no hay uso secundario.
6. Procesos de seudonimización y auditoría reproducibles. Documentados, auditables, con registros de acceso inmutables.
7. DPO y responsable de interoperabilidad coordinados. No son roles separados. Designa un owner único del proyecto EHDS.
8. Preparación para reporte al HDAB nacional. Canal formal, plantillas, SLAs internos.
9. Auditoría EU AI Act de los sistemas de IA clínica en uso. Cualquier CDSS conectado al HIS entra en el perímetro. Clasifica antes de que llegue la inspección.
10. Roadmap presupuestado con hitos trimestrales y KPI. El EHDS sin presupuesto es una aspiración.

El gap habitual

El fallo recurrente es creer que cumplir RGPD cubre el EHDS. No es así. RGPD protege datos personales; EHDS obliga a compartirlos de forma estandarizada, interoperable y bajo gobernanza pública. Son marcos complementarios, no equivalentes. El hospital que trate el EHDS como un anexo RGPD llegará tarde a 2027.