Mensaje 001
Comunicación de la Comisión - TRIS/(2023) 3385
Directiva (UE) 2015/1535
Notificación: 2023/0682/FR
Notificación de un proyecto de texto de un Estado miembro
Notification – Notification – Notifzierung – Нотификация – Oznámení – Notifikation – Γνωστοποίηση – Notificación – Teavitamine – Ilmoitus – Obavijest – Bejelentés – Notifica – Pranešimas – Paziņojums – Notifika – Kennisgeving – Zawiadomienie – Notificação – Notificare – Oznámenie – Obvestilo – Anmälan – Fógra a thabhairt
Does not open the delays - N'ouvre pas de délai - Kein Fristbeginn - Не се предвижда период на прекъсване - Nezahajuje prodlení - Fristerne indledes ikke - Καμμία έναρξη προθεσμίας - No abre el plazo - Viivituste perioodi ei avata - Määräaika ei ala tästä - Ne otvara razdoblje kašnjenja - Nem nyitja meg a késéseket - Non fa decorrere la mora - Atidėjimai nepradedami - Atlikšanas laikposms nesākas - Ma jiftaħx il-perijodi ta’ dewmien - Geen termijnbegin - Nie otwiera opóźnień - Não inicia o prazo - Nu deschide perioadele de stagnare - Nezačína oneskorenia - Ne uvaja zamud - Inleder ingen frist - Ní osclaíonn sé na moilleanna
MSG: 20233385.ES
1. MSG 001 IND 2023 0682 FR ES 05-12-2023 FR NOTIF
2. France
3A. Ministères économiques et financiers
Direction générale des entreprises
SCIDE/SQUALPI - Pôle Normalisation et réglementation des produits
Bât. Sieyès -Teledoc 143
61, Bd Vincent Auriol
75703 PARIS Cedex 13
3B. Délégation au numérique en santé
Ministère de la Santé et de la Prévention
14 avenue Duquesne
75007 PARIS
4. 2023/0682/FR - S00S - Salud, equipo médico
5. Orden por la que se modifica la Orden, de 11 de junio de 2018, por la que se aprueba el marco de acreditación para los organismos de certificación y el marco de certificación para el alojamiento de datos sanitarios personales
6. Actividad de alojamiento de datos sanitarios personales en los medios digitales.
7.
8. El presente proyecto de Orden modifica el marco de acreditación para los organismos de certificación y el marco de certificación para el alojamiento de datos sanitarios personales.
De conformidad con lo dispuesto en los artículos L. 1111-8 y R. 1111-10 del Código de Salud Pública, todos los servidores de alojamiento de datos sanitarios personales deberán estar en posesión de un certificado de conformidad expedido por un organismo de certificación sobre la base de un marco de certificación, aprobado por orden del Ministro de Sanidad.
Los principales cambios en el marco de certificación para el alojamiento de datos sanitarios tienen por objeto:
- aclarar para qué actividades los proveedores de alojamiento han obtenido la certificación, en particular especificando la definición de la actividad de gestión y explotación de los sistemas sanitarios,
- mejorar la legibilidad de las garantías proporcionadas por el servidor de alojamiento a cada proveedor que utilice sus servicios,
- aclarar las obligaciones contractuales del servidor de alojamiento,
- incorporar los cambios a la norma ISO 27001 en el marco de certificación para alojar datos sanitarios.
El marco revisado para el alojamiento de datos sanitarios también propone añadir cuatro nuevos requisitos de soberanía de datos, en concreto:
- limitar el almacenamiento de datos sanitarios al territorio de un Estado que forme parte del Espacio Económico Europeo,
dos requisitos relativos a la transparencia del servidor de alojamiento frente a sus clientes:
- informarles de cualquier transferencia o acceso remoto a los datos del cliente desde un territorio fuera del Espacio Económico Europeo (EEE) que no garantice un nivel adecuado de protección de datos en el sentido del artículo 45 del Reglamento general de protección de datos (RGPD), y de las medidas organizativas y técnicas aplicadas para regular dicha transferencia,
- informarles de cualquier sujeción a la normativa de fuera de la Unión que pueda suponer un riesgo de acceso a los datos por parte de un organismo situado en un país que no garantice un nivel adecuado de protección de datos en el sentido del artículo 45 del RGPD, y de las medidas adoptadas para mitigar dicho riesgo,
un requisito de transparencia frente a sus clientes potenciales: el servidor de alojamiento deberá publicar y mantener actualizada la información detallada sobre cualquier transferencia de datos que aloja a un país no perteneciente al EEE y sobre las medidas adoptadas para garantizar el cumplimiento del RGPD.
9. El procedimiento de certificación obligatorio para el alojamiento de datos sanitarios personales, creado por ley, tiene por objeto garantizar a los usuarios y a los profesionales sanitarios que estos datos sensibles en el sentido del RGPD, confiados como parte de la atención médica, estén protegidos.
Este proyecto de Orden se adopta de conformidad con los artículos L. 1111-8 y R. 1111-10 del Código de Salud Pública para aprobar una versión revisada: por un lado, el marco de certificación para el alojamiento de datos sanitarios y, por otro, el marco de acreditación para los organismos de certificación, que fueron aprobados inicialmente por la Orden de 11 de junio de 2018. El Decreto n.º 2018-137, por el que se crearon las disposiciones de los artículos R. 1111-8-8 y ss. del Código de Salud Pública, así como de la Orden de 11 de junio de 2018, se notificaron a la Comisión Europea en 2017.
El sistema general de certificación implementado en 2018 no se ha modificado, y solo se actualizan algunos puntos.
Los únicos requisitos añadidos al marco de certificación se refieren a la soberanía de los datos sanitarios y tienen como objetivo garantizar el cumplimiento del RGPD (el marco anterior se aprobó antes de la entrada en vigor del RGPD).
El sistema de certificación para el alojamiento de datos sanitarios deberá ofrecer garantías a las partes interesadas del sector sanitario y médico-social en lo que respecta a la protección de datos frente a la legislación de fuera de la UE que podría entrañar un riesgo de divulgación de datos, y no deberá ofrecer garantías a las personas en cuanto a la efectividad de sus derechos en virtud del RGPD.
El marco fue objeto de un Dictamen emitido por la Comisión Nacional de Informática y Libertades (CNIL) de 13 de julio de 2023.
A la espera de los resultados de los debates a escala europea sobre los futuros marcos europeos (EUCS – European Cybersecurity Certification Scheme for Cloud Services), se decidió no adaptarlo, hasta la fecha, a los requisitos de inmunidad extraterritorial establecidos por el marco francés denominado «SecNumCloud version 3.2», adoptado por la Agencia Francesa de Seguridad de los Sistemas de Información (ANSSI).
10. Referencias a los textos de base: 2017/0343/F, 2017/0379/F
Los textos de referencia se comunicaron en el marco de una notificación anterior:
2017/0343/F
2017/0379/F
11. No
12.
13. No
14. No
15. No
16.
Aspecto TBT: No
Aspecto SPS: No
**********
Comisión Europea
Punto de contacto Directiva (UE) 2015/1535
email: grow-dir2015-1535-central@ec.europa.eu
