Mensaje 001
Comunicación de la Comisión - TRIS/(2025) 3364
Directiva (UE) 2015/1535
Notificación: 2025/0708/FR
Notificación de un proyecto de texto de un Estado miembro
Notification – Notification – Notifzierung – Нотификация – Oznámení – Notifikation – Γνωστοποίηση – Notificación – Teavitamine – Ilmoitus – Obavijest – Bejelentés – Notifica – Pranešimas – Paziņojums – Notifika – Kennisgeving – Zawiadomienie – Notificação – Notificare – Oznámenie – Obvestilo – Anmälan – Fógra a thabhairt
Does not open the delays - N'ouvre pas de délai - Kein Fristbeginn - Не се предвижда период на прекъсване - Nezahajuje prodlení - Fristerne indledes ikke - Καμμία έναρξη προθεσμίας - No abre el plazo - Viivituste perioodi ei avata - Määräaika ei ala tästä - Ne otvara razdoblje kašnjenja - Nem nyitja meg a késéseket - Non fa decorrere la mora - Atidėjimai nepradedami - Atlikšanas laikposms nesākas - Ma jiftaħx il-perijodi ta’ dewmien - Geen termijnbegin - Nie otwiera opóźnień - Não inicia o prazo - Nu deschide perioadele de stagnare - Nezačína oneskorenia - Ne uvaja zamud - Inleder ingen frist - Ní osclaíonn sé na moilleanna
MSG: 20253364.ES
1. MSG 001 IND 2025 0708 FR ES 25-11-2025 FR NOTIF
2. France
3A. Ministères économiques et financiers
Direction générale des entreprises
SCIDE/SQUALPI - Pôle Normalisation et réglementation des produits
Bât. Sieyès -Teledoc 143
61, Bd Vincent Auriol
75703 PARIS Cedex 13
3B. Délégation au numérique en santé
Ministère de la Santé et de la Prévention
14 avenue Duquesne
75007 PARIS
4. 2025/0708/FR - SERV - Servicios de la sociedad de la información
5. Decreto por el que se modifican determinadas disposiciones relativas al alojamiento de datos de salud personales
6. Alojamiento de datos de salud personales.
7.
8. 8. Este Decreto, emitido de conformidad con el artículo 31 de la Ley SREN, tiene por objeto:
1) Especificar las obligaciones de soberanía establecidas en el artículo L. 1111-8, apartado IV, del Código de Salud Pública, incorporando los requisitos 28 a 31 del documento de referencia relativo a los prestadores de servicios de alojamientos de datos sanitarios (HDS, por su versión en francés) notificado con el número de notificación 2023/0682/FR:
— exige que los datos de salud se alojen exclusivamente en el territorio de un Estado miembro de la Unión Europea o parte del Espacio Económico Europeo. En el caso del acceso a distancia desde un tercer país, dicho acceso debe basarse en una decisión de adecuación de la Comisión Europea o, en su defecto, en las garantías adecuadas detalladas en el contrato de alojamiento,
— introduce nuevas obligaciones contractuales para los prestadores de alojamiento, que deben informar a sus clientes sobre las normativas extraeuropeas que pueden dar lugar a transferencias o a un acceso no autorizado a los datos, las medidas adoptadas para limitar sus efectos y los riesgos residuales que puedan persistir.
— se introduce una obligación de transparencia que obliga a los prestadores de servicios de alojamiento de datos a publicar y actualizar un mapa de las transferencias de datos a países no pertenecientes al EEE y una descripción de los riesgos de acceso no autorizado.
2) Armonizar determinadas disposiciones del artículo R. 1111-11 con las del RGPD:
— sobre el contenido de la cláusula contractual relativa a las modalidades de ejercicio de los derechos de los interesados con los derechos realmente previstos en el RGPD,
— sobre el requisito 19, en consonancia con el RGPD para centrarse en los derechos de los interesados según lo previsto en el RGPD, con motivo de su actualización en 2024.
9. El artículo 32 de la Ley SREN modifica el artículo L. 1111-8, apartado IV, del Código de Salud Pública (CSP) añadiendo nuevas obligaciones en materia de soberanía de los datos que deben cumplir los prestadores de servicios de alojamiento de datos de salud personales, estableciendo, por una parte, la obligación de almacenar los datos en la Unión y, por otra parte, nuevas estipulaciones que deben incluirse en el contrato entre el prestador de servicios de alojamiento de datos y su cliente, habida cuenta de los riesgos de transferencia o acceso a los datos personales sin autorización de la legislación no europea.
El contenido de estas obligaciones y estipulaciones contractuales debe especificarse ahora mediante decreto del Consejo de Estado.
El artículo 32 de la Ley SREN también establece que el alojamiento de datos de salud como parte de un servicio de archivo electrónico está ahora sujeto al requisito de certificación como «prestador de servicios de alojamiento de datos de salud» (HDS), además de contar con la aprobación del ministro de Cultura. Esta modificación de la Ley no implica ningún cambio a nivel reglamentario, salvo la aclaración de que la actividad de alojamiento correspondiente a la «protección de los datos de salud» incluye la actividad de «archivado electrónico».
El proyecto notificado cumple la normativa europea en materia datos personales, en particular el Reglamento (UE) 2025/327 relativo al Espacio Europeo de Datos de Salud (EEDS). En particular, la obligación de los prestadores de servicios de alojamiento de datos de salud de localizar los datos físicos en la UE o el EEE es coherente con el artículo 86 del Reglamento EEDS, que concede expresamente a los Estados miembros la opción de limitar el almacenamiento de datos de salud al territorio de la UE. Además, la sumisión del acceso a distancia a los datos desde un tercer país por parte del prestador o de uno de sus encargados del tratamiento a una decisión de adecuación de la Comisión de conformidad con el artículo 46 del Reglamento (UE) 2016/679 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (RGPD) cumple lo dispuesto en el artículo 90 del Reglamento EEDS, que ofrece a los Estados miembros la posibilidad de mantener o introducir condiciones adicionales relativas al acceso internacional a los datos de salud. Por último, la obligación de incluir, en ausencia de una decisión de adecuación por parte de la Comisión, las medidas adoptadas para hacer frente a los riesgos de transferencia o acceso no autorizado a dichos datos por parte de terceros países fuera de la UE o del EEE también está en consonancia con el artículo 90 del Reglamento EEDS, que ofrece a los Estados miembros la opción de someter la transferencia de datos personales a condiciones de protección adicionales.
10. Referencias de los textos de base: 2023/0682/FR, 2017/0343/F.
Los textos de base fueron remitidos en del marco de dos notificaciones anteriores:
2023/0682/FR;
2017/0343/F.
11. No.
12.
13. No.
14. No
15. No
16.
Aspecto TBT: No
Aspecto SPS: No
**********
Comisión Europea
Punto de contacto Directiva (UE) 2015/1535
email: grow-dir2015-1535-central@ec.europa.eu
