Agencia Estatal Boletín Oficial del Estado

 

LA COMISIÓN EUROPEA,

Visto el Tratado de Funcionamiento de la Unión Europea,

Visto el Reglamento (UE) 2024/1938 del Parlamento Europeo y del Consejo, de 13 de junio de 2024, sobre las normas de calidad y seguridad de las sustancias de origen humano destinadas a su aplicación en el ser humano y por el que se derogan las Directivas 2002/98/CE y 2004/23/CE (1), y en particular su artículo 74, apartado 4, párrafo primero,

Considerando lo siguiente:

(1)	El Reglamento (UE) 2024/1938 exige a la Comisión que cree, gestione y mantenga una plataforma digital para facilitar el intercambio eficiente y eficaz de información relativa a las actividades en materia de sustancias de origen humano (SoHO) en la Unión (en lo sucesivo, «Plataforma SoHO de la UE»).

(2)

El Reglamento (UE) 2024/1938 prevé el tratamiento de datos personales, incluidos los datos relativos a la salud, intercambiados a través de la Plataforma SoHO de la UE, cuando sea necesario, en interés de la salud pública y con el fin de ayudar a detectar, evaluar y gestionar los riesgos asociados a una donación o un donante de SoHO concretos, incluida la identificación seudonimizada de donantes en caso de alertas rápidas, y el tratamiento de la información pertinente sobre el seguimiento de los resultados clínicos, incluidos los datos clínicos seudonimizados proporcionados en apoyo de las autorizaciones de preparados de SoHO.

(3)	Dado que los datos personales sensibles, incluidos los datos relativos a la salud, pueden intercambiarse a través de la Plataforma SoHO de la UE, esta debe proporcionar un canal seguro para el intercambio restringido de información y datos.

(4)

Los datos personales deben almacenarse en la Plataforma SoHO de la UE durante un período limitado. Dado que algunas enfermedades pueden tener un largo período de incubación y pueden causar síntomas al cabo de 25 a 30 años (por ejemplo, la enfermedad de Creutzfeldt-Jakob), es necesario aplicar un período de retención de 30 años a partir de la donación o la aplicación en el ser humano de los datos personales relacionados con la seguridad, la calidad y la eficacia de las SoHO.

(5)

A fin de garantizar una buena administración y una transparencia suficiente de las actividades de supervisión en materia de SoHO y de las actividades en materia de SoHO, los datos personales de los agentes autorizados deben conservarse durante un máximo de 5 años a partir de la fecha en que dejen de operar como agentes autorizados.

(6)

Para garantizar la capacidad de verificar si la Junta de Coordinación de SoHO actuó de manera independiente e imparcial, también en caso de reclamaciones o litigios, los datos personales de los miembros y suplentes de la Junta de Coordinación de SoHO deben conservarse durante un máximo de 15 años a partir de la fecha en que el miembro o suplente deje de participar en la Junta de Coordinación de SoHO.

(7)	A fin de garantizar la seguridad y la protección de los datos personales tratados a través de la Plataforma SoHO de la UE, la Comisión debe establecer y mantener actualizadas las medidas técnicas y organizativas más avanzadas, incluido el control del acceso a los datos.

(8)

Para facilitar un intercambio eficiente y eficaz de información relativa a las actividades en materia de SoHO en la Unión a través de la Plataforma SoHO de la UE, su interfaz de usuario debe facilitarse en inglés como lengua comúnmente entendida en el ámbito de las SoHO. Las entidades de SoHO, las autoridades competentes en materia de SoHO, los Estados miembros, la Junta de Coordinación de SoHO y la Comisión deben intercambiar información de interés transfronterizo a través de la Plataforma SoHO de la UE en dicha lengua comúnmente entendida en el ámbito de las SoHO.

 

(9)   (10)   (11)

Dado que el Reglamento (UE) 2024/1938 es aplicable a partir del 7 de agosto de 2027, la aplicación del presente acto debe comenzar en la misma fecha.   El Supervisor Europeo de Protección de Datos, al que se consultó de conformidad con el artículo 42, apartado 1, del Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo (2), emitió su dictamen el 3 de junio de 2025.   Las medidas previstas en el presente Reglamento se ajustan al dictamen del Comité establecido en virtud del artículo 79, apartado 1, del Reglamento (UE) 2024/1938.

 

HA ADOPTADO EL PRESENTE REGLAMENTO:

Artículo 1

Definiciones

A efectos del presente Reglamento, se aplicarán las definiciones siguientes:

1) «agente»: una persona física que registra una entidad de SoHO en la Plataforma SoHO de la UE tras su autenticación;

2) «agente autorizado»: una persona física a la que, tras la autenticación, se ha concedido acceso a la Plataforma SoHO de la UE para llevar a cabo acciones de conformidad con los derechos de acceso asignados al perfil de la persona y que actúa en nombre de un Estado miembro, una autoridad nacional en materia de SoHO, una autoridad competente en materia de SoHO, la Junta de Coordinación de SoHO, una entidad de SoHO, la Comisión, el Centro Europeo para la Prevención y el Control de las Enfermedades (ECDC) o la Dirección Europea de Calidad del Medicamento y la Asistencia Sanitaria (EDQM);

3) «administrador local»: un agente autorizado que tiene derechos para conceder acceso a la Plataforma SoHO de la UE a otros agentes o agentes autorizados en el mismo Estado miembro, la autoridad nacional en materia de SoHO, la autoridad competente en materia de SoHO o una entidad de SoHO.

Artículo 2

Mantenimiento y uso de la Plataforma SoHO de la UE

1.   La Comisión mantendrá y optimizará la Plataforma SoHO de la UE para llevar a cabo las tareas a que se refiere el artículo 73 del Reglamento (UE) 2024/1938.

2.   Los agentes y agentes autorizados utilizarán la plataforma para cumplir los requisitos establecidos en el artículo 4, apartado 2, el artículo 5, apartado 5, el artículo 9, apartado 4, el artículo 16, el artículo 17, apartados 2 y 5 a 7, el artículo 19, apartados 1, 3 y 10, el artículo 21, apartados 4 y 5, el artículo 25, apartados 1, 2 y 6, el artículo 27, apartado 7, los artículos 31 a 35, el artículo 37, apartado 2, el artículo 41, apartados 2 y 4, el artículo 54, apartado 3, el artículo 56, apartado 4, el artículo 63, apartado 3, letra e), el artículo 64, apartado 3, el artículo 65, apartado 3, el artículo 68, apartados 3 y 4, el artículo 69, apartado 1, y los artículos 71 a 74, 76, 81, 82 y 86 del Reglamento (UE) 2024/1938.

Artículo 3

Accesibilidad, módulos y funcionalidades de la Plataforma SoHO de la UE

1.   Se podrá acceder a la Plataforma SoHO de la UE a través de un sitio web específico.

2.   La Plataforma SoHO de la UE proporcionará, como mínimo, los módulos y funcionalidades enumerados en el anexo I.

Artículo 4

Acceso de agentes, agentes autorizados y administradores locales

1.   El acceso de los agentes a la Plataforma SoHO de la UE se controlará a través de una herramienta de autenticación.

El acceso de los agentes autorizados a la Plataforma SoHO de la UE se controlará a través de una herramienta de autenticación y una herramienta de autorización.

La herramienta de autenticación y la herramienta de autorización garantizarán que los agentes y los agentes autorizados tengan los derechos de acceso adecuados para la Plataforma SoHO de la UE y los permisos adecuados para llevar a cabo acciones en la Plataforma SoHO de la UE.

Tras la autenticación, los agentes tendrán acceso al módulo de registro de la Plataforma SoHO de la UE para el registro de una entidad de SoHO.

2.   La Comisión será responsable de conceder, suspender o revocar los derechos de acceso de los administradores locales a la Plataforma SoHO de la UE.

3.   Los administradores locales gestionarán los derechos de acceso de los agentes y los agentes autorizados a la Plataforma SoHO de la UE mediante la concesión, la suspensión o la revocación de dichos derechos de acceso.

4.   Los Estados miembros definirán el nivel adecuado de acceso de los agentes autorizados que actúen en su nombre a la Plataforma SoHO de la UE de conformidad con el Derecho nacional.

Artículo 5

Acceso del público en general

1.   El público en general podrá visualizar en la Plataforma SoHO de la UE la información públicamente disponible a que se refieren el artículo 71, apartado 5, letra d), y el artículo 74, apartado 3, y, sin perjuicio de la legislación nacional y si el Estado miembro así lo decide, la información a que se refiere el artículo 75, apartado 5, del Reglamento (UE) 2024/1938.

2.   No se exigirá registro, autenticación ni autorización para acceder a la información públicamente disponible a que se refiere el apartado 1.

3.   El público en general podrá realizar búsquedas sobre la información públicamente disponible a que se refiere el apartado 1.

Artículo 6

Responsabilidades para registrar y verificar la exactitud de la información intercambiada a través de la Plataforma SoHO de la UE

1.   Los agentes y agentes autorizados velarán por que la información que introduzcan en la Plataforma SoHO de la UE sea completa y exacta y respete el formato y las especificaciones definidos por la Junta de Coordinación de SoHO.

2.   Las autoridades competentes en materia de SoHO serán responsables del registro y la verificación de la exactitud de la información sobre los establecimientos y preparados de SoHO autorizados. Las autoridades competentes en materia de SoHO también serán responsables de mantener esta información actualizada y coherente con su registro nacional de entidades de SoHO cuando dicho registro se establezca fuera de la Plataforma SoHO de la UE.

3.   La Comisión garantizará la seguridad y la protección de todos los datos almacenados en la Plataforma SoHO de la UE utilizando protocolos de seguridad y reglas de conectividad procedentes de normas abiertas de dominio público establecidas por organismos u organizaciones internacionales de normalización.

Artículo 7

Presentación de datos

Los datos se considerarán presentados a la Plataforma SoHO de la UE en la fecha en que se registren con éxito en la Plataforma SoHO de la UE.

Artículo 8

Protección de datos personales

1.   Los datos personales, incluidos los datos relativos a la salud, seudonimizados en caso necesario, se tratarán a través de la Plataforma SoHO de la UE a efectos del cumplimiento de las obligaciones establecidas en el artículo 76, apartados 1 a 5, del Reglamento (UE) 2024/1938.

2.   Las categorías de datos personales que deben tratarse y sus períodos de conservación se enumeran en el anexo II. La Comisión será responsable de suprimir todos los datos personales recogidos en la Plataforma SoHO de la UE cuando haya expirado el período de conservación.

3.   El administrador local será responsable de la gestión de los datos personales de los agentes autorizados bajo su responsabilidad. El administrador local, en cualquier momento tras la carga de los datos personales de los agentes autorizados en la Plataforma SoHO de la UE, rectificará o suprimirá los datos personales que sean inexactos o hayan dejado de estar actualizados.

Artículo 9

Seguridad y protección de los datos personales

La Comisión adoptará medidas para salvaguardar la seguridad y la protección de los datos personales, incluidos los datos relativos a la salud, tratados a través de la Plataforma SoHO de la UE. Dichas medidas incluirán la prevención del acceso no autorizado a datos personales, así como la prevención de la lectura, la copia, la modificación o la supresión no autorizadas de dichos datos, y garantizarán que los agentes autorizados solo tengan acceso a los datos cubiertos por su autorización de acceso y que sea posible verificar y determinar qué datos han sido creados, modificados o suprimidos, por qué agente autorizado y en qué momento.

Artículo 10

Apoyo técnico y administrativo

1.   La Comisión creará un equipo de apoyo para prestar asistencia oportuna a los agentes y los agentes autorizados de la Plataforma SoHO de la UE que lo podrán contactar a través de un buzón funcional específico.

2.   La Comisión pondrá manuales específicos a disposición de los agentes y los agentes autorizados sobre la Plataforma SoHO de la UE.

Artículo 11

Disposiciones de emergencia en caso de fallo prolongado o indisponibilidad de la Plataforma SoHO de la UE

1.   La Comisión, en colaboración con las autoridades nacionales en materia de SoHO, elaborará disposiciones de emergencia detalladas que se aplicarán en caso de fallo prolongado o indisponibilidad de la Plataforma SoHO de la UE o de cualquiera de sus módulos o funcionalidades por motivos ajenos al control de la Comisión.

2.   Los mecanismos de emergencia detallados describirán los procedimientos que deben seguirse, utilizando medios electrónicos alternativos adecuados, para garantizar la continuidad de los procesos reguladores a los que contribuye la Plataforma SoHO de la UE.

Artículo 12

Seguridad de la tecnología de la información

1.   Cuando la Comisión sospeche que se ha producido un incidente de seguridad informática, un riesgo para la seguridad informática o una amenaza para la seguridad informática que considere potencialmente perjudicial para la Plataforma SoHO de la UE, sus datos o la confidencialidad de sus datos, podrá suspender todo acceso a la Plataforma SoHO de la UE e informar a las autoridades nacionales en materia de SoHO.

2.   Todo agente o agente autorizado que tenga conocimiento de un incidente de seguridad informática, un riesgo para la seguridad informática o una amenaza para la seguridad informática, o sospeche de su existencia, informará de inmediato al respecto a la Comisión y a su autoridad nacional en materia de SoHO.

Artículo 13

Requisitos lingüísticos

1.   La interfaz de usuario de la Plataforma SoHO de la UE se facilitará en inglés.

2.   Los Estados miembros, las autoridades competentes en materia de SoHO, la Junta de Coordinación de SoHO, la Comisión y las entidades de SoHO utilizarán el inglés como lengua comúnmente entendida en el ámbito de las SoHO para toda la información, los datos y los documentos intercambiados a través de la Plataforma SoHO de la UE, cuando proceda.

Artículo 14

Entrada en vigor y aplicación

El presente Reglamento entrará en vigor a los veinte días de su publicación en el Diario Oficial de la Unión Europea.

Será aplicable a partir del 7 de agosto de 2027.

El presente Reglamento será obligatorio en todos sus elementos y directamente aplicable en cada Estado miembro.

Hecho en Bruselas, el 18 de julio de 2025.

Por la Comisión

La Presidenta

Ursula VON DER LEYEN

(1)   DO L, 2024/1938, 17.7.2024, ELI: http://data.europa.eu/eli/reg/2024/1938/oj.

(2)  Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo, de 23 de octubre de 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión, y a la libre circulación de esos datos, y por el que se derogan el Reglamento (CE) n.o 45/2001 y la Decisión n.o 1247/2002/CE (DO L 295 de 21.11.2018, p. 39. ELI: http://data.europa.eu/eli/reg/2018/1725/oj).

ANEXO I

MÓDULOS Y FUNCIONALIDADES

La plataforma SoHO de la UE proporcionará al menos los siguientes módulos y funcionalidades:

1)

un módulo sobre el registro de entidades de SoHO y la autorización de establecimientos de SoHO que permita: a) que los agentes registren su entidad de SoHO, incluidas las entidades de SoHO críticas, en el sistema; b) emitir un acuse de recibo del registro que puede ser generado automáticamente por la Plataforma SoHO de la UE; c) la verificación del registro por parte de las autoridades competentes en materia de SoHO, la solicitud de información adicional y la respuesta a dicha solicitud; d) que el registro sea rechazado, modificado o validado y publicado, y que el resultado se comunique automáticamente a través de la Plataforma SoHO de la UE al agente que haya registrado la entidad de SoHO, incluidas las entidades de SoHO críticas; e) que los agentes y los agentes autorizados soliciten autorización como establecimiento de SoHO, incluidos los establecimientos importadores de SoHO; f) emitir un acuse de recibo de la solicitud de autorización que puede ser generado automáticamente por la Plataforma SoHO de la UE; g) que la autorización del establecimiento de SoHO sea verificada por la autoridad competente en materia de SoHO; h) que la autorización sea rechazada, modificada o validada y publicada, y que el resultado se comunique automáticamente a través de la Plataforma SoHO de la UE al agente o al agente autorizado que haya solicitado la autorización para el establecimiento de SoHO, incluidas las autorizaciones para los establecimientos importadores de SoHO; i) presentar, recuperar, almacenar, gestionar, manejar, intercambiar, analizar, rastrear y suprimir datos sobre entidades de SoHO (críticas) y sobre establecimientos de SoHO, incluidos los establecimientos importadores de SoHO; j) la importación masiva de datos sobre entidades de SoHO verificadas, incluidas las entidades de SoHO críticas, y sobre los establecimientos de SoHO, incluidos los establecimientos importadores de SoHO, por parte de las autoridades competentes en materia de SoHO;

2)

un módulo sobre el compendio de preparados de SoHO autorizados y el compendio de estudios clínicos aprobados de preparados de SoHO que permita: a) que las autoridades competentes en materia de SoHO gestionen la información relacionada con la autorización de preparados de SoHO; b) que las autoridades competentes en materia de SoHO asignen autorizaciones de preparados a entidades de SoHO; c) el acceso a la información relativa a los estudios clínicos de SoHO aprobados que se presenten a la Plataforma SoHO de la UE; d) presentar, recuperar, almacenar, gestionar, manejar, intercambiar, analizar, rastrear y eliminar datos sobre las autorizaciones de preparados de SoHO;

3)

un módulo sobre la composición de la Junta de Coordinación de SoHO y un compendio de asesoramiento que: a) proporcione una lista de los miembros y suplentes de la Junta de Coordinación de SoHO, su institución de origen y la declaración de intereses; b) proporcione un compendio de asesoramiento sobre la situación reglamentaria de las sustancias, los productos o las actividades; c) permita el intercambio de datos entre los miembros de la Junta de Coordinación de SoHO;

4)

un módulo sobre notificación de vigilancia y alertas rápidas que permita: a) que la autoridad nacional en materia de SoHO o la autoridad competente en materia de SoHO se comunique con otras autoridades nacionales en materia de SoHO y otras autoridades competentes en materia de SoHO, así como con el Centro Europeo para la Prevención y el Control de las Enfermedades (ECDC) en el caso de alertas rápidas de SoHO relacionadas con enfermedades contagiosas; b) que las autoridades nacionales en materia de SoHO presenten a la Plataforma SoHO de la UE un resumen anual de las notificaciones de reacciones adversas graves o efectos adversos graves confirmados y de los informes de investigación relacionados;

5)

un módulo de datos de actividad que permita: a) proporcionar información sobre los flujos de suministro, las alertas de suministro de SoHO críticas y las situaciones de escasez; b) que la autoridad competente en materia de SoHO o sus entidades de SoHO comuniquen los datos de actividad a la Plataforma SoHO de la UE; c) que la autoridad competente en materia de SoHO verifique los datos presentados por las entidades de SoHO y exija correcciones en caso necesario; d) compilar los datos de actividad notificados por las entidades de SoHO en el mismo Estado miembro y elaborar un informe anual agregado de actividad en materia de SoHO; e) que la autoridad competente en materia de SoHO comunique a la Comisión los datos de actividad, incluidos los procedentes de registros mediante importación masiva f) que la autoridad nacional en materia de SoHO se comunique con otras autoridades nacionales en materia de SoHO sobre los flujos de suministro, supervise las situaciones de escasez y emita alertas de suministro;

6)

un módulo sobre directrices para la aplicación de las normas que permita: a) que las autoridades competentes en materia de SoHO conserven directrices técnicas para la aplicación de las normas; b) publicar directrices generales o remitirse a ellas; c) que las autoridades nacionales en materia de SoHO publiquen o remitan a medidas específicas de los Estados miembros;

7)

un módulo de colaboración que: a) permita el intercambio de datos entre los Estados miembros, las autoridades nacionales en materia de SoHO, las autoridades competentes en materia de SoHO, la Comisión, la Junta de Coordinación de SoHO y las entidades de SoHO a través de canales de comunicación seguros para el intercambio restringido de información y datos, en particular: 1) las autoridades nacionales en materia de SoHO de los Estados miembros; 2) dos autoridades competentes en materia de SoHO dentro del mismo Estado miembro o entre una autoridad competente en materia de SoHO y su autoridad nacional en materia de SoHO; 3) las autoridades nacionales en materia de SoHO y la Comisión, en particular en relación con los datos de actividad relativos a las actividades en materia de SoHO de las entidades de SoHO, los resúmenes de las notificaciones y los informes de investigación de reacciones adversas graves o efectos adversos graves confirmados, alertas rápidas de SoHO y alertas sobre el suministro de SoHO; 4) las autoridades nacionales en materia de SoHO y la Junta de Coordinación de SoHO; 5) las autoridades nacionales en materia de SoHO y el ECDC, en relación con las alertas rápidas de SoHO relacionadas con enfermedades contagiosas, cuando proceda; 6) las entidades de SoHO y sus respectivas autoridades competentes en materia de SoHO, cuando las autoridades competentes en materia de SoHO decidan utilizar la Plataforma SoHO de la UE para dichos intercambios;

8)

un módulo de publicación consistente en: a) un componente del repositorio de datos y documentos que gestione todos los datos y documentos que entren en la Plataforma SoHO de la UE, y que incorpore funcionalidades como el registro de datos con versiones, la validación automática de los datos de entrada antes del registro y un historial de datos para las pistas de auditoría y la trazabilidad de los cambios por parte de los agentes autorizados; b) un sitio web restringido que, mediante la publicación de datos, la búsqueda, visualización y exportación de datos, así como el análisis de datos, presente información a los agentes autorizados y ponga a su disposición dicha información con arreglo a sus derechos de acceso; c) un sitio web público que permita al público en general visualizar, buscar y descargar todos los datos y documentos públicamente disponibles a que se refiere el artículo 74, apartado 3, del Reglamento (UE) 2024/1938.

ANEXO II

CATEGORÍAS DE DATOS PERSONALES QUE DEBEN TRATARSE Y SUS PERÍODOS DE CONSERVACIÓN

Las siguientes categorías de datos personales se tratarán a través de la Plataforma SoHO de la UE:

1)

datos personales que identifiquen a los agentes autorizados y a las personas responsables de las entidades de SoHO: Tipo de datos personales Finalidad del tratamiento Período de conservación Nombre, apellidos, afiliación, dirección de correo electrónico y código alfanumérico de inicio de sesión del agente autorizado Proporcionar un acceso seguro a la parte restringida de la Plataforma SoHO de la UE y garantizar la trazabilidad de todas las modificaciones introducidas en la Plataforma SoHO de la UE Hasta 5 años después de que el agente autorizado haya perdido la capacidad como agente autorizado de la Plataforma SoHO de la UE Registro de actividad Garantizar la trazabilidad de todas las modificaciones introducidas en la Plataforma SoHO de la UE Hasta 5 años después de que el agente autorizado haya perdido la capacidad como agente autorizado de la Plataforma SoHO de la UE Nombre, apellidos y dirección de correo electrónico de la persona responsable de la entidad de SoHO Cumplir con las obligaciones establecidas en el artículo 35, apartado 3, letra b), del Reglamento (UE) 2024/1938 Mientras la persona responsable de la entidad de SoHO tenga esa responsabilidad

2)

datos personales, incluidos los datos relativos a la salud, intercambiados a través de la Plataforma SoHO de la UE y necesarios para la aplicación de los artículos 73 y 74 del Reglamento (UE) 2024/1938, teniendo en cuenta su artículo 76: Tipo de datos personales Finalidad del tratamiento Período de conservación Datos personales de identificación de una donación de SoHO o de un donante de SoHO Ayudar a detectar y evaluar los riesgos asociados a una donación de SoHO o a un donante de SoHO concretos Hasta 30 años después de la donación Datos personales (identificación y datos sanitarios) del participante en una evaluación clínica Supervisar el resultado clínico Hasta 30 años después de la aplicación en el ser humano del preparado de SoHO

3)

datos personales de identificación de los miembros y suplentes de la Junta de Coordinación de SoHO: Tipo de datos personales Finalidad del tratamiento Período en el que la información estará disponible públicamente en la Plataforma SoHO de la UE Período de conservación Nombre, apellidos, nombre de la institución de origen y declaración de intereses del miembro y del suplente de la Junta de Coordinación de SoHO Cumplir con las obligaciones establecidas en el artículo 68, apartado 3, y en el artículo 74, apartado 3, letra g), del Reglamento (UE) 2024/1938 Durante el período en que el miembro o suplente participe en la Junta de Coordinación de SoHO Hasta 15 años después de la fecha en que el miembro o suplente deje de participar en la Junta de Coordinación de SoHO