Cumplimiento EHDS (EEDS) para Clinicas Privadas: Plan de Adaptacion 2026-2029
¿Que es el cumplimiento EHDS (EEDS)?
Cumplimiento EHDS (o cumplimiento EEDS en terminologia oficial espanola) es el conjunto de obligaciones tecnicas, juridicas y organizativas que una clinica privada debe satisfacer para conformarse al Reglamento (UE) 2025/327 del Espacio Europeo de Datos Sanitarios antes del 26 de marzo de 2029, cubriendo siete pilares: interoperabilidad HL7 FHIR R4, seguridad conforme al Anexo II, derechos del paciente sobre datos electronicos, gobernanza y DPD, conexion a infraestructura nacional (HCDSNS), preparacion organizativa y marcado CE del proveedor HCE. EHDS y EEDS son dos acronimos del mismo reglamento: EHDS (European Health Data Space) en ingles, EEDS (Espacio Europeo de Datos Sanitarios) en castellano. Cuando su asesor legal le habla de "cumplimiento EEDS" y su proveedor de software de "cumplimiento EHDS", estan hablando de lo mismo. A diferencia del RGPD (que se centra en proteger los datos), el cumplimiento EHDS exige que los datos sanitarios de su clinica sean interoperables, portables y estandarizados. Cumplir el EHDS no es un proyecto puntual de "poner un sello y ya esta" — es un cambio estructural en como su clinica captura, almacena, intercambia y cede control de los datos sanitarios al paciente. El plazo operativo clave es el 26 de marzo de 2029: a partir de esa fecha, los sistemas HCE que no soporten el formato europeo no pueden venderse legalmente en la UE, y las clinicas que los usen estaran en incumplimiento.
Los 7 pilares del cumplimiento EHDS que su clinica debe cubrir
Despues de auditar mas de 500 clinicas privadas espanolas desde el lanzamiento del Reglamento EHDS, hemos consolidado el cumplimiento en siete pilares de evaluacion. Pilar 1 — Interoperabilidad: su sistema de historia clinica debe soportar HL7 FHIR R4, el Formato Europeo de Intercambio de HCE (EEHRxF), SNOMED CT para terminologia y LOINC para laboratorio. Pilar 2 — Seguridad: cifrado en reposo (AES-256) y transito (TLS 1.2+), autenticacion individual con MFA, registro de auditoria inmutable con retencion de 5+ anos (Anexo II del Reglamento). Pilar 3 — Derechos del paciente: portal electronico con acceso inmediato y gratuito, portabilidad en formato EEHRxF, restriccion granular de acceso por seccion clinica, flujo documentado de rectificacion. Pilar 4 — Gobernanza de datos: registro de actividades de tratamiento actualizado, Delegado de Proteccion de Datos nombrado (obligatorio en sanidad), evaluacion de impacto (DPIA) para tratamientos de alto riesgo. Pilar 5 — Conexion a infraestructura nacional: capacidad tecnica de integracion con HCDSNS ampliada y, via MyHealth@EU, con los Estados miembros de la UE. Pilar 6 — Preparacion organizativa: responsable interno del cumplimiento EHDS designado, formacion documentada del personal clinico y administrativo, politicas de acceso y retencion actualizadas. Pilar 7 — Cumplimiento del proveedor HCE: su proveedor debe tener marcado CE bajo el Reglamento EHDS a partir de marzo de 2029 — si no puede demostrar plan creible a abril de 2026, el pilar 7 esta en rojo y el resto pierde sentido.
¿Como saber si mi clinica cumple el EHDS? La auditoria de 45 puntos
Pocas clinicas saben donde estan hasta que hacen la evaluacion. La puntuacion media de las 500+ clinicas espanolas que han hecho la auditoria es 34 sobre 100. La mayoria cree que esta mejor de lo que esta. La auditoria EHDS gratuita de SaludComply evalua 45 puntos de control distribuidos en los 7 pilares anteriores. En 15 minutos, a partir de respuestas sobre su clinica (proveedor de HCE, especialidad, comunidad autonoma, tamano, practicas actuales), genera: una puntuacion de cumplimiento EHDS 0-100 con desglose por pilar, una clasificacion de riesgo de su proveedor de HCE (bajo, medio, alto) basada en datos verificados del mercado espanol, un plan de accion priorizado con los pasos concretos ordenados por urgencia y coste, una estimacion del coste de cumplimiento segun su situacion real, y un informe PDF descargable con todo el detalle. No pedimos datos clinicos de pacientes — solo datos sobre su clinica y sus sistemas. Es la forma mas rapida de saber donde esta el gap de cumplimiento EHDS en su caso concreto, sin contratar a un despacho de abogados (2.000-8.000 EUR por una evaluacion inicial equivalente).
Hoja de ruta de cumplimiento EHDS: 2026, 2027, 2028, 2029
El Reglamento EHDS le da cuatro anos reales entre hoy (abril 2026) y la fecha operativa (marzo 2029). Aqui esta la secuencia razonable para no llegar tarde. 2026 — Diagnostico y decision. Haga la auditoria EHDS. Contacte a su proveedor de HCE y pida por escrito su hoja de ruta de cumplimiento EHDS y marcado CE. Nombre responsable interno del cumplimiento EEDS. Decida: se queda con su proveedor actual, o empieza a evaluar alternativas. Presupuesto 2026: 0-3.000 EUR (auditoria gratuita + tiempo interno + asesoria puntual). 2027 — Especificaciones y arranque tecnico. En marzo de 2027 se publican los actos de ejecucion del Reglamento EHDS con las especificaciones tecnicas exactas. Si va a migrar, la decision debe estar tomada. Empiece implementacion: configuracion FHIR R4, integraciones con REMPe si es receta, politicas de seguridad actualizadas. Formacion inicial del equipo. Presupuesto 2027: 5.000-25.000 EUR segun escenario (mantener con ajustes vs. migrar). 2028 — Implementacion y pruebas. Complete la migracion o actualizacion. Active el portal de paciente. Implemente control granular de accesos. Conectese a la HCDSNS ampliada cuando la autoridad nacional abra el canal. Pruebe la interoperabilidad con al menos otro proveedor sanitario. Cierre gap de ciberseguridad (alineacion con NIS2 y ENS si le aplican). Presupuesto 2028: 5.000-20.000 EUR en configuracion final y certificacion. 2029 — Marzo: uso primario del Reglamento EHDS obligatorio. Su sistema debe generar Resumen del Paciente y Receta Electronica en formato europeo. Su portal debe funcionar. Su proveedor debe tener marcado CE. Si llega a marzo de 2029 sin haberlo hecho, esta en incumplimiento normativo con las tres capas de consecuencias (operativa, contractual con mutuas, administrativa).
¿Cuanto cuesta el cumplimiento EHDS en una clinica privada?
El cumplimiento EHDS en una clinica privada espanola cuesta entre 2.000 y 60.000 EUR segun el estado de partida. Hay tres escenarios reales, basados en auditorias de 500+ clinicas: escenario A — proveedor ya conforme, 2.000-8.000 EUR; escenario B — proveedor con riesgo medio, 10.000-35.000 EUR; escenario C — proveedor sin plan o clinica en papel, 20.000-60.000 EUR. Escenario A — proveedor ya preparado. Si su clinica usa Dedalus, CGM o Salus/TESIS (NTT Data), sistemas con marcado CE o plan de marcado CE EHDS documentado, el coste va de 2.000 a 8.000 EUR. Cubre: auditoria interna, ajustes de configuracion, formacion del equipo, actualizacion de politicas y documentacion. Es el escenario ideal y mas barato. Escenario B: proveedor con riesgo medio. Si usa Clinic Cloud, DriCloud o Flowww, proveedores con hoja de ruta parcial o poco clara, tiene dos sub-opciones: esperar a que su proveedor se ponga al dia (10.000-25.000 EUR en ajustes y contingencias) o migrar a un proveedor mas solido (15.000-35.000 EUR incluyendo migracion de datos, configuracion, formacion y consultoria). La decision depende de la credibilidad de la hoja de ruta de su proveedor y del tamano de su clinica. Escenario C: proveedor sin plan o clinica en papel. Si usa Klinikare, Trabem sin plan EHDS documentado o todavia trabaja en papel, el coste de cumplimiento EHDS va de 20.000 a 60.000 EUR — una transformacion digital completa. Incluye: migracion de sistema o digitalizacion desde papel, licencia de primer ano del nuevo HCE, configuracion, formacion exhaustiva, DPO, politicas, ciberseguridad, conexion a infraestructura nacional. Posibles ayudas: el Kit Digital cubre entre 2.000 y 29.000 EUR segun tamano. Un proyecto integrado (EHDS + RGPD + NIS2 + ENS) cuesta un 30-50% menos que cuatro proyectos separados — porque los controles se solapan.
¿Quien es responsable del cumplimiento EHDS en mi clinica?
La responsabilidad ultima es del organo de direccion — el gerente, consejero delegado o director medico, segun la forma juridica de su clinica. No la puede delegar. En una clinica pequena o mediana espanola, esto significa normalmente el propietario-director o el socio gestor. En una clinica grande o grupo hospitalario, puede ser el director general, el director medico o el director de sistemas. Lo que si puede (y debe) hacer es designar un responsable operativo del cumplimiento EHDS. En muchas clinicas esta figura coincide con el Delegado de Proteccion de Datos (DPD) que ya es obligatorio en sanidad bajo el articulo 37 del RGPD y articulo 34 de la LOPDGDD. Ampliar las competencias del DPD existente a cubrir EHDS es lo mas eficiente. Si no tiene DPD, tiene dos problemas: esta ya en incumplimiento del RGPD, y no tiene punto de partida para el EHDS. Lo que NO puede hacer: delegar el cumplimiento en su proveedor de software. El proveedor cumple el EHDS como fabricante de sistemas HCE (marcado CE, interoperabilidad), pero la clinica cumple el EHDS como proveedor sanitario (derechos del paciente, seguridad organizativa, gobernanza de datos, conexion a infraestructura nacional). Son responsabilidades distintas y ambas son suyas.
¿Que sanciones hay por incumplir el Reglamento EHDS?
Las sanciones por incumplir el Reglamento EHDS se dividen en tres vias y, contra lo que dicta la intuicion, la administrativa es la menos peligrosa de las tres. La via directa vendra por la Ley de Salud Digital espanola, hoy en anteproyecto con mas de 1.000 alegaciones recibidas segun ConSalud.es; los borradores filtrados apuntan a multas de hasta 600.000 EUR para infracciones muy graves y hasta el 4% de la facturacion anual por incumplimiento sistemico — similar al RGPD. La via indirecta esta activa desde hoy: muchos controles EHDS se solapan con el RGPD, y una clinica que incumple uno tiende a incumplir el otro. La AEPD sanciona con 10.000 a 300.000 EUR en sanidad por brechas no notificadas, cuentas compartidas entre profesionales, consentimientos defectuosos o falta de DPD (aepd.es/resoluciones publica las resoluciones caso a caso si quiere verlo con ojos propios). La via comercial es la mas dura en la practica y ya tiene borradores en circulacion por los areas de conciertos de MC Mutual, Fremap, Asepeyo, Adeslas, Sanitas y DKV. Clausulas EHDS dentro de los conciertos renovables 2027-2028. Si su clinica no cumple, sale del cuadro medico. Una clinica media con el 30-40% de sus ingresos via pago directo y el resto via mutuas pierde entre 200.000 y 800.000 EUR anuales — sin recurso administrativo, sin procedimiento de alegaciones, sin reinstalacion automatica cuando se ponga al dia.
Cumplimiento EHDS y otras regulaciones: RGPD, NIS2, ENS, AI Act
Ninguna clinica cumple el EHDS en el vacio. En 2026, un director de clinica privada espanola se enfrenta a seis marcos vivos a la vez: el Reglamento EHDS, el RGPD mas la LOPDGDD, la Directiva NIS2 para ciberseguridad, el Esquema Nacional de Seguridad si se conecta a la HCDSNS, Verifactu para facturacion electronica, y el AI Act si la clinica ha metido algun asistente de IA en consulta o en diagnostico por imagen. Parece inabarcable pero se solapa mas de lo que parece. Un solo control de cifrado AES-256 en reposo satisface el Anexo II del EHDS, el articulo 32 del RGPD, el Anexo I del ENS y el anexo tecnico de NIS2 al mismo tiempo — lo mismo pasa con autenticacion individual, logging inmutable y gestion de vulnerabilidades. En la practica, cuando una clinica auditamos entra con los cuatro marcos abiertos, el ahorro frente a auditar cada uno por separado ronda entre el 30% y el 50%. Lo que no se solapa, no se solapa: el marcado CE del software HCE es puro EHDS, la notificacion de incidentes en 24h/72h es puro NIS2, y la certificacion ENAC con auditor acreditado es puro ENS. La secuencia sensata es identificar primero el nucleo comun y atacar los puntos exclusivos uno por uno, no al reves.
¿Como empezar el cumplimiento EHDS hoy? Plan de 15 minutos
Si ha llegado hasta aqui, el siguiente paso es simple y gratuito. Nuestra auditoria EHDS le da en 15 minutos una foto completa del estado de cumplimiento de su clinica, el plan de accion priorizado y el coste estimado. No necesita datos de pacientes. No necesita comprometerse a nada. No necesita hablar con un comercial. Responda 45 preguntas sobre su clinica y descargue el informe PDF. Mas de 500 clinicas espanolas ya lo han hecho — la puntuacion media es 34 sobre 100, y el informe les dice exactamente donde estan los tres gaps mas urgentes. Si prefiere empezar por entender el marco, lea primero nuestra guia del Reglamento EHDS donde explicamos que dice el texto y como se interpreta. Si quiere profundizar en un aspecto concreto, tenemos guias especificas sobre marcado CE, historia clinica digital, receta electronica privada e interoperabilidad sanitaria. Pero si esta claro que tiene que hacer algo y solo falta saber por donde empezar, empiece por la auditoria. El reloj del cumplimiento EEDS corre hasta marzo de 2029. Cuatro anos parecen muchos hasta que hay que migrar un sistema, formar al equipo, nombrar un DPD, implementar un portal de paciente, cerrar gaps de ciberseguridad y conectarse a la HCDSNS. Empezar hoy es mas barato que empezar en 2027.