Cumplimiento EHDS (EEDS) para Clinicas Privadas: Plan de Adaptacion 2026-2029
¿Que es el cumplimiento EHDS (EEDS)?
Cumplimiento EHDS (o cumplimiento EEDS en terminologia oficial espanola) es el conjunto de obligaciones tecnicas, juridicas y organizativas que una clinica privada debe satisfacer para conformarse al Reglamento (UE) 2025/327 del Espacio Europeo de Datos Sanitarios antes del 26 de marzo de 2029, cubriendo siete pilares: interoperabilidad HL7 FHIR R4, seguridad conforme al Anexo II, derechos del paciente sobre datos electronicos, gobernanza y DPD, conexion a infraestructura nacional (HCDSNS), preparacion organizativa y marcado CE del proveedor HCE. EHDS y EEDS son dos acronimos del mismo reglamento: EHDS (European Health Data Space) en ingles, EEDS (Espacio Europeo de Datos Sanitarios) en castellano. Cuando su asesor legal le habla de "cumplimiento EEDS" y su proveedor de software de "cumplimiento EHDS", estan hablando de lo mismo. A diferencia del RGPD (que se centra en proteger los datos), el cumplimiento EHDS exige que los datos sanitarios de su clinica sean interoperables, portables y estandarizados. Cumplir el EHDS no es un proyecto puntual de "poner un sello y ya esta" — es un cambio estructural en como su clinica captura, almacena, intercambia y cede control de los datos sanitarios al paciente. El plazo operativo clave es el 26 de marzo de 2029: a partir de esa fecha, los sistemas HCE que no soporten el formato europeo no pueden venderse legalmente en la UE, y las clinicas que los usen estaran en incumplimiento.
Los 7 pilares del cumplimiento EHDS que su clinica debe cubrir
A partir del analisis del Reglamento (UE) 2025/327 y de las guias de implementacion publicadas, hemos consolidado el cumplimiento EHDS en siete pilares de evaluacion. Pilar 1 — Interoperabilidad: su sistema de historia clinica debe soportar HL7 FHIR R4, el Formato Europeo de Intercambio de HCE (EEHRxF), SNOMED CT para terminologia y LOINC para laboratorio. Pilar 2 — Seguridad: cifrado en reposo (AES-256) y transito (TLS 1.2+), autenticacion individual con MFA, registro de auditoria inmutable con retencion de 5+ anos (Anexo II del Reglamento). Pilar 3 — Derechos del paciente: portal electronico con acceso inmediato y gratuito, portabilidad en formato EEHRxF, restriccion granular de acceso por seccion clinica, flujo documentado de rectificacion. Pilar 4 — Gobernanza de datos: registro de actividades de tratamiento actualizado, Delegado de Proteccion de Datos nombrado (obligatorio en sanidad), evaluacion de impacto (DPIA) para tratamientos de alto riesgo. Pilar 5 — Conexion a infraestructura nacional: capacidad tecnica de integracion con HCDSNS ampliada y, via MyHealth@EU, con los Estados miembros de la UE. Pilar 6 — Preparacion organizativa: responsable interno del cumplimiento EHDS designado, formacion documentada del personal clinico y administrativo, politicas de acceso y retencion actualizadas. Pilar 7 — Cumplimiento del proveedor HCE: su proveedor debe tener marcado CE bajo el Reglamento EHDS a partir de marzo de 2029 — si no puede demostrar plan creible a abril de 2026, el pilar 7 esta en rojo y el resto pierde sentido.
¿Como saber si mi clinica cumple el EHDS? La auditoria de 45 puntos
Pocas clinicas saben donde estan hasta que hacen la evaluacion. La mayoria cree que esta mejor de lo que esta. SaludComply ofrece dos formas de cubrir esa brecha sin contratar de entrada a un despacho de abogados (2.000-8.000 EUR por una evaluacion inicial equivalente). El diagnostico EHDS gratuito de 60 segundos en /diagnostico-ehds responde tres preguntas (HIS, numero de centros, fecha objetivo) y devuelve una orientacion de riesgo regulatorio con el mayor gap probable senalado. La conversacion de auditoria EHDS de 30 minutos en pantalla compartida (incluida en el contrato anual SaludComply, no facturada por separado) recorre los 45 puntos de control de los 7 pilares anteriores con el equipo guiando la sesion, sobre el HIS real del cliente. Resumen escrito en 48 horas. Orientada a grupos hospitalarios, mutuas y cadenas de laboratorios donde una decision EHDS implica varios centros y varios vendors. En ambos casos no pedimos datos clinicos de pacientes — solo datos sobre la clinica y sus sistemas.
Hoja de ruta de cumplimiento EHDS: 2026, 2027, 2028, 2029
El Reglamento EHDS le da cuatro anos reales entre hoy (abril 2026) y la fecha operativa (marzo 2029). Aqui esta la secuencia razonable para no llegar tarde. 2026 — Diagnostico y decision. Empiece por el diagnostico EHDS gratuito de 60 segundos para una orientacion de riesgo. Si su organizacion es grupo hospitalario, mutua o cadena de laboratorios, escale a la conversacion de auditoria EHDS de 30 minutos (incluida en el contrato anual SaludComply). Contacte a su proveedor de HCE y pida por escrito su hoja de ruta de cumplimiento EHDS y marcado CE. Nombre responsable interno del cumplimiento. Decida: se queda con su proveedor actual, o empieza a evaluar alternativas. Presupuesto 2026: 0-3.000 EUR (diagnostico gratuito + tiempo interno + asesoria puntual). 2027 — Especificaciones y arranque tecnico. En marzo de 2027 se publican los actos de ejecucion del Reglamento EHDS con las especificaciones tecnicas exactas. Si va a migrar, la decision debe estar tomada. Empiece implementacion: configuracion FHIR R4, integraciones con REMPe si es receta, politicas de seguridad actualizadas. Formacion inicial del equipo. Presupuesto 2027: 5.000-25.000 EUR segun escenario (mantener con ajustes vs. migrar). 2028 — Implementacion y pruebas. Complete la migracion o actualizacion. Active el portal de paciente. Implemente control granular de accesos. Conectese a la HCDSNS ampliada cuando la autoridad nacional abra el canal. Pruebe la interoperabilidad con al menos otro proveedor sanitario. Cierre gap de ciberseguridad (alineacion con NIS2 y ENS si le aplican). Presupuesto 2028: 5.000-20.000 EUR en configuracion final y certificacion. 2029 — Marzo: uso primario del Reglamento EHDS obligatorio. Su sistema debe generar Resumen del Paciente y Receta Electronica en formato europeo. Su portal debe funcionar. Su proveedor debe tener marcado CE. Si llega a marzo de 2029 sin haberlo hecho, esta en incumplimiento normativo con las tres capas de consecuencias (operativa, contractual con mutuas, administrativa).
¿Cuanto cuesta el cumplimiento EHDS en una clinica privada?
El cumplimiento EHDS en una clinica privada espanola cuesta entre 2.000 y 60.000 EUR segun el estado de partida. Hay tres escenarios, basados en el coste tipico de las migraciones HCE y los proyectos de adaptacion en el mercado espanol: escenario A — proveedor ya conforme, 2.000-8.000 EUR; escenario B — proveedor con riesgo medio, 10.000-35.000 EUR; escenario C — proveedor sin plan o clinica en papel, 20.000-60.000 EUR. Escenario A — proveedor ya preparado. Si su clinica usa Dedalus, CGM o Salus/TESIS (NTT Data), sistemas con marcado CE o plan de marcado CE EHDS documentado, el coste va de 2.000 a 8.000 EUR. Cubre: auditoria interna, ajustes de configuracion, formacion del equipo, actualizacion de politicas y documentacion. Es el escenario ideal y mas barato. Escenario B: proveedor con riesgo medio. Si usa Clinic Cloud, DriCloud o Flowww, proveedores con hoja de ruta parcial o poco clara, tiene dos sub-opciones: esperar a que su proveedor se ponga al dia (10.000-25.000 EUR en ajustes y contingencias) o migrar a un proveedor mas solido (15.000-35.000 EUR incluyendo migracion de datos, configuracion, formacion y consultoria). La decision depende de la credibilidad de la hoja de ruta de su proveedor y del tamano de su clinica. Escenario C: proveedor sin plan o clinica en papel. Si usa Klinikare, Trabem sin plan EHDS documentado o todavia trabaja en papel, el coste de cumplimiento EHDS va de 20.000 a 60.000 EUR — una transformacion digital completa. Incluye: migracion de sistema o digitalizacion desde papel, licencia de primer ano del nuevo HCE, configuracion, formacion exhaustiva, DPO, politicas, ciberseguridad, conexion a infraestructura nacional. Posibles ayudas: el Kit Digital cubre entre 2.000 y 29.000 EUR segun tamano. Un proyecto integrado (EHDS + RGPD + NIS2 + ENS) cuesta un 30-50% menos que cuatro proyectos separados — porque los controles se solapan.
¿Quien es responsable del cumplimiento EHDS en mi clinica?
La responsabilidad ultima es del organo de direccion — el gerente, consejero delegado o director medico, segun la forma juridica de su clinica. No la puede delegar. En una clinica pequena o mediana espanola, esto significa normalmente el propietario-director o el socio gestor. En una clinica grande o grupo hospitalario, puede ser el director general, el director medico o el director de sistemas. Lo que si puede (y debe) hacer es designar un responsable operativo del cumplimiento EHDS. En muchas clinicas esta figura coincide con el Delegado de Proteccion de Datos (DPD) que ya es obligatorio en sanidad bajo el articulo 37 del RGPD y articulo 34 de la LOPDGDD. Ampliar las competencias del DPD existente a cubrir EHDS es lo mas eficiente. Si no tiene DPD, tiene dos problemas: esta ya en incumplimiento del RGPD, y no tiene punto de partida para el EHDS. Lo que NO puede hacer: delegar el cumplimiento en su proveedor de software. El proveedor cumple el EHDS como fabricante de sistemas HCE (marcado CE, interoperabilidad), pero la clinica cumple el EHDS como proveedor sanitario (derechos del paciente, seguridad organizativa, gobernanza de datos, conexion a infraestructura nacional). Son responsabilidades distintas y ambas son suyas.
¿Que sanciones hay por incumplir el Reglamento EHDS?
Las sanciones por incumplir el Reglamento EHDS se dividen en tres vias y, contra lo que dicta la intuicion, la administrativa es la menos peligrosa de las tres. La via directa vendra por la Ley de Salud Digital espanola, hoy en anteproyecto con mas de 1.000 alegaciones recibidas segun ConSalud.es; los borradores filtrados apuntan a multas de hasta 600.000 EUR para infracciones muy graves y hasta el 4% de la facturacion anual por incumplimiento sistemico — similar al RGPD. La via indirecta esta activa desde hoy: muchos controles EHDS se solapan con el RGPD, y una clinica que incumple uno tiende a incumplir el otro. La AEPD sanciona con 10.000 a 300.000 EUR en sanidad por brechas no notificadas, cuentas compartidas entre profesionales, consentimientos defectuosos o falta de DPD (aepd.es/resoluciones publica las resoluciones caso a caso si quiere verlo con ojos propios). La via comercial es la mas dura en la practica y ya tiene borradores en circulacion por los areas de conciertos de MC Mutual, Fremap, Asepeyo, Adeslas, Sanitas y DKV. Clausulas EHDS dentro de los conciertos renovables 2027-2028. Si su clinica no cumple, sale del cuadro medico. Una clinica media con el 30-40% de sus ingresos via pago directo y el resto via mutuas pierde entre 200.000 y 800.000 EUR anuales — sin recurso administrativo, sin procedimiento de alegaciones, sin reinstalacion automatica cuando se ponga al dia.
Cumplimiento EHDS y otras regulaciones: RGPD, NIS2, ENS, AI Act
Ninguna clinica cumple el EHDS en el vacio. En 2026, un director de clinica privada espanola se enfrenta a seis marcos vivos a la vez: el Reglamento EHDS, el RGPD mas la LOPDGDD, la Directiva NIS2 para ciberseguridad, el Esquema Nacional de Seguridad si se conecta a la HCDSNS, Verifactu para facturacion electronica, y el AI Act si la clinica ha metido algun asistente de IA en consulta o en diagnostico por imagen. Parece inabarcable pero se solapa mas de lo que parece. Un solo control de cifrado AES-256 en reposo satisface el Anexo II del EHDS, el articulo 32 del RGPD, el Anexo I del ENS y el anexo tecnico de NIS2 al mismo tiempo — lo mismo pasa con autenticacion individual, logging inmutable y gestion de vulnerabilidades. En la practica, cuando una clinica auditamos entra con los cuatro marcos abiertos, el ahorro frente a auditar cada uno por separado ronda entre el 30% y el 50%. Lo que no se solapa, no se solapa: el marcado CE del software HCE es puro EHDS, la notificacion de incidentes en 24h/72h es puro NIS2, y la certificacion ENAC con auditor acreditado es puro ENS. La secuencia sensata es identificar primero el nucleo comun y atacar los puntos exclusivos uno por uno, no al reves.
¿Como empezar el cumplimiento EHDS hoy? Plan de 15 minutos
Si ha llegado hasta aqui, el siguiente paso depende del tamano de su organizacion. Para una clinica monocentro o consulta privada: el diagnostico EHDS gratuito de 60 segundos en /diagnostico-ehds responde tres preguntas y devuelve una orientacion de riesgo regulatorio. No necesita datos de pacientes. No necesita comprometerse a nada. Sirve para decidir si conviene actuar ahora o esperar. Para grupos hospitalarios, mutuas y cadenas de laboratorios: la conversacion de auditoria EHDS de 30 minutos en pantalla compartida, incluida como parte del contrato anual SaludComply. Recorremos 45 puntos de control en 7 areas sobre el HIS real con el equipo guiando la sesion, y entregamos un resumen escrito en 48 horas. Si prefiere empezar por entender el marco, lea primero nuestra guia del Reglamento EHDS. El reloj del cumplimiento corre hasta marzo de 2029. Cuatro anos parecen muchos hasta que hay que migrar un sistema, formar al equipo, nombrar un DPD, implementar un portal de paciente, cerrar gaps de ciberseguridad y conectarse a la HCDSNS. Empezar hoy es mas barato que empezar en 2027.