Francia busca retomar el control sobre el alojamiento de sus datos de salud.
La ambición de una nube soberana para el Health Data Hub marca un cambio político significativo. Al mismo tiempo, el Consejo de Estado valida un sistema que aún depende de la infraestructura de un actor estadounidense.
Tras ser consultado por asociaciones y particulares, el Consejo de Estado se niega a anular la autorización otorgada al Health Data Hub. Esta autorización, emitida por la CNIL por un período de tres años, se refiere a la explotación de datos de salud en el contexto de estudios sobre la prevalencia e incidencia de patologías en Francia, y se enmarca dentro del programa europeo Darwin EU, liderado por la Agencia Europea de Medicamentos.
El punto más delicado concierne a Microsoft. El Health Data Hub se apoya en Microsoft Ireland Operations, una filial de un grupo sujeto a la legislación estadounidense.
El Consejo de Estado reconoce un riesgo: ciertos datos relacionados con los usuarios de la plataforma, y no con los pacientes estudiados, podrían ser transferidos a administradores ubicados en Estados Unidos. Sin embargo, considera que el contrato prevé garantías conformes al RGPD.
El razonamiento se basa en la distinción: tratar no es transferir. La autorización regula un tratamiento automatizado de datos alojados en Francia y no implica una transferencia a Estados Unidos.
Por lo tanto, el argumento de los demandantes, basado en los riesgos asociados al derecho estadounidense y a la decisión de adecuación* de 2023, carece de fundamento a ojos del Consejo de Estado.
Una lectura estricta del derecho de transferencia de datos
En lo que respecta a los datos de salud en sí, el razonamiento se mantiene constante. El juez admite que un acceso por parte de las autoridades estadounidenses no puede excluirse por completo. No obstante, considera que las salvaguardias son suficientes: seudonimización, limitación de la duración de la conservación y un marco contractual. En consecuencia, valida la valoración de la CNIL.
Esta decisión no niega los riesgos, sino que los jerarquiza. El Consejo de Estado no busca resolver el debate político sobre la soberanía digital, sino verificar si, en el contexto específico de la autorización impugnada, se respeta la ley y si las garantías se consideran suficientes.
Aquí reside la paradoja. Por un lado, el Estado manifiesta una voluntad de romper con las soluciones extraeuropeas.
Por otro lado, valida un sistema que aún depende de estos actores, siempre y cuando el marco jurídico sea sólido. Coexisten dos temporalidades: la del derecho positivo, que se basa en las herramientas disponibles, y la de la estrategia industrial, que busca una autonomía futura.
El Consejo de Estado no afirma que la dependencia sea deseable, sino que, en esta etapa, sigue siendo legalmente aceptable bajo condiciones estrictas.
*El Consejo de Estado descarta el debate sobre la decisión de adecuación UE-Estados Unidos al considerar que la autorización de la CNIL no se refiere a una transferencia de datos fuera de la Unión, sino únicamente a su tratamiento en Francia. Por lo tanto, incluso una posible fragilidad de este marco jurídico transatlántico carece de incidencia en la legalidad del sistema examinado.
