In data 3 maggio 2022, la Commissione europea ha presentato una proposta legislativa totalmente innovativa per la creazione dello spazio europeo dei dati sanitari (European Health Data Space, “EHDS”). In particolare, la Commissione ha proposto l’adozione di un nuovo Regolamento contenente norme sulla condivisione e tutela dei dati sanitari[1], al fine di agevolare il funzionamento di un ecosistema comune in materia, destinato a divenire uno degli assi portanti dell’Unione europea della salute.
Con la creazione dell’EHDS, vengono perseguiti due principali e ben distinti obiettivi. Da un lato, l’EHDS dovrebbe condurre ad un miglioramento dell’erogazione dei servizi sanitari nell’Unione, permettendo ai pazienti di utilizzare i propri dati in altri Stati Membri e promuovendo la creazione di un mercato unico dei prodotti e dei servizi digitali in ambito sanitario. Dall’altro lato, il Regolamento intende fornire un nuovo quadro normativo per facilitare l’utilizzo dei dati sanitari per le attività di ricerca, innovazione, elaborazione delle politiche e regolamentazione. La diversità degli obiettivi perseguiti dal Regolamento si riflette sulla eterogeneità delle norme in esso contenute, che si distinguono in norme sui diritti delle persone fisiche ad accedere e controllare l’utilizzo dei propri dati sanitari, norme sulla regolamentazione tecnica dei sistemi elettronici per i registri sanitari, e norme intese ad agevolare l’uso primario[2] e secondario[3]dei dati sanitari per finalità di ricerca e d’interesse pubblico.
La spinta per la creazione dell’EHDS è nata, a livello politico, dopo che la pandemia da COVID-19 aveva drammaticamente evidenziato l’importanza dei servizi digitali nel settore sanitario. Difatti, alla luce delle necessità emerse durante la pandemia, è stato concepito l’obiettivo politico di una normativa ad hoc. La proposta legislativa si contraddistingue per la portata innovativa delle disposizioni sull’erogazione dei servizi digitali in ambito sanitario, oltre che per dettare una specifica disciplina, a lungo attesa, sull’uso dei dati sanitari per attività di ricerca e d’interesse pubblico. Prima di predisporre la proposta legislativa, la Commissione europea aveva avviato una consultazione pubblica, che ha avuto luogo dal 3 maggio al 26 giugno 2021[4].
Ecco le principali novità.
Il Regolamento attribuisce espressamente diritti e poteri di controllo alle persone fisiche in relazione ai propri dati sanitari. In primo luogo, è garantito loro il diritto di accedere immediatamente, gratuitamente, e in un formato leggibile, consolidato ed accessibile, ai dati personali oggetto di uso primario conservati su registri elettronici, nonché di riceverne una copia. In secondo luogo, le persone fisiche possono condividere i propri dati sanitari con i professionisti del settore sanitario, anche qualora questi ultimi di trovino in un diverso Stato membro. Infine, al fine di conferire pieno controllo sui dati sanitari, le persone fisiche possono richiedere di aggiungere informazioni, correggere dati erronei, ricevere informazioni sul loro trattamento e limitare l’accesso dei terzi.
Inoltre, al fine di facilitare la condivisione a livello europeo, il Regolamento prevede l’utilizzo di un formato unico comune per il rilascio e l’accettazione di ricette elettroniche, note di dimissione, referti di diagnostica per immagini e di laboratorio, ed anamnesi. Sempre per facilitare la condivisione, il Regolamento impone obblighi ai produttori di sistemi elettronici per i registri sanitari di certificare il rispetto di standard tecnici comuni, che garantiscano l’interoperabilità tra i propri sistemi.
Il Regolamento richiede poi agli Stati membri di designare a livello nazionale un’autorità di sanità digitale. Alle autorità di sanità digitale vengono attribuiti molteplici compiti di cruciale importanza per il funzionamento dell’intera architettura dell’EHDS, tra cui l’implementazione delle soluzioni tecniche per garantire il rispetto dei diritti e degli obblighi previsti dal Regolamento.
Infine, il Regolamento apporta numerose novità sull’utilizzo secondario di dati sanitari per attività di ricerca scientifica, innovazione, sanità pubblica ed elaborazione di politiche. In particolare, è prevista la creazione di un articolato meccanismo di accesso ai dati sanitari per tali finalità. In questo meccanismo, un ruolo centrale è ricoperto dagli organismi responsabili dell’accesso ai dati sanitari, enti costituendi a livello nazionale con il compito di autorizzare l’accesso da parte di ricercatori, innovatori, istituzioni pubbliche e professionisti sanitari. L’accesso ai dati sanitari può essere autorizzato solo quando il richiedente intenda trattarli appunto per finalità di ricerca, educative e di innovazione di prodotti informatici e sanitari, per la fornitura di servizi sanitari personalizzati, per elaborazioni statistiche, per l’esercizio di pubblici poteri e per le altre finalità di interesse pubblico elencate dall’articolo 34 del Regolamento. Il Regolamento descrive la procedura che gli organismi responsabili dovranno seguire per autorizzare l’accesso ai dati sanitari, che potrà venire concesso solo se i dati sono trattati in ambienti chiusi e sicuri, e senza rivelare l’identità dei singoli individui. Tuttavia, in alcune circostanze il Regolamento vieta tout court di autorizzare l’accesso ai dati sanitari, in particolare, quando i dati verrebbero utilizzati per decisioni suscettibili di nuocere alle persone producendo effetti legali o determinando un altro impatto significativo sulle loro vite, oltre che quando sarebbero impiegati per progettare prodotti o servizi dannosi o per perpetrare frodi assicurative.
I dati sanitari che potranno essere legittimamente acquisiti con le modalità sopra descritte, sono i dati detenuti da qualsiasi persona fisica o giuridica che rientri in una delle seguenti categorie: i) operatori e ricercatori scientifici del settore sanitario, e ii) istituzioni, organi od organismi dell’Unione che hanno il diritto, l’obbligo o il potere di rendere disponibile dati sanitari.
Le categorie di dati sanitari interessate dal Regolamento sono numerose, ed includono sia dati personali che dati non personali. Queste includono i fascicoli sanitari elettronici (European health records, EHRs), dati concernenti lo stato sanitario di persone fisiche, dati sui fattori ambientali e comportamentali aventi un impatto sulla salute umana, dati genomici e dati provenienti da test clinici.
Il Regolamento prevede inoltre la creazione di una nuova infrastruttura decentralizzata dell’Unione per l’uso secondario dei dati sanitari, con cui gli organismi responsabili dell’accesso ai dati si interfacceranno, e a cui sarà attribuita la funzione di sostenere i progetti transfrontalieri.
La proposta della Commissione per il Regolamento EHDS è stata presentata ai co-legislatori dell’Unione, e sarà esaminata tramite la procedura legislativa ordinaria.
Due considerazioni possono proporsi sin d’ora sulle peculiarità del nuovo Regolamento.
In primo luogo, si tratta della prima proposta legislativa, adottata in attuazione della strategia europea in materia di dati[5], che interessa specificamente un solo settore. Generalmente, le proposte legislative dell’Unione sull’utilizzo dei dati, personali e non, trovano applicazione orizzontale a tutte le attività che possono comportarne di tali dati, salva la presenza in via di eccezione di specifiche disposizioni relative ad un solo settore. Questa proposta mostra l’importanza critica dei dati sanitari, soprattutto a valle dell’esperienza della pandemia, e la necessità di sfruttare adeguatamente il potenziale innovativo dei dati sanitari memorizzati elettronicamente nell’Unione. Del resto, la criticità del riutilizzo dei dati sanitari per finalità di ricerca scientifica e di interesse pubblico era già stata riconosciuta dal legislatore europeo con la stesura del GDPR[6], in cui importanti deroghe ai princìpi che disciplinano il trattamento di dati personali sono state predisposte per i casi in cui i dati personali vengano utilizzati, appunto, per finalità di ricerca e di interesse pubblico[7].
In secondo luogo, il Regolamento potrebbe apportare benefici sistemici all’architettura della tutela dei dati personali condivisi nell’ambito dell’EHDS, in quanto impone specifiche condizioni per la condivisione dei dati sanitari ed impone che il loro trattamento avvenga in ambienti chiusi e sicuri. Queste maggiori garanzie potrebbero controbilanciare il fatto che, sulla base dell’attuale disciplina del GDPR, i dati personali sanitari sono spesso acquisiti senza il consenso degli interessati, ed in deroga ad alcuni dei princìpi fondamentali che dovrebbero essere invece rispettati. Tuttavia, resta da vedere se nella creazione dell’EHDS verranno in effetti poste in essere adeguate misure tecniche ed organizzative per assicurare la sicurezza e la privacy dei dati condivisi.
[1] Proposal for a Regulation of the European Parliament and of the Council on the European Health Data Space, COM/2022/197 final. La proposta legislativa è attualmente disponibile solo in lingua inglese.
[2] Ai sensi dell’articolo 2(2)(d) del Regolamento, per uso primario dei dati personali sanitari si intende il trattamento di tali dati per fornire servizi sanitari volti ad accertare, preservare o riabilitare lo stato di salute della persona fisica cui i dati fanno riferimento, inclusa la prescrizione e fornitura di prodotti e apparecchiature sanitarie, nonché per i rilevanti servizi di sicurezza sociale, amministrativi e di rimborso.
[3] Ai sensi dell’articolo 2(2)(e) del Regolamento, per uso secondario dei dati personali si intende il trattamento di tali dati per la finalità di cui al Capo IV del Regolamento, ovverosia finalità di ricerca scientifica, educative, di innovazione di prodotti informatici e sanitari, per la fornitura di servizi sanitari personalizzati, per elaborazioni statistiche, per sostenere le attività di enti pubblici e per altre finalità di interesse pubblico.
[4] Per maggiori informazioni sulla consultazione pubblica, si veda il seguente LINK.
[5] Si veda il seguente LINK.
[6] Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati), GUUE L 119 del 04.05.2016.
[7] Si vedano le deroghe disposte dagli articoli 5(1)(b), 5(1)(e) e 14(5)(b) del GDPR.