EHDS, verso “l’unione sanitaria europea”: cos’è, le cautele, i vantaggi per i cittadini

“We have a deal!”, “Abbiamo un accordo!”, è così che Frank Vandenbroucke, ministro belga per gli affari sociali e per la salute pubblica, ha annunciato il 15 marzo scorso il compromesso del “trilogo” (Commissione UE, Parlamento Europeo e Consiglio dell’Unione) sul regolamento dell’European Health Data Space (EHDS) proposto dalla stessa Commissione a maggio 2022.

L’evento, importantissimo per tanti motivi che proverò a spiegare nei paragrafi a seguire, segna una tappa fondamentale per la costruzione di quella “Unione Sanitaria” che va ad aggiungersi alle tante “unioni” che la UE ha realizzato nel corso di decenni favorendo scambi ed esercizio di libertà civiche sul continente.

I vantaggi dell’EHDS

Tuttavia, come è abitudine comunitaria, la circostanza non ha ancora avuto l’eco che merita presso i principali beneficiari dell’operazione: i cittadini europei.

L’accordo è provvisorio e non ha ancora valore di legge perché richiede l’endorsement formale delle due assemblee di approvazione legislativa dell’Unione: il Parlamento e il Consiglio.

Smarcata questa fase ed effettuate le revisioni giuridico-linguistiche, entrerà in vigore 20 giorni dopo la pubblicazione in Gazzetta Ufficiale Europea.

In due distinti articoli proveremo a spiegare di cosa si tratta in pratica, quali sono le cautele da usare e perché l’EHDS – alla fine – è cosa buona per tanti, cittadini per primi.

European Health Data Space (EHDS): il primo passo verso la creazione dello “European Data Space”

L’European Health Data Space, la cui proposta legislativa di regolamento è stata presentata dalla Commissione UE il 3 maggio 2022, rappresenta un ambizioso sforzo dell’Unione Europea per rivoluzionare il modo in cui i dati sanitari vengono gestiti, condivisi e utilizzati nell’era digitale. Originatosi da una crescente consapevolezza dell’importanza dei dati sanitari nel migliorare l’assistenza sanitaria e la ricerca medica, l’EHDS si propone di superare le sfide legate alla privacy, alla sicurezza e alla interoperabilità per creare uno spazio comune in cui i dati sanitari possano fluire liberamente e in modo sicuro.

L’EHDS ha radici profonde nella crescente digitalizzazione del settore sanitario e nell’urgente necessità di sfruttare appieno il potenziale dei dati sanitari per migliorare la salute pubblica. Le crescenti aspettative dei cittadini europei in termini di assistenza sanitaria di alta qualità e la rapida evoluzione delle tecnologie digitali hanno reso evidente la necessità di una migliore gestione dei dati sanitari.

L’intervento rappresenta inoltre il primo passa dell’Unione Europea verso la creazione dello “European Data Space” che coinvolgerà a seguire altri otto settori oltre la Salute: industria, agricoltura, mobilità, competenze, finanza, energia, green deal e pubblica amministrazione.

Gli obiettivi dell’EHDS

L’obiettivo primario dell’EHDS è quello di facilitare lo scambio sicuro e interoperabile di dati sanitari tra gli Stati membri dell’UE e le parti interessate nel settore della salute. Ciò consentirà di migliorare la ricerca medica, la prevenzione delle malattie, la diagnosi e il trattamento, nonché di favorire l’innovazione e lo sviluppo di nuove terapie e tecnologie mediche.

Va detto che l’emergenza COVID ha spinto potentemente le politiche europee verso una più concreta realizzazione di una Unione Sanitaria all’interno della quale l’EHDS rappresenta uno dei pilastri portanti e ora l’EHDS può essere funzionale a diversi sviluppi convergenti:

• un maggiore e comune impegno verso la promozione della salute a livello dell’UE a seguito della pandemia di Covid-19,
• il riconoscimento della volontà e della capacità dei pazienti di esercitare i propri diritti ai sensi del Regolamento generale sulla protezione dei dati (GDPR) che è stato, nella pratica, limitato nel settore sanitari,
• l’incremento necessario della disponibilità del maggior numero possibile di dati (non solo dati sanitari) per finalità di ricerca,
• la consapevolezza che tutti i programmi volontaristici precedenti di interoperabilità si sono rivelati inefficaci e puramente sperimentali lasciando inalterata l’esigenza per pazienti di condividere i propri dati sanitari tra un Paese e l’altro.

Volendo essere il più possibile più sintetici del corposo articolato che andrà tra qualche mese in Gazzetta Europea possiamo dire che l’EHDS cerca di fornire regole, standard e pratiche comuni, infrastrutture e un quadro di governance sia per l’uso primario (utilizzo di dati sanitari elettronici personali per fornire servizi sanitari a un individuo) che per l’uso secondario (utilizzo di dati sanitari elettronici per esigenze più ampie come la ricerca sanitaria o le politiche pubbliche) di dati sanitari pubblici.

A tale scopo il Regolamento fornisce il quadro e premesse giuridiche per:

• rafforzare il controllo dei pazienti sui propri dati;
• stabilire norme per i sistemi di cartelle cliniche elettroniche e fascicoli sanitari elettronici;
• disciplinare l’uso secondario dei dati sanitari;
• istituire due distinte infrastrutture tecnologiche transfrontaliere obbligatorie, una per uso primario (MyHealth@EU) e l’altra per uso secondario (HealthData@EU).

Le due infrastrutture dell’EHDS: MyHealth@EU e HealthData@EU

MyHealth@EU è l’infrastruttura digitale che consentirà ai cittadini europei di accedere in modo sicuro e controllato alle proprie informazioni sanitarie. Il progetto prevede la creazione di un portale digitale centralizzato che offrirà ai cittadini un’unica interfaccia per accedere ai propri dati sanitari, ovunque si trovino nell’UE.

In base al grado di sviluppo e di adozione il portale potrà contenere una grande varietà di “prodotti informativi” relativi alla salute di un cittadino ma, al minimo, è previsto che contenga fondamentalmente due entità di base:

• il patient summary (o profilo sanitario sintetico) recante la storia e l’identità clinica dei cittadini, comprendente informazioni come diagnosi precedenti, trattamenti medici ricevuti, interventi chirurgici, allergie e reazioni avverse ai farmaci; insomma…chi siamo dal punto di vista della salute;
• le prescrizioni elettroniche relative a farmaci, prestazioni di diagnostica di laboratorio, di imaging strumentale, le visite mediche e cosi via

Solo in un secondo momento è previsto che accolga anche i risultati di diagnosi sotto forma di immagini diagnostiche, risultati strutturati di laboratorio e referti.

Lo sviluppo di MyHealth@EU sarà supportato dall’istituzione di apposite “autorità nazionali di salute digitale” incaricate del monitoraggio delle regole associate all’uso primario dei dati,da disposizioni relative all’interoperabilità dei set di dati e dalla creazione di “punti di contatto nazionali” incaricati di far rispettare gli obblighi legati all’interoperabilità e alla privacy associati ai dati sanitari primari.

Discorso e finalità differente invece per HealthData@EU, l’infrastruttura per l’uso secondario dei dati per l’abilitazione di un ecosistema digitale per la gestione sicura e interoperabile di tali dati a livello europeo. Questa piattaforma avrà lo scopo di facilitare lo scambio di dati sanitari tra i paesi membri dell’UE, consentendo una migliore cooperazione e collaborazione nel settore sanitario, anche attraverso l’adozione di standard comuni per la raccolta, la gestione e lo scambio dei dati, garantendo che le informazioni sanitarie siano strutturate in modo uniforme e interoperabile. Ciò consentirà ai diversi attori del settore sanitario di accedere e utilizzare i dati in modo efficace e coerente e su una platea e una varietà di coorti potenzialmente molto alta.

Lo sviluppo di HealthData@EU sarà supportata dall’istituzione di “organismi nazionali di accesso ai dati sanitari” incaricati del monitoraggio delle regole associate all’uso secondario dei dati, dala definizione di un set di “dati-tipo” per specifici e consentiti scopi e dei requisiti di anonimizzazione, da disposizioni disciplinanti il “data altruism” (la fornitura dei propri dati in via volontaria e gratuita, da disposizioni riguardanti le tariffe e le condizioni di richiesta dati oltre alle disposizioni riguardanti la descrizione dei data set e la loro qualità.

La partenza del consorzio EU4Health

A ottobre 2022 è ufficialmente partito, con un finanziamento EU4Health, un consorzio di 17 partner (https://ehds2pilot.eu/) per la  realizzazione del primo pilota di infrastruttura di ecosistema per il secondary use. Tra i diversi obiettivi del progetto biennale sarà molto interessante vedere la piattaforma all’opera sui cinque casi d’uso programmati:

• dimostrare la fattibilità dell’utilizzo dell’EHDS per effettuare la sorveglianza delle malattie infettive, concentrandosi sulla resistenza antimicrobica;
• promuovere una migliore comprensione dei rischi di trombosi nei pazienti affetti da COVID-19;
• mettere a confronto efficacia ed esiti dei test per il COVID-19, della vaccinazione e del ricovero ospedaliero tra la popolazione generale e le sottopopolazioni vulnerabili;
• confrontare i percorsi assistenziali delle malattie cardiometaboliche in uso nei paesi europei e costruire modelli di previsione, utilizzando l’intelligenza artificiale;
• circolarizzare e allineare dati clinici e genomici per migliorare la comprensione del del decorso del cancro al colon-retto.

Posta così la questione sembrerebbe che sia il “deal” del secolo e che sia stato tutto previsto. In realtà i rischi e le difficoltà che i provvedimenti attuativi e gli investimenti tecnologici dovranno affrontare non sono pochi. E anzi sono stati proprio queste criticità a rendere più complicato il percorso di approvazione del Regolamento.

Abbiamo provato nei paragrafi che seguono a segnalare le insidie e le cautele future da attenzionare prima di illustrare perché vale la pena – malgrado le difficolta – “andare nello Spazio”.

I rischi legati alla condivisione dei dati sanitari nell’EHDS

L’implementazione dell’European Health Data Space (EHDS) solleva legittime preoccupazioni in merito alla privacy e alla sicurezza dei dati sanitari. Queste preoccupazioni sono fondamentali, considerando la sensibilità e la natura personale dei dati sanitari e il potenziale impatto negativo che la violazione della privacy potrebbe avere sulla fiducia dei cittadini nel sistema sanitario digitale. Esploriamo alcune delle principali preoccupazioni:

• Rischi di violazione della privacy: l’EHDS prevede lo scambio di una vasta quantità di dati sanitari tra Stati membri dell’UE e parti interessate nel settore della salute. Ciò solleva il rischio che i dati personali possano essere utilizzati in modo improprio o accessibili a persone non autorizzate, con conseguente violazione della privacy dei pazienti.
• Possibilità di identificazione: anche se i dati sanitari vengono anonimizzati prima dello scambio, esiste ancora il rischio che i pazienti possano essere identificati attraverso l’incrocio di diverse fonti di dati. Ad esempio, combinando dati demografici con informazioni mediche specifiche, potrebbe essere possibile identificare individualmente i pazienti, compromettendo la loro privacy.
• Sicurezza dei dati: l’EHDS richiede un’infrastruttura tecnologica robusta e sicura per proteggere i dati sanitari da accessi non autorizzati, violazioni e attacchi informatici. Tuttavia, nessun sistema è immune agli hacker o alle violazioni della sicurezza, e un attacco informatico potrebbe compromettere la sicurezza e l’integrità dei dati sanitari.
• Accesso e controllo dei dati: c’è anche la preoccupazione che i pazienti possano perdere il controllo sui propri dati sanitari una volta che vengono condivisi nell’EHDS. Sarà importante garantire che i pazienti abbiano un controllo significativo sulle loro informazioni sanitarie e che possano esercitare il consenso informato prima che i loro dati vengano condivisi o utilizzati per scopi diversi da quelli originariamente previsti.
• Disparità nell’implementazione: esiste il rischio che alcuni Stati membri dell’UE possano avere standard più bassi per la protezione dei dati sanitari rispetto ad altri, portando a disparità nell’implementazione dell’EHDS e alla creazione di falle nella sicurezza e nella privacy dei dati.

Le sfide etiche dell’EHDS

La condivisione dei dati sanitari nell’European Health Data Space (EHDS) solleva una serie di questioni etiche cruciali che devono essere affrontate in modo responsabile e trasparente. Tra queste, il consenso informato e la gestione responsabile delle informazioni sensibili giocano un ruolo fondamentale.

• Consenso informato: il principio del consenso informato sottolinea l’importanza del coinvolgimento attivo dei pazienti nella decisione di condividere i propri dati sanitari. Poiché i dati sanitari sono estremamente sensibili e possono influenzare la privacy e l’autonomia dei pazienti, è essenziale che venga ottenuto un consenso chiaro, informato e volontario prima della condivisione dei dati nell’EHDS. Ciò implica fornire ai pazienti informazioni complete sui tipi di dati che verranno condivisi, i fini per cui verranno utilizzati e le implicazioni della condivisione dei dati sulla loro privacy e sicurezza.
• Trasparenza e controllo: oltre al consenso informato, i pazienti dovranno essere garantiti di avere un controllo significativo sui propri dati sanitari e di essere informati su come verranno gestiti e utilizzati. È importante che i pazienti siano informati su chi avrà accesso ai loro dati, come verranno protetti dalla violazione della privacy e come potranno esercitare il diritto di revocare il consenso in qualsiasi momento. Inoltre, sarà cruciale garantire la trasparenza riguardo alle politiche e alle procedure per la gestione dei dati sanitari nell’EHDS, consentendo ai pazienti di prendere decisioni informate sulla condivisione dei propri dati.
• Minimizzazione del rischio: la gestione responsabile delle informazioni sensibili implica anche la minimizzazione del rischio di violazione della privacy e di abuso dei dati. Ciò include l’adozione di misure di sicurezza avanzate per proteggere i dati sanitari da accessi non autorizzati, la pseudonimizzazione o l’anonimizzazione dei dati per ridurre il rischio di identificazione dei pazienti e la limitazione dell’accesso ai dati solo a coloro che ne hanno effettivamente bisogno per fini specifici, come la ricerca medica o la pianificazione sanitaria.
• Equità nell’accesso e nell’uso dei dati: sarà importante garantire che la condivisione dei dati sanitari nell’EHDS avvenga in modo equo e non favorisca alcune parti interessate a discapito di altre. Ciò significa garantire che tutte le organizzazioni e le istituzioni coinvolte nell’EHDS abbiano accesso equo ai dati sanitari e che i risultati della ricerca e dell’innovazione derivati dalla condivisione dei dati siano distribuiti in modo equo e accessibile a tutti i membri della comunità sanitaria.

La questione della standardizzazione e dell’interoperabilità nell’EHDS

La mancanza di standardizzazione e interoperabilità tra i diversi sistemi sanitari nazionali rappresenta una delle principali sfide nell’implementazione dell’European Health Data Space (EHDS). Questa situazione crea diversi rischi e ostacoli che possono compromettere l’efficacia e l’efficienza del progetto. Analizziamo i principali rischi associati a questa mancanza di standardizzazione e interoperabilità:

• Difficoltà nella condivisione dei dati: senza standard comuni e protocolli interoperabili, diventa difficile condividere in modo efficace e efficiente i dati sanitari tra i diversi sistemi nazionali. Ciò può rallentare la ricerca medica, la prevenzione delle malattie e il trattamento dei pazienti, poiché i ricercatori e i fornitori di assistenza sanitaria devono affrontare complessità tecniche e burocratiche per accedere e utilizzare i dati sanitari provenienti da diverse fonti.
• Rischio di errori e discrepanze: la mancanza di standardizzazione può portare a discrepanze nei dati sanitari raccolti dai diversi sistemi nazionali, compromettendo la qualità e l’affidabilità delle informazioni disponibili. Ciò può aumentare il rischio di errori di diagnosi, decisioni cliniche sbagliate e inefficienze nel sistema sanitario.
• Sicurezza e privacy dei dati: la mancanza di standardizzazione e interoperabilità può rendere più difficile garantire la sicurezza e la privacy dei dati sanitari condivisi nell’EHDS. Senza un quadro comune per la protezione dei dati e l’implementazione di misure di sicurezza, i dati sanitari potrebbero essere più vulnerabili ad accessi non autorizzati e violazioni della privacy.
• Complessità normativa e legale: la diversità delle normative e delle leggi nazionali relative alla protezione dei dati sanitari può complicare ulteriormente l’implementazione dell’EHDS. Le differenze nei requisiti normativi e nei protocolli di sicurezza possono creare ostacoli legali e burocratici alla condivisione e all’uso dei dati sanitari tra i diversi Stati membri dell’UE.
• Disparità nell’accesso e nell’uso dei dati: la mancanza di standardizzazione e interoperabilità potrebbe anche portare a disparità nell’accesso e nell’uso dei dati sanitari tra gli Stati membri dell’UE. I paesi con sistemi sanitari più avanzati o con risorse tecnologiche più elevate potrebbero beneficiare maggiormente dell’EHDS rispetto a quelli con infrastrutture sanitarie meno sviluppate o risorse limitate.

Le minacce alla cybersecurity nell’ambito dell’EHDS

Il pericolo di attacchi informatici rappresenta una minaccia significativa per l’European Health Data Space (EHDS) e sottolinea l’importanza di implementare robuste misure di sicurezza informatica per proteggere i dati sanitari sensibili. Gli attacchi informatici possono avere gravi conseguenze per la sicurezza e la privacy dei dati sanitari, compromettendo la fiducia nei sistemi sanitari digitali e mettendo a rischio la salute e il benessere dei pazienti. Ecco perché è essenziale adottare misure di sicurezza informatica robuste nell’EHDS:

• Protezione dei dati sensibili: i dati sanitari sono estremamente sensibili e dovranno essere protetti da accessi non autorizzati, violazioni della privacy e abusi. Le misure di sicurezza informatica dovranno essere implementate per garantire che i dati sanitari nell’EHDS siano crittografati, accessibili solo a coloro che ne hanno bisogno per fini autorizzati e protetti da minacce esterne come hacker e malware.
• Prevenzione degli attacchi informatici: le organizzazioni coinvolte nell’EHDS dovranno adottare misure proattive per prevenire gli attacchi informatici, identificando e mitigando le vulnerabilità nei sistemi informatici e implementando controlli di sicurezza avanzati come firewall, rilevamento delle intrusioni e sistemi di autenticazione multi-fattore.
• Monitoraggio e rilevamento delle minacce: sarà fondamentale monitorare costantemente l’infrastruttura informatica dell’EHDS per individuare tempestivamente eventuali attività sospette o anomalie che potrebbero indicare un potenziale attacco informatico. I sistemi di rilevamento delle minacce e gli strumenti di analisi dei log dovranno essere utilizzati per identificare e rispondere prontamente alle minacce alla sicurezza dei dati.
• Gestione delle vulnerabilità: le organizzazioni dell’EHDS devono essere pronte a affrontare e mitigare le vulnerabilità nei propri sistemi informatici. Ciò potrà includere l’applicazione tempestiva di patch di sicurezza, la gestione dei rischi e la valutazione della sicurezza dei fornitori di servizi che hanno accesso ai dati sanitari nell’ambito dell’EHDS.
• Formazione e sensibilizzazione: la formazione del personale sarà fondamentale per garantire la sicurezza informatica nell’EHDS. Gli operatori sanitari e il personale coinvolto nella gestione dei dati dovranno essere formati sulle migliori pratiche di sicurezza informatica, consapevoli delle minacce potenziali e istruiti su come prevenire e rispondere agli attacchi informatici.