normativa

Riutilizzo dei dati sanitari, ecco cosa dice l’Ehds e le differenze con il Gdpr



Indirizzo copiato

Vediamo cosa il testo dell’European health data space prevede per l’uso secondario dei dati sanitari e quali sono le differenze con le indicazioni del Gdpr

Pubblicato il 4 set 2024

Marta Moretti

Senior Legal Counsel, Europe and New Markets presso BeiGene Switzerland GmbH



Shutterstock_2476435363 (1)

Uno dei principali obiettivi dello spazio europeo dei dati sanitari (European health data space o Ehds) è “fornire un sistema coerente, affidabile ed efficiente per il riutilizzo dei dati sanitari in ambiti quali la ricerca, l’innovazione, l’elaborazione delle politiche e le attività normative”[1]. Per riutilizzo si fa riferimento all’uso dei dati per fini ulteriori, cioè secondari, rispetto a quello per il quale essi sono stati inizialmente raccolti, cioè primario.

Il regolamento Edhs entrerà in vigore venti giorni dopo la pubblicazione sulla Gazzetta Ufficiale dell’UE, che dovrebbe avvenire il prossimo autunno. È prevista un’applicazione graduale delle disposizioni del Regolamento, che avverrà tra i due e i dieci anni dalla sua entrata in vigore. Vediamo la situazione normativa sul riutilizzo dei dati sanitari, confrontando anche le previsioni dell’Ehds con il Gdpr .

Riutilizzo dati sanitari, vantaggi e rischi

Vi sono innumerevoli opportunità e rischi legati all’accrescersi del riutilizzo di dati sulla salute e vi sono costi sia in mancanza che in presenza di esso. Per questo il tema è stato oggetto di un ampio dibattito in ambito politico-istituzionale, accademico, industriale e rappresentanti della società civile sin dall’entrata in vigore del Gdpr, intensificatosi con alcune iniziative normative piú recenti dell’Unione europea[2], come la proposta del regolamento sullo Ehds e l’AI Act[3].

La condivisione e l’uso secondario dei dati sulla salute può, tra l’altro, far progredire lo sviluppo della ricerca e dell’industria, la collaborazione tra enti e professionisti sanitari che operano in luoghi diversi, l’accesso alle cure di individui che si spostano da uno Stato all’altro, la digitalizzazione di varie attività (inclusa la pratica clinica) e il funzionamento dei sistemi di intelligenza artificiale.

Al tempo stesso, il riutilizzo di dati sanitari potrebbe comportare un uso illegittimo dei dati personali degli individui e lesioni dei loro diritti, interessi e libertà, e la violazione della confidenzialità dei pazienti di cui gli operatori sanitari vengano a conoscenza nello svolgimento dell’attività professionale (segreto professionale). Altri rischi riguardano possibili violazioni della sicurezza comportanti accessi non autorizzati ai dati sanitari e i conseguenti possibili abusi.

Uso secondario dati sanitari: le differenze tra Ehds e Gdpr

L’Ehds solleva questioni sostanzialmente analoghe a quelle derivanti dall’uso secondario dei dati personali che il Gdpr, a certe condizioni ed entro certi limiti, consente e in taluni casi favorisce. Ad esempio, ci si chiede se l’uso dei dati sulla salute per fini secondari di ricerca scientifica ai sensi del Gdpr[4] e delle norme nazionali che ciascun Stato membro ha potuto adottare in tale ambito, per integrare quelle (direttamente applicabili) del Gdpr sia idoneo a garantire nel contempo lo sviluppo scientifico e la protezione dei dati personali e dei diritti ad essi connessi.

L’Ehds, ponendo le basi per un uso secondario su ampia scala dei dati sanitari, rende maggiormente evidenti le sfide e le opportunità derivanti dallo sbloccare l’accesso al vasto numero di dati sanitari raccolti da operatori sanitari, associazioni professionali, istituzioni pubbliche, regolatori, ricercatori, assicuratori, nel corso delle loro attività e dal renderli riutilizzabili a fini di ricerca, innovazione e sviluppo, garantendo nel contempo un’adeguata tutela dei dati personali e sensibili (come quelli relativi alla salute) degli individui interessati.

Mentre il Gdpr protegge i dati sulla salute impedendone l’accesso salvo sussistano delle eccezioni e misure di salvaguardia e alle condizioni che possono essere previste dalle normative degli Stati membri[5], l’Ehds intende ampliare le possibilità di accesso a tali dati ogniqualvolta il loro riutilizzo possa avere dei benefici in ambito sanitario.

L’uso secondario nel Regolamento sull’EHDS

L’Ehds mira a rimuovere gli ostacoli alla condivisione di dati sanitari per renderli disponibili per la ricerca e l’innovazione all’interno di un sistema di regole, misure di sicurezza e controlli. Per raggiungere questo obiettivo, il regolamento in via di adozione prevede che i titolari dei dati definiscano le differenti categorie di dati sanitari in loro possesso e le rendano disponibili agli ‘organismi responsabili dell’accesso ai dati’ (designati dagli Stati membri dell’UE) che, a loro volta, forniscono i dati agli ‘utenti dei dati’, come i ricercatori scientifici, attraverso una piattaforma sicura[6].

I doveri del titolare dei dati

In generale, gli utenti dei dati – che potranno essere enti pubblici, privati o senza scopo di lucro o singoli ricercatori – avranno accesso solo a dati anonimi, sebbene sia possibile accedere anche a dati pseudonimizzati, se necessario per l’uso previsto.

Le tipologie di dati che i titolari dei dati devono rendere disponibili sono alquanto eterogenee e comprendono, ad esempio, cartelle cliniche elettroniche, dati derivanti da studi clinici, dati relativi alle domande di rimborso, registri di malattia, registri di sanità pubblica, registri degli effetti collaterali di medicinali o dispositivi medici, dati genomici, coorti di ricerca, questionari e indagini in materia di salute, dati generati dalla persona (ad esempio, dati provenienti da dispositivi medici, applicazioni per il benessere o altri dispositivi indossabili e applicazioni di sanità digitale). I titolari dovranno rendere disponibili anche dati non personali, tra cui quelli sugli agenti patogeni.

Il titolare dei dati dovrà comunicare al competente organismo responsabile dell’accesso ai dati sanitari una descrizione generale della serie di dati in suo possesso. Tale organismo, sulla base delle informazioni ricevute dai titolari dei dati, pubblicherà un catalogo delle serie di dati disponibili a livello nazionale, recante informazioni sulle serie e le loro caratteristiche affinché gli utenti possano valutare la possibile rilevanza dei dati per le finalità che intendono perseguire.

Come funziona l’accesso ai dati

Per poter accedere ai dati disponibili, gli utenti devono presentare all’organismo responsabile dell’accesso ai dati sanitari una domanda di autorizzazione ad accedere ai dati per uno specifico uso e determinate finalità.

L’accesso ai dati per l’uso secondario dovrebbe contribuire all’interesse generale della società o favorire attività correlate alla ricerca scientifica, lo sviluppo e l’innovazione, la produzione di beni e servizi in ambito sanitario. In particolare, gli organismi di accesso ai dati sanitari potranno approvare le autorizzazioni per scopi di ricerca privata e la sperimentazione e l’addestramento dei sistemi AI in ambito sanitario.

È espressamente vietato il riutilizzo di dati sanitari per adottare eventuali decisioni pregiudizievoli per la persona fisica interessata, per aumentare premi assicurativi, per pubblicizzare prodotti o terapie o per sviluppare prodotti dannosi per gli individui e la società.

Una volta rilasciata l’autorizzazione ad un utente, l’organismo responsabile dell’accesso ai dati sanitari chiederà ai titolari dei dati di fornire i dati richiesti dall’utente in modo da fornirli all’utente su una piattaforma sicura (oggetto di misure tecniche e organizzative e conforme a prescrizioni in materia di sicurezza e interoperabilità). Gli utenti dei dati possono scaricare solo dati anonimi (ad esempio, dati in forma aggregata) dalla piattaforma sicura dell’organismo responsabile dell’accesso ai dati sanitari.

L’intervento della Commissione Ue

Quanto alle basi giuridiche per la condivisione e il riutilizzo dei dati, la proposta di regolamento Ehds della Commissione europea indicava le basi giuridiche per il trattamento di dati personali da parte del titolare e dell’utente. In particolare, la condivisione di dati detenuti dal titolare dei dati si basa, ai sensi dell’articolo 6, paragrafo 1, lettera c), del RGPD, sull’obbligo giuridico, introdotto dal nuovo regolamento, di comunicare i dati agli organismi responsabili dell’accesso ai dati sanitari. L’utente dei dati dovrebbe dimostrare la base giuridica del trattamento ai sensi dell’articolo 6, paragrafo 1, lettera e) (interesse pubblico che il titolare del trattamento deve soddisfare) o f) (legittimo interesse del titolare del trattamento)[7], del RGPD per avere accesso ai dati sanitari elettronici ai fini dell’uso secondario dei dati per una delle finalità dell’Ehds.

Per quanto riguarda il riutilizzo di dati sulla salute, il testo del regolamento formulato dalla Commissione dichiarava in un considerando di soddisfare le condizioni per tale trattamento ai sensi dell’articolo 9, paragrafo 2, lettere g) (interesse pubblico), h) (gestione dei sistemi e servizi sanitari o sociali), i) (interesse pubblico nel settore della sanità pubblica) e j) (ricerca scientifica), del RGPD per l’uso secondario di tali dati, “stabilendo le garanzie per il trattamento, in termini di finalità legittime, una governance affidabile per fornire l’accesso ai dati sanitari (attraverso organismi responsabili dell’accesso ai dati sanitari) e il trattamento in un ambiente sicuro, nonché modalità per il trattamento dei dati, stabilite nell’autorizzazione ai dati”.

Riutilizzo dei dati sanitari, gli aspetti critici

Da più parti sono state sollevate critiche al regolamento proposto dalla Commissione. Ad esempio, il Comitato europeo per la protezione dei dati e il Garante europeo della protezione dei dati hanno sostanzialmente evidenziato come, per certi versi, il testo formulato dalla Commissione non garantisse un equo bilanciamento tra il diritto alla tutela dei dati personali degli individui e i motivi di interesse pubblico[8].

Le critiche hanno riguardato, tra l’altro:

  • l’assenza del diritto dei pazienti di opporsi all’uso secondario dei loro dati sanitari personali;
  • il mancato coordinamento tra le condizioni per il rilascio dell’autorizzazione all’accesso ai dati sanitari, da un lato, e l’art. 9, paragrafo 2, del Gdpr (che detta le condizioni e le salvaguardie per derogare al divieto di uso di dati sensibili come quelli sulla salute) e le normative nazionali adottate ai sensi dell’art. 9, paragrafo 4, del Gdpr (che possono prevedere ulteriori restrizioni all’uso di dati sensibili), dall’altro;
  • il carattere poco definito di alcune finalità di accesso ai dati sanitari (come la produzione di beni e servizi e l’addestramento dei sistemi AI in ambito sanitario a sostegno delle politiche sanitarie e a fini di ricerca scientifica);
  • l’idoneità degli organismi responsabili dell’accesso ai dati nei vari Stati europei a compiere le complesse valutazioni necessarie per decidere sulle domande di accesso ai dati; l’introduzione di limitazioni al principio di trasparenza delineato dal Gdpr al di fuori delle garanzie previste dall’art. 23 del Gdpr[9];
  • la dubbia compatibilità con il segreto professionale del medico; l’inadeguatezza delle garanzie per i diritti di proprietà intellettuale dei data holders;
  • l’assenza di un quadro sanzionatorio per le violazioni del regolamento.

Alcune questioni sono state risolte dalle modifiche adottate dal Parlamento europeo nella procedura legislativa[10] e si riflettono sul testo del regolamento EDHS su cui i due co-legislatori, Parlamento e Consiglio, hanno raggiunto un accordo il 14 marzo 2024 (compromise text)[11].

Verso l’equilibrio tra tutela dei dati e finalità pubbliche

Per quanto concerne il riutilizzo dei dati sanitari personali il testo finale del regolamento mira a riequilibrare il rapporto tra il diritto alla tutela dei dati personali e le finalità pubbliche generali nel settore della salute. Il Parlamento europeo ha evidenziato che, “vista la sensibilità dei dati sanitari personali”, l’Edhas deve offrire “garanzie sufficienti sia a livello dell’Unione sia a livello nazionale per assicurare un elevato livello di protezione, sicurezza, riservatezza e uso etico dei dati”, in modo da “promuovere la fiducia nella gestione sicura dei dati sanitari delle persone fisiche per l’uso primario e secondario”[12].

Come detto, la proposta della Commissione non attribuiva agli individui i cui dati sanitari fossero oggetto di una domanda di accesso il diritto di prestare il loro consenso o di opporsi all’uso secondario richiesto[13]. Alle critiche sollevate su questo punto, la Commissione aveva risposto, con il sostegno dell’Agenzia europea per i medicinali – Ema, che un diritto di opt-out ridurrebbe la quantità di dati disponibili e l’integrità delle serie di dati sanitari, il che potrebbe portare a distorsioni nella ricerca scientifica o nell’addestramento degli algoritmi[14]

Il testo finale del regolamento Ehds trova un bilanciamento tra diritti individuali e interessi generali, prevedendo che gli Stati membri debbano introdurre meccanismi che consentano l’esercizio da parte degli individui interessati del diritto di opt-out – sempre reversibile – all’uso secondario dei dati relativi alla salute[15], pur potendo prevedere, nell’ambito del diritto nazionale, eccezioni a tale diritto giustificate da talune finalità di salute pubblica (tra cui le attività che garantiscono elevati livelli di qualità e sicurezza dell’assistenza sanitaria, compresa la sicurezza dei pazienti, e dei medicinali o dei dispositivi medici) e per la ricerca scientifica svolta per importanti motivi di interesse pubblico da enti pubblici o per loro conto[16]. Viene precisato che tali eccezioni devono rispettare l’essenza dei diritti e delle libertà fondamentali ed essere una misura necessaria e proporzionata in una società democratica per soddisfare l’interesse pubblico nell’ambito di obiettivi scientifici e sociali legittimi.

Cosa prevede il testo finale dell’Ehds

Come detto, la proposta della Commissione non era del tutto chiara per quanto concerne il coordinamento tra l’accesso ai dati sanitari personali e l’art. 9 del Gdpr. Innanzitutto, mentre la proposta stabiliva una base giuridica per l’uso dei dati da parte degli enti responsabili per l’accesso ai dati sanitari e dei titolari dei dati, imponendo loro obblighi di condivisione dei dati sanitari personali per motivi di interesse pubblico, essa non sembrava prevedere una deroga specifica ai sensi dell’articolo 9 del RGPD per l’uso di tali dati da parte degli utenti dei dati. Il testo finale del regolamento, anche se in un considerando, afferma che l’EHDS stessa fornisce le garanzie richieste dall’articolo 9[17].

Inoltre, gli Stati membri potranno introdurre misure più rigorose e garanzie aggiuntive a livello nazionale volte a salvaguardare la sensibilità e il valore dei dati genetici e altri dati sanitari particolarmente sensibili[18].

Il testo finale del regolamento Ehds impone anche una maggiore trasparenza riguardo all’uso secondario dei dati sanitari personali. Gli organismi responsabili dell’accesso ai dati sanitari dovranno fornire agli interessati informazioni che integrano quelle previste dall’art. 14 del Gdpr, tra cui la base giuridica in virtù della quale l’accesso è concesso all’utente dei dati sanitari; le misure tecniche e organizzative adottate per tutelare i diritti delle persone fisiche; i diritti delle persone fisiche applicabili in relazione all’uso secondario dei dati sanitari elettronici; le modalità di esercizio dei diritti da parte delle persone fisiche ai sensi del Gdpr, l’identità e i dati di contatto dell’organismo responsabile; l’indicazione di chi ha ottenuto l’accesso a quali serie di dati sanitari elettronici e l’autorizzazione riguardante le finalità del loro trattamento; i risultati o gli esiti dei progetti per i quali i dati sanitari elettronici sono stati utilizzati, nonché la procedura per esercitare il diritto di opt-out[19].

Viene precisato che, ove ai sensi del Gdpr si applichino eccezioni al diritto dei soggetti interessati di essere informati sul trattamento dei loro dati, gli obblighi di trasparenza imposti agli organismi responsabili dell’accesso contribuiscono a garantire un trattamento equo e trasparente di cui all’articolo 14, paragrafo 2, del Gdpr[20]. Questo è importante ove si consideri, ad esempio, che uno dei maggiori ostacoli all’uso secondario di dati raccolti negli studi clinici è dato dall’impossibilità – ove tale uso non fosse prevedibile al momento in cui i dati sono stati raccolti per le finalità dello studio e non fosse quindi possibile informarne e, ove necessario, raccogliere il consenso dei partecipanti allo studio – di reperire gli individui che avevano partecipato allo studio a distanza di tempo dalla sua conclusione al fine di fornire le informazioni sull’uso secondario richieste dall’art. 14 del Gdpr.

Necessità del consenso specifico e delle misure di sicurezza

Resta da vedere se sarà risolta anche l’altra maggiore difficoltà per il riutilizzo dei dati raccolti in uno studio clinico, consistente nella necessità, in base alle normative nazionali di alcuni Stati membri, di ottenere un consenso specifico e attuale a tale riutilizzo. Infatti, il regolamento Ehds demanda agli Stati membri l’introduzione di meccanismi per l’esercizio di un diritto di opt-out da parte degli interessati.

Per quanto concerne le misure di sicurezza dei dati sanitari, il regolamento Ehds prevede che gli utenti abbiano accesso per uso secondario a dati pertinenti e limitatamente a quanto necessario rispetto allo scopo del trattamento richiesto in linea con l’autorizzazione rilasciata dall’organismo responsabile. L’accesso avviene a dati anonimizzati sulla piattaforma sicura dell’organismo responsabile. Solo se l’utente ha dimostrato che lo scopo del trattamento non può essere raggiunto con dati anonimizzati, l’organismo dà accesso ai dati pseudonimizzati.

Se non che questo presuppone che vi sia uno standard europeo condiviso su quando i dati possono essere considerati anonimi. Il Comitato europeo per la protezione dei dati dovrebbe adottare linee guida sull’anonimizzazione aggiornate rispetto al Parere sulle tecniche di anonimizzazione adottato nel 2014 dal suo predecessore, il Gruppo di lavoro “Articolo 29”[21]. Finora le Autorità di controllo degli Stati membri hanno assunto posizioni alquanto restrittive sul tema. Sennonché l’anonimizzazione, soprattutto se particolarmente rigorosa, può ridurre l’utilità dei dati per la ricerca scientifica. Se il livello di anonimizzazione applicato è troppo elevato, gli utenti dei dati potrebbero iniziare a chiedere di default dati pseudonimi semplicemente perché i dati anonimi non sono adatti allo scopo.

Inoltre, non è ancora del tutto chiaro chi dovrà anonimizzare i dati, cioè se debba farlo il titolare dei dati prima di condividerli con l’organismo responsabile dell’accesso ai dati sanitari, ovvero questo stesso organismo. I consideranda del regolamento suggeriscono che queste misure di sicurezza debbano essere applicate dal titolare dei dati o dall’organismo responsabile, il che renderebbe ancor piú gravosi gli oneri a carico di questi soggetti.

Al fine di ridurre gli oneri amministrativi degli organismi responsabili dell’accesso ai dati, gli Stati membri potranno istituire titolari di dati sanitari affidabili in grado di trattare in modo sicuro le richieste di accesso ai dati sanitari[22]. Gli organismi responsabili possono designare ‘affidabili’ i titolari di dati che siano in grado di fornire l’accesso ai dati sanitari attraverso un ambiente di trattamento sicuro conforme a quello messo a disposizione dagli organismi responsabili, che possiedano le competenze necessarie per valutare le domande di accesso ai dati e le richieste di dati e che forniscano le garanzie necessarie per assicurare il rispetto del regolamento.

Il quadro sanzionatorio

Il testo finale del regolamento include un quadro sanzionatorio strutturato in modo analogo a quello del Gdpr. Gli enti responsabili per l’accesso ai dati sanitari potranno imporre sanzioni amministrative aventi soglie equivalenti a quelle previste dal RGPD a chi commette le violazioni elencate nel regolamento applicando predeterminati criteri per valutarne la gravità[23].

Tali enti saranno affiancati dalle Autorità di controllo degli Stati membri, cui spetta garantire e controllare il rispetto del diritto di opposizione al trattamento dei dati sanitari elettronici personali per uso secondario.

Infine, rispetto alla proposta della Commissione, il testo adottato da Parlamento e Consiglio prevede una disciplina più dettagliata a tutela dei diritti di proprietà intellettuale, dei segreti commerciali e dei dati coperti dal diritto alla tutela regolamentare dei dati dei titolari di dati sanitari. Gli organismi responsabili dell’accesso dovranno adottare misure, legali, tecniche e organizzative per proteggere dati sanitari che includano informazioni commercialmente sensibili o proprietarie dei titolari dei dati e potranno subordinare l’accesso a tali dati alla conclusione di accordi contrattuali tra titolari di dati sanitari e utenti di dati sanitari[24]. Questi accordi potrebbero garantire ai titolari dei dati un controllo sui tempi e sulle condizioni per la condivisione delle loro informazioni commercialmente sensibili o proprietarie.

Altre questioni restano aperte.

Conclusione

Encomiabile l’impegno della Commissione e dei co-legislatori europei per facilitare la condivisione e il riutilizzo da parte di tutti i soggetti che offrano adeguate garanzie del vasto patrimonio di dati sanitari elettronici raccolti nell’UE per rilevanti interessi di salute pubblica, all’interno di un quadro normativo e istituzionale che assicura controlli e meccanismi di enforcement.

Questo riutilizzo è già in atto, ma solo da parte di alcuni – i giganti del web – e per interessi commerciali privati. L’Ehds pone le basi per un uso piú equo e controllato di questi dati.


Note

[1] Maggiori dettagli alla pagina dedicata sul sito della Commissione europea .

[2] La proposta sullo spazio europeo dei dati sanitari è connessa ad altre normative vigenti o che sono in fase di discussione da parte delle Istituzioni europee, tra cui (oltre a quelli menzionati nel testo di questo articolo): il Regolamento (UE) 2022/868 del Parlamento europeo e del Consiglio, del 30 maggio 2022 (‘Data Governance Act’); il Regolamento (UE) 2023/2854 del Parlamento europeo e del Consiglio del 13 dicembre 2023 riguardante norme armonizzate sull’accesso equo ai dati e sul loro utilizzo e che modifica il Regolamento (UE) 2017/2394 e la Direttiva (UE) 2020/1828 (‘Data Act’); il Regolamento (UE) 2024/1183 del Parlamento europeo e del Consiglio, dell’11 aprile 2024, che modifica il regolamento (UE) n. 910/2014 per quanto riguarda l’istituzione del quadro europeo relativo a un’identità digitale.

[3] Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati), in vigore dal 24 maggio 2016; proposta di Regolamento del Parlamento europeo e del Consiglio sullo spazio europeo dei dati sanitari COM(2022) 197, proposta presentata dalla Commissione europea il 3 maggio 2022 e su cui Parlamento e Consiglio hanno raggiunto un accordo ; Regolamento (UE) 2024/1689 del Parlamento Europeo e del Consiglio del 13 giugno 2024 che stabilisce regole armonizzate sull’intelligenza artificiale.

[4] La ricerca scientifica va intesa in senso lato nell’ambito del GDPR, cosí da includere, tra l’altro, lo sviluppo tecnologico e la dimostrazione, la ricerca fondamentale, la ricerca applicata e la ricerca finanziata da privati, oltre agli studi svolti nell’interesse pubblico nel settore della sanità pubblica (considerando 159 del GDPR).

[5] Ai sensi dell’art. 9, paragrafo 4 del GDPR “gli Stati membri possono mantenere o introdurre ulteriori condizioni, comprese limitazioni, con riguardo al trattamento di dati genetici, dati biometrici o dati relativi alla salute”.

[6] Si vedano le disposizioni del Capo IV “Uso secondario dei dati sanitari elettronici” del regolamento EDHS.

[7] In base alla proposta di regolamento EHDS della Commissione, se la base giuridica per il trattamento da parte dell’utente è l’articolo 6, paragrafo 1, lettera f), del GDPR, le autorizzazioni ai dati rilasciate dagli organismi responsabili dell’accesso ai dati sanitari rappresentano una decisione amministrativa che definisce le condizioni per l’accesso ai dati.

[8] EDPB-EDPS Joint Opinion 03/2022 on the Proposal for a Regulation on the European Health Data Space adottata il 12 luglio 2022 dal Comitato europeo per la protezione dei dati (EDPB) e dal Garante europeo della protezione dei dati (EDPS).

[9] L’art. 23 GDPR prevede che una limitazione dei diritti o degli obblighi previsti dal GDPR debba rispettare l’essenza dei diritti e delle libertà fondamentali ed essere una misura necessaria e proporzionata in una società democratica per salvaguardare uno degli interessi generali ivi elencati.

[10] Si veda la posizione del Parlamento europeo definita in prima lettura il 24 aprile 2024 in vista dell’adozione del regolamento (UE) 2024/… del Parlamento europeo e del Consiglio sullo spazio europeo dei dati sanitari.

[11] Si veda il ‘compromise text’ sulla proposta di regolamento EDHS pubblicato dal Consiglio dell’UE il 18 marzo 2024.

[12] Risoluzione legislativa del Parlamento europeo del 24 aprile 2024 sulla proposta di regolamento EDHS.

[13] La proposta di regolamento prevedeva che, qualora il diritto nazionale prescrivesse il consenso della persona fisica, gli organismi responsabili dell’accesso ai dati sanitari si sarebbero dovuti basare sugli obblighi previsti dal regolamento per fornire l’accesso ai dati sanitari elettronici.

[14] Nella Relazione della Commissione relativa alla proposta di regolamento si legge: “[c]on l’uso secondario dei dati sanitari elettronici, ricercatori, innovatori, responsabili delle politiche e regolatori potrebbero avere accesso a dati di qualità per il loro lavoro in modo sicuro, con una governance affidabile e a costi inferiori rispetto all’opzione basata sul consenso”.

[15] Gli Stati membri possono altresí consentire ai pazienti di opporsi all’uso dei loro dati sanitari ai quali viene effettuato l’accesso da parte dell’operatore sanitario curante (uso primario).

[16] Secondo l’art. 35f del regolamento, le persone fisiche hanno il diritto di opporsi in qualsiasi momento e senza indicarne i motivi al trattamento dei dati sanitari elettronici personali che le riguardano per uso secondario, il cui esercizio è reversibile. Gli Stati membri devono prevedere un meccanismo di opt-out accessibile e facilmente comprensibile. L’accesso ai dati sanitari è comunque consentito per le finalità di cui all’art. 34, paragrafo 1, lettere da a) a c) del regolamento (fini di sanità pubblica, elaborazione di politiche, statistiche e ricerca nell’interesse pubblico).

[17] Nel considerando 37 si legge che se l’utente dei dati sanitari si basa su una base giuridica offerta dall’articolo 6, paragrafo 1, lettera e), o dall’articolo 6, paragrafo 1, lettera f), del RGPD, è il regolamento EHDS che deve fornire le garanzie richieste dall’articolo 9, paragrafo 2, del RGPD.

[18] Si veda l’articolo 33(5) del testo finale.

[19] Si veda l’articolo 35e del testo finale.

[20] Considerando 44 del testo finale.

[21] Il Comitato europeo per la protezione dei dati includeva le Linee guide su anonimizzazione e pseudonomizzazione già nel suo programma di lavoro 2021/2022.

[22] Si veda l’art. 49 del regolamento EDHS.

[23] Si veda l’art. 43a del regolamento EDHS.

[24] Si veda l’articolo 33a del regolamento EDHS.

EU Stories - La coesione innova l'Italia

Tutti
Iniziative
Analisi
Iniziative
Parte la campagna di comunicazione COINS
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Iniziative
Parte la campagna di comunicazione COINS
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

Articolo 1 di 4