normativa

Riutilizzo dei dati sanitari, ecco cosa dice l’Ehds e le differenze con il Gdpr

Home Sanità digitale
Indirizzo copiato

Vediamo cosa il testo dell’European health data space prevede per l’uso secondario dei dati sanitari e quali sono le differenze con le indicazioni del Gdpr

Pubblicato il 4 set 2024
Marta Moretti

Senior Associate presso Avvocati Associati Franzosi Dal Negro Setti

Shutterstock_2476435363 (1)

Uno dei principali obiettivi dello spazio europeo dei dati sanitari (European health data space o Ehds) è “fornire un sistema coerente, affidabile ed efficiente per il riutilizzo dei dati sanitari in ambiti quali la ricerca, l’innovazione, l’elaborazione delle politiche e le attività normative”[1]. Per riutilizzo si fa riferimento all’uso dei dati per fini ulteriori, cioè secondari, rispetto a quello per il quale essi sono stati inizialmente raccolti, cioè primario.

Il regolamento Edhs entrerà in vigore venti giorni dopo la pubblicazione sulla Gazzetta Ufficiale dell’UE, che dovrebbe avvenire il prossimo autunno. È prevista un’applicazione graduale delle disposizioni del Regolamento, che avverrà tra i due e i dieci anni dalla sua entrata in vigore. Vediamo la situazione normativa sul riutilizzo dei dati sanitari, confrontando anche le previsioni dell’Ehds con il Gdpr .

EHDS e uso secondario dei dati sanitari: regole, ruoli e implicazioni

Riutilizzo dati sanitari, vantaggi e rischi

Vi sono innumerevoli opportunità e rischi legati all’accrescersi del riutilizzo di dati sulla salute e vi sono costi sia in mancanza che in presenza di esso. Per questo il tema è stato oggetto di un ampio dibattito in ambito politico-istituzionale, accademico, industriale e rappresentanti della società civile sin dall’entrata in vigore del Gdpr, intensificatosi con alcune iniziative normative piú recenti dell’Unione europea[2], come la proposta del regolamento sullo Ehds e l’AI Act[3].

La condivisione e l’uso secondario dei dati sulla salute può, tra l’altro, far progredire lo sviluppo della ricerca e dell’industria, la collaborazione tra enti e professionisti sanitari che operano in luoghi diversi, l’accesso alle cure di individui che si spostano da uno Stato all’altro, la digitalizzazione di varie attività (inclusa la pratica clinica) e il funzionamento dei sistemi di intelligenza artificiale.

Al tempo stesso, il riutilizzo di dati sanitari potrebbe comportare un uso illegittimo dei dati personali degli individui e lesioni dei loro diritti, interessi e libertà, e la violazione della confidenzialità dei pazienti di cui gli operatori sanitari vengano a conoscenza nello svolgimento dell’attività professionale (segreto professionale). Altri rischi riguardano possibili violazioni della sicurezza comportanti accessi non autorizzati ai dati sanitari e i conseguenti possibili abusi.

Uso secondario dati sanitari: le differenze tra Ehds e Gdpr

L’Ehds solleva questioni sostanzialmente analoghe a quelle derivanti dall’uso secondario dei dati personali che il Gdpr, a certe condizioni ed entro certi limiti, consente e in taluni casi favorisce. Ad esempio, ci si chiede se l’uso dei dati sulla salute per fini secondari di ricerca scientifica ai sensi del Gdpr[4] e delle norme nazionali che ciascun Stato membro ha potuto adottare in tale ambito, per integrare quelle (direttamente applicabili) del Gdpr sia idoneo a garantire nel contempo lo sviluppo scientifico e la protezione dei dati personali e dei diritti ad essi connessi.

L’Ehds, ponendo le basi per un uso secondario su ampia scala dei dati sanitari, rende maggiormente evidenti le sfide e le opportunità derivanti dallo sbloccare l’accesso al vasto numero di dati sanitari raccolti da operatori sanitari, associazioni professionali, istituzioni pubbliche, regolatori, ricercatori, assicuratori, nel corso delle loro attività e dal renderli riutilizzabili a fini di ricerca, innovazione e sviluppo, garantendo nel contempo un’adeguata tutela dei dati personali e sensibili (come quelli relativi alla salute) degli individui interessati.

Mentre il Gdpr protegge i dati sulla salute impedendone l’accesso salvo sussistano delle eccezioni e misure di salvaguardia e alle condizioni che possono essere previste dalle normative degli Stati membri[5], l’Ehds intende ampliare le possibilità di accesso a tali dati ogniqualvolta il loro riutilizzo possa avere dei benefici in ambito sanitario.

L’uso secondario nel Regolamento sull’EHDS

L’Ehds mira a rimuovere gli ostacoli alla condivisione di dati sanitari per renderli disponibili per la ricerca e l’innovazione all’interno di un sistema di regole, misure di sicurezza e controlli. Per raggiungere questo obiettivo, il regolamento in via di adozione prevede che i titolari dei dati definiscano le differenti categorie di dati sanitari in loro possesso e le rendano disponibili agli ‘organismi responsabili dell’accesso ai dati’ (designati dagli Stati membri dell’UE) che, a loro volta, forniscono i dati agli ‘utenti dei dati’, come i ricercatori scientifici, attraverso una piattaforma sicura[6].

I doveri del titolare dei dati

In generale, gli utenti dei dati – che potranno essere enti pubblici, privati o senza scopo di lucro o singoli ricercatori – avranno accesso solo a dati anonimi, sebbene sia possibile accedere anche a dati pseudonimizzati, se necessario per l’uso previsto.

Le tipologie di dati che i titolari dei dati devono rendere disponibili sono alquanto eterogenee e comprendono, ad esempio, cartelle cliniche elettroniche, dati derivanti da studi clinici, dati relativi alle domande di rimborso, registri di malattia, registri di sanità pubblica, registri degli effetti collaterali di medicinali o dispositivi medici, dati genomici, coorti di ricerca, questionari e indagini in materia di salute, dati generati dalla persona (ad esempio, dati provenienti da dispositivi medici, applicazioni per il benessere o altri dispositivi indossabili e applicazioni di sanità digitale). I titolari dovranno rendere disponibili anche dati non personali, tra cui quelli sugli agenti patogeni.

Il titolare dei dati dovrà comunicare al competente organismo responsabile dell’accesso ai dati sanitari una descrizione generale della serie di dati in suo possesso. Tale organismo, sulla base delle informazioni ricevute dai titolari dei dati, pubblicherà un catalogo delle serie di dati disponibili a livello nazionale, recante informazioni sulle serie e le loro caratteristiche affinché gli utenti possano valutare la possibile rilevanza dei dati per le finalità che intendono perseguire.

Come funziona l’accesso ai dati

Per poter accedere ai dati disponibili, gli utenti devono presentare all’organismo responsabile dell’accesso ai dati sanitari una domanda di autorizzazione ad accedere ai dati per uno specifico uso e determinate finalità.

L’accesso ai dati per l’uso secondario dovrebbe contribuire all’interesse generale della società o favorire attività correlate alla ricerca scientifica, lo sviluppo e l’innovazione, la produzione di beni e servizi in ambito sanitario. In particolare, gli organismi di accesso ai dati sanitari potranno approvare le autorizzazioni per scopi di ricerca privata e la sperimentazione e l’addestramento dei sistemi AI in ambito sanitario.

È espressamente vietato il riutilizzo di dati sanitari per adottare eventuali decisioni pregiudizievoli per la persona fisica interessata, per aumentare premi assicurativi, per pubblicizzare prodotti o terapie o per sviluppare prodotti dannosi per gli individui e la società.

Una volta rilasciata l’autorizzazione ad un utente, l’organismo responsabile dell’accesso ai dati sanitari chiederà ai titolari dei dati di fornire i dati richiesti dall’utente in modo da fornirli all’utente su una piattaforma sicura (oggetto di misure tecniche e organizzative e conforme a prescrizioni in materia di sicurezza e interoperabilità). Gli utenti dei dati possono scaricare solo dati anonimi (ad esempio, dati in forma aggregata) dalla piattaforma sicura dell’organismo responsabile dell’accesso ai dati sanitari.

L’intervento della Commissione Ue

Quanto alle basi giuridiche per la condivisione e il riutilizzo dei dati, la proposta di regolamento Ehds della Commissione europea indicava le basi giuridiche per il trattamento di dati personali da parte del titolare e dell’utente. In particolare, la condivisione di dati detenuti dal titolare dei dati si basa, ai sensi dell’articolo 6, paragrafo 1, lettera c), del RGPD, sull’obbligo giuridico, introdotto dal nuovo regolamento, di comunicare i dati agli organismi responsabili dell’accesso ai dati sanitari. L’utente dei dati dovrebbe dimostrare la base giuridica del trattamento ai sensi dell’articolo 6, paragrafo 1, lettera e) (interesse pubblico che il titolare del trattamento deve soddisfare) o f) (legittimo interesse del titolare del trattamento)[7], del RGPD per avere accesso ai dati sanitari elettronici ai fini dell’uso secondario dei dati per una delle finalità dell’Ehds.

Per quanto riguarda il riutilizzo di dati sulla salute, il testo del regolamento formulato dalla Commissione dichiarava in un considerando di soddisfare le condizioni per tale trattamento ai sensi dell’articolo 9, paragrafo 2, lettere g) (interesse pubblico), h) (gestione dei sistemi e servizi sanitari o sociali), i) (interesse pubblico nel settore della sanità pubblica) e j) (ricerca scientifica), del RGPD per l’uso secondario di tali dati, “stabilendo le garanzie per il trattamento, in termini di finalità legittime, una governance affidabile per fornire l’accesso ai dati sanitari (attraverso organismi responsabili dell’accesso ai dati sanitari) e il trattamento in un ambiente sicuro, nonché modalità per il trattamento dei dati, stabilite nell’autorizzazione ai dati”.

Riutilizzo dei dati sanitari, gli aspetti critici

Da più parti sono state sollevate critiche al regolamento proposto dalla Commissione. Ad esempio, il Comitato europeo per la protezione dei dati e il Garante europeo della protezione dei dati hanno sostanzialmente evidenziato come, per certi versi, il testo formulato dalla Commissione non garantisse un equo bilanciamento tra il diritto alla tutela dei dati personali degli individui e i motivi di interesse pubblico[8].

Le critiche hanno riguardato, tra l’altro:

  • l’assenza del diritto dei pazienti di opporsi all’uso secondario dei loro dati sanitari personali;
  • il mancato coordinamento tra le condizioni per il rilascio dell’autorizzazione all’accesso ai dati sanitari, da un lato, e l’art. 9, paragrafo 2, del Gdpr (che detta le condizioni e le salvaguardie per derogare al divieto di uso di dati sensibili come quelli sulla salute) e le normative nazionali adottate ai sensi dell’art. 9, paragrafo 4, del Gdpr (che possono prevedere ulteriori restrizioni all’uso di dati sensibili), dall’altro;
  • il carattere poco definito di alcune finalità di accesso ai dati sanitari (come la produzione di beni e servizi e l’addestramento dei sistemi AI in ambito sanitario a sostegno delle politiche sanitarie e a fini di ricerca scientifica);
  • l’idoneità degli organismi responsabili dell’accesso ai dati nei vari Stati europei a compiere le complesse valutazioni necessarie per decidere sulle domande di accesso ai dati; l’introduzione di limitazioni al principio di trasparenza delineato dal Gdpr al di fuori delle garanzie previste dall’art. 23 del Gdpr[9];
  • la dubbia compatibilità con il segreto professionale del medico; l’inadeguatezza delle garanzie per i diritti di proprietà intellettuale dei data holders;
  • l’assenza di un quadro sanzionatorio per le violazioni del regolamento.

Alcune questioni sono state risolte dalle modifiche adottate dal Parlamento europeo nella procedura legislativa[10] e si riflettono sul testo del regolamento EDHS su cui i due co-legislatori, Parlamento e Consiglio, hanno raggiunto un accordo il 14 marzo 2024 (compromise text)[11].

Verso l’equilibrio tra tutela dei dati e finalità pubbliche

Per quanto concerne il riutilizzo dei dati sanitari personali il testo finale del regolamento mira a riequilibrare il rapporto tra il diritto alla tutela dei dati personali e le finalità pubbliche generali nel settore della salute. Il Parlamento europeo ha evidenziato che, “vista la sensibilità dei dati sanitari personali”, l’Edhas deve offrire “garanzie sufficienti sia a livello dell’Unione sia a livello nazionale per assicurare un elevato livello di protezione, sicurezza, riservatezza e uso etico dei dati”, in modo da “promuovere la fiducia nella gestione sicura dei dati sanitari delle persone fisiche per l’uso primario e secondario”[12].

Come detto, la proposta della Commissione non attribuiva agli individui i cui dati sanitari fossero oggetto di una domanda di accesso il diritto di prestare il loro consenso o di opporsi all’uso secondario richiesto[13]. Alle critiche sollevate su questo punto, la Commissione aveva risposto, con il sostegno dell’Agenzia europea per i medicinali – Ema, che un diritto di opt-out ridurrebbe la quantità di dati disponibili e l’integrità delle serie di dati sanitari, il che potrebbe portare a distorsioni nella ricerca scientifica o nell’addestramento degli algoritmi[14]

Il testo finale del regolamento Ehds trova un bilanciamento tra diritti individuali e interessi generali, prevedendo che gli Stati membri debbano introdurre meccanismi che consentano l’esercizio da parte degli individui interessati del diritto di opt-out – sempre reversibile – all’uso secondario dei dati relativi alla salute[15], pur potendo prevedere, nell’ambito del diritto nazionale, eccezioni a tale diritto giustificate da talune finalità di salute pubblica (tra cui le attività che garantiscono elevati livelli di qualità e sicurezza dell’assistenza sanitaria, compresa la sicurezza dei pazienti, e dei medicinali o dei dispositivi medici) e per la ricerca scientifica svolta per importanti motivi di interesse pubblico da enti pubblici o per loro conto[16]. Viene precisato che tali eccezioni devono rispettare l’essenza dei diritti e delle libertà fondamentali ed essere una misura necessaria e proporzionata in una società democratica per soddisfare l’interesse pubblico nell’ambito di obiettivi scientifici e sociali legittimi.

Cosa prevede il testo finale dell’Ehds

Come detto, la proposta della Commissione non era del tutto chiara per quanto concerne il coordinamento tra l’accesso ai dati sanitari personali e l’art. 9 del Gdpr. Innanzitutto, mentre la proposta stabiliva una base giuridica per l’uso dei dati da parte degli enti responsabili per l’accesso ai dati sanitari e dei titolari dei dati, imponendo loro obblighi di condivisione dei dati sanitari personali per motivi di interesse pubblico, essa non sembrava prevedere una deroga specifica ai sensi dell’articolo 9 del RGPD per l’uso di tali dati da parte degli utenti dei dati. Il testo finale del regolamento, anche se in un considerando, afferma che l’EHDS stessa fornisce le garanzie richieste dall’articolo 9[17].

Inoltre, gli Stati membri potranno introdurre misure più rigorose e garanzie aggiuntive a livello nazionale volte a salvaguardare la sensibilità e il valore dei dati genetici e altri dati sanitari particolarmente sensibili[18].

Il testo finale del regolamento Ehds impone anche una maggiore trasparenza riguardo all’uso secondario dei dati sanitari personali. Gli organismi responsabili dell’accesso ai dati sanitari dovranno fornire agli interessati informazioni che integrano quelle previste dall’art. 14 del Gdpr, tra cui la base giuridica in virtù della quale l’accesso è concesso all’utente dei dati sanitari; le misure tecniche e organizzative adottate per tutelare i diritti delle persone fisiche; i diritti delle persone fisiche applicabili in relazione all’uso secondario dei dati sanitari elettronici; le modalità di esercizio dei diritti da parte delle persone fisiche ai sensi del Gdpr, l’identità e i dati di contatto dell’organismo responsabile; l’indicazione di chi ha ottenuto l’accesso a quali serie di dati sanitari elettronici e l’autorizzazione riguardante le finalità del loro trattamento; i risultati o gli esiti dei progetti per i quali i dati sanitari elettronici sono stati utilizzati, nonché la procedura per esercitare il diritto di opt-out[19].

Viene precisato che, ove ai sensi del Gdpr si applichino eccezioni al diritto dei soggetti interessati di essere informati sul trattamento dei loro dati, gli obblighi di trasparenza imposti agli organismi responsabili dell’accesso contribuiscono a garantire un trattamento equo e trasparente di cui all’articolo 14, paragrafo 2, del Gdpr[20]. Questo è importante ove si consideri, ad esempio, che uno dei maggiori ostacoli all’uso secondario di dati raccolti negli studi clinici è dato dall’impossibilità – ove tale uso non fosse prevedibile al momento in cui i dati sono stati raccolti per le finalità dello studio e non fosse quindi possibile informarne e, ove necessario, raccogliere il consenso dei partecipanti allo studio – di reperire gli individui che avevano partecipato allo studio a distanza di tempo dalla sua conclusione al fine di fornire le informazioni sull’uso secondario richieste dall’art. 14 del Gdpr.

Necessità del consenso specifico e delle misure di sicurezza

Resta da vedere se sarà risolta anche l’altra maggiore difficoltà per il riutilizzo dei dati raccolti in uno studio clinico, consistente nella necessità, in base alle normative nazionali di alcuni Stati membri, di ottenere un consenso specifico e attuale a tale riutilizzo. Infatti, il regolamento Ehds demanda agli Stati membri l’introduzione di meccanismi per l’esercizio di un diritto di opt-out da parte degli interessati.

Per quanto concerne le misure di sicurezza dei dati sanitari, il regolamento Ehds prevede che gli utenti abbiano accesso per uso secondario a dati pertinenti e limitatamente a quanto necessario rispetto allo scopo del trattamento richiesto in linea con l’autorizzazione rilasciata dall’organismo responsabile. L’accesso avviene a dati anonimizzati sulla piattaforma sicura dell’organismo responsabile. Solo se l’utente ha dimostrato che lo scopo del trattamento non può essere raggiunto con dati anonimizzati, l’organismo dà accesso ai dati pseudonimizzati.

Se non che questo presuppone che vi sia uno standard europeo condiviso su quando i dati possono essere considerati anonimi. Il Comitato europeo per la protezione dei dati dovrebbe adottare linee guida sull’anonimizzazione aggiornate rispetto al Parere sulle tecniche di anonimizzazione adottato nel 2014 dal suo predecessore, il Gruppo di lavoro “Articolo 29”[21]. Finora le Autorità di controllo degli Stati membri hanno assunto posizioni alquanto restrittive sul tema. Sennonché l’anonimizzazione, soprattutto se particolarmente rigorosa, può ridurre l’utilità dei dati per la ricerca scientifica. Se il livello di anonimizzazione applicato è troppo elevato, gli utenti dei dati potrebbero iniziare a chiedere di default dati pseudonimi semplicemente perché i dati anonimi non sono adatti allo scopo.

Inoltre, non è ancora del tutto chiaro chi dovrà anonimizzare i dati, cioè se debba farlo il titolare dei dati prima di condividerli con l’organismo responsabile dell’accesso ai dati sanitari, ovvero questo stesso organismo. I consideranda del regolamento suggeriscono che queste misure di sicurezza debbano essere applicate dal titolare dei dati o dall’organismo responsabile, il che renderebbe ancor piú gravosi gli oneri a carico di questi soggetti.

Al fine di ridurre gli oneri amministrativi degli organismi responsabili dell’accesso ai dati, gli Stati membri potranno istituire titolari di dati sanitari affidabili in grado di trattare in modo sicuro le richieste di accesso ai dati sanitari[22]. Gli organismi responsabili possono designare ‘affidabili’ i titolari di dati che siano in grado di fornire l’accesso ai dati sanitari attraverso un ambiente di trattamento sicuro conforme a quello messo a disposizione dagli organismi responsabili, che possiedano le competenze necessarie per valutare le domande di accesso ai dati e le richieste di dati e che forniscano le garanzie necessarie per assicurare il rispetto del regolamento.

Il quadro sanzionatorio

Il testo finale del regolamento include un quadro sanzionatorio strutturato in modo analogo a quello del Gdpr. Gli enti responsabili per l’accesso ai dati sanitari potranno imporre sanzioni amministrative aventi soglie equivalenti a quelle previste dal RGPD a chi commette le violazioni elencate nel regolamento applicando predeterminati criteri per valutarne la gravità[23].

Tali enti saranno affiancati dalle Autorità di controllo degli Stati membri, cui spetta garantire e controllare il rispetto del diritto di opposizione al trattamento dei dati sanitari elettronici personali per uso secondario.

Infine, rispetto alla proposta della Commissione, il testo adottato da Parlamento e Consiglio prevede una disciplina più dettagliata a tutela dei diritti di proprietà intellettuale, dei segreti commerciali e dei dati coperti dal diritto alla tutela regolamentare dei dati dei titolari di dati sanitari. Gli organismi responsabili dell’accesso dovranno adottare misure, legali, tecniche e organizzative per proteggere dati sanitari che includano informazioni commercialmente sensibili o proprietarie dei titolari dei dati e potranno subordinare l’accesso a tali dati alla conclusione di accordi contrattuali tra titolari di dati sanitari e utenti di dati sanitari[24]. Questi accordi potrebbero garantire ai titolari dei dati un controllo sui tempi e sulle condizioni per la condivisione delle loro informazioni commercialmente sensibili o proprietarie.

Altre questioni restano aperte.

Conclusione

Encomiabile l’impegno della Commissione e dei co-legislatori europei per facilitare la condivisione e il riutilizzo da parte di tutti i soggetti che offrano adeguate garanzie del vasto patrimonio di dati sanitari elettronici raccolti nell’UE per rilevanti interessi di salute pubblica, all’interno di un quadro normativo e istituzionale che assicura controlli e meccanismi di enforcement.

Questo riutilizzo è già in atto, ma solo da parte di alcuni – i giganti del web – e per interessi commerciali privati. L’Ehds pone le basi per un uso piú equo e controllato di questi dati.

Note

[1] Maggiori dettagli alla pagina dedicata sul sito della Commissione europea .

[2] La proposta sullo spazio europeo dei dati sanitari è connessa ad altre normative vigenti o che sono in fase di discussione da parte delle Istituzioni europee, tra cui (oltre a quelli menzionati nel testo di questo articolo): il Regolamento (UE) 2022/868 del Parlamento europeo e del Consiglio, del 30 maggio 2022 (‘Data Governance Act’); il Regolamento (UE) 2023/2854 del Parlamento europeo e del Consiglio del 13 dicembre 2023 riguardante norme armonizzate sull’accesso equo ai dati e sul loro utilizzo e che modifica il Regolamento (UE) 2017/2394 e la Direttiva (UE) 2020/1828 (‘Data Act’); il Regolamento (UE) 2024/1183 del Parlamento europeo e del Consiglio, dell’11 aprile 2024, che modifica il regolamento (UE) n. 910/2014 per quanto riguarda l’istituzione del quadro europeo relativo a un’identità digitale.

[3] Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati), in vigore dal 24 maggio 2016; proposta di Regolamento del Parlamento europeo e del Consiglio sullo spazio europeo dei dati sanitari COM(2022) 197, proposta presentata dalla Commissione europea il 3 maggio 2022 e su cui Parlamento e Consiglio hanno raggiunto un accordo ; Regolamento (UE) 2024/1689 del Parlamento Europeo e del Consiglio del 13 giugno 2024 che stabilisce regole armonizzate sull’intelligenza artificiale.

[4] La ricerca scientifica va intesa in senso lato nell’ambito del GDPR, cosí da includere, tra l’altro, lo sviluppo tecnologico e la dimostrazione, la ricerca fondamentale, la ricerca applicata e la ricerca finanziata da privati, oltre agli studi svolti nell’interesse pubblico nel settore della sanità pubblica (considerando 159 del GDPR).

[5] Ai sensi dell’art. 9, paragrafo 4 del GDPR “gli Stati membri possono mantenere o introdurre ulteriori condizioni, comprese limitazioni, con riguardo al trattamento di dati genetici, dati biometrici o dati relativi alla salute”.

[6] Si vedano le disposizioni del Capo IV “Uso secondario dei dati sanitari elettronici” del regolamento EDHS.

[7] In base alla proposta di regolamento EHDS della Commissione, se la base giuridica per il trattamento da parte dell’utente è l’articolo 6, paragrafo 1, lettera f), del GDPR, le autorizzazioni ai dati rilasciate dagli organismi responsabili dell’accesso ai dati sanitari rappresentano una decisione amministrativa che definisce le condizioni per l’accesso ai dati.

[8] EDPB-EDPS Joint Opinion 03/2022 on the Proposal for a Regulation on the European Health Data Space adottata il 12 luglio 2022 dal Comitato europeo per la protezione dei dati (EDPB) e dal Garante europeo della protezione dei dati (EDPS).

[9] L’art. 23 GDPR prevede che una limitazione dei diritti o degli obblighi previsti dal GDPR debba rispettare l’essenza dei diritti e delle libertà fondamentali ed essere una misura necessaria e proporzionata in una società democratica per salvaguardare uno degli interessi generali ivi elencati.

[10] Si veda la posizione del Parlamento europeo definita in prima lettura il 24 aprile 2024 in vista dell’adozione del regolamento (UE) 2024/… del Parlamento europeo e del Consiglio sullo spazio europeo dei dati sanitari.

[11] Si veda il ‘compromise text’ sulla proposta di regolamento EDHS pubblicato dal Consiglio dell’UE il 18 marzo 2024.

[12] Risoluzione legislativa del Parlamento europeo del 24 aprile 2024 sulla proposta di regolamento EDHS.

[13] La proposta di regolamento prevedeva che, qualora il diritto nazionale prescrivesse il consenso della persona fisica, gli organismi responsabili dell’accesso ai dati sanitari si sarebbero dovuti basare sugli obblighi previsti dal regolamento per fornire l’accesso ai dati sanitari elettronici.

[14] Nella Relazione della Commissione relativa alla proposta di regolamento si legge: “[c]on l’uso secondario dei dati sanitari elettronici, ricercatori, innovatori, responsabili delle politiche e regolatori potrebbero avere accesso a dati di qualità per il loro lavoro in modo sicuro, con una governance affidabile e a costi inferiori rispetto all’opzione basata sul consenso”.

[15] Gli Stati membri possono altresí consentire ai pazienti di opporsi all’uso dei loro dati sanitari ai quali viene effettuato l’accesso da parte dell’operatore sanitario curante (uso primario).

[16] Secondo l’art. 35f del regolamento, le persone fisiche hanno il diritto di opporsi in qualsiasi momento e senza indicarne i motivi al trattamento dei dati sanitari elettronici personali che le riguardano per uso secondario, il cui esercizio è reversibile. Gli Stati membri devono prevedere un meccanismo di opt-out accessibile e facilmente comprensibile. L’accesso ai dati sanitari è comunque consentito per le finalità di cui all’art. 34, paragrafo 1, lettere da a) a c) del regolamento (fini di sanità pubblica, elaborazione di politiche, statistiche e ricerca nell’interesse pubblico).

[17] Nel considerando 37 si legge che se l’utente dei dati sanitari si basa su una base giuridica offerta dall’articolo 6, paragrafo 1, lettera e), o dall’articolo 6, paragrafo 1, lettera f), del RGPD, è il regolamento EHDS che deve fornire le garanzie richieste dall’articolo 9, paragrafo 2, del RGPD.

[18] Si veda l’articolo 33(5) del testo finale.

[19] Si veda l’articolo 35e del testo finale.

[20] Considerando 44 del testo finale.

[21] Il Comitato europeo per la protezione dei dati includeva le Linee guide su anonimizzazione e pseudonomizzazione già nel suo programma di lavoro 2021/2022.

[22] Si veda l’art. 49 del regolamento EDHS.

[23] Si veda l’art. 43a del regolamento EDHS.

[24] Si veda l’articolo 33a del regolamento EDHS.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

M
Marta Moretti
Senior Associate presso Avvocati Associati Franzosi Dal Negro Setti

Argomenti

Canali

Speciale PNRR

Tutti
Incentivi
Salute digitale
Formazione
Analisi
Sostenibilità
PA
Sostemibilità
Sicurezza
Digital Economy
CODICE STARTUP
Imprenditoria femminile: come attingere ai fondi per le donne che fanno impresa
DECRETI
PNRR e Fascicolo Sanitario Elettronico: investimenti per oltre 600 milioni
IL DOCUMENTO
Competenze digitali, ecco il nuovo piano operativo nazionale
STRUMENTI
Da Istat e RGS gli indicatori per misurare la sostenibilità nel PNRR
STRATEGIE
PNRR – Piano nazionale di Ripresa e Resilienza: cos’è e novità
FONDI
Pnrr, ok della Ue alla seconda rata da 21 miliardi: focus su 5G e banda ultralarga
GREEN ENERGY
Energia pulita: Banca Sella finanzia i progetti green incentivati dal PNRR
TECNOLOGIA SOLIDALE
Due buone notizie digitali: 500 milioni per gli ITS e l’inizio dell’intranet veloce in scuole e ospedali
INNOVAZIONE
Competenze digitali e InPA cruciali per raggiungere gli obiettivi del Pnrr
STRATEGIE
PA digitale 2026, come gestire i fondi PNRR in 5 fasi: ecco la proposta
ANALISI
Value-based healthcare: le esperienze in Italia e il ruolo del PNRR
Strategie
Accordi per l’innovazione, per le imprese altri 250 milioni
Strategie
PNRR, opportunità e sfide per le smart city
Strategie
Brevetti, il Mise mette sul piatto 8,5 milioni
Strategie
PNRR e opere pubbliche, la grande sfida per i Comuni e perché bisogna pensare digitale
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
CODICE STARTUP
Imprenditoria femminile: come attingere ai fondi per le donne che fanno impresa
DECRETI
PNRR e Fascicolo Sanitario Elettronico: investimenti per oltre 600 milioni
IL DOCUMENTO
Competenze digitali, ecco il nuovo piano operativo nazionale
STRUMENTI
Da Istat e RGS gli indicatori per misurare la sostenibilità nel PNRR
STRATEGIE
PNRR – Piano nazionale di Ripresa e Resilienza: cos’è e novità
FONDI
Pnrr, ok della Ue alla seconda rata da 21 miliardi: focus su 5G e banda ultralarga
GREEN ENERGY
Energia pulita: Banca Sella finanzia i progetti green incentivati dal PNRR
TECNOLOGIA SOLIDALE
Due buone notizie digitali: 500 milioni per gli ITS e l’inizio dell’intranet veloce in scuole e ospedali
INNOVAZIONE
Competenze digitali e InPA cruciali per raggiungere gli obiettivi del Pnrr
STRATEGIE
PA digitale 2026, come gestire i fondi PNRR in 5 fasi: ecco la proposta
ANALISI
Value-based healthcare: le esperienze in Italia e il ruolo del PNRR
Strategie
Accordi per l’innovazione, per le imprese altri 250 milioni
Strategie
PNRR, opportunità e sfide per le smart city
Strategie
Brevetti, il Mise mette sul piatto 8,5 milioni
Strategie
PNRR e opere pubbliche, la grande sfida per i Comuni e perché bisogna pensare digitale
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr

Articoli correlati

  • salute mentale a rischio

    Un'etichetta sui social come per le sigarette salverà i ragazzi? Pro e contro

    28 Giu 2024

    di Antonino Mallamaci

    Condividi

  • Smart Agriculture

    IoT in agricoltura: vantaggi e casi d'uso reali

    20 Ago 2024

    di Laura Belli, Luca Davoli, Gianluigi Ferrari e Giulia Oddi

    Condividi

  • algoritmi e Discriminazioni

    GiuriMatrix: un'IA imparziale per il settore legale

    07 Dic 2023

    di Pierluigi Casale, Francesco Cozza, Michele Filippelli e Luigi Viola

    Condividi

Prossimo

Un'etichetta sui social come per le sigarette salverà i ragazzi? Pro e contro

Articolo 1 di 4