Lo “Spazio Europeo dei Dati Sanitari” (“EHDS”) proposto dalla Commissione europea, allo stato attuale, presenta dei profili altamente critici, legati non solo alla tipologia di dati trattati, ma anche alle finalità del trattamento in esame.
Criticità che emergono anche dal parere congiunto del Comitato europeo per la protezione dei dati (“EDPB”) e del Garante europeo per la protezione dei dati (“EDPS”) in cui si evidenziano alcuni passaggi della proposta che, a detta dei Garanti, andrebbero ad indebolire il quadro di protezione delineato dal Regolamento UE 2016/679 (“Regolamento” o “GDPR”) in materia di diritti degli interessati.
Quali sono, dunque, i punti principali e i problemi della proposta?
In che contesto si colloca la proposta della Commissione
L’iniziativa dell’istituzione europea si inserisce nel percorso di trasformazione digitale intrapreso dall’Unione e che, entro il 2030, si pone l’ambizioso obiettivo di sostenere i cittadini per il raggiungimento di molteplici finalità: prima fra tutte, l’assunzione di maggiore controllo nella circolazione dei dati sanitari; secondariamente, l’implementazione di una sorta di mercato unico delle cartelle cliniche elettroniche con l’applicazione dei sistemi di intelligenza artificiale. Infine, lo sfruttamento tout court del potenziale offerto dallo scambio, dall’uso e dal riutilizzo sicuro dei dati medesimi, al fine di rafforzare gli strumenti della ricerca scientifica e dell’innovazione in campo medico.
La “linea guida” disegnata dalla Commissione, quindi, si colloca nel più ampio contesto del raggiungimento dei traguardi digitali, con l’accelerazione di progetti multinazionali, su vasta scala che coinvolgeranno ogni singolo Stato membro per sostenere un mercato unico digitale interconnesso, interoperabile e sicuro. Secondo tale prospettiva, il formato di scambio che la Commissione dovrebbe essere chiamata ad individuare dovrebbe consentire finalmente l’effettiva interoperabilità e portabilità dei dati in formato digitale su tutto il territorio europeo, attraverso l’infrastruttura “MyHealth@EU”, attualmente operativa in soli dieci Stati membri e con la facoltà di utilizzare esclusivamente il servizio di prescrizione elettronica e quello del profilo sanitario sintetico del paziente, nel contesto dell’assistenza sanitaria transfrontaliera.
Quali sono i principali profili analizzati dalla proposta
Come poco sopra anticipato, l’obiettivo delineato dalla Commissione è quello di creare un quadro armonizzato che disciplini gli aspetti afferenti alle tematiche rilevanti alla base della creazione di uno spazio europeo dei dati sanitari.
In particolare, il progetto normativo si snoda attraverso otto capi, ognuno dei quali analizza diversi aspetti fondamentali per la regolamentazione dello Spazio Europeo dei Dati Sanitari.
Il capo I presenta l’oggetto e l’ambito di applicazione del regolamento, stabilisce le definizioni utilizzate nello stesso e delinea il rapporto con le altre fonti europee.
Al capo II, vengono illustrati gli ulteriori diritti e meccanismi concepiti per integrare i diritti delle persone fisiche previsti ai sensi del GDPR in relazione ai dati sanitari elettronici, descrivendo, peraltro, gli obblighi esistenti in capo ai professionisti sanitari.
Il capo III si concentra sull’attuazione di uno schema di autocertificazione obbligatoria per i sistemi di cartelle cliniche elettroniche, nell’ambito del quale dovranno essere garantite le prescrizioni essenziali relative ad interoperabilità e sicurezza.
Il capo IV disciplina il cosiddetto uso secondario dei dati sanitari elettronici – vale a dire l’utilizzo dei dati sanitari per le finalità di progetti di ricerca ed innovazioni scientifiche – anche attraverso l’indicazione di categorie di dati che possono essere utilizzati per finalità specifiche.
Il capo V mira a suggerire altre misure che promuovano lo sviluppo delle capacità da parte degli Stati membri per sostenere la messa a punto dello spazio europeo dei dati sanitari.
Il capo VI istituisce il “comitato dello spazio europeo dei dati sanitari” che faciliterà la cooperazione tra le autorità di sanità digitale e gli organismi responsabili dell’accesso ai dati sanitari, in particolare la relazione tra uso primario (inteso come uso dei dati per l’implementazione dei fascicoli sanitari e delle cartelle elettroniche) e secondario dei dati sanitari elettronici.
Il capo VII consente alla Commissione di adottare atti delegati riguardanti lo spazio europeo dei dati sanitari.
Il capo VIII contiene disposizioni sulla cooperazione, le sanzioni e le disposizioni finali.
Le motivazioni a fondamento del parere congiunto
Ad una prima lettura, sembra che la cornice immaginata dalla Commissione non manchi di nulla. Eppure, l’EDPB e l’EDPS (d’ora in poi indicate congiuntamente anche con il termine “Autorità”), pur riconoscendo l’importanza e la portata innovativa della proposta, sottolineano la necessità che la stessa sia coerente con la vigente normativa in materia privacy, senza che possano ravvisarsi elementi di contrasto o di eventuale indebolimento delle regole faticosamente individuate a protezione dei dati personali.
La funzione del parere congiunto risiede non tanto nell’elencare le questioni giuridiche che presentano profili problematici, quanto nell’affrontare le criticità in materia privacy e data protection relative alla proposta.
Le Autorità precisano, peraltro, che il successo dell’EHDS dipenderà, in prima battuta, dall’individuazione di adeguata base giuridica per il trattamento dei dati, conformemente a quanto prescritto dal GDPR, che, si ricordi, stabilisce cautele ulteriori per il caso in cui il trattamento concerna dati sanitari.
Il parere, dunque, ha la precipua funzione di dare precise istruzioni e raccomandazioni su come rendere la proposta conforme alla normativa, ai provvedimenti emessi a livello europeo tanto sul piano legislativo quanto dal punto di vista giurisprudenziale e amministrativo.
Le osservazioni delle Autorità
Scendendo nel dettaglio delle considerazioni formulate, le Autorità manifestano plauso per la proposta presentata dalla Commissione, che si pone in linea con la prospettiva di trasparenza, responsabilità effettiva e corretto equilibrio tra gli interessi dei singoli e quelli della società nel suo complesso. Inoltre le Autorità hanno rilevato come l’EHDS miri a contribuire ad attenuare l’attuale frammentazione delle norme applicabili al trattamento dei dati sanitari e alla ricerca scientifica. Il parere congiunto, infatti, subito dopo una breve introduzione concernente l’ambito oggettivo e alcune considerazioni generali sul delicato tema dei dati sanitari, riprende pedissequamente la su illustrata struttura della proposta.
Uso primario e secondario dei dati sanitari elettronici
Le lettere d) ed e) dell’articolo 2, par. 2, della proposta forniscono, rispettivamente, le definizioni di uso primario e secondario dei dati sanitari elettronici. Ai sensi del menzionato articolo, per uso primario si intende “il trattamento dei dati sanitari elettronici personali per la prestazione di servizi sanitari al fine di valutare, mantenere o ripristinare lo stato di salute della persona fisica cui si riferiscono tali dati, comprese la prescrizione, la dispensazione e la fornitura di medicinali e dispositivi medici, nonché per i pertinenti servizi di sicurezza sociale, amministrativi o di rimborso”, mentre per uso secondario “il trattamento dei dati sanitari elettronici per le finalità di cui al capo IV –disciplinante specificatamente l’uso secondario dei dati– del presente regolamento. Tra i dati utilizzati possono figurare dati sanitari elettronici personali originariamente raccolti nel contesto dell’uso primario, ma anche dati sanitari elettronici raccolti ai fini dell’uso secondario”.
Le Autorità rilevano che, per quanto riguarda l’uso primario dei dati sanitari elettronici, per come previsto dalla proposta, è necessario raggiungere un equilibrio tra l’agevolazione della disponibilità di documenti elettronici, tanto a livello nazionale quanto a livello europeo, e l’impatto sui diritti e le libertà degli individui, tenuto conto di quanto prescritto dal GDPR. Proprio con riferimento all’interazione della proposta con l’attuale normativa, le Autorità nutrono forti preoccupazioni e raccomandano al legislatore di essere più chiaro e coerente possibile rispetto alle disposizioni attualmente vigenti, al fine di evitare incertezze e disarmonie in un contesto così peculiare (cfr. punto 46 del parere); esempio lampante è l’articolo 3, paragrafo 8, della proposta, che, pur introducendo un nuovo diritto per l’interessato (la possibilità di trasmettere i propri dati sanitari elettronici a un destinatario a scelta).
Nondimeno, non vengono stabilite adeguate misure a carico del soggetto che riceva tali dati e, poiché l’articolo 9, paragrafo 1, del GDPR, in linea di principio, non consente il trattamento dei dati personali relativi alla salute e dei dati genetici, le Autorità raccomandano di allineare l’articolo 3, paragrafo 8, della proposta con gli articoli 6 e 9, paragrafo 2, del GDPR. Di più: è fondamentale chiarire l’interazione di questa disposizione con le possibili ulteriori condizioni, comprese le limitazioni, relative al trattamento dei dati sanitari o genetici che gli Stati membri possono aver mantenuto o introdotto ai sensi dell’articolo 9, paragrafo 4, del GDPR.
L’articolo 34, paragrafo 1, della proposta fornisce un elenco di finalità per le quali i dati sanitari elettronici possono essere trattati per uso secondario senza, in realtà, porre dei limiti. È, difatti, ricompresa, qualsiasi forma di “attività di sviluppo e innovazione per prodotti o servizi che contribuiscono alla salute pubblica o alla sicurezza sociale” o “formazione, sperimentazione e valutazione di algoritmi, anche in dispositivi medici, sistemi di intelligenza artificiale e applicazioni sanitarie digitali, che contribuiscono alla salute pubblica o alla sicurezza sociale” (cfr. articolo 34 della proposta e punto 85 del parere).
Le Autorità raccomandano, di conseguenza, che la proposta delinei specificatamente tali finalità e circoscriva i casi in cui vi sia un collegamento sufficiente con le finalità relative alla tutela della salute pubblica e/o della sicurezza sociale, per raggiungere un equilibrio che tenga adeguatamente conto degli obiettivi perseguiti dalla proposta e della protezione dei dati personali degli interessati dal trattamento.
Non si può prescindere dalla garanzia di protezione nel trattamento delle categorie particolari di dati personali, specificatamente per quanto indicato dalle lettere f) e g) dell’articolo 34 della proposta, ossia la conformità “ad attività di sviluppo e innovazione per prodotti o servizi che contribuiscono alla sanità pubblica o alla sicurezza sociale, oppure che garantiscono elevati livelli di qualità e sicurezza dell’assistenza sanitaria, dei medicinali o dei dispositivi medici” e “ad attività di addestramento, prova e valutazione degli algoritmi, anche nell’ambito di dispositivi medici, sistemi di IA e applicazioni di sanità digitale, che contribuiscono alla sanità pubblica o alla sicurezza sociale, oppure che garantiscono elevati livelli di qualità e sicurezza dell’assistenza sanitaria, dei medicinali o dei dispositivi medici”.
Cartella clinica elettronica: “Sistema EHR”
Il capitolo III della proposta si concentra sull’attuazione di un sistema di autocertificazione obbligatoria per i sistemi di “Electronic Health Record (EHR)”, le cartelle cliniche che devono soddisfare i requisiti essenziali relativi all’interoperabilità e alla sicurezza stabiliti nell’allegato II della proposta.
Come evidenziato nell’illustrazione dettagliata delle singole disposizioni della proposta “questo approccio è necessario per garantire che le cartelle cliniche elettroniche siano compatibili tra i vari sistemi e consentano una facile trasmissione dei dati sanitari elettronici tra di essi”. (cfr. punto 72 del parere).
Le Autorità accolgono con favore la regola secondo la quale, ai sensi degli articoli 15 e 17 della proposta, i sistemi EHR devono essere sottoposti a una procedura di valutazione preventiva di conformità prima di raggiungere il grado di operatività nel servizio di assistenza sanitaria transfrontaliera.
Ciò è confermato dalle considerazioni espresse al punto 77: le Autorità affrontano la delicata questione della gestione dei rischi posti dai sistemi EHR, degli incidenti gravi, nonché dell’attuazione di azioni correttive, le quali è raccomandato di stabilire un obbligo di informazione e di cooperazione con le autorità di protezione dei dati. In questo caso, le Autorità mettono in guardia dalla possibilità che, tra i rischi presentati da un sistema EHR, possano essere incluse le violazioni di dati personali che abbiano eventualmente origine da malfunzionamenti o deterioramento delle caratteristiche o delle prestazioni di un sistema EHR e che, conseguentemente, comportano grave nocumento alla tutela dei dati sanitari.
Conclusioni
Il viaggio verso l’Europa digitale continua, basti pensare al “pacchetto” normativo digitale dedicato ai dati, per i quali, ormai da mesi, si cerca di raggiungere il giusto compromesso tra la spinta verso la libera circolazione dei dati e la tutela dei diritti in capo ai produttori dei dispositivi, senza dimenticare il regolamento sull’intelligenza artificiale, altro obiettivo in lavorazione sul tavolo delle istituzioni.
Si tratta di un percorso ancora agli albori, per cui sarà necessario attendere qualche anno, come del resto anticipato dallo stesso art. 72 della proposta, che statuisce espressamente un’applicazione differita e “scaglionata” quantomeno per il capo III. Non resta, dunque, che attendere i successivi sviluppi e, nel frattempo, porre l’attenzione sulle misure di interoperabilità introdotte dai singoli Stati membri e sulla volontà di Parlamento e Consiglio di accogliere i suggerimenti delle Autorità.
