L’istituzione di uno spazio europeo dei dati sanitari si inserisce nel quadro più ampio della strategia delineata dalle istituzioni europee volta alla creazione di un mercato unico dei dati.
L’obiettivo dichiarato è quello di fare dell’UE un modello di riferimento nella gestione e condivisione dei dati sanitari elettronici, per sfruttarne a pieno il potenziale, sia nell’erogazione dei servizi di cura e assistenza ai cittadini (uso primario dei dati), sia nell’ambito delle attività di ricerca e sviluppo e di definizione delle politiche sanitarie, per stimolare innovazione e consentire alle imprese di competere sui mercati globali (uso secondario dei dati).
Il nuovo Spazio Europeo dei Dati Sanitari: obiettivi e sfide della proposta Ue
In questo contesto programmatico, la proposta di Regolamento, presentata dalla Commissione europea lo scorso 3 maggio, rappresenta un primo e importante tassello utile a comprendere le intenzioni e gli obiettivi, ambiziosi, delle istituzioni europee per il prossimo decennio.
Spazio europeo dei dati sanitari: come si inserirà nel quadro legislativo esistente
Le parole chiave sono accessibilità, controllo e portabilità, per abbattere le barriere che ancora esistono nella circolazione dei dati sanitari fra gli Stati membri, promuovere lo scambio dei dati su infrastrutture dedicate e introdurre obblighi di condivisione a carico dei titolari dei dati, favorendone l’utilizzo in campo sociale ed economico.
Nell’ambito dell’uso primario dei dati, le nuove regole dovrebbero affiancare e sviluppare ulteriormente i diritti già riconosciuti ai cittadini dal Regolamento (UE) 2016/679 (“GDPR”) in relazione al trattamento dei loro dati personali, con una disciplina su misura per l’ambito sanitario.
Il diritto di accedere ai dati da parte delle persone fisiche, stabilito dall’articolo 15 del GDPR, non obbliga infatti i titolari del trattamento a fornire immediatamente l’accesso, e in molti casi l’accesso è attuato attraverso la fornitura dei dati in formato cartaceo o sottoforma di documenti scannerizzati.
Inoltre, alle persone fisiche dovrebbero essere date maggiori possibilità di scambiare dati sanitari elettronici personali con professionisti sanitari di loro scelta e di fornirne loro l’accesso, andando oltre il diritto alla portabilità dei dati garantito dal GDPR, che sovente non può essere attuato nella pratica per ragioni di interoperabilità e di armonizzazione limitata delle prescrizioni e delle norme tecniche.
Peraltro, il diritto alla portabilità dei dati ai sensi del GDPR è circoscritto solo a quei dati trattati sulla base del consenso o di un contratto, ed esclude i dati trattati secondo altre basi giuridiche, ad esempio quando il trattamento è previsto per legge.
In questa direzione, gli obblighi di rendere disponibili i dati in formato elettronico, la nuova disciplina dei sistemi di cartelle cliniche elettroniche ed il formato comune europeo di scambio che la Commissione dovrebbe essere chiamata ad individuare, nonché il percorso di certificazione ad hoc di tali sistemi, dovrebbero garantire finalmente l’effettiva interoperabilità e portabilità dei dati in formato digitale su tutto il territorio europeo, attraverso l’infrastruttura MyHealth@EU.
Nell’ambito dell’uso secondario dei dati, le nuove regole dovrebbero promuovere la creazione di un vero e proprio ecosistema organico per il successivo utilizzo dei dati clinici – personali e non – ai fini di ricerca e innovazione, sviluppo di nuovi farmaci e dispositivi, definizione delle politiche sanitarie.
Sono previste regole comuni per l’accesso anche transfrontaliero alle informazioni tramite una nuova piattaforma dedicata, e punti di accesso a livello nazionale per gestire le richieste di utilizzo provenienti da persone fisiche e giuridiche.
È questa forse la novità più rilevante che emerge dal testo della proposta, attesa l’importanza di costruire una economia dei dati a livello europeo, che possa stimolare innovazione e sviluppo tecnologico anche in ambito sanitario.
Infine, la proposta prevede l’istituzione da parte degli Stati Membri di Autorità nazionali di sanità digitale, che vigilino sul corretto adempimento degli obblighi a livello nazionale ed alle quali i cittadini dovrebbero potere presentare le proprie doglianze sotto forma di reclami, e di un Comitato dello spazio europeo dei dati sanitari, che faciliti la cooperazione fra le Autorità nazionali e gli organismi responsabili dell’accesso.
Il Regolamento è destinato ad applicarsi ai titolari e ai responsabili del trattamento, che trattano dati sanitari dei cittadini dell’Unione, agli utenti dei dati, ai fabbricanti e ai fornitori di sistemi di cartelle cliniche elettroniche.
Di seguito, le principali novità del testo proposto dalla Commissione, che dovrà ora passare alla discussione in sede di Parlamento europeo e Consiglio.
Spazio europeo dei dati sanitari: i dettagli sull’uso primario dei dati
Il testo della proposta di Regolamento prevede disposizioni, norme e prassi comuni, infrastrutture e un quadro di governance per l’uso primario e secondario dei dati sanitari elettronici.
Come detto, l’uso primario dei dati sanitari individua il trattamento dei dati finalizzato alla prestazione di servizi di assistenza e di cura al cittadino, volto a migliorare l’accesso e il controllo delle persone fisiche su di tali dati, garantendo portabilità e facilità di condivisione anche fra diversi operatori sanitari. Il trattamento dei dati personali sanitari segue le regole poste dagli articoli 6 e 9 del GDPR.
Il collettore delle informazioni sulla salute nell’ambito dell’uso primario dei dati è individuato nella cartella clinica elettronica, ove, a norma dell’art. 5 della proposta, sono destinate a confluire, in primo luogo, le seguenti categorie di dati: (i) profili sanitari sintetici dei pazienti; (ii) prescrizioni e dispensazioni elettroniche; (iii) immagini mediche e referti; (iv) risultati di laboratorio; (v) lettere di dimissione.
Il testo prevede l’obbligo di rendere disponibili i dati raccolti in formato elettronico. In particolare, ai sensi dell’art. 7 gli Stati Membri garantiscono che i singoli professionisti sanitari provvedano ad alimentare le cartelle cliniche elettroniche registrino sistematicamente i dati raccolti nella prestazione di servizi sanitari alle persone fisiche.
Grande risalto è posto alle garanzie di accesso, di controllo e di portabilità di tali dati in capo al cittadino, con facoltà di concedere l’accesso ad uno o più destinatari del settore sanitario, o di ottenere il trasferimento da un titolare all’altro, senza alcuna limitazione (a differenza del GDPR, che obbliga i titolari al trasferimento su richiesta dell’interessato “solo se tecnicamente fattibile”).
L’interoperabilità è garantita da un formato comune per i sistemi di cartelle cliniche, che la Commissione è chiamata ad individuare, e che dovrebbe garantire lo scambio di dati e informazioni senza ostacoli anche fra diversi Stati Membri. In questo senso, anche il percorso di certificazione previsto per i sistemi di cartelle cliniche, all’esito del quale sarà apposta la marcatura CE, dovrebbe garantire – oltre a qualità e sicurezza – anche specifiche comuni e dunque effettiva interoperabilità.
Di particolare interesse il riferimento alla telemedicina – che non potrà che beneficiare di un sistema centralizzato di raccolta e condivisione dei dati digitali – ed al fatto gli Stati membri che consentono l’erogazione di servizi di telemedicina dovranno accettarne la prestazione anche da parte di professionisti situati in altri Stati dell’Unione Europea.
Vi è naturalmente bisogno di un’infrastruttura di riferimento per la circolazione dei dati e delle cartelle cliniche. In questo senso, gli Stati Membri sono chiamati ad istituire uno o più servizi di accesso ai dati a livello nazionale, regionale o locale dotati di meccanismi di identificazione elettronica, mentre a livello europeo la proposta di Regolamento prevede che l’ecosistema per l’utilizzo primario dei dati sia la già esistente piattaforma MyHealth@EU, che dovrà essere ulteriormente sviluppata.
Ad oggi, MyHealth@EU è operativa nel contesto dell’assistenza sanitaria transfrontaliera in soli dieci Stati membri e con possibilità di utilizzo di soli due tipologie di servizi (prescrizione elettronica e profilo sanitario sintetico del paziente).
Lo sviluppo di questa infrastruttura dovrebbe consentire a cittadini e professionisti l’accesso sistematico ai dati sanitari, permettere l’erogazione di servizi di telemedicina anche fra Stati Membri, nonché consentire lo scambio e la verifica di certificati di vario tipo quali i libretti delle vaccinazioni, compreso lo scambio di informazioni sui piani vaccinali.
Infine, come anticipato, l’attuazione e l’applicazione del Regolamento ed in particolare del Capo dedicato all’uso primario dei dati sarà affidato alle Autorità di sanità digitale che ciascun Stato Membro sarà chiamato ad istituire.
Le novità sull’uso secondario dei dati
L’uso secondario dei dati permette a soggetti pubblici e privati, ricercatori, innovatori e istituzioni, l’accesso a dati sanitari elettronici, personali e non, al fine di sviluppare appieno le potenzialità che ne derivano in termini di sviluppo di nuovi prodotti, di nuovi servizi e di politiche regolatorie sempre più mirate ed attente alle effettive esigenze della popolazione.
Tra i dati utilizzati, figurano dati sanitari elettronici personali originariamente raccolti nel contesto dell’uso primario, ma anche dati sanitari elettronici raccolti ai fini dell’uso secondario.
Secondo la proposta della Commissione l’accesso ai dati in forma anonimizzata dovrebbe rappresentare la modalità ordinaria di fruizione delle informazioni nell’ambito dell’uso secondario. Solamente qualora la finalità del trattamento – fra quelle elencate dalla stessa proposta – non possa essere conseguita mediante l’accesso a dati anonimizzati, gli organismi responsabili dell’accesso individuati dai singoli Stati Membri potranno fornire l’accesso ai dati in forma pseudonimizzata.
Di interesse la previsione secondo la quale gli organismi non sarebbero tenuti a fornire all’interessato l’informativa di cui all’art. 14 del GDPR in merito all’uso dei loro dati, sostituita da un meccanismo di pubblicità al pubblico di tutte le autorizzazioni concesse per l’uso secondario dei dati, che sembra codificare un’ipotesi di esenzione dall’obbligo di informativa ai sensi dell’art. 14, par. 5, del GDPR.
La proposta di Regolamento prevede l’obbligo in capo ai titolari del trattamento di condividere i dati sanitari con gli organismi responsabili dell’accesso, che a loro volta li metteranno a disposizione dei terzi richiedenti autorizzati ad accedere ai dati per l’uso secondario.
Secondo l’art. 33, i titolari dei dati “mettono a disposizione per l’uso secondario” le categorie di dati elettronici elencate – entro due mesi dalla richiesta ricevuta dall’organismo – fra le quali figurano i dati provenienti dalle cartelle cliniche elettroniche, i dati sanitari elettronici provenienti da dispositivi medici, biobanche, da questionari, da registri di sanità pubblica. Sono esentate dall’obbligo di condivisione le microimprese, così come definite dall’allegato alla raccomandazione 2003/361/CE della Commissione europea, al fine di evitare oneri sproporzionati a loro carico.
L’obbligo di condivisione è destinato a scontrarsi in taluni casi con la tutela dei diritti di proprietà intellettuale e industriale, ed in tale senso la proposta di Regolamento prescrive che anche tali dati “sono messi a disposizione” seppur con l’adozione delle misure necessarie per tutelarne la riservatezza.
Il Regolamento dovrebbe dunque fornire la base giuridica ai sensi dell’art. 6, par. 1, lett. c) del GDPR (“trattamento necessario per adempiere ad un obbligo legale al quale è soggetto il titolare del trattamento”) per la raccolta e il trattamento dei dati personali ai fini dell’uso secondario. Inoltre, il testo soddisfa le prescrizioni dell’articolo 9, par. 2, lettere h), i) e j), del GDPR in punto di condizioni alle quali possono essere trattati i dati sanitari personali (trattamento necessario per motivi di interesse pubblico rilevante, anche nel settore della sanità, per motivi di ricerca scientifica, sulla base del diritto dell’Unione).
Anche per l’uso secondario i dati condivisi dai titolari confluirebbero su di una piattaforma dedicata a livello europeo, di nuova creazione, chiamata HealthData@EU, le cui specifiche tecniche minime dovranno essere individuate dalla Commissione.
L’obiettivo
L’obbiettivo della proposta è quello di creare un vero e proprio ecosistema digitale costantemente aggiornato e gestito da “organismi” individuati dagli Stati Membri, che forniscono a qualsiasi richiedente sul territorio europeo – alla presenza dei requisiti prescritti – l’accesso ai dati ai fini dell’uso secondario.
In particolare, l’accesso sarebbe consentito ai richiedenti a fronte di specifica richiesta e sulla base di una delle finalità elencate all’art. 33, fra le quali la sanità e la ricerca, l’erogazione di assistenza sanitaria personalizzata, il sostegno alle attività di enti pubblici (ad es., attività normativa e regolatoria), attività di sviluppo e innovazione in ambito sanitario, attività di addestramento di algoritmi e sistemi di IA.
Se il richiedente intende accedere ai dati sanitari elettronici personali in forma pseudonimizzata, congiuntamente alla domanda di accesso sarà tenuto a fornire “una descrizione delle modalità con cui il trattamento si conformerebbe all’art. 6 del GDPR”.
Riguardo la base giuridica del trattamento, l’art. 33, co. 5, della proposta dispone che “qualora il diritto nazionale prescriva il consenso della persona fisica, gli organismi responsabili dell’accesso ai dati sanitari si basano sugli obblighi di cui al presente capo per fornire l’accesso ai dati sanitari elettronici”, quasi a volere superare il consenso quale regola ordinaria per il trattamento dei dati sanitari (ed in particolare per il trattamento “ulteriore”) mediante l’utilizzo di altra base giuridica ai sensi del GDPR. Ed infatti, alcuni Stati Membri hanno adottato disposizioni più restrittive di quelle previste dal GDPR: nel caso dell’Italia, il risultato è stato quello di reintrodurre il consenso quale base giuridica per trattare i dati per finalità di ricerca (in questo senso gli articoli 110 e 110-bis del d.lgs. 196/2003).
L’autorizzazione all’accesso per l’uso secondario è eventualmente concessa per il periodo di tempo necessario a conseguire la finalità richiesta, che non può essere superiore a cinque anni. In seguito al rilascio dell’autorizzazione ai dati, l’organismo responsabile dell’accesso chiede immediatamente i dati sanitari elettronici al titolare dei dati ed in seguito li mette a disposizione del richiedente. Sono previste modalità di accesso semplificate per enti pubblici e istituzioni.
Infine, considerati gli oneri a carico di titolari dei dati e organismi designati dagli Stati Membri, la proposta prevede espressamente la possibilità di imporre tariffe per la messa a disposizione dei dati elettronici per l’uso secondario e, per i soli titolari, anche per coprire una parte dei costi di raccolta, purché le tariffe siano trasparenti, proporzionate, oggettivamente giustificate e non limitative della concorrenza.
Il parere di EDPB e EDPS sulla bozza di regolamento
La bozza è stata oggetto di una opinione congiunta dell’EDPB e dell’EDPS, che si sono soffermati sugli aspetti connessi alla normativa sui dati personali.
In generale, se da un lato i garanti europei (“Garanti”) esprimono apprezzamento per l’adozione della proposta e per le finalità che la medesima si prefigge, sono state evidenziate alcune perplessità e criticità che andranno affrontate per evitare che tali finalità non solo non siano raggiunte, ma che addirittura si crei un vulnus nel sistema di protezione dei dati personali introdotto e garantito dal GDPR, nonché un ostacolo alla creazione del mercato digitale europeo
Una delle problematiche maggiori evidenziate dai Garanti è quella del coordinamento tra la bozza di regolamento e il quadro normativo introdotto dal GDPR. La bozza in più punti fa salva l’applicazione del GDPR, ma manca un reale e puntuale coordinamento tra le previsioni in essa contenute e quelle del GDPR. Alcuni esempi, fra i tanti riscontrati dai Garanti riguardano il mancato coordinamento nelle definizioni fornite dalla bozza e quelle contenute nel GDPR: ad esempio, la bozza introduce una nuova definizione di destinatario dei dati[1] che non corrisponde con la definizione fornita dal GDPR[2]. Inoltre, l’articolo 2.2 lettera d) della bozza di regolamento definisce l’uso secondario dei dati specificando che “tra i dati utilizzati possono figurare dati sanitari elettronici personali originariamente raccolti nel contesto dell’uso primario, ma anche dati sanitari elettronici raccolti ai fini dell’uso secondario”. Nonostante il GDPR non contenga una definizione di uso secondario, esso si riferisce al “trattamento ulteriore”[3]: i Garanti suggeriscono di chiarire il collegamento tra le due definizioni, soprattutto tenendo conto del fatto che il GDPR introduce un regime specifico in relazione al trattamento ulteriore.
Su questo specifico punto, peraltro, la bozza non sembra considerare il fatto che potrebbero esistere (ed esistono) differenze sostanziali tra leggi locali, dal momento che proprio sul trattamento ulteriore per finalità di ricerca (anche su dati sanitari) il GDPR ha lasciato una certa autonomia agli Stati Membri
Ad avviso di chi scrive, non è nemmeno chiara la distinzione tra il titolare dei dati ai sensi della bozza di regolamento e il titolare del trattamento (come definito dal GDPR) al quale la bozza pure si riferisce in svariate occasioni. Infatti, la definizione di titolare dei dati ai sensi della bozza prescinde dall’aspetto funzionale che è alla base della definizione fornita dal GDPR e della distinzione tra le figure di titolare e responsabile, fondamentali nella normativa di protezione dei dati personali.
Un altro aspetto tra i vari riscontrati dai Garanti europei è la mancanza di chiarezza sul modello di governance europeo proposto dalla bozza. Viene istituita una nuova autorità, il Comitato sullo spazio europeo dei dati sanitari (Comitato EDHS), con il compito di facilitare la cooperazione lo scambio di informazioni tra gli Stati membri e che sarà composto dalle autorità sanitarie degli Stati membri e dagli organismi responsabili dell’accesso ai dati sanitari e presieduto dalla Commissione Europea. I Garanti propongono di prevedere che propri rappresentanti siano membri permanenti del Comitato. Inoltre, poiché il compito del Comitato è anche quello di fornire pareri e scambiare pratiche e informazioni sia sull’uso primario che sull’uso secondario dei dati, bisognerebbe prevedere che il Comitato non intervenga su questioni relative alla materia della protezione dei dati personali, per evitare di creare interpretazioni divergenti o confliggenti sulla materia.
Infine, un altro aspetto degno di nota è la questione relativa alla localizzazione dei dati nell’ambito dello spazio europeo dei dati sanitari. Per la prima volta in un documento ufficiale, i Garanti europei si spingono a proporre l’introduzione di un obbligo di localizzazione all’interno dell’Unione Europea dei dati sanitari che faranno parte dello spazio europeo, per consentire alle autorità di controllo nazionali la effettiva vigilanza sul rispetto della normativa introdotta dalla bozza e di quella in materia di protezione dei dati personali.
In generale, l’intervento dei Garanti mira a creare una normativa il più possibile coordinata sia in fase di redazione, che di applicazione ed interpretazione della medesima.
Conclusioni
Il testo della proposta avanzata dalla Commissione rappresenta un indicatore importante delle intenzioni del legislatore sulle politiche di circolazione dei dati sulla salute all’interno dell’Unione Europea. Molte le novità, a partire dalla creazione di uno spazio comune per l’utilizzo secondario dei dati governato da meccanismi inediti, sino all’istituzione di autorità nazionali “ad hoc” che vigilino sull’effettiva implementazione delle nuove regole.
Il percorso per l’eventuale approvazione della proposta di Regolamento è ancora agli inizi, e bisognerà in ogni caso attendere qualche anno per la sua piena ed effettiva applicazione. Si parla del 2026, anche considerata la disciplina in tema di “applicazione differita” posta dall’articolo conclusivo della proposta.
Il termine del 2026 potrebbe grossomodo coincidere con quello di piena attuazione, all’interno dei singoli Stati Membri, dei piani di ripresa e resilienza messi in atto per fronteggiare l’impatto economico e sociale dovuto alla pandemia di Covid-19.
Considerato che la digitalizzazione del comparto sanitario rappresenta una delle priorità all’interno dei piani di ripresa, l’applicazione del Regolamento potrebbe beneficiare delle misure nel frattempo introdotte dagli Stati Membri in attuazione dei rispettivi piani, che dunque potrebbero contribuire in maniera determinante all’effettiva istituzione di uno spazio comune europeo dei dati sanitari elettronici.
Note
[1] L’articolo 2.2, lettera k), della bozza di regolamento definisce il destinatario come “una persona fisica o giuridica che riceve dati da un altro titolare del trattamento nel contesto dell’uso primario dei dati sanitari elettronici”.
[2] L’articolo 4.9 GDPR definisce il destinatario come “la persona fisica o giuridica, l’autorità pubblica, il servizio o un altro organismo che riceve comunicazione di dati personali, che si tratti o meno di terzi. Tuttavia, le autorità pubbliche che possono ricevere comunicazione di dati personali nell’ambito di una specifica indagine conformemente al diritto dell’Unione o degli Stati membri non sono considerate destinatari; il trattamento di tali dati da parte di dette autorità pubbliche è conforme alle norme applicabili in materia di protezione dei dati secondo le finalità del trattamento”.
[3] Articolo 5.1, lettera b), GDPR.