Per implementare le potenzialità dei dati sanitari, la Commissione europea ha presentato una proposta di regolamento per istituire lo Spazio europeo dei dati sanitari.
La proposta di regolamento è accompagnata da un parere congiunto del Comitato europeo per la protezione dei dati (cd. “EDPB”) e del Garante europeo della protezione dei dati (cd. “EDPS”) adottato il 12 luglio 2022.
Nel parere in esame, le due autorità hanno espresso diverse “preoccupazioni generali”, tra cui quella che tale spazio europeo dei dati sanitari fornisca diritti “aggiuntivi” per gli interessati, già previsti dal GDPR. Protezioni aggiuntive potrebbero effettivamente indebolire i diritti previsti dal GDPR in materia di dati personali e di usi secondari dei dati sanitari.
Il nuovo Spazio Europeo dei Dati Sanitari: obiettivi e sfide della proposta Ue
Ma andiamo per gradi.
La proposta di regolamento per lo Spazio europeo dei dati sanitari
La proposta di regolamento europeo per uno spazio europeo dei dati sanitari aiuta le persone ad assumere il controllo dei propri dati sanitari, sostiene l’uso dei dati sanitari per migliorare l’erogazione dell’assistenza sanitaria, la ricerca, l’innovazione e l’elaborazione delle politiche e consente all’UE di sfruttare appieno le potenzialità offerte da uno scambio, utilizzo e riutilizzo sicuri dei dati sanitari.
Lo Spazio europeo dei dati sanitari è un ecosistema specifico per l’ambito sanitario che comprende strutture, regole, norme e pratiche comuni e una struttura di governo che punta a:
- accesso digitale ai dati sanitari personali elettronici e un maggiore controllo di tali dati, a livello nazionale ed europeo, e sostenendo la loro libera circolazione,
- favorire un autentico mercato unico per i sistemi di cartelle cliniche elettroniche, i dispositivi medici pertinenti e i sistemi di intelligenza artificiale ad alto rischio (uso primario dei dati),
- fornire un sistema coerente, affidabile ed efficiente per l’utilizzo dei dati sanitari per la ricerca, l’innovazione, l’elaborazione delle politiche e le attività normative (uso secondario dei dati).
Lo Spazio europeo dei dati sanitari si rifà al General Data Protection Regoulation (cd. “GDPR”) e alla normativa di settore in materia di trattamento di dati sanitari.
Il parere del Edpb e Edps
Ad oggi, la protezione dei dati personali è una colonna portante nell’era digitale, in particolare nel contesto del trattamento della salute. A questo proposito, EDPB e EDPS sottolineano che il successo dello Spazio europeo dei dati sanitari dipenderà da una solida base giuridica per il trattamento dei dati in linea con l’UE, pienamente conformi al GDPR, con garanzie sufficienti di una gestione lecita, responsabile ed etica, ancorata ai valori dell’UE.
Nel parere, le due autorità forniscono raccomandazioni su come rendere la proposta non solo conforme al quadro normativo dell’UE in materia di protezione dei dati, ma anche in linea con l’attuale interpretazione della giurisprudenza applicabile della Corte di giustizia dell’Unione europea.
Illustrazione dettagliata delle singole disposizioni della proposta
Il capo I presenta l’oggetto e l’ambito di applicazione del regolamento, stabilisce le definizioni utilizzate in tutto l’atto e spiega il suo rapporto con altri atti dell’UE.
Il capo II illustra gli ulteriori diritti e meccanismi concepiti per integrare i diritti delle persone fisiche previsti ai sensi dell’GDPR in relazione ai loro dati sanitari elettronici. Inoltre, descrive gli obblighi di vari professionisti sanitari in relazione ai dati sanitari elettronici. L’integrazione di alcuni tipi di dati sanitari elettronici nello spazio europeo dei dati sanitari, tramite un processo graduale con un periodo di transizione, è considerata prioritaria. Gli Stati membri dovranno istituire un’autorità di sanità digitale che sia responsabile del monitoraggio di questi diritti e meccanismi e che garantisca la corretta applicazione di tali ulteriori diritti delle persone fisiche. Questo capo include disposizioni collegate all’interoperabilità di alcune serie di dati relativi alla salute. Gli Stati membri dovranno inoltre designare un punto di contatto nazionale incaricato di far rispettare gli obblighi e le prescrizioni di questo capo. Infine, è concepita un’infrastruttura comune, denominata MyHealth@EU, con lo scopo di facilitare lo scambio transfrontaliero dei dati sanitari elettronici.
Il capo III si concentra sull’attuazione di uno schema di autocertificazione obbligatoria per i sistemi di cartelle cliniche elettroniche, nell’ambito del quale tali sistemi devono essere conformi alle prescrizioni essenziali relative all’interoperabilità e alla sicurezza.
Il capo IV facilita l’uso secondario dei dati sanitari elettronici, ad es. per la ricerca, l’innovazione, la definizione delle politiche, la sicurezza dei pazienti o attività normative. Definisce una serie di tipi di dati che possono essere utilizzati per finalità specifiche nonché finalità vietate (ad es. l’uso dei dati contro persone, la pubblicità commerciale, l’aumento delle assicurazioni, lo sviluppo di prodotti pericolosi). Gli Stati membri dovranno istituire un organismo responsabile dell’accesso ai dati sanitari per l’uso secondario dei dati sanitari elettronici e per garantire che i titolari dei dati mettano i dati elettronici a disposizione degli utenti dei dati. Questo capo contiene inoltre disposizioni sull’attuazione dell’altruismo dei dati nel settore sanitario. Sono definiti anche i doveri e gli obblighi dell’organismo responsabile dell’accesso ai dati sanitari, dei titolari dei dati e degli utenti dei dati. In particolare, i titolari dei dati dovrebbero cooperare con l’organismo responsabile dell’accesso ai dati sanitari per garantire la disponibilità dei dati sanitari elettronici per gli utenti dei dati. Sono inoltre definite le responsabilità degli organismi responsabili dell’accesso ai dati sanitari e degli utenti dei dati in qualità di contitolari del trattamento dei dati sanitari elettronici. L’uso secondario dei dati sanitari elettronici può comportare dei costi.
Gdpr e dati sanitari: tutti i nodi della titolarità dei trattamenti
Questo capo include disposizioni generali sulla trasparenza del calcolo delle tariffe. A livello pratico, sono definite in particolare prescrizioni in merito alla sicurezza dell’ambiente di trattamento sicuro, necessario per accedere ai dati sanitari elettronici e trattarli ai sensi di questo capo. Nella sezione 3 sono elencate le condizioni e le informazioni che devono essere presenti nel modulo di richiesta di dati per ottenere l’accesso ai dati sanitari elettronici. Sono descritte anche le condizioni associate al rilascio dell’autorizzazione ai dati. La sezione 4 di questo capo contiene principalmente disposizioni relative all’organizzazione e alla promozione dell’accesso transfrontaliero ai dati sanitari elettronici, in modo che gli utenti dei dati in uno Stato membro possano avere accesso ai dati sanitari elettronici per l’uso secondario da altri Stati membri, senza dover richiedere un’autorizzazione ai dati da tutti questi Stati membri. Sono descritti anche l’infrastruttura transfrontaliera concepita per consentire tale processo e il suo funzionamento. Infine, questo capo contiene disposizioni correlate alla descrizione delle serie di dati e alla loro qualità. Permetterebbe agli utenti dei dati di accertare il contenuto e la potenziale qualità delle serie di dati e consentirebbe loro di valutare se tali serie di dati siano idonee allo scopo.
Il capo V mira a suggerire altre misure che promuovano lo sviluppo delle capacità da parte degli Stati membri per sostenere la messa a punto dello spazio europeo dei dati sanitari. Tali misure possono riguardare lo scambio di informazioni sui servizi pubblici digitali, i finanziamenti, ecc. Inoltre, questo capo disciplina l’accesso internazionale ai dati non personali nello spazio europeo dei dati sanitari.
Il capo VI istituisce il “comitato dello spazio europeo dei dati sanitari” (“comitato EHDS”) che faciliterà la cooperazione tra le autorità di sanità digitale e gli organismi responsabili dell’accesso ai dati sanitari, in particolare la relazione tra uso primario e secondario dei dati sanitari elettronici.
Il capo VII consente alla Commissione di adottare atti delegati riguardanti lo spazio europeo dei dati sanitari.
Il capo VIII contiene disposizioni sulla cooperazione e le sanzioni, e stabilisce le disposizioni finali
Uso primario dei dati sanitari elettronici
Per quanto riguarda l’utilizzo primario dei dati sanitari elettronici, è necessario raggiungere un equilibrio tra l’agevolazione della disponibilità di dati elettronici e l’impatto sui diritti e le libertà delle persone in linea con la normativa di settore. Le due autorità sollecitano l’incertezza giuridica che né può derivare e sollecitano il legislatore europeo a chiarire il rapporto tra questi diritti e a garantire che essi non limitino (direttamente o indirettamente) la portata dei diritti delle persone ai sensi della legislazione UE sulla protezione dei dati.
Uso secondario dei dati sanitari
Per quanto riguarda l’utilizzo secondario dei dati sanitari, le due autorità forniscono le osservazioni di seguito elencate.
Prendono atto che, in linea con il considerando 37 della proposta, il “(…) regolamento fornisce la base giuridica ai sensi dell’articolo 9, paragrafo 2, lettere g), h) e j), del regolamento (UE) 2016/679 per l’uso secondario dei dati sanitari, stabilendo le garanzie per il trattamento, in termini di finalità lecite, di una governance fidata per fornire l’accesso ai dati sanitari (attraverso organismi di accesso ai dati sanitari) ed il trattamento in un ambiente sicuro, nonché le modalità di trattamento dei dati”.
In questo contesto, lo stesso Considerando prevede che il richiedente i dati dimostri una base giuridica ai sensi dell’articolo 6 del GDPR, in base alla quale si possa presentare una richiesta di accesso ai dati alla luce della proposta, anche se ciò non si riflette necessariamente nella parte operativa della proposta.
D’altro canto, le due autorità rilevano che l’articolo 34, paragrafo 1, della proposta fornisce un elenco di finalità per le quali i dati sanitari elettronici possono essere trattati per uso secondario, che comprendono, ma non solo, lo scopo della ricerca scientifica relativa ai settori della salute o dell’assistenza.
In tale contesto, le due autorità rilevano la mancanza di un’adeguata delimitazione delle finalità elencate all’articolo 34, paragrafo 1, della proposta.)
In secondo luogo, alla luce delle osservazioni di cui sopra e nonostante la formulazione contenuta nel Considerando 37 della proposta, le due autorità ritengono che la proposta richieda ulteriori miglioramenti per garantire la conformità all’articolo 9 del GDPR.
In effetti, le finalità per le quali i dati sanitari elettronici possono essere trattati per uso secondario ai sensi dell’articolo 34, paragrafo 1, della proposta.
Conclusioni
Oltre a quanto sopra menzionato, le due autorità chiedono un chiarimento specifico su come e in quali casi l’articolo 9, paragrafo 2, lettera j), del GDPR sarebbe applicabile in caso di trattamento dei dati sanitari per “fini di interesse pubblico, di ricerca scientifica o storica o a fini statistici” (sulla base del diritto dell’Unione o degli Stati membri) e sul diritto dell’Unione o degli Stati membri) e “garanzie adeguate” come richiesto dall’articolo 89, paragrafo 1, del GDPR.
