Il 24 aprile 2024, il Parlamento europeo ha approvato il Regolamento sullo Spazio Europeo dei Dati Sanitari (“European Health Data Space”), segnando un passo fondamentale verso la creazione di una solida Unione Sanitaria Europea.
Tale passo è stato possibile grazie all’accordo, raggiunto lo scorso 14 marzo fra il Parlamento ed il Consiglio dell’Unione europea, in relazione alla proposta di Regolamento presentata dalla Commissione il 3 maggio 2022.
Il testo del Regolamento dovrà ora essere formalmente approvato dal Consiglio ed entrerà in vigore 20 giorni dopo la pubblicazione sulla Gazzetta ufficiale dell’Unione europea, attesa entro l’autunno.
Il Regolamento rappresenta uno dei pilastri dell’ambiziosa “Strategia Europea per i Dati” della Commissione, che già include una serie di atti normativi, e ha l’obiettivo di creare un “mercato unico dei dati”, che garantisca la competitività globale dell’Europa e la sovranità sui dati, anche attraverso la creazione di spazi comuni per la condivisione delle informazioni.
In tale contesto, il Regolamento sullo Spazio Europeo dei Dati Sanitari rappresenta una risorsa essenziale per il settore sanitario, la cui adozione consentirà di migliorare l’accesso ed il controllo delle persone sui propri dati sanitari, permettendone al contempo il riutilizzo per scopi di pubblico interesse (c.d. “uso secondario”). Il progetto prevede la creazione di un ambiente specifico per i dati sanitari che contribuirà a promuovere un mercato unico per i prodotti e servizi sanitari digitali, a beneficio dei pazienti e dell’intera collettività.
Le novità più significative introdotte a seguito dell’accordo fra Parlamento e Consiglio
L’art. 1, paragrafo 1, della bozza indica che il Regolamento istituisce lo Spazio Europeo dei Dati Sanitari individuando regole, standard e infrastrutture comuni nonché un quadro per la governance dei dati sanitari, con l’obiettivo di facilitare l’accesso ai dati sanitari elettronici ai fini del loro utilizzo primario e secondario.
Il Regolamento avrà un impatto su un settore già altamente regolato. Per questo, la proposta specifica che il Regolamento non pregiudica l’applicazione delle normative europee e nazionali che, a vario titolo, regolano il settore, inclusi il GDPR, la Direttiva e-Privacy, il Regolamento (UE) 2018/1725, l’AI Act – la cui definitiva approvazione dovrebbe essere imminente – ed i Regolamenti sui dispositivi medici e sui dispositivi medico-diagnostici in vitro.
Disposizioni sugli “EHR systems”
Il Regolamento prevede l’obbligo di conformità degli “electronic health record systems” (o “EHR systems”) alle specifiche previste per il formato europeo di scambio dei dati sanitari elettronici, in modo da garantire la sicurezza dei dati e renderne possibile la condivisione al di là dei confini degli Stati membri.
Per “electronic health record system” s’intende qualunque dispositivo o software utilizzato per l’elaborazione di “electronic health record”, queste ultime definite come un qualunque insieme di dati sanitari elettronici raccolti nel sistema sanitario, relativi a una persona fisica e utilizzati per scopi sanitari.
Una delle novità rilevanti introdotte dall’accordo fra Parlamento e Consiglio concerne l’obbligo di adottare due componenti software (i.e. l’“European interoperability component for EHR systems” e l’“European logging component for EHR systems”) nei sistemi EHR, per garantire la possibile condivisione dei dati al di là dei confini dei singoli Stati membri.
E’ stata inoltre introdotta la previsione di un ambiente digitale europeo di testing (“European digital testing environment”), che la Commissione dovrà sviluppare per la valutazione dei componenti degli “EHR systems”. Inoltre, gli Stati membri sono tenuti ad istituire un ambiente digitale di testing, in conformità con le specifiche previste dalla Commissione con successivi atti esecutivi.
Prima di immettere sul mercato gli “EHR systems”, i produttori saranno tenuti ad utilizzare gli ambienti di testing per valutare i propri sistemi ed i risultati dei test dovranno essere inclusi all’interno della documentazione tecnica che accompagna i sistemi stessi.
Un’ulteriore novità consiste nella possibilità, per i produttori di applicazioni per il wellness, di stabilire l’interoperabilità di tali applicazioni con gli “EHR systems” per l’uso primario dei dati, informando debitamente gli utenti. La condivisione o la trasmissione dei dati tramite tali applicazioni sarà subordinata al consenso dell’utente, che potrà scegliere quali categorie di dati sanitari disponibili sull’applicazione desidera inserire negli “EHR systems”.
L’uso primario dei dati sanitari elettronici
L’art. 5 del Regolamento individua le categorie di dati sanitari elettronici (“priority categories of personal electronic health data for primary use”) che dovranno essere resi accessibili e condivisi per finalità di cura ed assistenza del paziente, lasciando agli Stati membri la possibilità di aggiungere ulteriori categorie di informazioni.
La Commissione europea avrà il compito di chiarire, con appositi atti di esecuzione, il formato di scambio delle suddette informazioni, che dovrà in ogni caso essere di uso comune, leggibile da dispositivo automatico e consentire la trasmissione di dati sanitari elettronici tra diversi dispositivi, applicazioni e operatori sanitari, supportando sia la trasmissione di dati sanitari strutturati che non strutturati.
Nel nuovo testo sono previsti diversi articoli che disciplinano in modo più dettagliato le modalità di esercizio di una serie di diritti da parte dei pazienti e dei loro rappresentanti, fra cui il diritto di accesso ai dati sanitari elettronici, il diritto di integrare tali dati direttamente tramite il proprio “electronic health record”, il diritto di rettifica dei dati sanitari e quello alla portabilità degli stessi. In tale contesto, la novità più significativa è rappresentata dalla possibilità che gli Stati membri prevedano il c.d. “diritto di opt-out”, vale a dire il diritto dei pazienti ad inibire l’accesso ai propri dati sanitari sia da parte degli operatori sanitari, per l’uso primario, che da parte degli altri soggetti legittimati ad utilizzare i dati per l’uso secondario, sebbene in tal caso il diritto di opt-out sia soggetto ad una serie di condizioni rigorose.
Un’ulteriore importante novità, inserita nell’ultima bozza di Regolamento, è rappresentata dal divieto, per gli operatori sanitari, di addebitare dei costi:
- ai pazienti, per aver chiesto l’accesso ai propri dati sanitari o per averli condivisi; e
- ad altri soggetti, per aver reso loro disponibili i dati sanitari elettronici.
L’uso secondario dei dati
Il Regolamento individua una serie di finalità per le quali è consentito l’uso secondario ed altre per cui deve considerarsi radicalmente vietato. Rientrano ad esempio fra le prime, le finalità di pubblico interesse nel campo della salute pubblica e del lavoro, di ricerca scientifica e di policy making.
L’art. 33 della bozza di Regolamento individua poi le categorie minime di dati che devono essere resi disponibili per l’uso secondario (“minimum categories of electronic data for secondary use”), con un elenco ben più corposo rispetto a quello riportato all’art. 5 per l’utilizzo primario dei dati sanitari. Anche in tal caso, gli Stati Membri potranno anche prevedere ulteriori categorie di informazioni da rendere accessibili.
In caso di riutilizzo dei dati sanitari, resta comunque salva la necessità di tutelare i dati personali nonché i diritti di proprietà intellettuale ed i segreti commerciali. Gli Stati membri potranno inoltre adottare misure più severe per disciplinare l’accesso a determinati tipi di dati sensibili (ad esempio, quelli genetici), per scopi di ricerca scientifica, prevedendo ulteriori limitazioni rispetto a quelle stabilite dal Regolamento.
Fra le novità introdotte con l’ultima bozza, rientra anche l’esenzione rispetto agli obblighi disposti in relazione all’uso secondario dei dati sanitari elettronici per singoli ricercatori e persone fisiche e persone giuridiche che si qualificano come microimprese.
Conclusioni
L’istituzione dello Spazio Europeo dei Dati Sanitari avrà un impatto significativo sull’intero settore sanitario, potendo generare enormi benefici per gli attori pubblici e privati di tale settore nonché per l’intera collettività.
È dunque importante che gli operatori familiarizzino da subito con i contenuti del Regolamento, per prepararsi alla sua entrata in vigore e valutare come sfruttare al meglio le opportunità offerte dal Regolamento stesso.
Tuttavia, il nuovo assetto porta con sé anche una serie di rischi notevoli, in particolare per la privacy degli individui, per la tutela dei pazienti e per quella dei segreti commerciali. Auspichiamo che le istituzioni europee e gli Stati membri affrontino adeguatamente le criticità connesse all’istituzione dello Spazio Europeo dei Dati Sanitari, attraverso un’approfondita valutazione dei rischi e l’adozione di appropriate misure di protezione dei dati sanitari condivisi.
A nostro avviso, il successo dell’iniziativa europea dipenderà in buona parte dalla capacità degli attori coinvolti di rendere il funzionamento dello Spazio Europeo dei Dati Sanitari sicuro ed affidabile. Ci sembra opportuno citare in chiusura le parole usate dal Comitato Europeo per la Protezione dei Dati e del Garante Europeo della Protezione dei Dati nel parere congiunto 03/2022 emesso in merito alla proposta di Regolamento: “lo Spazio Europeo dei Dati Sanitari dovrebbe fungere da esempio di trasparenza, responsabilizzazione effettiva e giusto equilibrio tra gli interessi dei singoli interessati e l’interesse comune della società nel suo insieme”.
Su un argomento simile può essere d’interesse l’articolo “Fascicolo Sanitario Elettronico 2.0 in Gazzetta Ufficiale – Quali profili privacy?”.
Autrici: Cristina Criscuoli e Roxana Smeria
Autore: Cristina Criscuoli
