Il 5 marzo 2025 è stato pubblicato nella Gazzetta Ufficiale dell’Unione Europea il Regolamento (UE) 2025/327 sullo Spazio Europeo dei Dati Sanitari e che modifica la Direttiva 2011/24/UE e il Regolamento (UE) 2024/2847 (“Regolamento”), segnando un passo fondamentale verso la creazione di una solida Unione Europea della Salute. Il Regolamento entrerà in vigore 20 giorni dopo la pubblicazione nella Gazzetta Ufficiale dell’Unione europea e sarà applicabile dal 26 marzo 2027.
Il Regolamento rappresenta uno dei pilastri dell’ambiziosa Strategia Europea per i Dati della Commissione, che ha l’obiettivo di creare un mercato unico dei dati, che garantisca la competitività globale dell’Europa e la sovranità sui dati, anche attraverso la creazione di spazi comuni per la condivisione delle informazioni.
Con l’adozione del Regolamento, le istituzioni europee intendono migliorare l’accesso ed il controllo delle persone sui propri dati sanitari, consentendone al contempo il riutilizzo per scopi di pubblico interesse (c.d. “uso secondario”), in particolare per il sostegno alla ricerca scientifica e lo sviluppo di politiche sanitarie dell’UE. Il Regolamento prevede la creazione di un ambiente specifico per i dati sanitari che contribuirà a promuovere un mercato unico per i prodotti e servizi sanitari digitali, a beneficio dei pazienti e dell’intera collettività.
Allo stesso tempo, il Regolamento arriva sulla scia di un’ondata di altri regolamenti dell’UE che hanno un impatto sui dati e sulle tecnologie guidate dai dati, in particolare nel settore della salute e life sciences, creando un rischio di conflitto. Per questo motivo, il Regolamento specifica che non viene pregiudicata l’applicazione delle leggi europee e nazionali che già regolano il settore, tra cui il GDPR, la Direttiva e-Privacy, il Regolamento (UE) 2018/1725, l’AI Act e i Regolamenti sui dispositivi medici e sui dispositivi medici diagnostici in vitro.
Disposizioni sui sistemi di cartelle cliniche elettroniche
Il Regolamento impone ai produttori di sistemi di cartelle cliniche elettroniche di rispettare le specifiche stabilite per il formato europeo di scambio elettronico dei dati sanitari, al fine di garantire la sicurezza dei dati e facilitarne la condivisione oltre i confini nazionali.
Una delle disposizioni più importanti riguarda l’obbligo di adottare due componenti software (ovvero il “componente software europeo di interoperabilità per i sistemi di cartelle cliniche elettroniche” e il “componente software europeo di registrazione per i sistemi di cartelle cliniche elettroniche”) per garantire l’interoperabilità tecnica e quindi facilitare la condivisione dei dati attraverso i confini degli Stati membri.
Un’altra interessante novità del Regolamento è rappresentata dalla previsione di un ambiente digitale europeo di prova, che la Commissione dovrà sviluppare per valutare i componenti dei sistemi di cartelle cliniche elettroniche, rendendo disponibile il relativo software in formato open source. Prima di immettere sul mercato i sistemi di cartelle cliniche elettroniche i produttori saranno tenuti ad utilizzare gli ambienti di prova per valutare i propri sistemi e i risultati dei test dovranno essere inclusi all’interno della documentazione tecnica che accompagna i sistemi stessi.
Inoltre, i produttori di “applicazioni per il benessere” possono stabilire l’interoperabilità con i sistemi di cartelle cliniche elettroniche per l’uso primario dei dati. La condivisione o la trasmissione di dati attraverso tali applicazioni sarà soggetta al consenso dell’utente, che potrà scegliere quali categorie di dati sanitari disponibili sull’applicazione desidera includere nei sistemi di cartelle cliniche elettroniche.
I produttori di applicazioni per il wellness potranno stabilire l’interoperabilità di tali applicazioni con gli sistemi di cartelle cliniche elettroniche per l’uso primario dei dati, informando gli utenti anche in relazione agli effetti di tale interoperabilità. Ad ogni modo, la condivisione o la trasmissione dei dati tramite tali applicazioni sarà possibile solo con il consenso dell’utente, che dovrà essere messo in condizione di scegliere quali categorie di dati sanitari disponibili sull’applicazione desidera inserire nei sistemi di cartelle cliniche elettroniche.
L’uso primario dei dati sanitari elettronici
Il Capo II del Regolamento regola i diritti e obblighi in relazione all’uso primario dei dati sanitari elettronici. Anche in questo caso, l’attenzione è rivolta all’interoperabilità tecnica al fine di rimuovere gli ostacoli alla condivisione dei dati. Categorie specifiche di dati sanitari elettronici devono essere create e scambiate in formati di uso comune, leggibile da dispositivo automatico e consentire la trasmissione di dati sanitari elettronici tra diversi dispositivi, applicazioni e operatori sanitari, supportando la trasmissione di dati sanitari strutturati e non strutturati. La Commissione europea avrà il compito di chiarire, attraverso atti di esecuzione, il formato preciso per lo scambio di queste informazioni entro il 26 marzo 2027.
Il Regolamento prevede inoltre diversi articoli che disciplinano le modalità di esercizio dei diritti da parte dei pazienti e dei loro rappresentanti, rafforzando gli equivalenti diritti previsti dal GDPR. Solo per citarne alcuni, il Regolamento prevede il diritto di accesso ai dati sanitari elettronici, il diritto di integrare direttamente tali dati tramite la propria cartella clinica elettronica, il diritto di rettifica dei dati sanitari e quello alla portabilità degli stessi. Inoltre, gli Stati membri potranno prevedere il “diritto di opt-out”, vale a dire il diritto dei pazienti ad inibire l’accesso ai propri dati sanitari sia per l’uso primario che per l’uso secondario, sebbene in tal caso il diritto di opt-out sia soggetto ad una serie di condizioni rigorose.
Infine, il Regolamento vieta agli operatori sanitari di addebitare costi:
- ai pazienti, per aver chiesto l’accesso ai propri dati sanitari o per averli condivisi; e
- ad altri soggetti, per aver reso loro disponibili i dati sanitari elettronici.
L’uso secondario dei dati
Il Capo IV del Regolamento disciplina l’uso secondario dei dati sanitari elettronici ed è forse l’aspetto più discusso del Regolamento. Promette di avere implicazioni materiali per una vasta gamma di aziende che raccolgono dati sanitari, nonché per coloro che hanno bisogno di accedere ai dati sanitari per scopi di ricerca.
Il Capo IV del Regolamento individua gli attori principali e i relativi compiti:
- gli organismi responsabili dell’accesso ai dati sanitari, designati dagli Stati membri per esaminare e autorizzare le richieste di accesso ai dati per uso secondario;
- i titolari dei dati sanitari, ovvero le persone fisiche o giuridiche, le autorità pubbliche, le agenzie o altri organismi del settore sanitario o assistenziale che abbiano (i) il diritto o l’obbligo di trattare i dati sanitari elettronici in qualità di titolari o contitolari del trattamento, ai sensi del GDPR; o (ii) la capacità di mettere a disposizione, anche per registrare, fornire, limitare l’accesso o scambiare dati sanitari elettronici non personali, attraverso il controllo della progettazione tecnica di un prodotto e dei servizi correlati; e
- gli utenti dei dati sanitari, ovvero le persone fisiche o giuridiche, comprese le istituzioni, gli organismi o le agenzie dell’UE, a cui viene legittimamente concesso l’accesso ai dati sanitari elettronici per uso secondario.
Per ottenere l’accesso ai dati sanitari elettronici, gli utenti dei dati sanitari dovranno presentare una richiesta al competente organismo responsabile dell’accesso ai dati sanitari, secondo una delle seguenti procedure:
- Procedura per ottenere un’autorizzazione ai dati (artt. 67-68). Gli utenti dei dati sanitari dovranno presentare una domanda, specificando, tra l’altro, l’uso previsto, i benefici attesi, i dati richiesti, il loro formato e le loro fonti, in caso di richiesta di dati pseudonimizzati, le ragioni di tale richiesta e le garanzie previste. L’organismo responsabile dell’accesso ai dati sanitari valuterà la richiesta in base ai criteri dell’art. 67, considerando i rischi per la difesa nazionale, la sicurezza, anche pubblica, l’ordine pubblico e la riservatezza delle banche dati governative. Se la richiesta risulterà approvata, l’organismo responsabile dell’accesso ai dati sanitari rilascerà la cd. autorizzazione ai dati, chiedendo al titolare dei dati sanitari di fornire al richiedente i dati sanitari elettronici entro due mesi, salvo che l’autorizzazione preveda altrimenti;
- Richiesta di dati statistici anonimizzati o richiesta di dati (art. 69). In tal caso, l’organismo responsabile dell’accesso ai dati sanitari fornirà solo informazioni anonime.
A seguito dell’approvazione della richiesta da parte dell’organismo responsabile dell’accesso ai dati sanitari, i titolari dei dati sanitari sono obbligati a rendere disponibili i dati sanitari elettronici entro un termine ragionevole, in ogni caso non superiore a tre mesi, con possibile proroga di ulteriori tre mesi in particolari casi. D’altra parte, gli utenti dei dati sanitari dovranno trattare i dati ottenuti in conformità e nei limiti delle finalità stabilite nell’autorizzazione ai dati o richiesta di dati.
L’accesso ai dati da parte degli organismi responsabili dell’accesso ai dati sanitari dovrà avvenire attraverso un ambiente sicuro, conforme a specifiche misure di sicurezza per garantire la protezione dei dati. L’accesso ai dati sanitari elettronici concesso dagli organismi responsabili dell’accesso ai dati sanitari deve avvenire attraverso un ambiente di trattamento sicuro, ai sensi dell’articolo 73 del Regolamento, nel rispetto delle misure tecniche e organizzative e dei requisiti di sicurezza e interoperabilità. Questo ambiente sicuro deve rispettare misure di sicurezza specifiche per garantire la protezione dei dati.
Il Regolamento individua le finalità per le quali è consentito l’uso secondario ed altre per cui deve considerarsi radicalmente vietato. Ad esempio, gli utenti dei dati sanitari possono ottenere l’accesso ai dati sanitari elettronici per uso secondario quando il trattamento è necessario per una delle seguenti finalità:
- pubblico interesse nel campo della salute pubblica e del lavoro;
- formazione nel settore sanitario o dell’assistenza, a livello di istruzione professionale o superiore; e
- ricerca scientifica relativa al settore sanitario o dell’assistenza che contribuisce alla sanità pubblica o alla valutazione delle tecnologie sanitarie o che garantisce elevati livelli di qualità e sicurezza dell’assistenza sanitaria.
D’altra parte, gli utenti dei dati sanitari non potranno trattare i dati a cui hanno avuto accesso per le seguenti finalità:
- attività di marketing;
- assumere decisioni che possano avere effetti sociali, economici o legali negativi sull’individuo o su un gruppo di individui;
- assumere decisioni sull’individuo o su un gruppo di individui in relazione ad offerte di lavoro o di beni e servizi (ad esempio, rifiutando di concedere una copertura assicurativa);
- sviluppo di prodotti o servizi che possano danneggiare gli individui, la salute pubblica o la società in generale, ad esempio sostanze stupefacenti, alcolici, prodotti da tabacco o nicotina, ecc.; e
L’art. 51 del Regolamento individua poi le categorie minime di dati che devono essere resi disponibili per l’uso secondario, con un elenco ben più corposo rispetto a quello riportato all’art. 14 per l’utilizzo primario dei dati. Gli Stati Membri potranno prevedere ulteriori categorie di informazioni da rendere accessibili per l’uso secondario.
È fatta in ogni caso salva la necessità di tutelare i dati personali nonché i diritti di proprietà intellettuale ed i segreti commerciali. Gli Stati membri potranno prevedere ulteriori limitazioni nel disciplinare l’accesso a determinati tipi di dati sensibili (ad esempio, quelli genetici), per scopi di ricerca scientifica.
Il Regolamento prevede inoltre l’esenzione rispetto agli obblighi disposti in relazione all’uso secondario dei dati sanitari elettronici per singoli ricercatori e microimprese.
Conclusioni
L’istituzione dello Spazio Europeo dei Dati Sanitari avrà un impatto significativo sull’intero settore sanitario, potendo generare enormi benefici per gli attori pubblici e privati di tale settore nonché per l’intera collettività.
È della massima importanza che gli operatori approfondiscano le complessità del Regolamento sullo spazio europeo dei dati sanitari, non solo per prepararsi alla sua attuazione, ma anche per elaborare strategie su come massimizzare le opportunità che offre.
Il nuovo assetto porterà con sé anche notevoli rischi per i pazienti e la società, in particolare per la privacy degli individui, per la tutela dei pazienti e per quella dei segreti commerciali degli operatori del settore
È fondamentale che le istituzioni europee e gli Stati membri siano all’altezza della situazione e affrontino efficacemente i rischi significativi che accompagnano lo Spazio Europeo dei Dati Sanitari. Ciò può essere ottenuto attraverso una valutazione approfondita dei rischi e l’implementazione di adeguate misure di salvaguardia per i dati sanitari condivisi.
A nostro avviso, il successo dell’iniziativa dipenderà in buona parte dalla capacità degli attori coinvolti di rendere il funzionamento dello Spazio Europeo dei Dati Sanitari sicuro ed affidabile. Per questo, ci sembra opportuno citare le parole usate dal Comitato Europeo per la Protezione dei Dati e del Garante Europeo della Protezione dei Dati nel parere congiunto 03/2022 emesso in merito alla proposta di Regolamento: “lo Spazio Europeo dei Dati Sanitari dovrebbe fungere da esempio di trasparenza, responsabilizzazione effettiva e giusto equilibrio tra gli interessi dei singoli interessati e l’interesse comune della società nel suo insieme”.
Su un argomento simile può essere d’interesse l’articolo “Il Garante privacy emette una sanzione per trattamento illecito di dati sanitari ”
Autrici: Cristina Criscuoli e Roxana Smeria
Autore: Cristina Criscuoli
