Il diritto alla salute costituisce un diritto che ha direttamente subito nel tempo un forte sviluppo, dovuto al mutare di molteplici elementi, così comportando un continuo adeguamento del proprio contenuto nel rispetto di quanto delineato dall’art. 32 della Costituzione italiana[1].
In tale contesto, ad oggi rileva sempre di più l’uso delle nuove tecnologie[2], utilizzate per trattare informazioni personali dei pazienti sia al fine di garantire loro l’accesso ai servizi sanitari, quindi per l’erogazione delle cure, sia per finalità di ricerca o di governo del sistema sanitario stesso.
Ad essere direttamente coinvolti sono sia il settore pubblico (il Servizio Sanitario Nazionale – SSN), che quello privato[3], spesso fornitore di servizi – tecnologici – necessari per garantire l’esercizio del servizio pubblico stesso.
Anche il legislatore ha ormai avuto modo di riconoscere formalmente l’importanza che le tecnologie e i dati hanno assunto nel settore sanitario, a fronte di quel processo di «giuridificazione» della persona in corso[4] a più livelli.
Indice degli argomenti
L’evoluzione della sanità digitale nel quadro europeo
La Commissione europea, ad esempio, definisce con i termini «sanità e assistenza digitali» gli «strumenti e servizi che sfruttano le tecnologie dell’informazione e della comunicazione per migliorare la prevenzione, la diagnosi e il trattamento delle patologie, il monitoraggio e la gestione della salute e degli aspetti dello stile di vita che influiscono sulla salute». Rispetto alla molteplicità di tali tecnologie, centrali sono i c.d. “medical devices”, ovvero i dispositivi elettromedicali attraverso i quali, in virtù delle tecnologie implementate e dei dati che vengono trattati, è ormai possibile raggiungere importanti risultati diagnostici, interventistici e di monitoraggio.
Tuttavia, a fronte di uno sviluppo tecnologico assai veloce, l’avvento della “sanità digitale” è piuttosto recente, in quanto è a partire dall’emanazione del primo “Piano d’Azione per la Sanità Elettronica”[5], adottato dalla Commissione europea nel 2004, che è stato riconosciuto rilievo giuridico a tale fenomeno, ove «il ricorso agli strumenti della sanità elettronica […], consente di ottenere in tempo utile dati completi ed integrati».
Successivamente, con una Comunicazione del 2012[6], la Commissione ha fissato un termine temporale, precisamente nel 2020, per raggiungere una maggiore interoperabilità dei servizi di sanità elettronica e sostenere la ricerca, lo sviluppo e l’innovazione, incentivandone la diffusione.
Ancora, con una Comunicazione del 2018[7], è stata affermata la necessità per i cittadini di accedere in maniera sicura ai propri dati, in ogni momento e ovunque si trovino all’interno dell’Ue, potendoli condividere attraverso strutture comuni e formati interoperabili, anche al fine di garantirne una migliore utilizzazione nello sviluppo di una medicina sempre più personalizzata e di precisione[8].
Con una Raccomandazione del 2019[9] la Commissione ha poi sottolineato che «l’obiettivo principale della rete di assistenza sanitaria online è sostenere lo sviluppo di sistemi, servizi e applicazioni interoperabili di eHealth sostenibili» agevolando lo scambio di informazioni e la cooperazione tra Stati membri.
Sanità digitale sicura e programmazione dell’Unione
In siffatto contesto, si pone il più recente programma EU4Health 2021-2027 – Una visione per un’Unione europea più sana[10] che, adottato sulla base dell’emergenza pandemica, ha apportato un ingente sostegno finanziario nel settore sanitario, con un’attenzione specifica ai progetti di digitalizzazione.
Ulteriore efficacia propulsiva è poi derivata dalla Comunicazione “L’Unione europea della salute”[11] che, nel focalizzare l’attenzione sull’importanza rivestita dal processo di digitalizzazione della sanità, ne individua la pietra miliare nell’infrastruttura dello “Spazio europeo dei dati sanitari” così come previsto nel Reg. UE 2025/327[12].
Infine, l’Unione ha avuto modo di adottare un recentissimo Piano d’azione[13] con il quale è stata richiamata l’attenzione alla necessità di rafforzare la cybersicurezza delle strutture sanitarie e dei prestatori di servizi coinvolti.
La sanità digitale nel quadro nazionale
Quanto alla normativa nazionale, è solo di recente, sulla spinta delle esigenze insorte con la pandemia da Covid-19, nonché a seguito degli stimoli provenienti a livello sovranazionale e realizzati mediante il “Piano Nazionale di Ripresa e Resilienza” (PNRR – Missione6 “Salute”) che il processo di digitalizzazione sanitaria è stato oggetto di effettivi interventi di razionalizzazione, sistematizzazione e impulso.
Invero, già il “Codice dell’Amministrazione Digitale” (CAD)[14], all’art. 2, aveva posto generali obiettivi di digitalizzazione riguardanti, trasversalmente, tutte le amministrazioni pubbliche.
Interventi concreti di regolazione sistematica della sanità digitale, però, sono derivati dal “Piano triennale per l’informatica nella pubblica amministrazione”, che, come previsto dalla legge 28 dicembre 2015, n. 208, art. 1, co. 513, è il documento predisposto dall’Agenzia per l’Italia digitale (Agid) che contiene, «per ciascuna amministrazione o categoria di amministrazioni, l’elenco dei beni e servizi informatici e di connettività e dei relativi costi […] da sostenere per innovazione».
È però con il programma stabilito nella “Strategia per la crescita digitale 2014-2020”[15] che si è inteso rafforzare nello specifico il processo di digitalizzazione della sanità, attraverso l’«integrazione» delle frammentate e differenti iniziative esistenti e il raggiungimento di un «contesto organico», mediante un piano di azioni pianificate.
In tale ambito, rivestono, inoltre, un ruolo fondamentale di specificazione il “Patto per la Sanità Digitale” del 24 giugno 2016[16], al quale la Strategia espressamente rimanda quale strumento di accordo tra Governo, Regioni e Province autonome, nonché il “Piano Nazionale della Sanità Digitale 2022-2027”.
I dispositivi elettromedicali: cybersicurezza e protezione dei dati personali
In tale contesto, il caso dei dispositivi elettromedicali rappresenta una fattispecie centrale non solo per delineare l’impatto che l’innovazione tecnologica ha sulla tutela della salute, ma anche su altre e nuove situazioni giuridiche quali la protezione dei dati personali e la cybersicurezza.
Proprio prendendo le mosse dalla situazione giuridica la cui normazione è più recente, ossia la cybersicurezza, occorre anzitutto rappresentare come questa sia ben cristallizzata, in via di principio, nella “Dichiarazione europea sui diritti e i principi digitali per il decennio digitale”[17] che, seppure animata da un mero intento programmatico, esprime l’intenzione di fornire al concetto di sicurezza dell’ambiente digitale, quindi alla cybersicurezza, autonoma dignità e riconoscimento rispetto agli altri diritti fondamentali, affermando, al punto n. 16, che «ogni persona dovrebbe avere accesso a tecnologie, prodotti e servizi digitali che siano sicuri e protetti e tutelino la vita privata».
A livello nazionale, seppure privo di valore cogente, l’art. 13 della “Dichiarazione dei diritti in Internet”[18], rubricato «sicurezza in rete», identifica la sicurezza quale interesse sia pubblico che privato, sottolineando in particolare che «la sicurezza in Rete deve essere garantita come interesse pubblico, attraverso l’integrità delle infrastrutture e la loro tutela da attacchi, e come interesse delle singole persone».
Le fonti sulla cybersicurezza nella sanità digitale
Tale esigenza, oltre che da diversi atti di soft law, risulta oggi rafforzata anche da un insieme di provvedimenti normativi che risultano portatori di una nuova consapevolezza.
Tra questi, centrale è anzitutto l’articolo 2, punto 1) del Regolamento (UE) 2019/881, c.d. “Cybersecurity Act”[19], il quale definisce la “cybersicurezza” quale «insieme delle attività necessarie per proteggere la rete e i sistemi informativi, gli utenti di tali sistemi e altre persone interessate dalle minacce informatiche», evolvendosi quindi da protezione delle infrastrutture informatiche anche a protezione delle persone e, in questo contesto, dei pazienti e del personale sanitario.
Diverse sono poi le fonti normative di rango primario, europee e nazionali, in materia, in primis l’ormai abrogata Direttiva “NIS1”[20], oggi sostituita dalla Direttiva “NIS2”[21] e volta ad istituire un livello rafforzato di governance della cybersicurezza, così come recepita a livello nazionale con il D.Lgs. 138/2024[22].
Con il Regolamento Ue 2019/881 del 17 aprile 2019, c.d. “Cybersecurity Act”, sono stati invece integrati i poteri dell’Agenzia dell’Unione europea per la Cybersicurezza (ENISA), ed è stato previsto un «sistema di certificazione della cybersicurezza per le tecnologie dell’informazione e della comunicazione».
Con il c.d. “Cyber Resilience Act” (Reg. Ue 2024/2847 del 23 ottobre 2024)[23], si è poi inteso sviluppare «un quadro normativo orizzontale dell’Unione che stabilisca requisiti di cybersicurezza completi per tutti i prodotti con elementi digitali» e che, tuttavia, espressamente, non trova applicazione nel campo dei dispositivi medici.
Tale normativa, dalla quale non emerge ancora oggi in maniera chiara, di fronte ad un’esigenza che è invece forte, evidente socialmente percepita, una formale qualificazione della cybersicurezza alla stregua di un diritto, ma pone tuttavia sempre maggiori condizioni, anche giuridiche, in tale direzione.
Sicurezza del dispositivo e tutela del paziente
Ciò è ancora più chiaro nel settore sanitario, dove le tecnologie utilizzate, in questo caso i dispositivi elettromedicali, a fronte di una evidente utilità, sono in grado di mettere in pericolo, qualora non siano rispettate le condizioni di cybersicurezza, non solo i dati dei pazienti e del personale medico, ma anche la loro stessa salute.
Sul punto, come noto, il legislatore europeo ha emanato già da qualche anno un apposito Regolamento relativo ai dispositivi medici, il Reg. UE 2017/745 (MDR)[24], allo «scopo di stabilire un quadro normativo solido, trasparente, prevedibile e sostenibile per i dispositivi medici, che garantisca un livello elevato di sicurezza e di salute sostenendo nel contempo l’innovazione», fissando standard di qualità e sicurezza.
Il Regolamento, destinato ai produttori di dispositivi medici, considera tali qualunque strumento, apparecchio, apparecchiatura, software, impianto, reagente, materiale o altro articolo, destinato dal fabbricante a essere impiegato sull’uomo, da solo o in combinazione, per una o più delle seguenti destinazioni d’uso mediche specifiche, ossia la diagnosi, la prevenzione, il monitoraggio, la previsione, la prognosi, il trattamento o attenuazione di malattie, la compensazione di una lesione o di una disabilità, lo studio, sostituzione o modifica dell’anatomia oppure di un processo o stato fisiologico o patologico, o la fornitura di informazioni attraverso l’esame in vitro di campioni provenienti dal corpo umano.
Possono quindi essere immessi sul mercato solo i dispositivi che rispettano i requisiti di sicurezza previsti dal Regolamento, ossia requisiti relativi alla sicurezza generale del dispositivo, ad esempio relativamente ai materiali utilizzati o al funzionamento, sia requisiti specifici derivanti dalla destinazione d’uso.
Principio generale previsto dal Regolamento è che tali dispositivi debbano fornire le prestazioni previste dal loro fabbricante e debbano essere progettati e fabbricati in modo tale che, in normali condizioni d’uso, siano adatti alla loro destinazione.
Essi, prevede il Regolamento, devono essere prodotti in modo da essere sicuri ed efficaci, non compromettendo lo stato clinico o la sicurezza dei pazienti, né la sicurezza e la salute degli utilizzatori ed eventualmente di altre persone.
Sono invece considerati accettabili gli eventuali rischi associabili al loro utilizzo, qualora siano stati considerati i benefici apportati al paziente e siano compatibili con un elevato livello di protezione della salute e della sicurezza, tenendo conto dello stato dell’arte generalmente raggiunto.
Sanità digitale sicura tra MDR, GDPR e NIS2
Quanto alla componente tecnologica, qui di principale interesse, il Regolamento, nell’allegato 1, punto 14.2, prevede che i dispositivi siano progettati e fabbricati in modo tale da eliminare o ridurre, per quanto possibile, i rischi associati alla possibile interazione negativa tra il software e l’ambiente tecnologico in cui opera e interagisce.
Inoltre, i dispositivi contenenti sistemi elettronici programmabili, compresi i software, o i software che costituiscono dispositivi a sé stanti, devono essere progettati in modo tale da garantire la riproducibilità, l’affidabilità e le prestazioni in linea con la destinazione d’uso per essi prevista.
Per tale ultima categoria di dispositivi è previsto, ancora, che il software sia sviluppato e fabbricato conformemente allo stato dell’arte, tenendo conto dei principi del ciclo di vita dello sviluppo, della gestione del rischio, compresa la sicurezza delle informazioni, della verifica e della convalida.
Inoltre, al fine di non compromettere le condizioni di sicurezza implementate, i fabbricanti devono indicare i requisiti minimi in materia di hardware, le caratteristiche delle reti informatiche e le misure di sicurezza informatica, necessari per il funzionamento del software secondo le previsioni.
Sulla base del Regolamento MDR e degli obblighi previsti in tema di progettazione e sviluppo di dispositivi medici, tra i quali rientrano anche i dispositivi elettromedicali, il tema della cybersicurezza è quindi affrontato in maniera generale, rappresentando solo uno dei diversi elementi costruttivi tesi a garantire la sicurezza del dispositivo.
È al contempo possibile evidenziare come, complice il fatto che trattasi di una normativa risalente a quasi un decennio fa, tale approccio alla sicurezza e alla cybersicurezza, limitato alla progettazione “conformemente allo stato dell’arte” rispetto alla destinazione d’uso, se da una parte può apparire assai generico e forse insufficiente, dall’altra, tramite tale clausola, consente l’adeguamento allo sviluppo tecnologico, nonché, alle normative speciali e di successiva emanazione.
È proprio in questo solco che si inseriscono oggi il Reg. Ue 679/2016 e la Direttiva NIS2, delle quali occorre ora vagliare i punti di contatto con il Regolamento MDR.
Dati sanitari e basi giuridiche del trattamento
Rispetto alla normativa in tema di protezione dei dati personali, questa trova un’applicazione specifica che, tuttavia, visto il settore di utilizzo dei dispositivi medici e di quelli elettromedicali in particolare, basati sull’acquisizione ed utilizzo di dati relativi ai pazienti e agli operatori sanitari, diviene invece di carattere generale.
Anzitutto, la tutela della salute mediante dispositivi medici tecnologici, comportando un grande trattamento di dati, richiede il rispetto delle garanzie previste dal GDPR (Reg. Ue 679/2016), il quale, quanto alla categoria dei dati relativi alla salute[25] riflette le intenzioni del legislatore europeo di garantirne una protezione rafforzata e al contempo riconoscerne la legittimità del trattamento nei casi previsti nel paragrafo 2 dell’art. 9 GDPR, ad esempio quando ricorra la “finalità di cura”.
Rispetto alla richiamata condizione, che legittima nel caso di specie il trattamento dei dati personali, si veda come tali dispositivi abbiano una doppia anima: infatti, se nell’ambito del normale uso per finalità assistenziali sia proprio la c.d. “finalità di cura” a legittimarne l’utilizzo, negli altri casi, ad esempio per lo svolgimento di indagini cliniche sul dispositivo stesso o per finalità di ricerca, la base giuridica è solitamente da ricondurre in un consenso specifico ed espresso.
Quanto agli specifici requisiti di sicurezza, il GDPR prevede, all’art. 32, l’adozione di garanzie di sicurezza del trattamento dei dati personali, anzitutto basate sulla valutazione dello «stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche», rimettendo quindi al produttore, per quanto riguarda le misure strutturali del dispositivo, e all’utilizzatore (la struttura sanitaria), principalmente per quanto riguarda quelle di propria competenza, l’onere di decidere quali misure adottare.
La sanità digitale oltre i dati personali
Tuttavia, come già evidenziato, i rischi connessi ai dispositivi medici e a quelli elettromedicali in particolare, non riguardano solo i dati personali ma anche quelli non personali, nonché la persona nella sua dimensione fisica: da un attacco informatico, infatti, possono derivare diretti riflessi sulla salute della persona, qualora, ad esempio, venga inficiato il corretto funzionamento di un dispositivo che controlla il dosaggio di un farmaco.
Se il Regolamento MDR ha posto specifici requisiti di costruzione del dispositivo, è con la Direttiva NIS2, così come recepita per il tramite del D.Lgs. 4 settembre 2024 n. 138 ed innovando rispetto alla NIS2, che sono state previste condizioni specifiche ma al contempo trasversali di cybersicurezza, in maniera proporzionata al rischio connesso al settore di applicazione e alla dimensione organizzativa di riferimento.
In particolare, i produttori di dispositivi medici, così come qualificati dal Regolamento MDR, sono espressamente chiamati, come si evince dall’allegato 1 della NIS2, all’applicazione della normativa, nonché quando operanti in uno dei settori ad “alta criticità” ricompresi nel citato allegato, quindi nel caso in cui la produzione si inserisca all’interno di un’emergenza di sanità pubblica.
Quanto agli obblighi in materia di cybersicurezza, questi sono stati specificamente declinati nell’art. 24 del decreto legislativo n. 138 e consistono, principalmente, nell’adozione di misure tecniche, operative e organizzative adeguate e proporzionate alla gestione dei rischi posti alla sicurezza dei sistemi informativi e di rete, nonché per prevenire o ridurre al minimo l’impatto di eventuali incidenti.
Inoltre, il decreto prevede specifiche misure tra le quali rileva, con particolare riguardo al tema dei dispositivi elettromedicali, l’obbligo di garantire la sicurezza della catena di approvvigionamento: rispetto a tale dimensione, diversamente da quanto previsto dalla legge[26], l’elemento della cybersicurezza, nell’ambito delle strutture ospedaliere e a fronte di una potenziale disponibilità di un parco tecnologico sempre più all’avanguardia, non sempre viene privilegiato, complice anche un deficit di carattere economico e la contrapposta disponibilità di strumenti risalenti.
Indirizzi applicativi e nuovi organismi di settore
Rispetto alla sicurezza informatica dei dispositivi medici, è rilevante notare come, a fronte della citata normativa di carattere trasversale, anche le Autorità di settore si stiano adeguando per darvi concreto seguito: ad esempio l’Agenas, l’Agenzia Nazionale per i Servizi Sanitari Regionali, ha recentemente emanato, nel settembre 2025, specifiche “Linee Guida di indirizzo per il percorso evolutivo dei Sistemi Medicali per Telemonitoraggio”[27], fissando, per questa tipologia di dispositivi, requisiti chiari e dettagliati, tra i quali rientrano: la presenza della c.d. certificazione MDR, per cui tutti i dispositivi devono essere conformi al Regolamento (UE) 2017/745; requisiti di connettività, per cui i dispositivi devono poter trasmettere dati in modo sicuro; condizioni di sicurezza informatica, con indicazioni specifiche per produttori, distributori e strutture sanitarie.
Più ampiamente, con decreto del Ministero della Salute n. 25 del 14 gennaio 2025[28] e facendo seguito alle previsioni del D.Lgs. n. 138, è stato istituito presso il Ministero della Salute un apposito Tavolo di settore per l’attuazione dalla Direttiva NIS2, il quale vede, tra i diversi temi cardine, proprio quello della cybersicurezza dei dispositivi medici e che, si auspica, nell’ambito del rapporto tra le diverse fonti citate, giunga alla previsione di requisiti di cybersicurezza specifici per i dispositivi elettromedicali.
In tale direzione sembra volgere anche la recente previsione di istituzione del c.d. “Centro europeo di sostegno alla cybersicurezza negli ospedali e dei fornitori di servizi sanitari”: trattasi di una articolazione prevista normativamente come interna all’ENISA, e menzionata in una apposita comunicazione della Commissione europea[29] del 15 gennaio 2025, con la quale è stato presentato il “Piano d’azione sulla cybersicurezza degli ospedali e dei fornitori di servizi sanitari”.
Le sfide della sanità digitale sicura
Evidenziato il quadro di riferimento in merito ai dispositivi elettromedicali, appare anzitutto evidente come la continua e trasversale opera di regolazione sia caratterizzata dalla necessità di contemperamento tra il fine della tutela della persona e lo sviluppo tecnologico, quest’ultimo sia in funzione servente rispetto al primo, sia in sé considerato.
Le situazioni giuridiche coinvolte sono, inoltre, di primario interesse costituzionale, sia in termini di tutela dei diritti fondamentali della persona, sia in termini di corretta gestione, “efficace” ed “efficiente” della “cosa pubblica”.
Il caso dei dispositivi medici elettromedicali evidenzia come, al fine della loro conformità sia ormai richiesta l’applicazione congiunta di un vasto novero di principi e adempimenti.
In particolare, anche in ragione della novità della normativa, il settore della sanità digitale si trova oggi investito dall’esigenza di garantire nuove istanze di protezione della persona, anche attraverso garanzie di cybersicurezza.
Sanità digitale e autonomia della cybersicurezza
Alla luce di quanto evidenziato sul punto, deriva anzitutto la constatazione di come la cybersicurezza, elemento centrale rispetto ai dispositivi altamente tecnologici, avendo raggiunto ormai una sostanziale autonomia rispetto alle normative entro le quali prima era precedentemente sistematizzata, ad esempio la protezione dei dati personali, non sia più un’esigenza di carattere solo settoriale ma, invece, trasversale e, come tale, questa si estrinsechi attraverso obblighi che riguardano orizzontalmente anche il settore sanitario e in particolare il settore dei dispositivi medici, i quali trovano quindi la propria fonte non solo nel Regolamento MDR, ma anche nella Direttiva NIS2, nel GDPR per quanto riguarda i profili di tutela dei dati personali, e negli atti emanati o in via di emanazione da parte delle autorità di settore.
Più ampiamente, e ciò è ancor più evidente nel settore sanitario, sembra che la cybersicurezza a cui fare riferimento sia in via di evoluzione e, da una mera caratteristica accessoria, di un’attività, di uno strumento o di un diritto, sia ormai sempre più connotata da elementi tipici dei diritti stessi in sé considerati.
La cybersicurezza, in questo senso, dovrebbe essere intesa, in un’ottica evolutiva, quale “nuovo” diritto che, parallelamente alla protezione dei dati personali e con esso sovente intersecandosi, sia funzionale a garantire la libertà e la dignità delle persone, di agire nell’ambiente digitale e di vivere in una realtà materiale sempre più caratterizzata da conseguenze effettive, anche pregiudizievoli, derivanti dall’uso delle tecnologie.
Bibliografia
– Aperio Bella F., L’accesso alle tecnologie innovative nel settore salute tra universalità e limiti organizzativi (con una postilla sull’emergenza sanitaria), in Persona e Amministrazione, 1/ 2020;
– Azzariti G., Stefano Rodotà e l’uso costituzionalmente orientato delle nuove tecnologie, in Costituzionalismo.it, 2, 2022;
– Balduzzi R., Salute (diritto alla), in Cassese S. (diretto da), Dizionario di diritto pubblico, Giuffré, Milano, 2006;
– Barbareschi S., Tecniche di individuazione del nucleo essenziale del diritto alla salute nella giurisprudenza costituzionale, in Colapietro C., Atripaldi M., Fares G. e Iannuzzi A. (a cura di), I modelli di welfare sanitario tra qualità e sostenibilità. Esperienze a confronto, Esi, Napoli, 2018;
– Bassini M., Né costituzione né legge. La Dichiarazione dei diritti in Internet verso una missione culturale, in Medialaws, 28 luglio 2015;
– Buffa M., La Direttiva NIS II cybersecurity in Europa: tra innovazione, formazione e diritto vivente, in Democrazie e Diritti Sociali, 1/2023;
– Cartabia M., La giurisprudenza costituzionale relativa all’art. 32, secondo comma, della Costituzione italiana, in Quad. cost., 2012;
– Colapietro C., Atripaldi M., Fares G. e Iannuzzi A. (a cura di), I modelli di welfare sanitario tra qualità e sostenibilità. Esperienze a confronto, Esi, Napoli, 2018;
– Colapietro C., Laviola F., I trattamenti di dati personali in ambito sanitario, in Dirittifondamentali.it, 2/2019;
– Covino F., Uso della tecnologia e protezione dei dati personali sulla salute tra pandemia e normalità, in federalismi.it, 5/2021;
– De Pasquale P., Verso una Carta dei diritti digitali (fondamentali) dell’Unione europea?, in Il diritto dell’Unione europea, 17.03.2022;
– Di Costanzo C., L’impiego delle nuove tecnologie nel settore della salute: problematiche e prospettive di diritto costituzionale, in Consulta Online, 1/2023;
– Faralli C., Brighi R., Martoni M. (a cura di), Strumenti, diritti, regole e nuove relazioni di cura: il paziente europeo protagonista nell’eHealth, Giappichelli, Torino, 2015;
– Filippi C., Melchionna S., I trattamenti di dati in ambito sanitario, in Busia G., Liguori L., Pollicino O. (a cura di), Le nuove frontiere della privacy nelle tecnologie digitali. Bilanci e prospettive, Aracne, Roma, 2016;
– Finocchiaro G., Il trattamento dei dati sanitari: alcune riflessioni critiche a dieci anni dall’entrata in vigore del Codice in materia di protezione dei dati personali, in Sanità pubblica e privata, 2/2009;
– Iaselli M. (a cura di), La tutela dei dati personali in ambito sanitario, Giuffrè, 2020;
– Irti C., Riflessioni sull’impatto delle nuove tecnologie nell’ambito sanitario, tra regole tecniche e regole giuridiche, in EJPLT, 1/2023;
– Limone D.A. (a cura di), La sanità digitale, in Rivista elettronica di diritto, economia, management, 3/ 2014;
– Limone D.A., “Dichiarazione europea sui principi e diritti digitali” – Per il decennio digitale 2020-2030, in Rivista elettronica di Diritto, Economia, Management, 3/2025;
– Lucarelli Tonini L.M., Il diritto di accesso alle cure: nuovi orizzonti nella personalizzazione del trattamento sanitario, in Teoria e prassi del diritto, 2/2023;
– Maschio F., Innovazione digitale dei sistemi sanitari, eHealth e questioni di data governance, nell’agenda digitale sanitaria nazionale ed europea, in Comparazione e diritto civile, 2/2021;
– Miccù R., Questioni attuali intorno alla digitalizzazione dei servizi sanitari nella prospettiva multilivello, in federalismi.it, 5/2021;
– Minni F., Morrone A., Il diritto alla salute nella giurisprudenza della Corte Costituzionale italiana, in Rivista AIC, 2/2013;
– Morana D., La salute come diritto costituzionale. Lezioni, Giappichelli, Torino, 2015;
– Morelli A., I diritti e la Rete. Notazioni sulla bozza di Dichiarazione dei diritti in Internet, in federalismi.it, 1/2015;
– Nannipieri L., Sulla “Dichiarazione dei diritti in Internet”. Alcune annotazioni critiche, in Inf. e dir., 2/2014;
– Abba L., Alù A., Il valore della Carta dei diritti di Internet, Esi, Napoli, 2020;
– Pianoforte M., Cittadinanza digitale: la proposta di una dichiarazione solenne sui diritti e i principi digitali, in Eurojus, 14.02.2022;
– Pietroletti A., Nicotra A., Tutela della salute, sistemi digitali e privacy, in Inf. e dir., 1/2022;
– Rodotà S., Il corpo “giuridificato”, in Rodotà S., Zatti P., Trattato di biodiritto, Giuffrè, Milano, 2011;
– Thiene A., Corso S. (a cura di), La protezione dei dati sanitari. Privacy e innovazione tecnologica tra salute pubblica e diritto alla riservatezza, Jovene, 2023;
– Tommasi S., La proposta di Dichiarazione europea sui diritti e i principi digitali per il decennio digitale COM(2022) 28 final del 26 gennaio 2022, in Persona e mercato, 1/2022;
– Ungaro S. (a cura di), NIS2 e Cybersecurity, in Rivista elettronica di Diritto, Economia, Management, 1/2025;
– Zorzi Giustiniani F., La Dichiarazione europea sui diritti e principi digitali, il Trans-Atlantic Data Privacy Framework e l’Unione Federale dei consumatori tedeschi contro Meta Platforms Ireland, in Nomos, 1/2022.
Note
[1] Ampiamente sul tema R. Balduzzi, Salute (diritto alla), in S. Cassese (diretto da), Dizionario di diritto pubblico, Giuffré, Milano, 2006; M. Cartabia, La giurisprudenza costituzionale relativa all’art. 32, secondo comma, della Costituzione italiana, in Quad. cost., 2012, 455 ss.; F. Minni, A. Morrone, Il diritto alla salute nella giurisprudenza della Corte Costituzionale italiana, in Rivista AIC, 2/2013, 1 ss.; D. Morana, La salute come diritto costituzionale. Lezioni, Giappichelli, Torino, 2015, 76 ss.; S. Barbareschi, Tecniche di individuazione del nucleo essenziale del diritto alla salute nella giurisprudenza costituzionale, in C. Colapietro, M. Atripaldi, G. Fares e A. Iannuzzi (a cura di), I modelli di welfare sanitario tra qualità e sostenibilità. Esperienze a confronto, Esi, Napoli, 2018, 335 ss.
[2] C. Irti, Riflessioni sull’impatto delle nuove tecnologie nell’ambito sanitario, tra regole tecniche e regole giuridiche, in EJPLT, 1/2023, 34 ss.; C. Di Costanzo, L’impiego delle nuove tecnologie nel settore della salute: problematiche e prospettive di diritto costituzionale, in Consulta Online, 1/2023, 214 ss.; A. Pietroletti, A. Nicotra, Tutela della salute, sistemi digitali e privacy, in Inf. e dir., 1/2022, 283 ss.; A. Thiene, S. Corso (a cura di), La protezione dei dati sanitari. Privacy e innovazione tecnologica tra salute pubblica e diritto alla riservatezza, Jovene, 2023; F. Maschio, Innovazione digitale dei sistemi sanitari, eHealth e questioni di data governance, nell’agenda digitale sanitaria nazionale ed europea, in Comparazione e diritto civile, 2/2021, 559 ss.; R. Miccù, Questioni attuali intorno alla digitalizzazione dei servizi sanitari nella prospettiva multilivello, in federalismi.it, 5/2021; F. Covino, Uso della tecnologia e protezione dei dati personali sulla salute tra pandemia e normalità, in federalismi.it, 5/2021, 42 ss.; F. Aperio Bella, L’accesso alle tecnologie innovative nel settore salute tra universalità e limiti organizzativi (con una postilla sull’emergenza sanitaria), in Persona e Amministrazione, 1/ 2020, 222 ss.; C. Faralli, R. Brighi, M. Martoni (a cura di), Strumenti, diritti, regole e nuove relazioni di cura: il paziente europeo protagonista nell’eHealth, Giappichelli, Torino, 2015; D.A. Limone (a cura di), La sanità digitale, in Rivista elettronica di diritto, economia, management, 3/ 2014.
[3] C. Colapietro, M. Atripaldi, G. Fares e A. Iannuzzi (a cura di), I modelli di welfare sanitario tra qualità e sostenibilità. Esperienze a confronto, Esi, Napoli, 2018.
[4] S. Rodotà, Il corpo “giuridificato”, in S. Rodotà, P. Zatti, Trattato di biodiritto, Giuffrè, Milano, 2011, 56 ss. Ne evidenzia l’approccio G. Azzariti, Stefano Rodotà e l’uso costituzionalmente orientato delle nuove tecnologie, in Costituzionalismo.it, 2, 2022.
[5] COM(2004)356 del 30 aprile 2004.
[6] COM/2012/0736 del 6 dicembre 2012.
[7] COM(2018)233 del 24 aprile 2018.
[8] Sia consentito rinviare in materia a L.M. Lucarelli Tonini, Il diritto di accesso alle cure: nuovi orizzonti nella personalizzazione del trattamento sanitario, in Teoria e prassi del diritto, 2/2023.
[9] Raccomandazione (Ue) n. 2019/243/UE del 6 febbraio 2019, Considerando n. 15.
[10] Il programma è stato istituito dal Regolamento (Ue) 2021/522 del 24 marzo 2021.
[11] COM (2024) 206del 22 maggio 2024.
[12] Reg. Ue 2025/327dell’11 febbraio 2025.
[13] COM(2025)del 15 gennaio 2025.
[14] Art. 2 del decreto legislativo 7 marzo 2005, n. 82.
Inoltre, l’art. 14 del CAD, dando seguito all bipartizione di competenze tra Stato e Regioni sulla scorta dell’articolo 117 Cost., prevede che la disciplina relativa al coordinamento informatico dei dati dell’amministrazione statale, regionale e locale, spetti allo Stato.
[15] La “Strategia” è stata approvata dal Consiglio dei Ministri il 3 marzo 2015.
[16] Il Patto è previsto dalla “Strategia per la crescita digitale” 2014-2020 e dal “Patto per la Salute” 2014-2016.
[17] Parlamento europeo, Consiglio, Commissione europea – Dichiarazioni comuni, Dichiarazione europea sui diritti e i principi digitali per il decennio digitale (2023/C 23/01).
Circa la Dichiarazione v.: D.A. Limone, “Dichiarazione europea sui principi e diritti digitali” – Per il decennio digitale 2020-2030, in Rivista elettronica di Diritto, Economia, Management, 3/2025; F. Zorzi Giustiniani, La Dichiarazione europea sui diritti e principi digitali, il Trans-Atlantic Data Privacy Framework e l’Unione Federale dei consumatori tedeschi contro Meta Platforms Ireland, in Nomos, 1/2022; M. Pianoforte, Cittadinanza digitale: la proposta di una dichiarazione solenne sui diritti e i principi digitali, in Eurojus, 14.02.2022; P. De Pasquale, Verso una Carta dei diritti digitali (fondamentali) dell’Unione europea?, in Il diritto dell’Unione europea, 17.03.2022; S. Tommasi, La proposta di Dichiarazione europea sui diritti e i principi digitali per il decennio digitale COM(2022) 28 final del 26 gennaio 2022, in Persona e mercato, 1/2022, 168-171.
[18] Camera dei Deputati – Commissione per i diritti e i doveri relativi ad Internet, Dichiarazione dei diritti di Internet, 14 luglio 2015.
A riguardo v.: M. Bassini, Né costituzione né legge. La Dichiarazione dei diritti in Internet verso una missione culturale, in Medialaws, 28 luglio 2015; A. Morelli, I diritti e la Rete. Notazioni sulla bozza di Dichiarazione dei diritti in Internet, in federalismi.it, 1/2015; L. Nannipieri, Sulla “Dichiarazione dei diritti in Internet”. Alcune annotazioni critiche, in Inf. e dir., 2/2014, 127-138; L. Abba, A. Alù, Il valore della Carta dei diritti di Internet, Esi, Napoli, 2020.
[19] Regolamento (UE) 2019/881 relativo all’ENISA, l’Agenzia dell’Unione europea per la cibersicurezza, e alla certificazione della cibersicurezza per le tecnologie dell’informazione e della comunicazione, e che abroga il regolamento (UE) n. 526/2013 («regolamento sulla cibersicurezza»), del 17 aprile 2019.
[20] Direttiva (UE) 2016/1148 del 6 luglio 2016..
[21] Direttiva (UE) 2022/2555 del 14 dicembre 2022.
A riguardo si veda: S. Ungaro (a cura di), NIS2 e Cybersecurity, in Rivista elettronica di Diritto, Economia, Management, 1/2025; M. Buffa, La Direttiva NIS II cybersecurity in Europa: tra innovazione, formazione e diritto vivente, in Democrazie e Diritti Sociali, 1/2023, 47 ss.
[22] Decreto legislativo 4 settembre 2024, n. 138, in tema di recepimento della direttiva (UE) 2022/2555, relativa a misure per un livello comune elevato di cibersicurezza nell’Unione, recante modifica del regolamento (UE) n. 910/2014 e della direttiva (UE) 2018/1972 e che abroga la direttiva (UE) 2016/1148.
[23] Regolamento (UE) 2024/2847 del 23 ottobre.
[24] Regolamento (UE) 2017/745 del 5 aprile 2017.
[25] M. Iaselli (a cura di), La tutela dei dati personali in ambito sanitario, Giuffrè, 2020; C. Colapietro, F. Laviola, I trattamenti di dati personali in ambito sanitario, in Dirittifondamentali.it, 2/2019; C. Filippi, S. Melchionna, I trattamenti di dati in ambito sanitario, in G. Busia, L. Liguori, O. Pollicino (a cura di), Le nuove frontiere della privacy nelle tecnologie digitali. Bilanci e prospettive, Aracne, Roma, 2016, 469 ss.; G. Finocchiaro, Il trattamento dei dati sanitari: alcune riflessioni critiche a dieci anni dall’entrata in vigore del Codice in materia di protezione dei dati personali, in Sanità pubblica e privata, 2/2009.
[26] Si fa riferimento, in particolare, alla recente introduzione, nell’ambito del d.lgs. 36/2023, dell’art. 108 co. 4, relativo alla valutazione degli elementi di cybersicurezza nelle procedure di evidenza pubblica aventi ad oggetto beni e servizi informatici, così come ulteriormente specificato dall’ACN con le recentissime “Linee Guida per l’applicazione dei criteri di premialità di cui all’articolo 14 della Legge n. 90/2024”.
[27] Agenzia Nazionale per i Servizi Sanitari Regionali – Linee Guida di indirizzo per il percorso evolutivo dei Sistemi Medicali per Telemonitoraggio, del 9 dicembre 2024.
[28] Decreto del Ministero della Salute del n. 25 del 14 gennaio 2025, rubricato “Istituzione presso il Ministero della Salute del tavolo settoriale per l’attuazione della Direttiva NIS”.
[29] Comunicazione COM(2025) 10 final, del 15 gennaio 2025.
