Tra gli obiettivi del Regolamento Ue European Health Data Space (EHDS o il “Regolamento”), il cui testo definitivo è stato approvato nell’aprile 2024 e la cui entrata in vigore è attesa entro la fine dell’anno corrente, vi è quello di fornire una regolamentazione coerente per l’uso secondario dei dati sanitari elettronici ai fini della ricerca e dell’innovazione in ambito scientifico.
Tale obiettivo è inserito nel Capo IV dell’EHDS, dedicato al predetto utilizzo. Nel presente articolo verrà brevemente illustrata la nuova disciplina, con un focus sul tema della base giuridica applicabile e del ruolo dei fornitori tecnologici.
La disciplina dell’uso secondario dei dati
In primo luogo, tale Regolamento ha il pregio di consacrare la liceità dell’uso secondario dei dati ove siano rispettati i requisiti ivi previsti e sia perseguita una delle finalità riconosciute dal Regolamento stesso.
Tra queste è espressamente menzionata la ricerca scientifica relativa ai settori della salute e dell’assistenza, che contribuisca alla salute pubblica o alla valutazione della tecnologia sanitaria, ovvero che sia volta a garantire alti livelli di qualità e sicurezza dell’assistenza sanitaria, dei medicinali o dei dispositivi medici, con l’obiettivo di beneficiare gli utenti finali, come i pazienti, gli operatori sanitari e gli amministratori della sanità. È inoltre specificato che tale finalità include l’attività di sviluppo e innovazione di prodotti o servizi, nonché l’attività di formazione, test e valutazione degli algoritmi, anche con riferimento ai dispositivi medici, ai dispositivi medici diagnostici in vitro, ai sistemi AI e alle applicazioni di salute digitale.
La nozione di finalità di ricerca scientifica
La nozione di finalità di ricerca scientifica è pertanto interpretata in modo ampio, includendo lo sviluppo tecnologico, la ricerca applicata e la ricerca finanziata privatamente. Nei Considerando del Regolamento sono altresì indicati alcuni esempi, tra cui la formazione di algoritmi di intelligenza artificiale che potrebbero essere utilizzati nell’assistenza sanitaria o nella cura delle persone fisiche, nonché la valutazione e l’ulteriore sviluppo di algoritmi e prodotti esistenti per tali scopi. È inoltre precisato che il nuovo Regolamento dovrebbe contribuire alla ricerca fondamentale, nodo cruciale per la società, sebbene i benefici per gli utenti finali e i pazienti possano essere meno diretti e più orientati al lungo termine.
Le finalità espressamente vietate
Oltre alle finalità consentite, l’EHDS individua una serie di finalità espressamente vietate, quali a titolo esemplificativo l’adozione di decisioni pregiudizievoli per una persona fisica sulla base dei suoi dati sanitari elettronici o lo svolgimento di attività pubblicitarie o di marketing.
L’iter per l’autorizzazione all’uso secondario dei dati
L’uso secondario dei dati sarà comunque gestito a livello centralizzato e richiederà un’apposita autorizzazione da rilasciarsi ad opera di organismi responsabili dell’accesso ai dati, designati dagli Stati membri. L’utente dovrà presentare la richiesta, corredata da una serie di informazioni quali le finalità perseguite e le misure di sicurezza da adottare; e, a seguito di valutazione, l’organismo deciderà in merito all’autorizzazione entro tre mesi dalla richiesta.
L’EHDS prevede che, ove un utente ottenga un’autorizzazione da parte dell’organismo responsabile dell’accesso ai dati, al titolare dei dati sia richiesto di metterli a disposizione entro tre mesi dalla ricezione della richiesta.
L’autorizzazione avrà una durata parametrata alla tempistica necessaria a conseguire le finalità indicate, e comunque non superiore a dieci anni. L’accesso ai dati dovrà avvenire in forma anonimizzata o pseudonimizzata ed in un ambiente sicuro, soggetto a misure tecniche e organizzative dettagliate.
Particolarmente di interesse è anche l’aspetto relativo alla necessità per l’utente di pagare una tariffa, che terrà conto dei costi amministrativi della gestione della domanda e, altresì, di quelli relativi alla fornitura ed alla preparazione dei dati (inclusa la medesima anonimizzazione).
I compiti in capo agli organismi di accesso ai dati sanitari
Oltre alla valutazione e decisione sulle richieste di accesso ai dati, il Regolamento pone in capo agli organismi di accesso ai dati sanitari una serie di ulteriori compiti. Tra questi, appaiono particolarmente rilevanti il compito di fornire l’accesso ai dati sanitari elettronici agli utenti dei dati sanitari in base a un’autorizzazione al trattamento dei dati in un ambiente di elaborazione sicuro, in conformità con i requisiti stabiliti dal Regolamento; nonché quelli di monitorare e supervisionare la conformità ai requisiti da parte di utenti e titolari dei dati sanitari; di richiedere i dati sanitari elettronici ai titolari dei dati sanitari pertinenti rispetto all’autorizzazione concessa; di elaborare i dati sanitari elettronici, ivi incluse la combinazione, la preparazione e la compilazione dei dati necessari richiesti dai titolari dei dati sanitari, la pseudonimizzazione ovvero l’anonimizzazione dei dati; di adottare tutte le misure necessarie per preservare il rispetto dei diritti di proprietà intellettuale, nonché la riservatezza dei segreti commerciali.
Ulteriori compiti sono previsti nei riguardi delle persone fisiche, a cui devono essere rese pubbliche e facilmente accessibili una serie di informazioni, tra cui quali sono i soggetti hanno avuto accesso ai dati, gli estremi dell’autorizzazione, i risultati e gli esiti dei progetti per i quali i dati sono utilizzati.
Qualora un organismo di accesso ai dati sanitari sia informato da un utente di dati sanitari circa un riscontro significativo relativo alla salute di una persona fisica, l’organismo dovrà informare il titolare dei dati di tale riscontro; sarà poi il titolare dei dati, alle condizioni stabilite dalla legge nazionale, ad informare la persona fisica o il professionista sanitario preposto alla cura, ferma restando la facoltà delle persone fisiche di chiedere di non essere informate di tali risultati.
I doveri in capo ai titolari di dati sanitari
Specifici doveri sono altresì previsti per i titolari di dati sanitari che, in primo luogo, devono mettere a disposizione i dati sanitari elettronici rilevanti su richiesta dell’organismo di accesso ai dati sanitari, in base ad un’autorizzazione o a una richiesta di dati, oltre a compiti di comunicazione sul set di dati detenuti, ai fini della tenuta del catalogo dei dati.
Gli utenti dei dati sanitari dovranno invece attenersi all’autorizzazione nell’elaborare i dati sanitari elettronici per uso secondario e rispettare il divieto di fornire l’accesso o rendere disponibili in altro modo i dati sanitari elettronici a terzi non menzionati nell’autorizzazione dei dati, nonché il divieto di re-identificare o cercare di re-identificare le persone fisiche a cui si riferiscono i dati sanitari elettronici ottenuti. Gli utenti dei dati sanitari dovranno inoltre rendere pubblici i risultati o l’output dell’uso secondario dei dati sanitari elettronici, comprese le informazioni rilevanti per la prestazione dell’assistenza sanitaria, entro 18 mesi dal completamento dell’elaborazione dei dati sanitari elettronici nell’ambiente sicuro (esclusivamente con dati anonimi).
Il diritto di opt-out
Un punto che è stato a lungo discusso nell’ambito del trilogo e delle negoziazioni tra le istituzioni comunitarie è quello relativo al diritto di opt-out o opt-in per l’uso secondario dei dati, che non era previsto nella primissima versione della proposta di Regolamento della Commissione, e su cui invece hanno successivamente insistito il Parlamento e il Consiglio UE. La versione definitiva del testo prevede pertanto un diritto di opt-out per l’elaborazione di dati sanitari elettronici personali per uso secondario, esercitabile dalle persone fisiche in qualsiasi momento e senza la necessità di indicarne i motivi.
Ai fini dell’esercizio di tale diritto, che è in ogni caso reversibile, gli Stati membri dovranno prevedere un meccanismo accessibile e facilmente comprensibile. Una volta esercitato il diritto di opt-out, il set di dati collegati alla persona non saranno più resi disponibili o altrimenti trattati, pur non essendo pregiudicato il trattamento dei dati sanitari elettronici personali relativi a tale persona fisica per un uso secondario ai sensi delle autorizzazioni o delle richieste di dati concesse prima che la persona fisica abbia optato per la cancellazione.
Gli Stati membri possono comunque stabilire, attraverso la legislazione nazionale, un meccanismo per rendere disponibili anche i dati per i quali è stato esercitato l’opt-out al ricorrere di determinate condizioni, ed in particolare nel caso vi sia la richiesta da parte di un ente del settore pubblico o da un’istituzione, un organo, un ufficio o un’agenzia dell’Unione che svolgano compiti nell’ambito della salute pubblica, o da un’altra entità incaricata di svolgere compiti pubblici nell’ambito della salute pubblica, o che agisca per conto o su incarico di un’autorità pubblica, quando ciò sia necessario per determinate finalità.
La legislazione degli Stati membri può inoltre introdurre garanzie aggiuntive e più stringenti (ivi incluso la necessità del consenso, quindi una forma di opt-in) in merito ad alcune categorie di dati, quali ad esempio i dati genetici, epigenomici e genomici umani, altri dati molecolari umani, i dati sanitari dalle biobanche e dai database associati, o i dati dalle applicazioni wellness.
La base giuridica del trattamento per l’uso secondario dei dati
Un primo grande passo è rappresentato dal superamento dell’annoso problema interpretativo relativo alla base giuridica del trattamento per l’uso secondario dei dati, soprattutto a fini di ricerca scientifica. Infatti, il quadro giuridico europeo è stato negli anni passati alquanto disomogeneo in termini di basi giuridiche applicabili, oscillando tra Paesi che ammettono pacificamente il legittimo interesse (in combinato disposto, per i dati sanitari, con l’eccezione al divieto di trattamento per finalità di ricerca scientifica o altre eccezioni di cui all’articolo 9 paragrafo 2 del GDPR) a Paesi più conservativi e “consenso-centrici”, come l’Italia, almeno fino alla recente riforma dell’art. 110 del Codice Privacy.
Il Regolamento affronta esplicitamente il tema in uno dei Considerando, ove afferma che, senza ostacolare o sostituire i meccanismi contrattuali o di altro tipo esistenti, lo stesso Regolamento mira a stabilire un meccanismo comune di accesso ai dati sanitari elettronici per uso secondario in tutta l’Unione Europea, in base al quale i titolari dei dati devono rendere disponibili i dati in loro possesso sulla base di un’autorizzazione.
Inoltre, dopo aver ricordato che per il trattamento dei dati sanitari elettronici per uso secondario dovrebbe essere richiesta una delle basi giuridiche di cui all’Articolo 6 (1) GDPR in combinazione con l’Articolo 9 GDPR, il Regolamento statuisce che esso stesso fornisce tale base giuridica, comprese le garanzie per consentire il trattamento di categorie speciali di dati, in conformità all’Articolo 9(2), punti (g), (h), (i) e (j) GDPR in termini di finalità lecite, governance di fiducia per fornire l’accesso ai dati sanitari (mediante il coinvolgimento di organismi per l’accesso agli stessi) e trattamento effettuato in un ambiente sicuro, nonché modalità per il trattamento dei dati, (che vengono stabilite nell’autorizzazione).
È altresì precisato che gli Stati membri non possono più mantenere o introdurre ai sensi dell’Articolo 9(4) GDPR ulteriori condizioni, tra cui limitazioni e disposizioni specifiche che richiedono il consenso delle persone fisiche, in relazione al trattamento per uso secondario dei dati sanitari elettronici personali, ad eccezione di quanto previsto dall’EHDS.
Al contempo, tuttavia, è precisato che i richiedenti i dati devono dimostrare una base giuridica ai sensi dell’Articolo 6 GDPR, in base alla quale possono richiedere l’accesso ai dati sanitari elettronici e devono soddisfare le condizioni di cui al sopra citato Capitolo IV, mentre l’organismo di accesso ai dati sanitari deve valutare le informazioni fornite dal richiedente al fine del rilascio dell’autorizzazione al trattamento.
Più specificamente, per il trattamento dei dati sanitari elettronici detenuti dai titolari di dati sanitari, è l’EHDS a creare l’obbligo legale ai sensi dell’Articolo 6, paragrafo 1, lettera (c) GDPR, in conformità con l’Articolo 9, paragrafo 2, lettere (i) e (j), per la messa a disposizione di tali dati da parte del relativo titolare agli organismi di accesso ai dati sanitari, distinguendosi pertanto dalla base giuridica per lo scopo primario (quale, a titolo esemplificativo, la fornitura di assistenza sanitaria), che non viene intaccata. Inoltre, l’EHDS istituisce compiti di interesse pubblico ai sensi dell’Articolo 6, paragrafo 1, lettera (e) GDPR in capo agli organismi di accesso ai dati sanitari e soddisfa i requisiti dell’Articolo 9, paragrafo 2, lettere (g), (h), (i) e (j) GDPR.
Quanto all’utente dei dati sanitari, viene chiarito che, se lo stesso si basa su una base giuridica offerta dall’Articolo 6 (1), lettera (e) o (f) GDPR, allora l’EHDS dovrebbe fornire le garanzie richieste dall’Articolo 9(2) dello stesso GDPR.
Un regime distinto di basi giuridiche applicabili a seconda del soggetto che tratta i dati
Sembrerebbe, dunque, essere introdotto un regime distinto di basi giuridiche applicabili a seconda del soggetto che tratta i dati. In particolare, il titolare dei dati lo farà sulla base di un obbligo di legge introdotto dallo stesso Regolamento, l’organismo pubblico di accesso ai dati effettuerà il trattamento nello svolgimento di un compito di interesse pubblico e l’utente dovrà invece dimostrare una base giuridica tra l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri ovvero il legittimo interesse (con relativa redazione di un Legitimate Interest Assessment). Sembrerebbe, altresì, dalla lettura del sopra citato Considerando, che non sia invece necessario dimostrare la sussistenza di una eccezione al divieto di trattamento di cui all’articolo 9 GDPR.
Sarà interessante seguire, nell’implementazione del Regolamento, come verrà interpretato ed applicato nella pratica tale requisito.
I soggetti dell’EHDS ed il ruolo dei fornitori tecnologici
Attori principali dell’uso secondario dei dati sanitari elettronici, oltre agli organismi centrali di accesso ai dati, sono i titolari dei dati sanitari, tenuti a mettere a disposizione i dati stessi.
La definizione di “titolare dei dati sanitari’”
La definizione di “titolare dei dati sanitari’” (“data holder”) chiarisce che con tale espressione si intende qualsiasi persona fisica o giuridica, autorità pubblica, agenzia o altro organismo del settore sanitario o assistenziale, compresi i servizi di rimborso, nonché qualsiasi persona fisica o giuridica che sviluppi prodotti o servizi destinati al settore sanitario o assistenziale; che sviluppi o produca applicazioni per il benessere; che svolga attività di ricerca in relazione al settore sanitario o assistenziale; nonché qualsiasi istituzione, organismo, ufficio o agenzia dell’Unione che abbia:
(a) il diritto o l’obbligo, in conformità al diritto dell’Unione o alla legislazione nazionale applicabile, di trattare i dati sanitari elettronici personali per la fornitura di assistenza sanitaria o di cure o per scopi di sanità pubblica, rimborso, ricerca, innovazione, elaborazione di politiche, statistiche ufficiali, sicurezza del paziente o regolamentazione, in qualità di titolare del trattamento o di contitolare del trattamento; oppure
(b) la possibilità di mettere a disposizione dati sanitari elettronici non personali anche per registrarli, fornirli, limitarne l’accesso o scambiarli, attraverso il controllo del design tecnico di un prodotto e dei servizi correlati.
Nei Considerando viene inoltre precisato che tali entità possono essere pubbliche, non profit o private e che, in linea con la definizione del Regolamento, le case di cura, i centri diurni, le entità che forniscono servizi alle persone con disabilità, le attività commerciali e tecnologiche legate all’assistenza (come l’ortopedia), e le aziende che forniscono servizi di assistenza dovrebbero essere considerate titolari di dati sanitari. Anche le persone giuridiche che sviluppano applicazioni per il benessere dovrebbero essere titolari di dati sanitari.
Il ruolo dei fornitori tecnologici
Un ruolo fondamentale è svolto anche dai fornitori tecnologici in qualità di responsabili del trattamento ex articolo 28 GDPR, per quanto attiene alle procedure di anonimizzazione e pseudonimizzazione applicate. Si tratta infatti di un aspetto essenziale ai fini della riduzione dei rischi sulla privacy delle persone fisiche e alla luce del principio di minimizzazione dei dati. Pertanto, qualora l’utente dei dati abbia bisogno di utilizzare i dati sanitari elettronici personali, dovrà indicare chiaramente nella sua richiesta la giustificazione per l’uso di questo tipo di dati, e l’organismo di accesso ai dati sanitari dovrà valutare la validità di tale giustificazione.
Anonimizzazione e pseudonimizzazione dei dati
I medesimi Considerando del Regolamento evidenziano come, tenendo conto delle finalità specifiche del trattamento, i dati dovrebbero essere anonimizzati o pseudonimizzati il più presto possibile nella catena di loro messa a disposizione per un uso secondario. Quanto agli attori, gli stessi Considerando precisano che la pseudonimizzazione e l’anonimizzazione possono essere effettuate dagli organismi di accesso ai dati sanitari o dai titolari dei dati sanitari che tuttavia, in qualità di titolari del trattamento, potranno delegare questi compiti ai responsabili del trattamento.
Peraltro, è indicato che, per l’anonimizzazione e la pseudonimizzazione dovrebbero utilizzarsi tecnologie e standard all’avanguardia, garantendo nella massima misura possibile che le persone fisiche non possano essere nuovamente identificate dagli utenti dei dati sanitari, precisando che tali tecnologie e standard per l’anonimizzazione dei dati dovrebbero essere ulteriormente sviluppati.
Un ulteriore ruolo svolto dai fornitori potrebbe essere quello di intermediari. Difatti, in uno dei Considerando è indicato che al fine di ridurre l’onere amministrativo e alla luce dei principi di efficacia ed efficienza, gli Stati membri dovrebbero poter decidere, attraverso la legislazione nazionale, che per alcune categorie di titolari di dati i loro doverisiano svolti da entità di intermediazione di dati sanitari. Tali entità di intermediazione di dati sanitari dovrebbero essere persone giuridiche in grado di elaborare e rendere disponibili per un uso secondario i dati sanitari elettronici forniti dai titolari e, precisa il Considerando, svolgere compiti differenti dai servizi di intermediazione di dati di cui all’Articolo 10 del Regolamento (UE) 2022/868 (Data Governance Act).
Pertanto, sarà opportuno monitorare l’evoluzione del predetto ruolo con l’implementazione della legislazione nei contesti dei vari Stati membri.
Conclusioni
In conclusione, l’EHDS comporterà una vera e propria rivoluzione nell’ambito dell’uso secondario dei dati, impattando su ricerca ed innovazione e fornendo un quadro più armonizzato per gli Stati membri; superando così, auspicabilmente, le disomogeneità regolatorie stratificatesi nel corso degli anni, anche dal punto di vista delle basi giuridiche applicabili.
Da ultimo, è possibile rilevare come i fornitori tecnologici rivestiranno un ruolo cruciale nell’attuazione ed implementazione del Regolamento, sia nella tradizionale veste di responsabili del trattamento ai sensi dell’articolo 28 GDPR sia, presumibilmente, nel ruolo di intermediari di dati.