l'analisi

Spazio Europeo dei dati sanitari, pro e contro: ecco cosa ne pensano i Garanti europei

Secondo il parare congiunto del Comitato europeo per la protezione dei dati (EDPB) e del Garante europeo per la protezione dei dati (EDPS) alcuni passaggi della proposta della Commissione per uno Spazio Europeo dei Dati Sanitari andrebbero ad indebolire il quadro di protezione delineato dal GDPR. Ecco perché

05 Ago 2022
Rossella Bucca

Studio Previti Associazione professionale

Lorenzo Pinci

praticante avvocato Studio Previti

sanità regione lazio ransomware - consenso informato

Lo “Spazio Europeo dei Dati Sanitari” (“EHDS”) proposto dalla Commissione europea, allo stato attuale, presenta dei profili altamente critici, legati non solo alla tipologia di dati trattati, ma anche alle finalità del trattamento in esame.

Criticità che emergono anche dal parere congiunto del  Comitato europeo per la protezione dei dati (“EDPB”) e del Garante europeo per la protezione dei dati (“EDPS”) in cui si evidenziano alcuni passaggi della proposta che, a detta dei Garanti, andrebbero ad indebolire il quadro di protezione delineato dal Regolamento UE 2016/679 (“Regolamento” o “GDPR”) in materia di diritti degli interessati.

Quali sono, dunque, i punti principali e i problemi della proposta?

Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea

In che contesto si colloca la proposta della Commissione

L’iniziativa dell’istituzione europea si inserisce nel percorso di trasformazione digitale intrapreso dall’Unione e che, entro il 2030, si pone l’ambizioso obiettivo di sostenere i cittadini per il raggiungimento di molteplici finalità: prima fra tutte, l’assunzione di maggiore controllo nella circolazione dei dati sanitari; secondariamente, l’implementazione di una sorta di mercato unico delle cartelle cliniche elettroniche con l’applicazione dei sistemi di intelligenza artificiale. Infine, lo sfruttamento tout court del potenziale offerto dallo scambio, dall’uso e dal riutilizzo sicuro dei dati medesimi, al fine di rafforzare gli strumenti della ricerca scientifica e dell’innovazione in campo medico.

WHITEPAPER
Gestione dei contratti e GDPR: guida all’esternalizzazione di attività dei dati personali
Legal
Privacy

La “linea guida” disegnata dalla Commissione, quindi, si colloca nel più ampio contesto del raggiungimento dei traguardi digitali, con l’accelerazione di progetti multinazionali, su vasta scala che coinvolgeranno ogni singolo Stato membro per sostenere un mercato unico digitale interconnesso, interoperabile e sicuro. Secondo tale prospettiva, il formato di scambio che la Commissione dovrebbe essere chiamata ad individuare dovrebbe consentire finalmente l’effettiva interoperabilità e portabilità dei dati in formato digitale su tutto il territorio europeo, attraverso l’infrastruttura “MyHealth@EU”, attualmente operativa in soli dieci Stati membri e con la facoltà di utilizzare esclusivamente il servizio di prescrizione elettronica e quello del profilo sanitario sintetico del paziente, nel contesto dell’assistenza sanitaria transfrontaliera.

Quali sono i principali profili analizzati dalla proposta

Come poco sopra anticipato, l’obiettivo delineato dalla Commissione è quello di creare un quadro armonizzato che disciplini gli aspetti afferenti alle tematiche rilevanti alla base della creazione di uno spazio europeo dei dati sanitari.

In particolare, il progetto normativo si snoda attraverso otto capi, ognuno dei quali analizza diversi aspetti fondamentali per la regolamentazione dello Spazio Europeo dei Dati Sanitari.

Il capo I presenta l’oggetto e l’ambito di applicazione del regolamento, stabilisce le definizioni utilizzate nello stesso e delinea il rapporto con le altre fonti europee.

Al capo II, vengono illustrati gli ulteriori diritti e meccanismi concepiti per integrare i diritti delle persone fisiche previsti ai sensi del GDPR in relazione ai dati sanitari elettronici, descrivendo, peraltro, gli obblighi esistenti in capo ai professionisti sanitari.

Il capo III si concentra sull’attuazione di uno schema di autocertificazione obbligatoria per i sistemi di cartelle cliniche elettroniche, nell’ambito del quale dovranno essere garantite le prescrizioni essenziali relative ad interoperabilità e sicurezza.

Il capo IV disciplina il cosiddetto uso secondario dei dati sanitari elettronici – vale a dire l’utilizzo dei dati sanitari per le finalità di progetti di ricerca ed innovazioni scientifiche – anche attraverso l’indicazione di categorie di dati che possono essere utilizzati per finalità specifiche.

Il capo V mira a suggerire altre misure che promuovano lo sviluppo delle capacità da parte degli Stati membri per sostenere la messa a punto dello spazio europeo dei dati sanitari.

Il capo VI istituisce il “comitato dello spazio europeo dei dati sanitari” che faciliterà la cooperazione tra le autorità di sanità digitale e gli organismi responsabili dell’accesso ai dati sanitari, in particolare la relazione tra uso primario (inteso come uso dei dati per l’implementazione dei fascicoli sanitari e delle cartelle elettroniche) e secondario dei dati sanitari elettronici.

Il capo VII consente alla Commissione di adottare atti delegati riguardanti lo spazio europeo dei dati sanitari.

Il capo VIII contiene disposizioni sulla cooperazione, le sanzioni e le disposizioni finali.

Le motivazioni a fondamento del parere congiunto

Ad una prima lettura, sembra che la cornice immaginata dalla Commissione non manchi di nulla. Eppure, l’EDPB e l’EDPS (d’ora in poi indicate congiuntamente anche con il termine “Autorità”), pur riconoscendo l’importanza e la portata innovativa della proposta, sottolineano la necessità che la stessa sia coerente con la vigente normativa in materia privacy, senza che possano ravvisarsi elementi di contrasto o di eventuale indebolimento delle regole faticosamente individuate a protezione dei dati personali.

La funzione del parere congiunto risiede non tanto nell’elencare le questioni giuridiche che presentano profili problematici, quanto nell’affrontare le criticità in materia privacy e data protection relative alla proposta.

Le Autorità precisano, peraltro, che il successo dell’EHDS dipenderà, in prima battuta, dall’individuazione di adeguata base giuridica per il trattamento dei dati, conformemente a quanto prescritto dal GDPR, che, si ricordi, stabilisce cautele ulteriori per il caso in cui il trattamento concerna dati sanitari.

Il parere, dunque, ha la precipua funzione di dare precise istruzioni e raccomandazioni su come rendere la proposta conforme alla normativa, ai provvedimenti emessi a livello europeo tanto sul piano legislativo quanto dal punto di vista giurisprudenziale e amministrativo.

Le osservazioni delle Autorità

Scendendo nel dettaglio delle considerazioni formulate, le Autorità manifestano plauso per la proposta presentata dalla Commissione, che si pone in linea con la prospettiva di trasparenza, responsabilità effettiva e corretto equilibrio tra gli interessi dei singoli e quelli della società nel suo complesso. Inoltre le Autorità hanno rilevato come l’EHDS miri a contribuire ad attenuare l’attuale frammentazione delle norme applicabili al trattamento dei dati sanitari e alla ricerca scientifica. Il parere congiunto, infatti, subito dopo una breve introduzione concernente l’ambito oggettivo e alcune considerazioni generali sul delicato tema dei dati sanitari, riprende pedissequamente la su illustrata struttura della proposta.

Uso primario e secondario dei dati sanitari elettronici

Le lettere d) ed e) dell’articolo 2, par. 2, della proposta forniscono, rispettivamente, le definizioni di uso primario e secondario dei dati sanitari elettronici. Ai sensi del menzionato articolo, per uso primario si intende “il trattamento dei dati sanitari elettronici personali per la prestazione di servizi sanitari al fine di valutare, mantenere o ripristinare lo stato di salute della persona fisica cui si riferiscono tali dati, comprese la prescrizione, la dispensazione e la fornitura di medicinali e dispositivi medici, nonché per i pertinenti servizi di sicurezza sociale, amministrativi o di rimborso”, mentre per uso secondario “il trattamento dei dati sanitari elettronici per le finalità di cui al capo IV –disciplinante specificatamente l’uso secondario dei dati– del presente regolamento. Tra i dati utilizzati possono figurare dati sanitari elettronici personali originariamente raccolti nel contesto dell’uso primario, ma anche dati sanitari elettronici raccolti ai fini dell’uso secondario”.

Le Autorità rilevano che, per quanto riguarda l’uso primario dei dati sanitari elettronici, per come previsto dalla proposta, è necessario raggiungere un equilibrio tra l’agevolazione della disponibilità di documenti elettronici, tanto a livello nazionale quanto a livello europeo, e l’impatto sui diritti e le libertà degli individui, tenuto conto di quanto prescritto dal GDPR. Proprio con riferimento all’interazione della proposta con l’attuale normativa, le Autorità nutrono forti preoccupazioni e raccomandano al legislatore di essere più chiaro e coerente possibile rispetto alle disposizioni attualmente vigenti, al fine di evitare incertezze e disarmonie in un contesto così peculiare (cfr. punto 46 del parere); esempio lampante è l’articolo 3, paragrafo 8, della proposta, che, pur introducendo un nuovo diritto per l’interessato (la possibilità di trasmettere i propri dati sanitari elettronici a un destinatario a scelta).

Nondimeno, non vengono stabilite adeguate misure a carico del soggetto che riceva tali dati e, poiché l’articolo 9, paragrafo 1, del GDPR, in linea di principio, non consente il trattamento dei dati personali relativi alla salute e dei dati genetici, le Autorità raccomandano di allineare l’articolo 3, paragrafo 8, della proposta con gli articoli 6 e 9, paragrafo 2, del GDPR. Di più: è fondamentale chiarire l’interazione di questa disposizione con le possibili ulteriori condizioni, comprese le limitazioni, relative al trattamento dei dati sanitari o genetici che gli Stati membri possono aver mantenuto o introdotto ai sensi dell’articolo 9, paragrafo 4, del GDPR.

L’articolo 34, paragrafo 1, della proposta fornisce un elenco di finalità per le quali i dati sanitari elettronici possono essere trattati per uso secondario senza, in realtà, porre dei limiti. È, difatti, ricompresa, qualsiasi forma di “attività di sviluppo e innovazione per prodotti o servizi che contribuiscono alla salute pubblica o alla sicurezza sociale” o “formazione, sperimentazione e valutazione di algoritmi, anche in dispositivi medici, sistemi di intelligenza artificiale e applicazioni sanitarie digitali, che contribuiscono alla salute pubblica o alla sicurezza sociale” (cfr. articolo 34 della proposta e punto 85 del parere).

Le Autorità raccomandano, di conseguenza, che la proposta delinei specificatamente tali finalità e circoscriva i casi in cui vi sia un collegamento sufficiente con le finalità relative alla tutela della salute pubblica e/o della sicurezza sociale, per raggiungere un equilibrio che tenga adeguatamente conto degli obiettivi perseguiti dalla proposta e della protezione dei dati personali degli interessati dal trattamento.

Non si può prescindere dalla garanzia di protezione nel trattamento delle categorie particolari di dati personali, specificatamente per quanto indicato dalle lettere f) e g) dell’articolo 34 della proposta, ossia la conformità “ad attività di sviluppo e innovazione per prodotti o servizi che contribuiscono alla sanità pubblica o alla sicurezza sociale, oppure che garantiscono elevati livelli di qualità e sicurezza dell’assistenza sanitaria, dei medicinali o dei dispositivi medici” e “ad attività di addestramento, prova e valutazione degli algoritmi, anche nell’ambito di dispositivi medici, sistemi di IA e applicazioni di sanità digitale, che contribuiscono alla sanità pubblica o alla sicurezza sociale, oppure che garantiscono elevati livelli di qualità e sicurezza dell’assistenza sanitaria, dei medicinali o dei dispositivi medici”.

Cartella clinica elettronica: “Sistema EHR”

Il capitolo III della proposta si concentra sull’attuazione di un sistema di autocertificazione obbligatoria per i sistemi di “Electronic Health Record (EHR)”, le cartelle cliniche che devono soddisfare i requisiti essenziali relativi all’interoperabilità e alla sicurezza stabiliti nell’allegato II della proposta.

Come evidenziato nell’illustrazione dettagliata delle singole disposizioni della proposta “questo approccio è necessario per garantire che le cartelle cliniche elettroniche siano compatibili tra i vari sistemi e consentano una facile trasmissione dei dati sanitari elettronici tra di essi”. (cfr. punto 72 del parere).

Le Autorità accolgono con favore la regola secondo la quale, ai sensi degli articoli 15 e 17 della proposta, i sistemi EHR devono essere sottoposti a una procedura di valutazione preventiva di conformità prima di raggiungere il grado di operatività nel servizio di assistenza sanitaria transfrontaliera.

Ciò è confermato dalle considerazioni espresse al punto 77: le Autorità affrontano la delicata questione della gestione dei rischi posti dai sistemi EHR, degli incidenti gravi, nonché dell’attuazione di azioni correttive, le quali è raccomandato di stabilire un obbligo di informazione e di cooperazione con le autorità di protezione dei dati. In questo caso, le Autorità mettono in guardia dalla possibilità che, tra i rischi presentati da un sistema EHR, possano essere incluse le violazioni di dati personali che abbiano eventualmente origine da malfunzionamenti o deterioramento delle caratteristiche o delle prestazioni di un sistema EHR e che, conseguentemente, comportano grave nocumento alla tutela dei dati sanitari.

Conclusioni

Il viaggio verso l’Europa digitale continua, basti pensare al “pacchetto” normativo digitale dedicato ai dati, per i quali, ormai da mesi, si cerca di raggiungere il giusto compromesso tra la spinta verso la libera circolazione dei dati e la tutela dei diritti in capo ai produttori dei dispositivi, senza dimenticare il regolamento sull’intelligenza artificiale, altro obiettivo in lavorazione sul tavolo delle istituzioni.

Si tratta di un percorso ancora agli albori, per cui sarà necessario attendere qualche anno, come del resto anticipato dallo stesso art. 72 della proposta, che statuisce espressamente un’applicazione differita e “scaglionata” quantomeno per il capo III. Non resta, dunque, che attendere i successivi sviluppi e, nel frattempo, porre l’attenzione sulle misure di interoperabilità introdotte dai singoli Stati membri e sulla volontà di Parlamento e Consiglio di accogliere i suggerimenti delle Autorità.

Digital event
Torna il Cybersecurity 360 Summit strategia nazionale di cybersicurezza. Online, 27 ottobre
Sicurezza
Sicurezza dei dati
@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Analisi
PA
Salute digitale
News
Fondi
Formazione
Ecologia
Digital Economy
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Incentivi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Incentivi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr

Articolo 1 di 4