La proposta di Regolamento del Parlamento Europeo e del Consiglio sullo spazio europeo dei dati sanitari, del 3 maggio 2022 (di seguito “European Health Data Space” o EHDS”), che, da come emerso, potrebbe giungere alla fine del suo lungo iter legislativo non prima della primavera 2024, istituisce lo spazio europeo dei dati sanitari prevedendo disposizioni, norme e prassi comuni, infrastrutture e un quadro di governance per l’uso primario e secondario dei dati sanitari elettronici.
Il Privacy Symposium 2023 ha ospitato tra i molti dibattiti, anche quello sullo “European Health Data Space and Secondary Use of Data”, a cui abbiamo partecipato. I temi affrontati portano con sé ancora molte domande senza risposta.
Gli obiettivi del Regolamento EHDS
Il Regolamento si propone diversi obiettivi, tra cui anche:
- favorire il controllo dell’utente sui propri dati sanitari;
- regolamentare l’uso dei dati sanitari ai fini di miglioramento dell’erogazione delle prestazioni di assistenza sanitaria, ricerca, innovazione e definizione di politiche comuni e
- consentire all’Unione Europea di sfruttare appieno il potenziale offerto da uno scambio, un uso e un riutilizzo sicuri e protetti dei dati sanitari.
Tra gli obiettivi, dunque, che l’EHDS mira a raggiungere vi è la volontà di fornire una regolamentazione coerente, affidabile ed efficiente per l’uso secondario dei dati sanitari ai fini della ricerca e dell’innovazione in ambito scientifico.
I soggetti, le categorie di dati e le finalità per cui sarà possibile l’uso secondario dei dati sanitari in accordo con l’EHDS
L’articolo 33 EHDS elenca le categorie minime di dati sanitari elettronici per l’uso secondario.
La norma prevede espressamente che i titolari dei dati (data holder) rendano disponibili le categorie di dati contenuti nella norma di riferimento.
L’articolo 2 EHDS fornisce una definizione di Titolare dei dati, per cui assume tale qualifica “una persona fisica o giuridica che è un soggetto o un organismo del settore sanitario o dell’assistenza, o che svolge attività di ricerca in relazione a tali settori, nonché le istituzioni, gli organi e gli organismi dell’Unione che hanno il diritto o l’obbligo, conformemente al presente regolamento, al diritto dell’Unione applicabile o alla legislazione nazionale di attuazione del diritto dell’Unione, o, nel caso di dati non personali, mediante il controllo della progettazione tecnica di un prodotto e dei servizi correlati, la capacità, di rendere disponibili determinati dati, anche in termini di registrazione, fornitura, limitazione dell’accesso o scambio”.
Si tratta di una definizione che si differenzia da quella di “Titolare del trattamento” di cui al Regolamento Generale sulla protezione dei dati personali (GDPR), e non completamente chiara. Tale aspetto è stato evidenziato anche nel parere congiunto rilasciato da European Data Protection Board e European Data Protection Supervisor[1] sulla proposta, che ha sottolineato come tale nozione, seppur centrale, sia talmente ampia da non consentire di identificare chiaramente chi si qualificherebbe come titolare dei dati, oltre a non essere coordinata con la definizione di titolare dei dati fornita dal Data Act e dal Data Governance Act, causando un rischio di incertezza giuridica che potrebbe compromettere anche il diritto alla protezione dei dati personali.
Il Titolare dei dati, in base all’articolo 33 (1) EHDS, rende disponibili per l’uso secondario le categorie di dati indicate nell’articolo medesimo, tra cui, a titolo esemplificativo e non esaustivo:
- cartelle cliniche elettroniche;
- dati genetici, genomici e proteomici umani;
- dati sanitari elettronici generati da persone, compresi dispositivi medici, applicazioni per il benessere o altre applicazioni sanitarie digitali;
- dati di identificazione relativi agli operatori sanitari coinvolti nel trattamento di una persona fisica;
- registri di dati sanitari a livello di popolazione (registri di sanità pubblica);
- dati sanitari elettronici provenienti da registri medici per malattie specifiche;
- dati sanitari elettronici provenienti da studi clinici;
Il medesimo articolo, inoltre, prevede una possibile apertura ad ulteriori categorie di dati al paragrafo 8, che prevede che “gli organismi responsabili dell’accesso ai dati sanitari possono fornire l’accesso ad altre categorie di dati sanitari elettronici loro affidati a norma del diritto nazionale o sulla base di una collaborazione volontaria con i pertinenti titolari dei dati a livello nazionale, in particolare ai dati sanitari elettronici detenuti da soggetti privati del settore sanitario”.
Le finalità per le quali è possibile trattare i dati sanitari elettronici per l’uso secondario
Il successivo articolo elenca invece le finalità per le quali è possibile trattare i dati sanitari elettronici per l’uso secondario, tra cui:
a) attività per motivi di pubblico interesse nell’ambito della sanità pubblica e della medicina del lavoro, quali la protezione da gravi minacce per la salute a carattere transfrontaliero, la sorveglianza della sanità pubblica o la garanzia di elevati livelli di qualità e sicurezza dell’assistenza sanitaria e di medicinali o dispositivi medici;
b) il sostegno nei confronti di enti pubblici o di istituzioni, organi e organismi dell’Unione, comprese le autorità di regolamentazione, del settore sanitario o dell’assistenza affinché svolgano i compiti definiti nei rispettivi mandati;
c) la produzione di statistiche ufficiali a livello nazionale, multinazionale e dell’Unione relative al settore sanitario o dell’assistenza;
d) attività d’istruzione o d’insegnamento nel settore sanitario o dell’assistenza;
e) attività di ricerca scientifica nel settore sanitario o dell’assistenza;
f) attività di sviluppo e innovazione per prodotti o servizi che contribuiscono alla sanità pubblica o alla sicurezza sociale, oppure che garantiscono elevati livelli di qualità e sicurezza dell’assistenza sanitaria, dei medicinali o dei dispositivi medici;
g) attività di addestramento, prova e valutazione degli algoritmi, anche nell’ambito di dispositivi medici, sistemi di IA e applicazioni di sanità digitale, che contribuiscono alla sanità pubblica o alla sicurezza sociale, oppure che garantiscono elevati livelli di qualità e sicurezza dell’assistenza sanitaria, dei medicinali o dei dispositivi medici;
h) erogazione di un’assistenza sanitaria personalizzata che consiste nel valutare, mantenere o ripristinare lo stato di salute delle persone fisiche sulla base dei dati sanitari di altre persone fisiche
Il Regolamento fornirebbe dunque (finalmente) una base giuridica per l’uso secondario dei dati, tanto ai sensi dell’art. 6 par. 1 del GDPR (in particolare, ai sensi della lett. c), ovvero l’obbligo legale al quale è soggetto il titolare del trattamento) quanto ai sensi dell’articolo 9, par. 2, del GDPR (in particolare, ai sensi della lett. j), per motivi di ricerca scientifica, sulla base del diritto dell’Unione). Inoltre, la versione proposta dalla Commissione Europea sembrerebbe consentire anche il superamento del consenso (nei paesi ove tale restrizione è stata introdotta dalla legislazione, quali ad esempio l’Italia) in quanto, all’art. 33, comma 5 prevede che “qualora il diritto nazionale prescriva il consenso della persona fisica, gli organismi responsabili dell’accesso ai dati sanitari si basano sugli obblighi di cui al presente capo per fornire l’accesso ai dati sanitari elettronici”. In tal modo, sarebbe finalmente possibile armonizzare in tutti gli Stati membri la disciplina dell’uso dei dati a fini di ricerca, rendendo più chiaro il quadro giuridico oggi frammentato e disomogeneo.
Tale proposta, tuttavia, potrebbe non essere accolta nell’ambito delle discussioni all’interno del Parlamento Europeo, che potrebbe richiedere quantomeno un opt-out esplicito dell’interessato ove lo stesso non concordi all’uso secondario dei suoi dati.
Preme sottolineare che l’inclusione delle finalità di cui alle lettere f) e g) nell’articolo 34 appare di particolare importanza per il settore privato, consentendo di fondare una base giuridica per l’uso secondario dei dati in modo più ampio, anche al di là della ricerca clinica, ai fini di innovazione e sviluppo, ed in modo da includere tutti i prodotti e i servizi che contribuiscono alla salute, alla cura e al benessere delle persone fisiche, nonché all’interesse generale della società. Tali finalità, tuttavia, sono anche quelle che destano preoccupazioni presso altri stakeholders, che ne auspicano l’eliminazione. Sarà necessario seguire le varie proposte di modifica che saranno presentate su questo punto, al fine di comprendere la direzione della normativa futura e la sua portata più o meno innovativa.
La normativa in relazione alle finalità si completa con l’articolo 35 EHDS che prevede le finalità per cui invece è vietato trattare i dati sanitari elettronici per l’uso secondario, tra cui:
- adottare decisioni pregiudizievoli nei confronti di una persona fisica sulla base dei suoi dati sanitari elettronici; per essere considerate “decisioni”, esse devono produrre effetti giuridici o incidere in modo analogo significativamente su tali persone fisiche;
- adottare decisioni, in relazione a una persona fisica o a gruppi di persone fisiche, al fine di escluderle dal beneficio di un contratto di assicurazione o di modificare i loro contributi e premi assicurativi;
- svolgere attività pubblicitarie o di marketing rivolte a professionisti sanitari, organizzazioni sanitarie o persone fisiche;
- fornire l’accesso ai dati sanitari elettronici, oppure renderli disponibili in altro modo, a terzi non menzionati nell’autorizzazione ai dati;
- sviluppare prodotti o servizi in grado di danneggiare le persone e le società in generale, tra cui, ma non solo, droghe illecite, bevande alcoliche, prodotti del tabacco o beni o servizi concepiti o modificati in modo da violare l’ordine pubblico o la moralità.
L’articolo 34 paragrafo 4 dell’EHDS e la tutela della proprietà intellettuale
L’articolo 34 (4) dell’EHDS, in relazione ai diritti di proprietà intellettuale e segreti commerciali, prevede quanto segue: “gli enti pubblici o le istituzioni, gli organi e gli organismi dell’Unione che ottengono l’accesso a dati sanitari elettronici che comportano diritti di proprietà intellettuale e segreti commerciali nell’esercizio dei compiti loro affidati dal diritto dell’Unione o dal diritto nazionale adottano tutte le misure specifiche necessarie a tutelare la riservatezza di tali dati”.
Un necessario bilanciamento dei diritti e degli interessi in gioco andrà operato.
Il paragrafo interessato solleva alcune criticità e gli stakeholders del mondo dell’industria e del settore privato sottolineano come la protezione della proprietà intellettuale e dei segreti commerciali dovrebbe essere rafforzata e l’accesso a tali dati dovrebbe essere limitato a esigenze eccezionali e a motivi di emergenza pubblica. Il rischio, infatti, sarebbe quello di danneggiare gli incentivi all’innovazione nell’Unione Europea senza chiari benefici per i cittadini europei.
Ci si domanda dunque se, in tale ipotesi particolare, il Titolare dei dati potrebbe rifiutarsi di fornire i dati, o se sarebbe possibile la previsione di un accordo, anche contrattuale, con l’utente dei dati.
Il dibattito resta aperto.
L’articolo 43 dell’EHDS e le sanzioni
L’articolo 43 dell’EHDS regola il tema delle sanzioni applicate dagli organismi responsabili dell’accesso ai dati sanitari. In particolare, a tal proposito, si prevede che, nel caso in cui gli organismi responsabili dell’accesso ai dati sanitari ritengano che un utente o un fornitore di dati non soddisfino uno o più requisiti della Sezione 2 dell’EHDS, applichino, previa notifica e possibilità di difesa, alcune misure. In particolare, gli organismi responsabili dell’accesso ai dati sanitari potranno:
- se del caso, revocare l’autorizzazione ai dati ed escludere l’utente dei dati da qualsiasi accesso ai dati sanitari elettronici per un periodo massimo di cinque anni;
- qualora i titolari dei dati si rifiutino di fornire i dati sanitari elettronici con la chiara intenzione di ostacolare l’uso dei dati sanitari elettronici o non rispettino i termini per la messa a disposizione, infliggere sanzioni pecuniarie trasparenti e proporzionate al titolare dei dati per ogni giorno di ritardo. L’importo delle sanzioni pecuniarie è stabilito dall’organismo responsabile dell’accesso ai dati sanitari.
La Commissione potrà inoltre emanare orientamenti sulle sanzioni applicabili dagli organismi responsabili dell’accesso ai dati sanitari.
È auspicabile l’emanazione delle suddette linee guida e l’armonizzazione da parte dei vari Stati membri anche in relazione al tema delle sanzioni applicabili, al fine di creare una reale disciplina comune europea, che invece verrebbe pregiudicata da un enforcement disomogeneo.
Conclusioni
La proposta di Regolamento del Parlamento europeo e del Consiglio sullo spazio europeo dei dati sanitari si è confermata essere oggetto di intensi e costruttivi dibattiti all’interno del Privacy Symposium. I temi affrontati portano con sé ancora molte domande senza risposta. L’iter legislativo per l’approvazione del Regolamento è ancora in atto e si auspica che le considerazioni da parte dei differenti stakeholders vengano tenute in conto nell’approvazione finale di un testo di regolamento che cambierà il panorama del mondo dei dati sanitari e delle attività di trattamento operate sugli stessi in tutto il territorio dell’Unione Europea.
[1] EDPB-EDPS Joint Opinion 03/2022 on the Proposal for a Regulation on the European Health Data Space