a cura di Avv. Cristina Criscuoli e Dott.ssa Roxana Smeria, Studio Legale DLA Piper
Il 24 aprile 2024, il Parlamento europeo ha approvato il Regolamento sullo Spazio Europeo dei Dati Sanitari (“European Health Data Space”), segnando un passo fondamentale verso la creazione di una solida Unione Sanitaria Europea. Tale passo è stato possibile grazie all’accordo, raggiunto lo scorso 14 marzo fra il Parlamento ed il Consiglio dell’Unione europea, in relazione alla proposta di Regolamento presentata dalla Commissione il 3 maggio 2022. Il testo del Regolamento dovrà ora essere formalmente approvato dal Consiglio ed entrerà in vigore 20 giorni dopo la pubblicazione sulla Gazzetta ufficiale dell’Unione europea, attesa entro l’autunno.
La strategia europea per i dati
Il Regolamento si basa sugli articoli 16 e 114 del Trattato sul funzionamento dell’Unione Europea e rappresenta uno dei pilastri dell’ambiziosa “Strategia Europea per i Dati” della Commissione, che include una serie di atti normativi paralleli, come il Data Act e il Data Governance Act. Partendo dal presupposto che i dati rappresentano una risorsa essenziale per la crescita economica, la competitività, l’innovazione, la creazione di posti di lavoro e il progresso sociale in generale, la “Strategia Europea per i Dati” ha l’obiettivo di creare un “mercato unico dei dati”, che garantisca la competitività globale dell’Europa e la sovranità sui dati, anche attraverso la creazione di spazi comuni per la condivisione delle informazioni. In tale contesto, il Regolamento sullo Spazio Europeo dei Dati Sanitari rappresenta una risorsa essenziale per l’intero settore sanitario, anche in risposta alle criticità emerse nell’ambito della gestione della pandemia da COVID-19.
Obiettivi del regolamento
Con l’adozione del Regolamento, le istituzioni europee intendono migliorare l’accesso e il controllo delle persone sui propri dati sanitari, consentendone al contempo il riutilizzo per scopi di pubblico interesse (c.d. “uso secondario”[1]), in particolare per il sostegno alla ricerca scientifica e lo sviluppo di politiche sanitarie dell’UE. Il progetto prevede la creazione di un ambiente specifico per i dati sanitari che contribuirà a promuovere un mercato unico per i prodotti e servizi sanitari digitali, a beneficio dei pazienti e dell’intera collettività. Si legge infatti nel comunicato stampa con cui il Consiglio aveva annunciato il raggiungimento del menzionato accordo con il Parlamento europeo che “le nuove norme mirano a consentire a un turista spagnolo di ritirare una ricetta in una farmacia tedesca o ai medici di accedere alle informazioni sanitarie di un paziente belga in cura in Italia” e che il Regolamento “consentirà ai pazienti di accedere ai propri dati sanitari ovunque si trovino nell’UE, fornendo al contempo alla ricerca scientifica per importanti motivi di interesse pubblico un patrimonio di dati sicuri che gioveranno notevolmente allo sviluppo di politiche sanitarie”[2]. Si tratta insomma di una vera rivoluzione!
Contenuti del Regolamento e differenze rispetto alla versione originaria della Commissione
Vale la pena analizzare con maggiore dettaglio il contenuto del Regolamento e le modifiche che il testo approvato dal Parlamento in seguito all’accordo raggiunto con il Consiglio prevede rispetto alla proposta inizialmente formulata dalla Commissione, per comprendere in che modo il Legislatore europeo intenda raggiungere gli ambiziosi obiettivi sopra descritti. Il testo del Regolamento si compone di oltre 70 articoli ed è decisamente corposo. Senza alcuna pretesa di completezza, vengono descritte di seguito alcune delle novità più significative che le istituzioni europee intendono introdurre con il Regolamento.
L’art. 1, paragrafo 1, del testo indica che il Regolamento istituisce lo Spazio Europeo dei Dati Sanitari individuando regole, standard e infrastrutture comuni nonché un quadro per la governance dei dati sanitari, con l’obiettivo di facilitare l’accesso ai dati sanitari elettronici ai fini del loro utilizzo primario e secondario.
In particolare, il Regolamento:
- specifica ed integra i diritti previsti dal Regolamento generale sulla protezione dei dati personali (c.d. “GDPR”) in relazione all’uso primario e secondario dei dati sanitari elettronici;
- stabilisce regole comuni sugli “electronic health record systems” (o semplicemente “EHR systems”[3]), con particolare riferimento a due componenti software obbligatorie che dovranno essere adottate per garantire la possibile condivisione dei dati al di là dei confini dei singoli Stati membri. Tali componenti sono l’“European interoperability component for EHR systems”[4] e l’“European logging component for EHR systems”[5] e rappresentano una delle novità introdotte nel testo approvato dal Parlamento. Le medesime regole varranno anche per le applicazioni per il wellness rispetto a cui i produttori intendano stabilire l’interoperabilità con gli EHR systems per l’uso primario dei dati;
- istituisce un’infrastruttura transnazionale per consentire l’uso primario e secondario dei dati sanitari elettronici all’interno dell’Unione europea;
- prevede norme per la governance ed il coordinamento a livello nazionale ed europeo per l’uso primario e secondario dei dati sanitari elettronici.
Il Regolamento avrà un impatto su un settore già altamente regolato. Per questo, il testo specifica che il Regolamento non pregiudica l’applicazione delle normative europee e nazionali che, a vario titolo, regolano il settore, in particolare:
- gli atti legislativi dell’UE che disciplinano l’accesso, la condivisione e l’uso secondario dei dati sanitari elettronici o i requisiti per il trattamento di tali dati, fra cui il GDPR, la Direttiva e-Privacy, il Regolamento (UE) 2018/1725 ed il Data Act;
- l’AI Act – la cui definitiva approvazione dovrebbe essere imminente – ed i Regolamenti sui dispositivi medici e sui dispositivi medico-diagnostici in vitro;
- la normativa europea e nazionale sul trattamento dei dati sanitari elettronici per finalità di reporting, di compliance con le richieste di accesso alle informazioni o con altri obblighi normativi;
- le disposizioni che prevedono l’accesso ai dati sanitari elettronici per l’ulteriore trattamento da parte di organismi pubblici, nazionali ed europei, o di soggetti privati incaricati svolgere compiti di interesse pubblico;
- gli accordi contrattuali o amministrativi tra soggetti pubblici o privati che prevedono l’accesso ai dati sanitari elettronici per uso secondario.
Disposizioni sugli “EHR systems”
Come accennato sopra, una delle novità più significative del Regolamento consiste nell’obbligo di conformità degli “electronic health record systems” alle specifiche previste per il formato europeo di scambio dei dati sanitari elettronici, in modo da garantire la sicurezza dei dati e renderne possibile la condivisione al di là dei confini degli Stati membri. Attualmente, tale possibilità incontra ostacoli significativi, derivanti dal diverso livello di digitalizzazione dei dati sanitari nei Paesi dell’Unione. In buona sostanza, per “electronic health record system” s’intende qualunque dispositivo o software utilizzato per l’elaborazione di “electronic health record”[6], queste ultime definite come un qualunque insieme di dati sanitari elettronici raccolti nel sistema sanitario, relativi a una persona fisica e utilizzati per scopi sanitari. Il Capo III del Regolamento stabilisce dunque una serie di requisiti per i produttori di “EHR systems”, che dovranno predisporre ed aggiornare la documentazione tecnica prevista dalla normativa, le schede informative e le dichiarazioni di conformità nonché applicare ai sistemi la marcatura CE. Ulteriori obblighi sono previsti in capo ad importatori e distributori degli “EHR systems”.
A tal riguardo, un’altra interessante modifica introdotta nel testo approvato dal Parlamento è rappresentata dalla previsione di un ambiente digitale europeo di testing (“European digital testing environment”), che la Commissione dovrà sviluppare per la valutazione dei componenti degli “EHR systems”, rendendo anche disponibile il relativo software in formato open source. Inoltre, anche gli Stati membri sono tenuti ad istituire un ambiente digitale di testing per la medesima finalità di valutazione dei componenti degli “EHR systems”, in conformità con le specifiche previste dalla Commissione con successivi atti esecutivi del Regolamento. Prima di immettere sul mercato gli “EHR systems”, i produttori saranno tenuti ad utilizzare gli ambienti di testing per valutare i propri sistemi ed i risultati dei test dovranno essere inclusi all’interno della documentazione tecnica che accompagna i sistemi stessi. Infine, i produttori di applicazioni per il wellness potranno stabilire l’interoperabilità di tali applicazioni con gli “EHR systems” per l’uso primario dei dati, informando debitamente gli utenti anche in relazione agli effetti di tale interoperabilità. Ad ogni modo, la condivisione o la trasmissione dei dati tramite tali applicazioni sarà possibile solo con il previo consenso dell’utente, che dovrà essere messo in condizione di scegliere quali categorie di dati sanitari disponibili sull’applicazione desidera inserire negli “EHR systems”.
L’uso primario dei dati sanitari elettronici
L’uso primario dei dati sanitari elettronici è regolato dal Capo II del Regolamento. In particolare, l’art. 5 individua le categorie di dati sanitari elettronici che dovranno essere resi accessibili e condivisi per finalità di cura ed assistenza del paziente (i.e. per uso primario), lasciando agli Stati membri la possibilità di aggiungere ulteriori categorie di informazioni. Tali categorie – definite “priority categories of personal electronic health data for primary use” e meglio specificate nell’Allegato 1 del Regolamento – includono:
- informazioni generali sul paziente (“patient summaries”), come dati identificativi e di contatto, informazioni su eventuali coperture assicurative del paziente, le sue vaccinazioni, allergie, gravidanze, i farmaci assunti o in corso di assunzione, piano di cura, storia clinica del paziente, ed altre informazioni ancora;
- informazioni su prescrizioni elettroniche;
- informazioni su dispensazioni elettroniche;
- immagini mediche e relativi referti;
- risultati di analisi mediche, incluse le analisi di laboratorio e altri esami diagnostici con i relativi referti; e
- rapporti di dimissione del paziente.
La Commissione europea avrà il compito di chiarire, con appositi atti di esecuzione, il formato di scambio delle suddette informazioni, che dovrà in ogni caso essere di uso comune, leggibili da dispositivo automatico e consentire la trasmissione di dati sanitari elettronici tra diversi dispositivi, applicazioni e operatori sanitari, supportando sia la trasmissione di dati sanitari strutturati che di dati non strutturati. Gli Stati membri dovranno assicurare che i dati sanitari elettronici sopra elencati siano rilasciati nel formato di scambio previsto dalla Commissione europea.
Di grande importanza sono le norme che regolano i diritti dei pazienti in relazione al trattamento dei propri dati sanitari elettronici, trattati per uso primario. Tali norme sono state ampiamente integrate o del tutto aggiunte nell’ultima versione del Regolamento, rappresentando una delle principali modifiche rispetto alla proposta originaria della Commissione europea. Il testo approvato dal Parlamento prevede infatti diversi articoli che disciplinano in modo dettagliato le modalità di esercizio di una serie di diritti da parte dei pazienti e dei loro rappresentanti, fra cui il diritto di accesso ai dati sanitari elettronici, il diritto di integrare tali dati direttamente tramite il proprio “electronic health record” (rendendo però le informazioni aggiunte chiaramente distinguibili da quelle inserite dai professionisti sanitari), il diritto di rettifica dei dati sanitari e quello alla portabilità degli stessi. In tale contesto, la novità più significativa è rappresentata dalla possibilità che gli Stati membri prevedano il c.d. “diritto di opt-out”, vale a dire il diritto dei pazienti ad inibire l’accesso ai propri dati sanitari sia da parte degli operatori sanitari, per l’uso primario, che da parte degli altri soggetti legittimati ad utilizzare i dati per l’uso secondario, sebbene in tal caso il diritto di opt-out sia soggetto ad una serie di condizioni rigorose. Le scelte compiute dai pazienti devono comunque essere reversibili, in modo da permettere a questi ultimi di modificarle qualora lo ritengano opportuno. Un’ulteriore importante novità, inserita nell’ultima versione del Regolamento, è rappresentata dal divieto, per gli operatori sanitari, di addebitare dei costi:
- ai pazienti, per aver chiesto l’accesso ai propri dati sanitari o per averli condivisi; e
- ad altri soggetti, per aver reso loro disponibili i dati sanitari elettronici.
L’uso secondario dei dati
Come accennato sopra, il Regolamento mira anche ad agevolare l’accesso ai dati sanitari elettronici per finalità ulteriori rispetto a quelle di cura e assistenza dei pazienti, vale a dire per l’uso secondario dei dati, regolato nel Capo IV. In particolare, il Regolamento individua una serie di finalità per le quali è consentito l’uso secondario ed altre per cui deve considerarsi radicalmente vietato. Rientrano fra le finalità il cui perseguimento è consentito dal Regolamento quelle di:
- pubblico interesse nel campo della salute pubblica e del lavoro, come le attività per proteggere la salute da gravi minacce transnazionali, le attività di monitoraggio della salute pubblica o le attività volte ad assicurare alti livelli di qualità e sicurezza dell’assistenza sanitaria, inclusa la sicurezza dei pazienti, dei medicinali e dei dispositivi medici;
- policy making e svolgimento di attività regolatorie per supportare organi della pubblica amministrazione ed istituzioni europee nell’esecuzione dei propri compiti, nel settore sanitario;
- statistica, legate al settore sanitario o dell’assistenza;
- formazione nel settore sanitario o dell’assistenza, a livello di istruzione professionale o superiore;
- ricerca scientifica relativa al settore sanitario o dell’assistenza, che sia di beneficio per pazienti, professionisti sanitari e amministratori della sanità;
- miglioramento dell’erogazione delle cure, l’ottimizzazione dei trattamenti e la fornitura di assistenza sanitaria.
D’altra parte, l’utilizzo dei dati sanitari elettronici non sarà consentito per le seguenti finalità:
- assumere decisioni che possano avere effetti sociali, economici o legali negativi sull’individuo o su un gruppo di individui;
- assumere decisioni sull’individuo o su un gruppo di individui in relazione ad offerte di lavoro o offerte di beni e servizi (ad esempio, rifiutando di concedere una copertura assicurativa o un prestito);
- attività di marketing;
- sviluppo di prodotti o servizi che possano danneggiare gli individui, la salute pubblica o la società in generale, ad esempio sostanze stupefacenti, alcolici, prodotti da tabacco o nicotina, ecc.; e
- altre attività in conflitto con la morale (“ethical provisions”), secondo le previsioni della normativa degli Stati membri.
L’art. 33 del Regolamento individua poi le categorie minime di dati che devono essere resi disponibili per l’uso secondario (“minimum categories of electronic data for secondary use”), con un elenco ben più corposo rispetto a quello riportato all’art. 5 per l’utilizzo primario dei dati sanitari. Gli Stati Membri potranno anche prevedere ulteriori categorie di informazioni da rendere accessibili per l’uso secondario.
In caso di riutilizzo dei dati sanitari, resta comunque salva la necessità di tutelare i dati personali nonché i diritti di proprietà intellettuale ed i segreti commerciali. Gli Stati membri potranno inoltre adottare misure più severe per disciplinare l’accesso a determinati tipi di dati sensibili (ad esempio, quelli genetici), per scopi di ricerca scientifica, prevedendo ulteriori limitazioni rispetto a quelle stabilite dal Regolamento. Anche tale possibilità è stata inserita grazie all’accordo raggiunto tra il Consiglio e il Parlamento. Fra le novità introdotte nel testo approvato dal Parlamento rientra anche l’esenzione rispetto agli obblighi disposti in relazione all’uso secondario dei dati sanitari elettronici per singoli ricercatori e persone fisiche e persone giuridiche che si qualificano come microimprese. Nel Capo IV del Regolamento sono stati inoltre individuati gli attori principali in relazione all’uso secondario dei dati sanitari, con i relativi compiti:
- gli organismi per l’accesso ai dati sanitari (“health data access bodies”), designati dagli Stati membri al fine principale di autorizzare l’accesso ai dati a seguito della ricezione di una richiesta di accesso per uso secondario;
- i titolari di dati sanitari (“health data holders”), vale a dire qualsiasi persona fisica o giuridica, autorità pubblica, agenzia o altro organismo del settore sanitario o assistenziale che abbia (i) il diritto o l’obbligo di trattare i dati sanitari elettronici in qualità di titolare o contitolare del trattamento, ai sensi del GDPR; oppure (ii) la capacità di mettere a disposizione, anche per registrare, fornire, limitare l’accesso o scambiare dati sanitari elettronici non personali, attraverso il controllo della progettazione tecnica di un prodotto e dei servizi correlati.
- gli utenti di dati sanitari (“health data users”), ovvero le persone fisiche o giuridiche, comprese le istituzioni, gli organismi o le agenzie dell’UE, a cui è stato legittimamente concesso l’accesso ai dati sanitari elettronici per uso secondario.
Come accennato sopra, anche in relazione all’uso secondario viene garantito ai pazienti il diritto di opt-out. Resta tuttavia consentito l’accesso per scopi di interesse pubblico, di sviluppo di politiche sanitarie nonché per finalità statistiche e di ricerca condotte nel pubblico interesse. Viene inoltre prevista la figura del titolare di dati sanitari di fiducia (“trusted data holder”), al fine di snellire le procedure per autorizzare l’accesso ai dati per fini secondari. In particolare, si prevede che le richieste per l’accesso ai dati detenuti dal “trusted data holder” possa essere inoltrata a tale soggetto da parte dell’organismo per l’accesso ai dati sanitari ai fini di delegare al “trusted data holder” la decisione in merito alle richieste di accesso per fini secondari. Spetterà agli Sati membri individuare, alla luce dei criteri fissati dal Regolamento, la procedura per richiedere lo status “trusted data holder” da parte dei titolari dei dati interessati.
Conclusioni
L’istituzione dello Spazio Europeo dei Dati Sanitari avrà sicuramente un impatto significativo sull’intero settore sanitario, potendo generare enormi benefici per gli attori pubblici e privati di tale settore nonché per l’intera collettività. È dunque importante che gli attori operanti in quest’ambito familiarizzino da subito con i contenuti del Regolamento per prepararsi alla sua entrata in vigore e valutare come sfruttare al meglio le opportunità offerte dal Regolamento stesso. Tuttavia, il nuovo assetto derivante porta con sé anche una serie di rischi notevoli per i pazienti e la società tutta, in particolare per la privacy degli individui, per la tutela dei pazienti e per quella dei segreti commerciali degli operatori del settore. Il rischio di accesso abusivo ai dati sanitari elettronici è solo una delle criticità che l’istituzione dello Spazio Europeo dei Dati Sanitari può generare. Altri gravi rischi possono derivare dall’utilizzo di dati imprecisi, incompleti o non aggiornati o dalla loro eventuale perdita. Basti pensare che tali eventi potrebbero determinare il personale sanitario a compiere scelte scorrette sui trattamenti da somministrare ai pazienti, con un impatto negativo sulla loro salute.
Altri rischi riguardano il possibile utilizzo dei dati per finalità non coerenti con quelle previste dal Regolamento e gli effetti discriminatori che questo potrebbe generare per gli interessati. Auspichiamo che le istituzioni europee e gli Stati membri affrontino adeguatamente le criticità connesse all’istituzione dello Spazio Europeo dei Dati Sanitari, attraverso un’approfondita valutazione dei rischi e l’adozione di appropriate misure di protezione dei dati sanitari condivisi. A nostro avviso, il successo dell’iniziativa europea dipenderà in buona parte dalla capacità degli attori coinvolti di rendere il funzionamento dello Spazio Europeo dei Dati Sanitari sicuro ed affidabile. A questo proposito, ci sembra opportuno citare in chiusura le parole usate dal Comitato Europeo per la Protezione dei Dati e del Garante Europeo della Protezione dei Dati nel parere congiunto 03/2022 emesso in merito alla proposta di Regolamento: “lo Spazio Europeo dei Dati Sanitari dovrebbe fungere da esempio di trasparenza, responsabilizzazione effettiva e giusto equilibrio tra gli interessi dei singoli interessati e l’interesse comune della società nel suo insieme”.
Note a margine
[1] L’art. 2, paragrafo 2, lett. (e), del Regolamento definisce “l’uso secondario” come il trattamento di dati sanitari elettronici per finalità diverse da quelle per cui tali dati erano stati inizialmente raccolti ovvero le finalità relative all’“uso primario”. D’altra parte, la precedente lett. (d) dell’art. 2, paragrafo 2, definisce l’“uso primario” come il trattamento dei dati sanitari elettronici per la fornitura di assistenza sanitaria volta a valutare, mantenere o ripristinare lo stato di salute della persona fisica a cui si riferiscono tali dati, compresa la prescrizione, la distribuzione e la fornitura di medicinali e dispositivi medici, nonché per i pertinenti servizi sociali, amministrativi o di rimborso.
[2] Quest’ultima dichiarazione è stata resa da Frank Vandenbroucke, Vice Primo Ministro belga e Ministro degli Affari sociali e della Sanità pubblica.
[3] L’art. 2, paragrafo 2, lett. (n), del Regolamento definisce l’“EHR system” come qualsiasi sistema in cui il dispositivo o il software consenta di memorizzare, intermediare, esportare, importare, convertire, modificare o visualizzare dati sanitari elettronici personali appartenenti alle categorie prioritarie di dati sanitari elettronici indicati dall’art. 5, paragrafo 1, del Regolamento e che sia destinato dal produttore ad essere utilizzato dagli operatori sanitari per fornire assistenza al paziente o dal paziente per accedere ai propri dati sanitari.
[4] L’art. 2, paragrafo 2, lett. (nc), del Regolamento definisce l’“European interoperability component for EHR systems” come una componente software del sistema EHR che fornisce e riceve i dati sanitari elettronici indicati dall’art. 5, paragrafo 1, del Regolamento, nello specifico formato che verrà indicato dalla Commissione con appositi atti di esecuzione del Regolamento stesso.
[5] L’art. 2, paragrafo 2, lett. (nd), del Regolamento definisce l’“European logging component for EHR systems” come una componente software del sistema EHR che fornisce informazioni di registrazione relative agli accessi degli operatori sanitari o di altri soggetti ai dati sanitari elettronici indicati dall’art. 5, paragrafo 1, del Regolamento. La definizione chiarisce inoltre che la “European logging component” è indipendente dalla “European interoperability component”.
[6] Per la definizione puntuale di “EHR system” si veda la nota 4, sopra.