Il 24 aprile 2024, il Parlamento europeo ha approvato il Regolamento sullo spazio europeo dei dati sanitari. L’EHDS mira a superare gli ostacoli nell’accesso ai dati sanitari elettronici ai fini del loro utilizzo da parte di tutti i cittadini dell’UE. Primo spazio comune dei dati in un settore specifico ad emergere dalla strategia europea per i dati, esso promette di offrire numerosi vantaggi, a molteplici portatori di interesse, ma porta con sé anche numerosi rischi. Tra questi il rischio di accesso abusivo ai dati sanitari elettronici è solo una delle tante criticità. Le istituzioni europee e gli Stati membri devono affrontare adeguatamente tali problematiche, mediante un’attenta valutazione dei rischi e l’adozione di adeguate misure di protezione dei dati.
Il 24 aprile 2024, il Parlamento europeo ha approvato con 445 voti favorevoli, 142 contrari e 39 astensioni il Regolamento sullo spazio europeo dei dati sanitari (European Health Data Space – EHDS), aprendo la strada alla creazione di una solida Unione Europea della salute. Il testo del Regolamento dovrà essere formalmente approvato dal Consiglio europeo ed entrerà in vigore venti giorni dopo la pubblicazione sulla Gazzetta Ufficiale dell’UE, attesa per l’autunno.
Lo spazio europeo dei dati sanitari si fonda sugli articoli 16 e 114 del Trattato sul funzionamento dell’Unione Europea e costituisce il primo spazio comune dei dati in un settore specifico ad emergere dalla strategia europea per i dati.
Partendo dal presupposto che i dati sono una risorsa essenziale per la crescita economica, la competitività, l’innovazione, la creazione di posti di lavoro e il progresso sociale in generale, la strategia europea per i dati mira a creare un mercato unico dei dati che garantisca la competitività globale e la sovranità dei dati dell’Europa, anche attraverso la creazione di spazi comuni per la condivisione delle informazioni.
La digitalizzazione è essenziale per il futuro dell’assistenza sanitaria. I sistemi sanitari degli Stati membri dell’UE generano, elaborano ed archiviano una grande quantità di dati. Tuttavia, spesso risulta difficile per i cittadini accedere ai propri dati sanitari in formato elettronico e per i ricercatori utilizzarli per migliorare le diagnosi e i trattamenti. La complessità e la divergenza delle regole, delle strutture e dei processi, all’interno e tra gli Stati membri, creano barriere all’erogazione e all’innovazione delle prestazioni sanitarie. Inoltre, i sistemi sanitari sono il bersaglio di attacchi informatici.
Con l’adozione del Regolamento sull’EHDS, le istituzioni europee intendono migliorare l’accesso e il controllo delle persone fisiche sui propri dati sanitari (uso primario), consentendone al contempo il riutilizzo per scopi di pubblico interesse (uso secondario), in particolare per il sostegno alla ricerca scientifica e per lo sviluppo di politiche sanitarie nell’ambito dell’Unione Europea.
Lo spazio europeo dei dati sanitari dovrà consentire ai pazienti di accedere ai propri dati ovunque si trovino nell’Unione Europea, fornendo al contempo alla ricerca scientifica, per motivi di pubblico interesse, un importante patrimonio di dati affidabili a beneficio delle politiche sanitarie. La proposta recentemente approvata dal Parlamento europeo prevede la creazione di un ambiente specifico per i dati sanitari che contribuirà alla promozione di un mercato unico dei prodotti e dei servizi sanitari in formato digitale.
In particolare, l’articolo 1, paragrafo 1, del Regolamento sull’EHDS istituisce un ecosistema specifico per la salute individuando regole, standard e pratiche comuni, infrastrutture nonché un quadro di governance, con l’obiettivo di superare gli ostacoli nell’accesso ai dati sanitari elettronici ai fini del loro utilizzo primario e secondario.
Più specificamente, l’articolo 2, paragrafo 2, lettera (e), definisce l’uso secondario come il trattamento di dati sanitari elettronici “per finalità diverse da quelle per cui tali dati erano stati inizialmente raccolti” ovvero le finalità relative all’uso primario, definito alla precedente lettera (d) come il trattamento dei dati sanitari elettronici per la fornitura di assistenza sanitaria volta a valutare, mantenere o ripristinare lo stato di salute della persona fisica a cui si riferiscono tali dati, compresa la prescrizione, la distribuzione e la fornitura di medicinali e dispositivi medici, nonché per i pertinenti servizi sociali, amministrativi o di rimborso.
Il Regolamento sull’EHDS specifica ed integra i diritti previsti dal Regolamento generale sulla protezione dei dati (GDPR) in relazione all’uso primario e secondario dei dati sanitari elettronici. Prevede, altresì, l’istituzione di un’infrastruttura transazionale per l’utilizzo primario (MyHealth@EU) e secondario (HealthData@EU) dei dati sanitari elettronici all’interno dell’Unione Europea. Stabilisce, inoltre, regole per la governance e il coordinamento, a livello nazionale ed europeo, dell’utilizzo primario e secondario dei dati sanitari, prevedendo la costituzione di un apposito organo: l’European Health Data Space Board, organo consultivo per la supervisione e il coordinamento dell’EHDS.
La normativa sull’European Health Data Space incide su un settore già altamente regolato. Come indicato nel nuovo testo recentemente approvato, il Regolamento non pregiudica l’applicazione delle disposizioni legislative e regolamentari che a vario titolo disciplinano il settore. Tra queste si citano il GDPR, il Regolamento sulla governance dei dati, il Regolamento sui dati e la Direttiva sulla sicurezza delle reti e dei sistemi informatici. Essendo trasversali, dette norme si applicano anche al settore sanitario. Tuttavia, considerata la sensibilità dei dati relativi alla salute, lo spazio europeo dei dati sanitari fornirà norme settoriali specifiche.
Una delle novità più significative introdotte dal nuovo Regolamento sull’EHDS è rappresentata dalle disposizioni relative agli “electronic health record systems”, definiti come sistemi il cui dispositivo o software consenta di memorizzare, intermediare, esportare, importare, convertire, modificare o visualizzare dati sanitari elettronici personali appartenenti alle categorie prioritarie di dati sanitari elettronici di cui all’articolo 5. Tra le categorie prioritarie ivi previste, che dovranno essere rese accessibili e condivise per finalità di cura e assistenza del paziente (ossia per uso primario), risultano ricomprese le informazioni generali sul paziente, quelle relative a prescrizioni e dispensazioni elettroniche, le analisi e le immagini mediche e i relativi referti, i rapporti di dimissioni. L’istituzione dell’European Health Data Space richiede obbligatoriamente la conformità degli electronic health record systems alle specifiche previste per il formato europeo di scambio dei dati sanitari elettronici, con l’obiettivo di garantirne la sicurezza e di renderne possibile la condivisione. Attualmente, tale possibilità incontra ostacoli significativi a causa del diverso livello di digitalizzazione dei dati sanitari nei Paesi dell’UE. Il Regolamento, prevede, quindi, al Capo III, una serie di requisiti e obblighi per i produttori di sistemi EHR, e per gli importatori e distributori degli stessi, per uniformare le regole. Prevede, altresì, un ambiente digitale europeo di testing che la Commissione europea dovrà sviluppare per valutare gli EHR systems.
Un’altra importante novità del Regolamento è rappresentata dalle norme che regolano i diritti dei pazienti in relazione al trattamento dei relativi dati sanitari. Già la proposta originaria della Commissione prevedeva il diritto di accesso e/o di ottenere una copia elettronica dei dati sanitari. Il nuovo testo approvato dal Parlamento include ora una serie di ulteriori articoli a tutela dei diritti dei pazienti: il diritto di accesso ai dati sanitari elettronici personali, il diritto di inserire informazioni all’interno della cartella clinica elettronica, il diritto di rettifica dei dati, il diritto alla portabilità degli stessi.
Tuttavia, la novità più significativa consiste nel diritto di opt-out, ossia nel diritto dei pazienti di opporsi al trattamento dei propri dati sanitari elettronici per uso primario e per uso secondario. La prima versione del testo dell’EHDS non prevedeva la possibilità di opporsi al trattamento per uso secondario. Tale argomento è stato uno degli aspetti più dibattuti nel panorama europeo. Nel febbraio del 2023, il rapporto della Commissione del Parlamento europeo per l’ambiente, la sanità pubblica e la sicurezza alimentare (ENVI) ha evidenziato la mancanza di una specifica previsione in merito. Le discussioni in seno al Parlamento europeo hanno quindi portato a votare un emendamento.
La versione attuale del testo del Regolamento include una previsione esplicita per l’opt-out sia per uso primario sia per uso secondario. Tuttavia, resta consentito l’accesso ai dati sanitari per scopi di interesse pubblico, di sviluppo di politiche sanitarie nonché per finalità statistiche e di ricerca condotte nel pubblico interesse. L’articolo 33 individua le “categorie minime di dati sanitari elettronici che devono essere resi disponibili per uso secondario”, con un elenco ben più corposo rispetto a quello riportato all’articolo 5, per l’utilizzo primario degli stessi. Resta ferma, in tutti i casi, la necessità di tutelare i dati personali e i diritti di proprietà intellettuale e i segreti commerciali, e permane il divieto degli usi per finalità nocive (ad esempio, per assumere decisioni e/o sviluppare prodotti che possano avere effetti sociali, economici o legali pregiudizievoli per gli individui, attività di marketing, attività in conflitto con la morale).
Lo spazio europeo dei dati sanitari promette di offrire vantaggi a molteplici portatori di interesse, inclusi pazienti, operatori sanitari, ricercatori, autorità di regolamentazione in ambito medico, policy-maker e l’industria. Tuttavia, porta con sé anche una serie di rischi. Il rischio di accesso abusivo ai dati sanitari elettronici è solo una delle tante criticità che l’istituzione dell’EHDS può generare. Altri gravi rischi possono derivare dall’utilizzo di dati imprecisi, incompleti e non aggiornati e della loro eventuale perdita: il personale medico potrebbe essere indotto a compiere scelte sbagliate sui trattamenti sanitari con conseguente impatto negativo sulla salute dei pazienti.
Inoltre, anche se i dati sanitari vengono anonimizzati prima dello scambio, esiste pur sempre il rischio che i pazienti possano essere identificati attraverso l’incrocio di diverse fonti di dati, con grave compromissione della privacy. Altri rischi, ancora, attengono al possibile utilizzo dei dati per finalità non coerenti con quelle previste dal Regolamento e agli effetti discriminatori che potrebbero generare per gli interessati.
L’implementazione dell’European Health Data Space richiede un’infrastruttura tecnologica, robusta e sicura, per la protezione dei dati sanitari da accessi non autorizzati, da violazioni e da attacchi informatici. Nessun sistema è immune alle violazioni della cybersecurity e un attacco informatico potrebbe pregiudicare l’integrità di dati sanitari altamente sensibili. Pertanto, le istituzioni europee e gli Stati membri dovranno affrontare adeguatamente le problematiche connesse all’istituzione dell’EHDS, mediante un’attenta valutazione dei rischi e l’adozione di adeguate misure di protezione dei dati.
Osservatorio sullo Stato Digitale by Irpa is licensed under CC BY-NC-ND 4.0
