Lo scorso 15 marzo, il Parlamento Europeo e il Consiglio dell’Unione Europea hanno annunciato di aver trovato un accordo sul testo del nuovo Regolamento sullo Spazio Europeo dei Dati Sanitari (“EHDS”), uno dei pezzi più importanti del puzzle composto dagli spazi europei dei dati, a loro volta all’interno della strategia europea dei dati. Ora ciascuno dei co-legislatori dovrà procedere all’approvazione del testo concordato.
Si tratta di un passo fondamentale per percorso avviato dall’Europa per un mercato comune unico dei dati del digitale, tanto più con l’ondata montante dell’Intelligenza Artificiale che sfrutta come mai prima i big data disponibili. L’AI Act presenterà sicuramente tangenti percorsi di compliance che potranno dover tener conto altresì della disciplina EHDS.
Indice degli argomenti
Il percorso UE per un mercato comune unico dei dati
In precedenza, abbiamo dato conto in questa sede di precedenti fasi del cammino europeo del predetto mercato comune, a cui rimandiamo per approfondimenti, come l’introduzione del Data Governance Act, del Data Act e dei progetti di Data Spaces europei (e di cui l’EHDS costituisce uno dei terreni applicativi più urgenti e rilevanti):
- “Il Data Governance Act è applicabile: nuove opportunità e rischi della data economy”;
- “Utilizzo dei dati non personali: così l’Europa può farne emergere i mercati”.
- “Data spaces: come l’Europa favorisce e incoraggia la condivisione dei dati all’interno degli spazi europei”.
- “Data Act e Data Spaces: una sinergia dal grande potenziale ma con alcune ombre, ecco perché”.
- “Data Spaces, ecco come rispettare la privacy nella condivisione dei dati: le linee guida ENISA”.
Di seguito affrontiamo, quindi, le novità che sembrerebbero presenti nel nuovo testo EHDS e alcune brevi riflessioni in merito.
Premettendo due parole sugli obiettivi: ne troviamo una chiara rappresentazione grafica nel sito web europeo dedicato specificamente all’EHDS, ove la narrazione che accompagna il progetto si focalizza proprio sui tre obiettivi chiave:
- fornire alle persone un maggiore accesso digitale ai loro dati sanitari personali elettronici e un maggior controllo, a livello nazionale e in tutta l’UE, permettendo di condividerli velocemente e alla bisogna con i propri sanitari dalla persona stessa;
- promuovere un mercato unico per i sistemi di cartelle cliniche elettroniche, i dispositivi medici pertinenti e i sistemi di IA ad alto rischio;
- fornire un sistema affidabile ed efficiente per l’uso dei dati sanitari per la ricerca, l’innovazione, l’elaborazione delle politiche e le attività di regolamentazione (c.d. uso secondario dei dati) – la Commissione, per esempio, ne enfatizza il potenziale sulla ricerca contro il cancro e le lezioni apprese dopo la pandemia.
L’EHDS è dunque da considerare un framework comune per l’utilizzo lecito e sicuro dei dati personali sanitari a livello unionale, un sistema di governance dell’ecosistema sanitario europeo, edificato negli Stati e poi condiviso nel rispetto dell’EHDS.
Il tutto mira al presupposto basilare dell’intero progetto, senza cui verrebbe meno tutto: la fiducia di tutte le parti interessate nella riuscita, sicura e affidabile, dell’EHDS.
Regolamento EHDS: le novità più rilevanti per finalità e consenso
Il Regolamento EHDS, proposto dalla Commissione europea nel maggio 2022, come accennato è finalizzato a migliorare l’accesso e il controllo delle persone in relazione propri dati sanitari elettronici. Infatti, al momento, non è facile per i cittadini dell’Unione che si trovano in uno Stato Membro differente da quello in cui risiedono accedere ai propri dati sanitari. Il Regolamento in questione punta proprio ad incidere su questo aspetto.
Un esempio formulato proprio dai co-legislatori nel loro comunicato stampa ne delinea l’obiettivo in maniera semplice e chiara: “l’obiettivo delle nuove norme è consentire a un turista spagnolo di ritirare una ricetta in una farmacia tedesca, oppure permettere ai medici di accedere alle informazioni sanitarie di un paziente belga sottoposto a cure in Italia”.
Ma non è tutto qui. Il testo concordato incide soprattutto sulla possibilità di riutilizzare i dati sanitari, raccolti in prima battuta per finalità di cura, per finalità di ricerca scientifica, un aspetto cruciale che oggi incontra spesso frizioni per paura, da parte degli istituti e, in generale, dei soggetti coinvolti, di violare la normativa in materia di protezione dei dati personali, in primis il Regolamento (UE) 2016/679 (“GDPR”) e, a cascata, le varie declinazioni nazionali (ad esempio, il D.lgs. 196/2003 (“Codice Privacy”).
Occorre senz’altro attendere una versione definitiva del testo per meglio comprendere i limiti e le possibilità offerte dal Regolamento in questione, ma appare già decisamente indicativa dell’intenzione dei legislatori la concessione al paziente della possibilità di un opt-out da tale riutilizzo, e non di un opt-in.
In altri termini, prendendo in prestito terminologia tipica del GDPR: non sarebbe necessario un consenso (opt-in), con tutte le necessarie caratteristiche ad esso connesse, ma l’istituto potrebbe procedere a tale riutilizzo, fatta salva la possibilità per il paziente di opporsi ex post (opt-out). Non solo.
Dal comunicato parrebbe che tale possibilità di opposizione debba ritenersi esclusa in caso di uso secondario “a fini di interesse pubblico, elaborazione di politiche, statistiche e ricerca nell’interesse pubblico”.
Frank Vandenbroucke, vice primo ministro e ministro degli Affari sociali e della sanità pubblica del Belgio – Stato Membro che esercita la Presidenza del Consiglio dell’UE dal 1° gennaio al 30 giugno 2024 – ha affermato che il nuovo regolamento potrà fornire “alla ricerca scientifica realizzata per importanti motivi di interesse pubblico una grande quantità di dati sicuri che gioveranno notevolmente all’elaborazione delle politiche sanitarie”.
Ci sono anche requisiti tecnici volti all’interoperabilità dei diversi sistemi di cartelle cliniche elettroniche presenti nei diversi Stati Membri. Infatti, principi, obblighi e diritti esisterebbero solo sulla carta se, di pari passo, non vi fosse un’accelerazione dal punto di vista puramente tecnico.
Pertanto, sono previste regole finalizzate alla conformità delle predette cartelle cliniche alle specifiche del formato europeo di interscambio delle cartelle cliniche elettroniche.
Circa la sicurezza informatica e delle infrastrutture, non si potrà fare a meno di considerare l’applicazione della Direttiva NIS 2 (n. 2022/2555) sulle misure per un livello comune elevato di cibersicurezza in tutta l’Unione.
Va da sé che l’innovazione dell’EHDS potrebbe comportare al contempo una ennesima riforma della disciplina nazionale del Fascicolo Sanitario Elettronico 2.0 e dell’Ecosistema Dati Sanitari, varata non molto tempo fa con D.M. del 7 settembre 2023.
GDPR e Codice Privacy: importante cambio di passo sul consenso
Uno sguardo all’attuale Codice Privacy italiano permette di comprendere quanto le norme che sembrerebbero essere presenti nel testo del Regolamento EHDS concordato dai co-legislatori Europei possano costituire una vera rivoluzione nel nostro Paese.
Gli articoli 110 e 110-bis del Codice Privacy impongono regole decisamente stringenti. Ad esempio, il primo permette il trattamento dei dati relativi alla salute per finalità di ricerca scientifica in campo medico, biomedico o epidemiologico senza consenso solo sulla base di disposizioni di legge, in conformità con l’articolo 9(2) lett. j) GDPR, oppure, a determinate condizioni, previa consultazione del Garante per la Protezione dei Dati Personali.
In generale, il consenso dell’interessato o, addirittura, l’intervento del Garante, è considerato elemento chiave in tale trattamento.
Il nuovo Regolamento EHDS, sulla base delle informazioni ora presenti, in attesa del testo definitivo, potrebbe permettere, seppur a determinate condizioni ed entro certi limiti, di avere quella base normativa necessaria a far sì che tali dati, fonte inestimabile di attività di ricerca, possano effettivamente essere utilizzati senza il consenso (opt-in) dell’interessato.
Proprio il Regolamento EHDS, quindi, potrebbe essere quella base legale richiesta dall’articolo 9(2) lett. j) GDPR, eccezione al divieto generale di trattamento delle categorie particolari di dati personali (tra cui i dati relativi alla salute) in caso di “trattamento necessario a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici in conformità dell’articolo 89, paragrafo 1, sulla base del diritto dell’Unione o nazionale […]”.
Infatti, quantomeno nella prima proposta della Commissione (ma è assolutamente verosimile ritenere che sia tutt’ora così), il Regolamento EHDS lascia espressamente impregiudicato, tra gli altri, il GDPR.
Una normativa da cogliere su più fronti: accessi e permessi
Sono numerosi gli altri aspetti del testo dell’EHDS che fanno riflettere, sarebbe complesso toccarli uno per uno con dovizia di approfondimenti. Però possiamo fornire alcuni spunti interessanti. Specie considerandoli come quasi tutti dei contrappesi a bilanciare la maggior liberà d’uso dei dati appena vista e che, lecitamente, potrebbe far alzare un sopracciglio pensando i riflessi circa l’informazione dovuta e la sicurezza.
Anzitutto la massima trasparenza si intende garantita da un diritto del paziente ad aver notizia di qualsivoglia accesso effettuato ai propri dati. Il controllo assoluto dei propri dati, fondato sulla totale consapevolezza del cittadino, è un presidio fondamentale per potersi aprire all’uso dei dati senza, al contempo, svilire i diritti fondamentali che la normativa garantisce.
D’altro canto, le strutture che vogliono accedere ai dati devono presentare determinati requisiti (non ultimo, di sicurezza) e ottenere apposito permesso dall’autorità nazionale competente, che indicherà tempistiche e limiti nelle finalità.
Non a caso, a chi accede ai dati è severamente vietato utilizzare questi dati per prendere decisioni pregiudizievoli per le persone, per aumentare i premi assicurativi, per commercializzare prodotti sanitari o per progettare prodotti o servizi dannosi.
Sarà possibile l’accesso anche da parte di Paesi terzi (extra-UE) a parità di requisiti e condizioni.
Di rilievo è altresì la previsione di un diritto specifico alla portabilità dei dati sanitari (esclusi quelli inferiti o elaborati sulla base di quelli originari), similmente a quello già garantito dal GDPR, seppur rafforzato quanto ad applicabilità, alla sua immediatezza, al divieto di frapporvi ostacoli o costi.
Va segnalato, comunque, che il rapporto tra il diritto alla portabilità del GDPR e quello dell’EHDS non sarà facile né pare chiara la loro sovrapposizione e convivenza.
Oltretutto, il GDPR lo impostava come strumento diretto soprattutto alla libera circolazione dei dati per incentivare il mercato, l’EHDS lo prevede per gli usi primari decisi dall’interessato.
Così come sono previste disposizioni sull’interoperabilità (alimentata dall’espansione della portabilità), costituendo una infrastruttura web comune e decentralizzata (“MyHealth@EU”) dedicata proprio all’interscambio di dati tra i punti di contatto nazionali.
Si tratta di un aspetto, quello dell’interoperabilità, che dovrà trovare concreta risoluzione (semantica, tecnica e organizzativa) perché fonte, da tempo, di alcuni tra i maggiori ritardi e problemi circa l’auspicata apertura al flusso dei dati.
Vedremo se le specifiche tecniche della piattaforma saranno sufficienti per poter dar libero corso al processo. Si punta ad avere una condivisione tramite MyHealth@EU di tutti gli Stati europei entro il 2025.
Così come è vitale il profilo di regolazione dedicato all’AI, per es. all’art. 14.4. ove si afferma che “i fornitori di sistemi di intelligenza artificiale (IA) ad alto rischio come definiti dall’articolo 6 [dell’ATI Act] che dichiarano l’interoperabilità di tali sistemi di IA con i componenti armonizzati dei sistemi EHR dovranno dimostrare la conformità ai requisiti essenziali relativi al componente europeo di interoperabilità per i sistemi EHR e al componente europeo di registrazione per i sistemi EHR”.
Non si dimentichi che ad accompagnare il flusso dei dati si avrà sempre una cyber-sicurezza di necessario elevato livello, dati i rischi insiti nel trattamento di dati così delicati e la crescita degli attacchi portati ai sistemi sanitari.
Peraltro, i dati acceduti dovrebbero subire processi di pseudonimizzazione/anonimizzazione tali da garantire, ragionevolmente, la non identificabilità degli interessati a cui afferiscono i dati: per es. i ricercatori non potranno avere accesso alla parte identificativa dei dati archiviati, e la condivisione avverrà solo in ambienti cloud, chiusi agli estranei.
I prossimi step e conclusioni
L’accordo tra Parlamento e Consiglio dell’UE è uno step fondamentale antecedente alla definitiva votazione da parte di ciascuna delle due Istituzioni. A valle dell’approvazione finale, il Regolamento EHDS potrà essere pubblicato sulla Gazzetta Ufficiale dell’UE ed entrerà in vigore dopo venti giorni.
E non scordiamo che, come sta accadendo con molte delle nuove normative europee, ancora una volta si dovrà nominare un’autorità indipendente di controllo, una per ogni Stato, denominata Digital Health Authority. Vedremo in Italia se verrà creata ex novo o se si appoggerà a istituzioni già esistenti.Così come a livello centrale europeo la Commissione nominerà uno European Health Data Space Board.
Il percorso intrapreso è ambizioso, i traguardi possono essere di elevatissima utilità sociale. Altrettanto elevati sono però i rischi – basti pensare a quelli sulla sicurezza e di violazione dei principi sulla protezione dei dati.
Vedremo se il framework disegnato dall’UE avrà la dovuta attenzione da parte di tutti i soggetti coinvolti e la consapevolezza anche da parte degli stessi cittadini, i quali dovrebbero essere il più possibile coinvolti dati gli impatti di un progetto di questa portata, a regime. In che modo i cittadini saranno informati e coinvolti nell’utilizzo dei loro dati sanitari? Come potranno i cittadini esercitare, nel migliore e più sicuro dei modi, il loro diritto di accesso, modifica o cancellazione dei dati che fluiscono in un ecosistema così potenzialmente complesso e articolato? Solo per accennare a due dei tanti interrogativi su cui non è mai troppo presto interrogarsi.