Al via il Regolamento sullo Spazio Europeo dei Dati Sanitari

Lo scorso 26 marzo è entrato in vigore il Regolamento (UE) 2025/327 relativo allo Spazio Europeo dei Dati Sanitari, che introduce un cambiamento significativo rispetto al possibile utilizzo dei dati sanitari all’interno dell’Unione Europea.

Nonostante l’entrata in vigore del Regolamento, la sua applicazione non sarà immediata. Il 26 marzo è infatti iniziata la fase di transizione, durante la quale le istituzioni europee e nazionali dovranno adottare atti di esecuzione per rendere il Regolamento pienamente operativo in relazione alle varie categorie di dati, con scadenze diversificate a seconda della singola categoria e degli obblighi considerati (Art. 105).

Il Regolamento si colloca tra i pilastri della c.d. “Strategia Europea per i Dati”, promossa dalla Commissione Europea per istituire un mercato unico dei dati, rafforzare la competitività globale dell’Europa e garantirne la sovranità digitale, sia attraverso la creazione di spazi condivisi per lo scambio protetto dei dati, sia con l’istituzione di organismi nazionali preposti all’esame delle domande di accesso ai dati sanitari per il c.d. “uso secondario”, ovvero per finalità diverse da quelle per cui i dati erano stati raccolti, tassativamente elencate all’Art. 53 del Regolamento.

L’obiettivo è quello di istituire un quadro comune per l’uso e lo scambio di dati sanitari elettronici in tutta l’UE, a vantaggio dei pazienti, degli operatori del settore e delle autorità regolatorie. I cittadini europei potranno accedere più facilmente ai propri dati sanitari e avere un maggior controllo su di essi. Al contempo sarà possibile, a certe condizioni, trattare tali dati per un loro uso secondario: in sintesi, per ricerca ed innovazione, attività regolatorie o statistiche, e per l’elaborazione di politiche sanitarie.

Il Regolamento ruota essenzialmente intorno alle nozioni di “uso primario” e “uso secondario” dei dati sanitari elettronici.

L’uso primario – quello svolto per prestare l’assistenza sanitaria – è regolato nel Capo II che rafforza i diritti dei pazienti, stabilendo in primo luogo che questi debbano poter accedere ai propri dati sanitari immediatamente dopo la loro registrazione e debbano poterne scaricare gratuitamente una copia. È però lasciata la possibilità agli Stati membri di limitare parzialmente tali diritti, se necessario per la tutela dei pazienti sulla base di considerazioni etiche e di sicurezza.

Il Regolamento prevede inoltre il diritto di rettifica dei dati sanitari nonché quello alla loro portabilità e alla loro diretta integrazione da parte dei pazienti. Con proprie norme, gli Stati membri potranno anche consentire ai pazienti di limitare l’accesso ai propri dati per uso primario da parte dei professionisti sanitari, in tutto o in parte; ed anche di rinunciare essi stessi all’accesso (“opt-out”) potendo sempre modificare la propria scelta in un secondo momento.

Il Capo III del Regolamento introduce obblighi relativi ai sistemi di cartelle cliniche elettroniche, definendo un approccio uniforme per facilitare lo scambio di dati sanitari nell’UE. Tali norme mirano a garantire che i sistemi che elaborano dati sanitari elettronici siano di alta qualità, sicuri e pienamente interoperabili in tutto il mercato europeo.

Una delle novità più significative introdotte dal Regolamento riguarda l’obbligo di integrare due componenti software armonizzati all’interno dei sistemi di cartelle cliniche elettroniche (il “componente software europeo di interoperabilità” e il “componente software europeo di registrazione”) per assicurare la compatibilità tecnica e facilitare la condivisione transfrontaliera dei dati.

I produttori di sistemi di cartelle cliniche elettroniche dovranno rispettare requisiti molto stretti, certificando anche la conformità a tali requisiti con apposita dichiarazione. È anche prevista la marcatura CE, come per altri prodotti soggetti al marchio di conformità. La vigilanza sull’osservanza di tali prescrizioni e la gestione di eventuali incidenti sarà affidata ad autorità nazionali designate dagli Stati membri.

Obblighi progressivamente meno stringenti sono previsti nei confronti di importatori e distributori di sistemi di cartelle cliniche elettroniche

Il Regolamento prevede inoltre la creazione da parte della Commissione di un ambiente digitale europeo di prova per la valutazione dei componenti software di cui sopra. Il software a sostegno dell’ambiente digitale europeo di prova verrà reso disponibile in formato open source e i fabbricanti dovranno utilizzare tali ambienti per testare i propri sistemi prima della commercializzazione, includendo i relativi risultati nella documentazione tecnica.

Il Regolamento contiene anche indicazioni sulle “applicazioni per il benessere”, sistemi atti a fornire informazioni sulla salute di una persona fisica o cure assistenziali per scopi diversi dall’assistenza sanitaria. I fabbricanti potranno dichiarare l’interoperabilità delle applicazioni con un sistema di cartelle cliniche elettroniche a specifiche condizioni, così da rendere condivisibili i dati raccolti; ma cio’ solo con il consenso della persona interessata, che potrà scegliere quali fra i suoi dati sanitari siano oggetto di tale interoperabilità.

Il Capo IV regola l’uso secondario dei dati sanitari elettronici, aspetto chiave del Regolamento e tema dibattuto a causa dei limiti imposti dalla normativa sulla protezione dei dati personali (“GDPR”).

A tal fine, il Regolamento identifica tre attori principali:

• Organismi responsabili dell’accesso ai dati sanitari – designati dagli Stati per autorizzare le richieste di uso dei dati per scopi secondari;

• Titolari dei dati sanitari – entità (ad esempio, persone giuridiche che prestino assistenza o cura, gli sviluppatori di applicazioni per il benessere, le stesse istituzioni ed Agenzie dell’Unione che si occupano di intepretazione di dati sanitari) che trattino dati sanitari personali elettronici in qualità di titolari o contitolari del trattamento, aventi la capacità di mettere a disposizione dati sanitari elettronici in formato anonimizzato o pseudoanonimizzato, attraverso il controllo della progettazione tecnica di un prodotto e dei servizi correlati;

• Utenti dei dati sanitari – enti a cui viene concesso l’accesso ai dati per uso secondario.

Il Regolamento contiene una lista tassativa di finalità legittime per l’uso secondario (in particolare: ricerca scientifica nel settore sanitario e miglioramento della prestazione di assistenza, ottimizzazione delle cure ed erogazione di assistenza sanitaria), vietando al contempo altri utilizzi dei dati condivisi, come le attività pubblicitarie e di marketing e l’adozione di decisioni pregiudizievoli per gli individui.

Per accedere ai dati sanitari elettronici, si dovrà presentare apposita richiesta all’organismo responsabile dell’accesso ai dati sanitari, potendo scegliere una delle seguenti procedure:

• Domanda di accesso ai dati: dovrà contenere le informazioni richieste dall’art. 67 del Regolamento. L’organismo responsabile dell’accesso valuterà la domanda in base a specifici criteri e valutazione dei rischi e, in caso di esito favorevole, rilascerà l’autorizzazione a ricevere i dati in forma anonimizzata o pseudoanonimizzata, senza che il richiedente abbia accesso ai dati sanitari elettronici individuali utilizzati per fornire tale risposta;

• Richiesta di dati sanitari: questa procedura permette di ricevere una risposta soltanto in forma statistica anonimizzata.

Qualora le procedure abbiano esito positivo, i titolari dei dati sanitari sono obbligati a renderli disponibili entro un termine ragionevole, di norma non superiore a tre mesi. Entro i due mesi successivi, l’organismo responsabile dell’accesso metterà i dati a disposizione del richiedente.

Gli utenti dovranno trattare i dati ottenuti nei limiti delle finalità stabilite nell’autorizzazione o richiesta di dati e l’accesso dovrà avvenire attraverso un ambiente informatico sicuro.

L’Art. 71 introduce il controverso diritto di opt-out per le persone fisiche che intendano limitare l’uso dei propri dati sanitari per usi secondari degli stessi, a decorrere dall’esercizio del ritiro dell’autorizzazione, cioe’ senza effetto retroattivo. Tuttavia, è prevista la possibilità con leggi nazionali di superare il ritiro dell’autorizzazione e consentire l’accesso ad enti pubblici nazionali o istituzioni e altri organismi dell’Unione (come la European Medicines Agency), a certe condizioni cumulative; nonche’ di stabilire procedure volte a concedere a tali enti regolatori o di ricerca lo status di “titolare affidabile” (una sorta di visto semipermanente).

Gli Stati membri introdurranno sanzioni pecuniarie per violazioni delle norme del Regolamento, mentre le persone fisiche e giuridiche vittima delle violazioni potranno chiedere il risarcimento dei danni subiti.

L’istituzione dello Spazio Europeo dei Dati Sanitari offre significative opportunità per istituzioni pubbliche, aziende e cittadini, generando al contempo rischi per la protezione dei dati personali sulla salute e per la privacy dei pazienti, sebbene la Commissione stia riflettendo sulla correzione di alcune modalità di implementazione del “GDPR”, giudicate fonti di appesantimenti burocratici ed ostacolo ad un rilancio delle attività di ricerca e sviluppo nell’Unione.

Per affrontare questa sfida, il Regolamento tenta un bilanciamento fra interessi contrapposti, favorendo la ricerca e l’innovazione ma richiedendo la massima sicurezza per la condivisione dei dati.

Si tratta di una scommessa che ci auguriamo possa essere vinta. Il successo dell’iniziativa dipenderà dalle concrete modalità di attuazione del Regolamento da parte degli Stati membri, sperabilmente non viziate da interpretazioni locali, non armonizzate centralmente, pena l’impossibilità di garantire un sistema efficace, gestibile e trasparente.

_______
*Stefano Marino, Senior Consultant Studio legale DLA Piper, e Cristina Criscuoli, avvocato Studio Legale DLA Piper

Se questo articolo è stato di tuo interesse ma non sei ancora abbonato a NT+ Diritto approfittane subito,prova 1 mese da € 4,90!Scopri di più