Spazio europeo dei dati sanitari (EHDS): approvato il nuovo regolamento

Sanità digitale e IA

Il Parlamento europeo ha approvato il nuovo regolamento sullo spazio dei dati sanitari (EHDS), un'ambiziosa iniziativa per creare un mercato unico dei dati sanitari.

Il regolamento e la sua struttura

In data 24 aprile 2024 il Parlamento europeo ha approvato il testo definitivo della proposta di regolamento sullo spazio europeo dei dati sanitari (EHDS), in attesa dell’approvazione definitiva del Consiglio e della pubblicazione in Gazzetta Ufficiale (che si attende per l’autunno). 

Si tratta di un ulteriore passo nell’ambito della strategia europea dei dati che segue all’approvazione dei regolamenti “Data Act” (Reg. (UE) 2023/2854 del 13 dicembre 2023 riguardante norme armonizzate sull’accesso equo ai dati e sul loro utilizzo) e “Data Governance Act” (Reg. (UE) 2022/868 del 30 maggio 2022 relativo alla governance europea dei dati) e promette di completare un quadro regolatorio europeo utile alla realizzazione di un mercato interno dei dati

Il Regolamento presenta una struttura piuttosto complessa dividendosi in ben otto Capi. L’atto normativo si apre al Capo I descrivendo il proprio oggetto e ambito di operatività, a cui fanno seguito le definizioni dei termini “chiave” contenuti nell’atto e alcune disposizioni di coordinamento tra il Regolamento e altri atti dell’UE, tra i quali, anzitutto, il GDPR. 

Obiettivi e finalità del regolamento

Il “cuore” del Regolamento è ricompreso nei Capi III e IV in materia di usi primari e secondari dei dati sanitari elettronici. Segnatamente, l’obiettivo sotteso al nuovo Regolamento di edificare un “ecosistema dei dati sanitari” si inscrive nel più ampio progetto “European Health Union” e si sostanzia nel fornire una regolazione uniforme a livello europeo volta ad abbattere quelle barriere geografiche che impediscono la condivisione di tali dati tra i diversi Stati membri. 

Con il nuovo Regolamento il legislatore europeo mira cioè a realizzare uno spazio europeo dei dati anche in ambito sanitario di modo da garantire la loro fruibilità nei diversi Stati membri. 

Lo scopo è, in primo luogo, di costituire uno spazio comune in cui le persone fisiche possono agevolmente accedere ai (e monitorare l’utilizzo dei) propri dati sanitari così favorendo l’assistenza sanitaria a livello UE, ossia l’uso primario dei dati (Capo III); e, in secondo luogo, di edificare uno spazio dove ricercatori, operatori sanitari e policy makerpossano (ri)utilizzare tali dati o altri dati raccolti appositamente ai fini di ricerca e innovazione, garantendo un adeguato livello di protezione della privacy, ossia l’uso secondario dei dati (Capo IV). 

Vengono inoltre introdotte ulteriori misure che favoriscano lo sviluppo delle conoscenze e delle capacità degli Stati membri nel sostenere questo processo di edificazione dello spazio europeo dei dati sanitari (Capo V). Si tratta di misure attinenti allo scambio di informazioni sui servizi pubblici digitali, sui finanziamenti, e così via, che però non intendono incidere direttamente sui servizi nazionali di prestazione di assistenza sanitaria.

Uso primario dei dati sanitari elettronici

Uno dei profili sostanziali di maggiore interesse del Regolamento è rappresentato, come detto, dalla disciplina relativa all’uso primario dei dati sanitari con cui si intende assicurare la circolazione a livello europeo del “fascicolo sanitario elettronico” e quindi delle “cartelle cliniche elettroniche” quali documenti di destinazione e impiego dei relativi dati sanitari al fine di realizzare il “mercato unico dei dati sanitari”.

Si tratta di un obiettivo volto a migliorare la qualità della prestazione dei servizi sanitari a livello UE permettendo ai pazienti di accedere ai propri dati sanitari elettronici in un qualsiasi Stato membro a prescindere da quello di loro residenza, e consentendo loro pure di fornire accesso a medici di un qualsiasi Stato membro alle rispettive cartelle sanitarie elettroniche (cfr. artt. 3 e 4 rubricati rispettivamente “diritti delle persone fisiche in relazione all’uso primario dei loro dati sanitari elettronici personali” e “accesso dei professionisti sanitari ai dati sanitari elettronici personali”).

All’art. 5 del Regolamento vengono selezionate le “categorie prioritarie di dati sanitari elettronici personali per l’uso primario” per le quali gli Stati membri dovranno assicurare pieno accesso e scambio. Si tratta dei profili sanitari sintetici dei pazienti, delle prescrizioni elettroniche, delle dispensazioni elettroniche, di immagini medicali e dei relativi referti, dei risultati di laboratorio e delle lettere di dimissione. Alla Commissione è consentito poi di adottare atti delegati (ex art. 67 Reg.) per modificare le categorie prioritarie di dati sanitari, a condizione che ciò avvenga relativamente a categorie pertinenti per servizi sanitari prestati a persone fisiche, quando la categoria risulta utilizzata in un significativo numero di cartelle cliniche elettroniche in differenti Stati membri, o quando esistano norme internazionali per la categoria oggetto di vaglio per l’applicazione all’interno dell’UE. 

Sistemi di cartelle cliniche elettroniche e norme tecniche di interoperabilità 

A questo scopo il Regolamento predispone misure volte a garantire l’attuazione di un modello di autocertificazione cogente per i sistemi di cartelle cliniche elettroniche (Capo III), in modo che siano conformi alle prescrizioni essenziali inerenti all’interoperabilità e alla sicurezza. L’obiettivo di queste previsioni si sostanzia nel garantire che le cartelle cliniche elettroniche risultino compatibili con ogni sistema e, quindi, nell’agevolare il flusso di dati sanitari elettronici nel contesto europeo. 

Si definiscono così gli obblighi gravanti su ciascun operatore economico che produca o adotti dei sistemi di cartelle cliniche elettroniche, e si introducono prescrizioni sulla conformità di tali sistemi, e sugli obblighi delle autorità di vigilanza del mercato responsabili dei sistemi di cartelle cliniche elettroniche nell’ambito della loro attività di vigilanza del mercato. Il capo III comprende anche ulteriori regole inerenti all’etichettatura volontaria delle “applicazioni per il benessere” interoperabili con i sistemi di cartelle cliniche elettroniche e prevede la costituzione di una banca dati europea per la registrazione dei sistemi di cartelle cliniche elettroniche certificate e delle “applicazioni per il benessere” corredate di etichetta.

Inoltre, ai sensi dell’art. 6 del Reg., alla Commissione spetta il compito di adottare le norme tecniche utili a definire il formato europeo di scambio delle cartelle, così da assicurare l’effettività dell’esercizio del diritto alla portabilità dei dati sanitari dei cittadini dell’UE. A tal fine dovrà essere assicurata l’interoperabilità tra i differenti sistemi in uso nei diversi Stati membri, e la norma, seppur non direttamente interferente con le tecnicalità delle strutture informatiche, detta alcuni elementi che dovranno comprendersi nel formato unico, quali: la serie di dati sanitari e le correlate strutture definitorie, tra cui, anzitutto la rappresentazione contenutistica delle informazioni cliniche; i valori e i sistemi di codifica da utilizzare; le specifiche tecniche per lo scambio di dati sanitari. 

Si tratta di elementi volti, per l’appunto, ad assicurare l’interoperabilità, che dovranno trovare delle soluzioni concrete sia a livello semantico, sia tecnico e organizzativo. L’assenza di interoperabilità, d’altronde, ha sempre rappresentato un freno all’effettivo scambio di dati, nonché ai sistemi di telemedicina.

La piattaforma centrale per la sanità digitale “MyHealth@EU” 

Allo scopo di agevolare la fornitura di servizi transfrontalieri in ambito sanitario e quindi lo scambio dei dati a livello UE il Regolamento alla sezione 2 del Capo II, art. 12 prevede l’obbligo di designazione da parte di ciascuno Stato membro di un “punto di contatto nazionale per la sanità digitale” che dovrà collegarsi con gli altri “punti di contatto nazionali” designati dagli altri Stati membri attraverso la piattaforma centrale per la sanità digitale “MyHealth@EU”. Si tratta di una piattaforma già attiva per la quale la Commissione dovrà adottare ulteriori norme tecniche volte ad assicurare i flussi informativi bidirezionali tra i diversi punti di contatto nazionale e la possibilità per le farmacie di accedere alle prescrizioni elettroniche provenienti da altri Stati membri.

Infine, sempre in ragione del fine di garantire l’effettività delle regole dettate dal Regolamento in materia di uso primario dei dati, all’art. 10 del medesimo, come accennato, si prevede la designazione da parte di ciascuno Stato membro di una “Autorità di sanità digitale” incaricata di svolgere, tra gli altri, il compito di adottare soluzioni tecniche utili a garantire l’utilizzo primario dei dati e i correlati diritti per i cittadini e gli operatori sanitari, nonché di vigilare sui “punti di contatto per la sanità digitale”.

Uso secondario dei dati sanitari elettronici

L’utilizzo secondario dei dati sanitari, disciplinato al Capo IV del Regolamento, risulta finalisticamente orientato a consentire ai soggetti pubblici, privati e senza scopo di lucro, così come ai singoli ricercatori, l’accesso ai dati per scopi d’innovazione, di definizione delle politiche, così come di attività normativa, di attività didattiche, di sicurezza dei pazienti o di medicina personalizzata. Si tratta in sostanza di finalità di interesse generale della società. 

La fornitura dei dati intende poi favorire le attività correlate alla ricerca scientifica, compresa quella effettuata in ambito privato, lo sviluppo e l'innovazione, la produzione di beni e servizi nel settore sanitario e dell'assistenza, come le attività di innovazione o di addestramento di algoritmi di intelligenza artificiale, sempre al fine di assicurare un più alto livello di protezione della salute delle persone fisiche e di assistenza. Questo Capo, inoltre, contiene disposizioni in tema di attuazione dell’altruismo dei dati nel settore sanitario.

Coerentemente le attività ritenute dal Regolamento legittimanti l’accesso comprendono l’utilizzo dei dati sanitari elettronici nell’esercizio di funzioni pubbliche da parte di organismi pubblici, tra cui la sorveglianza della sanità pubblica, la definizione delle politiche in ambito sanitario e la garanzia della sicurezza dei pazienti, la qualità dell’assistenza e della sostenibilità dei sistemi di assistenza sanitaria.

Il Capo in esame si apre (all’art. 33) con la definizione di una serie di tipi di dati che possono essere impiegati per finalità specifiche (art. 34) nonché finalità vietate (ad es. l’uso dei dati contro persone, la pubblicità commerciale, l’aumento delle assicurazioni, lo sviluppo di prodotti pericolosi) (art. 35). 

L’utilizzo secondario dei dati sanitari elettronici risulta così profondamente rafforzato dal Regolamento. Si ammette difatti la possibilità di riutilizzare i dati sanitari raccolti per finalità di cura anche per finalità di ricerca scientifica. Si tratta di un profilo di centrale importanza, atteso che ad oggi gli operatori sanitari faticano ad accedere a tali risorse di dati, sovente, a cagione del timore di violare la normativa in materia di protezione dei dati personali dettata dal GDPR.

L’organismo responsabile dell’accesso ai dati sanitari 

All’interno di questo capo sono poi contenute disposizioni inerenti all’organizzazione e alla promozione dell'accesso transfrontaliero ai dati sanitari elettronici. Tale complesso normativo è cioè diretto a far sì che gli utenti dei dati in uno Stato membro possano accedere ai dati sanitari elettronici per l’uso secondario da altri Stati membri, senza la necessità di ottenere un’autorizzazione all’accesso da tutti i differenti Stati membri. 

A tal fine il Regolamento prevede che gli Stati membri istituiscano un organismo responsabile dell’accesso ai dati sanitari per l’uso secondario di questi, per garantire che i titolari mettano i loro dati elettronici a disposizione degli utenti. Vengono così definiti i doveri e gli obblighi dell’organismo responsabile dell'accesso ai dati sanitari, dei titolari dei dati e degli utenti dei dati. Più di preciso, da un lato, i titolari dei dati sono chiamati dal Regolamento a cooperare con l’organismo responsabile dell’accesso ai dati sanitari di modo da garantire la disponibilità dei dati sanitari elettronici per gli utenti, mentre, dall’altro lato, sono stabilite le responsabilità degli organismi responsabili dell'accesso ai dati sanitari e degli utenti dei dati quali soggetti contitolari del trattamento dei dati sanitari elettronici.

Peraltro, posto che l’uso secondario dei dati sanitari elettronici può implicare dei costi non trascurabili, il regolamento al Capo in esame, inserisce alcune disposizioni generali sulla trasparenza del calcolo delle tariffe. 

Infine, sempre all’interno di questo Capo, vengono elencate le condizioni e le informazioni che devono essere indicate nel modulo di richiesta di dati ai fini dell’ottenimento dell'accesso ai dati sanitari elettronici, nonché le condizioni associate al rilascio dell'autorizzazione ai dati.

Coordinamento normativo e cooperazione tra Stati nella disciplina EHDS

Il Regolamento impone l’obbligo di localizzare i dati sanitari all’interno dell’UE, in particolar modo, per quanto concerne l’archiviazione e il trattamento dei dati per usi secondari (di cui al Capo IV), stabilendo alcune eccezioni per i paesi terzi che beneficiano di decisioni di adeguatezza della Commissione, ex art. 45 GDPR. Tali regole di localizzazione dei dati risultano dirette a garantire la compliance con il GDPR e con le altre normative UE inerenti alla protezione dei dati. Lo scopo di questa disciplina di coordinamento si sostanzia nel bilanciare da un verso la necessità di una libera circolazione dei dati sanitari per la ricerca e l’innovazione, ma per converso, la necessità di garantire la data protection, riducendo i rischi che si accompagnano al trasferimento internazionale di dati, di modo che i dati sanitari dei cittadini europei siano conservati e trattati nel rispetto delle regole che impongono adeguati standard di privacy e sicurezza. 

Al Capo II, con riguardo ai dati sanitari elettronici, il Regolamento, da un lato, prevede alcuni diritti (e descrive determinati meccanismi) utili a integrare i diritti delle persone fisiche già fissati dal GDPR e, dall’altro lato, stabilisce taluni obblighi per i professionisti sanitari. L’obiettivo d’integrazione di determinate tipologie di dati sanitari elettronici nell’edificando spazio europeo dei dati sanitari viene considerato dall’UE prioritario pur ammettendo che tale processo avvenga in modo graduale prevedendo un periodo di transizione. Il Regolamento prevede poi che gli Stati membri istituiscano un’autorità di sanità digitale responsabile del monitoraggio circa il rispetto e la corretta applicazione di tali ulteriori diritti delle persone fisiche. 

Comitato EHDS e attuazione del regolamento

Il capo VI prevede la costituzione del “comitato dello spazio europeo dei dati sanitari” (c.d. “comitato EHDS”), la sua composizione e le modalità con cui è organizzato il funzionamento di tale organismo. Si tratta di un comitato volto ad agevolare la cooperazione (per quanto riguarda la relazione tra uso primario e secondario dei dati sanitari elettronici) tra gli organismi responsabili dell’accesso ai dati sanitari e le autorità di sanità digitale che il medesimo Regolamento impone agli Stati membri di istituire. Si prevedono, inoltre, ulteriori disposizioni relative ai gruppi di controllo congiunto dell'infrastruttura dell'UE quali organi incaricati di prendere decisioni riguardo all'infrastruttura digitale transfrontaliera necessaria: sia per l'uso primario, sia per l’uso secondario dei dati sanitari elettronici.

Al capo VII il Regolamento attribuisce poi alla Commissione il potere di adottare atti delegati relativi allo spazio europeo dei dati sanitari. La Commissione potrà così avvalersi di un gruppo di esperti capace di assisterla nella predisposizione di atti delegati e con riferimento a questioni correlate all'implementazione del Regolamento su determinate questioni di particolare importanza, quali, ad esempio: lo sfruttamento dei vantaggi socioeconomici sostenibili dei sistemi e dei servizi europei di sanità digitale; il miglioramento dell'interoperabilità dei dati sanitari elettronici per l’assistenza sanitaria; l'attuazione armonizzata dell'accesso ai dati sanitari elettronici e della loro condivisione per l'uso primario; l’interoperabilità dei sistemi di cartelle cliniche elettroniche e di altri prodotti che trasmettono dati alle cartelle cliniche elettroniche, compresi dispositivi medici, sistemi di intelligenza artificiale e applicazioni per il benessere. A tal fine, il gruppo di esperti potrà inoltre cooperare con il gruppo di coordinamento per i dispositivi medici e il comitato europeo per l’AI.