NEWS

 

Gli attori dell’European Health Data Space e l’intermediazione dei dati

A giorni si attende la pubblicazione sulla Gazzetta Ufficiale dell’Unione Europea del testo definitivo del Regolamento EHDS (di seguito anche indicato come “European Health Data Space”). La proposta è stata avanzata dalla Commissione europea nel maggio del 2022 e, dopo la fase di trilogo, il testo è stato definitivamente approvato e firmato tanto dal Parlamento Europeo (in dicembre 2024) quanto dal Consiglio dell’Unione Europea (nel gennaio 2025). Si attende quindi la pubblicazione del testo, che dovrebbe avvenire nel mese di febbraio o, al più tardi, agli inizi di marzo.

(Selina Zipponi, Global DPO Dedalus. Insieme a Luca Bolognini ha curato il volume  "Privacy e diritto dei dati sanitari")

All'uso secondario dei dati sanitari elettronici viene dedicato il capo IV del Regolamento, che ne rivoluziona la disciplina.

Nel presente articolo verrà brevemente illustrata la nuova normativa, con focus sul tema degli attori dell’EHDS e del ruolo dei fornitori tecnologici anche a fini di intermediazione di dati.

La disciplina sull’uso secondario dei dati - Il Capitolo IV dell’EHDS riguarda l’uso secondario dei dati. In particolare, all’articolo 53 sono indicate le finalità per cui è consentito l’uso secondario dei dati, ovvero:

- interesse pubblico nell’ambito della salute pubblica e professionale, come le attività di protezione contro le gravi minacce transfrontaliere alla salute e la sorveglianza della salute pubblica o le attività che garantiscono alti livelli di qualità e sicurezza dell’assistenza sanitaria, compresa la sicurezza dei pazienti, e dei prodotti medicinali o dispositivi medici;

- attività di definizione delle politiche e di regolamentazione per supportare gli enti del settore pubblico o le istituzioni, le agenzie e gli organismi dell’Unione, comprese le autorità di regolamentazione, nel settore della salute o dell’assistenza, a svolgere i compiti definiti nei loro mandati;

- statistiche, come le statistiche ufficiali a livello nazionale, multinazionale e dell’Unione relative ai settori della salute o dell’assistenza;

- attività di istruzione o insegnamento nei settori della salute o dell’assistenza a livello di formazione professionale o superiore;

- ricerca scientifica relativa ai settori della salute o dell’assistenza, contribuendo alla salute pubblica o alla valutazione della tecnologia sanitaria, o garantendo alti livelli di qualità e sicurezza dell’assistenza sanitaria, dei medicinali o dei dispositivi medici, con l’obiettivo di beneficiare gli utenti finali, come i pazienti, gli operatori sanitari e gli amministratori della sanità, incluso:


i) attività di sviluppo e innovazione di prodotti o servizi;
ii) formazione, test e valutazione degli algoritmi, anche nei dispositivi medici, nei dispositivi medici diagnostici in vitro, nei sistemi AI e nelle applicazioni di salute digitale;

- migliorare l’erogazione delle cure, l’ottimizzazione dei trattamenti e la fornitura di assistenza sanitaria, sulla base dei dati sanitari elettronici di altre persone fisiche.

Particolarmente interessante appaiono le finalità di sviluppo di prodotti e servizi e di formazione, test e valutazione degli algoritmi, in quanto rilevanti ai fini dell’innovazione nella sanità e dello sviluppo di servizi e prodotti che possano beneficiare dei vantaggi dell’intelligenza artificiale.

Le finalità vietate sono invece indicate dal successivo articolo 53, tra cui sono comprese, a titolo esemplificativo, l’adozione di decisioni pregiudizievoli per una persona fisica sulla base dei suoi dati sanitari elettronici e lo svolgimento di attività pubblicitarie o di marketing.

Tuttavia, l’articolo 71 sancisce il diritto di opt-out per l’interessato, che può sempre opporsi al trattamento dei suoi dati sanitari elettronici per uso secondario (l’esercizio del diritto è comunque reversibile). Gli Stati membri dovranno quindi prevedere un meccanismo di opt-out accessibile e facilmente comprensibile in base al quale persone fisiche dovranno avere la possibilità di esprimere esplicitamente la loro volontà di non far trattare i loro dati sanitari elettronici personali per uso secondario. In tal caso, i dati personali sulla salute elettronici che li riguardano non saranno resi disponibili o altrimenti trattati in base all’EHDS. È comunque prevista un’eccezione all’opt-out per la legislazione degli Stati membri, ove ricorrano una serie di condizioni e ove la richiesta di accesso sia presentata da un ente del settore pubblico o da un’istituzione, un organo, un ufficio o un’agenzia dell’Unione con il mandato di svolgere compiti nell’ambito della salute pubblica, fatte salve le misure specifiche e adeguate per proteggere i diritti fondamentali e i dati personali delle persone fisiche previste dalla legge nazionale.

Maggiore discrezionalità è lasciata agli Stati membri in merito ad alcune categorie di dati, quali i dati genetici, epigenomici e genomici umani; altri dati molecolari umani, come la trascrittomica proteomica, la metabolomica, la lipidomica e altri dati omici; dati sanitari dalle biobanche e dai database associati; dati dalle applicazioni wellness. Per tali categorie, gli Stati membri possono introdurre misure più severe e garanzie aggiuntive a livello nazionale volte a salvaguardare la sensibilità e il valore dei dati (articolo 51 paragrafo 4). Saranno le leggi nazionali, quindi, a valutare l’introduzione di misure più stringenti (ivi incluso eventualmente l’opt-in).

Quanto alla tutela dei diritti di proprietà intellettuale dei titolari dei dati, l’articolo 52 istituisce una dettagliata procedura da seguire per segnalare all’organismo centrale l’esistenza di diritti di proprietà intellettuale, al fine di adottare ogni possibile misura protettiva, e la possibilità, per l’organismo di accesso ai dati, di rifiutare l’autorizzazione all’accesso qualora la concessione dell’accesso ai dati sanitari elettronici per scopi secondari comporti un rischio serio, che non può essere affrontato in modo soddisfacente, di violazione dei diritti di proprietà intellettuale.

L’uso secondario dei dati sarà comunque gestito a livello centralizzato da appositi organismi responsabili dell’accesso ai dati, che saranno designati dagli Stati membri e avranno il compito di valutare le richieste di uso secondario dei dati e concedere le autorizzazioni. In particolare, l’utente dovrà presentare una richiesta, corredata da una serie di informazioni (quali le finalità perseguite e le misure di sicurezza), e l’organo responsabile per l’accesso ai dati dovrà decidere entro tre mesi dalla richiesta e, nel caso in cui sia verificata la sussistenza delle condizioni, concedere l’autorizzazione.

Nel caso in cui un utente ottenga un’autorizzazione da parte dell’organo responsabile dell’accesso ai dati, al titolare dei dati verrà richiesto, da parte dell’organismo responsabile, di metterli a disposizione. Il titolare dei dati dovrà adempiere entro un termine ragionevole, comunque non oltre tre mesi dalla ricezione della richiesta da parte dell’organismo di accesso ai dati sanitari (prorogabili di altri tre mesi in casi specifici) L’autorizzazione potrà essere concessa per il periodo necessario a conseguire le finalità richieste, e comunque per un periodo non superiore a dieci anni (prorogabili di altri dieci anni in caso di specifiche giustificazioni).

L’accesso ai dati dovrà avvenire in forma anonimizzata o al più, in specifici casi, pseudonimizzata, e in un ambiente sicuro, soggetto a misure tecniche e organizzative dettagliate.

Obblighi specifici sono previsti tanto per i titolari dei dati sanitari, quanto per gli utenti. In particolare, questi ultimi dovranno: accedere ed elaborare i dati in conformità alle prescrizioni dell’autorizzazione, rendere pubblici i risultati o l’output dell’uso secondario dei dati sanitari elettronici entro 18 mesi dal completamento dell’elaborazione dei dati sanitari elettronici (tali risultati conterranno solo dati anonimi); informare l’organismo di accesso ai dati sanitari di qualsiasi scoperta significativa relativa alla salute della persona fisica i cui dati sono inclusi nell’insieme di dati.

Sarà vietato invece consentire l’accesso ai dati a terzi non autorizzati, e re-identificare o cercare di re-identificare le persone fisiche a cui si riferiscono i dati sanitari elettronici.

Quanto alla possibilità di imporre tariffe all’utente dei dati sanitari per uso secondario, in base all’articolo 62 le tariffe possono essere chieste dagli organismi di accesso ai dati e dai titolari fiduciari e includere i costi relativi al consolidamento, alla preparazione, all’anonimizzazione, alla pseudonimizzazione e alla messa a disposizione dei dati sanitari elettronici. Inoltre, le tariffe possono includere un compenso per i costi sostenuti dal titolare dei dati sanitari per la preparazione dei dati sanitari elettronici da rendere disponibili per l’uso secondario (per cui il titolare dei dati sanitari fornirà una stima di tali costi all’organismo di accesso ai dati sanitari). In ogni caso, prima di rilasciare un’autorizzazione, l’organismo di accesso ai dati sanitari dovrà informare il richiedente dei costi previsti, dandogli la possibilità di ritirare la domanda, salvo l’addebito delle spese già sostenute.

Gli organismi responsabili dell’accesso ai dati sanitari vigileranno sul rispetto delle previsioni e, in caso di inosservanza delle stesse da parte degli utenti dei dati sanitari, avranno il potere di adottare le misure necessarie incluso quello di revocare l’autorizzazione ai dati rilasciata, di escludere l’utente dall’accesso ai dati sanitari elettronici per un periodo massimo di cinque anni.

Sono inoltre previste sanzioni amministrative pecuniarie fino a 10 000 000 EUR, o fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore o, per i casi più gravi, fino a 20.000.000 EUR, o fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.

I titolari dei dati sanitari ed i titolari fiduciari - Attori principali dell’uso secondario dei dati sanitari elettronici, oltre agli organismi centrali di accesso ai dati, sono i titolari dei dati sanitari, tenuti a mettere a disposizione i dati stessi. La definizione di 'titolare dei dati sanitari' (“data holder”) chiarisce che per tale si intende qualsiasi persona fisica o giuridica, autorità pubblica, agenzia o altro organismo del settore sanitario o assistenziale, compresi i servizi di rimborso, nonché qualsiasi persona fisica o giuridica che sviluppi prodotti o servizi destinati al settore sanitario, assistenziale o assistenziale; che sviluppi o produca applicazioni per il benessere; che svolga attività di ricerca in relazione al settore sanitario o assistenziale; nonché qualsiasi istituzione, organismo, ufficio o agenzia dell'Unione; che abbia:

(a) il diritto o l'obbligo, in conformità al diritto dell'Unione o alla legislazione nazionale applicabile, di trattare i dati sanitari elettronici personali per la fornitura di assistenza sanitaria o di cure o per scopi di sanità pubblica, rimborso, ricerca, innovazione, elaborazione di politiche, statistiche ufficiali, sicurezza del paziente o regolamentazione, in qualità di titolare del trattamento o di contitolare del trattamento; oppure

(b) la possibilità di mettere a disposizione dati sanitari elettronici non personali anche per registrarli, fornirli, limitarne l'accesso o scambiarli, attraverso il controllo del design tecnico di un prodotto e dei servizi correlati.

Interessante il considerando numero 59 che innanzitutto evidenzia l’importanza della ricerca finanziata e precisa che, poiché le entità pubbliche e private spesso ricevono fondi nazionali o europei per trattare dati di salute a fini di ricerca, anche nelle aree in cui è particolarmente difficile o frammentata la raccolta di tali dati (ad esempio nel campo delle malattie rare o della ricerca contro il cancro), i dati raccolti e trattati con il supporto di un finanziamento dovrebbero essere messi a disposizione degli organismi centrali di accesso ai dati, al fine di massimizzare l’investimento e supportare la ricerca, l’innovazione, la sicurezza del paziente, il beneficio per la società. In secondo ruolo viene riconosciuto che in determinati Stati membri le entità private, quali i fornitori di servizi di cura e le associazioni professionali, svolgono un ruolo fondamentale nel settore della salute, e pertanto anche i dati detenuti da questi ultimi dovrebbero essere messi a disposizione per finalità di uso secondario. In tale contesto, quindi, i “titolari dei dati sanitari” dovrebbero essere i fornitori di servizi di assistenza sanitaria o i soggetti che svolgono attività di ricerca relativamente al settore sanitario o ancora i soggetti che sviluppano prodotti o servizi intesi per il settore sanitario. Inoltre, viene precisato che tali entità possono essere pubbliche, non profit o private e che, in linea con la definizione le case di cura, i centri diurni, le entità che forniscono servizi alle persone con disabilità, le attività commerciali e tecnologiche legate all'assistenza, come l'ortopedia, e le aziende che forniscono servizi di assistenza, dovrebbero essere considerate titolari di dati sanitari. Anche le persone giuridiche che sviluppano applicazioni per il benessere dovrebbero essere titolari di dati sanitari. Sono inoltre titolari dei dati le istituzioni, organi e uffici dell’Unione Europea che trattano dati di salute e registri di mortalità. Per quanto riguarda, invece, le persone fisiche e le micro-imprese, al fine di evitare un onere amministrativo eccessivo, le stesse sono escluse dalla definizione di “data holder”, salva la possibilità per le legislazioni nazionali di estendere anche a loro le obbligazioni gravanti sui titolari dei dati.

Figura peculiare, prevista dall’articolo 72, è quella dei “titolari di dati sanitari fiduciari”, per cui si applica una procedura semplificata. In particolare, gli Stati membri potranno stabilire un meccanismo in base alla quale i titolari di dati sanitari possono richiedere di essere designati come titolari di dati sanitari di fiducia, qualora soddisfino una serie di condizioni (poter fornire l’accesso ai dati sulla salute attraverso un ambiente di elaborazione sicuro, avere le competenze necessarie per valutare le richieste di accesso ai dati; fornire le garanzie necessarie per assicurare la conformità all’EHDS) che saranno valutate da parte dell’organismo competente per l’accesso ai dati sanitari. I titolari di fiducia saranno poi designati dagli Stati membri e indicati in appositi cataloghi dei set di dati. Nel caso di domande di accesso ai dati che riguardano esclusivamente i dati sanitari elettronici detenuti da un titolare di dati sanitari di fiducia designato, le richieste sono presentate all’organismo di accesso ai dati sanitari, che può inoltrarle al pertinente titolare di dati sanitari di fiducia, che valuterà la domanda (in base ai medesimi criteri valutati dall’organismo di accesso ai dati sanitari) e sottoporrà una proposta di decisione all’organismo di accesso ai dati (che, tuttavia, non è vincolato alla proposta). In seguito alla decisione dell’organismo di accesso ai dati sanitari di rilasciare l’autorizzazione o di accogliere la richiesta di dati, spetterà al titolare fiduciario dei dati sanitari elaborare i dati e consentirne l’accesso in un ambiente sicuro.

Gli intermediari dei dati sanitari - Il considerando 59, esaminato in precedenza, precisa altresì che, per la evidenziata finalità di ridurre l'onere amministrativo e alla luce dei principi di efficacia ed efficienza, gli Stati membri dovrebbero poter richiedere, attraverso la legislazione nazionale, che entità di intermediazione di dati sanitari adempiano alle obbligazioni di alcune categorie di titolari di dati sanitari. E infatti tale previsione è contenuta anche nell’articolo 50, che precisa che tali legislazioni, nonché ogni loro aggiornamento, dovranno essere notificate dagli Stati membri alla Commissione Europea. Tali entità di intermediazione di dati sanitari dovrebbero essere persone giuridiche in grado di compiere le seguenti operazioni sui dati sanitari elettronici forniti dai titolari dei dati per uso secondario: elaborarli, metterli a disposizione, registrarli, restringerne l’accesso scambiarli.

Giova evidenziare una precisazione contenuta nel considerando: le entità di intermediazione dei dati sanitari svolgono compiti differenti dai servizi di intermediazione di dati di cui al Regolamento (UE) 2022/868 (Data Governance Act). Peraltro, mentre la versione di Aprile 2024 (risultante dall’accordo delle istituzioni europee all’esito del trilogo) faceva espresso riferimento all’articolo 10 del suddetto regolamento, nella versione definitiva, che ha subito alcune rettifiche, è mantenuto un riferimento più generico, quasi a voler evitare ogni interpretazione che possa ricongiungere i due settori, magari tramite altri articoli, e quasi a voler sottolineare che intermediazione dei dati in generale e intermediazione dei dati sanitari devono essere considerati in modo distinto e devono essere soggetti a due discipline diverse (nel primo caso, il Data Governance Act, e nel secondo l’European Health Data Space come attuato dalle discipline nazionali).

Ulteriore precisazione è contenuta nell’articolo 50: nel caso in cui i dati siano messi a disposizione da parte di intermediari di dati sanitari, i dati saranno comunque considerati come messi a disposizione da diversi titolari di dati sanitari.

Sarà opportuno quindi monitorare l’evoluzione della legislazione nei contesti dei vari Stati membri. Sicuramente, ove tali entità siano riconosciute e regolamentate, il ruolo ben potrebbe essere svolto dai fornitori tecnologici di prodotti da utilizzarsi in ambito sanitario, essendo questi ultimi in grado di compiere le operazioni descritte sopra in riferimento ai dati sanitari.

I responsabili del trattamento - Un ruolo fondamentale è svolto anche dai responsabili del trattamento ex articolo 28 GDPR, per quanto attiene alle procedure di anonimizzazione e pseudonimizzazione applicate. Infatti il considerando 72 prevede che, tenendo conto delle finalità specifiche del trattamento, i dati dovrebbero essere anonimizzati o pseudonimizzati il più presto possibile nella catena di messa a disposizione dei dati per un uso secondario. Quanto agli attori, i considerando precisano che la pseudonimizzazione e l'anonimizzazione possono essere effettuate dagli organismi di accesso ai dati sanitari o dai titolari dei dati sanitari che tuttavia, in qualità di titolari del trattamento, potranno delegare questi compiti ai responsabili del trattamento (ad esempio, ai providers tecnologici).

Peraltro, è indicato che per l’anonimizzazione e la pseudonimizzazione dovrebbero utilizzarsi tecnologie e standard tenendo conto dello stato dell’arte, garantendo nella massima misura possibile che le persone fisiche non possano essere nuovamente identificate dagli utenti dei dati sanitari. Tali tecnologie e standard per l'anonimizzazione dei dati dovrebbero essere ulteriormente sviluppati. Sono inoltre previste sanzioni amministrative (o penali, se previste dalla legislazione locale) per gli utenti che cerchino di re-identificare le persone fisiche.

Conclusioni - In conclusione, l’EHDS comporterà una vera e propria rivoluzione nell’ambito dell’uso secondario dei dati, impattando su ricerca ed innovazione, fornendo un quadro più armonizzato e dando avvio ad un meccanismo autorizzatorio centralizzato a livello di ciascuno Stato membro.

In tale contesto, i fornitori tecnologici rivestiranno un ruolo cruciale nell’attuazione ed implementazione del Regolamento, sia nella tradizionale veste di Responsabili del trattamento ai sensi dell’articolo 28 GDPR sia, se previsto dalle legislazioni nazionali, nel ruolo di intermediari di dati.

Note sull'Autore

Selina Zipponi Selina Zipponi

Global Data Protection Officer di Dedalus spa e Fellow Istituto Italiano Privacy.

Articoli correlati

Prev Il Garante della privacy sanziona il datore di lavoro che chiama il medico della dipendente

Galleria Video

Il presidente di Federprivacy al TG1 Rai

Cerca Delegato

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Newsletter

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy

Federprivacy su Linkedin

Argomenti in evidenza