La Commissione europea ha accolto con favore l’accordo tra il Parlamento europeo e il Consiglio dell’Ue sul testo dello Spazio europeo dei dati sanitari (European Health Data Space – Ehds), uno degli elementi fondamentali di una forte Unione sanitaria continentale.

Le norme proposte dalla Commissione nel maggio 2022 hanno due obiettivi principali: mettere i cittadini al centro dell’assistenza sanitaria, dando loro il pieno controllo sui propri dati per ottenere una migliore assistenza sanitaria in tutta l’Ue; aprire i dati alla ricerca e alla sanità pubblica. È un passo importante per l’avvio di un mercato unico dei dati digitali che dovrà essere seguito dall’approvazione del testo da parte degli Stati membri.

Un quadro giuridico chiaro per l’uso dei dati sanitari

L’accordo stabilisce regole chiare per l’utilizzo dei dati sanitari ai fini di una migliore erogazione dell’assistenza sanitaria, della ricerca, dell’innovazione e della definizione delle politiche.

In base alle nuove norme, i cittadini avranno accesso immediato ai loro dati sanitari digitali ovunque si trovino nell’Unione. Gli operatori sanitari potranno accedere alle cartelle cliniche di un paziente se necessario per un trattamento in un altro Stato membro, consentendo un processo decisionale basato su dati concreti, nel pieno rispetto delle norme Ue sulla protezione dei dati.

L’Ehds crea inoltre un solido quadro giuridico per il riutilizzo dei dati sanitari a fini di ricerca, innovazione e salute pubblica. I dati contribuiranno a sviluppare trattamenti salvavita e farmaci personalizzati, ma anche a migliorare la preparazione alle crisi, nel rispetto di rigorose condizioni di sicurezza e accesso ai dati.

In pratica “l’obiettivo delle nuove norme è consentire a un turista spagnolo di ritirare una ricetta in una farmacia tedesca, oppure permettere ai medici di accedere alle informazioni sanitarie di un paziente belga sottoposto a cure in Italia”.

La nuova normativa prevede che gli Stati membri garantiranno che i riepiloghi dei pazienti, prescrizioni elettroniche, immagini e rapporti di immagine, risultati di laboratorio e rapporti di dimissione siano emessi e accettati in un formato europeo comune. L’interoperabilità e la sicurezza diventeranno requisiti obbligatori.

I produttori di sistemi di cartelle cliniche elettroniche dovranno certificare la conformità a questi standard e per garantire la tutela dei diritti dei cittadini, tutti gli Stati membri dovranno nominare autorità per la salute digitale. Queste autorità parteciperanno all’infrastruttura digitale transfrontaliera (MyHealth@EU) che aiuterà i pazienti a condividere i propri dati oltre confine.

I rilievi dell’Agenzia europea per la cybersecurity

L’introduzione dello spazio europeo dei dati pone però degli ovvi problemi di privacy sottolineati da un documento dell’Enisa, l’agenzia europea per la cybersecurity, che sottolinea come lo Spazio dei dati sia un termine ombrello che corrisponde a qualsiasi ecosistema di possibili interazioni tra entità del settore pubblico e privato, insieme a nuovi processi di governance e di business che dovranno seguire un approccio di ingegneria dei dati per soddisfare tutti i requisiti e gli obblighi legali.

L’ingegneria della protezione dei dati non è un semplice strumento di conformità per il Gdpr. Implementando le misure appropriate e le garanzie necessarie per rafforzare i principi di protezione dei dati e consentire l’esercizio dei diritti delle persone, l’ingegneria della protezione dei dati offre ai responsabili del trattamento dei dati un’opzione pratica per la condivisione dei dati, riducendo al minimo il rischio di abuso delle informazioni, di violazione dei dati o di altre minacce alla sicurezza. Lo sviluppo di casi d’uso convincenti e convincenti per una condivisione sicura e lecita dei dati è una delle sfide più cruciali per il successo dell’attuazione degli spazi comuni europei dei dati”.

Il rapporto dell’Enisa punta a fornire una serie di elementi costitutivi per quanto riguarda la responsabilità dei responsabili del trattamento e degli incaricati del trattamento. Questi elementi sono destinati a coprire i meccanismi interni applicabili e rinnovati (politiche, procedure, valutazioni basate sul rischio, controlli tecnici e organizzativi e altre misure relative alla condivisione dei dati), gli accordi di condivisione dei dati e i programmi di gestione della privacy.

Attraverso due casi d’uso specifici, sono illustrati i diversi ruoli e le responsabilità che i titolari dei dati possono assegnare agli intermediari in materia di protezione. Stabiliti i diversi obiettivi di protezione di ciascun caso d’uso, il rapporto dimostra come l’intermediario possa essere coinvolto attivamente nel processo di mascheramento dei dati pseudonimizzati.

Anche se questo approccio è già stato discusso in un tipico scenario di condivisione dei dati, può essere ulteriormente sfruttato in quanto fornisce nuovi incentivi per la sovranità dei dati e le considerazioni sulla governance”. Inoltre, viene mostrato come specifiche tecniche di mascheratura e generalizzazione possano essere utilizzate in pratica dai titolari dei dati e dagli intermediari.