Una nuova prospettiva per i dati sanitari: la proposta di regolamento sull’health data space

Introduzione

In data 3 maggio 2022 la Commissione UE ha presentato la Proposta di Regolamento UE sullo Spazio Europeo dei Dati Sanitari (c.d. Health Data Space – HDS).

La proposta disegna un ecosistema specifico per il settore sanitario di natura legislativa ed informatica che si pone fondamentalmente i seguenti obiettivi: agevolare i pazienti nell'assumere il controllo dei propri dati sanitari nonchè definire regole comuni a livello comunitario per favorire l'accesso ai dati da parte dei medici, dei ricercatori e dei diversi stakeholders, allo scopo di migliorare l'erogazione dell'assistenza sanitaria, favorire la ricerca e l'innovazione e agevolare l'elaborazione delle politiche nazionali ed europee in ambito sanitario.

In sostanza l'obiettivo dell'HDS è quello di progettare un framework legale che consenta di sfruttare appieno i dati sanitari, sia nei trattamenti relativi al loro uso primario (diagnosi e cura) sia in relazione alle loro ampie potenzialità di utilizzo secondario (ricerca e miglioramento della organizzazione ed assistenza dei diversi sistemi sanitari nazionali).

Il contesto di riferimento: la Strategia Europea dei Dati

La comprensione e la portata della Proposta di Regolamento richiede una analisi sintetica del più ampio contesto nel quale tale Proposta si pone.

Il GDPR infatti, seppure all'art. 1 indicasse tra i principi anche la libera circolazione dei dati, presenta innegabilmente un impalcatura giuridica focalizzata prevalentemente sugli aspetti della protezione delle persone fisiche.

Agli inizi del 2020 quindi, a completamento di un quadro abbozzato ma incompiuto, la Commissione UE ha pubblicato la COM(2020) 66 del 19 febbraio 2020 – Strategia Europea dei dati con l'obiettivo di introdurre regole precise per agevolare la circolazione dei dati all'interno del mercato unico: la necessità di definire regole chiare su questo tema parte poi dal presupposto che la circolazione dei dati è il motore per raggiungere importanti vantaggi economici e sociali, permettendo quindi alla UE di mirare alla leadership internazionale nella società dei dati.

Nell'alveo della Strategia dei Dati sono già stati pubblicati e sono altresì in corso di pubblicazione diversi nuovi Regolamenti: tra questi appaiono di particolare rilevanza per capire il funzionamento del HDS il Regolamento UE 2022/868 relativo alla governance europea dei dati e la Proposta di Regolamento riguardante norme armonizzate sull'accesso equo ai dati e sul loro utilizzo (c.d. Data Act).

Molto in sintesi.

Il Regolamento UE 2022/868 relativo alla governance europea dei dati (c.d. Data Governace) ha come obiettivo quello di potenziare la condivisione dei dati in diversi settori, creando le regole per tale condivisione. Più esattamente:

• Stabilisce regole per il riutilizzo dei dati detenuti dalle pubbliche amministrazioni (articoli dal 3 al 9).
• Istituisce i Servizi di Intermediazione dei dati, gestiti da appositi Fornitori notificati (articoli dal 10 al 15) che sono i “garanti” degli scambi bilaterali o multilaterali dei dati, nonché i possibili creatori di piattaforme o banche dati.
• Introduce il principio dell'altruismo dei dati, ed il relativo sistema di attuazione (articoli da 16 a 25), che chiama il cittadino a “donare”  volontariamente i propri dati per un bene comune.

Il Regolamento UE 2022/868 è poi entrato in vigore il 23 giugno 2022 e diventa pienamente efficace il 24 settembre 2023. L'altro atto comunitario di estrema rilevanza per il futuro funzionamento dell'HDS è la Proposta di Regolamento riguardante le norme armonizzate per l'accesso equo di dati e al loro utilizzo (il c.d. Data Act), oggi ancora in discussione a livello comunitario.

Anche il Data Act mira a potenziare la condivisione dei dati, ma rivolgendosi a chi progetta e realizza prodotti e a chi eroga servizi.

Partendo infatti dal presupposto che buona parte delle attività (quasi tutte) operano sui dati e, soprattutto, generano ulteriori dati, la proposta di regolamento

• stabilisce le regole per la condivisione dei dati da impresa a impresa e da impresa a consumatore (articoli da 3 a 7);
• stabilisce l'obbligo per i soggetti che detengono i dati generatisi dal prodotto o dal servizio di metterli a disposizione dei terzi a condizioni eque, ragionevoli e non discriminatorie (articoli dall'8 al 12);
• vieta clausole contrattuali abusive che impedendo l'accesso ai dati alle micro, piccole e medie imprese creano squilibri concorrenziali (art. 13);
• prevede l'obbligo per il soggetto che detiene i dati creatisi tramite il prodotto e/o servizio di condividerli con la pubblica amministrazione in presenza di determinate circostanze (articoli dal 14 al 22);
• introduce una disciplina specifica finalizzata ad eliminare gli ostacoli per il passaggio da un fornitore di servizi di trattamento ad un altro fornitore (articoli dal 23 al 26).

Alla luce di quanto sopra appare chiaro che il Data Governance Act e il Data Act mirano, entrambi, a potenziare la condivisione dei dati.

Tale condivisione troverà poi la sua attuazione pratica – secondo il disegno contenuto nella Strategia dei Dati - attraverso l'istituzione e la regolamentazione di spazi comuni per domini specifici.

In questo contesto si cala la Proposta di Regolamento sull'Health Data Space.

La proposta di Regolamento sull'Health Data Space

La Proposta di Regolamento sullo Spazio Europeo dei Dati Sanitari è la prima proposta relativa alla istituzione di spazi dedicati a tipologie specifiche di dati.

E non è un caso.

Non vi è dubbio, infatti, che la recente pandemia abbia mostrato l'importanza a livello internazionale della condivisione dei dati sanitari per trovare soluzioni idonee (nel recente caso, i vaccini) in caso di emergenze sanitarie: da qui l'esigenza di mettere velocemente a sistema un meccanismo di condivisione di dati.

A tale elemento di fatto si aggiunge un rilevante elemento di diritto, che merita di essere evidenziato.

Il GDPR ha senza dubbio facilitato e meglio delineato il trattamento dei dati sanitari: ha infatti introdotto una specifica base di trattamento sia per la finalità di diagnosi e cura (art. 9, par. 2, lett. h GDPR) che per la finalità di ricerca scientifica (art. 9, par. 2, lett. j); in tale ultimo settore ha poi introdotto un principio di non incompatibilità per l'uso secondario dei dati (art. 5, par. 1, lett. b, GDPR), nonché ha previsto la non necessità della informativa di cui all'art. 14, parr. 1-4 GDPR nel caso in cui comunicare le informazioni ivi previste risulti impossibile o implichi uno sforzo sproporzionato (art. 14, par. 5, lett. b), ha limitato il diritto dell'interessato alla cancellazione dei suoi dati (art. 17, par. 3, lett. d GDPR) e alla opposizione (art. 21, par. 6) ed ha altresì introdotto garanzie specifiche e deroghe ai diritti di cui agli articoli 15,16,18,21 GDPR nella misura in cui questi ultimi rendano impossibile o pregiudichino gravemente il conseguimento delle finalità di ricerca scientifica (art. 89 GDPR).

A questa innegabile apertura ha fatto da contraltare, la possibilità per gli Stati membri di “mantenere o introdurre ulteriori condizioni, comprese limitazioni, con riguardo al trattamento di dati genetici, dati biometrici o dati relativi alla salute” (art. 9, par. 4 GDPR).

Tale porta lasciata dal GDPR è stata spalancata dagli Stati membri che hanno introdotto – specie nell'ambito della ricerca scientifica – discipline veramente diverse da Stato a Stato.

Una fotografia dettagliata (direi impietosa) delle differenze tra i diversi Stati membri è stata realizzata dalla Commissione nel 2021 nel documento Assessment of UE member States' rules in Health Data in the light of GDPR.

Tale documento mostra un quadro comunitario assolutamente frastagliato, con previsioni di utilizzo di basi giuridiche diverse da paese a paese, nonché interpretazioni più restrittive o più ampie in tutti i diversi settori in cui i dati sanitari vengono trattati.

In questo senso si può quasi dire che in relazione al trattamenti dei dati sanitari il GDPR non riesce ad operare con la forza di un regolamento, ma soltanto con la debolezza di una direttiva.

Sotto questo profilo l'HDS si presenta come una possibile risposta alla situazione creatasi, svolgendo quindi anche una funzione che si potrebbe dire “riparatoria” della frammentazione permessa dal GDPR attraverso il disegno di un “nuovo” quadro legislativo, molto armonizzato ed uniforme.

Chiariti il contesto di riferimento, vediamo ora i punti cardine del disegno dell'HDS.

La proposta di regolamento è suddivisa in due parti: la prima riguarda l'uso primario dei dati e la seconda l'uso secondario.

Più esattamente.

L'uso primario dei dati – Capo II

Il Capo II stabilisce regole comuni a livello comunitario per l'uso primario dei dati, cioè i dati trattati per finalità di diagnosi e cura.

In primo luogo, si amplia la sfera dei diritti del paziente che, in particolare, potranno (art. 4):

·       accedere immediatamente, gratuitamente e in un formato facilmente leggibile, consolidato e accessibile ai propri dati sanitari elettronici;

·       inserire i dati sanitari elettronici nella propria cartella clinica;

·       concedere l'accesso ai propri dati sanitari elettronici ad un destinatario dei dati di loro scelta;

·       chiedere ad un titolare dei dati del settore sanitario di trasmettere i propri dati sanitari elettronici a un destinatario dei dati di loro scelta.

Palese la volontà del legislatore di consentire al paziente stesso (cioè al cittadino) di decidere in maniera molto più ampia dei propri dati.

Circa poi l'accesso alle cartelle cliniche, l'art. 4 stabilisce tale possibilità per tutti i sanitari che hanno in cura il paziente indipendentemente dalla nazionalità del paziente stesso, con correlato obbligo di tenere aggiornata la cartella clinica (art. 7), definendo altresì i contenuti minimi della stessa (art. 5).

Tale operatività a livello comunitario prevede, poi, un formato comune di scambio (art. 6) ed una idonea gestione della identificazione attraverso sistemi riconosciuti dal regolamento 910/2014 (art. 9).

La piattaforma centrale per la sanità digitale su cui si basa il sistema della condivisione dei dati per finalità primaria è poi chiamata MyHealth@EU (art. 12).

La proposta contiene, inoltre, una disciplina molto dettagliata (dall'art.14 all'art.33) sulla progettazione ed immissione sul mercato delle cartelle cliniche elettroniche e delle c.d. app benessere.

L'obiettivo è quello di colmare una carenza normativa che ha, oggi, un ampio impatto nel settore della sanità digitale: se infatti con l'entrata in vigore del nuovo regolamento (UE) 2017/45 sui dispositivi medici (26 maggio 2021) una parte importante di software medicali deve farsi rientrare nella nozione di medical device (con conseguente disciplina unitaria), è altrettanto innegabile che numerosissimi software usati in sanità (tra cui la maggior parte delle cartelle cliniche) non rientrano nella definizione giuridica di dispositivi medici, con la conseguenza che non vi è uniformità di progettazione, di sicurezza e soprattutto non è garantita interoperabilità. Tale profilo, se non superato, rischia di bloccare la possibilità di condivisione dei dati.

L'uso secondario dei dati - Capo IV

Altrettanto rivoluzionaria – se non di più – la portata del Capo IV sull'uso secondario dei dati.

I dati sanitari si prestano infatti – forse più di altri -  ad un “riutilizzo” per numerose finalità, diverse da quella primaria di diagnosi e cura: in particolare per la ricerca scientifica, per statistiche nazionali, per motivi di miglioramento dell'organizzazione dei servizi sanitari, per la formazione, per lo sviluppo e l'innovazione di prodotti e servizi, nonché sviluppo di software generici, medical device e di AI.

Sul punto, nonostante l'art. 5, comma 1, lett. b) GDPR avesse già provato ad aprire le porte ad una non incompatibilità del secondary use, nei fatti tale possibilità è stata ostacolata a livello comunitario dalle diverse discipline emanate dagli Stati membri (come sopra accennato) ed a livello statale dalla introduzione in alcuni Stati - come l'Italia – di un divieto indiretto al secondary use attraverso la previsione di basi giuridiche obbligatorie (es. art. 110-bis Codice privacy sull'obbligo del consenso per il riutilizzo dei dati ai fini di ricerca).

Sotto questo profilo il Capo IV della proposta di HDS rappresenta un completamento (o forse si potrebbe dire un “superamento”) del GDPR, introducendo una disciplina uniforme in materia.

Partendo dal sistema disegnato dal Reg. UE 2022/686 sulla Governance dei dati e dall'obbligo di alimentare gli Spazi dei Dati contenuto nella proposta di Data Act, la Proposta dell'HDS si articola sui seguenti punti principali:

·       l'obbligo da parte dei titolari di mettere a disposizione per finalità secondarie (art. 33) praticamente tutti i dati raccolti in ambito sanità e salute, quali: i dati delle cartelle cliniche elettroniche, i determinanti comportamentali, sociali e ambientali della salute; i dati genetici, genomici e proteomici umani; i dati amministrativi; i dati sanitari elettronici generati dalla persona; dati di registri di sanità pubblica e registri medici; i dati delle sperimentazioni cliniche; dati provenienti da dispositivi medici da coorti di ricerca, questionari e indagini in materia di salute; dati sanitari elettronici provenienti da biobanche e banche dati dedicate; dati elettronici relativi allo status assicurativo, alla condizione professionale, all'istruzione, allo stile di vita, al benessere e ai comportamenti pertinenti per la salute;

·       l'istituzione organismi nazionali che gestiscono e permettono l'accesso ai dati da parte delle persone fisiche e giuridiche che ne fanno richiesta, senza limitazioni di natura soggettiva, ma solo spiegando la finalità per cui intendono accedere (art. 45);

·       l'elencazione delle finalità secondarie per cui si può chiedere l'accesso (art. 34). Più esattamente: motivi di pubblico interesse nell'ambito della sanità pubblica e della medicina del lavoro, sorveglianza della sanità pubblica, garanzia di elevati livelli di qualità e sicurezza dell'assistenza sanitaria e di medicinali o dispositivi medici; sostegno nei confronti di enti pubblici o di istituzioni del settore sanitario per lo svolgimento dei loro compiti; produzione di statistiche ufficiali a livello nazionale, multinazionale e dell'Unione; attività d'istruzione; attività di ricerca scientifica; attività di sviluppo e innovazione per prodotti; attività di addestramento, prova e valutazione degli algoritmi, anche nell'ambito di dispositivi medici, sistemi di IA e applicazioni di sanità digitale; erogazione di medicina personalizzata.

La proposta prevede poi iter di funzionamento e procedurali che devono essere rispettati dagli Organismi responsabili per consentire un accesso corretto, anche secondo il principio di minimizzazione (dall'art. 36 all'art. 51), stabilendo il funzionamento della infrastruttura transfrontaliera denominata (HealthData@EU) (artt. 52-54).

Le problematiche di compatibilità con il GDPR: la Joint Position dell'EDPB e dell'EDPS

Tenuto conto dell'ampio impatto della Proposta dell'HDS sui diritti e libertà fondamentali delle persone, la Commissione UE in data 4 maggio 2022 ha presentato richiesta di parere congiunto all'European Data Protection Board eall'European Data Protection Supervisor ex art. 42, par. 2 regolamento (UE) 2018/17253.

Il parere emanato il 12 luglio 2022 evidenzia alcuni (palesi) conflitti con il GDPR e suggerisce alcune modifiche. Più precisamente:

·       si rileva che le disposizioni contenute nella Proposta aggiungeranno un ulteriore livello alla già complessa (a più livelli) raccolta di disposizioni,

·       per quanto attiene al rapporto con il GDPR viene evidenziato il possibile contrasto con l'autonomia legislativa lasciata agli Stati membri ai sensi del sopracitato art. 9, par. 4 (ma il superamento delle diversità è senza dubbio uno dei motivi della proposta HDS):

·       si consiglia di escludere dal HDS i dati raccolti da software generici e app benessere, per diversi motivi: il primo luogo perché dovrebbero essere soggetti al consenso ex GDPR e sono generalmente di minore “qualità” rispetto a quelli raccolti tramite medical device, potendo dunque creare interferenze; inoltre, le app benessere generano un'enorme quantità di dati e possono quindi essere altamente invasive;

·       relativamente alle finalità secondarie, si ritiene che debbano essere maggiormente definite le finalità di "attività di sviluppo e innovazione per prodotti o servizi che contribuiscono alla salute pubblica o alla sicurezza sociale" o "formazione, sperimentazione e valutazione di algoritmi, anche in dispositivi medici, sistemi di intelligenza artificiale e applicazioni sanitarie digitali, che contribuiscono alla salute pubblica o alla sicurezza sociale", essendo le locuzioni troppo generiche;

·       si precisa poi che i criteri per l'accesso ai dati per finalità secondarie mancano di chiarezza sul modo in cui tali disposizioni si collegano ai principi e alle disposizioni del GDPR, in particolare all'art. 9, par. 2 GDPR;

·       si evidenzia che l'infrastruttura comunitaria raccoglierà una grande quantità di dati di natura altamente sensibile, cui è correlato un alto rischio di accesso illegale: si chiede quindi che sia resa obbligatoria la conservazione dei dati sanitari sul territorio comunitario;

·       relativamente alla governance creata dalla proposta, si precisa che i compiti e le competenze dei nuovi organismi pubblici devono essere attentamente adattati, in particolare tenendo conto dei compiti e delle competenze delle autorità nazionali di controllo, del EDPB e EDPS per evitare sovrapposizioni di competenze.

Conclusioni

La proposta di regolamento HDS  è oggi in discussione al Consiglio UE: la strada è quindi ancora lunga e sono possibili molto cambiamenti.

Ciò non toglie che la struttura portante sia ormai delineata e che questa nuova architettura, letta nel contesto del regolamento Governance dei Dati e della Proposta Data Act, abbraccia una nuova filosofia di fondo sui dati sanitari e apre a prospettive molto innovative.

In primo luogo, l’obiettivo della condivisione dei dati  e la disciplina dettagliata del secondary use valorizza la portata sociale ed economica dei dati, aprendoci all’idea del dato come “bene comune” della nostra società.

Tale aspetto trova, poi, ulteriore espressione nel principio dell’altruismo dei dati che rende il singolo cittadino/paziente non solo maggiormente tutelato ma, soprattutto, consapevole del fatto che il dato appartiene sì alla propria sfera di tutela personale, ma rappresenta contemporaneamente un bene che può essere donato per obiettivi sociali.

Infine, il potere che la proposta di HDS conferisce al paziente di operare ed agire direttamente ed in via autonoma sui propri dati e sulla propria cartella clinica sposta il focus dalla tutela dei dati del GDPR ad un principio di piena “proprietà” dei propri dati in capo al cittadino.