Durante la Plenaria di dicembre 2023, il Parlamento Europeo ha adottato la sua posizione sulla creazione di uno Spazio Europeo dei Dati Sanitari (EHDS), per facilitare l'accesso e la condivisione dei dati sanitari personali. Il testo adottato è una relazione legislativa, che sarà il mandato negoziale del Parlamento nei colloqui con il Consiglio.

L'obiettivo della proposta di regolamento è istituire lo Spazio Europeo dei Dati Sanitari al fine di migliorare l'accesso e il controllo da parte dei cittadini sui loro dati sanitari elettronici personali.

Si tratta di una proposta applicabile in diversi contesti, dall’assistenza sanitaria (uso primario dei dati sanitari elettronici), all’utilizzo per altri scopi a vantaggio della società come ad esempio la ricerca, l'innovazione, la costruzione di nuove politiche, la sicurezza dei pazienti, la medicina personalizzata, la raccolta di statistiche ufficiali o l’uso per attività normative. Questo secondo aspetto è definito come “uso secondario dei dati sanitari elettronici”.

La proposta di regolamento si concentra su tutti gli aspetti e le criticità legati alla gestione e all’utilizzo dei dati sanitari, con un particolare focus sui diritti dei cittadini:

• Accesso e trasmissione dei dati sanitari elettronici personali per uso primario

Chiediamo che i cittadini abbiano il diritto di accedere, immediatamente, gratuitamente e in un formato facilmente leggibile e univoco, ai loro dati sanitari elettronici personali, quando sono trattati nel contesto dell'uso primario dei dati sanitari elettronici.

Gli Stati membri dovrebbero garantire alle persone il diritto di chiedere al titolare di dati sanitari - nel settore sanitario o della sicurezza sociale - di trasmettere immediatamente e gratuitamente alcuni o tutti i loro dati sanitari elettronici a un destinatario di dati sanitari a loro scelta.

L'accesso all'EHR per uso primario dovrebbe essere strettamente limitato agli erogatori di assistenza sanitaria, per evitare utilizzi impropri. Il Parlamento ha infatti sottolineato che gli operatori sanitari dovrebbero avere accesso, sulla base dei principi di minimizzazione e limitazione delle finalità dei dati, ai dati sanitari elettronici delle persone oggetto del loro trattamento, esclusivamente ai fini di tale trattamento.

• Categorie prioritarie di dati sanitari elettronici personali per uso primario

Il diritto di accesso dovrebbe riguardare prioritariamente:

• cartelle cliniche dei pazienti;
• prescrizioni elettroniche;
• risultati di laboratorio;
• risultati dei test medici e altri risultati complementari e diagnostici;
• relazioni sulle dimissioni e rapporti collegati;
• informazioni sul consenso alle trasfusioni e alla donazione di organi.

I dati sanitari elettronici personali, appartenenti alle categorie che abbiamo appena visto, dovrebbero essere forniti per tutta la durata delle cure.

Gli Stati membri possono prevedere che i cittadini abbiano il diritto di opporsi alla registrazione dei loro dati sanitari personali in un sistema EMR.

• Diritto a un ricorso giurisdizionale effettivo nei confronti di un organismo di accesso ai dati sanitari

Le persone fisiche e giuridiche dovrebbero avere il diritto di presentare un reclamo, individualmente o collettivamente, all'organismo di accesso ai dati sanitari, qualora i loro diritti non vengano rispettati.

Ogni persona dovrebbe avere il diritto di portare avanti un ricorso giurisdizionale effettivo contro una decisione giuridicamente vincolante di un organismo di accesso ai dati sanitari che la riguarda.

I procedimenti contro un organismo di accesso ai dati sanitari dovrebbero essere avviati dinanzi al tribunale dello Stato membro in cui è istituito l'organismo di accesso ai dati sanitari.

• Valutazione della conformità dei sistemi EHR

Al fine di certificare la conformità al regolamento di un sistema EHR, prima di inserirlo nel mercato, il produttore, il suo mandatario o qualsiasi operatore economico dovrebbero fare richiesta per avviare una procedura di valutazione della conformità. 

Solo dopo il rilascio di un'approvazione a livello UE, potrà essere apposto il marchio CE, corredato di un numero di identificazione.

• Categorie minime di dati elettronici per uso secondario

Le persone fisiche dovrebbero avere il diritto di rinunciare al trattamento dei loro dati sanitari elettronici per uso secondario.

Gli Stati membri dovrebbero prevedere un meccanismo di opt-out facilmente accessibile e comprensibile, in base al quale possa essere offerta alle persone la possibilità di scegliere se dare o negare il consenso al trattamento di questi dati, in tutto o in parte, per una parte o per tutti gli scopi secondari.

Il regolamento modificato richiede l'esplicito consenso da parte di un paziente per l'uso secondario di alcuni dati particolarmente sensibili (ad esempio informazioni genetiche e genomiche).

• Diritti di proprietà intellettuale e segreti commerciali per uso secondario

I dati sanitari elettronici che comportano la protezione della proprietà intellettuale e i segreti commerciali dei titolari di dati sanitari dovrebbero essere messi a disposizione per uso secondario solo applicando una procedura specifica.

In questi casi, si chiede agli organismi per l'accesso ai dati sanitari di adottare tutte le misure necessarie per preservare la riservatezza dei dati e per garantire che i diritti collegati non siano violati.

• Uso secondario vietato dei dati sanitari elettronici

Il Parlamento ha chiesto di inserire il divieto di trattamento dei dati per le seguenti finalità:

• prendere decisioni che siano dannose per un individuo o un gruppo di individui e che possano avere effetti giuridici, economici o sociali;
• prendere decisioni nei confronti di una persona fisica o di gruppi di persone fisiche in relazione a offerte di lavoro o offrire condizioni meno favorevoli per la fornitura di beni o servizi;
• usare i dati per escludere alcune persone dal beneficio di un contratto di assicurazione o di credito o per modificare i loro contributi e premi assicurativi o condizioni di prestito;
• attività pubblicitarie o di marketing;
• usare i dati per generare processi decisionali individuali automatizzati, compresa la profilazione.
• Organismo di accesso ai dati sanitari

Gli Stati membri dovrebbero designare uno o più Organismi di accesso ai dati sanitari, incaricati di concedere l'accesso ai dati sanitari elettronici per uso secondario.

Ogni organismo nazionale dovrebbe agire in piena indipendenza nell'assolvimento dei propri compiti e nell'esercizio dei propri poteri, sempre nel rispetto del presente regolamento. Tali organismi dovrebbero avere facoltà decisionale in merito alle domande di accesso ai dati, anche in relazione all’accessibilità in forma anonima o pseudonima, sulla base di una propria valutazione approfondita degli eventuali motivi forniti dal richiedente i dati sanitari.

L'organismo per l'accesso ai dati dovrebbe inoltre rilasciare un'autorizzazione al trattamento dei dati solo se sono soddisfatte tutte le condizioni contenute nel regolamento.

Sono stati specificati inoltre i diritti sia delle persone fisiche che giuridiche nei confronti di questi Organismi. In particolare, la possibilità di presentare un reclamo, individualmente o collettivamente, all'organismo stesso e di sottoporre a revisione i dati trattati.

• Diritto a ricevere un risarcimento

Qualsiasi persona che abbia subito un danno materiale o morale a seguito di una violazione del regolamento dovrebbe avere il diritto di ricevere un risarcimento.

Nel caso in cui una persona ritenga che i suoi diritti siano stati violati, avrà il diritto di incaricare un organismo, un'organizzazione o un'associazione senza scopo di lucro di presentare un reclamo per suo conto.