Uso primario e uso secondario dei dati sanitari tra deleghe amministrative e aspetti non regolamentati

di Michele Di Salvo

Sommario: Premessa – 1. Uso primario – 2. Uso secondario – 3. Considerazioni e criticità

Premessa

Lo spazio europeo dei dati sanitari (European Health Data Space – EHDS) è stato “istituito” con il Regolamento UE 2025/327 dell’11 febbraio 2025.

L’art. 1.1, precisa che sono predisposte non solo “disposizioni” e “norme” (la differenza tra le quali non è indicata), e anche “infrastrutture comuni” (per l’uso primario: istituzione di una “piattaforma centrale di interoperabilità della sanità digitale”, denominata LaMiaSalute@UE, per agevolare lo scambio di dati sanitari elettronici personali tra i punti di contatto nazionali della sanità digitale indicati dagli Stati membri: art. 23.1), nonché un “quadro di governance” al fine di “facilitare l’accesso ai dati sanitari elettronici” per il loro uso primario e secondario (artt. 19 –  22 per la governance relativa all’uso primario con istituzione di “una o più Autorità di sanità digitale” in ciascuno Stato membro; artt. 55 e seguenti per la governance relativa all’uso secondario).

La tecnologia favorisce lo sviluppo della circolazione a livello europeo dei dati sanitari elettronici grazie alle regole di interoperabilità (per la definizione v. art. 2.2., lett. f), ferma la netta separazione delle infrastrutture transfrontaliere, a seconda che siano dedicate all’uso primario o all’uso secondario (art. 1.2, lett. d) ed e).

Uso primario dei dati sanitari elettronici, che, come indicato dall’art. 2.2, lett. d), indica le attività di trattamento “per la prestazione di assistenza sanitaria”, differentemente dall’uso secondario che, come indicato nell’art. 2.2., lett. e), riguarda ulteriori trattamenti “per le finalità indicate al capo IV” (v. successivo par. III).

Sul piano gestionale/organizzativo lo spazio europeo di dati sanitari ruota intorno ad un “sistema di cartelle cliniche elettroniche”, distinto in una componente software di interoperabilità del sistema di cartelle cliniche elettroniche (art. 2.2, lett. n), che consente di fornire e ricevere i dati sanitari elettronici personali per l’uso primario; ed in una componente software di registrazione dei sistemi di cartelle cliniche elettroniche, che invece fornisce informazioni di registrazione degli accessi di professionisti sanitari o di altre persone (art. 2.2, lett. o).

1. Uso primario

La creazione di tali infrastrutture consente di realizzare un primo, importante obbiettivo, rilevante sul piano dell’uso primario: facilitare lo scambio di informazioni relative ai dati sanitari elettronici tra i paesi UE allo scopo di consentire una migliore tutela della salute dei cittadini, quando vengono a contatto con strutture sanitarie estranee al paese di origine.

La circolazione dei dati all’interno di ciascuno Stato è stata finora rimessa alla competenza dei legislatori nazionali, ma dovrebbe avvenire con regole che non ostacolino il ‘traffico’ europeo, interstatale. Si tratterà quindi di regole da coordinare tra loro: un lavoro non semplice di raccordo tra regole europee e regole nazionali ‘interne’, che le hanno precedute (ad esempio, l’introduzione del fascicolo sanitario elettronico nel sistema sanitario italiano) e che il legislatore europeo considera nell’art. 1.2. lett. f) menzionando il ricorso a “meccanismi di … coordinamento a livello di Unione e nazionale …”.

All’uso primario sono dedicati gli articoli 3-49 del regolamento e in particolare il capo II (uso primario) ed il capo III (sistemi di cartelle cliniche elettroniche e applicazioni per il benessere).

La disciplina prende avvio da una serie di norme dedicate ai diritti dei pazienti e si poggia sul predetto sistema di cartelle cliniche elettroniche, che consente, sia la gestione ‘di massa’ dei dati sanitari elettronici personali per l’uso da parte dei prestatori di assistenza sanitaria a scopo di cura dei pazienti, sia l’accesso, da parte degli stessi pazienti, ai dati sanitari elettronici, contenuti nella propria cartella clinica (art. 2.2., lett. j).

Si differenzia infatti un servizio di accesso “ai dati sanitari elettronici”, riservato alle persone fisiche per accedere ai propri dati (art. 2.2., lett. h); da un “servizio di accesso per professionisti sanitari”, che consente a questi ultimi di accedere ai dati sanitari delle persone in cura presso di loro (e supportato dal predetto sistema di cartelle cliniche elettroniche) (art. 2.2, lett. i).

Sul piano dei diritti dei pazienti, la predisposizione di servizi di accesso ai dati sanitari elettronici a livello nazionale (ma anche regionale e locale), istituiti e curati dagli Stati membri (art. 4), consente di venire a conoscenza dei loro dati sanitari elettronici personali (e scaricare una copia elettronica degli stessi) “immediatamente dopo la registrazione … in un sistema di cartelle cliniche elettroniche” (art. 3).

Una particolare sensibilità, che ha contraddistinto i più recenti interventi del legislatore europeo, impone (art. 4, u.c.) di prescrivere che i servizi di accesso siano essere resi “facilmente accessibili alle persone con disabilità, ai gruppi vulnerabili e alle persone con scarsa alfabetizzazione digitale”.

Ogni persona fisica ha diritto di “inserire informazioni” nella propria cartella clinica, ma queste rimarranno “chiaramente distinguibili come tali” senza che si possano modificare le informazioni inserite dai professionisti sanitari (art. 5).

La predisposizione di servizi di accesso ai dati sanitari elettronici è anche strumentale all’esercizio di altri diritti delle persone fisiche, quali la possibilità di chiedere la rettifica dei loro dati sanitari elettronici personali, di cui al capo III del Regolamento 2016/679.

Oltre all’accesso ai propri dati, ciascuna persona fisica ha diritto alla portabilità dei dati sanitari (art. 7). Può quindi, sia concedere l’accesso ai propri dati ad altro “prestatore di assistenza sanitaria” (ovvero trasmetterli dopo averne scaricato copia elettronica), sia chiedere ad un prestatore di assistenza sanitaria di trasmettere i propri dati ad altro prestatore di assistenza sanitaria, anche se si trovino in Stati membri diversi (art. 7.2), e così pure fornire i propri dati sanitari ad enti di sicurezza sociale per pratiche assistenziali o di rimborso.

Inoltre, ciascuna persona fisica può scegliere (art. 8) di “limitare l’accesso dei professionisti sanitari e dei prestatori di assistenza sanitaria” (per la distinzione l’art. 2.1., lett. b) fa rinvio all’art. 3 della direttiva 2011/24/UE) a tutta o parte dei loro dati sanitari, previa informazione “del fatto che la limitazione dell’accesso potrebbe avere un impatto sulla prestazione dell’assistenza sanitaria”.

Alla possibilità per i professionisti sanitari di accedere ai dati sanitari elettronici personali dei pazienti attraverso il servizio di accesso per professionisti sanitari, fa da contrappeso l’art. 9, che prevede che tali accessi siano non solo tracciabili, ma anche oggetto di segnalazione all’interessato: le persone fisiche hanno diritto di “ottenere informazioni, anche mediante notifiche automatiche, su qualsiasi accesso ai loro dati …”; con specificazione legislativa di un contenuto minimo delle informazioni da comunicare.

Infine, le persone fisiche potrebbero decidere (decisione reversibile) di non far accedere i professionisti sanitari ai loro dati sanitari elettronici registrati in un sistema di cartelle cliniche elettroniche.

Prevista dall’art. 10, tale possibilità è rimessa alla discrezionalità degli Stati membri e precluderebbe ai professionisti sanitari di accedere ai dati di quel paziente. Ma gli Stati membri potrebbero anche prevedere che un prestatore di assistenza sanitaria o un professionista sanitario “possa accedere … nei casi in cui il trattamento sia necessario per tutelare gli interessi vitali dell’interessato o di un’altra persona fisica … anche se il paziente ha esercitato il diritto di esclusione riguardo all’uso primario” (art. 11.5).

Questo diritto di esclusione è stato inserito, dopo una iniziale proposta che non lo prevedeva, per mitigare la scelta iniziale del regolamento di non seguire la prospettiva ‘consensocentrica’ del regolamento generale del 2016 ed affidare piuttosto la valutazione di consentire l’accesso ai dati ad autorità indicate dagli Stati nazionali, previo vaglio della meritevolezza degli interessi perseguiti dal richiedente, alla luce delle previsioni normative.

A parziale mitigazione di tale scelta di politica legislativa, è stato previsto un sistema di opt out, nel senso che ogni persona fisica potrebbe (nei limiti indicati) manifestare la propria contrarietà all’accesso da parte di terzi ai propri dati sanitari.

Queste, sinteticamente descritte, sono le principali norme sui diritti dei pazienti, che delineano un vero e proprio statuto dei diritti sui propri dati sanitari.

Il riferimento costante del regolamento alle “persone fisiche” e non già ai cittadini rende possibile l’estensione di tali diritti a chiunque, pur non munito di cittadinanza, abbia registrati i propri dati sanitari elettronici personali.

La disciplina dell’uso primario contiene anche norme dedicate ai professionisti sanitari per i quali sono predisposti servizi di accesso ai dati sanitari (art. 12) distinti da quelli predisposti per le persone fisiche. Ciascun professionista sanitario ha accesso ai dati sanitari “pertinenti e necessari delle persone fisiche in cura presso di loro” anche quando lo Stato membro di affiliazione e lo Stato membro di cura sono differenti, grazie all’infrastruttura transfrontaliera che consente l’interoperabilità dei dati (disciplinata dall’art. 23). La normativa rimette agli Stati membri la scelta di definire “le categorie di dati sanitari elettronici personali accessibili dalle diverse categorie di professionisti sanitari o per diversi compiti di assistenza sanitaria”.

Quanto all’attività di registrazione dei dati sanitari elettronici, si dispone (art. 13) che la registrazione “con informazioni relative all’assistenza sanitaria prestata” avvenga all’interno di un sistema di cartelle cliniche elettroniche con ordine nelle categorie prioritarie contemplate nell’art. 14. Nel procedere alla registrazione o all’aggiornamento della cartella clinica, si dovrà garantire (quantomeno) che siano indicati il prestatore di servizi sanitari o il professionista sanitario che ha effettuato la registrazione o l’aggiornamento e l’ora in cui sono effettuati.

2. Uso secondario

La disciplina dell’uso secondario è contenuta negli artt. 50 e seguenti e, salvo diversa disposizione degli Stati membri, non si applica alle persone fisiche, compresi i singoli ricercatori (art. 50.1, lett. a) ed alle persone giuridiche considerate microimprese (art. 50.1, lett. b).

Innanzitutto rileva l’elenco (lista minima, che gli Stati membri possono integrare) delle categorie di dati sanitari elettronici che i titolari hanno l’obbligo di mettere a disposizione per l’uso secondario, a cominciare dai dati sanitari provenienti da cartelle cliniche elettroniche (art. 51).

Possono essere messi a disposizione per l’uso secondario anche dati sanitari elettronici “protetti da diritti di proprietà intellettuale, da segreti commerciali o coperti dal diritto alla tutela regolamentare dei dati” regolata da norme unionali. In tal caso, i titolari dei dati sanitari informano l’organismo responsabile dell’accesso della presenza di tali situazioni di tutela giuridica e quest’ultimo sarà responsabile dell’adozione di “tutte le misure specifiche appropriate e proporzionate … necessarie per proteggere i diritti …” (art. 52.3). Solo se sussiste “un grave rischio di violazione dei diritti … che non può essere affrontato in maniera soddisfacente l’organismo responsabile dell’accesso ai dati sanitari nega l’accesso a tali dati al richiedente i dati sanitari” informandolo in proposito e dando una “giustificazione” del diniego (art. 52.5).

Completano la definizione dei limiti e l’elenco delle finalità per le quali è possibile concedere l’accesso da parte degli organismi responsabili contenuto nell’art. 53 – che specifica che l’accesso dovrà essere “necessario” al perseguimento delle stesse – e l’art. 54, che regola le ipotesi in cui vi è divieto di utilizzare i dati sanitari elettronici per uso secondario.

Sul piano della governance relativa all’uso secondario una corposa disciplina è dettata negli artt. 55-66.

La prima norma prevede che ogni Stato membro designi “uno o più organismi responsabili dell’accesso ai dati sanitari”, con il compito di contribuire “all’applicazione coerente del presente Regolamento in tutta l’Unione” (art. 55.2) e cooperare “… con i pertinenti rappresentanti dei portatori di interessi in particolare con i rappresentanti dei pazienti, dei titolari dei dati sanitari e degli utenti dei dati sanitari” evitando “qualsiasi conflitto di interessi”. Il personale degli organismi dovrà infatti agire “nell’interesse pubblico ed in maniera indipendente” (art. 55.5).

I compiti dell’organismo responsabile dell’accesso, indicati nell’art. 57, rivelano il suo ruolo centrale nel funzionamento del sistema: decide sulle domande di accesso di utenti ai dati sanitari ex art. 67; concede autorizzazioni ex art. 68; decide in merito alle richieste presentate ex art. 69.; richiede ai titolari di dati sanitari di concedere i dati sanitari elettronici già autorizzati o approvati (art. 57.1, lett. a), iii) e procede alla pseudonimizzazione o anonimizzazione di tali dati (art. 57.1, lett. b) e così pure ad adottare tutte le misure necessarie a tutelare la riservatezza dei diritti di proprietà intellettuale o dei segreti commerciali (art. 57.1, lett. c). In sostanza, l’organismo responsabile dell’accesso assicura che il rilascio dei dati avvenga nel pieno rispetto della disciplina UE.

Ai predetti compiti di selezione e controllo consegue la possibilità di irrogare sanzioni nei confronti di utenti dei dati sanitari e titolari dei dati sanitari.

La relativa disciplina, contenuta nell’art. 63 (e 64, quanto alle sanzioni amministrative pecuniarie) prevede, quanto agli utenti di dati sanitari, la possibilità che sia esercitato “il potere di revocare l’autorizzazione ai dati rilasciata” fino ad “escludere dall’accesso ai dati sanitari elettronici all’interno dello spazio europeo dei dati sanitari nel contesto dell’uso secondario per un periodo massimo di cinque anni”. Quanto ai titolari di dati sanitari elettronici, in caso di rifiuto di fornire i dati sanitari, sono previste “penalità di mora … per ogni giorno di ritardo”.

A tale vasto potere corrispondono obblighi in termini di trasparenza dell’operato. L’organismo dovrà provvedere alla pubblicazione per via elettronica di tutte le richieste di dati ricevute e delle relative decisioni autorizzative o di diniego (art. 57.1, lett. j).

Ulteriori obblighi degli organismi responsabili dell’accesso sono posti nei confronti delle persone fisiche: si dovranno pubblicizzare in via elettronica le “condizioni a cui i dati sanitari elettronici sono messi a disposizione per l’uso secondario” (art. 58; ai sensi dell’art. 62, la messa a disposizione di dati sanitari può essere assoggettata a tariffe).

Un’apposita disciplina riguarda gli obblighi dei titolari dei dati sanitari e degli utenti dei dati sanitari. I primi devono mettere “a disposizione dell’organismo responsabile dell’accesso ai dati sanitari, su richiesta, i dati sanitari elettronici pertinenti” (art. 60) entro un termine non superiore a tre mesi.

Quanto agli obblighi degli utenti di dati sanitari, l’art. 61 dispone che “possono accedere ai dati sanitari elettronici … e trattarli per l’uso secondario solamente sulla base di un’autorizzazione” (ex art. 68) o “di una richiesta di dati sanitari approvata” (ex art. 69) o “di un’approvazione” (nel caso di cui all’art. 67.3), con espresso divieto di procedere a tentativi di reidentificare le persone fisiche a cui appartengono i dati il cui accesso è stato autorizzato (art. 60.3). Ulteriori obblighi in capo agli utenti di dati sanitari sono quello di rendere pubblici “i risultati o gli esiti dell’uso secondario” in forma anonima (art. 61.4) e quello di comunicare all’organismo responsabile dell’accesso “qualsiasi risultanza significativa relativa alla salute della persona fisica” i cui dati sono stati comunicati (art. 61.5).

La sezione terza (artt. 66-75) disciplina le richieste di accesso ai dati sanitari per l’uso secondario (art. 69) da parte di utenti, a cui detti dati saranno forniti in forma anonimizzata, salvo che dimostrino che sia necessaria, per perseguire la finalità del trattamento, la fornitura in forma pseudonimizzata. Tali dati dovranno comunque essere “adeguati, pertinenti e limitati a quanto necessario in relazione alla finalità del trattamento indicata nella domanda di accesso” (art. 66.1).

L’art. 67 specifica i requisiti in presenza dei quali l’organismo responsabile dell’accesso può rilasciare l’autorizzazione all’uso dei dati, che può durare al massimo dieci anni (salvo proroga) ex art. 68.12. Il rilascio dei dati richiesti deve comunque avvenire (art. 73) solo “attraverso un ambiente di trattamento sicuro che sia soggetto a misure tecniche e organizzative e rispetti prescrizioni in materia di sicurezza ed interoperabilità”.

Anche per l’uso secondario è previsto un meccanismo di opt out.

Ogni persona fisica ha diritto di poter escludere dal trattamento i propri dati sanitari per uso secondario, ma uno Stato membro potrebbe prevedere condizioni, al ricorso delle quali, è comunque concesso l’accesso a tali dati purché le regole derogatorie rispettino “l’essenza dei diritti e delle libertà fondamentali” e costituiscano “una misura necessaria e proporzionata in una società democratica per servire ragioni di interesse pubblico nel perseguimento di obbiettivi scientifici e sociali legittimi” (art. 71.5).

3. Considerazioni e criticità

Quelle sin qui descritte sono molto sinteticamente le nuove regole che potrebbero determinare rilevanti mutamenti dello scenario giuridico del dato medico-sanitario personale, finora ricadente sotto l’ombrello del regolamento 2016/679 che riteneva, in quanto dato sensibile, il dato sanitario non oggetto di accesso se non previo consenso dell’interessato.

Viene adesso introdotta una disciplina europea specifica (da intendersi come lex specialis rispetto all’indicato regolamento generale) del dato sanitario e della sua circolazione, che sostanzialmente liquida la cornice giuridica del consenso per affidare ad un controllo di tipo amministrativo, legalmente disciplinato, l’accesso al dato sanitario, con discipline abbastanza differenziate a seconda che sia praticato l’uso primario ovvero quello secondario, in considerazione dei differenti interessi in gioco.

I diritti delle persone fisiche ai loro dati sanitari ricevono una prima diffusa disciplina, che opererà in un ambito europeo e con riferimento ad una circolazione dei dati gestita da autorità statali all’uopo designate.

Il nodo centrale è che se resta la possibilità di “dire no” questo no deve essere un atto attivo ed esplicito – e comunque solo parziale – mentre prima era necessario un “si esplicito” che richiedeva una consapevolezza informata e legata ad una specifica necessità.

Proprio la complessità nella composizione degli interessi in gioco (con sostanziosi mutamenti a seconda che si tratti di uso primario o secondario) e, tra l’altro, le oggettive difficoltà di creazione di un pieno sistema di interoperabilità tra i differenti sistemi sanitari nazionali fanno sì che il regolamento, entrato in vigore il 25 marzo 2025, inizierà ad applicarsi solo dal 26 marzo 2027; non poche norme troveranno applicazione successiva, a scadenze temporali indicate dall’art. 105, e fino al 26 marzo 2031.

Quale sia l’interesse per il cittadino (rectius per la “persona fisica”) è dichiarato in una migliore e più completa prestazione: trovarsi in un altro paese e avere necessità di un intervento di pronto soccorso urgente può essere certamente più efficace se con una condivisione del “fascicolo sanitario” della persona da curare.

Qual è invece l’interesse sottaciuto? Una enorme mole di dati personalissimi viene amministrativamente condivisa senza un necessario consenso esplicito. Il che porta a inevitabili problemi in tema di “macchina” che gestisce il dato.

Il punto va chiarito e merita molta più attenzione di quella che non emerge dal regolamento.

Inserire le cartelle cliniche di tutte le persone residenti nell’Unione richiede non un semplice “cluod da cui prendere un file pdf”. 

Richiede una intelligenza artificiale – che non è pubblica – che sia capace di leggere, tradurre, gestire, rendere disponibili informazioni di per sé eterogenee e metterle a disposizione del medico nel momento della richiesta.

Per fare questo il motore della macchina non è uno o più “repository” di dati statistici, ma il vero motore è l’intelligenza artificiale che muove la macchina.

Ecco che quello che nasce – e di cui non vi è traccia né nel regolamento né nelle discussioni precedenti – è un enorme serbatoio di informazioni grazie alle quali possono essere creati metadati di incredibile valore (anche economico).

Attraverso queste informazioni possono essere creati insiemi e cluster specifici, inestimabili per il settore privato della farmaceutica, della diagnosi, delle assicurazioni.

Ed è bene ricordare che in questi casi è irrilevante il nome e cognome della persona, laddove il dato informativo è la parte centrale. 

La privacy non copre solo il mio nome e cognome, ma copre anche “i maschi tra 40-50 anni” (in cui rientro) con i loro elettrocardiogrammi. 

Questo sistema di condivisione senza consenso esplicito automaticamente consente “a una macchina di AI privata” di elaborare e costruire insiemi e cluster da cui generare dati e statistiche, per i quali nessuno ha prestato il consenso, che hanno un valore sul mercato elevatissimo, per i quali nessuno paga.

E non è nemmeno chiaro dove e come i server risiedano e quali possano essere i criteri di accesso.

Vale qui la pena ricordare un definitivo elemento: una volta che “quella AI” gestisce il dato e le informazioni, se si dovesse scoprire che quella Ai agisce “violando” una serie di norme, sarebbe tecnicamente impossibile, oltre che onerosissimo, sostituirla, e anche in questo caso il sistema resterebbe bloccato per mesi se non per anni, senza che il rischio sia superato.

Quello che emerge, anche, da questa normativa, è l’eccessiva spinta e propensione ad una lettura delle nuove tecnologie come “buone”, al servizio dell’uomo, e migliorative della vita e dei servizi.

Non viene minimamente considerato l’aspetto di rischio, il pericolo, la componente mercato insita in queste “rivoluzioni tecnologiche”.

E dal momento che il settore sanitario insieme a quello alimentare sono i due settori di massima espansione di medio e lungo termine, la spinta verso queste soluzioni appare quanto meno sospetta, soprattutto se consideriamo che nulla come il settore sanitario necessita oggi di dati.

Le informazioni sui cluster umani, con gli insiemi creati dai dajti clinici, sono imprescindibili nei modelli predittivi per assicurazioni e banche, il che mette in correlazione interessi forti, penetranti e potenti, facendoli convergere verso soluzioni “a loro utili”.

Questa convergenza è amplificata ulteriormente dalla crescente necessità delle Ai di alimentarsi ed operare con dati sempre maggiori e ridondanti, e nulla è utile a questo scopo come le cartelle e gli esami sanitari. Inoltre attraverso queste informazioni – che ribadiamo poco conta che vengano anonimizzate per “nome e cognome” – le stesse Ai impegnate nel MachineLearning di diagnosi e terapie avranno a disposizione una miniera del valore inestimabile.

Ecco che se “uniamo i puntini” di quanti e quali interessi economico-commerciali convergono su questi dati, il regolamento europeo appena entrato in vigore rappresenta sin dall’inizio una “dream law” che sembra quadi scritta da una AI.