22

Immagine creata con IAAI-generated image

EHDS: lo Spazio europeo dei dati sanitari tra uso primario, uso secondario e usi vietati

Il Regolamento (UE) 2025/327 istituisce lo Spazio europeo dei dati sanitari: il primo spazio comune europeo di dati settoriale, con applicazione scaglionata dal 26 marzo 2027. Cartelle cliniche interoperabili per la cura, organismi di accesso per la ricerca, e un catalogo di usi espressamente vietati. Le coordinate essenziali di un regolamento destinato a ridisegnare la sanità digitale europea.

Con il Regolamento (UE) 2025/327 del Parlamento europeo e del Consiglio, dell’11 febbraio 2025, «sullo spazio europeo dei dati sanitari e che modifica la direttiva 2011/24/UE e il regolamento (UE) 2024/2847», l’Unione ha varato il primo dei suoi spazi comuni di dati settoriali: l’EHDS – European Health Data Space. Riteniamo questa sia la sede opportuna per fissarne le coordinate, tenuto conto che le applicazioni più avanzate della sanità digitale, dai gemelli digitali del paziente alle infrastrutture federate di ricerca, troveranno proprio nell’EHDS la loro cornice di riferimento.

Oggetto e calendario

L’articolo 1 enuncia l’oggetto: «Il presente regolamento istituisce lo spazio europeo dei dati sanitari (European Health Data Space – EHDS) prevedendo disposizioni, norme e infrastrutture comuni e un quadro di governance al fine di facilitare l’accesso ai dati sanitari elettronici per l’uso primario dei dati sanitari elettronici e l’uso secondario di tali dati».

Quanto al calendario, l’articolo 105 dispone che il regolamento, entrato in vigore il 26 marzo 2025, «si applica a decorrere dal 26 marzo 2027», con un’applicazione scaglionata per le diverse categorie di dati e funzionalità: talune disposizioni si applicheranno dal 26 marzo 2029 per le categorie prioritarie di dati (tra cui i profili sanitari sintetici dei pazienti e le prescrizioni elettroniche) e dal 26 marzo 2031 per le ulteriori categorie. Un orizzonte lungo, che non deve però trarre in inganno: l’adeguamento infrastrutturale e organizzativo dei sistemi sanitari e degli operatori richiede l’intero periodo disponibile.

Uso primario e uso secondario: la distinzione cardine

L’intero impianto ruota attorno a una distinzione definitoria. L’articolo 2 definisce “uso primario” «il trattamento dei dati sanitari elettronici per la prestazione di assistenza sanitaria al fine di valutare, mantenere o ripristinare lo stato di salute della persona fisica cui si riferiscono tali dati»: è il fronte della cura, presidiato dai diritti rafforzati degli interessati e dall’interoperabilità delle cartelle cliniche elettroniche attraverso l’infrastruttura MyHealth@EU.

L’“uso secondario” è invece «il trattamento dei dati sanitari elettronici per le finalità indicate al capo IV del presente regolamento, che sono diverse dalle finalità iniziali per le quali tali dati sono stati raccolti o prodotti»: ricerca scientifica, innovazione, sanità pubblica, elaborazione delle politiche, secondo il catalogo tassativo del capo IV.

Gli organismi di accesso e le categorie di dati

Il capo IV costruisce la governance dell’uso secondario attorno a un soggetto nuovo: l’organismo di accesso ai dati sanitari. L’articolo 55 dispone che «gli Stati membri designano uno o più organismi responsabili dell’accesso ai dati sanitari incaricati di svolgere i compiti e rispettare gli obblighi di cui agli articoli 57, 58 e 59»: è a tali organismi che i ricercatori e gli altri utenti dei dati dovranno rivolgersi per ottenere le autorizzazioni, con trattamento in ambienti sicuri.

Quanto al patrimonio informativo, l’articolo 51 elenca le categorie minime di dati per l’uso secondario, a partire dai «dati sanitari elettronici provenienti da cartelle cliniche elettroniche», fino ai dati genetici ed epigenomici, ai dati amministrativi e ai dati su determinanti della salute e agenti patogeni.

Gli usi vietati

Il tratto forse più qualificante è il catalogo degli usi vietati. L’articolo 54 dispone che «sono vietati l’accesso ai dati sanitari elettronici per l’uso secondario […] e il trattamento di tali dati per gli usi seguenti: a) adottare decisioni pregiudizievoli per una persona fisica o un gruppo di persone fisiche sulla base dei loro dati»; seguono, tra gli altri, i divieti relativi agli usi assicurativi e creditizi discriminatori, al marketing e allo sviluppo di prodotti nocivi. Ecco il messaggio sistemico: la condivisione dei dati sanitari è funzionale al bene comune della ricerca e della sanità pubblica, non alla profilazione commerciale né a decisioni pregiudizievoli sugli individui.

EHDS, GDPR e il cantiere aperto

L’EHDS non deroga al GDPR: vi si sovrappone come disciplina speciale di settore, e il coordinamento tra i due piani, dalle basi giuridiche dell’uso secondario ai diritti degli interessati, ivi compreso il regime di opt-out, costituirà il terreno interpretativo più delicato dei prossimi anni, anche alla luce delle Guidelines 1/2026 dell’EDPB sul trattamento di dati personali per finalità di ricerca scientifica. Per le strutture sanitarie, i produttori di sistemi di cartelle cliniche elettroniche, che il regolamento assoggetta a specifici obblighi, e i ricercatori, il quinquennio 2027-2031 sarà una transizione impegnativa quanto quella, ormai storica, del GDPR.

Conclusioni

L’EHDS è la scommessa europea di conciliare ciò che altrove è in conflitto: circolazione dei dati sanitari e tutela della persona. L’architettura c’è: usi tipizzati, organismi di accesso, ambienti sicuri, divieti espliciti. La sua riuscita dipenderà dall’attuazione negli Stati membri e dalla fiducia dei cittadini.

Alla luce di quanto esposto, ci si domanda se i sistemi sanitari nazionali, a partire da quello italiano, sapranno farsi trovare pronti all’appuntamento del 26 marzo 2027, predisponendo per tempo un’infrastruttura effettivamente al servizio della cura e della ricerca, e non un mero adempimento documentale, così da mantenere la promessa su cui l’intero edificio si regge: che i dati della salute servano, anzitutto, la salute.

Autore: Avv. Valentina Grazia Sapuppo