Sono già state sollevate da parte delle autorità europee numerose contestazioni circa l’adeguatezza della norma proposta per istituire uno Spazio Europeo dei dati sanitari, al fine di garantire la massima tutela dei dati personali dei soggetti che saranno interessati dal trattamento, mancando la proposta di definizione in particolar modo nella parte in cui si discute delle finalità secondarie per le quali i dati sanitari possono essere trattati, e dei diritti concessi agli interessati.
Infatti, la Commissione Europea ha presentato una proposta di regolamento volta ad istituire uno European Health Data Space – EHDS che faciliti lo scambio dei dati in sicurezza, nonché a “consentire alle persone di assumere il controllo dei propri dati sanitari e per consentirne l’uso per una migliore erogazione dell’assistenza sanitaria e per consentire all’UE sfruttare appieno le potenzialità offerte da uno scambio, uso e riutilizzo sicuro e protetto dei dati sanitari, senza gli ostacoli esistenti”. Date le tematiche affrontate nella proposta legislativa, il Regolamento influisce inevitabilmente con la normativa sulla protezione dei dati personali; ne deriva che prima della definitiva adozione del testo regolamentare dovranno essere valutate anche le possibili fonti di rischio che potrebbero derivare per i diritti dei cittadini con l’introduzione del nuovo Spazio.
Indice degli argomenti
Spazio Europeo dei dati sanitari, cosa dicono EDPB ed EDPS
Il presidente dell’EDPB Andrea Jelinek ha dichiarato che “lo spazio dei dati sanitari dell’UE comporterà l’elaborazione di grandi quantità di dati di natura altamente sensibile. Pertanto, è della massima importanza che i diritti dei cittadini dello Spazio economico europeo (SEE) non siano in alcun modo pregiudicati dalla presente proposta. La descrizione dei diritti nella Proposta non è coerente con il GDPR e sussiste un rischio sostanziale di incertezza giuridica per i soggetti che potrebbero non essere in grado di distinguere tra le due tipologie di diritti. Esortiamo vivamente la Commissione a chiarire l’interazione dei diversi diritti tra la proposta e il GDPR”.
Allo stesso modo, il supervisore del Garante Europeo dei dati personali (EDPS) Wojciech Wiewiórowski ha affermato che “I dati sanitari generati dalle applicazioni per il benessere e da altre applicazioni sanitarie digitali non sono della stessa qualità di quelli generati dai dispositivi medici. Inoltre, queste applicazioni generano un’enorme quantità di dati, possono essere altamente invasive e possono rivelare informazioni particolarmente sensibili, come l’orientamento religioso. Le applicazioni per il benessere e altre applicazioni per la salute digitale dovrebbero pertanto essere escluse dalla messa a disposizione per un uso secondario”.
Diviene, dunque, essenziale definire i punti di contatto fra la proposta regolamentare e la normativa vigente, al fine di evitare vuoti di tutela o creare situazioni di conflitto potenzialmente dannose per gli interessati e i loro diritti. L’EDPB e l’EDPS, nel parere congiunto, individuano anche una serie di criticità che potrebbero avere conseguenze negative per gli interessati, ove non correttamente risolte dalla Commissione Europea.
I punti di contatto con le normative esistenti
Come espressamente dichiarato all’interno della proposta regolamentare, l’obiettivo perseguito dal legislatore è quello di introdurre dei vincoli, dei requisiti e degli standard tecnico-organizzativi maggiormente specifici per i dati sanitari rispetto a quanto contenuto all’interno del GDPR, che tengano conto delle peculiarità legate al trattamento elettronico dei dati sanitari. Poiché la normativa, a tal fine, introduce anche nuove modalità di trattamento dei dati e una serie di deroghe alla normativa sulla protezione dei dati personali, si rende assolutamente necessario, per le autorità europee, coordinare quanto più possibile il contenuto del testo della proposta con la normativa europea vigente oltre che con le normative degli Stati Membri con le quali il testo potrebbe entrare in conflitto.
La continuità con il GDPR
In primo luogo, al fine di garantire continuità con il GDPR, le autorità garanti europee prevedono che la base giuridica necessaria per le disposizioni che regolano l’uso primario e secondario dei dati sanitari nel Regolamento sia da rinvenirsi nell’art. 16 TFUE o nell’art. 114 TFUE, essendo obiettivo della proposta, per l’appunto, istituire nuovi vincoli e nuove disposizioni in tema di protezione dei dati sanitari che prevedano anche nuove finalità rispetto al GDPR.
A titolo esemplificativo, le autorità garanti rilevano come, infatti, per l’uso secondario dei dati personali la proposta crei l’obbligo per i titolari dei dati, ai sensi dell’art. 6 par. 1 lett. c) GDPR di divulgare i dati personali nei confronti dei soggetti autorizzati ad accedervi ai sensi della proposta regolamentare; allo stesso tempo, tuttavia, la proposta “non mira a creare una base giuridica per i richiedenti i dati in relazione all’articolo 6 del GDPR né a modificare i requisiti di informazione ai sensi del GDPR o della direttiva e-privacy, né di alterare i diritti ivi stabiliti”.
Sempre a titolo esemplificativo, si rileva inoltre come la proposta contenga una serie di deroghe che devono necessariamente trovare una base giuridica: l’articolo 38, paragrafo 2, della Proposta esenta, infatti, “taluni soggetti (gli organismi di accesso ai dati sanitari) dall’applicazione delle disposizioni di cui all’Articolo 14 GDPR relativo alle informazioni da fornire agli interessati”.
La proposta, poi, sembrerebbe non avere punti di contatto espressi con la direttiva e-privacy: al fine di costituire un quadro normativo unitario e coerente, tuttavia, le autorità garanti raccomandano alla Commissione Europea, all’interno del citato parere congiunto, di includere all’interno della proposta, quale normativa di riferimento applicabile, anche la direttiva e-privacy, al fine di evitare che siano escluse dal testo del nuovo regolamento e dalle relative prescrizioni tutte le applicazioni digitali che si occupano di raccogliere dati a fini di benessere e salute.
Un riferimento esplicito viene fatto, invece, dalla Proposta, al Data Governance Act (o DGA), al Data Act e all’Artificial Intelligence Act, tutti facenti parte del complessivo pacchetto normativo digitale. Sebbene in questo caso il riferimento sia espresso, EDPS ed EDPB rilevano, comunque, come le citazioni svolte non siano sufficienti per creare coerenza tra le normative prese in esame, lasciando spazio a possibili incertezze applicative e compressioni di tutela: “a titolo esemplificativo, la proposta introduce una definizione di “titolare dei dati” ai sensi dell’articolo 2, paragrafo 2, lettera y), che potrebbe non essere coerente con la definizione di titolare dei dati nella DGA e nella legge sui dati. Ciò potrebbe comportare incertezza giuridica su quali entità rientrerebbero in tale definizione, nonostante costituisca un aspetto centrale della proposta, dato che determinerebbe – in modo cruciale – quali entità saranno soggette all’obbligo di rendere disponibili i dati sanitari elettronici per un uso secondario”. Maggiore interazione deve esserci, peraltro, con il regolamento sui dispositivi medici.
L’articolo 9 GDPR
Una delle principali criticità che le autorità garanti riscontrano circa la coerenza tra la proposta regolamentare per l’istituzione dello Spazio Sanitario Europeo e la normativa sulla protezione dei dati personali, vi è il mancato coordinamento delle norme sull’utilizzo secondario dei dati con quanto previsto espressamente all’art. 9 GDPR, il quale indica quali sono le eccezioni concesse al generale divieto di trattamento dei dati c.d. particolari, ivi inclusi i dati sanitari.
In primo luogo, relativamente al punto in esame, l’EDPB e l’EDPS rilevano la “mancanza di un’adeguata definizione delle finalità elencate all’articolo 34, paragrafo 1, della proposta per le quali i dati sanitari elettronici possono essere ulteriormente trattati”, esprimendo anche la propria preoccupazione per le finalità previste all’articolo “34, paragrafo 1 )(f) e (g) della proposta, che possono comprendere qualsiasi forma di “attività di sviluppo e innovazione per prodotti o servizi che contribuiscono alla salute pubblica o alla sicurezza sociale” o “formazione, test e valutazione di algoritmi, anche nei dispositivi medici, Sistemi di intelligenza artificiale e applicazioni per la salute digitale, che contribuiscono alla salute pubblica o alla sicurezza sociale””. Tenuto conto dell’elevato rischio connesso alla circolazione di dati sanitari, e alla necessità di evitarne la diffusione non controllata, le autorità raccomandano alla Commissione di delineare ulteriormente e con maggior dettaglio quali siano le finalità da ritenersi percorribili per l’utilizzo dei dati, in special modo secondario, circoscrivendo dette finalità alle ipotesi in cui vi sia un sufficiente collegamento delle stesse con la salute pubblica e/o la sicurezza sociale, “di raggiungere un equilibrio che tenga adeguatamente conto degli obiettivi perseguiti dalla proposta e della protezione dei dati personali degli interessati dal trattamento”.
Inoltre, sebbene le finalità per le quali i dati sanitari elettronici possono essere trattati per un uso secondario possano rientrare in diverse delle categorie di motivi di eccezione previsti dall’art. 9 par. 2 GDPR, non vi sia un esatto riflesso di dette eccezioni nei criteri “in base ai quali gli organismi di accesso ai dati sanitari dovrebbero valutare e decidere in merito alle domande di dati (articolo 45 della proposta) al fine di rilasciare un permesso di accesso ai dati”.
Da ultimo, sempre in ragione della necessaria integrazione della proposta con quanto previsto dall’art. 9 GDPR, le autorità chiedono alla Commissione di specificare come e in quali casi “l’articolo 9, paragrafo 2, lettera j), del GDPR sarebbe applicabile nei casi di trattamento di dati sanitari per “finalità di interesse pubblico, a fini di ricerca scientifica o storica o a fini statistici” (basati sul diritto dell’Unione o sul diritto degli Stati membri) e “protezioni adeguate” come richiesto dall’articolo 89, paragrafo 1, del GDPR”.
Le deroghe previste dalla proposta
Ulteriore punto critico della normativa, che si riflette sulla tutela dei dati personali degli interessati e sui diritti dei medesimi, riguarda le deroghe previste dalla proposta su alcuni dei diritti garantiti all’interessato dal GDPR, guardate con scetticismo da EDPB e EDPS.
Una delle deroghe principali previste dalla proposta riguarda l’esenzione di alcuni soggetti dall’obbligo di fornire una informativa ai sensi dell’art. 14 GDPR: in merito a tale deroga, le Autorità ritengono “che tale esenzione pregiudichi la possibilità per gli interessati di esercitare un controllo effettivo sui propri dati personali anziché rafforzarlo e sembra quindi essere in contrasto con l’obiettivo di cui all’articolo 1, paragrafo 2, lettera a), del Proposta”, chiedendosi che la restrizione al diritto all’informazione possa essere necessaria e giustificata nel contesto di cui si discute: “Nella misura in cui la proposta EHDS prevede espressamente l’ottenimento o la divulgazione di dati personali”, affermano, “si dovrebbe piuttosto valutare se tale proposta contenga garanzie adeguate a tutela dei legittimi interessi degli interessati”.
Tanto più che il diritto all’informazione rappresenta una componente essenziale del diritto di opposizione, che andrebbe inevitabilmente ad essere parimenti compresso dalla deroga prevista. Più nello specifico, le autorità affermano che limitando il diritto all’informazione “la proposta potrebbe non raggiungere gli obiettivi di cui all’articolo 1, paragrafo 2, lettera a). Infatti, l’approccio prospettato sembra ledere i diritti delle persone fisiche alla vita privata e alla protezione dei dati personali, soprattutto tenendo conto della definizione molto ampia di uso secondario e delle categorie minime di dati elettronici per uso secondario introdotti dalla Proposta, che non si limita solo alla ricerca scientifica, ma include anche altri scopi”.
In secondo luogo, le autorità si mostrano molto dubbiose circa l’utilità delle norme che prevedono deroghe ai compiti e ai poteri delle autorità delle autorità di controllo della protezione dei dati. Tale normativa, affermano “incide inevitabilmente e, in definitiva, può minare, nel tempo, la centralità delle norme orizzontali adottate ai sensi dell’articolo 16 TFUE. Le autorità di controllo indipendenti dovrebbero avere il compito di vigilare sulla proposta, per quanto riguarda il trattamento dei dati personali”.
La sovrapposizione dei diritti
Le autorità, inoltre, all’interno del parere si mostrano preoccupate per come i nuovi diritti previsti dalla proposta in relazione all’uso primario dei dati sanitari personali elettronici possano interagire con i diritti previsti dagli articoli 15 e ss. del GDPR. Le autorità sono preoccupate, in particolare, che la sovrapposizione dei diritti previsti dalla proposta con quelli del GDPR possa creare una situazione di incertezza in capo agli interessati, anche alla luce di una serie di profili di incoerenza tra il testo della proposta e i riferimenti svolti all’interno della stessa al GDPR. Conseguentemente, sollecitano il legislatore a chiarire il rapporto tra questi diritti e a garantire che non limitino “direttamente o indirettamente” la portata dei diritti delle persone nell’ambito della protezione dei dati della legislazione europea.
A titolo esemplificativo, la norma sull’accesso ai dati sanitari elettronici personali potrebbe richiedere ulteriori integrazioni non solo con le previsioni contenute nel GDPR, ma anche con quanto già stabilito e regolamentato a livello nazionale, con conseguente necessità per la Commissione di chiarire il rapporto tra la disposizione contenuta nel testo della proposta e le leggi nazionali che già disciplinano la materia. Inoltre, la previsione di cui all’art. 7 della proposta, che impone agli Stati Membri di garantire che gli operatori sanitari registrino “sistematicamente” i dati sanitari pertinenti relativi ai servizi sanitari da loro forniti alle persone fisiche, in formato elettronico in un sistema EHR, pare non essere in linea con il principio della minimizzazione dei dati del GDPR.
Il diritto di reclamo
Da ultimo, con riferimento al diritto concesso alle persone fisiche e giuridiche di proporre reclamo all’autorità sanitaria digitale, l’EDPB e l‘EDPS ritengono che “il semplice fornire informazioni sull’esistenza di un reclamo alle autorità di protezione dei dati non è sufficiente per consentire loro di valutare, indagare e valutare eventuali aspetti del reclamo relativi alla protezione dei dati”. Pertanto, le autorità raccomandano di “chiarire che, se il reclamo ha in qualche modo una relazione con la protezione dei dati, anche se l’oggetto è connesso ai nuovi diritti delle persone fisiche introdotti dall’articolo 3 della Proposta, l’autorità sanitaria digitale trasmette copia del reclamo all’autorità di controllo della protezione dei dati competente”. Si raccomanda inoltre di introdurre una fase di consultazione obbligatoria, ed un obbligo di cooperazione con le autorità per la protezione dei dati personali che consenta di svolgere una compiuta valutazione dei reclami ogniqualvolta i reclami stessi riguardino aspetti relativi alla protezione dei dati.
