Gentile direttore,
È iniziato il conto alla rovescia. Entro due anni da ora, l’Italia e gli altri Stati dell’UE dovranno essere pronti con un chiaro disegno di governance, infrastrutture e competenze per consentire l’uso secondario dei dati ai sensi del nuovo Regolamento sullo Spazio Europeo dei Dati Sanitari (EHDS), in vigore dal 26 marzo scorso.
Un vincolo per gli ordinamenti nazionali, direttamente applicabile e caratterizzato da indubbi sforzi economici e organizzativi. Ma anche un punto di svolta per consentire l’accesso sicuro e armonizzato ai dati sanitari di milioni di cittadini europei volendo accelerare la ricerca clinica, sostenere l’innovazione scientifica e tecnologica, migliorare la programmazione sanitaria e gli investimenti per la salute, proteggere dalle emergenze di sanità pubblica, puntare alla medicina di precisione. Queste e altre finalità declinate all’articolo 53 EHDS sono ritenute di pubblico interesse, coerentemente con l’articolo 5 del GDPR che ammette per esse l’ulteriore trattamento dei dati personali.
Si sta ora lavorando agli atti di esecuzione, che saranno adottati dalla Commissione Europea allo scadere dei prossimi 24 mesi, per garantire l’uniformità di implementazione del regolamento sotto il controllo di un Comitato composto dai rappresentanti degli Stati membri. Questi atti, che, come i nostri decreti attuativi, sono necessari a rendere concreto quanto prescritto dalla legge, originano da azioni congiunte e azioni di coordinamento e sostegno. Tra quelle in corso, TEHDAS2 fornisce linee guida e specifiche tecniche per il funzionamento dell’ecosistema UE dell’uso secondario, SHAIPED elabora linee di indirizzo per l’uso dei dati sanitari del mondo reale per l’implementazione dell’intelligenza artificiale come dispositivo medico, QUANTUM propone requisiti per il marchio di qualità e utilità dei dati applicato ai titolari dei dati sanitari come strutture sanitarie, aziende farmaceutiche e organizzazioni di ricerca.
Secondo il regolamento EHDS, che definisce chi rende disponibili quali dati sanitari per quali scopi e a quali condizioni, l’accesso avverrà mediante l’infrastruttura comune DatiSanitari@UE e non sarà più necessario il consenso dell’interessato cui si riferiscono i dati, il quale potrà però esercitare il diritto di esclusione dall’uso secondario sulla base di un meccanismo che ciascun paese definirà. L’impegno materiale e morale più grande, sia per stare al passo con i tempi che per scegliere tra le opzioni operative disponibili, è dunque inevitabilmente richiesto al Governo, chiamato a individuare l’Autorità competente – una o più di una – che assume il ruolo di Organismo Responsabile dell’Accesso ai Dati Sanitari. Su questo organismo ricadono gli oneri di abilitare il funzionamento dell’impianto nazionale connesso a quello europeo, e le responsabilità di adottare le misure necessarie a garantire i diritti di informazione e protezione dei dati dell’interessato, nonché gli interessi dei titolari dei dati sanitari e quelli degli utenti che richiedono il servizio.
Sarà obbligatorio per l’Autorità dotarsi anzitutto di un sistema di gestione delle domande di accesso ai dati, avvalendosi di un comitato tecnico di valutazione che consenta all’Autorità – entro 3 mesi dalla ricezione della domanda – di rilasciare all’utente un’autorizzazione. Questa autorizzazione, di durata precisata, rinnovabile o eventualmente revocabile in casi di inosservanza delle disposizioni del regolamento, è una sorta di contratto tra Autorità e utente richiedente i dati, nel quale saranno specificate le condizioni per l’accesso richiesto e i costi da pagare a rimborso sulla base di un sistema tariffario deciso dal paese.
L’accesso ai dati potrà conseguentemente avvenire solo in un ambiente di trattamento sicuro, predisposto e controllato dall’Autorità. E sarà possibile analizzare i dati messi a disposizione solo rispettando quanto specificato nell’autorizzazione. Ad esempio, occorrerà precisare chi è autorizzato all’accesso, quali dati sono presenti, quali operazioni di elaborazione sono possibili, per quanto tempo l’ambiente resta aperto all’accesso richiesto, con quali modalità i dati richiesti sono resi disponibili nell’ambiente. Alla fine del ciclo, l’utente potrà estrarre dall’ambiente di trattamento soltanto le elaborazioni, cioè i risultati dell’analisi, mentre i dati presenti nell’ambiente saranno distrutti.
Nell’adempiere ai propri obblighi, spetta inoltre all’Autorità dotarsi di un sistema di sorveglianza, monitoraggio, valutazione delle conformità/non-conformità (cui possono seguire sanzioni) nei confronti sia dei titolari dei dati che degli utenti richiedenti l’accesso. Né dovrà mancare, nel rispetto della trasparenza, un portale rivolto ai cittadini ove pubblicare le decisioni riguardanti le domande di accesso, le sanzioni imposte a possibili utenti o titolari di dati inadempienti, i risultati degli usi secondari consentiti e realizzati nell’ambiente di trattamento sicuro, i cataloghi informativi delle serie di dati sanitari disponibili a livello nazionale.
Volenti o nolenti, per l’Italia come per altri Stati membri, il lavoro da fare è tanto e complesso, e a tratti anche delicato se si considera che nella decisione che sarà assunta dal decisore politico nazionale riguardo l’Autorità responsabile dell’accesso ai dati e quali categorie di dati e finalità includere nel diritto di esclusione dall’uso secondario, si gioca una partita – sia pure amichevole – tra diritti individuali e interessi collettivi. La speranza è che finisca in un equilibrato pareggio.
Fidelia Cascini
Presidente del Comitato Direttivo della Comunità di Pratica dello Spazio Europeo dei Dati Sanitari per l’uso secondario
Docente presso il Dipartimento di Scienze della Vita e sanità Pubblica – Università Cattolica del Sacro Cuore, campus di Roma
