In occasione dell' evento l’Europa e i dati – scenari multidisciplinari nell’era digitale: dialogo tra…
Dati sanitari e diritti del paziente nella sanità digitale: alla prova del coordinamento tra GDPR, normativa nazionale e EHDS. Intervista alla Prof.ssa Ilaria Amelia Caggiano
Ilaria Amelia Caggiano è Professoressa ordinaria di Diritto privato all’Università degli Studi di Napoli Suor Orsola Benincasa, dove dirige un Master di II livello in DPO e Diritto della Privacy. È stata Fulbright Visiting Scholar presso la Law School della University of Chicago e visiting scholar in numerose università straniere.
È responsabile scientifico, componente e consulente in progetti di ricerca nazionali ed europei su sostenibilità, digitalizzazione e sanità digitale. Partecipa a convegni nazionali e internazionali, anche interdisciplinari, e ha ricoperto il ruolo di esperto per la trasformazione digitale del SSN presso il Ministero della Salute. È fondatrice e vicedirettrice del Centro di Ricerca Research Center in European Private Law e della rivista European Journal of Privacy Law & Technologies (fascia A ANVUR).
la Prof.ssa Ilaria Amelia Caggiano
EHDS e GDPR: quali sono i principali punti di integ
razione e divergenza tra i diritti dei pazienti previsti dal Regolamento europeo sullo Spazio Europeo dei Dati Sanitari (EHDS) e quelli già garantiti dal GDPR?
In particolare, come cambia il ruolo dell’infrastruttura pubblica digitale nella configurazione di questi diritti?
L’entrata in vigore, nel marzo 2025, del Regolamento (UE) 2025/327 che istituisce lo European Health Data Space (EHDS) e la timeline della sua progressiva piena applicazione introducono ad una nuova configurazione dei diritti dei pazienti in relazione ai propri dati personali. Il riconoscimento di un novero di diritti di “nuovo conio” sui dati sanitari elettronici, personali e non personali, pone all’interprete una serie di questioni. Quando tali diritti insistono su dati qualificabili come personali (direttamente o indirettamente, ovvero perché all’interno di un set di dati misti) appare necessario delimitarne l’ambito e i residui spazi effettivi di applicazione rispetto agli omonimi o analoghi diritti previsti dal GDPR. Molti dei diritti riconosciuti dall’EHDS ricalcano, almeno nominalmente, quelli già previsti dal Regolamento generale sulla protezione dei dati (GDPR – Reg. (UE) 2016/679), come il diritto di accesso, di rettifica, di portabilità e di limitazione. Tuttavia, l’EHDS non si limita a riproporli: li integra, li specializza e, in alcuni casi, li trasforma radicalmente. Come chiarito dallo stesso considerando 8 del Regolamento EHDS, il nuovo quadro si basa sui diritti fondamentali sanciti dal GDPR, ma introduce disposizioni ulteriori, sui dati sanitari elettronici personali. È qui che l’infrastruttura digitale assume un ruolo centrale. L’EHDS introduce il quadro normativo e tecnologico integrato per l’utilizzo sicuro dei dati sanitari a fini di cura (uso primario) e di ricerca, innovazione, prevenzione e governo (uso secondario) sulla base di un’infrastruttura digitale europea.
Il fatto che i diritti dei pazienti sui dati elettronici personali (di accesso, di inserimento di informazioni nella cartella clinica elettronica, di rettifica, di portabilità dei dati) siano configurabili solo all’interno di piattaforme e applicazioni interoperabili – anche a livello transfrontaliero – ovvero attraverso servizi di accesso, o applicazioni collegate a servizi di accesso, modifica la struttura e l’articolazione dei diritti stessi. Non si tratta più, semplicemente, di diritti da esercitare nei confronti del titolare del trattamento – come previsto dal GDPR – ma di diritti ad un servizio digitale. Il paziente, ad esempio, non ha soltanto diritto ad accedere ai propri dati: ha diritto a farlo digitalmente, gratuitamente e immediatamente, tramite servizi pubblici progettati secondo criteri di accessibilità, inclusività e interoperabilità tecnica. In caso di errori nei dati sanitari elettronici (come informazioni inesatte o attribuzioni errate), il diritto di rettifica si configura come online, ad esercizio immediato e gratuito. L’effettiva modifica dei dati avviene poi secondo le regole del GDPR, con l’intervento del titolare del trattamento e, se necessario, del personale sanitario, ma il processo è reso possibile solo grazie alla nuova infrastruttura digitale.
Questa funzionalizzazione tecnologica dei diritti implica che il supporto digitale non è più un mezzo eventuale di esercizio, ma parte costitutiva del contenuto del diritto stesso: il diritto nei confronti del titolare del trattamento presuppone un altro diritto al servizio digitale. L’accesso elettronico diventa così componente essenziale della posizione giuridica soggettiva riconosciuta al paziente, il che rende questi diritti strutturalmente differenti – e non solo sovrapponibili – rispetto agli analoghi previsti dal GDPR.
Il rapporto tra EHDS e GDPR può dunque essere letto come una relazione di integrazione e completamento. Il GDPR resta il “codice generale” della materia, come riconosciuto dallo stesso legislatore europeo anche nel contesto della strategia europea dei dati (Data Governance Act, Data Act) e dell’intelligenza artificiale. Tuttavia, nel settore specifico dei dati sanitari elettronici, l’EHDS introduce un catalogo di diritti nuovi o speciali, la cui disciplina va letta in coordinamento con il GDPR.
La concorrenza tra diritti dell’EHDS e del GDPR, nella pratica, sembra però apparire limitata a ipotesi residuali – come il malfunzionamento dell’infrastruttura – che potrebbero richiedere il ricorso ai diritti generali del GDPR. Ma nella maggior parte dei casi, i nuovi diritti previsti dall’EHDS si impongono come disciplina specifica e prevalente.
L’uso secondario dei dati sanitari elettronici solleva delicate questioni di coordinamento tra EHDS e normativa nazionale. Quali sono, secondo Lei, le principali criticità giuridiche da risolvere per rendere questo uso pienamente conforme e funzionale?
L’uso secondario (il trattamento dei dati sanitari elettronici per finalità diverse da quelle iniziali per le quali sono stati raccolti o prodotti) può essere considerato l’aspetto più innovativo del Regolamento, che viene ad incidere su un panorama molto frammentario tra gli Stati membri, in ragione della diversa attuazione interna delle norme del GDPR in tema di ricerca e di interesse pubblico rilevante, e intende promuovere lo sfruttamento dei dati a beneficio della collettività, in un sistema sempre meno consenso-centrico.
Tra le finalità legittime per l’uso secondario dei dati sanitari elettronici rientra non solo il perseguimento di interessi pubblici da parte di soggetti pubblici (nell’ambito della sanità pubblica e della medicina del lavoro, e politiche e attività regolamentari a sostegno di enti pubblici o istituzioni dell’Unione, statistiche (ufficiali o meno) a livello nazionale, multinazionale e dell’Unione nel settore sanitario) ma vi sono anche finalità perseguite da soggetti privati, e le relative attività, tra cui l’istruzione o l’insegnamento nel settore sanitario o dell’assistenza, la ricerca scientifica, il miglioramento dell’assistenza sanitaria e l’ottimizzazione delle cure.
Anche nell’ambito secondario, a parte la previsione di una infrastruttura transfrontaliera, i processi di condivisione dei dati, i diritti e gli obblighi, sorgono e si possono esplicare solo in ambienti digitali qualificati: gli ambienti di trattamento sicuro, presidiati da misure tecniche e organizzative per garantire la sicurezza, la riservatezza e l’interoperabilità, e prevenire la trasmissione diretta dei dati agli utenti. I dati non vengono trasferiti, né direttamente né indirettamente, dal titolare all’utente ma condivisi e “interrogati” in ambiente sicuri, in forma anonimizzata o pseudonimizzata.
La base giuridica per il trattamento di dati sanitari elettronici è il Regolamento stesso, salvo un diritto di esclusione (opt-out), e salva la facoltà per gli Stati membri di prevedere eccezioni al diritto di esclusione per determinate finalità di interesse pubblico (tra cui, gravi minacce sanitarie, ricerca scientifica per importanti motivi di interesse pubblico, come nel caso delle malattie rare), a condizione che i dati non possano essere ottenuti altrimenti in modo tempestivo ed efficace e che siano rispettate le garanzie per la tutela dei diritti fondamentali. Si tratta di un sistema ispirato ad una ratio di solidarietà digitale e potenzialmente a favore della ricerca e dell’innovazione. Gli studi empirici dimostrano che un tale sistema è in grado di favorire una più ampia disponibilità di dati e minori distorsioni demografiche.
Se si guarda all’integrazione di tale modello nell’ordinamento italiano, esso si innesta su un articolato meccanismo previsto a livello interno: da un lato il sistema Fascicolo sanitario elettronico con le sue componenti di sistema di documenti, il Fascicolo sanitario elettronico, e di dati l’ecosistema di dati sanitari (d.l. 18 ottobre 2012, n. 179, conv. e i decreti di attuazione del Min. salute Fascicolo Sanitario Elettronico 2.0 ed Ecosistema dei dati sanitari) ove la consultazione e l’accesso ai dati e documenti all’interno di tali sistemi, per la gran parte di finalità di trattamenti secondari in essi previsti (prevenzione, profilassi internazionale), avviene in virtù del consenso dell’assistito; dall’altro con le previsioni relative all’uso dei dati sanitari elettronici per finalità di ricerca (art. 110 e 110 bis cod. privacy), fondato anch’esso su un sistema consenso-centrico, salve le ipotesi di deroga (impossibilità, sforzo sproporzionato, rischio di grave compromissione dei risultati dello studio).
Tali sistemi non vengono spazzati via dal quadro giuridico così disegnato, il quale impedisce agli Stati membri di mantenere disposizioni specifiche che richiedono il consenso delle persone fisiche per quanto riguarda il trattamento per l’uso secondario dei dati sanitari elettronici personali che si realizzi a norma del Regolamento (cons. 52) (ad eccezione dell’introduzione di misure più rigorose a tutela di taluni dati sensibili), e in ogni caso con salvezza di accordi contrattuali o meccanismi di altro tipo (anche a livello internazionale) in vigore.
Con riferimento specifico alla ricerca scientifica, dove la tensione tra modello nazionale ed europeo si manifesta con maggiore evidenza, il confronto tra un sistema fondato sulla solidarietà digitale e uno basato sull’autodeterminazione individuale — che può limitare la disponibilità dei dati — si giocherà, in ultima analisi, su due fattori decisivi: l’effettiva disponibilità dei dataset e l’efficienza degli organismi e delle procedure di accesso previsti dal nuovo assetto.
Le criticità giuridiche che emergono riflettono, in fondo, criticità funzionali legate alla capacità effettiva di dare attuazione coerente al modello delineato.
Il nuovo Ecosistema dei Dati Sanitari nazionale (EDS) prevede l’uso di dati indicizzati e validati per finalità di ricerca, prevenzione e programmazione. Quali garanzie sono oggi effettivamente operative per tutelare i diritti degli interessati in questo ambito?
L’Ecosistema dei Dati Sanitari (EDS) rappresenta una infrastruttura nazionale per la gestione integrata dei dati sanitari, per finalità di cura, prevenzione, profilassi internazionale, governo e ricerca.
Già previsto nel quadro del sistema di sanità digitale inaugurato nel 2012 (d.l.18 ottobre 2012, n. 179, conv.), a seguito di un parere fortemente critico del Garante per la protezione dei dati nel 2022 sulla bozza di decreto ministeriale allora proposta per l’EDS (collegata all’FSE), l’architettura e le funzioni dell’EDS sono state ampiamente rivisitate e aggiornate con il DM del Ministero della Salute 31 dicembre 2024 (in GU del 5 marzo 2025), che ha invece ricevuto il parere favorevole dell’Autorità.
All’Ecosistema dei Dati Sanitari (EDS) è attribuita attualmente la funzione non più di repository di dati duplicati dal Fascicolo sanitario ma di sistema di elaborazione dei documenti e dati (conferiti al sistema FSE, Sistema Tessera Sanitaria, SSN), controllati formalmente e semanticamente, validati e convertiti in formati standard, che si avvale di un sistema architetturale composto da più unità di archiviazione su base regionale. All’FSE, per le finalità ivi indicate, restano i trattamenti dei documenti sanitari (quelli indicati nel DM Ministero della Salute 07 settembre 2023, art. 3 e all. A), mentre i dati sanitari indicizzati, validati e interoperabili dell’EDS possono essere utilizzati per finalità di cura, prevenzione, profilassi internazionale, programmazione sanitaria e ricerca scientifica.
In questo contesto, tra le garanzie operative previste per la tutela dei diritti degli interessati vi sono la previsione del consenso dell’interessato per l’accesso ai dati dell’EDS, con meccanismi di registrazione del consenso digitale (liberamente revocabile) eccezion fatta per le finalità di governo, la limitazione ai dati non oscurati del Fascicolo sanitario elettronico, meccanismi di pseudonimizzazione, l’articolazione dell’infrastruttura in unità territoriali, sistemi di tracciabilità degli accessi, periodi di conservazione alla stregua di quanto previsto per il FSE.
Si tratta di un processo in divenire. Con particolare riguardo alle finalità di ricerca, attraverso un meccanismo speculare a quello previsto in via generale per l’EHDS, ma con limitazione ai soli dati anonimizzati, si prevede che l’accesso all’EDS per finalità di ricerca scientifica possa avvenire attraverso l’uso di dati anonimizzati, disponibili tramite Agenas (con funzione di organismo intermediario per l’accesso) su richiesta corredata da progetto eticamente e metodologicamente conforme. L’accesso ai dati pseudonimizzati è rinviato alla disciplina con successivo atto.
In conclusione, l’attuale quadro normativo, di fonte interna ed euro-unitaria, evidenzia una moltiplicazione di canali e richieste di accesso, per le quali si auspica, in una prospettiva sistemica, un processo di armonizzazione normativa, onde evitare una frammentazione regolatoria difficilmente sostenibile.
Il paziente ha oggi il diritto non solo di accedere ai propri dati sanitari, ma di farlo “digitalmente, gratuitamente e immediatamente”. Quali sfide pone questo nuovo modello di “funzionalizzazione tecnologica dei diritti” sia in termini giuridici che infrastrutturali?
Con l’intento di fornire alle persone fisiche modalità più efficienti per accedere ai propri dati sanitari elettronici personali rispetto alle modalità di accesso previste dal GDPR, il Regolamento UE 2025/327 prevede che il diritto di accesso stabilito nel primo debba essere integrato nel settore dell’assistenza sanitaria, per evitare processi dispendiosi di richiesta e acquisizione di documenti cartacei o scansionati (cons. 9). L’EHDS prevede in proposito un “diritto complementare” di accedere ai dati sanitari elettronici gratuitamente e immediatamente, il quale costituisce una situazione giuridica propria in un contratto di servizi (di accesso ai dati sanitari elettronici). Si tratta del diritto ad un accesso sicuro, controllato e interoperabile ai dati da parte dei cittadini, degli operatori sanitari, dei ricercatori, delle istituzioni pubbliche, anche in contesti transfrontalieri, attraverso servizi digitali (portali online, app mobili, sistemi interoperabili). Tre appaiono essere le principali sfide giuridiche poste da questo diritto di accesso tecnologicamente funzionalizzato: 1. il bilanciamento con altri diritti (si pensi ai rischi di tutela di dati terzi contenuti nella documentazione clinica, ad esempio nei referti condivisi); 2. la responsabilità “dell’infrastruttura” in caso di malfunzionamenti, perdita di dati, accessi non autorizzati o violazioni dell’integrità informativa; 3. la difficoltà di accesso per categorie vulnerabili, persone con disabilità, minori o soggetti fragili, e necessità di prevedere sistemi semplici e funzionali di delega all’accesso.
V’è che nel paradigma ecosistemico e tecno-regolatorio dell’EHDS, la nuova configurazione del diritto all’accesso digitale e, in generale, dei diritti speciali degli interessati nell’assistenza sanitaria sconta altrettante rilevanti sfide infrastrutturali: 1. la capacità degli Stati membri di realizzare piattaforme interoperabili a livello transfrontaliero; 2. la sicurezza del sistema; 3. ma soprattutto i problemi di vulnerabilità tecnologica e la garanzia di accesso equo per tutti i cittadini, superando il digital divide.
A Suo avviso, quali sono le principali aree in cui permangono margini di non armonizzazione tra gli ordinamenti degli Stati membri, con particolare riferimento alla condivisione selettiva dei dati sanitari e al diritto all’oscuramento in situazioni di emergenza?
La condivisione selettiva dei dati sanitari e l’accesso in emergenza anche in presenza di dati “oscurati” dal paziente (cioè ai quali egli abbia limitato l’accesso da parte di terzi) rappresentano due dei molteplici spazi di discrezionalità lasciati agli Stati membri dall’EHDS. Le scelte politiche in proposito rispondono a precise opzioni di tipo etico e di bilanciamento tra diritti fondamentali: alla vita e all’autodeterminazione.
Il diritto delle persone fisiche di escludere dall’accesso ai propri dati sanitari elettronici personali registrati in un sistema di cartelle cliniche elettroniche costituisce il cd. diritto di opt out nel c.d. uso primario (art. 10 EHDS, considerando 18), che, ove riconosciuto, deve essere corredato da norme specifiche e garanzie a tutela dell’interessato.
Sono previste eccezioni all’esclusione: in base alla legislazione nazionale, il professionista sanitario potrebbe accedere ai dati quando il trattamento è necessario per proteggere interessi vitali del paziente o di altri soggetti, in conformità con l’art. 9, par. 2, lett. c) GDPR (art. 8 EHDS).
Una scelta in tal senso, che si pone sul crinale tra la tutela dell’autodeterminazione informativa e la tutela della vita in base ad un principio di necessità e proporzionalità, è stata già compiuta dall’ordinamento italiano con un meccanismo articolato e progressivo di accesso da parte dei professionisti e operatori sanitari (art. 20, d.m. 7 settembre 2023).
Non previsto nell’attuale sistema giuridico italiano (che prevede solo all’art. 12, comma 3, del d.m. 7 settembre 2023, un periodo di cinque giorni dalla prestazione sanitaria per il caricamento nel FSE) è invece l’accesso differito ai dati nel sistema di cartelle cliniche (art. 3, para. 3, EHDS), in base al quale gli Stati membri potrebbero prevedere un ritardo nell’accesso digitale immediato in situazioni delicate. Anche qui le scelte etiche di ciascun ordinamento, chiamato a bilanciare la tutela dell’integrità psico-fisica del paziente e il diritto all’informazione e alla disponibilità dei dati possono trovare varie declinazioni (garanzie procedurali o potenziamento del rapporto medico – paziente). In tale ambito, a differenza di altri, l’armonizzazione normativa a livello europeo non appare un imperativo categorico, mentre appare plausibile un pluralismo regolatorio fondato su specificità culturali, cliniche ed etiche dei singoli Stati membri.
Articoli correlati
