Pieno rispetto delle norme poste a protezione dei dati dei pazienti europei. È quanto il Comitato europeo per la protezione dei dati (Edpb) e il Garante europeo della protezione dei dati (Edps) raccomandano nel parere congiunto sulla proposta della Commissione europea per lo Spazio europeo dei dati sanitari (l’European Health Data Space).
Cosa prevede l’European Health Data Space
La proposta mira a facilitare la creazione di un’Unione sanitaria europea e a consentire all’Ue di sfruttare appieno il potenziale offerto dallo scambio, dall’uso e dal riutilizzo sicuro e protetto dei dati sanitari elettronici, sia per fornire una migliore assistenza sanitaria, anche transfrontaliera, al soggetto i cui i dati sono stati raccolti (“uso primario”), sia a fini di ricerca scientifica, medicina personalizzata, statistica, applicazioni digitali per la salute (“uso secondario”).
Nell’accogliere con favore l’impegno a rafforzare i diritti delle persone rispetto ai propri dati elettronici sanitari l’Edpb e l’Edps esprimono, tuttavia, una serie di preoccupazioni generali.
I nodi da sciogliere
In prima linea, si legge nella nota del Garante privacy, “il disallineamento tra le previsioni della proposta sui diritti degli interessati e il Gdpr”. Inoltre, pur riconoscendo che le previsioni della proposta sono volte a facilitare l’uso secondario di dati sanitari elettronici possono generare benefici per il bene pubblico, il Comitato e il Garante europeo mettono in luce i rischi per i diritti e le libertà delle persone interessate derivanti da queste ulteriori attività di trattamento, rispetto alle quali, diversamente dall’”uso primario”, non è garantito all’interessato il diritto di limitare l’accesso di terzi ai propri dati.
Uso primario e uso secondario dei dati
L’Edpb opera una distinzione tra il trattamento dei dati personali (inclusi quelli sulla salute) raccolti specificamente per scopi scientifici (“uso primario”) e il trattamento dei dati inizialmente raccolti per un’altra finalità (“uso secondario”).
Il Comitato e il Garante europeo ritengono che le finalità dell’uso secondario dei dati sanitari elettronici non siano adeguatamente definite dalla proposta e chiedono quindi ai co-legislatori di delimitare ulteriormente tali finalità, circoscrivendole a quelle collegate al perseguimento di un bene pubblico nel settore sanitario e/o previdenziale.
Riguardo ai dati sanitari generati dalle app per il benessere e da altre applicazioni digitali per la salute, Edpb e Edps chiedono che tal informazioni personali non vengano messe a disposizione per l’ “uso secondario”, perché producono un’enorme quantità di dati, che non sono della stessa qualità di quelli generati dai dispositivi medici e che possono essere trattati insieme ad ulteriori informazioni diverse da quelle sanitarie.
Rischio di accesso illegale ai dati
“Per quanto l’obiettivo dell’infrastruttura per lo scambio di dati sanitari elettronici prevista nella proposta sia quello di facilitare lo scambio dei dati sanitari – si legge nella nota -, la grande quantità di dati che verrebbero trattati, la loro natura altamente sensibile, il rischio di accesso illegale e la necessità di garantire un controllo efficace da parte di autorità indipendenti per la protezione dei dati richiedono, secondo l’Edpb e l’Edps, che Parlamento europeo e Consiglio impongano l’obbligo di conservare i dati sanitari elettronici esclusivamente all’interno Spazio economico europeo (fatti salvi ulteriori trasferimenti in conformità con le garanzie approntate Gdpr).
Infine, per quanto riguarda il modello di governance introdotto dalla proposta, l’Edpb e l’Edps sottolineano che le Autorità per la protezione dei dati sono le uniche autorità competenti per le questioni relative al trattamento dei dati personali e dovrebbero rimanere l’unico punto di contatto per le persone in merito a tali questioni. Pertanto, dovrebbe essere evitata ogni sovrapposizione tra tali Autorità e i nuovi enti introdotti dalla proposta e dovrebbero essere specificate le rispettive competenze e previsti chiari obblighi di cooperazione.
