La proposta della Commissione europea: European Health Data Space Lo scorso maggio 2022, la Commissione europea ha presentato il progetto per l’istituzione dello Spazio Europeo dei Dati Sanitari (cd. “European Health Data Space”, di seguito “EHDS”), che permetterà all’Unione europea di compiere un enorme salto qualitativo nella modalità di erogazione delle cure sanitarie in tutta Europa. Al fine di sfruttare appieno le potenzialità dell’EHDS, la Commissione europea ha ritenuto quale fattore fondamentale per il successo dell’EHDS la fiducia degli interessati cui i dati personali (e sanitari) si riferiscono. Laddove realizzato, l’EHDS fornirà infatti un ambiente affidabile per l’accesso sicuro a un’ampia gamma di dati sanitari e, al tempo stesso, garantirà un trattamento sicuro di tali dati. A tal fine, la Commissione europea ha presentato una proposta di regolamento europeo (di seguito, la “Proposta”) che mira a promuovere un mercato unico dei servizi e dei prodotti digitali in campo sanitario con lo scopo di: Inoltre, dal momento che l’EHDS si fonda sul trattamento di dati personali e, più specificamente, di dati sanitari, la Commissione ha fatto riferimento (inter alia) alle disposizioni del Regolamento (UE) 2016/679 sulla protezione dei dati (“GDPR”). A tal fine, giova ricordare che i dati sanitari (vale a dire i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute) sono una species del più ampio genus delle cd. “categorie particolari di dati personali”, disciplinati dall’art. 9 del GDPR e generalmente sottoposti a un divieto di trattamento a meno che non ricorra una delle condizioni di cui al secondo comma del medesimo articolo (ad esempio, il consenso esplicito dell’interessato, adempimento di obblighi normativi in materia di diritto del lavoro, tutela di un interesse vitale dell’interessato, etc.). Il Parere congiunto dell’EDPB e dell’EDPS Premesso quanto sopra e in ragione dell’importanza dei dati personali nell’ambito del progetto dell’EHDS, l’European Data Protection Board (“EDPB”) e l’European Data Protection Supervisor (“EDPS”) hanno adottato il parere congiunto sulla proposta della Commissione europea per lo Spazio Europeo dei Dati Sanitari (il “Parere”) attraverso il quale, sebbene abbiano approvato e condiviso favorevolmente l’idea della Commissione europea di creare l’EHDS e, più specificatamente, l’intento di rafforzare il controllo delle persone sui propri dati sanitari elettronici, i due organismi hanno altresì espresso una serie di preoccupazioni generali di seguito brevemente sintetizzate. Innanzitutto, l’EDPB e l’EDPS, pur riconoscendo gli sforzi della Commissione europea per allineare la Proposta alle disposizioni del GDPR in materia di dati personali, hanno rilevato che la Proposta aggiunge un ulteriore livello alla già complessa raccolta di disposizioni (sia nazionali sia europee) sul trattamento dei dati sanitari. Infatti, come si legge nel Parere, la Proposta potrebbe indebolire la tutela dei diritti alla privacy e alla protezione dei dati, soprattutto se si considerano le categorie di dati personali e le finalità legate all'uso secondario dei dati. Pertanto, l’EDPB e l’EDPS hanno rappresentato la necessità di chiarire il rapporto tra le disposizioni della Proposta, quelle del GDPR e le leggi degli Stati membri. Come sopra anticipato, l’EDPB e l’EDPS operano una distinzione tra il trattamento dei dati personali (ivi inclusi i dati sanitari) raccolti per scopi scientifici (“uso primario”) e il trattamento dei dati inizialmente raccolti per un’altra finalità (“uso secondario”). Sul punto, l’EDPB e l’EDPS - pur riconoscendo che le previsioni della Proposta, volte a facilitare l'uso secondario dei dati sanitari elettronici, possono comportare vantaggi per il settore pubblico - ritengono che nella Proposta manchi un’adeguata delimitazione delle finalità per le quali i dati sanitari elettronici possono essere ulteriormente trattati, rappresentando tale circostanza un rischio per i diritti e le libertà degli interessati. Diversamente dall’”uso primario”, l’utilizzo secondario dei dati degli interessati, infatti, non garantisce agli stessi la possibilità di esercitare il diritto di limitare l’accesso di terzi ai propri dati, espressamente riconosciuto dall’art. 18 del GDPR. Alla luce di quanto sopra, l’EDPB e l’EDPS hanno esortato pertanto il legislatore europeo a delimitare ulteriormente tali finalità, circoscrivendole a quelle collegate al perseguimento di un interesse pubblico nel settore sanitario e/o previdenziale. Con riferimento ai dati sanitari generati dalle app per il benessere e da altre applicazioni digitali per la salute, l’EDPB e l’EDPS ritengono necessario che tali informazioni personali non vengano messe a disposizione per l’“uso secondario”, in quanto producono un'enorme quantità di dati che non sono della stessa qualità di quelli generati dai dispositivi medici e che possono essere trattati insieme a ulteriori informazioni diverse da quelle sanitarie. Inoltre, l’EDPB e l’EDPS rilevano che, per quanto l’obiettivo dell'infrastruttura per lo scambio di dati sanitari elettronici prevista nella Proposta sia quello di facilitare lo scambio dei dati sanitari, la grande quantità di dati che verrebbero trattati, la loro natura altamente sensibile, il rischio di accesso illegale e la necessità di garantire un controllo efficace da parte di Autorità indipendenti per la protezione dei dati richiedono, secondo i predetti organismi, che il Parlamento europeo e il Consiglio impongano l'obbligo di conservare i dati sanitari elettronici esclusivamente all’interno Spazio economico europeo (fatti salvi ulteriori trasferimenti in conformità con le garanzie previste dagli artt. 44-49 del GDPR). Infine, per quanto riguarda il modello di governance introdotto dalla Proposta, l’EDPB e l’EDPS sottolineano che le Autorità per la protezione dei dati sono le uniche autorità competenti per le questioni relative al trattamento dei dati personali e dovrebbero rimanere l'unico punto di contatto per le persone in merito a tali questioni. Pertanto, dovrebbe essere evitata ogni sovrapposizione tra tali Autorità e i nuovi enti introdotti dalla Proposta e dovrebbero essere specificate le rispettive competenze e previsti chiari obblighi di cooperazione.