REGOLAMENTO (UE) 2025/327 DEL PARLAMENTO EUROPEO E DEL CONSIGLIO, 11 febbraio 2025
G.U.U.E. 5 marzo 2025, Serie L
Regolamento sullo spazio europeo dei dati sanitari e che modifica la direttiva 2011/24/UE e il regolamento (UE) 2024/2847. (Testo rilevante ai fini del SEE)
Note sull'entrata in vigore e sull'applicabilità
Entrata in vigore il: 25 marzo 2025
Applicabile dal: (vedi nota)
Nota:
Per l'applicabilità si veda l'articolo 105
IL PARLAMENTO EUROPEO E IL CONSIGLIO DELL'UNIONE EUROPEA,
visto il trattato sul funzionamento dell'Unione europea, in particolare gli articoli 16 e 114,
vista la proposta della Commissione europea,
previa trasmissione del progetto di atto legislativo ai parlamenti nazionali,
visto il parere del Comitato economico e sociale europeo (1),
visto il parere del Comitato delle regioni (2),
deliberando secondo la procedura legislativa ordinaria (3),
considerando quanto segue:
1) Il presente regolamento ha lo scopo di istituire lo spazio europeo dei dati sanitari (European Health Data Space, EHDS) al fine di migliorare l'accesso delle persone fisiche ai loro dati sanitari elettronici personali e il loro controllo su tali dati nel contesto dell'assistenza sanitaria, nonché per conseguire più efficacemente altre finalità che comportano l'uso dei dati sanitari elettronici nei settori sanitario e assistenziale di cui beneficerebbe la società, quali la ricerca, l'innovazione, la definizione delle politiche, la preparazione e la risposta alle minacce sanitarie, anche per quanto riguarda la prevenzione e la gestione di future pandemie, la sicurezza dei pazienti, la medicina personalizzata, le statistiche ufficiali o le attività normative. Il presente regolamento ha inoltre l'obiettivo di migliorare il funzionamento del mercato interno istituendo un quadro giuridico e tecnico uniforme in particolare per quanto riguarda lo sviluppo, la commercializzazione e l'uso di sistemi di cartelle cliniche elettroniche (European Health record system - EHR) in conformità dei valori dell'Unione. Lo spazio europeo dei dati sanitari sarà un elemento fondamentale nella creazione di un'Unione europea della salute forte e resiliente.
2) La pandemia di COVID-19 ha evidenziato l'assoluta necessità di disporre di un accesso tempestivo a dati sanitari elettronici di qualità per la preparazione e la risposta alle minacce sanitarie, nonché per la prevenzione, la diagnosi e la cura e per l'uso secondario di tali dati. Tale accesso tempestivo potrebbe potenzialmente contribuire, attraverso una sorveglianza e un monitoraggio efficienti della sanità pubblica, a realizzare una gestione più efficace delle pandemie future, a ridurre i costi e a migliorare la risposta alle minacce sanitarie, e in ultima analisi potrebbe aiutare a salvare più vite umane. Nel 2020 la Commissione ha adattato d'urgenza il sistema di gestione dei dati clinici dei pazienti, istituito dalla decisione di esecuzione (UE) 2019/1269 della Commissione (4), per consentire agli Stati membri di condividere i dati sanitari elettronici dei pazienti affetti dalla COVID-19 che durante il picco della pandemia sono passati da un prestatore di assistenza sanitaria a un altro e si sono spostati tra Stati membri. Tuttavia, tale adattamento ha costituito solo una soluzione di emergenza, che ha dimostrato la necessità di un approccio strutturale e coerente a livello di Stati membri e di Unione, sia per migliorare la disponibilità dei dati sanitari elettronici per il settore sanitario sia per facilitare l'accesso ai dati sanitari elettronici al fine di orientare risposte strategiche efficaci e contribuire a un livello elevato di tutela della salute umana.
3) La crisi COVID-19 ha consolidato l'attività della rete di assistenza sanitaria online (eHealth), una rete volontaria di autorità responsabili della sanità digitale, come pilastro principale per lo sviluppo di applicazioni di tracciamento dei contatti e di allerta dei contatti per dispositivi mobili e degli aspetti tecnici dei certificati COVID digitali dell'UE. Ha anche evidenziato la necessità di condividere dati sanitari elettronici che siano reperibili, accessibili, interoperabili e riutilizzabili («principi FAIR») e di garantire che i dati sanitari elettronici siano il più aperti possibile, rispettando al contempo il principio della minimizzazione dei dati quale stabilito nel regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio (5). Dovrebbero essere garantite sinergie tra lo spazio europeo dei dati sanitari, il cloud europeo per la scienza aperta e le infrastrutture europee di ricerca, e si dovrebbe tenendo conto delle esperienze acquisite dalle soluzioni di condivisione dei dati sviluppate nel quadro della piattaforma europea di dati sulla COVID-19.
4) Vista la sensibilità dei dati sanitari elettronici personali, il presente regolamento intende fornire garanzie sufficienti sia a livello dell'Unione sia a livello nazionale per assicurare un elevato livello di protezione, sicurezza, riservatezza e uso etico dei dati. Tali garanzie sono necessarie per promuovere la fiducia nella gestione sicura dei dati sanitari elettronici delle persone fisiche per l'uso primario e per l'uso secondario quali definiti nel presente regolamento.
5) Il trattamento di dati sanitari elettronici personali è soggetto alle disposizioni del regolamento (UE) 2016/679 e, per le istituzioni, gli organi e gli organismi dell'Unione, del regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio (6). I riferimenti alle disposizioni del regolamento (UE) 2016/679 dovrebbero essere intesi anche come riferimenti alle corrispondenti disposizioni del regolamento (UE) 2018/1725 per le istituzioni, gli organi e gli organismi dell'Unione, se del caso.
6) Sono sempre più numerosi gli individui che vivono all'interno dell'Unione e attraversano le frontiere nazionali per lavorare, studiare, visitare i parenti o per altri motivi. Per facilitare lo scambio dei dati sanitari, e in linea con la necessità di dare maggior potere ai cittadini, questi dovrebbero poter accedere ai loro dati sanitari in un formato elettronico che possa essere riconosciuto e accettato in tutta l'Unione. Tali dati sanitari elettronici personali potrebbero includere dati personali relativi alla salute fisica o mentale di una persona fisica, anche relativi all'erogazione di servizi di assistenza sanitaria, e che rivelano informazioni sullo stato di salute di tale persona fisica, dati personali relativi a caratteristiche genetiche ereditarie o acquisite di una persona fisica che forniscono informazioni univoche sulla sua fisiologia o salute e che provengono, in particolare, dall'analisi di un suo campione biologico, e dati sui determinanti della salute, quali il comportamento, le influenze ambientali e fisiche, l'assistenza medica e fattori sociali o educativi. I dati sanitari elettronici includono anche dati che sono stati inizialmente raccolti per la ricerca, le statistiche, la valutazione di minacce sanitarie, la definizione delle politiche o finalità normative e che dovrebbe essere possibile rendere disponibili in conformità delle norme fissate dal presente regolamento. I dati sanitari elettronici riguardano tutte le categorie di questi dati, a prescindere dal fatto che tali dati siano forniti dall'interessato o da altre persone fisiche o giuridiche come i professionisti sanitari, o siano trattati in relazione alla salute o al benessere di una persona fisica e dovrebbero inoltre includere dati desunti o derivati, quali diagnosi, test ed esami medici, nonché i dati osservati e registrati con l'ausilio di strumenti automatizzati.
7) Nei sistemi sanitari, i dati sanitari elettronici personali in genere sono raccolti in cartelle cliniche elettroniche, che solitamente contengono l'anamnesi di una persona fisica, diagnosi e cure, medicinali, allergie e vaccinazioni, nonché immagini radiologiche, risultati di laboratorio e altri dati medici, distribuiti tra i diversi soggetti del sistema sanitario, quali medici di base, ospedali, farmacie o servizi di assistenza. Al fine di consentire l'accesso ai dati sanitari elettronici e la loro condivisione e modifica da parte delle persone fisiche o dei professionisti sanitari, alcuni Stati membri hanno adottato le necessarie misure giuridiche e tecniche e hanno istituito infrastrutture centralizzate che collegano i sistemi di cartelle cliniche elettroniche utilizzati dai prestatori di assistenza sanitaria e dalle persone fisiche. Inoltre, alcuni Stati membri forniscono sostegno a prestatori di assistenza sanitaria pubblici e privati nell'istituzione di spazi di dati sanitari elettronici personali per permettere l'interoperabilità tra diversi prestatori di assistenza sanitaria. Vari Stati membri, inoltre, sostengono o forniscono servizi elettronici di accesso ai dati sanitari per pazienti e professionisti sanitari, ad esempio attraverso portali per i pazienti o i professionisti sanitari. Tali Stati membri hanno inoltre adottato misure intese a garantire che i sistemi di cartelle cliniche elettroniche o le applicazioni per il benessere possano trasmettere dati sanitari elettronici al sistema centrale delle cartelle cliniche elettroniche, ad esempio utilizzando un sistema di certificazione. Tuttavia non tutti gli Stati membri hanno messo in atto tali sistemi, e gli Stati membri che li hanno attuati lo hanno fatto in modo frammentato. Al fine di facilitare la libera circolazione dei dati sanitari elettronici personali in tutta l'Unione ed evitare conseguenze negative per i pazienti quando ricevono assistenza sanitaria in un contesto transfrontaliero, è necessaria l'azione dell'Unione per garantire che le persone fisiche possano accedere più facilmente ai loro dati sanitari elettronici personali e che abbiano la facoltà di condividerli. A tale riguardo, occorre un intervento adeguato a livello dell'Unione e nazionale al fine di ridurre la frammentazione, l'eterogeneità e le divisioni e istituire un sistema di facile utilizzo e intuitivo in tutti gli Stati membri. Qualsiasi trasformazione digitale nel settore dell'assistenza sanitaria dovrebbe mirare a essere inclusiva e apportare benefici anche alle persone fisiche con una capacità limitata di accedere ai servizi digitali e di usufruirne, comprese le persone con disabilità.
8) Il regolamento (UE) 2016/679 contiene disposizioni specifiche sui diritti delle persone fisiche in relazione al trattamento dei loro dati personali. Lo spazio europeo dei dati sanitari si basa su tali diritti e ne integra alcuni là dove sono applicati ai dati sanitari elettronici personali. Tali diritti si applicano indipendentemente dallo Stato membro in cui sono trattati i dati sanitari elettronici personali, dal tipo di prestatore di assistenza sanitaria, dalle fonti dei dati o dallo Stato membro di affiliazione della persona fisica. Le norme e i diritti correlati all'uso primario dei dati sanitari elettronici personali ai sensi del presente regolamento riguardano tutte le categorie di questi dati, a prescindere dalle modalità con cui sono stati raccolti o da chi li ha forniti, dalla base giuridica per il trattamento ai sensi del regolamento (UE) 2016/679 o dallo stato del titolare del trattamento quale organizzazione pubblica o privata. Gli ulteriori diritti di accesso e portabilità dei dati sanitari elettronici personali ai sensi del presente regolamento non dovrebbero pregiudicare i diritti di accesso e portabilità stabiliti a norma del regolamento (UE) 2016/679. Le persone fisiche continuano a godere di tali diritti alle condizioni previste da tale regolamento.
9) Mentre i diritti conferiti dal regolamento (UE) 2016/679 dovrebbero continuare ad applicarsi, il diritto di accedere ai dati da parte di una persona fisica, stabilito nel regolamento (UE) 2016/679, dovrebbe essere ulteriormente integrato nel settore dell'assistenza sanitaria. Ai sensi di tale regolamento, i titolari del trattamento non hanno l'obbligo di fornire l'accesso immediatamente. In molti casi il diritto di accesso ai dati sanitari è tuttora comunemente attuato attraverso la fornitura dei dati sanitari richiesti in formato cartaceo o sotto forma di documenti scansionati, processo che risulta dispendioso in termini di tempo per il titolare del trattamento, come gli ospedali o altri prestatori di assistenza sanitari responsabili dell'accesso. Tale situazione rallenta l'accesso ai dati sanitari da parte delle persone fisiche e può avere un impatto negativo su di loro qualora abbiano bisogno immediatamente di tale accesso a causa di circostanze urgenti dovute alla loro condizione di salute. Pertanto è necessario fornire alle persone fisiche modalità più efficienti per accedere ai loro dati sanitari elettronici personali. Esse dovrebbero avere il diritto di accedere gratuitamente e immediatamente, rispettando la necessità di assicurare la praticabilità tecnologica, alle specifiche categorie prioritarie di dati sanitari elettronici personali, quali il profilo sanitario sintetico del paziente, mediante un servizio di accesso ai dati sanitari elettronici. Tale diritto dovrebbe applicarsi indipendentemente dallo Stato membro in cui sono trattati i dati sanitari elettronici personali, dal tipo di prestatore di assistenza sanitaria, dalle fonti dei dati o dallo Stato membro di affiliazione della persona fisica. La portata di tale diritto complementare stabilito dal presente regolamento e le condizioni per esercitarlo presentano alcune differenze rispetto a quelle relative al diritto di accesso ai dati personali ai sensi del regolamento (UE) 2016/679, che riguarda tutti i dati personali detenuti da un titolare del trattamento ed è esercitato nei confronti di un singolo titolare del trattamento, che ha fino a un mese per rispondere a una richiesta. Il diritto di accesso ai dati sanitari elettronici personali a norma del presente regolamento dovrebbe essere limitato alle categorie di dati che rientrano nel suo ambito di applicazione, essere esercitato tramite un servizio di accesso ai dati sanitari elettronici e comportare una risposta immediata. I diritti di cui al regolamento (UE) 2016/679 dovrebbero continuare ad applicarsi, consentendo alle persone fisiche di beneficiare dei diritti previsti da entrambi i quadri giuridici, in particolare il diritto di ottenere una copia cartacea dei dati sanitari elettronici.
10) E' opportuno considerare che l'accesso immediato delle persone fisiche ad alcune categorie dei propri dati sanitari elettronici personali potrebbe essere dannoso per la loro sicurezza o non etico. Ad esempio potrebbe non essere etico informare un paziente attraverso un canale elettronico in merito alla diagnosi di una malattia incurabile che probabilmente sarà terminale anziché prima comunicare tale informazione in un colloquio con il paziente. Pertanto, in tali situazioni, dovrebbe essere possibile ritardare la fornitura dell'accesso ai dati sanitari elettronici personali per un periodo limitato, ad esempio fino al momento in cui il professionista sanitario possa spiegare la situazione al paziente. Gli Stati membri dovrebbero essere in grado di fissare tale eccezione laddove costituisca una misura necessaria e proporzionata in una società democratica, in linea con le limitazioni previste all'articolo 23 del regolamento (UE) 2016/679.
11) Il presente regolamento non pregiudica le competenze degli Stati membri per quanto riguarda la registrazione iniziale dei dati sanitari elettronici personali, ad esempio subordinando la registrazione dei dati genetici al consenso della persona fisica o ad altre garanzie. Gli Stati membri possono esigere che i dati siano resi disponibili in formato elettronico prima dell'applicazione del presente regolamento. Ciò non dovrebbe pregiudicare l'obbligo di rendere disponibili in formato elettronico i dati sanitari elettronici personali registrati dopo la data di applicazione del presente regolamento.
12) Al fine di integrare le informazioni a loro disposizione, le persone fisiche dovrebbero poter aggiungere dati sanitari elettronici alle loro cartelle cliniche elettroniche o conservare informazioni supplementari nella loro cartella clinica personale separata a cui potrebbero accedere i professionisti sanitari. Tuttavia, le informazioni inserite dalle persone fisiche potrebbero non essere tanto affidabili quanto i dati sanitari elettronici immessi e verificati dai professionisti sanitari e non hanno lo stesso valore clinico o legale delle informazioni fornite da un professionista sanitario. Pertanto i dati aggiunti dalle persone fisiche nelle proprie cartelle cliniche elettroniche dovrebbero essere chiaramente distinguibili dai dati forniti dai professionisti sanitari. La possibilità per le persone fisiche di aggiungere e integrare i dati sanitari elettronici personali non dovrebbe permettere loro di modificare i dati sanitari elettronici personali forniti dai professionisti sanitari.
13) Rendendo possibile alle persone fisiche di accedere più facilmente e rapidamente ai propri dati sanitari elettronici personali si consentirà loro di notare possibili errori quali informazioni errate o cartelle cliniche attribuite erroneamente. In tali casi le persone fisiche dovrebbero poter richiedere online, immediatamente e gratuitamente, la rettifica dei dati sanitari elettronici errati attraverso un servizio di accesso ai dati sanitari elettronici personali. Tali richieste di rettifica dovrebbero successivamente essere eseguite dai pertinenti titolari del trattamento ai sensi del regolamento (UE) 2016/679, se necessario coinvolgendo i professionisti sanitari aventi una specializzazione pertinente e responsabili delle cure della persona fisica.
14) Ai sensi del regolamento (UE) 2016/679 il diritto alla portabilità dei dati è limitato ai dati trattati sulla base del consenso o di un contratto e forniti dall'interessato a un titolare del trattamento. Inoltre, ai sensi dello stesso regolamento, le persone fisiche hanno il diritto di ottenere la trasmissione diretta dei dati personali da un titolare del trattamento all'altro solo se tecnicamente fattibile. Tale regolamento non prevede tuttavia l'obbligo di rendere questa trasmissione diretta tecnicamente fattibile. Il diritto alla portabilità dei dati dovrebbe essere integrato nel quadro del presente regolamento, così da consentire alle persone fisiche di rendere accessibili almeno le categorie prioritarie dei loro dati sanitari elettronici personali ai professionisti sanitari di loro scelta, di scambiarli con questi e di scaricarli. Inoltre, alle persone fisiche dovrebbe essere garantito il diritto di chiedere a un prestatore di assistenza sanitaria la trasmissione di una parte dei loro dati sanitari elettronici a un destinatario chiaramente identificato nel settore della sicurezza sociale o dei servizi di rimborso. Tale trasmissione dovrebbe avvenire in una sola direzione.
15) Il quadro stabilito dal presente regolamento dovrebbe basarsi sul diritto alla portabilità dei dati previsto dal regolamento (UE) 2016/679 garantendo che le persone fisiche, in qualità di interessati, possano trasmettere i loro dati sanitari elettronici personali, compresi i dati desunti, nel formato europeo di scambio delle cartelle cliniche elettroniche, a prescindere dalla base giuridica per il trattamento dei dati sanitari elettronici. I professionisti sanitari dovrebbero astenersi dall'ostacolare l'applicazione dei diritti delle persone fisiche, ad esempio rifiutandosi di tenere conto dei dati sanitari elettronici personali provenienti da un altro Stato membro e forniti tramite il formato europeo di scambio delle cartelle cliniche elettroniche, interoperabile e affidabile.
16) L'accesso alle cartelle cliniche elettroniche da parte dei prestatori di assistenza sanitaria o di altri soggetti dovrebbe essere trasparente per le persone fisiche interessate. I servizi di accesso ai dati sanitari elettronici dovrebbero fornire informazioni dettagliate sugli accessi ai dati, ad esempio quando e quale soggetto o persona fisica ha avuto accesso a quali dati. Le persone fisiche dovrebbero altresì poter consentire o disabilitare le notifiche automatiche relative all'accesso ai dati sanitari elettronici personali che li riguardano tramite i servizi di accesso per professionisti sanitari.
17) E' possibile che le persone fisiche non vogliano concedere l'accesso ad alcune parti dei loro dati sanitari elettronici personali, permettendo al contempo l'accesso ad altre parti. Tale aspetto potrebbe assumere particolare rilevanza in caso di questioni di salute come quelle legate alla salute mentale o sessuale, a procedure sensibili quali l'aborto o a dati su medicinali specifici che potrebbero rivelare altre questioni sensibili. E' pertanto opportuno sostenere e attuare questa condivisione selettiva dei dati sanitari elettronici personali mediante limitazioni stabilite dalla persona fisica interessata con le stesse modalità all'interno del territorio di un dato Stato membro e per la condivisione transfrontaliera dei dati. Tali limitazioni dovrebbero consentire un livello di dettaglio sufficiente a limitare talune parti delle serie di dati, ad esempio componenti dei profili sanitari sintetici dei pazienti. Prima di definire dette limitazioni, le persone fisiche dovrebbero essere informate dei rischi per la sicurezza dei pazienti legati alla limitazione dell'accesso ai dati sanitari. Poiché l'indisponibilità dei dati sanitari elettronici personali soggetti a tali limitazioni può influire sull'erogazione o sulla qualità dei servizi sanitari erogati alla persona fisica, le persone fisiche che si avvalgono delle limitazioni dovrebbero assumersi la responsabilità del fatto che il prestatore di assistenza sanitaria non può tenere conto dei dati al momento dell'erogazione dei servizi sanitari. Le limitazioni all'accesso ai dati sanitari elettronici personali potrebbero mettere a repentaglio la vita delle persone e pertanto è opportuno che sia comunque possibile accedere a tali dati quando ciò è necessario per proteggere gli interessi vitali in situazioni di emergenza. Gli Stati membri potrebbero prevedere nel diritto interno disposizioni giuridiche più specifiche sui meccanismi delle limitazioni poste dalle persone fisiche su parti dei dati sanitari elettronici personali, in particolare per quanto riguarda la responsabilità medica nei casi in cui le persone fisiche interessate abbiano posto limitazioni.
18) Inoltre, a causa delle diverse sensibilità negli Stati membri per quanto riguarda il grado di controllo del paziente sui suoi dati sanitari, gli Stati membri dovrebbero poter prevedere il diritto assoluto di esclusione dall'accesso ai propri dati sanitari elettronici personali da parte di chiunque non sia il titolare del trattamento originario, senza alcuna possibilità di superare tale esclusione in situazioni di emergenza. In tal caso, gli Stati membri dovrebbero stabilire le norme e le garanzie specifiche relative a tali meccanismi di esclusione. Tali norme e garanzie specifiche potrebbero riguardare anche categorie specifiche di dati sanitari elettronici personali, ad esempio i dati genetici. Il diritto di esclusione implica che i dati sanitari elettronici personali relativi alla persona fisica che ne ha fatto uso non sarebbero resi disponibili mediante i servizi istituiti nell'ambito dello spazio europeo dei dati sanitari se non al prestatore di assistenza sanitaria che ha fornito le cure. Gli Stati membri dovrebbero poter richiedere la registrazione e la conservazione dei dati sanitari elettronici personali in un sistema di cartelle cliniche elettroniche utilizzato dal prestatore di assistenza sanitaria che ha fornito i servizi sanitari e che sia accessibile solo a quest'ultimo. Se una persona fisica ha esercitato il diritto di esclusione, i prestatori di assistenza sanitaria continueranno a documentare le cure prestate conformemente alle norme applicabili e potranno accedere ai dati da loro registrati. Le persone fisiche che hanno esercitato il diritto di esclusione dovrebbero poter revocare la loro decisione. In tal caso, i dati sanitari elettronici personali generati durante il periodo di validità dell'esclusione potrebbero non essere disponibili tramite i servizi di accesso e LaMiaSalute@UE (MyHealth@EU).
19) Un accesso tempestivo e completo dei professionisti sanitari alle cartelle cliniche dei pazienti è fondamentale per garantire la continuità dell'assistenza, evitare duplicazioni ed errori e ridurre i costi. Tuttavia, a causa della mancanza di interoperabilità, in molti casi i professionisti sanitari non possono accedere alle cartelle cliniche complete dei loro pazienti e non possono prendere decisioni mediche ottimali per la diagnosi e la cura, il che comporta costi notevoli sia per i sistemi sanitari che per le persone fisiche e può portare a esiti di salute peggiori per le persone fisiche. I dati sanitari elettronici resi disponibili in un formato interoperabile e che possono essere trasmessi tra prestatori di assistenza sanitaria possono anche ridurre l'onere amministrativo per i professionisti sanitari derivante dal dover inserire manualmente o copiare i dati sanitari da un sistema elettronico all'altro. Pertanto i professionisti sanitari dovrebbero essere muniti di mezzi elettronici adeguati, come dispositivi elettronici e portali ad essi dedicati o altri servizi di accesso per i professionisti sanitari, in modo da poter utilizzare i dati sanitari elettronici personali per l'esercizio delle loro funzioni. Poiché è difficile determinare in anticipo e in modo esaustivo quali dati provenienti dalle categorie prioritarie dei dati esistenti siano rilevanti dal punto di vista medico nell'ambito di una specifica prestazione di assistenza, ai professionisti sanitari dovrebbero essere garantito un ampio accesso ai dati. Nell'accedere ai dati relativi ai loro pazienti, i professionisti sanitari dovrebbero rispettare il diritto applicabile, i codici di condotta, gli orientamenti deontologici o altre disposizioni che disciplinano la condotta etica per quanto riguarda la condivisione delle informazioni o l'accesso alle stesse, in particolare in situazioni estreme o che comportino pericolo di morte. Ai sensi del regolamento (UE) 2016/679, al fine di limitare il loro accesso a ciò che è pertinente in una specifica prestazione di assistenza, i prestatori di assistenza sanitaria, nell'accedere ai dati sanitari elettronici personali, dovrebbero applicare il principio della minimizzazione dei dati, limitandosi a consultare i dati strettamente necessari e giustificati per la prestazione di un determinato servizio. La fornitura di servizi di accesso ai professionisti sanitari è un compito attribuito dal presente regolamento nell'interesse pubblico, la cui esecuzione richiede il trattamento dei dati personali ai sensi dell'articolo 6, paragrafo 1, lettera e), del regolamento (UE) 2016/679. Il presente regolamento stabilisce condizioni e garanzie per il trattamento dei dati sanitari elettronici nell'ambito dei servizi di accesso per i professionisti sanitari in conformità dell'articolo 9, paragrafo 2, lettera h), del regolamento (UE) 2016/679, ad esempio disposizioni dettagliate relative alla registrazione degli accessi a dati sanitari elettronici personali e volte a garantire trasparenza per gli interessati. Tuttavia il presente regolamento dovrebbe lasciare impregiudicato il diritto nazionale relativo al trattamento dei dati sanitari per la prestazione di assistenza sanitaria, compreso il diritto nazionale che definisce le categorie di professionisti sanitari che possono trattare differenti categorie di dati sanitari elettronici.
20) Al fine di facilitare l'esercizio dei diritti complementari di accesso e portabilità stabiliti a norma del presente regolamento, gli Stati membri dovrebbero istituire uno o più servizi di accesso ai dati sanitari elettronici. Tali servizi potrebbero essere forniti a livello nazionale, regionale o locale, o dai prestatori di assistenza sanitaria, sotto forma di un portale online per i pazienti, tramite un'applicazione per dispositivi mobili o tramite altri mezzi. Dovrebbero essere progettati in modo accessibile, in particolare per le persone con disabilità. Fornire tale servizio, che consente alle persone fisiche di accedere facilmente ai propri dati sanitari elettronici personali, costituisce un interesse pubblico sostanziale. Il trattamento dei dati sanitari elettronici personali tramite tali servizi è necessario per lo svolgimento del compito attribuito dal presente regolamento ai sensi dell'articolo 6, paragrafo 1, lettera e), e dell'articolo 9, paragrafo 2, lettera g), del regolamento (UE) 2016/679. Il presente regolamento stabilisce le condizioni e le garanzie necessarie per il trattamento dei dati sanitari elettronici nell'ambito dei servizi di accesso ai dati sanitari elettronici, quali l'identificazione elettronica delle persone fisiche che accedono a tali servizi.
21) Le persone fisiche dovrebbero poter fornire un'autorizzazione ad altre persone fisiche di loro scelta, come a parenti o ad altre persone fisiche loro vicine, che permetta a queste persone di loro scelta di accedere ai dati sanitari elettronici personali delle persone fisiche che forniscono l'autorizzazione o di controllarne l'accesso, oppure di utilizzare servizi di sanità digitale per loro conto. Tali autorizzazioni potrebbero anche risultare utili per altri usi alle persone fisiche che ricevono l'autorizzazione. Per consentire e attuare tali autorizzazioni è opportuno che gli Stati membri istituiscano servizi di delega che dovrebbero essere collegati a servizi di accesso ai dati sanitari elettronici personali, quali portali per i pazienti o applicazioni per dispositivi mobili rivolte ai pazienti. I servizi di delega dovrebbero anche permettere ai tutori di agire per conto dei loro tutelati, compresi i minori; in tali situazioni le autorizzazioni potrebbero essere automatiche. Oltre ai servizi di delega, gli Stati membri dovrebbero istituire anche servizi di assistenza facilmente accessibili forniti da personale adeguatamente formato per assistere le persone fisiche nell'esercizio dei propri diritti. Al fine di tenere conto dei casi in cui la visualizzazione, da parte dei tutori, di alcuni dati sanitari elettronici personali dei loro tutelati possa essere contraria agli interessi o alla volontà dei tutelati, compresi i minori, gli Stati membri dovrebbero poter prevedere nel diritto nazionale limitazioni e garanzie, nonché meccanismi per la loro attuazione tecnica. I servizi di accesso ai dati sanitari elettronici personali, quali portali per i pazienti o applicazioni per dispositivi mobili rivolte ai pazienti, dovrebbero utilizzare tali autorizzazioni e consentire così alle persone fisiche autorizzate di accedere ai dati sanitari elettronici personali che rientrano nell'ambito dell'autorizzazione. Al fine di garantire una soluzione orizzontale con una maggiore facilità d'uso, le soluzioni digitali per i servizi di delega dovrebbero essere in linea con il regolamento (UE) n. 910/2014 del Parlamento europeo e del Consiglio (7) e alle specifiche tecniche del portafoglio europeo di identità digitale. Ciò contribuirebbe a ridurre gli oneri amministrativi e finanziari per gli Stati membri, riducendo il rischio di sviluppare sistemi paralleli non interoperabili a livello dell'Unione.
22) In alcuni Stati membri l'assistenza sanitaria è fornita da équipe di gestione delle cure di base, che sono gruppi di professionisti sanitari che si dedicano all'assistenza di base, come i medici di base, che svolgono le loro attività di assistenza sanitaria di base in virtù di un piano sanitario da essi elaborato. In diversi Stati membri esistono anche altri tipi di équipe sanitarie con altre finalità di assistenza. Nell'ambito dell'uso primario nello spazio europeo dei dati sanitari, l'accesso dovrebbe essere fornito ai professionisti sanitari membri di tali équipe.
23) Le autorità di controllo istituite ai sensi del regolamento (UE) 2016/679 sono competenti per monitorare e assicurare l'applicazione di tale regolamento, in particolare per il monitoraggio del trattamento dei dati sanitari elettronici personali e per rispondere a eventuali reclami presentati dalle persone fisiche interessate. Il presente regolamento stabilisce diritti complementari per le persone fisiche in merito all'uso primario, che vanno al di là dei diritti di accesso e portabilità sanciti dal regolamento (UE) 2016/679 e li integrano. Poiché tali ulteriori diritti dovrebbero essere garantiti anche dalle autorità di controllo istituite a norma del regolamento (UE) 2016/679, gli Stati membri dovrebbero provvedere affinché le autorità di controllo siano dotate delle risorse umane e finanziarie, dei locali e delle infrastrutture necessari per l'efficace adempimento di tali compiti aggiuntivi. L'autorità o le autorità di controllo responsabili del monitoraggio e dell'applicazione del trattamento dei dati sanitari elettronici personali per uso primario in conformità del presente regolamento dovrebbero essere competenti a infliggere sanzioni amministrative pecuniarie. Il sistema giudiziario della Danimarca non consente l'irrogazione di sanzioni amministrative pecuniarie come previsto dal presente regolamento. In Danimarca le norme relative alle sanzioni amministrative pecuniarie possono essere applicate in modo tale che la sanzione pecuniaria sia inflitta dalle competenti autorità giurisdizionali nazionali quale sanzione penale, purché l'applicazione di tali norme abbia effetto equivalente alle sanzioni amministrative pecuniarie irrogate dalle autorità di controllo. In ogni caso, le sanzioni pecuniarie irrogate dovrebbero essere effettive, proporzionate e dissuasive.
24) Nell'applicare il presente regolamento gli Stati membri dovrebbero adoperarsi per aderire a principi etici, quali i principi etici europei dell'etica per la salute digitale adottati dalla rete eHealth il 26 gennaio 2022 e il principio di riservatezza tra i professionisti sanitari e i pazienti. Riconoscendo l'importanza dei principi etici, i principi europei dell'etica della sanità digitale forniscono orientamenti rivolti a professionisti, ricercatori, innovatori, responsabili politici e autorità di regolamentazione.
25) La pertinenza delle diverse categorie di dati sanitari elettronici varia a seconda dei differenti scenari di assistenza sanitaria. Le diverse categorie di dati hanno inoltre conseguito livelli di maturità differenti in termini di normazione, e quindi l'attuazione di meccanismi per il loro scambio può essere più o meno complessa a seconda della categoria. Pertanto il miglioramento dell'interoperabilità e della condivisione dei dati dovrebbe essere graduale ed è necessario definire l'ordine di priorità di alcune categorie di dati sanitari elettronici. Le categorie di dati sanitari elettronici quali profili sanitari sintetici dei pazienti, prescrizioni elettroniche, dispensazioni elettroniche, esami diagnostici per immagini e relativi referti di immagini, risultati degli esami medici come risultati di laboratorio e relativi referti, e lettere di dimissione sono state selezionate dalla rete di assistenza sanitaria online come le più pertinenti per la maggior parte delle situazioni di assistenza sanitaria e gli Stati membri dovrebbero considerarle come categorie prioritarie per garantire l'accesso a esse e la loro trasmissione. Qualora tali categorie prioritarie di dati rappresentino gruppi di dati sanitari elettronici, il presente regolamento dovrebbe applicarsi sia agli interi gruppi sia alle singole voci di dati che rientrano in tali gruppi. Ad esempio, poiché lo status vaccinale fa parte del profilo sanitario sintetico del paziente, i diritti e i requisiti connessi a tale profilo dovrebbero applicarsi anche allo status vaccinale, anche se questo è trattato separatamente dal profilo sanitario sintetico del paziente nella sua interezza. Qualora siano individuate ulteriori necessità di scambiare categorie aggiuntive di dati sanitari elettronici per finalità di assistenza sanitaria, l'accesso a tali categorie aggiuntive e il relativo scambio dovrebbero essere possibili a norma del presente regolamento. Le categorie aggiuntive dovrebbero essere definite in sede di attuazione in primo luogo a livello di Stato membro e lo scambio su base volontaria di dati rientranti in tali categorie in situazioni transfrontaliere tra gli Stati membri cooperanti dovrebbe essere previsto dal presente regolamento. Si dovrebbe prestare particolare attenzione allo scambio di dati nelle regioni frontaliere di Stati membri confinanti dove l'erogazione di servizi sanitari transfrontalieri è più frequente e richiede procedure anche più rapide rispetto a quelle necessarie nell'Unione in generale.
26) Il livello di disponibilità dei dati sanitari e genetici personali in un formato elettronico varia a seconda degli Stati membri. Lo spazio europeo dei dati sanitari dovrebbe facilitare alle persone fisiche la possibilità di disporre di tali dati in formato elettronico e di avere un migliore controllo sull'accesso ai loro dati sanitari elettronici personali e sulla condivisione degli stessi. Ciò contribuirebbe anche al conseguimento dell'obiettivo di garantire che entro il 2030 il 100 % dei cittadini dell'Unione abbia accesso alle proprie cartelle cliniche elettroniche, come indicato nella decisione (UE) 2022/2481 del Parlamento europeo e del Consiglio (8). Al fine di rendere i dati sanitari elettronici disponibili e trasmissibili, è opportuno che l'accesso a tali dati e la loro trasmissione avvengano in un formato europeo di scambio delle cartelle cliniche elettroniche comune e interoperabile, almeno per determinate categorie di dati sanitari elettronici, quali i profili sanitari sintetici dei pazienti, le prescrizioni e le dispensazioni elettroniche, gli esami diagnostici per immagini e relativi referti di immagini, i risultati degli esami medici e le lettere di dimissione, prevedendo periodi di transizione. Laddove i dati sanitari elettronici personali siano messi a disposizione di un prestatore di assistenza sanitaria o di una farmacia da una persona fisica o siano trasmessi da un altro titolare del trattamento nel formato europeo di scambio delle cartelle cliniche elettroniche, il formato dovrebbe essere accettato, e il destinatario dovrebbe essere in grado di leggere e utilizzare tali dati, ai fini della prestazione di assistenza sanitaria o della dispensazione di un medicinale, sostenendo così l'erogazione dei servizi di assistenza sanitaria o la dispensazione della prescrizione elettronica. Il formato europeo di scambio delle cartelle cliniche elettroniche dovrebbe essere concepito in modo da facilitare, nella misura del possibile, la traduzione dei dati sanitari elettronici comunicati mediante tale formato nelle lingue ufficiali dell'Unione. La raccomandazione (UE) 2019/243 della Commissione (9) pone le basi di tale formato europeo comune di scambio delle cartelle cliniche elettroniche. L'interoperabilità dello spazio europeo dei dati sanitari dovrebbe contribuire a disporre di serie di dati sanitari europei di elevata qualità. L'uso del formato europeo di scambio delle cartelle cliniche elettroniche dovrebbe essere maggiormente ampliato a livello di Unione e nazionale. Il formato europeo di scambio delle cartelle cliniche elettroniche potrebbe accettare profili diversi per il suo utilizzo a livello dei sistemi di cartelle cliniche elettroniche e a livello dei punti di contatto nazionali per la sanità digitale in LaMiaSalute@UE (MyHealth@EU) per lo scambio transfrontaliero di dati.
27) Sebbene i sistemi di cartelle cliniche elettroniche siano ampiamente diffusi, il livello di digitalizzazione dei dati sanitari varia negli Stati membri a seconda delle categorie di dati e della copertura dei prestatori di assistenza sanitaria che registrano i dati sanitari in formato elettronico. Al fine di sostenere l'attuazione dei diritti degli interessati di accedere ai dati sanitari elettronici e di scambiarli, è necessaria l'azione dell'Unione per evitare un'ulteriore frammentazione. Onde contribuire a un'elevata qualità e alla continuità dell'assistenza sanitaria, determinate categorie di dati sanitari dovrebbero essere registrate sistematicamente in formato elettronico e secondo specifiche prescrizioni in materia di qualità dei dati. Il formato europeo di scambio delle cartelle cliniche elettroniche dovrebbe costituire la base per le specifiche relative alla registrazione e allo scambio dei dati sanitari elettronici.
28) La telemedicina sta diventando uno strumento sempre più importante in grado di fornire ai pazienti l'accesso all'assistenza e fare fronte alle disuguaglianze. Essa ha il potenziale di ridurre le disuguaglianze sanitarie e rafforzare la libera circolazione dei cittadini dell'Unione a livello transfrontaliero. Gli strumenti digitali e altri strumenti tecnologici possono agevolare la fornitura dell'assistenza nelle regioni remote. Quando i servizi digitali accompagnano l'erogazione fisica di un servizio di assistenza sanitaria, il servizio digitale dovrebbe essere considerato parte integrante dell'intera prestazione di assistenza. Ai sensi dell'articolo 168 del trattato sul funzionamento dell'Unione europea (TFUE), gli Stati membri sono responsabili della loro politica sanitaria, in particolare dell'organizzazione e dell'erogazione dei servizi sanitari e dell'assistenza medica, inclusa la regolamentazione di attività quali farmacie online, la telemedicina e altri servizi che forniscono e rimborsano, conformemente alla legislazione nazionale. Le diverse politiche in materia di assistenza sanitaria non dovrebbero tuttavia costituire un ostacolo alla libera circolazione dei dati sanitari elettronici nell'ambito dell'assistenza sanitaria transfrontaliera, ad esempio la telemedicina e i servizi farmaceutici online.
29) Il regolamento (UE) n. 910/2014 stabilisce le condizioni alle quali gli Stati membri effettuano l'identificazione delle persone fisiche in situazioni transfrontaliere utilizzando mezzi di identificazione elettronica rilasciati da un altro Stato membro, stabilendo norme per il riconoscimento reciproco di tali mezzi di identificazione elettronica. Lo spazio europeo dei dati sanitari richiede un accesso sicuro ai dati sanitari elettronici, anche in situazioni transfrontaliere. I servizi di accesso ai dati sanitari elettronici e i servizi di telemedicina dovrebbero consentire alle persone fisiche di esercitare i propri diritti indipendentemente dal loro Stato membro di affiliazione e dovrebbero pertanto supportare l'identificazione delle persone fisiche mediante qualsiasi mezzo di identificazione elettronica riconosciuto a norma del regolamento (UE) n. 910/2014. Tenendo presenti le possibili sfide per quanto riguarda la corrispondenza dell'identità in situazioni transfrontaliere, gli Stati membri di trattamento potrebbero dover approntare meccanismi supplementari di accesso, come token o codici di accesso, alle persone fisiche che arrivano da altri Stati membri e che ricevono assistenza sanitaria. Alla Commissione dovrebbe essere conferito il potere di adottare atti di esecuzione per definire i requisiti per l'identificazione e l'autenticazione interoperabili a livello transfrontaliero delle persone fisiche e dei professionisti sanitari, compresi eventuali meccanismi complementari che siano necessari per garantire che le persone fisiche possano esercitare i loro diritti sui dati sanitari elettronici personali in situazioni transfrontaliere.
30) Gli Stati membri dovrebbero designare autorità di sanità digitale competenti per la pianificazione e l'attuazione di norme per l'accesso ai dati sanitari elettronici e per la loro trasmissione, nonché per l'applicazione dei diritti delle persone fisiche e dei professionisti sanitari, sotto forma di autorità separate o come parte di autorità già esistenti. Il personale delle autorità di sanità digitale non dovrebbero avere interessi finanziari o di altro tipo nei settori o nelle attività economiche che possano compromettere la loro imparzialità. Nella maggior parte degli Stati membri esistono già autorità di sanità digitale che si occupano di cartelle cliniche elettroniche, interoperabilità, sicurezza o normazione. Nello svolgimento dei loro compiti, le autorità di sanità digitale dovrebbero cooperare in particolare con le autorità di controllo istituite a norma del regolamento (UE) 2016/679 e con gli organismi di vigilanza istituiti a norma del regolamento (UE) n. 910/2014. Le autorità di sanità digitale possono inoltre cooperare con il comitato europeo per l'intelligenza artificiale istituito dal regolamento (UE) 2024/1689 del Parlamento europeo e del Consiglio (10), il gruppo di coordinamento per i dispositivi medici istituito dal regolamento (UE) 2017/745 del Parlamento europeo e del Consiglio (11), il comitato europeo per l'innovazione in materia di dati istituito a norma del regolamento (UE) 2022/868 del Parlamento europeo e del Consiglio (12) e le autorità competenti ai sensi del regolamento (UE) 2023/2854 del Parlamento europeo e del Consiglio (13).Gli Stati membri dovrebbero facilitare la partecipazione di soggetti nazionali alla cooperazione a livello di Unione, convogliando le competenze e fornendo consulenza sulla concezione di soluzioni necessarie al conseguimento degli obiettivi dello spazio europeo dei dati sanitari.
31) Fatto salvo ogni altro ricorso amministrativo o extragiudiziale, ogni persona fisica o giuridica dovrebbe avere il diritto di proporre un ricorso giurisdizionale effettivo avverso una decisione giuridicamente vincolante di un'autorità di sanità digitale che la riguarda o qualora un'autorità di sanità digitale non tratti un reclamo o non informi la persona fisica o giuridica entro tre mesi dello stato o dell'esito del reclamo. I procedimenti contro un'autorità di sanità digitale dovrebbero essere intentati dinanzi a un tribunale degli Stati membri in cui è stabilita l'autorità di sanità digitale.
32) Le autorità di sanità digitale dovrebbero avere competenze tecniche sufficienti, riunendo possibilmente esperti di differenti organizzazioni. Le attività di tali autorità dovrebbero essere ben pianificate e monitorate al fine di garantirne l'efficienza. Le autorità di sanità digitale dovrebbero adottare le misure necessarie per proteggere i diritti delle persone fisiche mettendo a punto soluzioni tecniche nazionali, regionali e locali quali cartelle cliniche elettroniche nazionali, soluzioni di intermediazione e portali per i pazienti. E' opportuno che, nell'adottare tali misure di protezione necessarie, le autorità sanitarie digitali applichino norme e specifiche comuni in tali soluzioni, promuovano l'applicazione delle norme e delle specifiche negli appalti e utilizzino altri mezzi innovativi come il rimborso di soluzioni conformi alle prescrizioni in materia di interoperabilità e sicurezza dello spazio europeo dei dati sanitari. Gli Stati membri dovrebbero provvedere affinché siano intraprese opportune iniziative di formazione. In particolare, i professionisti sanitari dovrebbero essere informati e formati per quanto riguarda i loro diritti e obblighi ai sensi del presente regolamento. Per eseguire tali compiti, le autorità di sanità digitale dovrebbero cooperare a livello di Unione e nazionale con altri soggetti, tra cui compagnie assicurative, prestatori di assistenza sanitaria, professionisti sanitari, fabbricanti di sistemi di cartelle cliniche elettroniche e di applicazioni per il benessere, nonché con altri portatori di interessi del settore sanitario o informatico, soggetti che gestiscono regimi di rimborso, organismi di valutazione della tecnologia sanitaria, autorità e agenzie di regolamentazione dei medicinali, autorità competenti sui dispositivi medici, committenti e autorità di cibersicurezza o di identificazione elettronica.
33) L'accesso ai dati sanitari elettronici e la loro trasmissione sono pertinenti in situazioni di assistenza sanitaria transfrontaliera, poiché possono sostenere la continuità dell'assistenza sanitaria quando le persone fisiche viaggiano in altri Stati membri o cambiano luogo di residenza. La continuità dell'assistenza e il rapido accesso ai dati sanitari elettronici personali sono ancora più importanti per i residenti delle regioni frontaliere che attraversano spesso i confini per ricevere assistenza sanitaria. In molte regioni frontaliere alcuni servizi specializzati di assistenza sanitaria potrebbero essere disponibili in luoghi più vicini oltre frontiera che nello stesso Stato membro. E' necessaria un'infrastruttura per la trasmissione transfrontaliera di dati sanitari elettronici personali per il caso in cui in cui una persona fisica utilizzi i servizi di un prestatore di assistenza sanitaria stabilito in un altro Stato membro. E' opportuno prendere in considerazione la graduale espansione di tale infrastruttura e il suo finanziamento. A tal fine, nel quadro delle azioni volte al conseguimento degli obiettivi della direttiva 2011/24/UE del Parlamento europeo e del Consiglio (14) è stata istituita un'infrastruttura volontaria denominata LaMiaSalute@UE (MyHealth@EU)]. Attraverso LaMiaSalute@UE (MyHealth@EU) gli Stati membri hanno iniziato a offrire alle persone fisiche la possibilità di condividere i loro dati sanitari elettronici personali con prestatori di assistenza sanitaria in occasione di viaggi all'estero. Sulla scorta di questa esperienza, la partecipazione degli Stati membri a LaMiaSalute@UE (MyHealth@EU) quale stabilita dal presente regolamento dovrebbe essere obbligatoria. Le specifiche tecniche per LaMiaSalute@UE (MyHealth@EU) dovrebbero consentire lo scambio di categorie prioritarie di dati sanitari elettronici e di categorie aggiuntive supportate dal formato europeo di scambio delle cartelle cliniche elettroniche. Tali specifiche dovrebbero essere definite mediante atti di esecuzione e dovrebbero basarsi sulle specifiche transfrontaliere del formato europeo di scambio delle cartelle cliniche elettroniche, integrate da ulteriori specifiche in materia di cibersicurezza, interoperabilità tecnica e semantica, gestione delle operazioni e dei servizi. Gli Stati membri dovrebbero essere tenuti ad aderire a LaMiaSalute@UE (MyHealth@EU), rispettarne le specifiche tecniche e provvedere al collegamento di prestatori di assistenza sanitaria, comprese le farmacie, in quanto ciò è necessario per consentire alle persone fisiche di esercitare i propri diritti ai sensi dal presente regolamento ad accedere ai propri dati sanitari elettronici personali e a utilizzarli indipendentemente dallo Stato membro in cui si trovano.
34) LaMiaSalute@UE (MyHealth@EU) fornisce un'infrastruttura comune agli Stati membri per garantire la connettività e l'interoperabilità in modo efficiente e sicuro per sostenere l'assistenza sanitaria transfrontaliera, senza pregiudicare le responsabilità degli Stati membri prima e dopo la trasmissione dei dati sanitari elettronici personali tramite tale infrastruttura. Agli Stati membri compete l'organizzazione dei loro punti di contatto nazionali per la sanità digitale e il trattamento dei dati personali ai fini della prestazione di assistenza sanitaria prima e dopo la trasmissione di tali dati tramite LaMiaSalute@UE (MyHealth@EU). La Commissione dovrebbe monitorare mediante controlli di conformità la conformità dei punti di contatto nazionali per la sanità digitale alle prescrizioni necessarie relative agli sviluppi tecnici di LaMiaSalute@UE (MyHealth@EU), nonché alle norme dettagliate riguardanti la sicurezza, la riservatezza e la protezione dei dati sanitari elettronici personali. In caso di grave inosservanza da parte di un punto di contatto nazionale per la sanità digitale, la Commissione dovrebbe poter sospendere i servizi interessati da tale inosservanza forniti da tale punto di contatto nazionale per la sanità digitale. La Commissione dovrebbe agire in qualità di responsabile del trattamento per conto degli Stati membri all'interno di LaMiaSalute@UE (MyHealth@EU) e fornire servizi centrali per quest'ultima. Al fine di assicurare la conformità alle norme in materia di protezione dei dati e di fornire un quadro per la gestione del rischio per la trasmissione dei dati sanitari elettronici personali, le responsabilità specifiche degli Stati membri, in qualità di contitolari del trattamento, e gli obblighi della Commissione, in qualità di responsabile del trattamento per loro conto, dovrebbero essere stabiliti mediante atti di esecuzione. Ogni Stato membro è il responsabile esclusivo dei dati e dei servizi sul proprio territorio. Il presente regolamento costituisce la base giuridica per il trattamento dei dati sanitari elettronici personali in LaMiaSalute@UE (MyHealth@EU) quale compito svolto nell'interesse pubblico assegnato dal diritto dell'Unione ai sensi dell'articolo 6, paragrafo 1, lettera e), del regolamento (UE) 2016/679. Tale trattamento è necessario per la prestazione di assistenza sanitaria in situazioni transfrontaliere, come indicato all'articolo 9, paragrafo 2, lettera h), di tale regolamento.
35) Oltre ai servizi presenti in LaMiaSalute@UE (MyHealth@EU) per lo scambio di dati sanitari elettronici personali sulla base del formato europeo di scambio delle cartelle cliniche elettroniche, potrebbero essere necessari altri servizi o infrastrutture supplementari, ad esempio nei casi di emergenze di sanità pubblica o quando l'architettura di LaMiaSalute@UE (MyHealth@EU) non è idonea per l'attuazione di alcuni casi d'uso. Esempi di tali casi d'uso includono il supporto delle funzionalità del libretto delle vaccinazioni, compreso lo scambio di informazioni sui piani vaccinali, o la verifica dei certificati di vaccinazione o di altri certificati collegati alla salute. Tali casi d'uso aggiuntivi sarebbero importanti anche per l'introduzione di ulteriori funzionalità per la gestione di crisi di sanità pubblica, come il supporto del tracciamento dei contatti ai fini del contenimento delle malattie infettive. LaMiaSalute@UE (MyHealth@EU) dovrebbe sostenere gli scambi di dati sanitari elettronici personali con i punti di contatto nazionali per la sanità digitale dei paesi terzi interessati e i sistemi istituiti a livello internazionale da organizzazioni internazionali per contribuire alla continuità dell'assistenza sanitaria. Ciò è particolarmente importante per gli individui che viaggiano da e verso paesi terzi limitrofi, paesi candidati e paesi e territori d'oltremare associati. Il collegamento di tali punti di contatto nazionali per la sanità digitale di paesi terzi LaMiaSalute@UE (MyHealth@EU) e l'interoperabilità con sistemi digitali istituiti a livello internazionale da organizzazioni internazionali dovrebbero essere oggetto di un controllo che garantisca la conformità di tali punti di contatto e sistemi digitali alle specifiche tecniche, alle norme in materia di protezione dei dati e ad altre prescrizioni di LaMiaSalute@UE (MyHealth@EU). Inoltre, dato che il collegamento a LaMiaSalute@UE (MyHealth@EU) comporterà il trasferimento di dati sanitari elettronici personali verso paesi terzi, come la condivisione di un profilo sanitario sintetico del paziente quando il paziente chiede assistenza in tale paese terzo, dovrebbero essere predisposti i pertinenti strumenti di trasferimento nell'ambito del capo V del regolamento (UE) 2016/679. Alla Commissione dovrebbe essere conferito il potere di adottare atti di esecuzione per agevolare il collegamento di tali punti di contatto nazionali per la sanità digitale di paesi terzi e sistemi istituiti a livello internazionale da organizzazioni internazionali a LaMiaSalute@UE (MyHealth@EU). Nella preparazione di tali atti di esecuzione la Commissione dovrebbe tenere conto degli interessi di sicurezza nazionale degli Stati membri.
36) Al fine di consentire lo scambio continuo di dati sanitari elettronici e garantire il rispetto dei diritti delle persone fisiche e dei professionisti sanitari, i sistemi di cartelle cliniche elettroniche commercializzati nel mercato interno dovrebbero essere in grado di conservare e trasmettere, in modo sicuro, dati sanitari elettronici di alta qualità. Si tratta di un obiettivo essenziale dello spazio europeo dei dati sanitari per garantire la libera e sicura circolazione dei dati sanitari elettronici nell'Unione. A tal fine dovrebbe essere istituito un sistema di autovalutazione obbligatoria della conformità per i sistemi di cartelle cliniche elettroniche che trattano una o più categorie prioritarie di dati sanitari elettronici per superare la frammentazione del mercato garantendo al contempo un approccio proporzionato. Attraverso l'autovalutazione i sistemi di cartelle cliniche elettroniche dimostreranno la conformità alle prescrizioni in materia di interoperabilità, sicurezza e registrazione per la comunicazione di dati sanitari elettronici personali stabiliti dai due componenti software obbligatori delle cartelle cliniche elettroniche armonizzate dal presente regolamento, vale a dire il «componente software europeo di interoperabilità dei sistemi di cartelle cliniche elettroniche» e il «componente software europeo di registrazione dei sistemi di cartelle cliniche elettroniche». I due componenti software armonizzati dei sistemi di cartelle cliniche elettroniche sono incentrati principalmente sulla trasformazione dei dati, anche se possono comportare la necessità di requisiti indiretti per il registro e la presentazione dei dati nei sistemi di cartelle cliniche elettroniche. Le specifiche tecniche per i componenti software armonizzati dei sistemi di cartelle cliniche elettroniche dovrebbero essere definite mediante atti di esecuzione e basarsi sull'uso del formato europeo di scambio delle cartelle cliniche elettroniche. I componenti software armonizzati dei sistemi di cartelle cliniche elettroniche dovrebbero essere progettati per essere riutilizzabili e integrati senza soluzione di continuità con altri componenti all'interno di un sistema software più ampio. Le prescrizioni in materia di sicurezza dei componenti software armonizzati dei sistemi di cartelle cliniche elettroniche dovrebbero riguardare elementi specifici dei sistemi di cartelle cliniche elettroniche, poiché le proprietà di sicurezza più generali dovrebbero essere garantite da altri meccanismi come quelli nell'ambito del regolamento (UE) 2024/2847 del Parlamento europeo e del Consiglio (15). A sostegno di tale processo, è opportuno istituire ambienti di prova digitali europei che forniscano strumenti automatizzati per verificare se il funzionamento dei componenti software armonizzati di un sistema di cartelle cliniche elettroniche sia conforme alle prescrizioni del presente regolamento. A tal fine alla Commissione dovrebbero essere conferite competenze di esecuzione per determinare le specifiche comuni relative a tali ambienti. La Commissione dovrebbe sviluppare il software necessario per gli ambienti di prova e renderlo disponibile come open source. Gli Stati membri dovrebbero essere responsabili per la gestione degli ambienti di prova digitali, in quanto sono più vicini ai fabbricanti e in una posizione migliore per sostenerli. I fabbricanti dovrebbero utilizzare tali ambienti di prova digitali per testare i loro prodotti prima di immetterli sul mercato, pur continuando ad assumersi la piena responsabilità della conformità dei loro prodotti. I risultati della prova dovrebbero far parte della documentazione tecnica del prodotto. Qualora il sistema di cartelle cliniche elettroniche o una sua parte sia conforme alle norme europee o alle specifiche comuni, nella documentazione tecnica dovrebbe essere altresì indicato l'elenco delle norme europee e delle specifiche comuni pertinenti. Per favorire la comparabilità dei sistemi di cartelle cliniche elettroniche, la Commissione dovrebbe elaborare un modello uniforme per la documentazione tecnica che accompagna tali sistemi.
37) I sistemi di cartelle cliniche elettroniche dovrebbero essere accompagnati da una scheda informativa contenente informazioni per gli utenti professionali e da istruzioni per l'uso chiare e complete, anche in formati accessibili per le persone con disabilità. Se un sistema di cartelle cliniche elettroniche non è accompagnato da tale scheda informativa, il fabbricante del sistema di cartelle cliniche elettroniche interessato, il suo rappresentante autorizzato e tutti gli altri operatori economici pertinenti dovrebbero essere tenuti ad aggiungere al sistema di cartelle cliniche elettroniche la scheda informativa e le istruzioni per l'uso in questione.
38) Mentre i sistemi di cartelle cliniche elettroniche specificamente previsti dai fabbricanti per essere utilizzati per il trattamento di una o più categorie specifiche di dati sanitari elettronici dovrebbero essere soggetti a un'autocertificazione obbligatoria, i software di tipo generico non dovrebbero essere considerati sistemi di cartelle cliniche elettroniche, anche quando sono utilizzati in contesti di assistenza sanitaria, e pertanto non dovrebbero essere tenuti a rispettare il presente regolamento. Si tratta di casi quali il software di elaborazione testuale utilizzato per redigere relazioni che diventerebbero poi parte di cartelle cliniche elettroniche scritte, middleware di uso generale o software di gestione delle banche dati utilizzato come parte di soluzioni di archiviazione dati.
39) Il presente regolamento impone un sistema obbligatorio di autovalutazione della conformità per i componenti armonizzati software dei sistemi di cartelle cliniche elettroniche, al fine di garantire che i sistemi di cartelle cliniche elettroniche immessi sul mercato dell'Unione siano in grado di scambiare dati nel formato europeo di scambio delle cartelle cliniche elettroniche e che dispongano delle capacità di registrazione richieste. Tale sistema obbligatorio di autovalutazione della conformità, nella forma di una dichiarazione UE di conformità da parte del produttore, dovrebbe garantire che tali prescrizioni siano rispettate in modo proporzionato, evitando un onere eccessivo agli Stati membri e ai produttori.
40) I fabbricanti dovrebbero apporre, sui documenti che accompagnano il sistema di cartelle cliniche elettroniche e, se del caso, sull'imballaggio una marcatura CE di conformità che indichi che il sistema di cartelle cliniche elettroniche è conforme al presente regolamento e, relativamente agli aspetti non disciplinati dal presente regolamento, con altro diritto dell'Unione applicabile che prescrive l'apposizione di tale marcatura. Gli Stati membri dovrebbero avvalersi dei meccanismi esistenti per garantire un'applicazione corretta delle disposizioni sulla marcatura CE di conformità a norma del pertinente diritto dell'Unione e dovrebbero adottare le opportune misure in caso di uso improprio della marcatura.
41) Gli Stati membri dovrebbero mantenere la competenza di definire i requisiti relativi a qualsiasi altro componente software dei sistemi di cartelle cliniche elettroniche e i termini e le condizioni per la connessione dei prestatori di assistenza sanitaria alle rispettive infrastrutture nazionali, che potrebbero essere oggetto di una valutazione da parte di terzi a livello nazionale. Al fine di agevolare il buon funzionamento del mercato interno dei sistemi di cartelle cliniche elettroniche, dei prodotti sanitari digitali e dei servizi associati, è necessario garantire la massima trasparenza possibile per quanto riguarda il diritto nazionale che stabilisce prescrizioni per i sistemi di cartelle cliniche elettroniche e le disposizioni sulla loro valutazione della conformità in relazione ad aspetti diversi dalle componenti software armonizzate dei sistemi di cartelle cliniche elettroniche. Gli Stati membri dovrebbero pertanto informare la Commissione di tali prescrizioni nazionali affinché questa disponga delle informazioni necessarie per garantire che non influenzino negativamente i componenti software armonizzati dei sistemi di cartelle cliniche elettroniche.
42) Alcuni componenti software di sistemi di cartelle cliniche elettroniche potrebbero essere considerati dispositivi medici a norma del regolamento (UE) 2017/745 o dispositivi medico-diagnostici in vitro a norma del regolamento (UE) 2017/746 del Parlamento europeo e del Consiglio (16). I software o moduli di software che rientrano nella definizione di dispositivo medico, di dispositivo medico-diagnostico in vitro o di sistema di intelligenza artificiale (IA) considerati ad alto rischio («sistema di IA ad alto rischio») dovrebbero essere certificati in conformità dei regolamenti (UE) 2017/745, (UE) 2017/746 e (UE) 2024/1689, a seconda dei casi. Sebbene tali prodotti debbano soddisfare le prescrizioni del rispettivo regolamento che disciplina tali prodotti, gli Stati membri dovrebbero adottare misure adeguate per garantire che la rispettiva valutazione della conformità sia effettuata come procedura congiunta o coordinata al fine di limitare l'onere amministrativo sui fabbricanti e altri operatori economici. Le prescrizioni essenziali in materia di interoperabilità del presente regolamento dovrebbero applicarsi solo nella misura in cui il fabbricante di un dispositivo medico, di un dispositivo medico-diagnostico in vitro o di un sistema di IA ad alto rischio che fornisce dati sanitari elettronici da trattare come parte di un sistema di cartelle cliniche elettroniche dichiari l'interoperabilità con tale sistema. In tal caso le disposizioni sulle specifiche comuni per i sistemi di cartelle cliniche elettroniche dovrebbero essere applicabili a tali dispositivi medici, dispositivi medico-diagnostici in vitro e sistemi di IA ad alto rischio.
43) Per sostenere ulteriormente l'interoperabilità e la sicurezza, gli Stati membri dovrebbero poter mantenere o definire norme specifiche per l'appalto, il rimborso o il finanziamento di sistemi di cartelle cliniche elettroniche a livello nazionale nel contesto dell'organizzazione, dell'erogazione o del finanziamento di servizi sanitari. Tali norme specifiche non dovrebbero ostacolare la libera circolazione dei sistemi di cartelle cliniche elettroniche nell'Unione. Alcuni Stati membri hanno introdotto la certificazione obbligatoria dei sistemi di cartelle cliniche elettroniche o un test di interoperabilità obbligatorio per il loro collegamento ai servizi nazionali di sanità digitale. Tali prescrizioni solitamente si riflettono negli appalti organizzati da prestatori di assistenza sanitaria e autorità nazionali o regionali. La certificazione obbligatoria dei sistemi di cartelle cliniche elettroniche a livello di Unione dovrebbe stabilire uno scenario di base che può essere utilizzato nelle procedure di appalto a livello nazionale.
44) Al fine di garantire l'effettivo esercizio da parte dei pazienti dei loro diritti ai sensi del presente regolamento, i prestatori di assistenza sanitaria che sviluppano e utilizzano «internamente» un sistema di cartelle cliniche elettroniche per eseguire attività interne senza immetterlo sul mercato in cambio di un pagamento o una remunerazione dovrebbero comunque rispettare il presente regolamento. In tale contesto i prestatori di assistenza sanitaria in questione dovrebbero rispettare tutte le prescrizioni applicabili ai fabbricanti per quanto riguarda i sistemi di cartelle cliniche elettroniche sviluppati «internamente» e che i prestatori di assistenza sanitaria mettono in servizio. Tuttavia, poiché i prestatori di assistenza sanitaria potrebbero aver bisogno di più tempo per prepararsi al fine di conformarsi al presente regolamento, tali prescrizioni dovrebbero applicarsi a detti sistemi solo dopo un periodo transitorio prolungato.
45) Occorre prevedere una divisione chiara e proporzionata degli obblighi corrispondenti al ruolo di ciascun operatore economico nel processo di fornitura e di distribuzione dei sistemi di cartelle cliniche elettroniche. Gli operatori economici dovrebbero essere responsabili della conformità in relazione ai rispettivi ruoli in tale processo e dovrebbero garantire di mettere a disposizione sul mercato solo sistemi di cartelle cliniche elettroniche che rispettano le prescrizioni pertinenti.
46) La conformità alle prescrizioni essenziali in materia di interoperabilità e sicurezza dovrebbe essere dimostrata dai fabbricanti di sistemi di cartelle cliniche elettroniche attraverso l'attuazione di specifiche comuni. A tal fine alla Commissione dovrebbero essere conferite competenze di esecuzione per determinare tali specifiche comuni relative a serie di dati, sistemi di codifica, specifiche tecniche, norme, specifiche e profili per lo scambio di dati, nonché prescrizioni e principi collegati alla sicurezza dei pazienti e alla riservatezza, all'integrità e alla protezione dei dati personali, e specifiche e prescrizioni relative alla gestione dell'identificazione e all'uso dell'identificazione elettronica. Le autorità di sanità digitale dovrebbero contribuire allo sviluppo di tali specifiche comuni. Ove applicabile, tali specifiche comuni dovrebbero basarsi sulle norme armonizzate esistenti per i componenti software armonizzati dei sistemi di cartelle cliniche elettroniche ed essere compatibili con il diritto settoriale. Le specifiche comuni, qualora abbiano particolare importanza in relazione alle prescrizioni in materia di protezione dei dati personali per i sistemi di cartelle cliniche elettroniche, dovrebbero essere soggette a consultazione con il comitato europeo per la protezione dei dati (European Data Protection Board - EDPB) e il Garante europeo della protezione dei dati (GEPD) prima della loro adozione, ai sensi dell'articolo 42, paragrafo 2, del regolamento (UE) 2018/1725.
47) Al fine di garantire un'applicazione adeguata ed efficace delle prescrizioni e degli obblighi di cui al presente regolamento, è opportuno che si applichi il sistema di vigilanza del mercato e di conformità dei prodotti istituito dal regolamento (UE) 2019/1020 del Parlamento e del Consiglio (17). A seconda dell'organizzazione definita a livello nazionale, tali attività di vigilanza del mercato potrebbero essere svolte dalle autorità di sanità digitale che garantiscono la corretta attuazione del capo II del presente regolamento o da un'autorità di vigilanza del mercato separata responsabile dei sistemi di cartelle cliniche elettroniche. Sebbene la designazione di autorità di sanità digitale come autorità di vigilanza del mercato potrebbe avere significativi vantaggi pratici per l'attuazione di attività di assistenza sanitaria, dovrebbero essere evitati eventuali conflitti di interesse, ad esempio separando compiti differenti.
48) Il personale delle autorità di vigilanza del mercato non dovrebbe avere conflitti di interessi economici, finanziari o personali diretti o indiretti che possano essere considerati pregiudizievoli per la sua indipendenza e, in particolare, non dovrebbe trovarsi in una situazione che possa, direttamente o indirettamente, pregiudicare l'imparzialità della sua condotta professionale. Gli Stati membri dovrebbero determinare e pubblicare la procedura di selezione per le autorità di vigilanza del mercato. Essi dovrebbero provvedere affinché la procedura sia trasparente e non dia luogo a conflitti di interessi.
49) Gli utenti di applicazioni per il benessere, comprese le applicazioni per dispositivi mobili, dovrebbero essere informati sulla capacità di tali applicazioni di essere collegate e di fornire dati ai sistemi di cartelle cliniche elettroniche o a soluzioni di sanità elettronica nazionali nei casi in cui i dati prodotti dalle applicazioni per il benessere siano utili per finalità di assistenza sanitaria. La capacità di tali applicazioni di esportare dati in un formato interoperabile è pertinente anche per finalità di portabilità dei dati. Se del caso, gli utenti dovrebbero essere informati sulla conformità di tali applicazioni alle prescrizioni in materia di interoperabilità e sicurezza. Tuttavia, dato il numero elevato di applicazioni per il benessere e la pertinenza limitata per finalità di assistenza sanitaria dei dati prodotti da molte di esse, un sistema di certificazione per tali applicazioni non sarebbe adeguato. E' pertanto opportuno istituire un sistema di etichettatura obbligatoria per le applicazioni per il benessere per le quali è dichiarata l'interoperabilità con un sistema di cartelle cliniche elettroniche quale meccanismo adeguato per garantire agli utenti di applicazioni per il benessere la trasparenza in merito alla conformità alle prescrizioni nell'ambito del presente regolamento, sostenendo in tal modo gli utenti nella scelta di applicazioni per il benessere appropriate, dotate di elevati standard di interoperabilità e sicurezza. La Commissione dovrebbe stabilire mediante atti di esecuzione informazioni dettagliate relative al formato e al contenuto di tale etichetta.
50) Gli Stati membri dovrebbero rimanere liberi di disciplinare altri aspetti dell'uso delle applicazioni per il benessere, a condizione che le relative norme siano conformi al diritto dell'Unione.
51) E' necessario divulgare informazioni sui sistemi di cartelle cliniche elettroniche muniti di certificazione e sulle applicazioni per il benessere corredate di etichetta al fine di permettere a committenti e utenti di tali prodotti di trovare soluzioni interoperabili adeguate alle loro esigenze specifiche. E' opportuno dunque istituire a livello di Unione una banca dati dei sistemi di cartelle cliniche elettroniche e delle applicazioni per il benessere interoperabili, che non rientrano nell'ambito di applicazione dei regolamenti (UE) 2017/745 e (UE) 2024/1689, simile alla banca dati europea dei dispositivi medici (Eudamed) istituita dal regolamento (UE) 2017/745. Gli obiettivi della banca dati dell'UE per la registrazione dei sistemi di cartelle cliniche elettroniche e delle applicazioni per il benessere interoperabili dovrebbero essere di migliorare la trasparenza generale, evitare la moltiplicazione degli obblighi di informazione e razionalizzare e facilitare il flusso di informazioni. Per quanto riguarda i dispositivi medici e i sistemi di IA, la registrazione dovrebbe essere mantenuta nel quadro delle banche dati esistenti istituite, rispettivamente, ai sensi dei regolamenti (UE) 2017/745 e (UE) 2024/1689, ma la conformità alle prescrizioni in materia di interoperabilità dovrebbe essere indicata dai fabbricanti quando la dichiarano, per fornire informazioni ai committenti.
52) Senza ostacolare o sostituire accordi contrattuali o meccanismi di altro tipo in vigore, il presente regolamento mira a istituire un meccanismo comune di accesso ai dati sanitari elettronici per l'uso secondario in tutta l'Unione. Nell'ambito di tale meccanismo i titolari dei dati sanitari dovrebbero mettere a disposizione i dati in loro possesso sulla base di un'autorizzazione ai dati o di una richiesta di dati sanitari. Ai fini del trattamento dei dati sanitari elettronici per l'uso secondario è richiesta una delle basi giuridiche di cui all'articolo 6, paragrafo 1, lettere a), c), e) o f), del regolamento (UE) 2016/679 in combinato disposto con l'articolo 9, paragrafo 2, del medesimo regolamento. Di conseguenza, il presente regolamento fornisce una base giuridica per l'uso secondario dei dati sanitari elettronici personali, comprese le garanzie richieste a norma dell'articolo 9, paragrafo 2, lettere da g) a j), del regolamento (UE) 2016/679 per consentire il trattamento di categorie particolari di dati, in termini di finalità legittime, governance affidabile per fornire l'accesso ai dati sanitari, attraverso il coinvolgimento di organismi responsabili dell'accesso ai dati sanitari, e il trattamento in un ambiente sicuro, nonché modalità per il trattamento dei dati, stabilite nell'autorizzazione ai dati. Di conseguenza, gli Stati membri non dovrebbero più poter mantenere o introdurre, a norma dell'articolo 9, paragrafo 4, del regolamento (UE) 2016/679, ulteriori condizioni, comprese limitazioni e disposizioni specifiche che richiedono il consenso delle persone fisiche, per quanto riguarda il trattamento per l'uso secondario dei dati sanitari elettronici personali a norma del presente regolamento, ad eccezione dell'introduzione di misure più rigorose e garanzie supplementari a livello nazionale intese a tutelare la sensibilità e il valore di taluni dati come previsto dal presente regolamento. I richiedenti di dati sanitari dovrebbero inoltre dimostrare una base giuridica, ai sensi dell'articolo 6 del regolamento (UE) 2016/679, che consenta loro di richiedere l'accesso ai dati sanitari elettronici a norma del presente regolamento e dovrebbero soddisfare le condizioni stabilite nel capo IV. Inoltre, l'organismo responsabile dell'accesso ai dati sanitari dovrebbe valutare le informazioni fornite dal richiedente di dati sanitari, sulla cui base dovrebbe poter rilasciare un'autorizzazione ai dati per il trattamento dei dati sanitari elettronici personali ai sensi del presente regolamento che dovrebbe soddisfare le prescrizioni e le condizioni stabilite nel capo IV del presente regolamento. Per il trattamento di dati sanitari elettronici detenuti dai titolari dei dati sanitari, il presente regolamento introduce l'obbligo giuridico, ai sensi dell'articolo 6, paragrafo 1, lettera c), del regolamento (UE) 2016/679, conformemente all'articolo 9, paragrafo 2, lettere i) e j), di detto regolamento, secondo cui il titolare dei dati sanitari è tenuto a comunicare i dati sanitari elettronici personali agli organismi responsabili dell'accesso ai dati sanitari, mentre la base giuridica per la finalità del trattamento iniziale, ad esempio la prestazione di assistenza sanitaria, è inalterata. Il presente regolamento attribuisce inoltre compiti di interesse pubblico agli organismi responsabili dell'accesso ai dati sanitari ai sensi dell'articolo 6, paragrafo 1, lettera e), del regolamento (UE) 2016/679 e soddisfa le prescrizioni di cui all'articolo 9, paragrafo 2, lettere da g) a j), a seconda dei casi, di tale regolamento. Se l'utente dei dati sanitari invoca una base giuridica prevista dall'articolo 6, paragrafo 1, lettera e), o f), del regolamento (UE) 2016/679, il presente regolamento dovrebbe prevedere le garanzie richieste a norma dell'articolo 9, paragrafo 2, del regolamento (UE) 2016/679.
53) I dati sanitari elettronici usati per uso secondario possono apportare grandi benefici per la società. E' opportuno incoraggiare l'utilizzo di dati e prove reali, tra cui le informazioni sui risultati comunicati dai pazienti, per scopi normativi e strategici basati su dati probanti, nonché per la ricerca, la valutazione delle tecnologie sanitarie e gli obiettivi clinici. I dati e le prove reali sono in grado di integrare i dati sanitari attualmente resi disponibili. Per conseguire tale obiettivo, è importante che le serie di dati messe a disposizione per l'uso secondario a norma del presente regolamento siano quanto più complete possibile. Il presente regolamento fornisce le garanzie necessarie per attenuare determinati rischi connessi al conseguimento di tali benefici. L'uso secondario di dati sanitari elettronici si basa su dati pseudonimizzati o anonimizzati, al fine di impedire l'identificazione degli interessati.
54) Per bilanciare la necessità degli utenti dei dati sanitari di disporre di serie di dati esaustivi e rappresentativi con la necessità di autonomia delle persone fisiche rispetto ai loro dati sanitari elettronici personali considerati particolarmente sensibili, le persone fisiche dovrebbero poter decidere se i propri dati sanitari elettronici personali possano essere trattati per l'uso secondario a norma del presente regolamento, sotto forma di un diritto di esclusione in relazione alla messa a disposizione di tali dati per l'uso secondario. Dovrebbe essere previsto un meccanismo per l'esercizio del diritto di esclusione facilmente comprensibile e accessibile all'utente. E' inoltre indispensabile fornire alle persone fisiche informazioni sufficienti e complete sul loro diritto di esclusione, compresi i vantaggi e gli svantaggi che l'esercizio di tale diritto comporta. Le persone fisiche non dovrebbero essere tenute a indicare le ragioni dell'esercizio del proprio diritto di esclusione e dovrebbero avere la possibilità di riconsiderare la loro scelta in qualsiasi momento. Tuttavia, per determinate finalità strettamente legate all'interesse pubblico, quali le attività di protezione da gravi minacce per la salute a carattere transfrontaliero o la ricerca scientifica per importanti motivi di interesse pubblico, è opportuno prevedere la possibilità per gli Stati membri di istituire, tenendo conto del loro contesto nazionale, meccanismi per fornire l'accesso ai dati sanitari elettronici personali delle persone fisiche che si sono avvalse del diritto di esclusione, al fine di garantire che in tali situazioni possano essere rese disponibili serie di dati complete. Tali meccanismi dovrebbero essere conformi ai requisiti stabiliti per l'uso secondario a norma del presente regolamento. La ricerca scientifica per importanti motivi di interesse pubblico potrebbe comprendere, ad esempio, la ricerca che risponde a esigenze mediche insoddisfatte, anche per quanto riguarda le malattie rare, o le minacce sanitarie emergenti. Le norme relative a tale superamento del diritto di esclusione dovrebbero rispettare l'essenza dei diritti e delle libertà fondamentali e costituire una misura necessaria e proporzionata in una società democratica per rispondere all'interesse pubblico nell'ambito dei legittimi obiettivi scientifici e sociali. Il superamento dovrebbe essere disponibile solo per gli utenti dei dati sanitari che sono enti pubblici, o per le istituzioni, gli organi o gli organismi dell'Unione competenti incaricati dello svolgimento dei compiti nel settore della sanità pubblica o per altri soggetti incaricati di svolgere compiti pubblici nel settore della sanità pubblica o che agiscono per conto o per incarico di un'autorità pubblica, e solo ove i dati non possano essere ottenuti con mezzi alternativi in modo tempestivo ed efficace. Tali utenti dei dati sanitari dovrebbero giustificare il ricorso al superamento in quanto necessario per una domanda di accesso individuale ai dati sanitari o una richiesta di dati sanitari. Ove si ricorra al superamento, gli utenti dei dati sanitari dovrebbero continuare ad applicare le garanzie di cui al capo IV, in particolare il divieto di reidentificazione o dei tentativi di reidentificazione delle persone fisiche interessate.
55) Nel contesto dello spazio europeo dei dati sanitari, i dati sanitari elettronici esistono già e sono raccolti, tra gli altri, da prestatori di assistenza sanitaria, associazioni professionali, istituzioni pubbliche, regolatori, ricercatori e assicuratori nel corso delle loro attività. Tali dati dovrebbero essere resi disponibili anche per l'uso secondario, vale a dire per il trattamento di dati per finalità diverse da quelle per le quali sono stati raccolti o prodotti; tuttavia, molti di questi dati non sono resi disponibili per il trattamento per tali finalità. Ciò limita la capacità di ricercatori, innovatori, responsabili delle politiche, regolatori e medici di utilizzarli per finalità differenti, tra cui la ricerca, l'innovazione, la definizione delle politiche, finalità normative, la sicurezza dei pazienti o la medicina personalizzata. Al fine di sfruttare pienamente i benefici derivanti dall'uso secondario, tutti i titolari di dati sanitari dovrebbero contribuire rendendo disponibili per l'uso secondario le differenti categorie di dati sanitari elettronici in loro possesso, purché tale sforzo avvenga tramite processi efficaci e sicuri, nel debito rispetto degli obblighi professionali, quali gli obblighi di riservatezza.
56) Le categorie di dati sanitari elettronici che possono essere trattati per l'uso secondario dovrebbero essere abbastanza ampie e flessibili da soddisfare le mutevoli esigenze degli utenti dei dati sanitari, rimanendo al contempo limitate ai dati relativi alla salute o di cui è nota l'influenza sulla salute. Possono includere anche dati pertinenti provenienti dal sistema sanitario, ad esempio cartelle cliniche elettroniche, dati relativi alle domande di rimborso, dati sulle dispensazioni, dati ricavati da registri di malattia o dati genomici, nonché dati che hanno un impatto sulla salute, ad esempio dati sul consumo di varie sostanze, posizione socioeconomica o comportamento, e dati sui fattori ambientali, quali l'inquinamento, le radiazioni o l'uso di determinate sostanze chimiche. Le categorie di dati sanitari elettronici per uso secondario includono alcune categorie di dati inizialmente raccolti per altre finalità, come la ricerca, le statistiche, la sicurezza dei pazienti, attività normative o la definizione delle politiche, ad esempio registri inerenti alla definizione delle politiche o registri degli effetti collaterali di medicinali o dispositivi medici. In alcuni ambiti, come quello oncologico (sistema europeo d'informazione sul cancro) o delle malattie rare (per esempio la piattaforma europea per la registrazione delle malattie rare e i registri della rete di riferimento europea (ERN)], sono disponibili banche dati europee che facilitano l'utilizzo o il riutilizzo dei dati. Le categorie di dati sanitari elettronici che possono essere trattati per l'uso secondario dovrebbero anche includere dati generati automaticamente provenienti da dispositivi medici e dati generati dalla persona, quali dati provenienti da applicazioni per il benessere. Anche i dati sulle sperimentazioni cliniche e sulle indagini cliniche dovrebbero essere inclusi nelle categorie di dati sanitari elettronici per uso secondario al termine della sperimentazione clinica o dell'indagine clinica, senza pregiudicare la condivisione volontaria dei dati da parte dei promotori delle sperimentazioni e delle indagini in corso. I dati sanitari elettronici per l'uso secondario dovrebbero essere resi disponibili preferibilmente in un formato elettronico strutturato che ne faciliti il trattamento mediante sistemi informatici. Esempi di formato elettronico strutturato comprendono registrazioni in una banca dati relazionale, documenti XML o file CSV, testo libero, audio, video e immagini forniti come file leggibili da computer.
57) Gli utenti dei dati sanitari che beneficiano dell'accesso a serie di dati fornite ai sensi del presente regolamento potrebbero arricchire i dati in tali serie di dati con varie correzioni e annotazioni e altri miglioramenti, integrando ad esempio i dati mancanti o incompleti, migliorando in tal modo l'accuratezza, la completezza o la qualità dei dati nelle serie di dati. Gli utenti dei dati sanitari dovrebbero essere incoraggiati a segnalare errori critici nelle serie di dati agli organismi responsabili dell'accesso ai dati sanitari. Per favorire il miglioramento della banca dati iniziale e l'ulteriore utilizzo della serie di dati arricchita, gli Stati membri dovrebbero poter stabilire norme per il trattamento e l'uso dei dati sanitari elettronici contenenti miglioramenti per il loro trattamento. La serie di dati migliorata dovrebbe essere messa a disposizione del titolare dei dati sanitari originario gratuitamente assieme a una descrizione dei miglioramenti. Il titolare dei dati sanitari dovrebbe rendere disponibile la nuova serie di dati, a meno che non fornisca all'organismo responsabile dell'accesso ai dati sanitari un'opposizione giustificata a tale operazione, ad esempio in casi in cui l'arricchimento da parte degli utenti dei dati sanitari sia di bassa qualità. E' opportuno garantire che i dati sanitari elettronici non personali siano disponibili per l'uso secondario. In particolare i dati genomici sugli agenti patogeni hanno un valore significativo per la salute umana, come dimostrato durante la pandemia di COVID-19, in cui l'accesso a tali dati e la loro condivisione tempestivi si sono dimostrati essenziali per il rapido sviluppo di strumenti di rilevamento, di contromisure mediche e di risposte alle minacce per la sanità pubblica. Il maggiore beneficio derivante dall'azione nel campo della genomica dei patogeni sarà conseguito quando i processi della sanità pubblica e della ricerca condivideranno le serie di dati e coopereranno per informarsi e migliorarsi a vicenda.
58) Al fine di aumentare l'efficacia dell'uso secondario dei dati sanitari elettronici personali e di beneficiare appieno delle possibilità offerte dal presente regolamento, la disponibilità, nello spazio europeo dei dati sanitari, dei dati sanitari di cui al capo IV dovrebbe essere tale che i dati siano il più possibile accessibili, di alta qualità, pronti e adatti allo scopo di creare valore e qualità scientifici, innovativi e sociali. I lavori sull'attuazione dello spazio europeo dei dati sanitari e su ulteriori miglioramenti delle serie di dati dovrebbero essere effettuati dando la priorità alle serie di dati più adatte a creare tale valore e qualità.
59) I soggetti pubblici o privati ricevono spesso finanziamenti pubblici, da fondi nazionali o dell'Unione, per raccogliere e trattare dati sanitari elettronici per la ricerca, le statistiche sia ufficiali che non ufficiali, o altre finalità simili, anche in ambiti in cui la raccolta di tali dati è frammentata o difficile, quali quelli relativi alle malattie rare o al cancro. Tali dati, raccolti e trattati dai titolari dei dati sanitari con il sostegno di finanziamenti pubblici nazionali o dell'Unione, dovrebbero essere messi a disposizione degli organismi responsabili dell'accesso ai dati sanitari al fine di massimizzare l'impatto dell'investimento pubblico e sostenere la ricerca, l'innovazione, la sicurezza dei pazienti o la definizione delle politiche, a beneficio della società. In alcuni Stati membri i soggetti privati, compresi i prestatori di assistenza sanitaria privati e le associazioni professionali, svolgono un ruolo di fondamentale importanza nel settore sanitario. I dati sanitari detenuti da tali prestatori dovrebbero essere resi disponibili anche per l'uso secondario. I titolari dei dati sanitari nel contesto dell'uso secondario dovrebbero pertanto essere soggetti che sono prestatori di assistenza sanitaria o cure assistenziali o svolgono attività di ricerca in relazione ai settori dell'assistenza sanitaria o delle cure assistenziali, o sviluppano prodotti o servizi destinati ai settori dell'assistenza sanitaria o delle cure assistenziali. Tali enti possono essere pubblici, senza scopo di lucro o privati. In linea con tale definizione, le case di cura, i centri di assistenza diurna, i soggetti che forniscono servizi alle persone con disabilità, i soggetti che svolgono le attività commerciali e tecnologiche connesse all'assistenza, come i centri ortopedici e le imprese che forniscono servizi di assistenza, dovrebbero essere considerati titolari di dati sanitari. Anche le persone giuridiche che sviluppano applicazioni per il benessere dovrebbero essere considerate titolari di dati sanitari. Anche le istituzioni, gli organi e gli organismi dell'Unione che trattano tali categorie di dati relativi alla salute e all'assistenza sanitaria nonché i registri di mortalità dovrebbero essere considerati titolari di dati sanitari. Al fine di evitare un onere sproporzionato a loro carico, di norma le persone fisiche e le microimprese dovrebbero essere esentate dagli obblighi dei titolari di dati sanitari. Gli Stati membri dovrebbero tuttavia poter estendere gli obblighi dei titolari di dati sanitari alle persone fisiche e alle microimprese nel loro diritto nazionale. Al fine di ridurre gli oneri amministrativi e alla luce dei principi di efficacia ed efficienza, gli Stati membri dovrebbero poter richiedere nel loro diritto nazionale che, per talune categorie di titolari di dati sanitari, le funzioni siano svolte da intermediari di dati sanitari. Tali intermediari di dati sanitari dovrebbero essere persone giuridiche in grado di trattare, rendere disponibili, registrare, fornire o scambiare dati sanitari elettronici per l'uso secondario forniti da titolari dei dati, o limitarne l'accesso. Tali intermediari di dati sanitari svolgono compiti diversi da quelli dei servizi di intermediazione dei dati nell'ambito del regolamento (UE) 2022/868.
60) I dati sanitari elettronici protetti da diritti di proprietà intellettuale o segreti commerciali, compresi i dati relativi a sperimentazioni cliniche, indagini e studi, possono essere molto utili per l'uso secondario e possono promuovere l'innovazione all'interno dell'Unione a beneficio dei pazienti dell'Unione. Al fine di incoraggiare l'Unione a continuare a svolgere un ruolo di primo piano in questo ambito, è importante incoraggiare la condivisione dei dati delle sperimentazioni cliniche e delle indagini cliniche attraverso lo spazio europeo dei dati sanitari per l'uso secondario. I dati delle sperimentazioni cliniche e delle indagini cliniche dovrebbero essere resi disponibili per quanto possibile, adottando nel contempo tutte le misure necessarie per proteggere i diritti di proprietà intellettuale e i segreti commerciali. Il presente regolamento non dovrebbe essere utilizzato per ridurre o eludere tale protezione e dovrebbe essere coerente con le pertinenti disposizioni in materia di trasparenza stabilite dal diritto dell'Unione, incluse quelle relative ai dati delle sperimentazioni cliniche e delle indagini cliniche. L'organismo responsabile dell'accesso ai dati sanitari dovrebbe valutare come preservare tale protezione, pur consentendo l'accesso a tali dati per gli utenti dei dati sanitari nella misura del possibile. Ove l'organismo responsabile dell'accesso ai dati sanitari non sia in grado fornire tale accesso, dovrebbe informare l'utente dei dati sanitari e spiegare perché non è possibile fornirlo. Le misure giuridiche, organizzative e tecniche per proteggere i diritti di proprietà intellettuale o i segreti commerciali potrebbero includere accordi contrattuali comuni in materia di accesso ai dati sanitari elettronici, obblighi specifici nell'ambito dell'autorizzazione ai dati in relazione a tali diritti, il pretrattamento dei dati per generare dati derivati che proteggono un segreto commerciale ma hanno comunque utilità per l'utente o la configurazione dell'ambiente di trattamento sicuro in modo che tali dati non siano accessibili all'utente dei dati sanitari.
61) L'uso secondario dei dati sanitari nello spazio europeo dei dati sanitari dovrebbe permettere ai soggetti pubblici, privati e senza scopo di lucro, così come ai singoli ricercatori, di avere accesso ai dati sanitari per la ricerca, l'innovazione, la definizione delle politiche, attività didattiche, la sicurezza dei pazienti, attività normative o la medicina personalizzata, in linea con le finalità stabilite nel presente regolamento. L'accesso ai dati per l'uso secondario dovrebbe contribuire all'interesse generale della società. In particolare, l'uso secondario dei dati sanitari per finalità di ricerca e sviluppo dovrebbe contribuire a un beneficio per la società sotto forma di nuovi medicinali, dispositivi medici e prodotti e servizi sanitari a prezzi accessibili ed equi per tutti i cittadini dell'Unione, nonché rafforzarne l'accessibilità e la disponibilità in tutti gli Stati membri. Le attività per le quali è legittimo l'accesso nel contesto del presente regolamento potrebbero comprendere l'uso dei dati sanitari elettronici per compiti eseguiti da enti pubblici, quali l'esercizio della funzione pubblica, tra cui la sorveglianza della sanità pubblica, obblighi di pianificazione e comunicazione, la definizione delle politiche in ambito sanitario e la garanzia della sicurezza dei pazienti, della qualità dell'assistenza e della sostenibilità dei sistemi di assistenza sanitaria. Gli enti pubblici e le istituzioni, gli organi e gli organismi dell'Unione potrebbero aver bisogno di accedere regolarmente ai dati sanitari elettronici per un periodo di tempo prolungato, anche al fine di adempiere al proprio mandato, come previsto dal presente regolamento. Gli enti pubblici potrebbero eseguire tali attività di ricerca ricorrendo a terzi, compresi i subappaltatori, a condizione che l'ente pubblico rimanga sempre il supervisore di tali attività. La fornitura dei dati dovrebbe inoltre favorire attività correlate alla ricerca scientifica. La nozione di ricerca scientifica dovrebbe essere interpretata in senso ampio, che ricomprenda lo sviluppo tecnologico e la dimostrazione, la ricerca fondamentale, la ricerca applicata e la ricerca finanziata da soggetti privati. Le attività correlate alla ricerca scientifica comprendono le attività di innovazione quali l'addestramento di algoritmi di intelligenza artificiale che potrebbero essere utilizzati nell'assistenza sanitaria o nella cura delle persone fisiche, nonché la valutazione e l'ulteriore sviluppo di algoritmi e prodotti esistenti a tali fini. E' necessario che lo spazio europeo dei dati sanitari contribuisca anche alla ricerca fondamentale e, sebbene i suoi benefici per gli utilizzatori finali e i pazienti possano risultare meno diretti, tale ricerca è fondamentale per i benefici per la società a lungo termine. In taluni casi le informazioni di alcune persone fisiche, come le informazioni genomiche delle persone fisiche con una determinata malattia, potrebbero contribuire alla diagnosi o la cura di altre persone fisiche. E' necessario che gli enti pubblici vadano oltre l'ambito della «necessità eccezionale» di cui al capo V del regolamento (UE) 2023/2854. Tuttavia agli organismi responsabili dell'accesso ai dati sanitari dovrebbe essere consentito di fornire sostegno agli enti pubblici quando trattano o collegano i dati. Il presente regolamento fornisce agli enti pubblici un canale per ottenere l'accesso alle informazioni di cui hanno bisogno per adempiere i compiti assegnati loro dalla legge, ma non estende il mandato di tali enti pubblici.
62) Dovrebbe essere vietato qualsiasi tentativo di utilizzare i dati sanitari elettronici per eventuali misure pregiudizievoli per le persone fisiche, ad esempio per aumentare i premi assicurativi, per intraprendere attività potenzialmente dannose per le persone fisiche concernenti l'occupazione, le pensioni o l'attività bancaria, compresa l'ipoteca sulle proprietà, per pubblicizzare prodotti o cure, per automatizzare il processo decisionale individuale, per reidentificare le persone fisiche o per sviluppare prodotti nocivi. Tale divieto dovrebbe applicarsi anche alle attività contrarie alle disposizioni etiche ai sensi del diritto nazionale, ad eccezione delle disposizioni etiche relative al consenso al trattamento dei dati personali e alle disposizioni etiche relative al diritto di esclusione, poiché il presente regolamento prevale sul diritto nazionale in conformità del principio generale del primato del diritto dell'Unione. Dovrebbe inoltre essere proibito fornire l'accesso ai dati sanitari elettronici, oppure renderli disponibili in altro modo, a terzi non menzionati nell'autorizzazione ai dati. Nell'autorizzazione ai dati dovrebbe essere indicata l'identità delle persone autorizzate, in particolare l'identità del ricercatore principale, che avranno il diritto a norma del presente regolamento di accedere ai dati sanitari elettronici nell'ambiente di trattamento sicuro. I ricercatori principali sono le principali persone responsabili della richiesta di accesso ai dati sanitari elettronici e del trattamento dei dati richiesti nell'ambiente di trattamento sicuro per conto dell'utente dei dati sanitari.
63) Il presente regolamento non conferisce poteri per l'uso secondario dei dati sanitari a fini di contrasto. La prevenzione, l'indagine, l'accertamento o il perseguimento di reati o l'esecuzione di sanzioni penali da parte delle autorità competenti non dovrebbero rientrare tra le finalità di uso secondario contemplate dal presente regolamento. Pertanto, gli organi giurisdizionali e altri soggetti del sistema giudiziario non dovrebbero essere considerati utenti dei dati sanitari per l'uso secondario dei dati sanitari a norma del presente regolamento. Inoltre, gli organi giurisdizionali e altri enti del sistema giudiziario non dovrebbero rientrare nella definizione di titolari di dati sanitari e non dovrebbero quindi essere destinatari degli obblighi dei titolari di dati sanitari ai sensi del presente regolamento. Restano inoltre impregiudicati dal presente regolamento i poteri delle autorità competenti per la prevenzione, l'indagine, l'accertamento e il perseguimento dei reati stabiliti per legge per ottenere dati sanitari elettronici. Analogamente, i dati sanitari elettronici detenuti dagli organi giurisdizionali ai fini di procedimenti giudiziari non rientrano nell'ambito di applicazione del presente regolamento.
64) L'istituzione di uno o più organismi responsabili dell'accesso ai dati sanitari, che sostengano l'accesso ai dati sanitari elettronici negli Stati membri, è essenziale per la promozione dell'uso secondario dei dati relativi alla salute. Gli Stati membri dovrebbero pertanto istituire uno o più organismi responsabili dell'accesso ai dati sanitari per rispecchiare, tra l'altro, la loro struttura costituzionale, organizzativa e amministrativa. Tuttavia uno di tali organismi responsabili dell'accesso ai dati sanitari dovrebbe essere designato come coordinatore nel caso in cui siano presenti più organismi responsabili dell'accesso ai dati sanitari. Laddove siano istituiti più organismi responsabili dell'accesso ai dati sanitari, lo Stato membro dovrebbe stabilire norme a livello nazionale atte ad assicurare la partecipazione coordinata di tali organismi al comitato dello spazio europeo dei dati sanitari («comitato EHDS»). Lo Stato membro dovrebbe in particolare designare un organismo responsabile dell'accesso ai dati sanitari che funga da punto di contatto unico per l'effettiva partecipazione di tali organismi e che garantisca la rapida e agevole cooperazione con altri organismi responsabili dell'accesso ai dati sanitari, il comitato EHDS e la Commissione. Gli organismi responsabili dell'accesso ai dati sanitari potrebbero variare in termini di organizzazione e dimensioni, spaziando da un'organizzazione dedicata vera e propria a un'unità o un dipartimento in un'organizzazione esistente. Gli organismi responsabili dell'accesso ai dati sanitari non dovrebbero essere influenzati nelle loro decisioni sull'accesso ai dati sanitari elettronici per l'uso secondario e dovrebbero evitare qualsiasi conflitto di interessi. I membri degli organismi amministrativi e decisionali e il personale di ciascun organismo responsabile dell'accesso ai dati sanitari dovrebbero pertanto astenersi da qualunque azione incompatibile con le loro funzioni e non dovrebbero esercitare alcuna altra attività incompatibile. Tuttavia l'indipendenza degli organismi responsabili dell'accesso ai dati sanitari non dovrebbe significare che essi non possano essere assoggettati a meccanismi di controllo o monitoraggio in relazione alle loro spese o a controllo giurisdizionale. Ciascun organismo responsabile dell'accesso ai dati sanitari dovrebbe disporre delle risorse umane, tecniche e finanziarie, dei locali e delle infrastrutture necessari per l'efficace adempimento dei propri compiti, compresi quelli di cooperazione con altri organismi responsabili dell'accesso ai dati sanitari in tutta l'Unione. I membri degli organismi amministrativi e decisionali e il personale degli organismi responsabili dell'accesso ai dati sanitari dovrebbero possedere le necessarie qualifiche, esperienza e competenze. Ciascun organismo responsabile dell'accesso ai dati sanitari dovrebbe disporre di un bilancio annuale pubblico separato, che potrebbe far parte del bilancio generale statale o nazionale. Al fine di consentire un migliore accesso ai dati sanitari e a integrazione dell'articolo 7, paragrafo 2, del regolamento (UE) 2022/868, gli Stati membri dovrebbero attribuire agli organismi responsabili dell'accesso ai dati sanitari il potere di prendere decisioni sull'accesso e l'uso secondario dei dati sanitari. Ciò potrebbe tradursi nell'attribuzione di nuovi compiti agli organismi competenti designati dagli Stati membri ai sensi dell'articolo 7, paragrafo 1, del regolamento (UE) 2022/868 o nella designazione di organismi settoriali esistenti o nuovi come responsabili di tali compiti in relazione all'accesso ai dati sanitari.
65) Gli organismi responsabili dell'accesso ai dati sanitari dovrebbero monitorare l'applicazione del capo IV del presente regolamento e contribuire alla sua coerente applicazione in tutta l'Unione. A tal fine, gli organismi responsabili dell'accesso ai dati sanitari dovrebbero cooperare tra loro e con la Commissione. Gli organismi responsabili dell'accesso ai dati sanitari dovrebbero cooperare anche con i portatori di interessi, comprese le organizzazioni dei pazienti. Gli organismi responsabili dell'accesso ai dati sanitari dovrebbero sostenere i titolari dei dati sanitari che sono piccole imprese ai sensi della raccomandazione 2003/361/CE della Commissione (18), in particolare i medici e le farmacie. Poiché l'uso secondario dei dati sanitari comporta il trattamento di dati personali relativi alla salute, si applicano le pertinenti disposizioni dei regolamenti (UE) 2016/679 e (UE) 2018/1725 e le autorità di controllo ai sensi di questi regolamenti dovrebbero rimanere le uniche autorità competenti per l'applicazione di tali disposizioni. Gli organismi responsabili dell'accesso ai dati sanitari dovrebbero informare le autorità di protezione dei dati di eventuali sanzioni irrogate e di qualsiasi potenziale problematica connessa al trattamento dei dati per l'uso secondario e scambiare tutte le informazioni pertinenti a loro disposizione per garantire l'applicazione delle norme pertinenti. Oltre ai compiti necessari per garantire un efficace uso secondario dei dati sanitari, l'organismo responsabile dell'accesso ai dati sanitari dovrebbe cercare di accrescere la disponibilità di ulteriori serie di dati sanitari e promuovere l'elaborazione di norme comuni. Dovrebbe applicare tecniche all'avanguardia sperimentate in grado di garantire che il trattamento dei dati sanitari elettronici avvenga in modo da tutelare la riservatezza delle informazioni contenute nei dati per i quali è consentito l'uso secondario, comprese le tecniche di pseudonimizzazione, anonimizzazione, generalizzazione, soppressione e randomizzazione dei dati personali. Gli organismi responsabili dell'accesso ai dati sanitari possono preparare le serie di dati per gli utenti dei dati sanitari come richieste ai sensi dell'autorizzazione ai dati rilasciata. A questo proposito, gli organismi responsabili dell'accesso ai dati sanitari dovrebbero cooperare a livello transfrontaliero per sviluppare e scambiare le migliori pratiche e tecniche. Ciò include norme per la pseudonimizzazione e l'anonimizzazione di serie di microdati. Se del caso, la Commissione dovrebbe stabilire le procedure e le prescrizioni e fornire strumenti tecnici per una procedura unificata di pseudonimizzazione e anonimizzazione dei dati sanitari elettronici.
66) Gli organismi responsabili dell'accesso ai dati sanitari dovrebbero garantire che l'uso secondario sia trasparente, fornendo informazioni pubbliche sulle autorizzazioni ai dati concesse e sulle relative motivazioni, sulle misure adottate per tutelare i diritti delle persone fisiche, sulle modalità con cui le persone fisiche possono esercitare i loro diritti in relazione all'uso secondario e sui risultati dell'uso secondario anche attraverso link a pubblicazioni scientifiche. Se del caso, le informazioni sui risultati dell'uso secondario dovrebbero includere anche una sintesi divulgativa fornita dall'utente dei dati sanitari. Tali obblighi di trasparenza integrano gli obblighi di cui all'articolo 14 del regolamento (UE) 2016/679. Potrebbero applicarsi le eccezioni previste dall'articolo 14, paragrafo 5, di tale. Qualora si applichino tali eccezioni, gli obblighi di trasparenza istituiti dal presente regolamento dovrebbero contribuire a garantire un trattamento equo e trasparente ai sensi dell'articolo 14, paragrafo 2, del regolamento (UE) 2016/679, ad esempio fornendo informazioni sulla finalità del trattamento e sulle categorie di dati trattati, consentendo così alle persone fisiche di comprendere se i loro dati sono messi a disposizione per l'uso secondario conformemente alle autorizzazioni ai dati.
67) Le persone fisiche dovrebbero essere informate dai titolari dei dati sanitari in merito alle risultanze significative relative alla loro salute rilevate dagli utenti dei dati sanitari. Le persone fisiche dovrebbero avere il diritto di chiedere di non esser informate di tali risultanze. Gli Stati membri potrebbero stabilire le condizioni relative alle modalità di comunicazione di tali informazioni alle persone fisiche interessate da parte dei titolari dei dati sanitari e sull'esercizio del diritto di non essere informati. Conformemente all'articolo 23, paragrafo 1, lettera i), del regolamento (UE) 2016/679, gli Stati membri dovrebbero poter limitare la portata dell'obbligo di informare le persone fisiche laddove necessario per la loro tutela sulla base della sicurezza del paziente e dell'etica, ritardando la comunicazione delle informazioni fino a quando un professionista sanitario non sia in grado di comunicare alle persone fisiche interessate informazioni che possono potenzialmente avere un impatto sulla loro salute e fornire le relative spiegazioni.
68) Al fine di promuovere la trasparenza, ogni due anni gli organismi responsabili dell'accesso ai dati sanitari dovrebbero pubblicare una relazione di attività che fornisca una sintesi delle loro attività. Qualora uno Stato membro abbia designato più di un organismo responsabile dell'accesso ai dati sanitari, ogni due anni l'organismo di coordinamento dovrebbe preparare e pubblicare una relazione comune. Le relazioni di attività dovrebbero seguire una struttura approvata dal comitato EHDS e fornire una sintesi delle attività, comprese informazioni sulle decisioni riguardanti le domande, audit e dialogo con i portatori di interessi pertinenti. Tra i portatori di interessi vi possono essere i rappresentanti delle persone fisiche, delle organizzazioni dei pazienti, dei professionisti sanitari, dei ricercatori e dei comitati etici.
69) Al fine di sostenere l'uso secondario, i titolari dei dati sanitari dovrebbero astenersi dal non mettere a disposizione i dati, dal richiedere tariffe ingiustificate non trasparenti né proporzionate ai costi sostenuti per rendere disponibili i dati o, se del caso, ai costi marginali della raccolta dei dati, dal richiedere agli utenti dei dati sanitari di co-pubblicare la ricerca o da altre pratiche che potrebbero dissuadere gli utenti dal richiedere i dati. Se il titolare dei dati sanitari è un ente pubblico, la parte delle tariffe legata ai suoi costi non dovrebbe coprire i costi della raccolta iniziale dei dati. Ove sia necessaria un'approvazione etica per fornire un'autorizzazione ai dati, la relativa valutazione dovrebbe basarsi sul merito.
70) E' opportuno che agli organismi responsabili dell'accesso ai dati sanitari sia consentito imporre tariffe, tenendo conto delle norme orizzontali previste dal regolamento (UE) 2022/868, in relazione ai loro compiti. Tali tariffe potrebbero tenere conto della situazione e dell'interesse delle piccole e medie imprese (PMI), dei singoli ricercatori o degli organismi pubblici. In particolare, gli Stati membri dovrebbero poter stabilire misure per gli organismi responsabili dell'accesso ai dati sanitari nella loro giurisdizione che consentano di applicare tariffe ridotte a determinate categorie di utenti dei dati sanitari. Gli organismi responsabili dell'accesso ai dati sanitari dovrebbero essere in grado di coprire i costi del loro funzionamento con tariffe stabilite in modo proporzionato, giustificato e trasparente. Ciò potrebbe comportare tariffe più elevate per alcuni utenti dei dati sanitari, se il trattamento delle loro domande di accesso ai dati sanitari e richieste di dati sanitari richiede più lavoro. E' opportuno che ai titolari dei dati sanitari sia consentito richiedere tariffe per la messa a disposizione dei dati che rispecchino i costi sostenuti. Gli organismi responsabili dell'accesso ai dati sanitari dovrebbero decidere in merito all'importo di tali tariffe, che potrebbero comprendere anche le tariffe richieste dal titolare dei dati sanitari. Tali tariffe dovrebbero essere imposte dall'organismo responsabile dell'accesso ai dati sanitari all'utente dei dati sanitari in un'unica fattura. L'organismo responsabile dell'accesso ai dati sanitari dovrebbe poi trasferire la quota pertinente delle tariffe pagate al titolare dei dati sanitari. Al fine di garantire un approccio armonizzato alle politiche e alla struttura delle tariffe, è opportuno attribuire alla Commissione competenze di esecuzione. E' opportuno applicare l'articolo 10 del regolamento (UE) 2023/2854 alle tariffe imposte ai sensi del presente regolamento.
71) Al fine di rafforzare l'applicazione delle norme sull'uso secondario dovrebbero essere previste misure appropriate, le quali possono portare a sanzioni amministrative pecuniarie o misure di esecuzione da parte degli organismi responsabili dell'accesso ai dati sanitari o esclusioni temporanee o definitive dal quadro dello spazio europeo dei dati sanitari degli utenti dei dati sanitari o dei titolari dei dati sanitari che non rispettano i rispettivi obblighi. E' opportuno che all'organismo responsabile dell'accesso ai dati sanitari sia conferito il potere di verificare la conformità degli utenti dei dati sanitari e dei titolari dei dati sanitari e di fornire loro l'opportunità di rispondere a eventuali osservazioni e di rimediare a eventuali violazioni. Nel decidere l'importo della sanzione amministrativa pecuniaria o in merito a una misura di esecuzione per ogni singolo caso, è opportuno che gli organismi responsabili dell'accesso ai dati sanitari tengano conto dei margini per i costi e dei criteri stabiliti nel presente regolamento, garantendo che tali sanzioni pecuniarie o misure siano proporzionate.
72) Data la sensibilità dei dati sanitari elettronici, è necessario ridurre i rischi per la riservatezza delle persone fisiche applicando il principio della minimizzazione dei dati. Pertanto, è opportuno mettere a disposizione dati sanitari elettronici non personali in tutti i casi in cui la fornitura di tali dati sia sufficiente. Se l'utente dei dati sanitari avesse bisogno di utilizzare dati sanitari elettronici personali, dovrebbe indicare chiaramente nella richiesta la giustificazione per l'uso di questo tipo di dati e l'organismo responsabile dell'accesso ai dati sanitari dovrebbe valutare se tale giustificazione sia valida. I dati sanitari elettronici personali dovrebbero essere resi disponibili solo in formato pseudonimizzato. Tenendo conto delle finalità specifiche del trattamento, i dati sanitari personali elettronici dovrebbero essere pseudonimizzati o anonimizzati il prima possibile nel processo di messa a disposizione dei dati per l'uso secondario. La pseudonimizzazione e l'anonimizzazione dovrebbero poter essere effettuate dagli organismi responsabili dell'accesso ai dati sanitari o dai titolari dei dati sanitari. In qualità di titolari del trattamento, agli organismi responsabili dell'accesso ai dati sanitari e ai titolari dei dati sanitari dovrebbe essere consentito delegare tali compiti ai responsabili del trattamento. Nel fornire accesso a una serie di dati pseudonimizzati o anonimizzati, un organismo responsabile dell'accesso ai dati sanitari dovrebbe utilizzare una tecnologia e norme di pseudonimizzazione o anonimizzazione all'avanguardia, garantendo nella misura massima possibile che una persona fisica non possa essere reidentificata dagli utenti dei dati sanitari. Tale tecnologia e norme per la pseudonimizzazione o anonimizzazione dei dati dovrebbero essere ulteriormente sviluppate. Gli utenti dei dati sanitari non dovrebbero tentare di reidentificare le persone fisiche dalla serie di dati fornita ai sensi del presente regolamento e qualora lo facciano dovrebbero essere soggetti a sanzioni amministrative pecuniarie e misure di esecuzione previste dal presente regolamento o eventualmente penali, nel caso in cui il diritto nazionale lo preveda. Inoltre, un richiedente di dati sanitari dovrebbe poter richiedere una risposta a una richiesta di dati sanitari in forma statistica anonimizzata. In tali casi l'utente dei dati sanitari tratterà solo i dati non personali e l'organismo responsabile dell'accesso ai dati sanitari rimarrà l'unico titolare del trattamento dei dati personali necessari a fornire la risposta alla richiesta di dati sanitari.
73) Al fine di garantire che tutti gli organismi responsabili dell'accesso ai dati sanitari rilascino autorizzazioni ai dati in modo simile, è necessario istituire un processo comune standard per il rilascio delle autorizzazioni ai dati, con richieste simili nei vari Stati membri. Il richiedente di dati sanitari dovrebbe fornire agli organismi responsabili dell'accesso ai dati sanitari diverse informazioni che li aiuterebbero a valutare la domanda di accesso ai dati sanitari e a decidere se il richiedente di dati sanitari può ricevere un'autorizzazione ai dati e si dovrebbe garantire la coerenza tra diversi organismi responsabili dell'accesso ai dati sanitari. Le informazioni fornite nell'ambito della domanda di accesso ai dati sanitari dovrebbero rispettare i requisiti stabiliti dal presente regolamento al fine di consentirne una valutazione approfondita, in quanto un'autorizzazione ai dati dovrebbe essere rilasciata solo se sono soddisfatte tutte le condizioni necessarie previste dal presente regolamento. Inoltre, se del caso, tali informazioni dovrebbero includere una dichiarazione attestante che gli usi previsti della richiesta di dati sanitari non comportano un rischio di stigmatizzazione o di danno alla dignità delle persone fisiche o dei gruppi cui la serie di dati richiesti fa riferimento. Potrebbe essere richiesta una valutazione etica in base al diritto nazionale. In tal caso, gli organismi etici esistenti dovrebbero poter effettuare tali valutazioni per l'organismo responsabile dell'accesso ai dati sanitari. Gli organismi etici esistenti negli Stati membri dovrebbero mettere le loro competenze a disposizione dell'organismo responsabile dell'accesso ai dati sanitari a tale scopo. In alternativa, gli Stati membri dovrebbero poter rendere gli organismi etici parte dell'organismo responsabile dell'accesso ai dati sanitari. L'organismo responsabile dell'accesso ai dati sanitari e, se del caso, i titolari dei dati sanitari dovrebbero assistere gli utenti dei dati sanitari nella selezione delle serie di dati o delle fonti di dati idonee per la destinazione d'uso prevista dell'uso secondario. Laddove il richiedente di dati sanitari abbia bisogno di dati in forma statistica anonimizzata, dovrebbe presentare una richiesta di dati sanitari in cui chiede all'organismo responsabile dell'accesso ai dati sanitari di fornire direttamente il risultato. Il diniego di un'autorizzazione ai dati da parte dell'organismo responsabile dell'accesso ai dati sanitari non dovrebbe precludere al richiedente di dati sanitari la presentazione di una nuova domanda di accesso ai dati sanitari. Al fine di garantire un approccio armonizzato tra organismi responsabili dell'accesso ai dati sanitari e di limitare l'onere amministrativo per i richiedenti di dati sanitari, la Commissione dovrebbe sostenere l'armonizzazione delle domande di accesso ai dati sanitari e delle richieste di dati sanitari, anche istituendo i modelli pertinenti. In casi giustificati, come nel caso di una richiesta complessa e onerosa, l'organismo responsabile dell'accesso ai dati sanitari dovrebbe essere autorizzato a prorogare il periodo concesso ai titolari dei dati sanitari per mettere i dati sanitari elettronici richiesti a sua disposizione.
74) Poiché le loro risorse sono limitate, agli organismi responsabili dell'accesso ai dati sanitari dovrebbe essere consentito applicare norme di definizione delle priorità, ad esempio dando la priorità a istituzioni pubbliche rispetto a soggetti privati, ma non dovrebbero discriminare tra organizzazioni nazionali e organizzazioni di altri Stati membri all'interno della stessa categoria di priorità. E' opportuno che un utente dei dati sanitari possa prorogare la durata dell'autorizzazione ai dati al fine, ad esempio, di concedere l'accesso alle serie di dati ai revisori di pubblicazioni scientifiche o di permettere ulteriori analisi delle serie di dati in base ai risultati iniziali. Ciò dovrebbe richiedere una modifica dell'autorizzazione ai dati e potrebbe essere soggetto a una tariffa aggiuntiva. Tuttavia in tutti i casi l'autorizzazione ai dati dovrebbe rispecchiare tali utilizzi aggiuntivi della serie di dati. L'utente dei dati sanitari dovrebbe preferibilmente menzionarli nella sua domanda iniziale. Al fine di garantire un approccio armonizzato tra organismi responsabili dell'accesso ai dati sanitari, la Commissione dovrebbe sostenere l'armonizzazione delle autorizzazioni ai dati.
75) Come dimostrato dalla crisi COVID-19, le istituzioni, gli organi e gli organismi dell'Unione con un mandato giuridico nel settore della sanità pubblica, in particolare la Commissione, hanno bisogno di accedere ai dati sanitari per un periodo più lungo e in maniera ricorrente. Tale situazione si può verificare non solo per circostanze specifiche previste dal diritto dell'Unione o nazionale in tempi di crisi, ma anche per fornire periodicamente prove scientifiche e sostegno tecnico per le politiche dell'Unione. L'accesso a tali dati potrebbe essere richiesto in specifici Stati membri o in tutto il territorio dell'Unione. Tali istituzioni, organi e organismi dell'Unione dovrebbero poter beneficiare di una procedura accelerata per far sì che i dati siano messi a disposizione, di norma in meno di due mesi, con la possibilità di prorogare il termine di un mese nei casi più complessi.
76) Gli Stati membri dovrebbero essere autorizzati a designare titolari dei dati sanitari affidabili per i quali la procedura di rilascio dell'autorizzazione dei dati può essere eseguita in modo semplificato, al fine di alleviare l'onere amministrativo a carico degli organismi responsabili dell'accesso ai dati sanitari nella gestione delle richieste di dati da essi trattati. I titolari dei dati sanitari affidabili dovrebbero essere autorizzati a valutare le domande di accesso ai dati sanitari presentate nell'ambito di questa procedura semplificata, sulla base delle loro competenze nell'affrontare il tipo di dati sanitari che stanno trattando, e di rilasciare una raccomandazione in merito a un'autorizzazione ai dati. L'organismo responsabile dell'accesso ai dati sanitari dovrebbe rimanere responsabile del rilascio dell'autorizzazione finale ai dati e non dovrebbe essere vincolato dalla raccomandazione fornita dal titolare dei dati sanitari affidabile. I soggetti di intermediazione dei dati sanitari non dovrebbero essere designati come titolari di dati sanitari affidabili.
77) Data la sensibilità dei dati sanitari elettronici, gli utenti dei dati non dovrebbero avere accesso illimitato a tali dati. Tutti gli accessi per l'uso secondario ai dati sanitari elettronici richiesti dovrebbero avvenire attraverso un ambiente di trattamento sicuro. Al fine di assicurare l'esistenza di forti garanzie tecniche e di sicurezza per i dati sanitari elettronici, l'organismo responsabile dell'accesso ai dati sanitari o, se del caso, il titolare dei dati sanitari affidabile dovrebbe fornire l'accesso a tali dati in un ambiente di trattamento sicuro, rispettando gli elevati standard tecnici e di sicurezza stabiliti ai sensi del presente regolamento. Il trattamento dei dati personali in tale ambiente sicuro dovrebbe avvenire nel rispetto del regolamento (UE) 2016/679, inclusi, ove l'ambiente sicuro sia gestito da terzi, le prescrizioni del suo articolo 28 e, ove applicabile, il suo capo V. L'ambiente di trattamento sicuro dovrebbe ridurre i rischi per la riservatezza collegati a tali attività di trattamento e impedire che i dati sanitari elettronici siano trasmessi direttamente agli utenti dei dati sanitari. L'organismo responsabile dell'accesso ai dati sanitari o il titolare dei dati sanitari che fornisce tale servizio dovrebbe mantenere in qualsiasi momento il controllo dell'accesso ai dati sanitari elettronici e l'accesso concesso agli utenti dei dati sanitari dovrebbe essere determinato dalle condizioni dell'autorizzazione ai dati rilasciata. E' opportuno che gli utenti dei dati sanitari scarichino dall'ambiente di trattamento sicuro solo i dati sanitari elettronici non personali che non contengono alcun dato sanitario personale elettronico. L'ambiente di trattamento sicuro costituisce quindi una garanzia essenziale per preservare i diritti e le libertà delle persone fisiche in relazione al trattamento dei loro dati sanitari elettronici per l'uso secondario. La Commissione dovrebbe assistere gli Stati membri nello sviluppo di norme comuni di sicurezza al fine di promuovere la sicurezza e l'interoperabilità dei vari ambienti di trattamento sicuri.
78) Il regolamento (UE) 2022/868 stabilisce le norme generali per la gestione dell'altruismo dei dati. Dato che il settore sanitario gestisce dati sensibili, dovrebbero essere stabiliti criteri aggiuntivi attraverso i codici di cui a tale regolamento. Ove tali norme prevedano il ricorso a un ambiente di trattamento sicuro per il settore in oggetto, tale ambiente di trattamento sicuro dovrebbe rispettare i criteri stabiliti nel presente regolamento. Gli organismi responsabili dell'accesso ai dati sanitari dovrebbero cooperare con le autorità competenti designate a norma del regolamento (UE) 2022/868 per controllare l'attività delle organizzazioni per l'altruismo dei dati nel settore sanitario o dell'assistenza.
79) Per il trattamento dei dati sanitari elettronici nell'ambito di un'autorizzazione ai dati o di una richiesta di dati sanitari, i titolari dei dati sanitari, compresi i titolari dei dati sanitari affidabili, gli organismi responsabili dell'accesso ai dati sanitari e gli utenti dei dati sanitari dovrebbero essere, a loro volta, considerati singolarmente titolari del trattamento per una parte specifica del processo e in base ai rispettivi ruoli che vi svolgono. I titolari dei dati sanitari dovrebbero essere considerati titolari del trattamento per la divulgazione dei dati sanitari elettronici personali richiesti agli organismi responsabili dell'accesso ai dati sanitari, mentre gli organismi responsabili dell'accesso ai dati sanitari dovrebbero essere considerati, a loro volta, titolari del trattamento per il trattamento dei dati sanitari elettronici personali nella preparazione dei dati e nella loro messa a disposizione all'utente dei dati sanitari. Gli utenti dei dati sanitari dovrebbero essere considerati titolari del trattamento per il trattamento dei dati sanitari elettronici personali in forma pseudonimizzata nell'ambiente di trattamento sicuro conformemente alle loro autorizzazioni ai dati. Gli organismi responsabili dell'accesso ai dati sanitari dovrebbero essere considerati responsabili del trattamento per conto dell'utente dei dati sanitari per i trattamenti effettuati da quest'ultimo a norma di un'autorizzazione ai dati nell'ambiente di trattamento sicuro, nonché per i trattamenti volti a generare una risposta a una richiesta di dati sanitari. Analogamente, i titolari dei dati sanitari affidabili dovrebbero essere considerati titolari del trattamento per il trattamento dei dati sanitari elettronici personali relativi alla fornitura di dati sanitari elettronici all'utente dei dati sanitari in virtù di un'autorizzazione ai dati sanitari o di una richiesta di dati sanitari. I titolari dei dati sanitari affidabili dovrebbero essere considerati responsabili del trattamento per l'utente dei dati sanitari quando forniscono dati attraverso un ambiente di trattamento sicuro.
80) Al fine di ottenere un quadro inclusivo e sostenibile per l'uso secondario multinazionale è opportuno istituire un'infrastruttura transfrontaliera («DatiSanitari@UE (HealthData@EU)»). DatiSanitari@UE (HealthData@EU) dovrebbe accelerare l'uso secondario aumentando al contempo la certezza del diritto, rispettando la riservatezza delle persone fisiche ed essendo interoperabile. Data la sensibilità dei dati sanitari, laddove possibile dovrebbero essere rispettati principi quali la «tutela della vita privata fin dalla progettazione» e la «tutela della vita privata per impostazione predefinita» e il concetto di interrogare i dati anziché spostare i dati. Gli Stati membri dovrebbero designare punti di contatto nazionali per l'uso secondario, quali sportelli organizzativi e tecnici per gli organismi responsabili dell'accesso ai dati sanitari, e collegare tali punti di contatto a DatiSanitari@UE (HealthData@EU). Anche il servizio di accesso ai dati sanitari dell'Unione dovrebbe essere collegato a DatiSanitari@UE (HealthData@EU). Inoltre, i partecipanti autorizzati di DatiSanitari@UE (HealthData@EU) potrebbero essere infrastrutture di ricerca istituite come consorzio per un'infrastruttura europea di ricerca (ERIC) ai sensi del regolamento (CE) n. 723/2009 del Consiglio (19), come consorzio per l'infrastruttura digitale europea (EDIC) ai sensi della decisione (UE) 2022/2481° infrastrutture simili istituite ai sensi di altri atti giuridici dell'Unione, così come altri tipi di soggetti, incluse le infrastrutture del Forum strategico europeo sulle infrastrutture di ricerca (ESFRI) o le infrastrutture federate nel cloud europeo per la scienza aperta (EOSC). Anche i punti di contatto nazionali per l'uso secondario di paesi terzi e i sistemi istituiti a livello internazionale potrebbero diventare partecipanti autorizzati a DatiSanitari@UE (HealthData@EU), a condizione che siano conformi ai requisiti del presente regolamento. La comunicazione della Commissione del 19 febbraio 2020 dal titolo «Una strategia europea per i dati» ha promosso il collegamento dei vari spazi comuni europei di dati. DatiSanitari@UE (HealthData@EU) dovrebbe pertanto permettere l'uso secondario di differenti categorie di dati sanitari elettronici, compreso il collegamento dei dati sanitari con dati provenienti da altri spazi di dati quali quelli relativi all'ambiente, all'agricoltura e al settore sociale. Tale interoperabilità tra il settore sanitario e altri settori quali i settori ambientale, agricolo o sociale potrebbe essere pertinente per ottenere ulteriori informazioni sui determinanti della salute. La Commissione potrebbe fornire una serie di servizi all'interno di DatiSanitari@UE (HealthData@EU), tra cui il sostegno allo scambio di informazioni tra organismi responsabili dell'accesso ai dati sanitari e partecipanti autorizzati a DatiSanitari@UE (HealthData@EU) per la gestione di richieste di accesso transfrontaliero, il mantenimento di cataloghi di dati sanitari elettronici accessibili attraverso l'infrastruttura, la reperibilità della rete e le interrogazioni di metadati, i servizi per la connettività e la conformità. La Commissione potrebbe inoltre istituire un ambiente di trattamento sicuro, che permetta la trasmissione e l'analisi dei dati provenienti da differenti infrastrutture nazionali, su richiesta dei titolari del trattamento. Per motivi di efficienza informatica, di razionalizzazione e di interoperabilità degli scambi di dati, è opportuno riutilizzare il più possibile i sistemi esistenti per la condivisione dei dati, come quelli costituiti per lo scambio di prove secondo il sistema tecnico basato sul principio «una tantum» del regolamento (UE) 2018/1724 del Parlamento europeo e del Consiglio (20).
81) Inoltre, dato che il collegamento a DatiSanitari@UE (HealthData@EU) potrebbe comportare il trasferimento di dati personali relativi al richiedente o all'utente di dati sanitari verso paesi terzi, occorre che siano in vigore, per tali trasferimenti, i pertinenti strumenti di trasferimento ai sensi del capo V del regolamento (UE) 2016/679.
82) In caso di registri o di banche dati transfrontalieri, quali i registri delle reti di riferimento europee per le malattie rare, che ricevono dati da differenti prestatori di assistenza sanitaria in vari Stati membri, l'organismo responsabile dell'accesso ai dati sanitari dello Stato membro in cui si trova il coordinatore del registro dovrebbe essere responsabile della fornitura dell'accesso ai dati.
83) Il processo di autorizzazione per ottenere l'accesso ai dati sanitari personali elettronici in diversi Stati membri può essere ripetitivo e complicato per gli utenti dei dati sanitari. Laddove possibile, è opportuno creare sinergie per ridurre l'onere e gli ostacoli per gli utenti dei dati sanitari. Un modo per conseguire questo obiettivo è aderire al principio della «domanda unica», secondo il quale, con una sola domanda, l'utente dei dati sanitari può ottenere l'autorizzazione da molteplici organismi responsabili dell'accesso ai dati sanitari in diversi Stati membri o da partecipanti autorizzati a DatiSanitari@UE (HealthData@EU).
84) Gli organismi responsabili dell'accesso ai dati sanitari dovrebbero fornire informazioni sulle serie di dati disponibili e sulle loro caratteristiche in modo che gli utenti dei dati sanitari possano essere informati dei fatti basilari riguardanti tali serie di dati e valutare la possibile rilevanza di tali fatti per quanto li riguarda. Per questo motivo ciascuna serie di dati dovrebbe includere almeno informazioni relative alla fonte e alla natura dei dati, nonché alle condizioni per renderli disponibili. Il titolare dei dati sanitari dovrebbe verificare, come minimo su base annuale, che la sua descrizione della serie di dati nel catalogo nazionale delle serie di dati sia accurata e aggiornata. Pertanto dovrebbe essere istituito un catalogo UE delle serie di dati per facilitare la reperibilità delle serie di dati disponibili nello spazio europeo dei dati sanitari, per aiutare i titolari dei dati sanitari a pubblicare le loro serie di dati, per fornire a tutti i portatori di interessi, compreso il pubblico in generale, tenendo anche conto dei bisogni specifici delle persone con disabilità, informazioni sulle serie di dati inserite nello spazio europeo dei dati sanitari, quali i marchi di qualità e di utilità dei dati e le schede informative sulle serie di dati, e per fornire agli utenti dei dati sanitari informazioni aggiornate sulla qualità e l'utilità delle serie di dati.
85) Le informazioni sulla qualità e l'utilità delle serie di dati aumentano in modo significativo il valore dei risultati provenienti da attività di ricerca e innovazione a forte intensità di dati, promuovendo, al contempo, un processo decisionale normativo e strategico basato su dati concreti. Il miglioramento della qualità e dell'utilità delle serie di dati attraverso scelte informate dei clienti e l'armonizzazione delle relative prescrizioni a livello di Unione, tenendo conto delle norme internazionali e dell'Unione esistenti, degli orientamenti e delle raccomandazioni per la raccolta e lo scambio dei dati, quali i principi FAIR, apportano benefici anche a titolari dei dati sanitari, professionisti sanitari, persone fisiche e all'economia dell'Unione in generale. Un marchio di qualità e di utilità dei dati per le serie di dati informerebbe gli utenti dei dati sanitari sulle caratteristiche di qualità e utilità di una serie di dati e permetterebbe loro di scegliere le serie di dati più adatte alle loro esigenze. Il marchio di qualità e di utilità dei dati non dovrebbe impedire la messa a disposizione delle serie di dati attraverso lo spazio europeo dei dati sanitari, ma fornire un meccanismo di trasparenza tra i titolari dei dati sanitari e gli utenti dei dati sanitari. Ad esempio una serie di dati che non rispetti alcun requisito di qualità e utilità dei dati dovrebbe essere corredata di un'etichetta che riporti la classe che rappresenta il livello più basso di qualità e utilità, ma dovrebbe comunque essere resa disponibile. Nell'elaborazione del quadro di qualità e di utilità dei dati è opportuno tenere in considerazione le aspettative stabilite dai quadri istituiti a norma dell'articolo 10 del regolamento (UE) 2024/1689 e la documentazione tecnica pertinente specificata nell'allegato IV dello stesso. Gli Stati membri dovrebbero accrescere il livello di consapevolezza riguardo al marchio di qualità e di utilità dei dati attraverso attività di comunicazione. La Commissione potrebbe sostenere tali attività. L'uso delle serie di dati potrebbe essere privilegiato dagli utenti in base alla loro utilità e qualità.
86) Il catalogo UE delle serie di dati dovrebbe ridurre al minimo l'onere amministrativo per i titolari dei dati sanitari e altri utenti delle banche dati; dovrebbe inoltre essere di facile utilizzo, accessibile ed efficace in termini di costi, collegare i cataloghi delle serie di dati nazionali ed evitare la registrazione ridondante di serie di dati. Fatti salvi i requisiti di cui al regolamento (UE) 2022/868, il catalogo UE delle serie di dati potrebbe essere allineato all'iniziativa data.europa.eu. Dovrebbe essere garantita l'interoperabilità tra il catalogo UE delle serie di dati, i cataloghi delle serie di dati nazionali e i cataloghi delle serie di dati provenienti da infrastrutture di ricerca europee e altre infrastrutture pertinenti di condivisione dei dati.
87) Diverse organizzazioni professionali, la Commissione e altre istituzioni stanno attualmente collaborando e lavorando alla definizione di campi minimi di dati e di altre caratteristiche di differenti serie di dati, ad esempio i registri. Tale lavoro è più avanzato in ambiti quali quelli del cancro, delle malattie rare, delle malattie cardiovascolari e metaboliche, della valutazione dei fattori di rischio e delle statistiche, e dovrebbero essere tenuti in considerazione al momento della definizione di nuove norme e nuovi modelli armonizzati specifici per malattia per gli elementi di dati strutturati. Tuttavia la mancanza di armonizzazione di molte serie di dati pone problemi di comparabilità dei dati e rende difficile la ricerca transfrontaliera. Pertanto, negli atti di esecuzione dovrebbero essere stabilite norme più dettagliate per garantire l'armonizzazione della codifica e della registrazione dei dati sanitari elettronici per consentire la fornitura di tali dati per uso secondario in modo coerente. Tali serie di dati potrebbero includere dati provenienti dai registri per le malattie rare, dalle banche dati dei medicinali orfani, dai registri oncologici e dai registri delle malattie infettive di grande rilevanza. Gli Stati membri dovrebbero adoperarsi per assicurare che i sistemi e i servizi europei di sanità elettronica e le applicazioni interoperabili apportino vantaggi socioeconomici sostenibili, al fine di conseguire un elevato livello di fiducia e sicurezza, rafforzare la continuità dell'assistenza sanitaria e garantire l'accesso a un'assistenza sanitaria sicura e di elevata qualità. Le infrastrutture e i registri esistenti di dati sanitari possono fornire modelli utili per la definizione e l'attuazione di norme in materia di dati e l'interoperabilità e dovrebbero essere utilizzati per consentire la continuità e accrescere le attuali competenze.
88) La Commissione dovrebbe sostenere gli Stati membri nel potenziamento delle capacità e nel miglioramento dell'efficacia nell'ambito dei sistemi di sanità digitale per l'uso primario e l'uso secondario. Gli Stati membri dovrebbero essere sostenuti nel rafforzamento delle loro capacità. Le attività a livello di Unione, quali l'analisi comparativa e lo scambio delle migliori pratiche, sono misure pertinenti in tal senso. Tali attività dovrebbero tenere conto delle circostanze specifiche delle diverse categorie di portatori di interessi, quali i rappresentanti della società civile, i ricercatori, le società mediche e le PMI.
89) E' fondamentale migliorare l'alfabetizzazione digitale in ambito sanitario sia per le persone fisiche che per i professionisti sanitari ai fini della fiducia e della sicurezza e un uso appropriato dei dati sanitari ed è pertanto essenziale per la corretta attuazione del presente regolamento. I professionisti sanitari fanno fronte a una trasformazione radicale nel contesto della digitalizzazione e riceveranno ulteriori strumenti digitali nel quadro dell'attuazione dello spazio europeo dei dati sanitari. Di conseguenza, i professionisti sanitari devono sviluppare la propria alfabetizzazione digitale in ambito sanitario e le proprie competenze digitali e gli Stati membri dovrebbero garantire ai professionisti sanitari l'accesso a corsi di alfabetizzazione digitale perché si possano preparare a lavorare con i sistemi di cartelle cliniche elettroniche. Tali corsi dovrebbero consentire ai professionisti sanitari e agli operatori informatici di ricevere sufficiente formazione per lavorare con le nuove infrastrutture digitali, al fine di garantire la cibersicurezza e la gestione etica dei dati sanitari. Le formazioni dovrebbero essere elaborate e riviste, oltre che aggiornate, su base regolare, in consultazione e collaborazione con gli esperti del settore. Il miglioramento dell'alfabetizzazione digitale in ambito sanitario è fondamentale per consentire alle persone fisiche di esercitare un autentico controllo sui propri dati sanitari, di gestire attivamente la propria salute e assistenza medica e di comprendere le implicazioni della gestione di tali dati sia per l'uso primario che per l'uso secondario. I diversi gruppi demografici hanno vari livelli di alfabetizzazione digitale che possono incidere sulla capacità delle persone fisiche di esercitare il loro diritto di controllare i propri dati sanitari elettronici. Gli Stati membri, ivi comprese le autorità regionali e locali, dovrebbero pertanto sostenere l'alfabetizzazione digitale in ambito sanitario e la sensibilizzazione del pubblico, garantendo nel contempo che l'attuazione del presente regolamento contribuisca alla riduzione delle disuguaglianze e non discrimini le persone che non hanno competenze digitali. E' opportuno prestare particolare attenzione alle persone con disabilità e ai gruppi vulnerabili, tra cui i migranti e gli anziani. Gli Stati membri dovrebbero creare programmi nazionali mirati di alfabetizzazione digitale, compresi programmi per massimizzare l'inclusione sociale e garantire che tutte le persone fisiche possano effettivamente esercitare i diritti previsti dal presente regolamento. Gli Stati membri dovrebbero inoltre fornire alle persone fisiche orientamenti incentrati sui pazienti in relazione all'uso delle cartelle cliniche elettroniche e all'uso primario dei loro dati sanitari elettronici personali. Gli orientamenti dovrebbero essere adattati al livello di alfabetizzazione digitale in ambito sanitario del paziente, prestando un'attenzione particolare alle esigenze dei gruppi vulnerabili.
90) Anche l'utilizzo dei fondi dovrebbe contribuire al conseguimento degli obiettivi dello spazio europeo dei dati sanitari. I committenti pubblici, le autorità nazionali competenti negli Stati membri, tra cui le autorità di sanità digitale e gli organismi responsabili dell'accesso ai dati sanitari, e la Commissione dovrebbero fare riferimento alle specifiche tecniche, alle norme e ai profili applicabili in materia di interoperabilità, sicurezza e qualità dei dati, nonché ad altre prescrizioni messe a punto ai sensi del presente regolamento al momento della definizione delle condizioni per gli appalti pubblici, gli inviti a presentare proposte e l'assegnazione di fondi dell'Unione, inclusi i fondi strutturali e di coesione. Occorre che i fondi dell'Unione siano distribuiti in modo trasparente tra gli Stati membri, tenendo conto dei diversi livelli di digitalizzazione dei sistemi sanitari. La messa a disposizione dei dati per l'uso secondario richiede risorse aggiuntive per i sistemi di assistenza sanitaria, in particolare i sistemi sanitari pubblici. Tale onere aggiuntivo dovrebbe essere affrontato e ridotto al minimo durante la fase di attuazione dello spazio europeo dei dati sanitari.
91) L'attuazione dello spazio europeo dei dati sanitari richiede investimenti adeguati nello sviluppo delle capacità e nella formazione e un impegno adeguatamente finanziato a favore della consultazione pubblica e della partecipazione dei cittadini a livello sia di Stati membri che di Unione. I costi economici dell'attuazione del presente regolamento dovranno essere sostenuti sia a livello di Unione che a livello nazionale e dovrà essere raggiunta un'equa ripartizione di tali oneri tra i fondi dell'Unione e i fondi nazionali.
92) Determinate categorie di dati sanitari elettronici possono rimanere particolarmente sensibili anche quando sono in formato anonimizzato e dunque non personali, come specificamente previsto dal regolamento (UE) 2022/868. Anche nel caso in cui si ricorra alle tecniche di anonimizzazione più avanzate, permane il rischio residuo che esista o possa esistere in futuro una capacità di reidentificazione ulteriore rispetto ai mezzi di cui ci si può ragionevolmente avvalere. Tale rischio residuo è presente in relazione alle malattie rare, vale a dire patologie che comportano una minaccia per la vita o la debilitazione cronica e che colpiscono non più di cinque individui su 10 000 nell'Unione, nel quale caso i numeri limitati dei casi riducono la possibilità di aggregare completamente i dati pubblicati al fine di preservare la riservatezza delle persone fisiche mantenendo al contempo un appropriato livello di dettaglio perché i dati rimangano significativi. Tale rischio residuale può riguardare diverse categorie di dati sanitari e può portare alla reidentificazione degli interessati utilizzando mezzi che vanno oltre quelli di cui ci si può ragionevolmente avvalere. Tale rischio dipende dal livello di dettaglio, dalla descrizione delle caratteristiche degli interessati, dal numero di persone colpite, ad esempio nei casi dei dati inclusi in cartelle cliniche elettroniche, registri di malattia, biobanche e dati generati dalle persone, dove la gamma delle caratteristiche di identificazione è più ampia, e dall'eventuale combinazione con altre informazioni, ad esempio in zone geografiche molto piccole, o per via dell'evoluzione tecnologica di metodi che non erano disponibili al momento dell'anonimizzazione. Tale reidentificazione delle persone fisiche rappresenterebbe una seria preoccupazione ed è probabile che metta a repentaglio l'accettazione delle norme sull'uso secondario previste nel presente regolamento. Inoltre le tecniche di aggregazione sono meno testate per quanto riguarda i dati non personali contenenti ad esempio segreti commerciali, come nel caso delle relazioni sulle sperimentazioni cliniche e le indagini cliniche, e il perseguimento di violazioni di segreti commerciali al di fuori dell'Unione è più difficile in assenza di un'adeguata norma di protezione internazionale. Per queste categorie di dati sanitari permane pertanto un rischio di reidentificazione dopo l'anonimizzazione o l'aggregazione, che non ha potuto essere ragionevolmente ridotto in origine. Ciò rientra nei criteri indicati all'articolo 5, paragrafo 13, del regolamento (UE) 2022/868. Tali tipi di dati sanitari rientrerebbero dunque nel conferimento di potere di cui all'articolo 5, paragrafo 13, di tale regolamento per il trasferimento dei dati a paesi terzi. Le condizioni speciali previste nell'ambito del conferimento di poteri di cui all'articolo 5, paragrafo 13, del regolamento (UE) 2022/868 saranno specificate nel contesto dell'atto delegato adottato nell'ambito di tale conferimento, devono essere proporzionali al rischio di reidentificazione e devono tenere conto delle specificità delle differenti categorie di dati o delle differenti tecniche di anonimizzazione o aggregazione.
93) Il trattamento di grandi quantità di dati sanitari personali elettronici per le finalità dello spazio europeo dei dati sanitari, nell'ambito delle attività di trattamento dei dati sanitari nel contesto della gestione delle domande di accesso ai dati sanitari, delle autorizzazioni ai dati e delle richieste di dati sanitari, comporta maggiori rischi in termini di accesso non autorizzato a tali dati personali, nonché la possibilità di incidenti di cibersicurezza. I dati sanitari personali elettronici sono particolarmente sensibili in quanto contengono spesso informazioni intime, coperte da segreto medico, la cui divulgazione a terzi non autorizzati può causare un grave disagio. Tenendo pienamente conto dei principi delineati nella giurisprudenza della Corte di giustizia dell'Unione europea, il presente regolamento garantisce il pieno rispetto dei diritti fondamentali, del diritto alla vita privata e del principio di proporzionalità. Al fine di garantire la piena integrità e riservatezza dei dati sanitari elettronici personali a norma del presente regolamento, garantire un livello particolarmente elevato di protezione e sicurezza e ridurre il rischio di accesso illecito a tali dati sanitari elettronici personali, il presente regolamento autorizza gli Stati membri a richiedere che i dati sanitari elettronici personali siano conservati e trattati esclusivamente all'interno dell'Unione ai fini dello svolgimento dei compiti previsti dal presente regolamento, a meno che non si applichi una decisione di adeguatezza adottata a norma dell'articolo 45 del regolamento (UE) 2016/679.
94) L'accesso ai dati sanitari elettronici per gli utenti di dati sanitari stabiliti in paesi terzi o per le organizzazioni internazionali dovrebbe avvenire soltanto sulla base del principio di reciprocità. La messa a disposizione di dati sanitari elettronici a un paese terzo dovrebbe essere autorizzata soltanto ove la Commissione abbia stabilito, mediante un atto di esecuzione, che il paese terzo interessato consente l'accesso ai dati sanitari elettronici provenienti da tale paese terzo da parte di soggetti dell'Unione alle stesse condizioni e con le stesse garanzie che si applicherebbero se accedessero ai dati sanitari elettronici all'interno dell'Unione. La Commissione dovrebbe monitorare la situazione in tali paesi terzi e per le organizzazioni internazionali e produrre un elenco di tali atti di esecuzione. Laddove constati che un paese terzo non garantisce più l'accesso alle stesse condizioni, la Commissione dovrebbe revocare il relativo atto di esecuzione.
95) Al fine di promuovere l'applicazione coerente del presente regolamento, anche per quanto riguarda l'interoperabilità transfrontaliera dei dati sanitari elettronici, dovrebbe essere istituito un comitato EHDS. E' opportuno che la Commissione partecipi alle attività del comitato e lo copresieda. Il comitato EHDS dovrebbe essere in grado di redigere contributi scritti relativi all'applicazione coerente del presente regolamento in tutta l'Unione, tra l'altro aiutando gli Stati membri a coordinare l'uso dei dati sanitari elettronici per l'assistenza sanitaria e la certificazione, nonché per l'uso secondario e il finanziamento di tali attività. Ciò potrebbe includere anche la condivisione di informazioni sui rischi e sugli incidenti negli ambienti di trattamento sicuri. La condivisione di tale tipo di informazioni non incide sugli obblighi derivanti da altri atti giuridici, come le notifiche di violazioni dei dati a norma del regolamento (UE) 2016/679. Più in generale, le attività del comitato EHDS fanno salvi i poteri delle autorità di controllo a norma del regolamento (UE) 2016/679. Dato che, a livello nazionale, le autorità di sanità digitale che gestiscono l'uso primario possono differire dagli organismi responsabili dell'accesso ai dati sanitari che gestiscono l'uso secondario, le funzioni sono differenti e ciascuno di tali ambiti richiede una cooperazione distinta, il comitato EHDS dovrebbe poter istituire sottogruppi per esercitare tali due funzioni, nonché altri sottogruppi, se necessario. Per porre in essere un metodo di lavoro efficiente, le autorità di sanità digitale e gli organismi responsabili dell'accesso ai dati sanitari dovrebbero creare reti e collegamenti a livello nazionale con altri organismi e autorità, ma anche a livello di Unione. Tali organismi potrebbero comprendere autorità di protezione dei dati, organismi responsabili della cibersicurezza, dell'identificazione elettronica e della normazione, nonché organismi e gruppi di esperti ai sensi dei regolamenti (UE) 2022/868, (UE) 2023/2854 e (UE) 2024/1689 e del regolamento (UE) 2019/881 del Parlamento europeo e del Consiglio (21). Il comitato EHDS dovrebbe operare in modo indipendente, nell'interesse pubblico e in linea con il suo codice di condotta.
96) Qualora siano discusse questioni che sono considerate di specifica rilevanza dal comitato EHDS, questo dovrebbe poter invitare osservatori, ad esempio il GEPD, i rappresentanti delle istituzioni dell'Unione, compreso il Parlamento europeo, e altri portatori di interessi.
97) Dovrebbe essere istituito un forum dei portatori di interesse per consigliare il comitato EHDS nell'adempimento dei propri compiti fornendo il contributo dei portatori di interessi a questioni relative al presente regolamento. Il forum dei portatori di interesse dovrebbe essere composto, tra gli altri, da rappresentanti delle organizzazioni dei pazienti e dei consumatori, dei professionisti sanitari, dell'industria, dei ricercatori scientifici e del mondo accademico, avere una composizione equilibrata e rappresentare i punti di vista dei diversi portatori di interessi pertinenti. Dovrebbero essere rappresentati gli interessi sia commerciali che non commerciali.
98) Al fine di garantire la corretta gestione quotidiana delle infrastrutture transfrontaliere per l'uso primario e l'uso secondario, è necessario creare gruppi direttivi composti da rappresentanti degli Stati membri. I gruppi direttivi dovrebbero prendere decisioni operative sulla gestione tecnica quotidiana delle infrastrutture transfrontaliere e sul loro sviluppo tecnico, anche per quanto riguarda le modifiche tecniche delle infrastrutture, il miglioramento delle funzionalità o dei servizi o la garanzia dell'interoperabilità con altre infrastrutture, o con altri sistemi digitali o spazi di dati. Le loro attività non dovrebbero includere il contributo allo sviluppo di atti di esecuzione che riguardano tali infrastrutture. I gruppi direttivi dovrebbero anche poter invitare alle loro riunioni rappresentanti di altri partecipanti autorizzati a DatiSanitari@UE (HealthData@EU) in qualità di osservatori e dovrebbero consultare gli esperti del settore nello svolgimento dei loro compiti.
99) Fatto salvo ogni altro ricorso amministrativo, giurisdizionale o extragiudiziale, qualsiasi persona fisica o giuridica dovrebbe avere il diritto di proporre reclamo a un'autorità di sanità digitale o a un organismo responsabile dell'accesso ai dati sanitari, qualora ritenga che i suoi diritti o interessi a norma del presente regolamento siano stati lesi. Successivamente al reclamo si dovrebbe condurre un'indagine, soggetta a controllo giurisdizionale, nella misura opportuna nel caso specifico. L'autorità di sanità digitale o l'organismo responsabile dell'accesso ai dati sanitari dovrebbe informare la persona fisica o giuridica dello stato o dell'esito del reclamo entro un periodo ragionevole. Se il caso richiede un'ulteriore indagine o il coordinamento con un'altra autorità di sanità digitale o un altro organismo responsabile dell'accesso ai dati sanitari, alla persona fisica o giuridica dovrebbero essere fornite informazioni sui progressi compiuti nel trattare il reclamo. Per agevolare la proposizione di reclami, ciascuna autorità di sanità digitale e ciascun organismo responsabile dell'accesso ai dati sanitari dovrebbe adottare misure quali la messa a disposizione di un modulo per la proposizione dei reclami compilabile anche elettronicamente, senza escludere la possibilità di utilizzare altri mezzi di comunicazione. Se il reclamo riguarda i diritti delle persone fisiche relativi alla protezione dei loro dati personali, l'autorità di sanità digitale o l'organismo responsabile dell'accesso ai dati sanitari dovrebbe trasmettere il reclamo alle autorità di controllo di cui al regolamento (UE) 2016/679. Le autorità di sanità digitale o gli organismi responsabili dell'accesso ai dati sanitari dovrebbero cooperare per trattare e risolvere i reclami, anche scambiando tutte le informazioni pertinenti per via elettronica, senza indebito ritardo.
100) La persona fisica che ritenga che siano stati violati i diritti di cui gode a norma del presente regolamento dovrebbe avere il diritto di dare mandato a un organismo, un'organizzazione o un'associazione che non abbiano scopo di lucro, costituiti in conformità del diritto nazionale, con obiettivi statutari di pubblico interesse e attivi nel settore della protezione dei dati personali per proporre reclamo per suo conto.
101) L'autorità di sanità digitale, l'organismo responsabile dell'accesso ai dati sanitari, il titolare dei dati sanitari o l'utente dei dati sanitari dovrebbe risarcire i danni subiti da una persona fisica o giuridica a causa di violazioni del presente regolamento. Il concetto di danno dovrebbe essere interpretato in senso lato alla luce della giurisprudenza della Corte di giustizia dell'Unione europea in modo tale da rispecchiare pienamente gli obiettivi del presente regolamento. Ciò non pregiudica le azioni di risarcimento di danni derivanti dalla violazione di altre disposizioni del diritto dell'Unione o nazionale. Le persone fisiche dovrebbero ottenere pieno ed effettivo risarcimento per il danno subito.
102) Per rafforzare il rispetto delle norme del presente regolamento dovrebbero essere imposte sanzioni, comprese sanzioni amministrative pecuniarie, per violazione del regolamento, in aggiunta o in sostituzione di misure appropriate imposte dagli organismi responsabili dell'accesso ai dati sanitari ai sensi del presente regolamento. L'imposizione di sanzioni, comprese sanzioni amministrative pecuniarie, dovrebbe essere soggetta a garanzie procedurali appropriate in conformità dei principi generali del diritto dell'Unione e della Carta dei diritti fondamentali dell'Unione europea, inclusi l'effettiva tutela giurisdizionale e il giusto processo.
103) E' opportuno stabilire disposizioni che consentano agli organismi responsabili dell'accesso ai dati sanitari di applicare sanzioni amministrative pecuniarie per talune violazioni del presente regolamento che dovrebbero essere considerate gravi violazioni a norma del presente regolamento, ad esempio la reidentificazione delle persone fisiche, lo scaricamento dei dati sanitari personali elettronici al di fuori dell'ambiente di trattamento sicuro o il trattamento dei dati per gli usi vietati o gli usi non coperti da un'autorizzazione ai dati. Il presente regolamento dovrebbe specificare tali violazioni, indicare il limite massimo e i criteri per prevedere la relativa sanzione amministrativa pecuniaria, che dovrebbe essere stabilita dall'organismo responsabile dell'accesso ai dati sanitari competente in ogni singolo caso, tenuto conto di tutte le circostanze pertinenti della situazione specifica, in particolare della natura, gravità e durata dell'infrazione e delle relative conseguenze, nonché delle misure adottate per assicurare la conformità agli obblighi derivanti dal presente regolamento e prevenire o attenuare le conseguenze della violazione. Ai fini dell'imposizione di sanzioni amministrative a norma del presente regolamento, le imprese dovrebbero essere intese in conformità degli articoli 101 e 102 TFUE. Dovrebbe spettare agli Stati membri determinare se e in che misura le autorità pubbliche debbano essere soggette a sanzioni amministrative pecuniarie. Imporre una sanzione amministrativa pecuniaria o dare un avvertimento non dovrebbe incidere sull'applicazione di altri poteri degli organismi responsabili dell'accesso ai dati sanitari o di altre sanzioni a norma del presente regolamento.
104) Al fine di garantire il conseguimento degli obiettivi dello spazio europeo dei dati sanitari, è opportuno delegare alla Commissione il potere di adottare atti, conformemente all'articolo 290 TFUE, per la modifica, l'aggiunta o la rimozione nell'allegato I delle principali caratteristiche delle categorie prioritarie di dati sanitari elettronici personali, dell'elenco dei dati richiesti che i fabbricanti di sistemi di cartelle cliniche elettroniche e di applicazioni per il benessere devono inserire nella banca dati UE per la registrazione dei sistemi di cartelle cliniche elettroniche, nonché per la modifica, l'aggiunta o la rimozione di elementi che devono essere coperti dall'etichetta relativa alla qualità e all'utilità dei dati. E' di particolare importanza che durante i lavori preparatori la Commissione svolga adeguate consultazioni, anche a livello di esperti, nel rispetto dei principi stabiliti nell'accordo interistituzionale «Legiferare meglio» del 13 aprile 2016 (22). In particolare, al fine di garantire la parità di partecipazione alla preparazione degli atti delegati, il Parlamento europeo e il Consiglio ricevono tutti i documenti contemporaneamente agli esperti degli Stati membri, e i loro esperti hanno sistematicamente accesso alle riunioni dei gruppi di esperti della Commissione incaricati della preparazione di tali atti delegati.
105) E' opportuno attribuire alla Commissione competenze di esecuzione al fine di garantire condizioni uniformi di esecuzione del presente regolamento per quanto riguarda:
- le specifiche tecniche per garantire l'interoperabilità dei servizi di delega degli Stati membri,
- le prescrizioni in materia di qualità dei dati per la registrazione dei dati sanitari elettronici personali nel sistema di cartelle cliniche elettroniche,
- le specifiche transfrontaliere per le categorie prioritarie di dati sanitari elettronici personali,
- le specifiche tecniche relative alle categorie di dati sanitari elettronici personali che definiscono il formato europeo di scambio delle cartelle cliniche elettroniche,
- gli aggiornamenti del formato europeo di scambio delle cartelle cliniche elettroniche al fine di integrare le pertinenti revisioni delle nomenclature e dei sistemi di codifica in ambito sanitario,
- le specifiche tecniche per estendere il formato europeo di scambio delle cartelle cliniche elettroniche ad altre categorie di dati sanitari elettronici personali,
- le prescrizioni relative al meccanismo interoperabile e transfrontaliero di identificazione e autenticazione delle persone fisiche e dei professionisti sanitari, conformemente al regolamento (UE) n. 910/2014,
- i requisiti relativi all'attuazione tecnica dei diritti delle persone fisiche relativi all'uso primario e secondario dei loro dati sanitari personali elettronici,
- le misure necessarie per lo sviluppo tecnico di LaMiaSalute@UE (MyHealth@EU), norme dettagliate riguardanti la sicurezza, la riservatezza e la protezione dei dati sanitari elettronici personali, nonché le condizioni per i controlli di conformità necessari per aderire e rimanere collegati a LaMiaSalute@UE (MyHealth@EU),
- le norme relative ai requisiti di cibersicurezza, interoperabilità tecnica, interoperabilità semantica, gestione delle operazioni e dei servizi in relazione al trattamento da parte della Commissione e alle sue responsabilità nei confronti del titolare del trattamento,
- gli aspetti tecnici dei servizi supplementari erogati tramite LaMiaSalute@UE (MyHealth@EU),
- gli aspetti tecnici degli scambi di dati sanitari elettronici personali tra LaMiaSalute@UE (MyHealth@EU) e altri servizi o infrastrutture,
- il collegamento di altre infrastrutture, di punti di contatto nazionali per la sanità digitale di paesi terzi o di sistemi istituiti a livello internazionale da organizzazioni internazionali alla o dalla piattaforma centrale di interoperabilità di LaMiaSalute@UE (MyHealth@EU) e la disconnessione dalla stessa,
- le specifiche comuni per quanto riguarda le prescrizioni essenziali di cui all'allegato II,
- le specifiche comuni per l'ambiente digitale europeo di prova,
- le giustificazioni delle misure nazionali prese dalle autorità di vigilanza del mercato in caso di non conformità dei sistemi di cartelle cliniche elettroniche,
- il formato e il contenuto dell'etichetta delle applicazioni per il benessere,
- i principi per le politiche tariffarie e le strutture tariffarie relative alle tariffe che gli organismi di accesso ai dati sanitari e i titolari di dati sanitari affidabili possono addebitare per rendere disponibili i dati sanitari elettronici per un uso secondario,
- l'architettura di uno strumento informatico volto a sostenere e a rendere trasparenti le misure di esecuzione agli organismi responsabili dell'accesso ai dati sanitari,
- il logo per riconoscere il contributo dello spazio europeo dei dati sanitari,
- i modelli per la domanda di accesso ai dati sanitari, per l'autorizzazione ai dati e per la richiesta di dati sanitari,
- le prescrizioni di carattere tecnico, organizzativo, inerenti alla sicurezza delle informazioni, alla riservatezza, alla protezione dei dati e all'interoperabilità per gli ambienti di trattamento sicuri,
- i modelli di accordi tra i titolari e i responsabili del trattamento dei dati sanitari,
- le decisioni sulla conformità di un punto di contatto nazionale per l'uso secondario di un paese terzo o un sistema istituito a livello internazionale da organizzazioni internazionali ai requisiti di DatiSanitari@UE (HealthData@EU) ai fini dell'uso secondario dei dati sanitari, sulla conformità al capo IV e sul fatto che tale punto di contatto nazionale per l'uso secondario o tale sistema fornisca agli utenti dei dati sanitari situati nell'Unione, a condizioni equivalenti, l'accesso ai dati sanitari elettronici cui esso stesso ha accesso,
- le prescrizioni, le specifiche tecniche, l'architettura informatica di DatiSanitari@UE (HealthData@EU); le condizioni e i controlli di conformità per aderire e rimanere collegati a DatiSanitari@UE (HealthData@EU); i criteri minimi che devono essere soddisfatti dai punti nazionali di contatto per l'uso secondario e i partecipanti autorizzati a DatiSanitari@UE (HealthData@EU); le responsabilità dei titolari del trattamento e dei responsabili del trattamento che partecipano a DatiSanitari@UE (HealthData@EU); le responsabilità dei titolari del trattamento e dei responsabili del trattamento per quanto riguarda l'ambiente di trattamento sicuro gestito dalla Commissione; le specifiche comuni in materia di architettura di DatiSanitari@UE (HealthData@EU) e della sua interoperabilità con altri spazi comuni europei di dati,
- le decisioni di connettere singoli partecipanti a DatiSanitari@UE (HealthData@EU),
- gli elementi minimi che i titolari dei dati sanitari sono tenuti a fornire riguardo alle serie di dati e alle caratteristiche di tali elementi,
- le caratteristiche visive e le specifiche tecniche del marchio di qualità e di utilità dei dati,
- le specifiche minime relative alle serie di dati ad alto impatto per l'uso secondario,
- le decisioni riguardanti il fatto che un paese terzo consenta ai richiedenti di dati sanitari dell'Unione di accedere ai dati sanitari elettronici in tale paese terzo a condizioni che non sono più restrittive di quelle previste dal presente regolamento,
- le misure necessarie per l'istituzione e il funzionamento del comitato EHDS.
E' opportuno che tali competenze siano esercitate conformemente al regolamento (UE) n. 182/2011 del Parlamento europeo e del Consiglio (23).
106) Gli Stati membri dovrebbero adottare tutte le misure necessarie per assicurare l'attuazione delle disposizioni di cui al presente regolamento, anche stabilendo sanzioni effettive, proporzionate e dissuasive in caso di violazione. Nel decidere l'importo della sanzione per ogni singolo caso, è opportuno che gli Stati membri tengano conto dei limiti e dei criteri stabiliti nel presente regolamento. La reidentificazione delle persone fisiche dovrebbe essere considerata una violazione grave del presente regolamento.
107) L'attuazione dello spazio europeo dei dati sanitari richiederà un notevole lavoro di sviluppo in tutti gli Stati membri e i servizi centrali. Al fine di monitorare i progressi raggiunti a questo riguardo, la Commissione dovrebbe riferire annualmente in merito, tenendo conto delle informazioni fornite dagli Stati membri, fino alla piena applicazione del presente regolamento. Tali relazioni potrebbero includere raccomandazioni di misure correttive, nonché una valutazione dei progressi compiuti.
108) Al fine di valutare se il presente regolamento raggiunga i suoi obiettivi in modo efficace ed efficiente, sia coerente e ancora pertinente, e apporti un valore aggiunto a livello di Unione, la Commissione ne dovrebbe effettuare una valutazione. La Commissione dovrebbe effettuare una valutazione mirata del presente regolamento entro otto anni dalla sua entrata in vigore e una valutazione generale entro dieci anni dalla sua entrata in vigore. Al termine di ogni valutazione la Commissione dovrebbe presentare relazioni sui risultati principali al Parlamento europeo, al Consiglio, al Comitato economico e sociale europeo e al Comitato delle regioni.
109) Per il buon esito dell'attuazione dello spazio europeo dei dati sanitari a livello transfrontaliero sarebbe opportuno considerare come punto di riferimento comune il quadro europeo di interoperabilità, il cui ambito di applicazione è stato aggiornato ed esteso dalla comunicazione della Commissione del 23 marzo 2017 dal titolo «Quadro europeo di interoperabilità - Strategia di attuazione» per tenere conto di requisiti di interoperabilità nuovi o riveduti, al fine di garantire un'interoperabilità giuridica, organizzativa, semantica e tecnica.
110) Poiché gli obiettivi del presente regolamento, ossia dare maggior potere alle persone fisiche offrendo loro un maggiore controllo sui loro dati sanitari personali elettronici e sostenerne la libertà di circolazione garantendo che i loro dati sanitari li accompagnino, incoraggiare un autentico mercato unico per i servizi e i prodotti di sanità digitale e garantire un quadro coerente ed efficiente per il riutilizzo dei dati sanitari delle persone fisiche per la ricerca, l'innovazione, la definizione delle politiche e le attività normative, non possono essere conseguiti in misura sufficiente dagli Stati membri attraverso le sole misure di coordinamento, come dimostrato dalla valutazione degli aspetti digitali della direttiva 2011/24/UE, ma, a motivo delle misure di armonizzazione per i diritti delle persone fisiche in relazione ai loro dati sanitari elettronici, dell'interoperabilità dei dati sanitari elettronici nonché del quadro comune e delle garanzie per l'uso primario e l'uso secondario, possono essere conseguiti meglio a livello di Unione, quest'ultima può intervenire in base al principio di sussidiarietà sancito dall'articolo 5 del trattato sull'Unione europea. Il presente regolamento si limita a quanto è necessario per conseguire tali obiettivi in ottemperanza al principio di proporzionalità enunciato nello stesso articolo.
111) La valutazione degli aspetti digitali della direttiva 2011/24/UE dimostra che l'efficacia della rete di assistenza sanitaria online è limitata, ma anche che esiste un grande potenziale di intervento a livello dell'Unione nell'ambito della sanità digitale, come dimostrato dal lavoro svolto durante la pandemia di COVID-19. La direttiva 2011/24/UE dovrebbe pertanto essere modificata di conseguenza.
112) Il presente regolamento integra i requisiti essenziali di cibersicurezza stabiliti dal regolamento (UE) 2024/2847. I sistemi di cartelle cliniche elettroniche che sono prodotti con elementi digitali ai sensi del regolamento (UE) 2024/2847 dovrebbero pertanto essere conformi ai requisiti essenziali di cibersicurezza stabiliti in tale regolamento. I fabbricanti dei sistemi di cartelle cliniche elettroniche dovrebbero dimostrare la conformità dei loro sistemi secondo quanto disposto dal presente regolamento. Per facilitare tale conformità, i fabbricanti dovrebbero essere autorizzati a redigere un'unica documentazione tecnica contenente gli elementi richiesti da entrambi gli atti giuridici. Dovrebbe essere possibile dimostrare la conformità dei sistemi di cartelle cliniche elettroniche ai requisiti essenziali di cibersicurezza stabiliti dal regolamento (UE) 2024/2847 mediante il quadro di valutazione previsto dal presente regolamento. Tuttavia, le parti della procedura di valutazione della conformità a norma del presente regolamento relative all'uso di ambienti di prova non dovrebbero essere applicate, in quanto gli ambienti di prova non consentono una valutazione della conformità ai requisiti essenziali di cibersicurezza. Poiché il regolamento (UE) 2024/2847 non contempla direttamente il servizio a livello di software (Software as a Service - SaaS) in quanto tale, i sistemi di cartelle cliniche elettroniche offerti attraverso il modello di concessione e fornitura di licenze SaaS non rientrano nell'ambito di applicazione di tale regolamento. Analogamente, i sistemi di cartelle cliniche elettroniche sviluppati e utilizzati internamente non rientrano nell'ambito di applicazione di tale regolamento, in quanto non sono immessi sul mercato.
113) Conformemente all'articolo 42, paragrafi 1 e 2, del regolamento (UE) 2018/1725, il GEPD e l'EDPB sono stati consultati e hanno formulato un parere congiunto il 12 luglio 2022.
114) Il presente regolamento non dovrebbe incidere sull'applicazione delle regole di concorrenza, in particolare degli articoli 101 e 102 TFUE. Le misure previste dal presente regolamento non dovrebbero essere utilizzate per limitare la concorrenza in contrasto con il TFUE.
115) Data la necessità di una preparazione tecnica, il presente regolamento dovrebbe applicarsi dal 26 marzo 2027. Ai fini del buon esito dell'attuazione dello spazio europeo dei dati sanitari e della creazione di condizioni efficaci per la cooperazione europea in materia di dati sanitari, è opportuno adottare un approccio attuativo graduale,
HANNO ADOTTATO IL PRESENTE REGOLAMENTO:
GU C 486 del 21.12.2022.
GU C 157 del 3.5.2023.
Posizione del Parlamento europeo del 24 aprile 2024 (non ancora pubblicata nella Gazzetta ufficiale) e decisione del Consiglio del 21 gennaio 2025.
Decisione di esecuzione (UE) 2019/1269 della Commissione, del 26 luglio 2019, che modifica la decisione di esecuzione 2014/287/UE della Commissione che stabilisce criteri per l'istituzione e la valutazione delle reti di riferimento europee e dei loro membri e per agevolare lo scambio di informazioni e competenze in relazione all'istituzione e alla valutazione di tali reti (GU L 200 del 29.7.2019).
Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (GU L 119 del 4.5.2016).
Regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio, del 23 ottobre 2018, sulla tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni, degli organi e degli organismi dell'Unione e sulla libera circolazione di tali dati, e che abroga il regolamento (CE) n. 45/2001 e la decisione n. 1247/2002/CE (GU L 295 del 21.11.2018).
Regolamento (UE) n. 910/2014 del Parlamento europeo e del Consiglio, del 23 luglio 2014, in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno e che abroga la direttiva 1999/93/CE (GU L 257 del 28.8.2014).
Decisione (UE) 2022/2481 del Parlamento europeo e del Consiglio, del 14 dicembre 2022, che istituisce il programma strategico per il decennio digitale 2030 (GU L 323 del 19.12.2022).
Raccomandazione (UE) 2019/243 della Commissione, del 6 febbraio 2019, relativa a un formato europeo di scambio delle cartelle cliniche elettroniche (GU L 39 dell'11.2.2019).
Regolamento (UE) 2024/1689 del Parlamento europeo e del Consiglio, del 13 giugno 2024, che stabilisce regole armonizzate sull'intelligenza artificiale e modifica i regolamenti (CE) n. 300/2008, (UE) n. 167/2013, (UE) n. 168/2013, (UE) 2018/858, (UE) 2018/1139 e (UE) 2019/2144 e le direttive 2014/90/UE, (UE) 2016/797 e (UE) 2020/1828 (regolamento sull'intelligenza artificiale)] (GU L, 2024/1689, 12.7.2024, ELI: http://data.europa.eu/eli/reg/2024/1689/oj).
Regolamento (UE) 2017/745 del Parlamento europeo e del Consiglio, del 5 aprile 2017, relativo ai dispositivi medici, che modifica la direttiva 2001/83/CE, il regolamento (CE) n. 178/2002 e il regolamento (CE) n. 1223/2009 e che abroga le direttive 90/385/CEE e 93/42/CEE del Consiglio (GU L 117 del 5.5.2017).
Regolamento (UE) 2022/868 del Parlamento europeo e del Consiglio, del 30 maggio 2022, relativo alla governance europea dei dati e che modifica il regolamento (UE) 2018/1724 (regolamento sulla governance dei dati) (GU L 152 del 3.6.2022).
Regolamento (UE) 2023/2854 del Parlamento europeo e del Consiglio, del 13 dicembre 2023, riguardante norme armonizzate sull'accesso equo ai dati e sul loro utilizzo e che modifica il regolamento (UE) 2017/2394 e la direttiva (UE) 2020/1828 (regolamento sui dati) (GU L, 2023/2854, 22.12.2023, ELI: http://data.europa.eu/eli/reg/2023/2854/oj).
Direttiva 2011/24/UE del Parlamento europeo e del Consiglio, del 9 marzo 2011, concernente l'applicazione dei diritti dei pazienti relativi all'assistenza sanitaria transfrontaliera (GU L 88 del 4.4.2011).
Regolamento (UE) 2024/2847 del Parlamento europeo e del Consiglio, del 23 ottobre 2024, relativo a requisiti orizzontali di cibersicurezza per i prodotti con elementi digitali e che modifica i regolamenti (UE) n. 168/2013 e (UE) 2019/1020 e la direttiva (UE) 2020/1828 (regolamento sulla ciberresilienza) (GU L, 2024/2847, 20.11.2024, ELI: http://data.europa.eu/eli/reg/2024/2847/oj).
Regolamento (UE) 2017/746 del Parlamento europeo e del Consiglio, del 5 aprile 2017, relativo ai dispositivi medico-diagnostici in vitro e che abroga la direttiva 98/79/CE e la decisione 2010/227/UE della Commissione (GU L 117 del 5.5.2017).
Regolamento (UE) 2019/1020 del Parlamento europeo e del Consiglio, del 20 giugno 2019, sulla vigilanza del mercato e sulla conformità dei prodotti e che modifica la direttiva 2004/42/CE e i regolamenti (CE) n. 765/2008 e (UE) n. 305/2011 (GU L 169 del 25.6.2019).
Raccomandazione 2003/361/CE della Commissione, del 6 maggio 2003, relativa alla definizione delle microimprese, piccole e medie imprese (GU L 124 del 20.5.2003).
Regolamento (CE) n. 723/2009 del Consiglio, del 25 giugno 2009, relativo al quadro giuridico comunitario applicabile a un consorzio per un'infrastruttura europea di ricerca (ERIC) (GU L 206 dell'8.8.2009).
Regolamento (UE) 2018/1724 del Parlamento europeo e del Consiglio, del 2 ottobre 2018, che istituisce uno sportello digitale unico per l'accesso a informazioni, procedure e servizi di assistenza e di risoluzione dei problemi e che modifica il regolamento (UE) n. 1024/2012 (GU L 295 del 21.11.2018).
Regolamento (UE) 2019/881 del Parlamento europeo e del Consiglio del 17 aprile 2019 relativo all'ENISA, l'Agenzia dell'Unione europea per la cibersicurezza, e alla certificazione della cibersicurezza per le tecnologie dell'informazione e della comunicazione, e che abroga il regolamento (UE) n. 526/2013 («regolamento sulla cibersicurezza») (GU L 151 del 7.6.2019).
GU L 123 del 12.5.2016.
Regolamento (UE) n. 182/2011 del Parlamento europeo e del Consiglio, del 16 febbraio 2011, che stabilisce le regole e i principi generali relativi alle modalità di controllo da parte degli Stati membri dell'esercizio delle competenze di esecuzione attribuite alla Commissione (GU L 55 del 28.2.2011).
Oggetto e ambito di applicazione
1. Il presente regolamento istituisce lo spazio europeo dei dati sanitari (European Health Data Space - EHDS) prevedendo disposizioni, norme e infrastrutture comuni e un quadro di governance al fine di facilitare l'accesso ai dati sanitari elettronici per l'uso primario dei dati sanitari elettronici e l'uso secondario di tali dati.
2. Il presente regolamento:
a) specifica e integra i diritti di cui al regolamento (UE) 2016/679 delle persone fisiche in relazione all'uso primario e all'uso secondario dei loro dati sanitari elettronici personali;
b) stabilisce norme comuni per i sistemi di cartelle cliniche elettroniche in relazione a due componenti software armonizzati obbligatori, vale a dire il «componente software europeo di interoperabilità dei sistemi di cartelle cliniche elettroniche» e il «componente software europeo di registrazione dei sistemi di cartelle cliniche elettroniche» quali definiti, rispettivamente, all'articolo 2, paragrafo 2, lettere n) e o), e per le applicazioni per il benessere che si dichiarano interoperabili con i sistemi di cartelle cliniche elettroniche in relazione a tali due componenti software armonizzati, per quanto riguarda l'uso primario dei dati sanitari elettronici;
c) stabilisce norme e meccanismi comuni per l'uso primario dei dati sanitari elettronici e l'uso secondario dei dati sanitari elettronici;
d) istituisce un'infrastruttura transfrontaliera che rende possibile l'uso primario dei dati sanitari elettronici personali in tutta l'Unione;
e) istituisce un'infrastruttura transfrontaliera per l'uso secondario dei dati sanitari elettronici;
f) istituisce meccanismi di governance e di coordinamento a livello di Unione e nazionale sia per l'uso sia primario dei dati sanitari elettronici che per l'uso secondario dei dati sanitari elettronici.
3. Il presente regolamento lascia impregiudicati gli altri atti giuridici dell'Unione relativi all'accesso ai dati sanitari elettronici, alla loro condivisione o al loro uso secondario o le prescrizioni dell'Unione relative al trattamento dei dati in relazione ai dati sanitari elettronici, in particolare i regolamenti (CE) n. 223/2009 (1), (UE) n. 536/2014 (2), (UE) 2016/679, (UE) 2018/1725, (UE) 2022/868 e (UE) 2023/2854 del Parlamento europeo e del Consiglio e le direttive 2002/58/CE (3) e (UE) 2016/943 (4) del Parlamento europeo e del Consiglio.
4. I riferimenti nel presente regolamento alle disposizioni del regolamento (UE) 2016/679 sono intesi anche come riferimenti alle corrispondenti disposizioni del regolamento (UE) 2018/1725, se del caso, per le istituzioni, gli organi e gli organismi dell'Unione.
5. Il presente regolamento lascia impregiudicati i regolamenti (UE) 2017/745, (UE) 2017/746 e (UE) 2024/1689 per quanto riguarda la sicurezza dei dispositivi medici, dei dispositivi medico-diagnostici in vitro e dei sistemi di intelligenza artificiale (IA) che interagiscono con i sistemi di cartelle cliniche elettroniche.
6. Il presente regolamento lascia impregiudicate il diritto dell'Unione o nazionale in materia di trattamento dei dati sanitari elettronici ai fini della comunicazione, del soddisfacimento delle richieste di accesso alle informazioni o della dimostrazione o verifica del rispetto degli obblighi di legge o del diritto dell'Unione o nazionale in materia di concessione dell'accesso ai documenti ufficiali e di loro divulgazione.
7. Il presente regolamento lascia impregiudicate le disposizioni specifiche del diritto dell'Unione o nazionale che prevedono l'accesso ai dati sanitari elettronici per l'ulteriore trattamento da parte di organismi pubblici degli Stati membri, di istituzioni, organi e organismi dell'Unione o soggetti privati cui il diritto dell'Unione o nazionale abbia affidato compiti di interesse pubblico, ai fini dello svolgimento di tali compiti.
8. Il presente regolamento lascia impregiudicato l'accesso ai dati sanitari elettronici per l'uso secondario concordato nel quadro di accordi contrattuali o amministrativi tra soggetti pubblici o privati.
9. Il presente regolamento non si applica ai trattamenti di dati personali nei casi seguenti:
a) qualora il trattamento di dati personali sia effettuato nel corso di un'attività che non rientra nell'ambito di applicazione del diritto dell'Unione;
b) qualora il trattamento di dati personali sia effettuato dalle autorità competenti a fini di prevenzione, indagine, accertamento o perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia contro minacce alla sicurezza pubblica e la prevenzione delle stesse.
Regolamento (CE) n. 223/2009 del Parlamento europeo e del Consiglio, dell'11 marzo 2009, relativo alle statistiche europee e che abroga il regolamento (CE, Euratom) n. 1101/2008 del Parlamento europeo e del Consiglio, relativo alla trasmissione all'Istituto statistico delle Comunità europee di dati statistici protetti dal segreto, il regolamento (CE) n. 322/97 del Consiglio, relativo alle statistiche comunitarie, e la decisione 89/382/CEE, Euratom del Consiglio, che istituisce un comitato del programma statistico delle Comunità europee (GU L 87 del 31.3.2009).
Regolamento (UE) n. 536/2014 del Parlamento europeo e del Consiglio, del 16 aprile 2014, sulla sperimentazione clinica di medicinali per uso umano e che abroga la direttiva 2001/20/CE (GU L 158 del 27.5.2014).
Direttiva 2002/58/CE del Parlamento europeo e del Consiglio, del 12 luglio 2002, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (direttiva relativa alla vita privata e alle comunicazioni elettroniche) (GU L 201 del 31.7.2002).
Direttiva (UE) 2016/943 del Parlamento europeo e del Consiglio, dell'8 giugno 2016, sulla protezione del know-how riservato e delle informazioni commerciali riservate (segreti commerciali) contro l'acquisizione, l'utilizzo e la divulgazione illeciti (GU L 157 del 15.6.2016).
Definizioni
1. Ai fini del presente regolamento si applicano le definizioni seguenti:
a) le definizioni di «dato personale», «trattamento», «pseudonimizzazione», «titolare del trattamento», «responsabile del trattamento», «terzo», «consenso dell'interessato», «dati genetici», «dati relativi alla salute» e «organizzazione internazionale» stabilite all'articolo 4, rispettivamente ai punti 1), 2), 5), 7), 8), 10), 11), 13), 15) e 26), del regolamento (UE) 2016/679;
b) le definizioni di «assistenza sanitaria», «Stato membro di affiliazione», «Stato membro di cura», «professionista sanitario», «prestatore di assistenza sanitaria», «medicinale» e «prescrizione» stabilite all'articolo 3, rispettivamente alle lettere a), c), d), f), g), i) e k), della direttiva 2011/24/UE;
c) le definizioni di «dati», «accesso», «altruismo dei dati», «ente pubblico» e «ambiente di trattamento sicuro» stabilite all'articolo 2, rispettivamente ai punti 1), 13), 16), 17) e 20), del regolamento (UE) 2022/868;
d) le definizioni di «messa a disposizione sul mercato», «immissione sul mercato», «vigilanza del mercato», «autorità di vigilanza del mercato», «non conformità», «fabbricante», «importatore», «distributore», «operatore economico», «misura correttiva», «richiamo» e «ritiro» stabilite all'articolo 3, rispettivamente ai punti 1), 2), 3), 4), 7), 8), 9), 10), 13), 16), 22) e 23), del regolamento (UE) 2019/1020;
e) le definizioni di «dispositivo medico», «destinazione d'uso», «istruzioni per l'uso», «prestazioni», «istituzione sanitaria» e «specifiche comuni» stabilite all'articolo 2, rispettivamente ai punti 1), 12), 14), 22), 36) e 71), del regolamento (UE) 2017/745;
f) le definizioni di «identificazione elettronica» e «mezzi di identificazione elettronica» stabilite all'articolo 3, rispettivamente ai punti 1) e 2), del regolamento (UE) n. 910/2014;
g) la definizione di «amministrazioni aggiudicatrici» stabilita all'articolo 2, paragrafo 1, punto 1), della direttiva 2014/24/UE del Parlamento europeo e del Consiglio (1);
h) la definizione di «sanità pubblica» stabilita all'articolo 3, lettera c), del regolamento (CE) n. 1338/2008 del Parlamento europeo e del Consiglio (2).
2. Ai fini del presente regolamento si applicano inoltre le definizioni seguenti:
a) «dati sanitari elettronici personali»: i dati relativi alla salute e i dati genetici che sono trattati in formato elettronico;
b) «dati sanitari elettronici non personali»: i dati sanitari elettronici diversi dai dati sanitari elettronici personali, compresi sia i dati che sono stati anonimizzati in modo da non riferirsi più a una persona fisica identificata o identificabile («interessato»), sia i dati che non si sono mai riferiti a un interessato;
c) «dati sanitari elettronici»: dati sanitari elettronici personali o non personali;
d) «uso primario»: il trattamento dei dati sanitari elettronici per la prestazione di assistenza sanitaria al fine di valutare, mantenere o ripristinare lo stato di salute della persona fisica cui si riferiscono tali dati, comprese la prescrizione, la dispensazione e la fornitura di medicinali e dispositivi medici, nonché per i pertinenti servizi sociali, amministrativi o di rimborso;
e) «uso secondario»: il trattamento dei dati sanitari elettronici per le finalità indicate al capo IV del presente regolamento, che sono diverse dalle finalità iniziali per le quali tali dati sono stati raccolti o prodotti;
f) «interoperabilità»: la capacità delle organizzazioni, nonché delle applicazioni software o dei dispositivi dello stesso fabbricante o di fabbricanti diversi, di interagire tra loro attraverso i processi che supportano, il che comporta lo scambio di informazioni e conoscenze tra tali organizzazioni, applicazioni software o dispositivi, senza che sia modificato il contenuto dei dati;
g) «registrazione dei dati sanitari elettronici»: la registrazione di dati sanitari in formato elettronico, mediante l'inserimento manuale di tali dati, la raccolta di tali dati da parte di un dispositivo o la conversione di dati sanitari non elettronici in un formato elettronico, il cui trattamento avviene all'interno di un sistema di cartelle cliniche elettroniche o di un'applicazione per il benessere;
h) «servizio di accesso ai dati sanitari elettronici»: un servizio online, quale un portale o un'applicazione per dispositivi mobili, che consente alle persone fisiche che non agiscono in veste professionale di accedere ai propri dati sanitari elettronici o ai dati sanitari elettronici delle persone fisiche a cui sono legalmente autorizzati ad accedere;
i) «servizio di accesso per professionisti sanitari»: un servizio, supportato da un sistema di cartelle cliniche elettroniche, che consente ai professionisti sanitari di accedere ai dati delle persone fisiche in cura presso di loro;
j) «cartella clinica elettronica»: una raccolta di dati sanitari elettronici relativi a una persona fisica e rilevati nell'ambito del sistema sanitario, il cui trattamento avviene ai fini della prestazione di assistenza sanitaria;
k) «sistema di cartelle cliniche elettroniche»: qualsiasi sistema in cui il software oppure la combinazione tra l"hardware e il software del sistema consente ai dati sanitari elettronici personali rientranti nelle categorie prioritarie di dati sanitari elettronici personali stabilite a norma del presente regolamento di essere conservati, intermediati, esportati, importati, convertiti, modificati o visualizzati e destinato dal fabbricante a essere utilizzato dai prestatori di assistenza sanitaria nel fornire cure assistenziali ai pazienti o dai pazienti nell'accedere ai loro dati sanitari elettronici;
l) «messa in servizio»: il primo uso nell'Unione, conforme alla sua destinazione d'uso, di un sistema di cartelle cliniche elettroniche oggetto del presente regolamento;
m) «componente software»: una parte distinta del software che fornisce una funzionalità specifica o esegue funzioni o procedure specifiche e che può funzionare in modo indipendente o in combinazione con altri componenti;
n) «componente software europeo di interoperabilità dei sistemi di cartelle cliniche elettroniche»: un componente software del sistema di cartelle cliniche elettroniche che fornisce e riceve i dati sanitari elettronici personali rientranti nelle categorie prioritarie per l'uso primario stabilite dal presente regolamento nel formato europeo di scambio delle cartelle cliniche elettroniche e che è indipendente dal componente software europeo di registrazione dei sistemi di cartelle cliniche elettroniche;
o) «componente software europeo di registrazione dei sistemi di cartelle cliniche elettroniche»: un componente software del sistema di cartelle cliniche elettroniche che fornisce informazioni di registrazione relative agli accessi di professionisti sanitari o di altre persone a categorie prioritarie di dati sanitari elettronici personali stabilite dal presente regolamento, nel formato definito al punto 3.2 dell'allegato II, e che è indipendente dal componente software europeo di interoperabilità dei sistemi di cartelle cliniche elettroniche;
p) «marcatura CE di conformità»: una marcatura mediante la quale il fabbricante indica che un sistema di cartelle cliniche elettroniche è conforme alle prescrizioni applicabili stabilite nel presente regolamento e in altro diritto dell'Unione applicabile che ne prevedono l'apposizione conformemente al regolamento (CE) n. 765/2008 del Parlamento europeo e del Consiglio (3);
q) «rischio»: la combinazione della probabilità di insorgenza di un pericolo fonte di danni per la salute, la sicurezza o la sicurezza delle informazioni e della gravità dei danni;
r) «incidente grave»: qualsiasi malfunzionamento o deterioramento delle caratteristiche o delle prestazioni di un sistema di cartelle cliniche elettroniche messo a disposizione sul mercato che, direttamente o indirettamente, causa, può aver causato o può causare:
i) la morte di una persona fisica o danni gravi alla salute di una persona fisica;
ii) un pregiudizio grave ai diritti di una persona fisica;
iii) una perturbazione grave della gestione e del funzionamento delle infrastrutture critiche del settore sanitario;
s) «cure assistenziali»: un servizio professionale il cui scopo è rispondere alle esigenze specifiche di una persona fisica che, a causa di una menomazione o di altre condizioni fisiche o mentali, necessita di assistenza, comprese misure preventive e di sostegno, per svolgere attività essenziali di vita quotidiana al fine di sostenerne l'autonomia personale;
t) «titolare dei dati sanitari»: una persona fisica o giuridica, un'autorità pubblica, un'agenzia o un altro organismo del settore dell'assistenza sanitaria o delle cure assistenziali, compresi, ove necessario, i servizi di rimborso, nonché una persona fisica o giuridica che sviluppi prodotti o servizi destinati al settore sanitario, dell'assistenza sanitaria o delle cure assistenziali, sviluppi o fabbrichi applicazioni per il benessere, svolga attività di ricerca in relazione al settore dell'assistenza sanitaria o delle cure assistenziali o funga da registro della mortalità, nonché un'istituzione, un organo o un organismo dell'Unione che abbia:
i) il diritto o l'obbligo, conformemente al diritto dell'Unione o nazionale applicabile e in qualità di titolare o contitolare del trattamento, di trattare dati sanitari elettronici personali per la prestazione di assistenza sanitaria o cure assistenziali o a fini di sanità pubblica, rimborso, ricerca, innovazione, definizione delle politiche, statistiche ufficiali o sicurezza dei pazienti o a fini di regolamentazione; o
ii) la capacità di rendere disponibili dati sanitari elettronici non personali, mediante il controllo della progettazione tecnica di un prodotto e dei servizi correlati, anche in termini di registrazione, fornitura, limitazione dell'accesso o scambio;
u) «utente dei dati sanitari»: una persona fisica o giuridica, comprese le istituzioni, gli organi o gli organismi dell'Unione, cui è stato concesso l'accesso legittimo ai dati sanitari elettronici ai fini dell'uso secondario in virtù di un'autorizzazione ai dati, di un'approvazione di una richiesta di dati sanitari o di un'approvazione di accesso da parte di un partecipante autorizzato a DatiSanitari@UE (HealthData@EU);
v) «autorizzazione ai dati»: una decisione amministrativa emessa nei confronti di un utente dei dati sanitari da un organismo responsabile dell'accesso ai dati sanitari per il trattamento di determinati dati sanitari elettronici specificati nell'autorizzazione di cui trattasi per finalità specifiche correlate all'uso secondario, sulla base delle condizioni stabilite al capo IV del presente regolamento;
w) «serie di dati»: una raccolta strutturata di dati sanitari elettronici;
x) «serie di dati ad alto impatto per l'uso secondario»: serie di dati il cui riutilizzo è associato a benefici significativi in ragione della sua rilevanza per la ricerca sanitaria;
y) «catalogo delle serie di dati»: una raccolta di descrizioni delle serie di dati, organizzata in modo sistematico e comprendente una parte pubblica orientata all'utente, in cui le informazioni relative ai singoli parametri delle serie di dati sono accessibili per via elettronica attraverso un portale online;
z) «qualità dei dati»: il grado di idoneità degli elementi dei dati sanitari elettronici alla loro destinazione d'uso primario e d'uso secondario;
aa) «marchio di qualità e di utilità dei dati»: schema grafico, comprensivo di una scala, che descrive la qualità dei dati e le condizioni d'uso di una serie di dati;
ab) «applicazione per il benessere»: qualsiasi software o combinazione di hardware e software, destinati dal fabbricante a essere utilizzati da una persona fisica, per il trattamento dei dati sanitari elettronici, specificamente per fornire informazioni sulla salute di una persona fisica o per fornire cure assistenziali per scopi diversi dalla prestazione di assistenza sanitaria.
Direttiva 2014/24/UE del Parlamento europeo e del Consiglio, del 26 febbraio 2014, sugli appalti pubblici e che abroga la direttiva 2004/18/CE (GU L 94 del 28.3.2014).
Regolamento (CE) n. 1338/2008 del Parlamento europeo e del Consiglio, del 16 dicembre 2008, relativo alle statistiche comunitarie in materia di sanità pubblica e di salute e sicurezza sul luogo di lavoro (GU L 354 del 31.12.2008).
Regolamento (CE) n. 765/2008 del Parlamento europeo e del Consiglio, del 9 luglio 2008, che pone norme in materia di accreditamento e vigilanza del mercato per quanto riguarda la commercializzazione dei prodotti e che abroga il regolamento (CEE) n. 339/93 (GU L 218 del 13.8.2008).
SEZIONE 1
Diritti delle persone fisiche in relazione all'uso primario dei loro dati sanitari elettronici personali e relative disposizioni
Diritto delle persone fisiche di accedere ai loro dati sanitari elettronici personali
1. Le persone fisiche hanno il diritto di accedere almeno ai dati sanitari elettronici personali che li riguardano e che rientrano nelle categorie prioritarie di cui all'articolo 14 e che sono trattati per la prestazione di assistenza sanitaria attraverso i servizi di accesso ai dati sanitari elettronici di cui all'articolo 4. L'accesso è fornito immediatamente dopo la registrazione dei dati sanitari elettronici personali in un sistema di cartelle cliniche elettroniche, nel rispetto della praticabilità tecnologica, ed è fornito gratuitamente e in un formato facilmente leggibile, consolidato e accessibile.
2. Le persone fisiche o i loro rappresentanti di cui all'articolo 4, paragrafo 2, hanno il diritto di scaricare gratuitamente una copia elettronica almeno dei dati sanitari elettronici personali che rientrano nelle categorie prioritarie di cui all'articolo 14 relativi a tali persone fisiche, attraverso i servizi di accesso ai dati sanitari elettronici di cui all'articolo 4, nel formato europeo di scambio delle cartelle cliniche elettroniche di cui all'articolo 15.
3. Conformemente all'articolo 23 del regolamento (UE) 2016/679, gli Stati membri possono limitare la portata dei diritti di cui ai paragrafi 1 e 2 del presente articolo, in particolare laddove tali limitazioni siano necessarie per la tutela della persona fisica, tenendo conto della sicurezza del paziente e sulla base di considerazioni etiche, ritardandone temporaneamente l'accesso ai dati sanitari elettronici personali fino a quando un professionista sanitario non sia in grado di comunicare e spiegare adeguatamente alla persona fisica interessata informazioni che possono avere un impatto significativo sulla sua salute.
Servizi di accesso ai dati sanitari elettronici per le persone fisiche e i loro rappresentanti
1. Gli Stati membri provvedono affinché siano istituiti uno o più servizi di accesso ai dati sanitari elettronici a livello nazionale, regionale o locale, consentendo così alle persone fisiche di accedere ai loro dati sanitari elettronici personali e di esercitare i loro diritti di cui all'articolo 3 e agli articoli da 5 a 10. Tali servizi di accesso sono gratuiti per le persone fisiche e i loro rappresentanti di cui al paragrafo 2 del presente articolo.
2. Gli Stati membri provvedono affinché siano istituiti uno o più servizi di delega come funzionalità dei servizi di accesso ai dati sanitari elettronici che consentano:
a) alle persone fisiche di autorizzare altre persone fisiche di loro scelta ad accedere per loro conto ai loro dati sanitari elettronici personali, o a una parte di essi, per un periodo determinato o indeterminato e, in caso di necessità, solo per una finalità specifica, e di gestire tali autorizzazioni; e
b) ai rappresentanti legali delle persone fisiche di accedere ai dati sanitari elettronici personali delle persone fisiche di cui curano gli interessi, conformemente al diritto nazionale.
Gli Stati membri stabiliscono norme relative alle autorizzazioni di cui alla lettera a) del primo comma e alle azioni dei tutori e di altri rappresentanti legali.
3. I servizi di delega di cui al paragrafo 2 forniscono le autorizzazioni in modo trasparente e facilmente comprensibile, gratuitamente, in formato elettronico o cartaceo. Le persone fisiche e i loro rappresentanti sono informati in merito ai loro diritti di autorizzazione, comprese le modalità con cui esercitarli, e al processo di autorizzazione.
I servizi di delega prevedono un meccanismo semplice di reclamo per le persone fisiche.
4. I servizi di delega di cui al paragrafo 2 del presente articolo sono interoperabili tra Stati membri. La Commissione stabilisce, mediante atti di esecuzione, le specifiche tecniche per garantire l'interoperabilità dei servizi di delega degli Stati membri. Tali atti di esecuzione sono adottati secondo la procedura d'esame di cui all'articolo 98, paragrafo 2.
5. I servizi di accesso ai dati sanitari elettronici e i servizi di delega sono facilmente accessibili alle persone con disabilità, ai gruppi vulnerabili e alle persone con scarsa alfabetizzazione digitale.
Diritto delle persone fisiche di inserire informazioni nella propria cartella clinica elettronica
Le persone fisiche o i loro rappresentanti di cui all'articolo 4, paragrafo 2, hanno il diritto di inserire informazioni nella propria cartella clinica elettronica attraverso servizi o applicazioni di accesso ai dati sanitari elettronici collegati a tali servizi come indicato al medesimo articolo. Le informazioni inserite dalla persona fisica o dal suo rappresentante sono chiaramente distinguibili come tali. Le persone fisiche o i loro rappresentanti di cui all'articolo 4, paragrafo 2, non hanno la possibilità di modificare direttamente i dati sanitari elettronici e le relative informazioni inseriti dai professionisti sanitari.
Diritto di rettifica delle persone fisiche
I servizi di accesso ai dati sanitari elettronici di cui all'articolo 4 consentono alle persone fisiche di chiedere online facilmente la rettifica dei loro dati sanitari elettronici personali conformemente all'articolo 16 del regolamento (UE) 2016/679. Se del caso, il titolare del trattamento verifica insieme a un professionista sanitario competente l'accuratezza delle informazioni fornite nella richiesta.
Gli Stati membri possono inoltre consentire alle persone fisiche di esercitare online altri diritti a norma del capo III del regolamento (UE) 2016/679 attraverso i servizi di accesso ai dati sanitari elettronici.
Diritto delle persone fisiche alla portabilità dei dati
1. Le persone fisiche hanno il diritto di concedere l'accesso alla totalità o a parte dei loro dati sanitari elettronici personali a un altro prestatore di assistenza sanitaria di loro scelta o di chiedere a un prestatore di assistenza sanitaria di trasmettere la totalità o parte dei loro dati sanitari elettronici a un altro prestatore di assistenza sanitaria di loro scelta immediatamente, gratuitamente e senza ostacoli da parte del prestatore di assistenza sanitaria o dei fabbricanti dei sistemi utilizzati dal prestatore di assistenza sanitaria.
2. Qualora i prestatori di assistenza sanitaria si trovino in Stati membri diversi, le persone fisiche hanno il diritto di chiedere la trasmissione dei loro dati sanitari elettronici personali nel formato europeo di scambio delle cartelle cliniche elettroniche di cui all'articolo 15 attraverso l'infrastruttura transfrontaliera di cui all'articolo 23. Il prestatore di assistenza sanitaria ricevente deve accettare tali dati ed è in grado di leggerli.
3. Le persone fisiche hanno il diritto di chiedere a un prestatore di assistenza sanitaria di trasmettere una parte dei loro dati sanitari elettronici personali a un destinatario chiaramente identificato del settore della sicurezza sociale o dei servizi di rimborso. Tale trasmissione avviene immediatamente, gratuitamente e senza ostacoli da parte del prestatore di assistenza sanitaria o dei fabbricanti dei sistemi utilizzati dal prestatore di assistenza sanitaria ed è solo unidirezionale.
4. Qualora abbiano scaricato una copia elettronica delle loro categorie prioritarie di dati sanitari elettronici personali in conformità dell'articolo 3, paragrafo 2, le persone fisiche sono in grado di trasmettere tali dati ai prestatori di assistenza sanitaria di loro scelta nel formato europeo di scambio delle cartelle cliniche elettroniche di cui all'articolo 15. Il prestatore di assistenza sanitaria ricevente deve accettare tali dati e, se del caso, essere in grado di leggerli.
Diritto di limitare l'accesso
Le persone fisiche hanno il diritto di limitare l'accesso dei professionisti sanitari e dei prestatori di assistenza sanitaria alla totalità o a parte dei loro dati sanitari elettronici personali di cui all'articolo 3.
Nell'esercitare il diritto di cui al primo comma, le persone fisiche sono informate del fatto che la limitazione dell'accesso potrebbe avere un impatto sulla prestazione dell'assistenza sanitaria.
Il fatto che una persona fisica abbia imposto una limitazione a norma del primo comma non è visibile ai prestatori di assistenza sanitaria.
Gli Stati membri stabiliscono le norme e le garanzie specifiche relative a tali meccanismi di limitazione.
Diritto di ottenere informazioni sull'accesso ai dati
1. Le persone fisiche hanno il diritto di ottenere informazioni, anche mediante notifiche automatiche, su qualsiasi accesso ai loro dati sanitari elettronici personali attraverso il servizio di accesso per professionisti sanitari che sia ottenuto nel contesto dell'assistenza sanitaria, compreso l'accesso concesso a norma dell'articolo 11, paragrafo 5.
2. Le informazioni di cui al paragrafo 1 sono fornite gratuitamente e senza ritardo e attraverso servizi di accesso ai dati sanitari elettronici e sono disponibili per almeno tre anni dopo ogni accesso ai dati. Le informazioni includono almeno quanto segue:
a) informazioni sul prestatore di assistenza sanitaria o su altri soggetti che hanno avuto accesso ai dati sanitari elettronici personali;
b) ora e data dell'accesso;
c) quali dati sanitari elettronici personali sono stati consultati.
3. Gli Stati membri possono prevedere limitazioni al diritto di cui al paragrafo 1 in circostanze eccezionali, qualora vi siano indicazioni concrete che la divulgazione metterebbe a rischio gli interessi vitali o i diritti del professionista sanitario o le cure assistenziali fornite alla persona fisica.
Diritto delle persone fisiche di esclusione riguardo all'uso primario
1. La legislazione degli Stati membri può prevedere che le persone fisiche abbiano il diritto di esclusione dall'accesso ai loro dati sanitari elettronici personali registrati in un sistema di cartelle cliniche elettroniche attraverso i servizi di accesso ai dati sanitari elettronici di cui agli articoli 4 e 12. In tali casi, gli Stati membri garantiscono che l'esercizio di tale diritto sia reversibile.
2. Se uno Stato membro prevede il diritto di cui al paragrafo 1 del presente articolo, stabilisce le norme e le garanzie specifiche relative a tale meccanismo di esclusione. In particolare, gli Stati membri possono prevedere che un prestatore di assistenza sanitaria o un professionista sanitario possa accedere ai dati sanitari elettronici personali nei casi in cui il trattamento sia necessario per tutelare gli interessi vitali dell'interessato o di un'altra persona fisica conformemente all'articolo 9, paragrafo 2, lettera c), del regolamento (UE) 2016/679, anche se il paziente ha esercitato il diritto di esclusione riguardo all'uso primario.
Accesso dei professionisti sanitari ai dati sanitari elettronici personali
1. Nel trattare i dati in formato elettronico, i professionisti sanitari hanno accesso ai dati sanitari elettronici personali pertinenti e necessari delle persone fisiche in cura presso di loro attraverso i servizi di accesso per professionisti sanitari di cui all'articolo 12, indipendentemente dallo Stato membro di affiliazione e dallo Stato membro di cura.
2. Se lo Stato membro di affiliazione e lo Stato membro di cura della persona fisica in cura differiscono, l'accesso transfrontaliero ai suoi dati sanitari elettronici personali è fornito attraverso l'infrastruttura transfrontaliera di cui all'articolo 23.
3. L'accesso di cui ai paragrafi 1 e 2 del presente articolo include almeno le categorie prioritarie dei dati sanitari elettronici personali di cui all'articolo 14.
In linea con i principi sanciti all'articolo 5 del regolamento (UE) 2016/679, gli Stati membri stabiliscono norme che definiscano le categorie di dati sanitari elettronici personali accessibili da diverse categorie di professionisti sanitarie o per diversi compiti di assistenza sanitaria. Tali norme tengono conto delle possibili limitazioni imposte a norma dell'articolo 8 del presente regolamento.
4. In caso di cura in uno Stato membro diverso dallo Stato membro di affiliazione, le norme di cui al paragrafo 3 sono quelle dello Stato membro di cura.
5. Qualora una persona fisica abbia limitato l'accesso ai dati sanitari elettronici personali a norma dell'articolo 8, il prestatore di assistenza sanitaria o il professionista sanitario non è informato del contenuto limitato di tali dati.
In deroga al primo comma dell'articolo 8, ove necessario per la salvaguardia degli interessi vitali dell'interessato al prestatore di assistenza sanitaria o al professionista sanitario può essere concesso l'accesso ai dati sanitari elettronici oggetto della limitazione. Tali casi sono registrati in un formato chiaro e comprensibile e sono facilmente accessibili da parte dell'interessato.
Gli Stati membri possono prevedere garanzie supplementari.
Servizi di accesso per professionisti sanitari
Ai fini della prestazione di assistenza sanitaria, gli Stati membri provvedono affinché i professionisti sanitari possano accedere gratuitamente alle categorie prioritarie di dati sanitari elettronici personali di cui all'articolo 14, anche per le cure assistenziali transfrontaliere, tramite i servizi di accesso per professionisti sanitari.
I servizi di cui al primo comma del presente articolo sono accessibili solo ai professionisti sanitari in possesso di mezzi di identificazione elettronica riconosciuti a norma dell'articolo 6 del regolamento (UE) n. 910/2014 o di altri mezzi di identificazione elettronica conformi alle specifiche comuni di cui all'articolo 36 del presente regolamento.
I dati sanitari elettronici personali sono presentati in maniera facilmente comprensibile nelle cartelle cliniche elettroniche per consentire un facile utilizzo da parte dei professionisti sanitari.
Registrazione dei dati sanitari elettronici personali
1. Gli Stati membri provvedono affinché, qualora i dati sanitari elettronici siano trattati per la prestazione di assistenza sanitaria, i prestatori di assistenza sanitaria registrino, in formato elettronico all'interno di un sistema di cartelle cliniche elettroniche, i pertinenti dati sanitari elettronici personali che rientrano, in tutto o in parte, almeno nelle categorie prioritarie di dati sanitari elettronici personali di cui all'articolo 14.
2. Nel trattare i dati in formato elettronico, i prestatori di assistenza sanitaria garantiscono che i dati sanitari elettronici personali delle persone fisiche che hanno in cura siano aggiornati con informazioni relative all'assistenza sanitaria prestata.
3. Qualora i dati sanitari elettronici personali siano registrati in uno Stato membro di cura diverso dallo Stato membro di affiliazione della persona fisica interessata, lo Stato membro di cura provvede affinché la registrazione sia effettuata con i dati di identificazione della persona fisica nello Stato membro di affiliazione.
4. Entro il 26 marzo 2027 la Commissione stabilisce, mediante atti di esecuzione, le prescrizioni relative alla qualità dei dati, anche in relazione alla semantica, all'uniformità, alla coerenza, all'accuratezza e alla completezza, per la registrazione dei dati sanitari elettronici personali nel sistema di cartelle cliniche elettroniche, a seconda dei casi. Tali atti di esecuzione sono adottati secondo la procedura d'esame di cui all'articolo 98, paragrafo 2.
Quando i dati sanitari elettronici personali sono registrati o aggiornati, le cartelle cliniche elettroniche individuano il professionista sanitario e il prestatore di assistenza sanitaria che ha effettuato tale registrazione o aggiornamento e l'ora in cui tale registrazione o aggiornamento sono stati effettuati. Gli Stati membri possono prevedere che siano registrati altri aspetti della registrazione dei dati.
Categorie prioritarie di dati sanitari elettronici personali per l'uso primario
1. Ai fini del presente capo, qualora i dati siano trattati in formato elettronico, le categorie prioritarie dei dati sanitari elettronici personali sono le seguenti:
a) profili sanitari sintetici dei pazienti;
b) prescrizioni elettroniche;
c) dispensazioni elettroniche;
d) esami diagnostici per immagini e relativi referti di immagini;
e) risultati degli esami medici, compresi i risultati di laboratorio e altri risultati diagnostici e relativi referti; e
f) lettere di dimissione.
Le caratteristiche principali delle categorie prioritarie di dati sanitari elettronici personali per uso primario sono indicate nell'allegato I.
Gli Stati membri possono stabilire nel proprio del diritto nazionale l'accesso a categorie aggiuntive di dati sanitari elettronici personali per l'uso primario e il relativo scambio in conformità del presente capo.
La Commissione può stabilire, mediante atti di esecuzione, specifiche transfrontaliere per le categorie di dati sanitari elettronici personali di cui al terzo comma del presente paragrafo a norma dell'articolo 15, paragrafo 3, e dell'articolo 23, paragrafo 8. Tali atti di esecuzione sono adottati secondo la procedura di esame di cui all'articolo 98, paragrafo 2.
2. Alla Commissione è conferito il potere di adottare atti delegati conformemente all'articolo 97 al fine di modificare il presente regolamento modificandone l'allegato I mediante l'aggiunta, la modifica o l'eliminazione delle caratteristiche principali delle categorie prioritarie di dati sanitari elettronici personali di cui al paragrafo 1, a condizione che le modifiche mirino ad adeguare le categorie prioritarie di dati sanitari elettronici personali agli sviluppi tecnici e alle norme internazionali. Inoltre, le aggiunte e le modifiche di tali caratteristiche soddisfano entrambi i criteri seguenti:
a) la caratteristica è pertinente per l'assistenza sanitaria prestata alle persone fisiche;
b) la caratteristica è utilizzata nella maggior parte degli Stati membri secondo le informazioni più recenti.
Formato europeo di scambio delle cartelle cliniche elettroniche
1. Entro il 26 marzo 2027 la Commissione stabilisce, mediante atti di esecuzione, le specifiche tecniche relative alle categorie prioritarie di dati sanitari elettronici personali di cui all'articolo 14, paragrafo 1, e che stabiliscono il formato europeo di scambio delle cartelle cliniche elettroniche. Tale formato è di uso comune, leggibile da un dispositivo automatico e consente la trasmissione di dati sanitari elettronici personali tra applicazioni software, dispositivi e prestatori di assistenza sanitaria diversi. Tale formato sostiene la trasmissione di dati sanitari strutturati e non strutturati e comprende gli elementi seguenti:
a) serie di dati armonizzate contenenti dati sanitari elettronici e strutture definitorie, quali campi di dati e gruppi di dati per la rappresentazione delle informazioni cliniche e di altre parti dei dati sanitari elettronici;
b) sistemi e valori di codifica da utilizzare nelle serie di dati contenenti dati sanitari elettronici;
c) specifiche tecniche di interoperabilità per lo scambio di dati sanitari elettronici, tra cui la rappresentazione contenutistica, le norme e i profili.
Gli atti di esecuzione di cui al primo comma del presente paragrafo sono adottati secondo la procedura d'esame di cui all'articolo 98, paragrafo 2.
2. La Commissione, mediante atti di esecuzione, fornisce aggiornamenti periodici del formato europeo di scambio delle cartelle cliniche elettroniche al fine di integrare le pertinenti revisioni delle nomenclature e dei sistemi di codifica in ambito sanitario. Tali atti di esecuzione sono adottati secondo la procedura d'esame di cui all'articolo 98, paragrafo 2.
3. La Commissione, mediante atti di esecuzione, può stabilire specifiche tecniche che estendono il formato europeo di scambio delle cartelle cliniche elettroniche ad altre categorie di dati sanitari elettronici personali di cui all'articolo 14, paragrafo 1, terzo comma. Tali atti di esecuzione sono adottati secondo la procedura d'esame di cui all'articolo 98, paragrafo 2.
4. Gli Stati membri provvedono affinché le categorie prioritarie di dati sanitari elettronici personali di cui all'articolo 14 siano rilasciate nel formato europeo di scambio delle cartelle cliniche elettroniche di cui al paragrafo 1 del presente articolo. Qualora tali dati siano trasmessi con l'ausilio di strumenti automatizzati per l'uso primario, il prestatore ricevente deve accettare il formato dei dati ed essere in grado di leggerlo.
Gestione dell'identificazione
1. Qualora si avvalgano dei servizi di accesso ai dati sanitari elettronici di cui all'articolo 4 del presente regolamento, le persone fisiche hanno il diritto di identificarsi elettronicamente con qualsiasi mezzo di identificazione elettronica riconosciuto a norma dell'articolo 6 del regolamento (UE) n. 910/2014. Gli Stati membri possono prevedere meccanismi complementari per garantire un'adeguata corrispondenza dell'identità in situazioni transfrontaliere.
2. La Commissione stabilisce, mediante atti di esecuzione, le prescrizioni relative al meccanismo interoperabile e transfrontaliero di identificazione e autenticazione delle persone fisiche e dei professionisti sanitari, conformemente al regolamento (UE) n. 910/2014. Il meccanismo agevola la trasferibilità dei dati sanitari elettronici personali in un contesto transfrontaliero. Tali atti di esecuzione sono adottati secondo la procedura d'esame di cui all'articolo 98, paragrafo 2.
3. La Commissione, in collaborazione con gli Stati membri, attua i servizi richiesti dal meccanismo interoperabile e transfrontaliero di identificazione e autenticazione di cui al paragrafo 2 del presente articolo a livello di Unione, nell'ambito dell'infrastruttura transfrontaliera di cui all'articolo 23.
4. La Commissione e le autorità competenti degli Stati membri attuano il meccanismo interoperabile e transfrontaliero di identificazione e autenticazione rispettivamente a livello di Stati membri e di Unione.
Prescrizioni relative all'attuazione tecnica
La Commissione stabilisce, mediante atti di esecuzione, le prescrizioni relative all'attuazione tecnica dei diritti sanciti nella presente sezione.
Tali atti di esecuzione sono adottati secondo la procedura d'esame di cui all'articolo 98, paragrafo 2.
Compensazione per la messa a disposizione di dati sanitari elettronici personali
Il prestatore che riceve i dati a norma del presente capo non è tenuto a riconoscere al prestatore di assistenza sanitaria una compensazione per la messa a disposizione dei dati sanitari elettronici personali. Un prestatore di assistenza sanitaria o un terzo non addebita direttamente o indirettamente agli interessati tariffe o costi, né pretende compensazioni, per la condivisione dei dati o l'accesso agli stessi.
Autorità di sanità digitale
1. Ciascuno Stato membro designa una o più autorità di sanità digitale responsabili dell'attuazione e dell'applicazione del presente capo a livello nazionale. Gli Stati membri informano la Commissione in merito all'identità delle autorità di sanità digitale entro il 26 marzo 2027. Qualora uno Stato membro designi più autorità di sanità digitale o l'autorità di sanità digitale sia composta da più organizzazioni, lo Stato membro interessato comunica alla Commissione una descrizione della distribuzione dei compiti tra le diverse autorità o organizzazioni. Qualora uno Stato membro designi più autorità di sanità digitale, ne designa una che funga da coordinatore. La Commissione mette tali informazioni a disposizione del pubblico.
2. Ciascuna autorità di sanità digitale è incaricata di svolgere i compiti ed esercitare i poteri seguenti:
a) garantire l'attuazione dei diritti e degli obblighi di cui al presente capo e al capo III adottando le soluzioni tecniche necessarie a livello nazionale, regionale o locale e stabilendo le norme e i meccanismi pertinenti;
b) assicurare che siano messe prontamente a disposizione delle persone fisiche, dei professionisti sanitari e dei prestatori di assistenza sanitaria informazioni complete e aggiornate sull'attuazione dei diritti e degli obblighi di cui al presente capo e al capo III;
c) nell'attuazione delle soluzioni tecniche di cui alla lettera a) del presente paragrafo, garantirne la conformità al presente capo, al capo III e all'allegato II;
d) contribuire, a livello dell'Unione, allo sviluppo di soluzioni tecniche che consentano alle persone fisiche e ai professionisti sanitari di esercitare i diritti e adempiere agli obblighi a norma del presente capo;
e) agevolare le persone con disabilità nell'esercizio dei loro diritti a norma del presente capo conformemente alla direttiva (UE) 2019/882 del Parlamento europeo e del Consiglio (1);
f) vigilare sui punti di contatto nazionali per la sanità digitale e cooperare con altre autorità di sanità digitale e con la Commissione sull'ulteriore sviluppo di LaMiaSalute@UE (MyHealth@EU);
g) garantire l'attuazione a livello nazionale del formato europeo di scambio delle cartelle cliniche elettroniche, in cooperazione con le autorità nazionali e i portatori di interessi;
h) contribuire a livello dell'Unione allo sviluppo del formato europeo di scambio delle cartelle cliniche elettroniche, all'elaborazione di specifiche comuni, in conformità dell'articolo 36, per far fronte alle preoccupazioni in materia di qualità, interoperabilità, sicurezza, facilità d'uso, accessibilità, non discriminazione o diritti fondamentali e all'elaborazione delle specifiche della banca dati UE per la registrazione dei sistemi di cartelle cliniche elettroniche e delle applicazioni per il benessere di cui all'articolo 49;
i) se del caso, svolgere attività di vigilanza del mercato conformemente all'articolo 43, avendo cura nel contempo di evitare qualsiasi conflitto di interessi;
j) sviluppare capacità nazionali per dare attuazione alle prescrizioni in materia di interoperabilità e sicurezza dei dati sanitari elettronici per uso primario e partecipare agli scambi di informazioni e alle attività di sviluppo delle capacità a livello dell'Unione;
k) cooperare con le autorità di vigilanza del mercato, partecipare alle attività relative alla gestione dei rischi posti dai sistemi di cartelle cliniche elettroniche e degli incidenti gravi e vigilare sull'attuazione di misure correttive conformemente all'articolo 44;
l) cooperare con altri soggetti e organismi pertinenti a livello locale, regionale, nazionale o dell'Unione al fine di garantire l'interoperabilità, la portabilità e la sicurezza dei dati sanitari elettronici;
m) cooperare con le autorità di controllo a norma dei regolamenti (UE) n. 910/2014 e (UE) 2016/679 e della direttiva (UE) 2022/2555 del Parlamento europeo e del Consiglio (2), e con altre autorità pertinenti, tra cui quelle competenti in materia di cibersicurezza e identificazione elettronica.
3. Ciascuno Stato membro provvede affinché ogni autorità di sanità digitale disponga delle risorse umane, tecniche e finanziarie, dei locali e delle infrastrutture necessari per l'efficace svolgimento dei propri compiti e per l'esercizio dei propri poteri.
4. Nello svolgimento dei suoi compiti, ogni autorità di sanità digitale evita qualsiasi conflitto di interessi. Ogni membro del personale dell'autorità di sanità digitale agisce nell'interesse pubblico e in maniera indipendente.
5. Nello svolgimento dei loro compiti, le autorità di sanità digitale pertinenti cooperano attivamente e si consultano con i rappresentanti dei portatori di interessi pertinenti, compresi i rappresentanti dei pazienti, i rappresentanti dei prestatori di assistenza sanitaria e dei professionisti sanitari, comprese le associazioni dei professionisti sanitari, nonché le organizzazioni dei consumatori e le associazioni di categoria.
Direttiva (UE) 2019/882 del Parlamento europeo e del Consiglio, del 17 aprile 2019, sui requisiti di accessibilità dei prodotti e dei servizi (GU L 151 del 7.6.2019).
Direttiva (UE) 2022/2555 del Parlamento europeo e del Consiglio del 14 dicembre 2022 relativa a misure per un livello comune elevato di cibersicurezza nell'Unione, recante modifica del regolamento (UE) n. 910/2014 e della direttiva (UE) 2018/1972 e che abroga la direttiva (UE) 2016/1148 (direttiva NIS 2) (GU L 333 del 27.12.2022).
Comunicazione da parte delle autorità di sanità digitale
Ogni due anni le autorità di sanità digitale designate a norma dell'articolo 19 pubblicano una relazione di attività contenente una panoramica completa delle loro attività. Se uno Stato membro designa più di un'autorità di sanità digitale, una di esse è responsabile per la redazione della relazione e a tal fine chiede le informazioni necessarie alle altre autorità di sanità digitale. La relazione di attività segue una struttura concordata a livello dell'Unione in seno al comitato dello spazio europeo dei dati sanitari («comitato EHDS») di cui all'articolo 92. Tale relazione contiene almeno informazioni riguardanti:
a) i provvedimenti adottati per l'attuazione del presente regolamento;
b) la percentuale delle persone fisiche che hanno accesso alle varie categorie di dati nelle rispettive cartelle cliniche elettroniche;
c) il trattamento delle richieste presentate da persone fisiche riguardo all'esercizio dei loro diritti a norma del presente regolamento;
d) il numero di prestatori di assistenza sanitaria di vario tipo, tra cui farmacie, ospedali e altri luoghi di prestazione, collegati a LaMiaSalute@UE (MyHealth@EU), calcolato:
i) in termini assoluti;
ii) in percentuale su tutti i prestatori di assistenza sanitaria dello stesso tipo; e
iii) in percentuale di persone fisiche che possono usufruire dei servizi;
e) i volumi di dati sanitari elettronici di diverse categorie condivisi a livello transfrontaliero tramite LaMiaSalute@UE (MyHealth@EU);
f) il numero di casi di non conformità a prescrizioni obbligatorie.
Diritto di presentare un reclamo a un'autorità di sanità digitale
1. Fatto salvo ogni altro ricorso amministrativo o giurisdizionale, le persone fisiche e giuridiche hanno il diritto di presentare, singolarmente o, se del caso, collettivamente, all'autorità di sanità digitale competente un reclamo in relazione alle disposizioni del presente capo, purché i loro diritti o interessi siano influenzati negativamente.
2. Se il reclamo riguarda i diritti delle persone fisiche a norma degli articoli 3 e da 5 a 10 del presente regolamento, l'autorità di sanità digitale trasmette il reclamo alle autorità di controllo competenti di cui al regolamento (UE) 2016/679. L'autorità di sanità digitale fornisce all'autorità di controllo competente le informazioni necessarie a sua disposizione a norma del regolamento (UE) 2016/679 al fine di agevolare la valutazione del reclamo e la relativa indagine.
3. L'autorità di sanità digitale competente alla quale è stato presentato il reclamo informa, in conformità del diritto nazionale, il reclamante sui progressi fatti nel trattare il reclamo, sulla decisione adottata riguardo al reclamo e sull'eventuale deferimento del reclamo all'autorità di controllo competente di cui al regolamento (UE) 2016/679 e, nei casi di deferimento, del fatto che a partire da tale momento l'autorità di controllo deve essere l'unico punto di contatto per il reclamante a tale proposito.
4. Le autorità di sanità digitale negli Stati membri interessati cooperano per trattare e risolvere i reclami relativi allo scambio transfrontaliero e all'accesso ai dati sanitari elettronici personali, anche scambiando tutte le informazioni pertinenti per via elettronica, senza indebito ritardo.
5. Le autorità di sanità digitale facilitano la presentazione dei reclami e predispongono strumenti facilmente accessibili per la presentazione dei reclami.
Relazione con le autorità di controllo nell'ambito del regolamento (UE) 2016/679
L'autorità o le autorità di controllo responsabili di monitorare e assicurare l'applicazione del regolamento (UE) 2016/679 sono altresì competenti di monitorare e assicurare l'applicazione dell'articolo 3 e degli articoli da 5 a 10 del presente regolamento. Le pertinenti disposizioni del regolamento (UE) 2016/679 si applicano mutatis mutandis. Le autorità di controllo hanno il potere di infliggere sanzioni amministrative pecuniarie fino all'importo di cui all'articolo 83, paragrafo 5, del regolamento (UE) 2016/679.
Le autorità di controllo di cui al primo comma del presente articolo e le autorità di sanità digitale di cui all'articolo 19 cooperano, se del caso, nell'applicazione del presente regolamento nell'ambito delle rispettive competenze.
SEZIONE 3
Infrastruttura transfrontaliera per l'uso primario dei dati sanitari elettronici personali
LaMiaSalute@UE (MyHealth@EU)
1. La Commissione istituisce una piattaforma centrale di interoperabilità per la sanità digitale («LaMiaSalute@UE MyHealth@EU») per fornire servizi volti a favorire e agevolare lo scambio di dati sanitari elettronici personali tra i punti di contatto nazionali per la sanità digitale degli Stati membri.
2. Ciascuno Stato membro designa un punto di contatto nazionale per la sanità digitale quale sportello organizzativo e tecnico per la fornitura di servizi connessi allo scambio transfrontaliero di dati sanitari elettronici personali nel contesto dell'uso primario. Ogni punto di contatto nazionale per la sanità digitale si collega a tutti gli altri punti di contatto nazionali per la sanità digitale negli altri Stati membri e alla piattaforma centrale di interoperabilità per la sanità digitale nelle infrastrutture transfrontaliere LaMiaSalute@UE (MyHealth@EU). Qualora il punto di contatto nazionale per la sanità digitale sia un soggetto composto da più organizzazioni responsabili dell'attuazione di servizi diversi, lo Stato membro interessato comunica alla Commissione una descrizione della distribuzione dei compiti tra le organizzazioni. Ciascuno Stato membro comunica alla Commissione l'identità del suo punto di contatto nazionale per la sanità digitale entro il 26 marzo 2027. Il punto di contatto nazionale per la sanità digitale può essere designato in seno all'autorità di sanità digitale di cui all'articolo 19. Gli Stati membri comunicano alla Commissione ogni successiva modifica dell'identità di tali punti di contatto nazionali per la sanità digitale. La Commissione e gli Stati membri mettono tali informazioni a disposizione del pubblico.
3. Ciascun punto di contatto nazionale per la sanità digitale rende possibile lo scambio dei dati sanitari elettronici personali di cui all'articolo 14, paragrafo 1, con punti di contatto nazionali per la sanità digitale in altri Stati membri attraverso LaMiaSalute@UE (MyHealth@EU). Lo scambio si basa sul formato europeo di scambio delle cartelle cliniche elettroniche.
Qualora gli Stati membri prevedano ulteriori categorie di dati sanitari elettronici personali a norma dell'articolo 14, paragrafo 1, terzo comma, il punto di contatto nazionale per la sanità digitale consente lo scambio delle ulteriori categorie di dati sanitari elettronici personali di cui all'articolo 14, paragrafo 1, terzo comma, nella misura in cui il diritto dello Stato membro interessato abbia previsto l'accesso a tali categorie aggiuntive di dati sanitari elettronici personali e il relativo scambio, conformemente all'articolo 14, paragrafo 1, terzo comma.
4. Entro il 26 marzo 2027 la Commissione adotta, mediante atti di esecuzione, le misure necessarie per lo sviluppo tecnico di LaMiaSalute@UE (MyHealth@EU), norme dettagliate riguardanti la sicurezza, la riservatezza e la protezione dei dati sanitari elettronici personali e le condizioni per i controlli di conformità necessari per aderire e rimanere collegati a LaMiaSalute@UE (MyHealth@EU). Tali atti di esecuzione sono adottati secondo la procedura d'esame di cui all'articolo 98, paragrafo 2.
5. Gli Stati membri garantiscono che tutti i prestatori di assistenza sanitaria siano collegati ai rispettivi punti di contatto nazionali per la sanità digitale. Gli Stati membri garantiscono che i prestatori di assistenza sanitaria collegati siano in grado di effettuare scambi bidirezionali di dati sanitari elettronici con il punto di contatto nazionale per la sanità digitale.
6. Gli Stati membri provvedono affinché le farmacie operanti sul loro territorio, comprese le farmacie online, siano in grado di dispensare, alle condizioni di cui all'articolo 11 della direttiva 2011/24/UE, le prescrizioni elettroniche emesse in altri Stati membri.
Le farmacie accedono alle prescrizioni elettroniche loro trasmesse da altri Stati membri e le accettano tramite LaMiaSalute@UE (MyHealth@EU), a condizione che siano rispettate le condizioni stabilite all'articolo 11 della direttiva 2011/24/UE.
In seguito alla dispensazione di medicinali sulla base di una prescrizione elettronica proveniente da un altro Stato membro, le farmacie interessate segnalano tramite LaMiaSalute@UE (MyHealth@EU) tale dispensazione al punto di contatto nazionale per la sanità digitale dello Stato membro in cui è stata emessa la prescrizione.
7. I punti di contatto nazionali per la sanità digitale agiscono in qualità di contitolari del trattamento dei dati sanitari elettronici personali comunicati tramite LaMiaSalute@UE (MyHealth@EU) nelle operazioni di trattamento in cui sono coinvolti. La Commissione agisce in qualità di responsabile del trattamento.
8. La Commissione stabilisce, mediante atti di esecuzione, le norme relative ai requisiti di cibersicurezza, interoperabilità tecnica, interoperabilità semantica, gestione delle operazioni e dei servizi in relazione al trattamento da parte del responsabile del trattamento di cui al paragrafo 7 del presente articolo e alle sue responsabilità nei confronti del titolare del trattamento, conformemente al capo IV del regolamento (UE) 2016/679. Tali atti di esecuzione sono adottati secondo la procedura d'esame di cui all'articolo 98, paragrafo 2.
9. I punti di contatto nazionali per la sanità digitale soddisfano le condizioni per aderire e rimanere collegati a LaMiaSalute@UE (MyHealth@EU) come stabilito negli atti di esecuzione di cui al paragrafo 4. La conformità dei punti di contatto nazionali per la sanità digitale a tali condizioni è verificata dalla Commissione mediante controlli di conformità.
Infrastrutture e servizi di sanità digitale transfrontalieri supplementari
1. Tramite LaMiaSalute@UE (MyHealth@EU) gli Stati membri possono erogare servizi supplementari in grado di agevolare la telemedicina, la sanità mobile, l'accesso da parte delle persone fisiche alle traduzioni esistenti dei loro dati sanitari e lo scambio o la verifica di certificati sanitari, compresi i libretti delle vaccinazioni, nonché servizi a sostegno della sanità pubblica e della vigilanza della sanità pubblica o di sistemi, servizi e applicazioni interoperabili di sanità digitale, al fine di conseguire un elevato livello di fiducia e sicurezza, migliorare la continuità dell'assistenza e garantire l'accesso a un'assistenza sanitaria sicura e di elevata qualità. La Commissione definisce, mediante atti di esecuzione, gli aspetti tecnici di detti servizi supplementari. Tali atti di esecuzione sono adottati secondo la procedura d'esame di cui all'articolo 98, paragrafo 2.
2. La Commissione e gli Stati membri possono agevolare lo scambio di dati sanitari elettronici personali con altre infrastrutture, quali il sistema di gestione dei dati clinici dei pazienti o altri servizi o infrastrutture nei settori sanitario, dell'assistenza o della sicurezza sociale che possono diventare partecipanti autorizzati a LaMiaSalute@UE (MyHealth@EU). La Commissione definisce, mediante atti di esecuzione, gli aspetti tecnici di detti scambi. Tali atti di esecuzione sono adottati secondo la procedura d'esame di cui all'articolo 98, paragrafo 2.
Il collegamento e la disconnessione di un'altra infrastruttura alla o dalla piattaforma centrale per la sanità digitale sono soggetti a una decisione della Commissione adottata mediante un atto di esecuzione, basato sui risultati dei controlli di conformità degli aspetti tecnici degli scambi di cui al primo comma del presente paragrafo. Tale atto di esecuzione è adottato secondo la procedura d'esame di cui all'articolo 98, paragrafo 2.
3. Un punto di contatto nazionale per la sanità digitale di un paese terzo o un sistema istituito a livello internazionale da un'organizzazione internazionale può diventare un partecipante autorizzato a LaMiaSalute@UE (MyHealth@EU) a condizione che soddisfi i requisiti di LaMiaSalute@UE (MyHealth@EU) ai fini dello scambio di dati sanitari elettronici personali di cui all'articolo 23, che il trasferimento derivante dal collegamento a LaMiaSalute@UE (MyHealth@EU) sia conforme alle norme di cui al capo V del regolamento (UE) 2016/679 e che le prescrizioni relative alle misure giuridiche, organizzative, operative, semantiche, tecniche e di cibersicurezza siano equivalenti a quelle applicabili agli Stati membri nel funzionamento dei servizi di LaMiaSalute@UE (MyHealth@EU). Tali prescrizioni sono verificate dalla Commissione mediante controlli di conformità.
Sulla base dell'esito dei controlli di conformità di cui al primo comma del presente paragrafo, la Commissione può decidere, mediante atti di esecuzione, di collegare o disconnettere il punto di contatto nazionale per la sanità digitale del paese terzo o il sistema istituito a livello internazionale da un'organizzazione internazionale, a seconda dei casi, a o da LaMiaSalute@UE (MyHealth@EU). Tali atti di esecuzione sono adottati secondo la procedura d'esame di cui all'articolo 98, paragrafo 2.
La Commissione stabilisce e mantiene un elenco dei punti di contatto nazionali per la sanità digitale dei paesi terzi o dei sistemi istituiti a livello internazionale da organizzazioni internazionali collegati a LaMiaSalute@UE (MyHealth@EU) a norma del presente paragrafo e rende tale elenco pubblicamente disponibile.
SEZIONE 1
Ambito di applicazione e disposizioni generali per i sistemi di cartelle cliniche elettroniche
Componenti software armonizzati dei sistemi di cartelle cliniche elettroniche
1. I sistemi di cartelle cliniche elettroniche comprendono un componente software europeo di interoperabilità dei sistemi di cartelle cliniche elettroniche e un componente software europeo di registrazione europea dei sistemi di cartelle cliniche elettroniche («componenti software armonizzati di sistemi di cartelle cliniche elettroniche»), conformemente alle disposizioni del presente capo.
2. Il presente capo non si applica ai software di uso generali utilizzati in ambiente sanitario.
Immissione sul mercato e messa in servizio
1. I sistemi di cartelle cliniche elettroniche sono immessi sul mercato o messi in servizio solo se conformi alle disposizioni del presente capo.
2. I sistemi di cartelle cliniche elettroniche fabbricati e impiegati nelle istituzioni sanitarie stabilite nell'Unione nonché i sistemi di cartelle cliniche elettroniche offerti come servizi quali definiti all'articolo 1, paragrafo 1, lettera b), della direttiva (UE) 2015/1535 del Parlamento europeo e del Consiglio (1) a una persona fisica o giuridica stabilita nell'Unione sono considerati messi in servizio.
3. Gli Stati membri non vietano o limitano l'immissione sul mercato dei sistemi di cartelle cliniche elettroniche conformi al presente regolamento per considerazioni relative ad aspetti concernenti i componenti software armonizzati dei sistemi di cartelle cliniche elettroniche disciplinati dal presente regolamento.
Direttiva (UE) 2015/1535 del Parlamento europeo e del Consiglio, del 9 settembre 2015, che prevede una procedura d'informazione nel settore delle regolamentazioni tecniche e delle regole relative ai servizi della società dell'informazione (GU L 241 del 17.9.2015).
Interazione con il diritto dell'Unione in materia di dispositivi medici, dispositivi medico-diagnostici in vitro e sistemi di IA
1. I fabbricanti di dispositivi medici o dispositivi medico-diagnostici in vitro, quali definiti rispettivamente all'articolo 2, punto 1), del regolamento (UE) 2017/745 e all'articolo 2, punto 2), del regolamento (UE) 2017/746, che dichiarano l'interoperabilità di tali dispositivi medici o dispositivi medico-diagnostici in vitro con i componenti software armonizzati dei sistemi di cartelle cliniche elettroniche dimostrano la conformità alle prescrizioni essenziali relative al componente software europeo di interoperabilità dei sistemi di cartelle cliniche elettroniche e al componente software europeo di registrazione dei sistemi di cartelle cliniche elettroniche di cui all'allegato II, sezione 2, del presente regolamento. A tali dispositivi medici e dispositivi medico-diagnostici in vitro si applica l'articolo 36 del presente regolamento.
2. I fornitori di sistemi di IA considerati ad alto rischio conformemente all'articolo 6 del regolamento (UE) 2024/1689 («sistemi di IA ad alto rischio») e non rientranti nell'ambito di applicazione del regolamento (UE) 2017/745 o (UE) 2017/746 che dichiarano l'interoperabilità di tali sistemi di IA ad alto rischio con i componenti software armonizzati dei sistemi di cartelle cliniche elettroniche dimostrano la conformità alle prescrizioni essenziali relative al componente software europeo di interoperabilità per i sistemi di cartelle cliniche elettroniche e al componente software europeo di registrazione per i sistemi di cartelle cliniche elettroniche, di cui all'allegato II, sezione 2, del presente regolamento. A tali sistemi di IA ad alto rischio si applica l'articolo 36 del presente regolamento.
Dichiarazioni
Nella scheda informativa, nelle istruzioni per l'uso o in altre informazioni che accompagnano i sistemi di cartelle cliniche elettroniche e nella pubblicità di tali sistemi è vietato l'uso di testi, nomi, marchi, immagini e segni figurativi o di altro tipo che possano indurre in errore l'utente professionale quale definito all'articolo 3, punto 8), del regolamento (UE) 2018/1807 del Parlamento europeo e del Consiglio (1) per quanto riguarda la loro destinazione d'uso, interoperabilità e sicurezza:
a) attribuendo al sistema di cartelle cliniche elettroniche funzioni e proprietà che non possiede;
b) omettendo di informare l'utente professionale in merito a probabili limitazioni riguardanti le caratteristiche di interoperabilità o di sicurezza del sistema di cartelle cliniche elettroniche in relazione alla sua destinazione d'uso;
c) proponendo usi del sistema di cartelle cliniche elettroniche diversi da quelli dichiarati parte della destinazione d'uso nella documentazione tecnica.
Regolamento (UE) 2018/1807 del Parlamento europeo e del Consiglio, del 14 novembre 2018, relativo a un quadro applicabile alla libera circolazione dei dati non personali nell'Unione europea (GU L 303 del 28.11.2018)
Acquisizione, rimborso e finanziamento
Gli Stati membri possono mantenere o definire norme specifiche per l'acquisizione, il finanziamento o il rimborso dei sistemi di cartelle cliniche elettroniche nel contesto dell'organizzazione, della prestazione o del finanziamento di servizi di assistenza sanitaria, purché tali norme siano conformi al diritto dell'Unione e non incidano sul funzionamento o sulla conformità dei componenti software armonizzati dei sistemi di cartelle cliniche elettroniche.
SEZIONE 2
Obblighi degli operatori economici per quanto riguarda i sistemi di cartelle cliniche elettroniche
Obblighi dei fabbricanti di sistemi di cartelle cliniche elettroniche
1. I fabbricanti di sistemi di cartelle cliniche elettroniche:
a) garantiscono che i componenti software armonizzati dei loro sistemi di cartelle cliniche elettroniche e i sistemi di cartelle cliniche elettroniche stessi, nella misura in cui il presente capo stabilisce prescrizioni che li riguardano, siano conformi alle prescrizioni essenziali di cui all'allegato II e alle specifiche comuni di cui all'articolo 36;
b) garantiscono che i componenti software armonizzati dei loro sistemi di cartelle cliniche elettroniche non siano influenzati negativamente da altri componenti software dello stesso sistema di cartelle cliniche elettroniche;
c) redigono la documentazione tecnica dei loro sistemi di cartelle cliniche elettroniche conformemente all'articolo 37 prima di immettere tali sistemi di cartelle cliniche elettroniche sul mercato e successivamente la tengono aggiornata;
d) garantiscono che i loro sistemi di cartelle cliniche elettroniche siano accompagnati dalla scheda informativa di cui all'articolo 38 e da istruzioni per l'uso chiare e complete, senza che ciò comporti alcun costo per l'utente;
e) elaborano la dichiarazione di conformità UE conformemente all'articolo 39;
f) appongono la marcatura CE di conformità in conformità dell'articolo 41;
g) indicano nel sistema di cartelle cliniche elettroniche il nome, la denominazione commerciale registrata o il marchio registrato, l'indirizzo postale e il sito web, l'indirizzo e-mail o altro contatto digitale tramite il quale possono essere contattati; nei dati di contatto indicano un unico punto presso il quale il fabbricante possa essere contattato; i dati di contatto sono in una lingua di facile comprensione per gli utenti e le autorità di vigilanza del mercato;
h) rispettano gli obblighi di registrazione di cui all'articolo 49;
i) adottano senza indebito ritardo le misure correttive necessarie nei confronti dei loro sistemi di cartelle cliniche elettroniche, qualora ritengano o abbiano motivo di ritenere che tali sistemi non soddisfino o non soddisfino più le prescrizioni essenziali di cui all'allegato II, oppure richiamano o ritirano tali sistemi; i fabbricanti di sistemi di cartelle cliniche elettroniche informano successivamente le autorità nazionali degli Stati membri in cui hanno messo a disposizione sul mercato o messo in servizio i propri sistemi di cartelle cliniche elettroniche in merito alla non conformità e alle eventuali misure correttive adottate, compreso il calendario di attuazione, e alle date in cui tali componenti software armonizzati dei loro sistemi di cartelle cliniche elettroniche sono stati resi conformi o richiamati o ritirati;
j) informano i distributori dei loro sistemi di cartelle cliniche elettroniche e, se del caso, il rappresentante autorizzato, gli importatori e gli utenti in merito alla non conformità e a eventuali misure correttive, richiami o ritiri di tali sistemi di cartelle cliniche elettroniche;
k) informano i distributori dei loro sistemi di cartelle cliniche elettroniche e, se del caso, il rappresentante autorizzato, gli importatori e gli utenti in merito all'eventuale manutenzione preventiva obbligatoria dei sistemi di cartelle cliniche elettroniche e alla relativa frequenza;
l) su richiesta forniscono, in una lingua ufficiale dello Stato membro interessato, alle autorità di vigilanza del mercato di tale Stato membro tutte le informazioni e la documentazione necessarie per dimostrare la conformità dei sistemi di cartelle cliniche elettroniche che hanno immesso sul mercato o messo in servizio alle prescrizioni essenziali di cui all'allegato II;
m) su richiesta delle autorità di vigilanza del mercato, cooperano con queste nell'ambito di qualsiasi misura adottata per rendere i sistemi di cartelle cliniche elettroniche che hanno immesso sul mercato o messo in servizio conformi alle prescrizioni essenziali di cui all'allegato II e a eventuali prescrizioni adottate a norma dell'articolo 42 in una lingua ufficiale dello Stato membro interessato;
n) istituiscono canali di reclamo e ne informano i distributori;
o) tengono un registro dei reclami e un registro dei sistemi di cartelle cliniche elettroniche non conformi e ne informano i distributori.
2. I fabbricanti di sistemi di cartelle cliniche elettroniche provvedono affinché siano predisposte procedure atte a garantire che la progettazione, lo sviluppo e la diffusione dei componenti software armonizzati di un sistema di cartelle cliniche elettroniche continuino a soddisfare le prescrizioni essenziali di cui all'allegato II e le specifiche comuni di cui all'articolo 36. La documentazione tecnica tiene adeguatamente conto delle modifiche della progettazione o delle caratteristiche del sistema di cartelle cliniche elettroniche per quanto riguarda tali componenti software armonizzati dei sistemi di cartelle cliniche elettroniche e le rispecchia.
3. I fabbricanti di sistemi di cartelle cliniche elettroniche conservano la documentazione tecnica di cui all'articolo 37 e la dichiarazione di conformità UE di cui all'articolo 39 per 10 anni dalla data di immissione sul mercato del sistema di cartelle cliniche elettroniche oggetto della dichiarazione di conformità UE.
I fabbricanti di sistemi di cartelle cliniche elettroniche rendono disponibile il codice sorgente o la logica di programmazione contenuti nella documentazione tecnica alle autorità competenti a fronte di una richiesta motivata, se tale codice sorgente o logica di programmazione sono necessari per permettere a tali autorità di verificare il rispetto delle prescrizioni essenziali di cui all'allegato II.
4. Un fabbricante di sistemi di cartelle cliniche elettroniche stabilito al di fuori dell'Unione provvede affinché il suo rappresentante autorizzato abbia prontamente a disposizione la documentazione necessaria al fine di assolvere i compiti di cui all'articolo 31, paragrafo 2.
5. A seguito di una richiesta motivata di un'autorità di vigilanza del mercato, i fabbricanti di sistemi di cartelle cliniche elettroniche forniscono a quest'ultima, in forma cartacea o elettronica, tutte le informazioni e la documentazione necessarie per dimostrare la conformità del sistema di cartelle cliniche elettroniche alle prescrizioni essenziali di cui all'allegato II e alle specifiche comuni di cui all'articolo 36, in una lingua che possa essere facilmente compresa dall'autorità di vigilanza del mercato. I fabbricanti di sistemi di cartelle cliniche elettroniche cooperano con l'autorità di vigilanza del mercato, su sua richiesta, a qualsiasi misura intrapresa per eliminare i rischi posti da un sistema di cartelle cliniche elettroniche che hanno immesso sul mercato o messo in servizio.
Rappresentanti autorizzati
1. Prima di mettere a disposizione un sistema di cartelle cliniche elettroniche sul mercato dell'Unione, il fabbricante di un tale sistema stabilito al di fuori dell'Unione nomina, mediante mandato scritto, un rappresentante autorizzato stabilito nell'Unione.
2. Il rappresentante autorizzato esegue i compiti specificati nel mandato convenuto con il fabbricante. Il mandato consente al rappresentante autorizzato di svolgere almeno i compiti seguenti:
a) tenere la dichiarazione di conformità UE e la documentazione tecnica di cui all'articolo 37 a disposizione delle autorità di vigilanza del mercato per il periodo di cui all'articolo 30, paragrafo 3;
b) a seguito della richiesta motivata di un'autorità di vigilanza del mercato fornire alle autorità dello Stato membro interessato una copia del mandato e tutte le informazioni e la documentazione necessarie per dimostrare la conformità di un sistema di cartelle cliniche elettroniche alle prescrizioni essenziali di cui all'allegato II nonché alle specifiche comuni di cui all'articolo 36;
c) informare senza indebito ritardo il fabbricante se il rappresentante autorizzato ha motivo di ritenere che un sistema di cartelle cliniche elettroniche non sia più conforme alle prescrizioni essenziali di cui all'allegato II;
d) informare senza indebito ritardo il fabbricante in merito ai reclami provenienti dai consumatori o dagli utenti professionali;
e) su richiesta delle autorità di vigilanza del mercato, cooperare con queste nell'ambito di qualsiasi misura correttiva adottata nei confronti dei sistemi di cartelle cliniche elettroniche che rientrano nel loro mandato;
f) porre fine al mandato se il fabbricante non rispetta gli obblighi che gli sono imposti dal presente regolamento;
g) garantire che, su richiesta, la documentazione tecnica di cui all'articolo 37 possa essere messa a disposizione delle autorità competenti.
3. In caso di modifica del rappresentante autorizzato, le disposizioni dettagliate di tale modifica riguardano almeno quanto segue:
a) la data di cessazione del mandato del rappresentante autorizzato uscente e la data di inizio del mandato del nuovo rappresentante autorizzato;
b) il trasferimento di documenti, compresi gli aspetti relativi alla riservatezza e i diritti di proprietà.
4. Qualora il fabbricante sia stabilito al di fuori dell'Unione e non abbia rispettato gli obblighi previsti dall'articolo 30, il rappresentante autorizzato è responsabile in solido per l'inosservanza del presente regolamento alla stregua del fabbricante.
Obblighi degli importatori
1. Gli importatori immettono sul mercato dell'Unione solo i sistemi di cartelle cliniche elettroniche conformi alle prescrizioni essenziali di cui all'allegato II e alle specifiche comuni di cui all'articolo 36.
2. Prima di mettere a disposizione sul mercato un sistema di cartelle cliniche elettroniche, gli importatori garantiscono che:
a) il fabbricante abbia redatto la documentazione tecnica di cui all'articolo 37 e la dichiarazione di conformità UE;
b) il fabbricante sia identificato e sia stato nominato un rappresentante autorizzato conformemente all'articolo 31;
c) il sistema di cartelle cliniche elettroniche rechi la marcatura CE di conformità di cui all'articolo 41 dopo il completamento della procedura di valutazione della conformità;
d) il sistema di cartelle cliniche elettroniche sia accompagnato dalla scheda informativa di cui all'articolo 38 con istruzioni per l'uso chiare e complete, anche per la sua manutenzione, in formati accessibili.
3. Gli importatori indicano il loro nome, la loro denominazione commerciale registrata o il loro marchio registrato, l'indirizzo postale, il sito web, l'indirizzo e-mail o altro contatto digitale al quale possono essere contattati all'interno di un documento che accompagna il sistema di cartelle cliniche elettroniche. I dati di contatto indicano un unico recapito presso il quale il fabbricante può essere contattato e sono redatti in una lingua facilmente comprensibile dagli utenti e dalle autorità di vigilanza del mercato. Gli importatori assicurano che eventuali altre etichette non nascondano o coprano le informazioni fornite dal fabbricante che figurano sull'etichetta originale fornita per il sistema di cartelle cliniche elettroniche.
4. Gli importatori garantiscono che il sistema di cartelle cliniche elettroniche, per il periodo in cui è sotto la loro responsabilità, non sia modificato in modo tale da comprometterne la conformità alle prescrizioni essenziali di cui all'allegato II e a eventuali prescrizioni adottate a norma dell'articolo 42.
5. L'importatore, se ritiene o ha motivo di ritenere che un sistema di cartelle cliniche elettroniche non sia o non sia più conforme alle prescrizioni essenziali di cui all'allegato II e a eventuali prescrizioni adottate a norma dell'articolo 42, non mette tale sistema di cartelle cliniche elettroniche a disposizione sul mercato o lo richiama o ritira se era già disponibile sul mercato, fino a quando non sia stato reso conforme. In caso di richiamo o ritiro, l'importatore ne informa il fabbricante di tale sistema di cartelle cliniche elettroniche, gli utenti e le autorità di vigilanza del mercato dello Stato membro in cui ha messo a disposizione il sistema in questione sul mercato, fornendo in particolare i dettagli relativi alla non conformità e a qualsiasi misura correttiva adottata.
L'importatore, se ritiene o ha motivo di ritenere che un sistema di cartelle cliniche elettroniche presenti un rischio per la salute o la sicurezza delle persone fisiche, informa senza indebito ritardo le autorità di vigilanza del mercato dello Stato membro in cui è stabilito nonché il fabbricante e, se del caso, il rappresentante autorizzato.
6. Gli importatori tengono una copia della dichiarazione di conformità UE a disposizione delle autorità di vigilanza del mercato per il periodo di cui all'articolo 30, paragrafo 3, e provvedono affinché, su richiesta, la documentazione tecnica di cui all'articolo 37 possa essere messa a disposizione di tali autorità.
7. Gli importatori, a seguito della richiesta motivata delle autorità di vigilanza del mercato degli Stati membri interessati, forniscono a queste tutte le informazioni e la documentazione necessarie per dimostrare la conformità di un sistema di cartelle cliniche elettroniche. Gli importatori cooperano con tali autorità, su richiesta di queste ultime, con il fabbricante e, se del caso, con il rappresentante autorizzato in una lingua ufficiale dello Stato membro in cui ha sede l'autorità di vigilanza del mercato. Su richiesta delle autorità di vigilanza del mercato, gli importatori cooperano con queste ultime nell'ambito di qualsiasi misura adottata per rendere i loro sistemi di cartelle cliniche elettroniche conformi alle prescrizioni essenziali in relazione ai componenti software armonizzati di cui all'allegato II o per garantire che i loro sistemi di cartelle cliniche elettroniche che non sono conformi a tali prescrizioni essenziali siano richiamati o ritirati.
8. Gli importatori istituiscono canali di segnalazione e garantiscono che siano accessibili per consentire agli utenti di presentare reclami e tengono un registro dei reclami, dei sistemi di cartelle cliniche elettroniche non conformi nonché dei richiami o ritiri di tali sistemi. Gli importatori verificano se i canali di reclamo istituiti a norma dell'articolo 30, paragrafo 1, lettera n), siano accessibili al pubblico, per consentire agli utenti di presentare reclami e ricevere qualsiasi comunicazione relativa a rischi connessi alla loro salute e sicurezza o ad altri aspetti della protezione del pubblico interesse, e per consentire agli utenti di essere informati di qualsiasi incidente grave riguardante un sistema di cartelle cliniche elettroniche. Qualora non siano stati istituiti tali canali di reclamo, gli importatori provvedono a istituirli tengono conto delle esigenze in termini di accessibilità dei gruppi vulnerabili e delle persone con disabilità.
9. Gli importatori esaminano i reclami e danno seguito alla ricezione delle informazioni sugli incidenti riguardanti un sistema di cartelle cliniche elettroniche che hanno messo a disposizione sul mercato. Gli importatori registrano tali reclami, eventuali richiami o ritiri dei sistemi di cartelle cliniche elettroniche e tutte le misure correttive adottate per rendere conforme il sistema di cartelle cliniche elettroniche nel registro di cui all'articolo 30, paragrafo 1, lettera o), o nel proprio registro interno. Gli importatori informano tempestivamente il fabbricante, i distributori e, se del caso, i rappresentanti autorizzati in merito all'indagine svolta, del seguito datovi e dei relativi risultati.
Obblighi dei distributori
1. Prima di mettere a disposizione sul mercato un sistema di cartelle cliniche elettroniche, i distributori verificano che:
a) il fabbricante abbia redatto la dichiarazione di conformità UE;
b) il sistema di cartelle cliniche elettroniche rechi la marcatura CE di conformità;
c) il sistema di cartelle cliniche elettroniche sia accompagnato dalla scheda informativa di cui all'articolo 38 con istruzioni per l'uso chiare e complete, in formati accessibili;
d) se del caso, l'importatore abbia ottemperato alle prescrizioni di cui all'articolo 32, paragrafo 3.
2. I distributori garantiscono che un sistema di cartelle cliniche elettroniche, per il periodo in cui è sotto la loro responsabilità, non sia modificato in modo tale da comprometterne la conformità alle prescrizioni essenziali di cui all'allegato II e a eventuali prescrizioni adottate a norma dell'articolo 42.
3. Il distributore, se ritiene o ha motivo di ritenere che un sistema di cartelle cliniche elettroniche non sia conforme alle prescrizioni essenziali di cui all'allegato II e a eventuali prescrizioni adottate a norma dell'articolo 42, non lo mette a disposizione sul mercato fino a quando non sia stato reso conforme. Il distributore ne informa senza indebito ritardo il fabbricante o l'importatore nonché le autorità di vigilanza del mercato degli Stati membri in cui il sistema in questione è stato messo o deve essere messo a disposizione sul mercato. Se il distributore ritiene o ha motivo di ritenere che un sistema di cartelle cliniche elettroniche presenti un rischio per la salute o la sicurezza delle persone fisiche, informa le autorità di vigilanza del mercato dello Stato membro in cui è stabilito nonché il fabbricante e l'importatore.
4. I distributori, a seguito della richiesta motivata di un'autorità di vigilanza del mercato, forniscono a quest'ultima tutte le informazioni e la documentazione necessarie per dimostrare la conformità di un sistema di cartelle cliniche elettroniche. Su richiesta dell'autorità di vigilanza del mercato, gli importatori cooperano con quest'ultima e con il fabbricante, con l'importatore e, se del caso, con il rappresentante autorizzato del fabbricante nell'ambito di qualsiasi misura adottata per rendere un sistema di cartelle cliniche elettroniche conforme alle prescrizioni essenziali di cui all'allegato II e a eventuali prescrizioni adottate a norma dell'articolo 42 o per richiamarlo o ritirarlo.
Casi in cui gli obblighi dei fabbricanti di un sistema di cartelle cliniche elettroniche si applicano ad altri soggetti o individui
L'importatore, il distributore o l'utente è considerato fabbricante ai fini del presente regolamento ed è soggetto agli obblighi di cui all'articolo 30 se:
a) mette a disposizione sul mercato un sistema di cartelle cliniche elettroniche con il proprio nome o marchio;
b) modifica un sistema di cartelle cliniche elettroniche già immesso sul mercato in modo tale da poter incidere sulla conformità alle prescrizioni applicabili; o
c) modifica un sistema di cartelle cliniche elettroniche in modo tale da comportare modifiche della destinazione d'uso dichiarata dal fabbricante.
Identificazione degli operatori economici
Per 10 anni dalla data di immissione sul mercato dell'ultimo sistema di cartelle cliniche elettroniche oggetto della dichiarazione di conformità UE, gli operatori economici indicano alle autorità di vigilanza del mercato che ne facciano richiesta:
a) qualsiasi operatore economico che abbia fornito loro un sistema di cartelle cliniche elettroniche; e
b) qualsiasi operatore economico a cui abbiano fornito un sistema di cartelle cliniche elettroniche.
SEZIONE 3
Conformità dei componenti software armonizzati dei sistemi di cartelle cliniche elettroniche
Specifiche comuni
1. Entro il 26 marzo 2027 la Commissione adotta, mediante atti di esecuzione, specifiche comuni per quanto riguarda le prescrizioni essenziali di cui all'allegato II, compresi un modello comune e un termine per l'attuazione delle specifiche comuni. Se del caso, le specifiche comuni tengono conto delle specificità dei dispositivi medici e dei sistemi di IA ad alto rischio di cui all'articolo 27, paragrafi 1 e 2, rispettivamente, compresi le norme all'avanguardia nel campo dell'informatica sanitaria e il formato europeo di scambio delle cartelle cliniche elettroniche. Tali atti di esecuzione sono adottati secondo la procedura d'esame di cui all'articolo 98, paragrafo 2.
2. Le specifiche comuni di cui al paragrafo 1 comprendono le informazioni e gli elementi seguenti:
a) il loro ambito;
b) la loro applicabilità a diverse categorie di sistemi di cartelle cliniche elettroniche o di funzioni in essi incluse;
c) la loro versione;
d) il loro periodo di validità;
e) una parte normativa;
f) una parte esplicativa, compresi eventuali orientamenti pertinenti in materia di attuazione.
3. Le specifiche comuni di cui al paragrafo 1 possono includere elementi relativi a quanto segue:
a) serie di dati contenenti dati sanitari elettronici e strutture definitorie, quali campi di dati e gruppi di dati per la rappresentazione delle informazioni cliniche e di altre parti dei dati sanitari elettronici;
b) valori e sistemi di codifica da utilizzare nelle serie di dati contenenti dati sanitari elettronici, tenendo debitamente conto sia della potenziale futura armonizzazione delle terminologie sia della loro compatibilità con le terminologie nazionali esistenti;
c) altre prescrizioni relative alla qualità dei dati, quali la completezza e l'accuratezza dei dati sanitari elettronici;
d) specifiche tecniche, norme e profili per lo scambio di dati sanitari elettronici;
e) prescrizioni e principi relativi alla sicurezza dei pazienti e alla sicurezza, alla riservatezza, all'integrità e alla protezione dei dati sanitari elettronici;
f) specifiche e prescrizioni relative alla gestione dell'identificazione e all'uso dell'identificazione elettronica.
4. I sistemi di cartelle cliniche elettroniche, i dispositivi medici, i dispositivi medico-diagnostici in vitro e i sistemi di IA ad alto rischio di cui agli articoli 25 e 27 che sono conformi alle specifiche comuni di cui al paragrafo 1 del presente articolo sono considerati conformi alle prescrizioni essenziali previste da tali specifiche comuni o da parti di esse, di cui all'allegato II, e oggetto di tali specifiche comuni o delle loro parti pertinenti.
5. Qualora le specifiche comuni relative alle prescrizioni in materia di interoperabilità e sicurezza dei sistemi di cartelle cliniche elettroniche riguardino dispositivi medici, dispositivi medico-diagnostici in vitro o sistemi di IA ad alto rischio che rientrano nell'ambito di altri atti giuridici, come il regolamento (UE) 2017/745, (UE) 2017/746 o (UE) 2024/1689, l'adozione di tali specifiche comuni può essere preceduta, a seconda dei casi, da una consultazione con il gruppo di coordinamento per i dispositivi medici (MDCG) istituito dall'articolo 103 del regolamento (UE) 2017/745 o con il comitato europeo per l'intelligenza artificiale istituito dall'articolo 65 del regolamento (UE) 2024/1689 e il comitato europeo per la protezione dei dati (European Data Protection Board - EDPB).
6. Qualora le specifiche comuni relative alle prescrizioni in materia di interoperabilità e sicurezza dei dispositivi medici, dei dispositivi medico-diagnostici in vitro o dei sistemi di IA ad alto rischio che rientrano nell'ambito di altri atti giuridici, come il regolamento (UE) 2017/745, (UE) 2017/746 o (UE) 2024/1689, incidano sui sistemi di cartelle cliniche elettroniche, la Commissione garantisce che l'adozione di tali specifiche comuni sia preceduta, a seconda dei casi, da una consultazione con il comitato EHDS e con l'EDPB.
Documentazione tecnica
1. I fabbricanti redigono la documentazione tecnica prima dell'immissione sul mercato o della messa in servizio del sistema di cartelle cliniche elettroniche e la tengono aggiornata.
2. La documentazione tecnica di cui al paragrafo 1 del presente articolo dimostra che il sistema di cartelle cliniche elettroniche è conforme alle prescrizioni essenziali di cui all'allegato II e fornisce alle autorità di vigilanza del mercato tutte le informazioni necessarie per valutare la conformità del sistema a tali prescrizioni. Essa contiene almeno gli elementi di cui all'allegato III e un riferimento ai risultati ottenuti da un ambiente digitale europeo di prova di cui all'articolo 40.
3. La documentazione tecnica di cui al paragrafo 1 del presente articolo è redatta in una delle lingue ufficiali dello Stato membro interessato o in una lingua facilmente comprensibile in tale Stato membro. A seguito di una richiesta motivata da parte dell'autorità di vigilanza del mercato di uno Stato membro, il fabbricante fornisce una traduzione delle parti pertinenti della documentazione tecnica in una lingua ufficiale di tale Stato membro.
4. Qualora a un fabbricante sia richiesta la documentazione tecnica o la traduzione di parti di essa da un'autorità di vigilanza del mercato, il fabbricante fornisce tale documentazione o traduzione entro 30 giorni dalla data della richiesta, a meno che rischi gravi e imminenti non giustifichino una scadenza più breve. Se il fabbricante non rispetta le prescrizioni di cui ai paragrafi 1, 2 e 3 del presente articolo, l'autorità di vigilanza del mercato può imporgli di far eseguire a un organismo indipendente, a proprie spese ed entro un periodo di tempo determinato, una prova atta a verificare la conformità alle prescrizioni essenziali di cui all'allegato II e alle specifiche comuni di cui all'articolo 36.
Scheda informativa che accompagna il sistema di cartelle cliniche elettroniche
1. I sistemi di cartelle cliniche elettroniche sono accompagnati da una scheda informativa contenente informazioni concise, complete, corrette e chiare che siano pertinenti, accessibili e comprensibili per gli utenti professionali.
2. La scheda informativa di cui al paragrafo 1 specifica:
a) l'identità, la denominazione commerciale registrata o il marchio registrato e i dati di contatto del fabbricante e, se del caso, del suo rappresentante autorizzato;
b) il nome, la versione e la data di rilascio del sistema di cartelle cliniche elettroniche;
c) la destinazione d'uso del sistema di cartelle cliniche elettroniche;
d) le categorie di dati sanitari elettronici che il sistema di cartelle cliniche elettroniche è stato progettato per trattare;
e) le norme, i formati e le specifiche supportati dal sistema di cartelle cliniche elettroniche e le relative versioni.
3. In alternativa alla trasmissione della scheda informativa di cui al paragrafo 1 del presente articolo con il sistema di cartelle cliniche elettroniche, i fabbricanti possono inserire le informazioni di cui al paragrafo 2 del presente articolo nella banca dati UE per la registrazione dei sistemi di cartelle cliniche elettroniche e le applicazioni per il benessere di cui all'articolo 49.
Dichiarazione di conformità UE
1. La dichiarazione di conformità UE di cui all'articolo 30, paragrafo 1, lettera e), attesta che il fabbricante di un sistema di cartelle cliniche elettroniche ha dimostrato il rispetto delle prescrizioni essenziali di cui all'allegato II.
2. Se un sistema di cartelle cliniche elettroniche, per aspetti non contemplati dal presente regolamento, è disciplinato da altri atti giuridici dell'Unione che richiedono anch'essi una dichiarazione di conformità UE del fabbricante attestante il rispetto delle prescrizioni ivi stabilite, è redatta un'unica dichiarazione di conformità UE relativa a tutti gli atti giuridici dell'Unione applicabili al sistema in questione. Tale dichiarazione di conformità UE contiene tutte le informazioni necessarie per identificare gli atti giuridici dell'Unione cui si riferisce la dichiarazione.
3. La dichiarazione di conformità UE riporta le informazioni di cui all'allegato IV ed è tradotta in una o più lingue ufficiali dell'Unione in base a quanto stabilito dagli Stati membri nei quali il sistema di cartelle cliniche elettroniche è messo a disposizione.
4. Qualora una dichiarazione di conformità UE sia redatta in formato digitale, è resa accessibile online per la durata prevista dell'esistenza del sistema di cartelle cliniche elettroniche e in ogni caso per almeno 10 anni dall'immissione sul mercato o la messa in servizio di tale sistema.
5. Con la dichiarazione di conformità UE il fabbricante si assume la responsabilità della conformità dei componenti software armonizzati del sistema di cartelle cliniche elettroniche alle prescrizioni stabilite dal presente regolamento quando è immesso sul mercato o messo in servizio.
6. La Commissione pubblica un modello standard uniforme per la dichiarazione di conformità UE e lo rende disponibile in formato digitale in tutte le lingue ufficiali dell'Unione.
Ambiente digitale europeo di prova
1. La Commissione sviluppa un ambiente digitale europeo di prova per la valutazione dei componenti software armonizzati dei sistemi di cartelle cliniche elettroniche. La Commissione mette a disposizione come open source il software a sostegno dell'ambiente digitale europeo di prova.
2. Gli Stati membri gestiscono ambienti digitali di prova per la valutazione dei componenti software armonizzati dei sistemi di cartelle cliniche elettroniche. Gli ambienti digitali di prova sono conformi alle specifiche comuni per gli ambienti digitali europei di prova stabiliti a norma del paragrafo 4. Gli Stati membri informano la Commissione in merito ai loro ambienti digitali di prova.
3. Prima di immettere i sistemi di cartelle cliniche elettroniche sul mercato, i fabbricanti utilizzano gli ambienti digitali di prova di cui ai paragrafi 1 e 2 del presente articolo per la valutazione dei componenti software armonizzati dei sistemi di cartelle cliniche elettroniche. I risultati di tale valutazione sono inseriti nella documentazione tecnica di cui all'articolo 37. Gli elementi per cui la valutazione ha esito positivo si presumono in conformità con il presente regolamento.
4. La Commissione stabilisce, mediante atti di esecuzione, le specifiche comuni per l'ambiente digitale europeo di prova. Tali atti di esecuzione sono adottati secondo la procedura d'esame di cui all'articolo 98, paragrafo 2.
Marcatura CE di conformità
1. La marcatura CE di conformità è apposta in modo visibile, leggibile e indelebile sui documenti che accompagnano il sistema di cartelle cliniche elettroniche e, se del caso, sul suo imballaggio.
2. La marcatura CE di conformità è apposta prima che il sistema di cartelle cliniche elettroniche sia immesso sul mercato.
3. La marcatura CE di conformità è soggetta ai principi generali di cui all'articolo 30 del regolamento (CE) n. 765/2008.
Prescrizioni nazionali e comunicazioni alla Commissione
1. Gli Stati membri possono adottare prescrizioni nazionali per i sistemi di cartelle cliniche elettroniche e disposizioni sulla loro valutazione della conformità in relazione ad aspetti diversi dai componenti software armonizzati dei sistemi di cartelle cliniche elettroniche.
2. Le prescrizioni nazionali o le disposizioni di cui al paragrafo 1 non incidono negativamente sui componenti software armonizzati dei sistemi di cartelle cliniche elettroniche.
3. Quando adottano prescrizioni o disposizioni conformemente al paragrafo 1, gli Stati membri ne informano la Commissione.
Autorità di vigilanza del mercato
1. Ai sistemi di cartelle cliniche elettroniche si applica il regolamento (UE) 2019/1020 in relazione alle prescrizioni applicabili ai sistemi di cartelle cliniche elettroniche di cui al presente capo e ai rischi che pongono.
2. Gli Stati membri designano l'autorità o le autorità di vigilanza del mercato responsabili dell'attuazione del presente capo. Gli Stati membri attribuiscono alle rispettive autorità di vigilanza del mercato le facoltà, le risorse umane, finanziarie e tecniche, le attrezzature e le conoscenze necessarie per l'adeguato espletamento dei loro compiti a norma del presente regolamento. Le autorità di vigilanza del mercato hanno il potere di adottare le misure di vigilanza del mercato di cui all'articolo 16 del regolamento (UE) 2019/1020 per far rispettare gli obblighi di cui al presente capo. Gli Stati membri comunicano l'identità delle autorità di vigilanza del mercato da essi designate alla Commissione. La Commissione e gli Stati membri mettono tali informazioni a disposizione del pubblico.
3. Le autorità di vigilanza del mercato designate a norma del paragrafo 2 del presente articolo possono essere le stesse autorità di sanità digitale designate a norma dell'articolo 19. Se un'autorità di sanità digitale svolge i compiti dell'autorità di vigilanza del mercato, gli Stati membri garantiscono che sia evitato qualsiasi conflitto di interessi.
4. Le autorità di vigilanza del mercato riferiscono annualmente alla Commissione in merito ai risultati delle pertinenti attività di vigilanza del mercato.
5. Se un fabbricante o un altro operatore economico non collabora con un'autorità di vigilanza del mercato o le informazioni e la documentazione fornite sono incomplete o inesatte, l'autorità di vigilanza del mercato può adottare tutte le misure appropriate per vietare o limitare la messa a disposizione del pertinente sistema di cartelle cliniche elettroniche sul mercato finché il fabbricante o l'operatore economico interessato non coopera o non fornisce informazioni complete e esatte, o per richiamarlo o ritirarlo dal mercato.
6. Le autorità di vigilanza del mercato degli Stati membri cooperano tra loro e con la Commissione. La Commissione permette l'organizzazione di scambi di informazioni necessari per la cooperazione.
7. Per i dispositivi medici, i dispositivi medico-diagnostici in vitro o i sistemi di IA ad alto rischio di cui all'articolo 27, paragrafi 1 e 2, le autorità responsabili della vigilanza del mercato sono, a seconda dei casi, quelle di cui all'articolo 93 del regolamento (UE) 2017/745, all'articolo 88 del regolamento (UE) 2017/746 o all'articolo 70 del regolamento (UE) 2024/1689.
Gestione dei rischi posti dai sistemi di cartelle cliniche elettroniche e degli incidenti gravi
1. L'autorità di vigilanza del mercato di uno Stato membro che abbia motivo di ritenere che un sistema di cartelle cliniche elettroniche ponga un rischio per la salute, la sicurezza o i diritti delle persone fisiche o per la protezione dei dati personali, effettua una valutazione in relazione al sistema interessato che investa tutte le prescrizioni pertinenti del presente regolamento. Il fabbricante, il rappresentante autorizzato del fabbricante e tutti gli altri operatori economici pertinenti collaborano se necessario con le autorità di vigilanza del mercato a tal fine e adottano tutte le misure appropriate per garantire che il sistema di cartelle cliniche elettroniche in questione non ponga più tale rischio al momento dell'immissione sul mercato, o per richiamarlo o ritirarlo dal mercato entro un termine ragionevole.
2. Se ritengono che la non conformità del sistema di cartelle cliniche elettroniche non sia limitata al territorio nazionale, le autorità di vigilanza del mercato di uno Stato membro informano la Commissione e le autorità di vigilanza del mercato degli altri Stati membri dei risultati della valutazione di cui al paragrafo 1 del presente articolo e delle misure correttive che hanno imposto all'operatore economico di adottare a norma dell'articolo 16, paragrafo 2, del regolamento (UE) 2019/1020.
3. Se un'autorità di vigilanza del mercato ritiene che un sistema di cartelle cliniche elettroniche abbia causato danni alla salute o alla sicurezza di persone fisiche o a determinati aspetti della protezione del pubblico interesse, il fabbricante fornisce immediatamente informazioni e la documentazione, ove applicabile, alla persona o all'utente interessato e, se del caso, ad altri terzi interessati dai danni, fatte salve le norme relative alla protezione dei dati.
4. L'operatore economico interessato di cui al paragrafo 1 garantisce che siano adottate misure correttive nei confronti di tutti i sistemi di cartelle cliniche elettroniche interessati che ha immesso sul mercato in tutta l'Unione.
5. L'autorità di vigilanza del mercato informa senza indebito ritardo la Commissione e le autorità di vigilanza del mercato o, se del caso, le autorità di controllo di cui al regolamento (UE) 2016/679 degli altri Stati membri in merito alle misure correttive di cui al paragrafo 2. Tali informazioni comprendono tutti i dettagli disponibili, in particolare i dati necessari all'identificazione del sistema di cartelle cliniche elettroniche interessato, l'origine e la catena di approvvigionamento di tale sistema, la natura del rischio connesso, nonché la natura e la durata delle misure nazionali adottate.
6. Se una constatazione di un'autorità di vigilanza del mercato o un incidente grave di cui è informata riguarda la protezione dei dati personali, l'autorità di vigilanza del mercato informa senza indebito ritardo le autorità di controllo competenti ai sensi del regolamento (UE) 2016/679 e collabora con le stesse.
7. I fabbricanti dei sistemi di cartelle cliniche elettroniche immessi sul mercato o messi in servizio segnalano qualsiasi incidente grave riguardante un tale sistema alle autorità di vigilanza del mercato degli Stati membri in cui si è verificato l'incidente grave e degli Stati membri in cui tali sistemi di cartelle cliniche elettroniche sono immessi sul mercato o messi in servizio. La relazione contiene inoltre una descrizione delle misure correttive adottate o previste dal fabbricante. Gli Stati membri possono prevedere che gli utenti dei sistemi di cartelle cliniche elettroniche immessi sul mercato o messi in servizio possano segnalare tali incidenti.
La relazione prescritta a norma del primo comma del presente paragrafo è prodotta, fatti salvi gli obblighi in materia di notifica degli incidenti di cui alla direttiva (UE) 2022/2555, subito dopo che il fabbricante ha stabilito un nesso di causalità tra il sistema di cartelle cliniche elettroniche e l'incidente grave o ha appurato la ragionevole probabilità di tale nesso e, in ogni caso, non oltre tre giorni dopo che il fabbricante è venuto a conoscenza dell'incidente grave che ha interessato il sistema di cartelle cliniche elettroniche.
8. Le autorità di vigilanza del mercato di cui al paragrafo 7 informano senza ritardo le altre autorità vigilanza del mercato in merito all'incidente grave e alle misure correttive adottate o previste dal fabbricante o che quest'ultimo è tenuto ad adottare per ridurre al minimo il rischio di reiterazione dell'incidente grave.
9. Qualora i suoi compiti non siano svolti dall'autorità di sanità digitale, l'autorità di vigilanza del mercato coopera con l'autorità di sanità digitale. L'autorità di vigilanza del mercato informa l'autorità di sanità digitale in merito a qualsiasi incidente grave, ai sistemi di cartelle cliniche elettroniche che presentano un rischio, compresi i rischi connessi all'interoperabilità, alla sicurezza e alla sicurezza dei pazienti, a qualsiasi misura correttiva, e a qualsiasi richiamo o ritiro di tali sistemi.
10. In caso di incidenti che mettano a repentaglio la sicurezza dei pazienti o la sicurezza delle informazioni, le autorità di vigilanza del mercato possono adottare misure immediate e richiedere al fabbricante del sistema di cartelle cliniche elettroniche interessato, al suo rappresentante autorizzato e ad altri operatori economici, se del caso, di adottare misure correttive immediate.
Gestione dei casi di non conformità
1. L'autorità di vigilanza del mercato impone al fabbricante del sistema di cartelle cliniche elettroniche interessato, al suo rappresentante autorizzato e a tutti gli altri operatori economici pertinenti di adottare, entro un termine definito, misure correttive adeguate per rendere conforme il sistema di cartelle cliniche elettroniche qualora constati la non conformità. Tali constatazioni di non conformità includono, tra gli altri, i casi seguenti:
a) il sistema di cartelle cliniche elettroniche non è conforme alle prescrizioni essenziali di cui all'allegato II o alle specifiche comuni di cui all'articolo 36;
b) la documentazione tecnica non è disponibile, è incompleta o non è conforme all'articolo 37;
c) la dichiarazione di conformità UE non è stata redatta o non è stata redatta correttamente in conformità dell'articolo 39;
d) la marcatura di conformità CE è stata apposta in violazione dell'articolo 41 o non è stata apposta;
e) gli obblighi di registrazione di cui all'articolo 49 non sono stati rispettati.
2. Qualora il fabbricante del sistema di cartelle cliniche elettroniche interessato, il suo rappresentante autorizzato o altro operatore economico pertinente non prenda le misure correttive adeguate entro un periodo ragionevole, le autorità di vigilanza del mercato adottano tutte le opportune misure provvisorie per vietare o limitare la messa a disposizione del sistema di cartelle cliniche elettroniche sul mercato del loro Stato membro, o per richiamarlo o ritirarlo da tale mercato.
Le autorità di vigilanza del mercato comunicano senza ritardo alla Commissione e alle autorità di vigilanza del mercato degli altri Stati membri le misure provvisorie adottate. Tali informazioni comprendono tutti i dettagli disponibili, in particolare i dati necessari all'identificazione del sistema di cartelle cliniche elettroniche non conforme, la sua origine, la natura della presunta non conformità e il rischio connesso, la natura e la durata delle misure adottate dalle autorità di vigilanza del mercato, nonché gli argomenti addotti dall'operatore economico interessato. In particolare, le autorità di vigilanza del mercato indicano se la non conformità sia dovuta a una delle circostanze seguenti:
a) mancato rispetto, da parte del sistema di cartelle cliniche elettroniche, delle prescrizioni essenziali di cui all'allegato II;
b) carenze relative alle specifiche comuni di cui all'articolo 36.
3. Le autorità di vigilanza del mercato che non siano quelle che hanno avviato la procedura a norma del presente articolo informano senza indugio la Commissione e le autorità di vigilanza del mercato degli altri Stati membri di tutte le misure adottate, di tutte le altre informazioni a loro disposizione sulla non conformità del sistema di cartelle cliniche elettroniche interessato e, in caso di disaccordo con la misura nazionale adottata, delle loro obiezioni.
4. Qualora, entro tre mesi dal ricevimento delle informazioni di cui al secondo comma del paragrafo 2, né un'autorità di vigilanza del mercato di un altro Stato membro né la Commissione sollevino obiezioni contro una misura provvisoria adottata da un'autorità di vigilanza del mercato, tale misura è ritenuta giustificata.
5. Se la non conformità di cui al paragrafo 1 permane, l'autorità di vigilanza del mercato interessata adotta tutte le misure del caso per vietare o limitare la messa a disposizione del sistema di cartelle cliniche elettroniche sul mercato o per garantire che sia richiamato o ritirato dal mercato.
Procedura di salvaguardia dell'Unione
1. Se, a norma dell'articolo 44, paragrafo 2, e dell'articolo 45, paragrafo 3, sono sollevate obiezioni contro una misura nazionale adottata da un'autorità di vigilanza del mercato o se la Commissione considera una misura nazionale contraria al diritto dell'Unione, la Commissione avvia tempestivamente consultazioni con tale autorità di vigilanza del mercato e con gli operatori economici interessati e valuta la misura nazionale interessata. In base ai risultati della valutazione, la Commissione adotta una decisione di esecuzione che determina se la misura nazionale sia giustificata. Tale decisione di esecuzione è adottata secondo la procedura d'esame di cui all'articolo 98, paragrafo 2. La Commissione indirizza la propria decisione di esecuzione a tutti gli Stati membri e la comunica immediatamente ad essi e agli operatori economici interessati.
2. Se la misura nazionale di cui al paragrafo 1 è ritenuta giustificata dalla Commissione, tutti gli Stati membri interessati adottano le misure necessarie per garantire che il sistema di cartelle cliniche elettroniche non conforme sia ritirato dal proprio mercato e ne informano la Commissione.
Se la misura nazionale di cui al paragrafo 1 è ritenuta ingiustificata dalla Commissione, lo Stato membro interessato la revoca.
Etichettatura delle applicazioni per il benessere
1. Qualora il fabbricante di un'applicazione per il benessere dichiari l'interoperabilità con un sistema di cartelle cliniche elettroniche in relazione ai componenti software armonizzati dei sistemi di cartelle cliniche elettroniche e pertanto la conformità alle specifiche comuni di cui all'articolo 36 e alle prescrizioni essenziali di cui all'allegato II, l'applicazione per il benessere è accompagnata da un'etichetta che ne indichi chiaramente la conformità a tali specifiche e prescrizioni. L'etichetta è rilasciata dal fabbricante dell'applicazione per il benessere.
2. L'etichetta di cui al paragrafo 1 reca le informazioni seguenti:
a) le categorie di dati sanitari elettronici per le quali è stata confermata la conformità alle prescrizioni essenziali di cui all'allegato II;
b) il riferimento a specifiche comuni per dimostrare la conformità;
c) il periodo di validità dell'etichetta.
3. La Commissione stabilisce, mediante atti di esecuzione, il formato e il contenuto dell'etichetta di cui al paragrafo 1. Tali atti di esecuzione sono adottati secondo la procedura d'esame di cui all'articolo 98, paragrafo 2.
4. L'etichetta è redatta in una o più lingue ufficiali dell'Unione o in una lingua facilmente comprensibile stabilita dallo Stato membro in cui l'applicazione per il benessere è immessa sul mercato o messa in servizio.
5. La validità dell'etichetta non supera i tre anni.
6. Se l'applicazione per il benessere è parte integrante di un dispositivo o è integrata in un dispositivo dopo la sua messa in servizio, l'etichetta che la accompagna compare nell'applicazione stessa o è apposta sul dispositivo. Nel caso in cui l'applicazione per il benessere consista unicamente di un software, l'etichetta deve avere un formato digitale e compare nell'applicazione stessa. Per visualizzare l'etichetta possono essere utilizzati anche codici a barre bidimensionali (2D).
7. Le autorità di vigilanza del mercato verificano la conformità delle applicazioni per il benessere alle prescrizioni essenziali di cui all'allegato II.
8. Ogni fornitore di un'applicazione per il benessere per la quale è stata rilasciata un'etichetta garantisce che ciascuna singola unità dell'applicazione per il benessere immessa sul mercato o messa in servizio sia accompagnata gratuitamente dall'etichetta.
9. Ciascun distributore di un'applicazione per il benessere per la quale è stata rilasciata un'etichetta mette l'etichetta a disposizione dei clienti presso il punto di vendita in forma elettronica.
Interoperabilità delle applicazioni per il benessere con i sistemi di cartelle cliniche elettroniche
1. I fabbricanti di applicazioni per il benessere possono dichiarare l'interoperabilità con un sistema di cartelle cliniche elettroniche, a condizione che siano rispettate le pertinenti specifiche comuni e prescrizioni essenziali di cui, rispettivamente, all'articolo 36 e all'allegato II. In tal caso, i fabbricanti informano debitamente gli utenti di tali applicazioni per il benessere in merito all'interoperabilità e ai suoi effetti.
2. L'interoperabilità delle applicazioni per il benessere con i sistemi di cartelle cliniche elettroniche non implica la condivisione o la trasmissione automatica di tutti i dati sanitari dell'applicazione per il benessere o di parte di essi con il sistema di cartelle cliniche elettroniche. La condivisione o la trasmissione di tali dati è possibile solo se conforme all'articolo 5 e previo consenso della persona fisica interessata e l'interoperabilità è limitata esclusivamente ai fini della condivisione e della trasmissione. I fabbricanti di applicazioni per il benessere che dichiarano l'interoperabilità con un sistema di cartelle cliniche elettroniche garantiscono che la persona fisica interessata possa scegliere quali categorie dei dati sanitari dell'applicazione per il benessere inserire nel sistema di cartelle cliniche elettroniche e le circostanze per la loro condivisione o trasmissione.
SEZIONE 6
Registrazione dei sistemi di cartelle cliniche elettroniche e delle applicazioni per il benessere
Banca dati UE per la registrazione dei sistemi di cartelle cliniche elettroniche e delle applicazioni per il benessere
1. La Commissione istituisce e mantiene una banca dati UE accessibile al pubblico contenente dati sui sistemi di cartelle cliniche elettroniche per i quali è stata rilasciata una dichiarazione di conformità UE a norma dell'articolo 39 e sulle applicazioni per il benessere per le quali è stata rilasciata un'etichetta a norma dell'articolo 47 («banca dati UE per la registrazione dei sistemi di cartelle cliniche elettroniche e delle applicazioni per il benessere»).
2. Prima dell'immissione sul mercato o della messa in servizio di un sistema di cartelle cliniche elettroniche di cui all'articolo 26 o di un'applicazione per il benessere di cui all'articolo 47, il fabbricante di tale sistema di cartelle cliniche elettroniche o applicazione per il benessere o, se del caso, il suo rappresentante autorizzato inserisce i dati richiesti di cui al paragrafo 4 del presente articolo nella banca dati UE per la registrazione dei sistemi di cartelle cliniche elettroniche e delle applicazioni per il benessere, compresi, nel caso dei sistemi di cartelle cliniche elettroniche, i risultati della valutazione di cui all'articolo 40.
3. I dispositivi medici, i dispositivi medico-diagnostici in vitro o i sistemi di IA ad alto rischio di cui all'articolo 27, paragrafi 1 e 2, del presente regolamento sono registrati, a seconda dei casi, anche nelle banche dati istituite a norma del regolamento (UE) 2017/745, (UE) 2017/746 o (UE) 2024/1689. In tali casi, i dati da inserire sono trasmessi anche alla banca dati UE per la registrazione dei sistemi di cartelle cliniche elettroniche e delle applicazioni per il benessere.
4. Alla Commissione è conferito il potere di adottare atti delegati conformemente all'articolo 97 al fine di integrare il presente regolamento stabilendo l'elenco dei dati richiesti che a norma del paragrafo 2 del presente articolo devono essere inseriti dai fabbricanti di sistemi di cartelle cliniche elettroniche e di applicazioni per il benessere nella banca dati UE per la registrazione dei sistemi di cartelle cliniche elettroniche e delle applicazioni per il benessere.
Applicabilità ai titolari dei dati sanitari
1. Le seguenti categorie di titolari dei dati sanitari sono esonerate dagli obblighi spettanti ai titolari dei dati sanitari di cui al presente capo:
a) le persone fisiche, compresi i singoli ricercatori;
b) le persone giuridiche considerate microimprese ai sensi dell'articolo 2, paragrafo 3, dell'allegato della raccomandazione 2003/361/CE.
2. Gli Stati membri possono stabilire nel loro diritto nazionale che gli obblighi dei titolari dei dati sanitari di cui al presente capo si applicano ai titolari dei dati sanitari di cui al paragrafo 1 che rientrano nella loro giurisdizione.
3. Gli Stati membri possono stabilire nel loro diritto nazionale che gli obblighi di determinate categorie di titolari dei dati sanitari siano assolti da entità di intermediazione dei dati sanitari. In tal caso, i dati sono comunque considerati come messi a disposizione da vari titolari dei dati sanitari.
4. Gli Stati membri informano la Commissione delle disposizioni del diritto nazionale di cui ai paragrafi 2 e 3 entro il 26 marzo 2029. Eventuali successive disposizioni o modifiche di tale diritto sono notificate senza indugio alla Commissione.
Categorie minime di dati sanitari elettronici per l'uso secondario
1. I titolari dei dati sanitari mettono a disposizione per l'uso secondario, conformemente al presente capo, le categorie di dati sanitari elettronici seguenti:
a) dati sanitari elettronici provenienti da cartelle cliniche elettroniche;
b) dati su fattori con un'incidenza sulla salute, compresi i determinanti socioeconomici, ambientali e comportamentali della salute;
c) dati aggregati sulle esigenze di assistenza sanitaria, sulle risorse assegnate all'assistenza sanitaria, sulla prestazione di assistenza sanitaria e sul suo accesso, sulla spesa per l'assistenza sanitaria e sul suo finanziamento;
d) dati sugli agenti patogeni che incidono sulla salute umana;
e) dati amministrativi relativi all'assistenza sanitaria, anche relativamente alle dispensazioni, alle domande di rimborso e ai rimborsi;
f) dati genetici, epigenomici e genomici umani;
g) altri dati molecolari umani, quali quelli provenienti dalla proteomica, dalla trascrittomica, dalla metabolomica, dalla lipidomica e altri dati omici;
h) dati sanitari elettronici personali generati automaticamente mediante dispositivi medici;
i) dati provenienti dalle applicazioni per il benessere;
j) dati relativi allo status e alla specializzazione e all'istituzione dei professionisti sanitari coinvolti nella cura di una persona fisica;
k) dati provenienti da registri dei dati sanitari basati sulla popolazione, come i registri di sanità pubblica;
l) dati provenienti da registri medici e da registri della mortalità;
m) dati provenienti da sperimentazioni cliniche, studi clinici, indagini cliniche e studi delle prestazioni soggetti al regolamento (UE) n. 536/2014, al regolamento (UE) 2024/1938 del Parlamento europeo e del Consiglio (1), al regolamento (UE) 2017/745 e al regolamento (UE) 2017/746;
n) altri dati sanitari provenienti da dispositivi medici;
o) dati provenienti da registri di medicinali e dispositivi medici;
p) dati provenienti da coorti di ricerca, questionari e indagini in materia di salute, dopo la prima pubblicazione dei risultati;
q) dati sanitari provenienti da biobanche e banche dati associate.
2. Gli Stati membri possono stabilire nel loro diritto nazionale che categorie aggiuntive di dati sanitari elettronici siano messe a disposizione per l'uso secondario in conformità del presente regolamento.
3. Gli Stati membri possono stabilire norme per il trattamento e l'uso dei dati sanitari elettronici contenenti miglioramenti relativi al loro trattamento, come correzioni, annotazioni o arricchimenti, sulla base di un'autorizzazione ai dati a norma dell'articolo 68.
4. Gli Stati membri possono introdurre misure più rigorose e garanzie supplementari a livello nazionale intese a tutelare la sensibilità e il valore dei dati che rientrano nel paragrafo 1, lettere f), g), i) e q). Gli Stati membri notificano tali misure e garanzie alla Commissione e provvedono senza ritardo a darle notifica di ogni ulteriore modifica.
Regolamento (UE) 2024/1938 del Parlamento europeo e del Consiglio, del 13 giugno 2024, sui parametri di qualità e sicurezza per le sostanze di origine umana destinate all'applicazione sugli esseri umani e che abroga le direttive 2002/98/CE e 2004/23/CE (GU L, 2024/1938, 17.7.2024, ELI: http://data.europa.eu/eli/reg/2024/1938/oj).
Diritti di proprietà intellettuale e segreti commerciali
1. I dati sanitari elettronici protetti da diritti di proprietà intellettuale, da segreti commerciali o coperti dal diritto alla tutela regolamentare dei dati di cui all'articolo 10, paragrafo 1, della direttiva 2001/83/CE del Parlamento europeo e del Consiglio (1) o all'articolo 14, paragrafo 11, del regolamento (CE) n. 726/2004 del Parlamento europeo e del Consiglio (2) sono messi a disposizione per l'uso secondario in conformità delle norme stabilite nel presente regolamento.
2. I titolari dei dati sanitari informano l'organismo responsabile dell'accesso ai dati sanitari di eventuali dati sanitari elettronici contenenti contenuti o informazioni protetti da diritti di proprietà intellettuale, da segreti commerciali o coperti dal diritto alla tutela regolamentare dei dati di cui all'articolo 10, paragrafo 1, della direttiva 2001/83/CE o all'articolo 14, paragrafo 11, del regolamento (CE) n. 726/2004. I titolari dei dati sanitari identificano quali parti delle serie di dati sono interessate e giustificano la necessità di protezione specifica dei dati. I titolari dei dati sanitari forniscono queste informazioni quando comunicano all'organismo responsabile dell'accesso ai dati sanitari la descrizione della serie di dati di cui sono in possesso in conformità dell'articolo 60, paragrafo 3, del presente regolamento o, al più tardi, a seguito di una richiesta ricevuta dall'organismo responsabile dell'accesso ai dati sanitari.
3. Gli organismi responsabili dell'accesso ai dati sanitari prendono tutte le misure specifiche appropriate e proporzionate, incluse misure giuridiche, organizzative e tecniche, che considerano necessarie per proteggere i diritti di proprietà intellettuale, i segreti commerciali o il diritto alla tutela regolamentare dei dati di cui all'articolo 10, paragrafo 1, della direttiva 2001/83/CE o all'articolo 14, paragrafo 11, del regolamento (CE) n. 726/2004. Gli organismi responsabili dell'accesso ai dati sanitari rimangono responsabili per la determinazione della necessità e dell'appropriatezza di tali misure.
4. Quando rilasciano le autorizzazioni ai dati conformemente all'articolo 68, gli organismi responsabili dell'accesso ai dati sanitari possono subordinare l'accesso a determinati dati sanitari elettronici a misure giuridiche, organizzative e tecniche, che possono includere accordi contrattuali tra i titolari dei dati sanitari e gli utenti dei dati sanitari per la condivisione di dati contenenti informazioni o contenuti protetti da diritti di proprietà intellettuale o da segreti commerciali. La Commissione elabora e raccomanda clausole contrattuali tipo non vincolanti per tali accordi.
5. Qualora la concessione dell'accesso a dati sanitari elettronici per l'uso secondario comporti un grave rischio di violazione dei diritti di proprietà intellettuale, dei segreti commerciali o del diritto alla tutela regolamentare dei dati di cui all'articolo 10, paragrafo 1, della direttiva 2001/83/CE o all'articolo 14, paragrafo 11, del regolamento (CE) n. 726/2004 che non può essere affrontato in maniera soddisfacente, l'organismo responsabile dell'accesso ai dati sanitari nega l'accesso a tali dati al richiedente di dati sanitari. L'organismo responsabile dell'accesso ai dati sanitari informa il richiedente di dati sanitari di tale diniego e gliene fornisce una giustificazione. I titolari dei dati sanitari e i richiedenti di dati sanitari hanno il diritto di presentare un reclamo a norma dell'articolo 81 del presente regolamento.
Direttiva 2001/83/CE del Parlamento europeo e del Consiglio, del 6 novembre 2001, recante un codice comunitario relativo ai medicinali per uso umano (GU L 311 del 28.11.2001).
Regolamento (CE) n. 726/2004 del Parlamento europeo e del Consiglio, del 31 marzo 2004, che istituisce procedure comunitarie per l'autorizzazione e la sorveglianza dei medicinali per uso umano e veterinario, e che istituisce l'agenzia europea per i medicinali (GU L 136 del 30.4.2004).
Finalità per le quali è possibile trattare i dati sanitari elettronici per l'uso secondario
1. Gli organismi responsabili dell'accesso ai dati sanitari concedono l'accesso ai dati sanitari elettronici di cui all'articolo 51 per l'uso secondario a un utente dei dati sanitari solo se il trattamento dei dati da parte dell'utente è necessario per una delle finalità seguenti:
a) pubblico interesse nell'ambito della sanità pubblica o della medicina del lavoro, come nel caso delle attività per la protezione da gravi minacce per la salute a carattere transfrontaliero, della sorveglianza della sanità pubblica o delle attività per la garanzia di elevati livelli di qualità e sicurezza dell'assistenza sanitaria, inclusa la sicurezza dei pazienti, e di medicinali o dispositivi medici;
b) definizione delle politiche e attività regolamentari a sostegno di enti pubblici o di istituzioni, organi e organismi dell'Unione, comprese le autorità di regolamentazione, del settore sanitario o dell'assistenza affinché svolgano i compiti definiti nei rispettivi mandati;
c) statistiche quali definite all'articolo 3, punto 1), del regolamento (UE) n. 223/2009, come le statistiche ufficiali a livello nazionale, multinazionale e dell'Unione, relative al settore sanitario o dell'assistenza;
d) attività d'istruzione o d'insegnamento nel settore sanitario o dell'assistenza al livello della formazione professionale o dell'istruzione superiore;
e) ricerca scientifica nel settore sanitario o dell'assistenza che contribuisce alla sanità pubblica o alla valutazione delle tecnologie sanitarie o che garantisce elevati livelli di qualità e sicurezza dell'assistenza sanitaria, dei medicinali o dei dispositivi medici, con l'obiettivo di favorire gli utenti finali, quali i pazienti, i professionisti sanitari e gli amministratori sanitari, tra cui:
i) attività di sviluppo e innovazione per prodotti o servizi;
ii) attività di addestramento, prova e valutazione degli algoritmi, anche nell'ambito di dispositivi medici, dispositivi medico-diagnostici in vitro, sistemi di IA e applicazioni di sanità digitale;
f) miglioramento della prestazione di assistenza, ottimizzazione delle cure ed erogazione di assistenza sanitaria sulla base dei dati sanitari elettronici di altre persone fisiche.
2. L'accesso ai dati sanitari elettronici per le finalità di cui al paragrafo 1, lettere a), b) e c), è riservato agli enti pubblici e alle istituzioni, agli organi e agli organismi dell'Unione che esercitano i compiti loro affidati dal diritto dell'Unione o dal diritto nazionale, anche quando il trattamento dei dati per lo svolgimento di tali compiti è effettuato da terzi per conto di tali enti pubblici o delle istituzioni, degli organi e degli organismi dell'Unione.
Uso secondario vietato
Gli utenti dei dati sanitari trattano solamente i dati sanitari elettronici per l'uso secondario sulla base e in conformità delle finalità previste in un'autorizzazione ai dati rilasciata a norma dell'articolo 68, in richieste di dati sanitari approvate a norma dell'articolo 69 o, nelle situazioni di cui all'articolo 67, paragrafo 3, in un'approvazione di accesso da parte del pertinente partecipante autorizzato in DatiSanitari@UE (HealthData@EU) di cui all'articolo 75.
In particolare, sono vietati l'accesso ai dati sanitari elettronici per l'uso secondario ottenuti mediante un'autorizzazione ai dati rilasciata a norma dell'articolo 68 o una richiesta di dati sanitari approvata a norma dell'articolo 69 e il trattamento di tali dati per gli usi seguenti:
a) adottare decisioni pregiudizievoli per una persona fisica o un gruppo di persone fisiche sulla base dei loro dati sanitari elettronici; per essere considerate «decisioni» ai fini della presente lettera, esse devono produrre effetti giuridici, sociali o economici o incidere in modo analogo significativamente su tali persone fisiche;
b) adottare decisioni, in relazione a una persona fisica o a un gruppo di persone fisiche, per quanto riguarda offerte di lavoro, offrire condizioni meno favorevoli nella fornitura di beni o servizi, compresa l'esclusione di tali persone o gruppi dal beneficio di un contratto di assicurazione o di credito, la modifica dei loro contributi e premi assicurativi o le condizioni dei prestiti, o adottare altre decisioni, in relazione a una persona fisica o a un gruppo di persone fisiche, che risultino in una discriminazione nei loro confronti sulla base dei dati sanitari ottenuti;
c) svolgere attività pubblicitarie o di marketing;
d) sviluppare prodotti o servizi in grado di danneggiare le persone, la sanità pubblica o la società in generale, quali droghe illecite, bevande alcoliche, prodotti del tabacco e della nicotina, armi o prodotti o servizi concepiti o modificati in modo da creare dipendenza, violare l'ordine pubblico o la moralità o causare un rischio per la salute umana;
e) svolgere attività in contrasto con le disposizioni etiche a norma del diritto nazionale.
Organismi responsabili dell'accesso ai dati sanitari
1. Gli Stati membri designano uno o più organismi responsabili dell'accesso ai dati sanitari incaricati di svolgere i compiti e rispettare gli obblighi di cui agli articoli 57, 58 e 59. Gli Stati membri possono istituire uno o più enti pubblici nuovi oppure fare affidamento su enti pubblici esistenti o su servizi interni di enti pubblici che soddisfano le condizioni di cui al presente articolo. I compiti di cui all'articolo 57 possono essere suddivisi tra diversi organismi responsabili dell'accesso ai dati sanitari. Qualora uno Stato membro designi più organismi responsabili dell'accesso ai dati sanitari, esso designa un organismo responsabile dell'accesso ai dati sanitari che funga da coordinatore e sia incaricato di coordinare i compiti con gli altri organismi responsabili dell'accesso ai dati sanitari sia all'interno del territorio dello Stato membro sia in altri Stati membri.
Ciascun organismo responsabile dell'accesso ai dati sanitari contribuisce all'applicazione coerente del presente regolamento in tutta l'Unione. A tal fine, gli organismi responsabili dell'accesso ai dati sanitari cooperano tra loro, con la Commissione e, per le questioni relative alla protezione dei dati, con le autorità di controllo competenti.
2. Al fine di supportare l'efficace svolgimento dei compiti e l'esercizio dei poteri degli organismi responsabili dell'accesso ai dati sanitari, gli Stati membri provvedono affinché ogni organismo responsabile dell'accesso ai dati sanitari disponga degli elementi seguenti:
a) le risorse umane, finanziarie e tecniche necessarie;
b) le competenze necessarie; e
c) i locali e le infrastrutture necessari.
Qualora a norma del diritto nazionale sia richiesta una valutazione da parte di organismi etici, tali organismi mettono le proprie competenze a disposizione dell'organismo responsabile dell'accesso ai dati sanitari. In alternativa, gli Stati membri possono stabilire che gli organismi etici siano integrati nell'organismo responsabile dell'accesso ai dati sanitari.
3. Gli Stati membri provvedono affinché sia evitato qualsiasi conflitto di interessi tra le parti organizzative degli organismi responsabili dell'accesso ai dati sanitari che svolgono i diversi compiti di tali organismi tramite, ad esempio, la previsione di garanzie organizzative quali la separazione tra le diverse funzioni degli organismi responsabili dell'accesso ai dati sanitari, in particolare la valutazione delle domande, la ricezione e la preparazione delle serie di dati, ad esempio la pseudonimizzazione e l'anonimizzazione, e la fornitura di dati in ambienti di trattamento sicuri.
4. Nello svolgimento dei loro compiti, gli organismi responsabili dell'accesso ai dati sanitari cooperano attivamente con i pertinenti rappresentanti dei portatori di interessi, in particolare con i rappresentanti dei pazienti, dei titolari dei dati sanitari e degli utenti dei dati sanitari ed evitano qualsiasi conflitto di interessi.
5. Nello svolgimento dei propri compiti e nell'esercizio dei propri poteri, gli organismi responsabili dell'accesso ai dati sanitari evitano qualsiasi conflitto di interessi. Il personale degli organismi responsabili dell'accesso ai dati sanitari agisce nell'interesse pubblico e in maniera indipendente.
6. Gli Stati membri informano la Commissione dell'identità degli organismi responsabili dell'accesso ai dati sanitari designati a norma del paragrafo 1 entro il 26 marzo 2027. Essi informano inoltre la Commissione di ogni successiva modifica dell'identità di tali organismi. La Commissione e gli Stati membri mettono tali informazioni a disposizione del pubblico.
Servizio di accesso ai dati sanitari dell'Unione
1. La Commissione svolge i compiti di cui agli articoli 57 e 59 qualora i titolari dei dati sanitari siano istituzioni, organi o organismi dell'Unione.
2. La Commissione provvede affinché siano assegnate le risorse umane, tecniche e finanziarie, i locali e le infrastrutture necessari per l'efficace svolgimento dei compiti di cui agli articoli 57 e 59 e per l'adempimento dei suoi obblighi.
3. A meno che non sia escluso esplicitamente, i riferimenti agli organismi responsabili dell'accesso ai dati sanitari nel presente regolamento in relazione allo svolgimento dei compiti e all'adempimento degli obblighi si intendono come applicabili anche alla Commissione, qualora i titolari dei dati sanitari interessati siano istituzioni, organi o organismi dell'Unione.
Compiti degli organismi responsabili dell'accesso ai dati sanitari
1. Gli organismi responsabili dell'accesso ai dati sanitari svolgono i compiti seguenti:
a) decidono in merito alle domande di accesso ai dati sanitari a norma dell'articolo 67 del presente regolamento, autorizzano e rilasciano autorizzazioni ai dati a norma dell'articolo 68 del presente regolamento per accedere ai dati sanitari elettronici che rientrano nelle loro competenze per l'uso secondario e decidono in merito alle richieste di dati sanitari presentate a norma dell'articolo 69 del presente regolamento conformemente al presente capo e al capo II del regolamento (UE) 2022/868, incluso per quanto riguarda:
i) fornire l'accesso ai dati sanitari elettronici agli utenti dei dati sanitari sulla base di un'autorizzazione ai dati in un ambiente di trattamento sicuro in conformità dell'articolo 73;
ii) monitorare e sorvegliare il rispetto, da parte degli utenti dei dati sanitari e dei titolari dei dati sanitari, delle prescrizioni di cui al presente regolamento;
iii) richiedere i dati sanitari elettronici di cui all'articolo 51 ai titolari dei dati sanitari pertinenti sulla base di un'autorizzazione ai dati rilasciata o di una richiesta di dati sanitari approvata;
b) trattare i dati sanitari elettronici di cui all'articolo 51, per esempio tramite il ricevimento, la combinazione, la preparazione e la compilazione di tali dati ove richiesti dai titolari dei dati sanitari e la pseudonimizzazione o l'anonimizzazione di tali dati;
c) adottare tutte le misure necessarie per tutelare la riservatezza dei diritti di proprietà intellettuale, per la tutela regolamentare dei dati e per tutelare la riservatezza dei segreti commerciali di cui all'articolo 52, tenendo conto dei pertinenti diritti sia del titolare dei dati sanitari che dell'utente dei dati sanitari;
d) cooperare con i titolari dei dati sanitari e vigilare su di essi al fine di garantire l'attuazione coerente e accurata delle disposizioni sul marchio di qualità e di utilità dei dati di cui all'articolo 78;
e) mantenere un sistema di gestione per la registrazione e il trattamento delle domande di accesso ai dati sanitari, delle richieste di dati sanitari, delle decisioni in merito a tali domande e richieste, delle autorizzazioni ai dati rilasciate e delle richieste di dati sanitari evase, fornendo almeno informazioni sul nome del richiedente di dati sanitari, sulla finalità dell'accesso, sulla data del rilascio, sulla durata dell'autorizzazione ai dati, nonché una descrizione della domanda di accesso ai dati sanitari o della richiesta di dati sanitari;
f) mantenere un sistema di informazione al pubblico per conformarsi agli obblighi di cui all'articolo 58;
g) cooperare a livello dell'Unione e nazionale per stabilire norme comuni, prescrizioni tecniche e misure adeguate per l'accesso ai dati sanitari elettronici in un ambiente di trattamento sicuro;
h) cooperare a livello dell'Unione e nazionale e fornire consulenza alla Commissione sulle tecniche e le migliori pratiche per l'uso secondario e la gestione dei dati sanitari elettronici;
i) agevolare l'accesso transfrontaliero ai dati sanitari elettronici per l'uso secondario ospitati in altri Stati membri tramite DatiSanitari@UE (HealthData@EU) di cui all'articolo 75 e cooperare strettamente tra loro e con la Commissione;
j) rendere pubblici, per via elettronica:
i) un catalogo nazionale delle serie di dati contenente informazioni dettagliate sulla fonte e sulla natura dei dati sanitari elettronici, conformemente agli articoli 77, 78 e 80, e sulle condizioni per la messa a disposizione dei dati sanitari elettronici;
ii) senza indebito ritardo dopo la loro ricezione iniziale, ogni domanda di accesso ai dati sanitari e richiesta di dati sanitari;
iii) entro 30 giorni lavorativi dal rilascio, dall'approvazione o dal diniego, tutte le autorizzazioni ai dati rilasciate o le richieste di dati sanitari approvate come pure le decisioni di diniego, unitamente alla relativa motivazione;
iv) le misure relative alla non conformità applicate a norma dell'articolo 63;
v) i risultati comunicati dagli utenti dei dati sanitari a norma dell'articolo 61, paragrafo 4;
vi) un sistema di informazione per conformarsi agli obblighi di cui all'articolo 58;
vii) informazioni, come minimo su un sito web o un portale web facilmente accessibile, sul collegamento a DatiSanitari@UE (HealthData@EU) dei punti di contatto nazionali per l'uso secondario di un paese terzo o di un sistema istituito a livello internazionale da un'organizzazione internazionale, non appena il paese terzo o l'organizzazione internazionale diventi un partecipante autorizzato a DatiSanitari@UE (HealthData@EU);
k) adempiere gli obblighi nei confronti delle persone fisiche a norma dell'articolo 58;
l) svolgere qualsiasi altro compito per rendere possibile l'uso secondario dei dati sanitari elettronici nel contesto del presente regolamento.
Il catalogo nazionale delle serie di dati di cui alla lettera j), punto i), del presente paragrafo è altresì messo a disposizione degli sportelli unici di cui all'articolo 8 del regolamento (UE) 2022/868.
2. Nello svolgimento dei loro compiti, gli organismi responsabili dell'accesso ai dati sanitari:
a) cooperano con le autorità di controllo ai sensi del regolamento (UE) 2016/679 in relazione ai dati sanitari elettronici personali, nonché con il comitato EHDS;
b) cooperano con tutti i portatori di interessi pertinenti, tra cui le organizzazioni dei pazienti, i rappresentanti delle persone fisiche, i professionisti sanitari, i ricercatori e i comitati etici, se del caso in conformità del diritto dell'Unione o nazionale;
c) cooperano con altri organismi nazionali competenti, comprese le autorità nazionali competenti che vigilano sulle organizzazioni per l'altruismo dei dati ai sensi del regolamento (UE) 2022/868, le autorità competenti ai sensi del regolamento (UE) 2023/2854 e le autorità nazionali competenti ai sensi dei regolamenti (UE) 2017/745, (UE) 2017/746 e (UE) 2024/1689, se del caso.
3. Gli organismi responsabili dell'accesso ai dati sanitari possono fornire assistenza agli enti pubblici allorché questi accedono ai dati sanitari elettronici in conformità dell'articolo 14 del regolamento (UE) 2023/2854.
4. Gli organismi responsabili dell'accesso ai dati sanitari possono prestare sostegno a un ente pubblico allorché questo ottiene dati nelle circostanze di cui all'articolo 15, lettera a) o b), del regolamento (UE) 2023/2854, in conformità delle norme stabilite in tale regolamento, fornendo sostegno tecnico per il trattamento di tali dati o la loro combinazione con altri dati per un'analisi congiunta.
Obblighi degli organismi responsabili dell'accesso ai dati sanitari nei confronti delle persone fisiche
1. Gli organismi responsabili dell'accesso ai dati sanitari rendono le informazioni sulle condizioni a cui i dati sanitari elettronici sono messi a disposizione per l'uso secondario pubblicamente disponibili attraverso mezzi elettronici e accessibili per le persone fisiche. Tali informazioni includono le seguenti:
a) la base giuridica in virtù della quale l'accesso ai dati sanitari elettronici è concesso all'utente dei dati sanitari;
b) le misure tecniche e organizzative adottate per tutelare i diritti delle persone fisiche;
c) i diritti delle persone fisiche applicabili in relazione all'uso secondario;
d) le modalità di esercizio dei diritti da parte delle persone fisiche conformemente al capo III del regolamento (UE) 2016/679;
e) l'identità e i dati di contatto dell'organismo responsabile dell'accesso ai dati sanitari;
f) chi ha ottenuto l'accesso a serie di dati sanitari elettronici e a quali serie di dati ha ottenuto l'accesso, nonché i dettagli dell'autorizzazione ai dati riguardo alle finalità del trattamento di tali dati di cui all'articolo 53, paragrafo 1;
g) i risultati o gli esiti dei progetti per i quali i dati sanitari elettronici sono stati utilizzati.
2. Se uno Stato membro ha previsto che il diritto di esclusione a norma dell'articolo 71 sia esercitato tramite gli organismi responsabili dell'accesso ai dati sanitari, i pertinenti organismi responsabili dell'accesso ai dati sanitari forniscono al pubblico informazioni sulla procedura di esclusione e facilitano l'esercizio di tale diritto.
3. Se un organismo responsabile dell'accesso ai dati sanitari è informato da un utente dei dati sanitari di una risultanza significativa relativa alla salute di una persona fisica, di cui all'articolo 61, paragrafo 5, l'organismo in questione informa di tale risultanza il titolare dei dati sanitari. Il titolare dei dati sanitari informa, alle condizioni previste dal diritto nazionale, la persona fisica interessata o il professionista sanitario che ha in cura la persona fisica interessata. Le persone fisiche hanno il diritto di chiedere di non essere informate di tali risultanze.
4. Gli Stati membri informano il pubblico in merito al ruolo e ai benefici degli organismi responsabili dell'accesso ai dati sanitari.
Comunicazione da parte degli organismi responsabili dell'accesso ai dati sanitari
1. Ogni due anni ciascun organismo responsabile dell'accesso ai dati sanitari pubblica una relazione di attività e la rende pubblicamente disponibile sul suo sito web. Se uno Stato membro designa più di un organismo responsabile dell'accesso ai dati sanitari, l'organismo di coordinamento di cui all'articolo 55, paragrafo 1, è responsabile della relazione di attività e richiede le informazioni necessarie agli altri organismi responsabili dell'accesso ai dati sanitari. Tale relazione di attività segue una struttura concordata dal comitato EHDS a norma dell'articolo 94, paragrafo 2, lettera d), e contiene almeno le categorie di informazione seguenti:
a) informazioni relative alle domande di accesso ai dati sanitari e alle richieste di dati sanitari presentate, quali i tipi di richiedenti di dati sanitari, il numero di autorizzazioni ai dati rilasciate o respinte, le categorie delle finalità dell'accesso e le categorie di dati sanitari elettronici a cui si è avuto accesso, nonché se del caso una sintesi dei risultati degli impieghi dei dati sanitari elettronici;
b) informazioni sull'adempimento degli impegni normativi e contrattuali da parte degli utenti dei dati sanitari e dei titolari dei dati sanitari, nonché sul numero e sull'importo delle sanzioni amministrative pecuniarie imposte dagli organismi responsabili dell'accesso ai dati sanitari;
c) informazioni sugli audit effettuati sugli utenti dei dati sanitari per garantire la conformità del trattamento che questi effettuano in un ambiente di trattamento sicuro in conformità dell'articolo 73, paragrafo 1, lettera e);
d) informazioni sugli audit interni e di terzi sulla conformità degli ambienti di trattamento sicuri alle norme, alle specifiche e alle prescrizioni stabilite, di cui all'articolo 73, paragrafo 3;
e) informazioni sul trattamento delle richieste presentate da persone fisiche riguardo all'esercizio dei loro diritti alla protezione dei dati;
f) una descrizione delle attività svolte dall'organismo responsabile dell'accesso ai dati sanitari in relazione al coinvolgimento e alla consultazione dei portatori di interessi pertinenti;
g) le entrate derivanti da autorizzazioni ai dati e richieste di dati sanitari;
h) il numero medio di giorni tra la domanda di accesso ai dati sanitari o la richiesta di dati sanitari e l'accesso ai dati;
i) il numero di marchi di qualità dei dati rilasciati dai titolari dei dati sanitari, suddiviso per categoria di qualità;
j) il numero di pubblicazioni di ricerca sottoposte a valutazione inter pares, documenti strategici e procedure di regolamentazione che utilizzano dati a cui si è avuto accesso tramite lo spazio europeo dei dati sanitari;
k) il numero di prodotti e servizi di sanità digitale, comprese le applicazioni di IA, sviluppati utilizzando dati a cui si è avuto accesso tramite lo spazio europeo dei dati sanitari.
2. La relazione di attività di cui al paragrafo 1 è presentata alla Commissione e al comitato EHDS entro sei mesi dalla fine del secondo anno del periodo di riferimento. La relazione di attività è accessibile sul sito web della Commissione.
Obblighi dei titolari dei dati sanitari
1. I titolari dei dati sanitari mettono a disposizione dell'organismo responsabile dell'accesso ai dati sanitari, su richiesta, i dati sanitari elettronici pertinenti di cui all'articolo 51 in conformità di un'autorizzazione ai dati rilasciata a norma dell'articolo 68 o sulla base di una richiesta di dati approvata a norma dell'articolo 69.
2. Il titolare dei dati sanitari mette a disposizione dell'organismo responsabile dell'accesso ai dati sanitari i dati sanitari elettronici richiesti di cui al paragrafo 1 entro un termine ragionevole non superiore a tre mesi dal ricevimento della richiesta da parte dell'organismo in questione. In casi giustificati, l'organismo responsabile dell'accesso ai dati sanitari può prorogare tale periodo per un massimo di tre mesi.
3. Il titolare dei dati sanitari comunica all'organismo responsabile dell'accesso ai dati sanitari una descrizione della serie di dati che detiene conformemente all'articolo 77. Il titolare dei dati sanitari verifica, come minimo su base annuale, che la sua descrizione della serie di dati nel catalogo nazionale delle serie di dati sia accurata e aggiornata.
4. Se la serie di dati è corredata di un marchio di qualità e di utilità dei dati ai sensi dell'articolo 78, il titolare dei dati sanitari fornisce all'organismo responsabile dell'accesso ai dati sanitari una documentazione sufficiente affinché detto organismo verifichi la correttezza del marchio.
5. I titolari dei dati sanitari elettronici non personali forniscono l'accesso ai dati tramite banche dati aperte e affidabili per assicurare un accesso illimitato a tutti gli utenti e l'archiviazione e la conservazione dei dati. Le banche dati pubbliche aperte e affidabili dispongono di una governance solida, trasparente e sostenibile e di un modello di accesso degli utenti trasparente.
Obblighi degli utenti dei dati sanitari
1. Gli utenti dei dati sanitari possono accedere ai dati sanitari elettronici di cui all'articolo 51 e trattarli per l'uso secondario solamente sulla base di un'autorizzazione ai dati rilasciata a norma dell'articolo 68 o di una richiesta di dati sanitari approvata a norma dell'articolo 69 o, nelle situazioni di cui all'articolo 67, paragrafo 3, di un'approvazione dell'accesso da parte del pertinente partecipante autorizzato a DatiSanitari@UE (HealthData@EU) di cui all'articolo 75.
2. Nel trattamento dei dati sanitari elettronici all'interno degli ambienti di trattamento sicuri di cui all'articolo 73, agli utenti dei dati sanitari è vietato fornire l'accesso ai dati sanitari elettronici a terzi non menzionati nell'autorizzazione ai dati o mettere tali dati a loro disposizione.
3. Gli utenti dei dati sanitari non reidentificano e non cercano di reidentificare le persone fisiche a cui si riferiscono i dati sanitari elettronici ottenuti dagli utenti dei dati sanitari sulla base di un'autorizzazione ai dati, di una richiesta di dati sanitari o di un'approvazione dell'accesso da parte di un partecipante autorizzato a DatiSanitari@UE (HealthData@EU).
4. Gli utenti dei dati sanitari rendono pubblici i risultati o gli esiti dell'uso secondario, comprese le informazioni pertinenti per la prestazione di assistenza sanitaria, entro 18 mesi dal completamento del trattamento dei dati sanitari elettronici nell'ambiente di trattamento sicuro o dal ricevimento della risposta alla richiesta di dati sanitari di cui all'articolo 69.
In casi giustificati relativi alle finalità consentite del trattamento dei dati sanitari elettronici, il periodo di cui al primo paragrafo può essere prorogato dall'organismo responsabile dell'accesso ai dati sanitari, in particolare nei casi in cui il risultato è pubblicato su una rivista scientifica o su altre pubblicazioni scientifiche.
I risultati o gli esiti dell'uso secondario contengono solo dati anonimi.
Gli utenti dei dati sanitari informano gli organismi responsabili dell'accesso ai dati sanitari dai quali è stata ottenuta un'autorizzazione ai dati riguardo ai risultati o agli esiti dell'uso secondario e li aiutano a rendere pubbliche tali informazioni sui siti web degli organismi responsabili dell'accesso ai dati. Tale pubblicazione lascia impregiudicati i diritti di pubblicazione su riviste scientifiche o su altre pubblicazioni scientifiche.
Qualora abbiano utilizzato dati sanitari elettronici in conformità del presente capo, gli utenti dei dati sanitari citano le fonti dei dati sanitari elettronici e menzionano il fatto che i dati sanitari elettronici sono stati ottenuti nel quadro dello spazio europeo dei dati sanitari.
5. Fatto salvo il paragrafo 2, gli utenti dei dati sanitari informano l'organismo responsabile dell'accesso ai dati sanitari in merito a qualsiasi risultanza significativa relativa alla salute della persona fisica i cui dati figurano nella serie di dati.
6. Gli utenti dei dati sanitari cooperano con gli organismi responsabili dell'accesso ai dati sanitari nello svolgimento da parte di tali organismi dei loro compiti.
Tariffe
1. Gli organismi responsabili dell'accesso ai dati sanitari, inclusi i servizi di accesso ai dati sanitari dell'Unione, o i titolari dei dati sanitari affidabili di cui all'articolo 72 possono imporre tariffe per la messa a disposizione di dati sanitari elettronici per l'uso secondario.
Le tariffe sono proporzionate ai costi di messa a disposizione dei dati e non limitano la concorrenza.
Le tariffe coprono totalmente o in parte i costi relativi alla procedura per la valutazione di una domanda di accesso ai dati sanitari o di una richiesta di dati sanitari, per il rilascio, il diniego o la modifica di un'autorizzazione ai dati a norma degli articoli 67 e 68 o per fornitura di una risposta a una richiesta di dati presentata a norma dell'articolo 69, inclusi i costi relativi al consolidamento, alla preparazione, alla pseudonimizzazione, all'anonimizzazione e alla fornitura dei dati sanitari elettronici.
Gli Stati membri possono stabilire tariffe ridotte per determinati tipi di utenti dei dati sanitari situati nell'Unione, quali gli enti pubblici o le istituzioni, gli organi e gli organismi dell'Unione con un mandato giuridico nel settore della sanità pubblica, i ricercatori universitari o le microimprese.
2. Le tariffe di cui al paragrafo 1 del presente articolo possono includere una compensazione per i costi sostenuti dal titolare dei dati sanitari per la compilazione e la preparazione dei dati sanitari elettronici da mettere a disposizione per l'uso secondario. In tali casi, il titolare dei dati sanitari fornisce una stima di tali costi all'organismo responsabile dell'accesso ai dati sanitari. Ove il titolare dei dati sia un ente pubblico, l'articolo 6 del regolamento (UE) 2022/868 non si applica. La parte delle tariffe legata ai costi del titolare dei dati sanitari è versata a quest'ultimo.
3. Le tariffe imposte agli utenti dei dati sanitari a norma del presente articolo sono trasparenti e non discriminatorie.
4. Qualora i titolari dei dati sanitari e gli utenti dei dati sanitari non concordino sul livello delle tariffe entro un mese dal rilascio dell'autorizzazione ai dati, l'organismo responsabile dell'accesso ai dati sanitari può fissare le tariffe in proporzione al costo della messa a disposizione dei dati sanitari elettronici per l'uso secondario. Se non concorda con la tariffa stabilita dall'organismo responsabile dell'accesso ai dati sanitari, il titolare dei dati sanitari o l'utente dei dati sanitari ha accesso agli organismi di risoluzione delle controversie conformemente all'articolo 10 del regolamento (UE) 2023/2854.
5. Prima di rilasciare un'autorizzazione ai dati a norma dell'articolo 68 o di fornire una risposta a una richiesta di dati sanitari presentata a norma dell'articolo 69, l'organismo responsabile dell'accesso ai dati sanitari informa delle tariffe stimate il richiedente di dati sanitari. Il richiedente di dati sanitari è informato in merito all'opzione di ritirare la domanda di accesso ai dati sanitari o la richiesta di dati sanitari. Se il richiedente di dati sanitari ritira la domanda o la richiesta, gli vengono imputati solamente i costi già sostenuti.
6. La Commissione stabilisce, mediante atti di esecuzione, principi e norme per le politiche in materia di tariffe e le strutture tariffarie, comprese le detrazioni per i soggetti di cui al paragrafo 1, quarto comma, del presente articolo, al fine di sostenere la coerenza e la trasparenza tra Stati membri riguardo alle politiche riguardanti le tariffe e alle strutture di tali tariffe. Tali atti di esecuzione sono adottati secondo la procedura d'esame di cui all'articolo 98, paragrafo 2.
Attuazione da parte degli organismi responsabili dell'accesso ai dati sanitari
1. Quando svolgono i compiti di monitoraggio e controllo a norma dell'articolo 57, paragrafo 1, lettera a), punto ii), gli organismi responsabili dell'accesso ai dati sanitari hanno il diritto di chiedere e ricevere dagli utenti dei dati sanitari e dai titolari dei dati sanitari tutte le informazioni necessarie per verificare la conformità al presente capo.
2. Qualora concludano che un utente dei dati sanitari o un titolare dei dati sanitari non rispetta le prescrizioni del presente capo, gli organismi responsabili dell'accesso ai dati sanitari ne informano immediatamente l'utente dei dati sanitari o il titolare dei dati sanitari e adottano misure appropriate. L'organismo responsabile dell'accesso ai dati sanitari interessato dà all'utente dei dati sanitari o al titolare dei dati sanitari interessato la possibilità di esprimere il proprio parere entro un termine ragionevole che non deve superare le quattro settimane.
Qualora l'accertamento della non conformità riguardi una possibile violazione del regolamento (UE) 2016/679, l'organismo responsabile dell'accesso ai dati sanitari interessato informa immediatamente le autorità di controllo a norma dello stesso e fornisce loro tutte le informazioni pertinenti in merito a tale risultanza.
3. Per quanto riguarda la non conformità da parte degli utenti dei dati sanitari, gli organismi responsabili dell'accesso ai dati sanitari hanno il potere di revocare l'autorizzazione ai dati rilasciata a norma dell'articolo 68 e di interrompere senza indebito ritardo il trattamento dei dati sanitari elettronici interessato da parte dell'utente dei dati sanitari, e adottano misure adeguate e proporzionate volte a garantire un trattamento conforme da parte degli utenti dei dati sanitari.
Nel quadro di tali misure di esecuzione, se del caso gli organismi responsabili dell'accesso ai dati sanitari possono anche escludere o avviare procedimenti per escludere, in conformità del diritto nazionale, l'utente dei dati sanitari interessato dall'accesso ai dati sanitari elettronici all'interno dello spazio europeo dei dati sanitari nel contesto dell'uso secondario per un periodo massimo di cinque anni.
4. Per quanto riguarda la non conformità da parte dei titolari dei dati sanitari, qualora un titolare dei dati sanitari si rifiuti di fornire i dati sanitari elettronici agli organismi responsabili dell'accesso ai dati sanitari con la chiara intenzione di ostacolare l'uso dei dati sanitari elettronici o non rispetti i termini di cui all'articolo 60, paragrafo 2, l'organismo responsabile dell'accesso ai dati sanitari ha il potere di infliggergli una penalità di mora, che sia trasparente e proporzionata, per ogni giorno di ritardo. L'importo delle sanzioni pecuniarie è stabilito dall'organismo responsabile dell'accesso ai dati sanitari in conformità del diritto nazionale. Qualora il titolare dei dati sanitari violi ripetutamente l'obbligo di cooperazione con l'organismo responsabile dell'accesso ai dati sanitari, tale organismo può escludere o avviare procedimenti per escludere, in conformità del diritto nazionale, il titolare dei dati dalla presentazione di domande di accesso ai dati sanitari in conformità del presente capo per un periodo massimo di cinque anni. Durante il periodo di esclusione, il titolare dei dati continua a essere obbligato a rendere accessibili i dati in conformità del presente capo, ove applicabile.
5. L'organismo responsabile dell'accesso ai dati sanitari comunica senza ritardo all'utente dei dati sanitari o al titolare dei dati sanitari interessato le misure di esecuzione adottate a norma dei paragrafi 3 e 4 e i motivi su cui si basano, e stabilisce un termine ragionevole entro il quale l'utente dei dati sanitari o il titolare dei dati sanitari è tenuto a conformarsi a tali misure.
6. Le misure di esecuzione adottate dall'organismo responsabile dell'accesso ai dati sanitari a norma del paragrafo 3 sono notificate ad altri organismi responsabili dell'accesso ai dati sanitari mediante lo strumento informatico di cui al paragrafo 7. Gli organismi responsabili dell'accesso ai dati sanitari possono mettere tali informazioni a disposizione del pubblico sui loro siti web.
7. La Commissione definisce, mediante atti di esecuzione, l'architettura di uno strumento informatico, quale parte dell'infrastruttura di DatiSanitari@UE (HealthData@EU) di cui all'articolo 75, volto a sostenere le misure di esecuzione di cui al presente articolo, in particolare le penalità di mora, la revoca delle autorizzazioni ai dati e le esclusioni, e a renderle trasparenti ad altri organismi responsabili dell'accesso ai dati sanitari. Tali atti di esecuzione sono adottati secondo la procedura d'esame di cui all'articolo 98, paragrafo 2.
8. Entro il 26 marzo 2032 la Commissione emana orientamenti, in stretta cooperazione con il comitato EHDS, sulle misure di esecuzione incluse le penalità di mora e altre misure adottabili dagli organismi responsabili dell'accesso ai dati sanitari.
Condizioni generali per l'imposizione di sanzioni amministrative pecuniarie da parte degli organismi responsabili dell'accesso ai dati sanitari
1. Ogni organismo responsabile dell'accesso ai dati sanitari provvede affinché le sanzioni amministrative pecuniarie inflitte a norma del presente articolo in relazione alle violazioni di cui ai paragrafi 4 e 5 siano effettive, proporzionate e dissuasive in ogni singolo caso.
2. Le sanzioni amministrative pecuniarie sono inflitte, in funzione delle circostanze di ogni singolo caso, in aggiunta alle misure di esecuzione di cui all'articolo 63, paragrafi 3 e 4, o in luogo di tali misure. Gli organismi responsabili dell'accesso ai dati sanitari decidono se infliggere una sanzione amministrativa pecuniaria e ne fissano l'ammontare in ogni singolo caso tenendo debito conto degli elementi seguenti:
a) la natura, la gravità e la durata della violazione;
b) se le sanzioni o le sanzioni amministrative pecuniarie siano state già irrogate da altre autorità competenti per la stessa violazione;
c) il carattere doloso o colposo della violazione;
d) le misure adottate dal titolare dei dati sanitari o dall'utente dei dati sanitari per attenuare il danno causato;
e) il grado di responsabilità dell'utente dei dati sanitari, tenendo conto delle misure tecniche e organizzative da esso messe in atto ai sensi dell'articolo 67, paragrafo 2, lettera g), e dell'articolo 67, paragrafo 4;
f) eventuali precedenti violazioni pertinenti commesse dal titolare dei dati sanitari o dall'utente dei dati sanitari;
g) il grado di cooperazione del titolare dei dati sanitari o dell'utente dei dati sanitari con l'organismo responsabile dell'accesso ai dati sanitari al fine di porre rimedio alla violazione e attenuarne i possibili effetti negativi;
h) la maniera in cui l'organismo responsabile dell'accesso ai dati sanitari ha preso conoscenza della violazione, in particolare se e in che misura l'utente dei dati sanitari gli ha notificato la violazione;
i) il rispetto delle misure di esecuzione di cui all'articolo 63, paragrafi 3 e 4, che siano stati precedentemente disposte nei confronti del titolare del trattamento o del responsabile del trattamento in questione relativamente allo stesso oggetto;
j) eventuali altri fattori aggravanti o attenuanti applicabili alle circostanze del caso, ad esempio i benefici finanziari conseguiti o le perdite evitate, direttamente o indirettamente, tramite la violazione.
3. Se, in relazione alla stessa autorizzazione ai dati o richiesta di dati sanitari o ad autorizzazioni o richieste collegate, un titolare di dati sanitari o un utente di dati sanitari viola, con dolo o colpa, varie disposizioni del presente regolamento, l'importo totale della sanzione amministrativa pecuniaria non supera l'importo specificato per la violazione più grave.
4. In conformità del paragrafo 2 del presente articolo, le violazioni degli obblighi del titolare dei dati sanitari o dell'utente dei dati sanitari a norma dell'articolo 60 e dell'articolo 61, paragrafi 1, 5 e 6, sono soggette a sanzioni amministrative pecuniarie fino a 10 000 000 EUR o, per le imprese, fino al 2 % del fatturato mondiale totale annuo dell'esercizio precedente, se superiore.
5. In conformità del paragrafo 2, la violazione delle disposizioni seguenti è soggetta a sanzioni amministrative pecuniarie fino a 20 000 000 EUR o, per le imprese, fino al 4 % del fatturato mondiale totale annuo dell'esercizio precedente, se superiore:
a) gli utenti dei dati sanitari che trattano i dati sanitari elettronici ottenuti mediante un'autorizzazione ai dati rilasciata a norma dell'articolo 68 per le finalità di cui all'articolo 54;
b) gli utenti dei dati sanitari che estraggono dati sanitari elettronici personali da ambienti di trattamento sicuri;
c) la reidentificazione o il tentativo di reidentificazione di persone fisiche cui si riferiscono i dati sanitari elettronici ottenuti dall'utente di dati sanitari sulla base di un'autorizzazione ai dati o di una richiesta di dati sanitari a norma dell'articolo 61, paragrafo 3;
d) la non conformità alle misure di esecuzione adottate dall'organismo responsabile dell'accesso ai dati sanitari a norma dell'articolo 63, paragrafi 3 e 4.
6. Fatti salvi i poteri correttivi degli organismi responsabili dell'accesso ai dati sanitari a norma dell'articolo 63, ogni Stato membro può prevedere norme che dispongano se e in quale misura possono essere inflitte sanzioni amministrative pecuniarie ad autorità pubbliche e organismi pubblici istituiti in tale Stato membro.
7. L'esercizio da parte di un organismo responsabile dell'accesso ai dati sanitari dei poteri attribuitigli dal presente articolo è soggetto a garanzie procedurali adeguate in conformità del diritto dell'Unione e del diritto nazionale, inclusi i mezzi di ricorso giurisdizionali effettivi e il giusto processo.
8. Se l'ordinamento giuridico di uno Stato membro non prevede sanzioni amministrative pecuniarie, il presente articolo può essere applicato, in conformità del rispettivo quadro giuridico nazionale, in maniera tale da garantire che i mezzi di ricorso siano effettivi e abbiano effetto equivalente alle sanzioni amministrative pecuniarie irrogate dagli organismi responsabili dell'accesso ai dati sanitari. In ogni caso, le sanzioni pecuniarie irrogate sono effettive, proporzionate e dissuasive. Gli Stati membri interessati notificano alla Commissione le disposizioni di legge adottate a norma del presente paragrafo entro il 26 marzo 2029 e, senza ritardo, le eventuali successive misure di diritto che modificano tali disposizioni o le modifiche che incidono su tali disposizioni.
Relazione con le autorità di controllo nell'ambito del regolamento (UE) 2016/679
L'autorità di controllo o le autorità incaricate di monitorare e assicurare l'applicazione del regolamento (UE) 2016/679 sono altresì competenti per il monitoraggio e l'assicurazione dell'applicazione del diritto di esclusione riguardo al trattamento dei dati sanitari elettronici personali per l'uso secondario a norma dell'articolo 71. Tali autorità di controllo hanno il potere di infliggere sanzioni amministrative pecuniarie fino all'importo di cui all'articolo 83 del regolamento (UE) 2016/679.
Le autorità di controllo di cui al primo comma del presente articolo e gli organismi responsabili dell'accesso ai dati sanitari di cui all'articolo 55 del presente regolamento cooperano, se del caso, nell'attuazione del presente regolamento nell'ambito delle rispettive competenze. Le pertinenti disposizioni del regolamento (UE) 2016/679 si applicano mutatis mutandis.
Minimizzazione dei dati e limitazione della finalità
1. Quando gli organismi responsabili dell'accesso ai dati sanitari ricevono una domanda di accesso ai dati sanitari, essi garantiscono che l'accesso sia fornito solo ai dati sanitari elettronici che sono adeguati, pertinenti e limitati a quanto necessario in relazione alla finalità del trattamento indicato nella domanda di accesso ai dati sanitari da parte dell'utente dei dati sanitari e in linea con l'autorizzazione ai dati rilasciata a norma dell'articolo 68.
2. Gli organismi responsabili dell'accesso ai dati sanitari forniscono i dati sanitari elettronici in forma anonimizzata, qualora lo scopo del trattamento da parte dell'utente dei dati sanitari possa essere conseguito con tali dati, tenendo conto delle informazioni fornite da quest'ultimo.
3. Qualora l'utente dei dati sanitari abbia dimostrato in misura sufficiente che la finalità del trattamento non può essere conseguita con dati anonimizzati in conformità dell'articolo 68, paragrafo 1, lettera c), gli organismi responsabili dell'accesso ai dati sanitari forniscono l'accesso ai dati sanitari elettronici in forma pseudonimizzata. Le informazioni richieste per invertire la pseudonimizzazione sono disponibili soltanto all'organismo responsabile dell'accesso ai dati sanitari o a un soggetto che agisce come terzo affidabile conformemente al diritto nazionale.
Domande di accesso ai dati
1. Una persona fisica o giuridica può presentare una domanda di accesso ai dati sanitari per le finalità di cui all'articolo 53, paragrafo 1, a un organismo responsabile dell'accesso ai dati sanitari.
2. La domanda di accesso ai dati sanitari comprende:
a) l'identità del richiedente di dati sanitari, la descrizione della sua funzione e delle sue attività professionali, compresa l'identità delle persone fisiche che avrebbero accesso ai dati sanitari elettronici qualora fosse concessa un'autorizzazione ai dati; il richiedente di dati sanitari notifica all'organismo responsabile dell'accesso ai dati sanitari ogni aggiornamento dell'elenco delle persone fisiche;
b) le finalità di cui all'articolo 53, paragrafo 1, per le quali è richiesto l'accesso ai dati;
c) una spiegazione dettagliata dell'uso previsto dei dati sanitari elettronici e del beneficio atteso in relazione a tale uso e del modo in cui tale beneficio contribuirebbe alle finalità di cui all'articolo 53, paragrafo 1;
d) una descrizione dei dati sanitari elettronici richiesti, tra cui la loro portata, il loro arco temporale, il formato, le fonti e, ove possibile, la copertura geografica qualora tali dati siano richiesti a titolari di dati sanitari in più Stati membri o a partecipanti autorizzati a DatiSanitari@UE (HealthData@EU) di cui all'articolo 75;
e) una descrizione che spieghi se i dati sanitari elettronici debbano essere messi a disposizione in forma pseudonimizzata o anonimizzata; nel caso si opti per una forma pseudonimizzata, una giustificazione del motivo per cui il trattamento non può essere effettuato utilizzando dati anonimizzati;
f) ove il richiedente di dati sanitari intenda integrare le serie di dati già in suo possesso nell'ambiente di trattamento sicuro, una descrizione di tali serie di dati;
g) una descrizione delle garanzie, che devono essere proporzionate ai rischi, previste per impedire qualsiasi uso improprio dei dati sanitari elettronici, nonché per tutelare i diritti e gli interessi del titolare dei dati sanitari e delle persone fisiche interessate, anche per impedire qualsiasi reidentificazione delle persone fisiche nella serie di dati;
h) un'indicazione giustificata del periodo durante il quale i dati sanitari elettronici sono necessari per il trattamento in un ambiente di trattamento sicuro;
i) una descrizione degli strumenti e delle risorse informatiche necessari per un ambiente di trattamento sicuro;
j) se del caso, informazioni sulla valutazione degli eventuali aspetti etici del trattamento, richiesti dal diritto nazionale, che possano contribuire a sostituire la valutazione etica del richiedente di dati sanitari;
k) se il richiedente di dati sanitari intende avvalersi di un'eccezione ai sensi dell'articolo 71, paragrafo 4, le giustificazioni richieste dal diritto nazionale a norma di tale articolo.
3. Qualora desideri accedere ai dati sanitari elettronici detenuti da titolari dei dati sanitari stabiliti in più di uno Stato membro o dai pertinenti partecipanti autorizzati a DatiSanitari@UE (HealthData@EU) di cui all'articolo 75, il richiedente di dati sanitari presenta un'unica domanda di accesso ai dati sanitari tramite l'organismo responsabile dell'accesso ai dati sanitari dello Stato membro nel quale si trova lo stabilimento principale del richiedente di dati sanitari, mediante l'organismo responsabile dell'accesso ai dati sanitari dello Stato membro in cui uno di tali titolari dei dati sanitari è stabilito o tramite i servizi forniti dalla Commissione in DatiSanitari@UE (HealthData@EU) di cui all'articolo 75. La domanda di accesso ai dati sanitari è trasmessa automaticamente ai partecipanti autorizzati a DatiSanitari@UE (HealthData@EU) e agli organismi responsabili dell'accesso ai dati sanitari degli Stati membri in cui sono stabiliti i titolari dei dati sanitari identificati nella domanda di accesso ai dati sanitari.
4. Se desidera accedere ai dati sanitari elettronici personali in forma pseudonimizzata, il richiedente di dati sanitari fornisce, congiuntamente alla domanda di accesso ai dati sanitari, una descrizione delle modalità con cui il trattamento si conformerebbe al diritto dell'Unione e nazionale applicabile in materia di protezione dei dati e di vita privata, in particolare al regolamento (UE) 2016/679 e, più specificamente, al suo articolo 6, paragrafo 1.
5. Gli enti pubblici e le istituzioni, gli organi e gli organismi dell'Unione forniscono le medesime informazioni prescritte a norma dei paragrafi 2 e 4, fatta eccezione per il paragrafo 2, lettera h), caso in cui trasmettono invece informazioni relative al periodo durante il quale è possibile accedere ai dati sanitari elettronici, alla frequenza di tale accesso o alla frequenza degli aggiornamenti dei dati.
Autorizzazione ai dati
1. Al fine di concedere l'accesso ai dati sanitari elettronici, gli organismi responsabili dell'accesso ai dati sanitari valutano se sono soddisfatti i criteri cumulativi seguenti:
a) le finalità descritte nella domanda di accesso ai dati sanitari corrispondono a una o più finalità di cui all'articolo 53, paragrafo 1;
b) i dati richiesti sono necessari, adeguati e proporzionati alle finalità descritte nella domanda di accesso ai dati sanitari, tenendo conto dei requisiti in materia di minimizzazione dei dati e limitazione della finalità previsti all'articolo 66;
c) il trattamento è conforme all'articolo 6, paragrafo 1, del regolamento (UE) 2016/679 e, nel caso di dati pseudonimizzati, è stato sufficientemente giustificato che la finalità non può essere conseguita con dati anonimizzati;
d) il richiedente di dati sanitari è qualificato per quanto riguarda la destinazione d'uso prevista dei dati e possiede competenze adeguate, comprese le qualifiche professionali nei settori dell'assistenza sanitaria, dell'assistenza, della sanità pubblica o della ricerca, conformi alla prassi in materia etica e alle disposizioni legislative e regolamentari applicabili;
e) il richiedente di dati sanitari dà dimostrazione di misure tecniche e organizzative sufficienti per impedire un uso improprio dei dati sanitari elettronici e per tutelare i diritti e gli interessi del titolare dei dati sanitari e delle persone fisiche interessate;
f) le informazioni sulla valutazione degli aspetti etici del trattamento di cui all'articolo 67, paragrafo 2, lettera j), se del caso, rispettano il diritto nazionale;
g) qualora il richiedente di dati sanitari intenda avvalersi di un'eccezione ai sensi dell'articolo 71, paragrafo 4, la giustificazione richiesta dalle norme di diritto nazionale adottate a norma di tale articolo sono state presentate;
h) il richiedente di dati sanitari soddisfa tutte le altre prescrizioni di cui al presente capo.
2. L'organismo responsabile dell'accesso ai dati sanitari tiene inoltre in considerazione i rischi seguenti:
a) i rischi per la difesa nazionale, la sicurezza, la sicurezza pubblica e l'ordine pubblico;
b) il rischio di compromettere la riservatezza dei dati contenuti nelle banche dati governative delle autorità di regolamentazione.
3. Se giunge alla conclusione che le prescrizioni di cui al paragrafo 1 sono soddisfatte e i rischi di cui al paragrafo 2 sono sufficientemente attenuati, l'organismo responsabile dell'accesso ai dati sanitari autorizza l'accesso ai dati sanitari elettronici tramite il rilascio di un'autorizzazione ai dati. Gli organismi responsabili dell'accesso ai dati sanitari respingono tutte le domande di accesso ai dati sanitari che non soddisfino le prescrizioni di cui al presente capo.
Qualora non siano soddisfatte le prescrizioni per il rilascio di un'autorizzazione ai dati, ma siano soddisfatte le prescrizioni perché sia fornita una risposta in forma statistica anonimizzata a norma dell'articolo 69, l'organismo responsabile dell'accesso ai dati sanitari può decidere di fornire tale risposta a condizione che ciò attenui i rischi e, se la finalità della domanda di accesso ai dati sanitari può essere in tal modo soddisfatta, a condizione che il richiedente di dati sanitari accetti di ricevere una risposta in forma statistica anonimizzata ai sensi dell'articolo 69.
4. In deroga al regolamento (UE) 2022/868 l'organismo responsabile dell'accesso ai dati sanitari rilascia o nega un'autorizzazione ai dati entro tre mesi dal ricevimento di una domanda completa di accesso ai dati sanitari. Se conclude che la domanda di accesso ai dati sanitari è incompleta, l'organismo responsabile dell'accesso ai dati sanitari informa il richiedente di dati sanitari, cui è concessa la possibilità di completare la domanda. Se il richiedente di dati sanitari non completa la domanda di accesso ai dati sanitari entro quattro settimane, l'autorizzazione non è rilasciata.
L'organismo responsabile dell'accesso ai dati sanitari può prorogare di altri tre mesi il termine di risposta a una domanda di accesso ai dati sanitari, se necessario, tenendo conto dell'urgenza e della complessità della domanda di accesso ai dati sanitari e del volume di domande di accesso ai dati sanitari presentate per decisione. In tali casi l'organismo responsabile dell'accesso ai dati sanitari comunica quanto prima al richiedente di dati sanitari che è necessario più tempo per esaminare la domanda di accesso ai dati sanitari, indicando i motivi del ritardo.
5. Nel trattare una domanda di accesso a dati sanitari elettronici riguardante un accesso transfrontaliero a dati sanitari elettronici di cui all'articolo 67, paragrafo 3, gli organismi responsabili dell'accesso ai dati sanitari e i pertinenti partecipanti autorizzati a DatiSanitari@UE (HealthData@EU) di cui all'articolo 75 rimangono responsabili dell'adozione di una decisione di concedere o negare l'accesso ai dati sanitari elettronici nell'ambito delle rispettive competenze in conformità del presente capo.
Gli organismi responsabili dell'accesso ai dati sanitari e i partecipanti autorizzati a DatiSanitari@UE (HealthData@EU) interessati si informano reciprocamente delle rispettive decisioni. Essi possono tenere conto di tali informazioni nel decidere se concedere o negare l'accesso ai dati sanitari elettronici.
Un'autorizzazione ai dati rilasciata da un organismo responsabile dell'accesso ai dati sanitari può beneficiare del riconoscimento reciproco da parte degli altri organismi responsabili dell'accesso ai dati sanitari.
6. Gli Stati membri prevedono una procedura accelerata di domanda di accesso a dati sanitari elettronici per gli enti pubblici e le istituzioni, gli organi e gli organismi dell'Unione con un mandato giuridico nel settore della sanità pubblica se il trattamento dei dati sanitari elettronici deve essere effettuato per le finalità di cui all'articolo 53, paragrafo 1, lettere a), b) e c).
Ove questa procedura accelerata si applichi, l'organismo responsabile dell'accesso ai dati sanitari rilascia o nega un'autorizzazione ai dati entro due mesi dal ricevimento di una domanda completa di accesso ai dati sanitari. Se necessario, l'organismo responsabile dell'accesso ai dati sanitari può prorogare di un mese supplementare il termine di risposta a una domanda di accesso ai dati sanitari.
7. In seguito al rilascio dell'autorizzazione ai dati, l'organismo responsabile dell'accesso ai dati sanitari chiede immediatamente i dati sanitari elettronici al titolare dei dati sanitari. L'organismo responsabile dell'accesso ai dati sanitari mette i dati sanitari elettronici a disposizione dell'utente dei dati sanitari entro due mesi dal ricevimento di tali dati dai rispettivi titolari, a meno che l'organismo in questione non indichi che i dati saranno forniti entro un termine più lungo specificato.
8. Nei casi di cui al paragrafo 5, primo comma, del presente articolo, gli organismi responsabili dell'accesso ai dati sanitari e i partecipanti autorizzati a DatiSanitari@UE (HealthData@EU) che hanno rilasciato, rispettivamente, un'autorizzazione ai dati o un'approvazione di accesso possono decidere di concedere l'accesso ai dati sanitari elettronici nell'ambiente di trattamento sicuro fornito dalla Commissione di cui all'articolo 75, paragrafo 9.
9. Ove rifiuti di rilasciare un'autorizzazione ai dati, l'organismo responsabile dell'accesso ai dati sanitari motiva il diniego al richiedente di dati sanitari.
10. Quando rilascia un'autorizzazione ai dati, l'organismo responsabile dell'accesso ai dati sanitari vi stabilisce le condizioni generali applicabili all'utente dei dati sanitari. L'autorizzazione ai dati contiene gli elementi seguenti:
a) le categorie, la specifica e il formato dei dati sanitari elettronici a cui accedere contemplati dall'autorizzazione ai dati, comprese le relative fonti e, l'eventuale indicazione che l'accesso ai dati sanitari elettronici dovrà essere effettuato in forma pseudonimizzata nell'ambiente di trattamento sicuro;
b) una descrizione dettagliata della finalità della messa a disposizione dei dati sanitari elettronici;
c) qualora sia previsto un meccanismo di attuazione di un'eccezione e questo sia applicabile a norma dell'articolo 71, paragrafo 4, informazioni che indichino se è stata applicato e il motivo della relativa decisione;
d) l'identità delle persone autorizzate, in particolare l'identità del ricercatore principale, con il diritto di accedere ai dati sanitari elettronici nell'ambiente di trattamento sicuro;
e) durata dell'autorizzazione ai dati;
f) informazioni sulle caratteristiche tecniche e sugli strumenti a disposizione dell'utente dei dati sanitari nell'ambiente di trattamento sicuro;
g) tariffe a carico dell'utente dei dati sanitari;
h) eventuali condizioni specifiche.
11. Gli utenti dei dati sanitari hanno il diritto di accedere ai dati sanitari elettronici e di trattarli in un ambiente di trattamento sicuro conformemente all'autorizzazione ai dati a loro rilasciata sulla base del presente regolamento.
12. L'autorizzazione ai dati è rilasciata per la durata necessaria al conseguimento delle finalità richieste, che non può essere superiore a 10 anni. Tale durata può essere prorogata una volta, per un periodo non superiore a 10 anni, su richiesta dell'utente dei dati sanitari, sulla base di argomentazioni e documenti che giustifichino tale estensione forniti un mese prima della scadenza dell'autorizzazione ai dati. L'organismo responsabile dell'accesso ai dati sanitari può imporre tariffe che aumentano per rispecchiare i costi e i rischi legati alla conservazione dei dati sanitari elettronici per un periodo più lungo rispetto a quello iniziale. Al fine di ridurre tali costi e tariffe, l'organismo responsabile dell'accesso ai dati sanitari può anche proporre all'utente dei dati sanitari di conservare la serie di dati in un sistema di archiviazione con capacità ridotte. Tali capacità ridotte non devono incidere sulla sicurezza della serie di dati trattata. I dati sanitari elettronici contenuti nell'ambiente di trattamento sicuro sono cancellati entro sei mesi dalla scadenza dell'autorizzazione ai dati. Su richiesta dell'utente dei dati sanitari, l'organismo responsabile dell'accesso ai dati sanitari può conservare la formula per la creazione della serie di dati richiesta.
13. Se si rende necessario un aggiornamento dell'autorizzazione ai dati, l'utente dei dati sanitari presenta una richiesta di modifica della stessa.
14. La Commissione può elaborare, mediante un atto di esecuzione, un logo per riconoscere il contributo dello spazio europeo dei dati sanitari. Tale atto di esecuzione è adottato secondo la procedura d'esame di cui all'articolo 98, paragrafo 2.
Richiesta di dati sanitari
1. Il richiedente di dati sanitari può presentare una richiesta di dati sanitari per le finalità di cui all'articolo 53 al fine di ricevere una risposta soltanto in forma statistica anonimizzata. L'organismo responsabile dell'accesso ai dati sanitari non risponde a una richiesta di dati sanitari in qualsiasi altra forma e l'utente dei dati sanitari non ha accesso ai dati sanitari elettronici utilizzati per fornire tale risposta.
2. La richiesta di dati sanitari di cui al paragrafo 1 include le seguenti informazioni:
a) l'identità del richiedente di dati sanitari e una descrizione delle sue funzioni e attività professionali;
b) una spiegazione dettagliata dell'uso previsto dei dati sanitari elettronici, incluse le finalità di cui all'articolo 53, paragrafo 1, per cui è presentata la richiesta di dati sanitari;
c) una descrizione dei dati sanitari elettronici richiesti, del loro formato e delle fonti di dati, ove possibile;
d) una descrizione del contenuto statistico dei dati sanitari elettronici richiesti;
e) una descrizione delle garanzie previste per impedire qualsiasi uso improprio dei dati sanitari elettronici richiesti;
f) una descrizione delle modalità con cui il trattamento dei dati sanitari elettronici richiesti si conformerebbe all'articolo 6, paragrafo 1, del regolamento (UE) 2016/679 o all'articolo 5, paragrafo 1, e all'articolo 10, paragrafo 2, del regolamento (UE) 2018/1725;
g) se il richiedente di dati sanitari intende avvalersi di un'eccezione a norma dell'articolo 71, paragrafo 4, la giustificazione richiesta a tale riguardo dal diritto nazionale ai sensi di tale articolo.
3. L'organismo responsabile dell'accesso ai dati sanitari valuta se la richiesta di dati sanitari è completa e tiene conto dei rischi di cui all'articolo 68, paragrafo 2.
4. L'organismo responsabile dell'accesso ai dati sanitari procede alla valutazione della richiesta di dati sanitari entro tre mesi dal ricevimento della richiesta e, ove possibile, fornisce in seguito una risposta all'utente dei dati sanitari entro altri tre mesi.
Modelli per l'accesso ai dati sanitari elettronici per l'uso secondario
Entro il 26 marzo 2027 la Commissione stabilisce, mediante atti di esecuzione, i modelli per la domanda di accesso ai dati sanitari, per l'autorizzazione ai dati e per la richiesta di dati sanitari di cui, rispettivamente, agli articoli 67, 68 e 69. Tali atti di esecuzione sono adottati secondo la procedura d'esame di cui all'articolo 98, paragrafo 2.
Diritto di esclusione riguardo al trattamento dei dati sanitari elettronici personali per l'uso secondario
1. Le persone fisiche hanno il diritto di escludere in qualsiasi momento, e senza dover fornire una motivazione, il trattamento dei dati sanitari elettronici personali che le riguardano per l'uso secondario a norma del presente regolamento. L'esercizio di tale diritto è reversibile.
2. Gli Stati membri prevedono un meccanismo di esclusione accessibile e facilmente comprensibile ai fini dell'esercizio del diritto stabilito al paragrafo 1, in base al quale le persone fisiche possono esplicitamente esprimere la propria volontà di escludere il trattamento dei loro dati sanitari elettronici personali per l'uso secondario.
3. Dopo che una persona fisica ha esercitato il proprio diritto di esclusione e se i dati sanitari elettronici personali che la riguardano possono essere identificati in una serie di dati, tali dati non sono messi a disposizione né sono trattati in altro modo conformemente alle autorizzazioni ai dati rilasciate a norma dell'articolo 68 o alle richieste di dati sanitari approvate a norma dell'articolo 69 dopo che la persona fisica ha esercitato il suo diritto di esclusione.
Il primo comma del presente paragrafo non pregiudica il trattamento per l'uso secondario dei dati sanitari elettronici personali riguardanti tale persona fisica conformemente alle autorizzazioni ai dati rilasciate o alle richieste di dati sanitari rilasciate o approvate prima che la persona fisica esercitasse il proprio diritto di esclusione.
4. A titolo di eccezione rispetto al diritto di esclusione previsto al paragrafo 1, uno Stato membro può prevedere nel proprio diritto nazionale un meccanismo per rendere disponibili i dati per i quali è stato esercitato il diritto di esclusione, a condizione che siano rispettate tutte le condizioni seguenti:
a) la domanda di accesso ai dati sanitari o la richiesta di accesso ai dati sanitari è presentata da un ente pubblico o da un'istituzione, un organo o un organismo dell'Unione che dispone di un mandato per svolgere compiti nel settore della sanità pubblica, o da un altro soggetto incaricato di svolgere compiti pubblici nel settore della sanità pubblica, o che agisce per conto di un'autorità pubblica o da essa incaricato, e il trattamento di tali dati è necessario per una delle finalità seguenti:
i) le finalità di cui all'articolo 53, paragrafo 1, lettere a), b) e c);
ii) la ricerca scientifica per importanti motivi di interesse pubblico;
b) tali dati non possono essere ottenuti con mezzi alternativi in modo tempestivo ed efficace in condizioni equivalenti;
c) il richiedente di dati sanitari ha fornito la giustificazione di cui all'articolo 68, paragrafo 1, lettera g), o all'articolo 69, paragrafo 2, lettera g).
Il diritto nazionale che prevede tale meccanismo prevede misure specifiche e adeguate per proteggere i diritti fondamentali e i dati personali delle persone fisiche.
Qualora uno Stato membro abbia previsto nel proprio diritto nazionale la possibilità di chiedere l'accesso a dati per i quali è stata esercitato il diritto di esclusione e le condizioni di cui al primo comma del presente paragrafo sono soddisfatte, tali dati possono essere inclusi nello svolgimento dei compiti di cui all'articolo 57, paragrafo 1, lettera a), punti i) e iii), e lettera b).
5. Le regole sul meccanismo per l'attuazione di eccezioni di cui al paragrafo 4 a titolo di eccezione rispetto al paragrafo 1 devono rispettare l'essenza dei diritti e delle libertà fondamentali e costituire una misura necessaria e proporzionata in una società democratica per servire ragioni di interesse pubblico nel perseguimento di obiettivi scientifici e sociali legittimi.
6. Qualsiasi trattamento eseguito in conformità di un meccanismo per l'attuazione di eccezioni di cui al paragrafo 4 del presente articolo deve rispettare le prescrizioni del presente capo, in particolare il divieto di reidentificare o di tentare di reidentificare persone fisiche, conformemente all'articolo 61, paragrafo 3. Qualsiasi misura legislativa che preveda nel diritto nazionale un meccanismo di cui al paragrafo 4 del presente articolo comprende disposizioni specifiche per la sicurezza e la tutela dei diritti delle persone fisiche.
7. Gli Stati membri notificano senza ritardo alla Commissione le disposizioni di diritto nazionale che adottano a norma del paragrafo 4 e le eventuali modifiche successive che incidono su tali disposizioni.
8. Qualora le finalità del trattamento di dati sanitari elettronici personali da parte di un titolare di dati sanitari non richiedano o non richiedano più l'identificazione di un interessato da parte del titolare del trattamento, il titolare dei dati sanitari non è tenuto a conservare, acquisire o trattare informazioni supplementari al fine di identificare l'interessato al solo scopo di rispettare il diritto di esclusione di cui al presente articolo.
Procedura semplificata per l'accesso ai dati sanitari elettronici di un titolare di dati sanitari affidabile
1. Se un organismo responsabile dell'accesso ai dati sanitari riceve una domanda di accesso ai dati sanitari a norma dell'articolo 67 o una richiesta di dati sanitari a norma dell'articolo 69 che riguarda solo i dati sanitari elettronici detenuti da un titolare di dati sanitari affidabile designato a norma del paragrafo 2 del presente articolo, si applica la procedura di cui ai paragrafi 4, 5 e 6 del presente articolo.
2. Gli Stati membri possono istituire una procedura mediante la quale i titolari dei dati sanitari possono chiedere di essere designati come titolari di dati sanitari affidabili, a condizione che i titolari di dati sanitari soddisfino le condizioni seguenti:
a) sono in grado di fornire l'accesso ai dati sanitari tramite un ambiente di trattamento sicuro conforme all'articolo 73;
b) dispongono delle competenze necessarie per valutare le domande di accesso ai dati sanitari e le richieste di dati sanitari;
c) forniscono le garanzie necessarie per garantire il rispetto del presente regolamento.
Gli Stati membri designano titolari di dati sanitari affidabili a seguito di una valutazione del rispetto di dette condizioni da parte del pertinente organismo responsabile dell'accesso ai dati sanitari.
Gli Stati membri istituiscono una procedura per verificare periodicamente se il titolare dei dati sanitari affidabile continui a soddisfare tali condizioni.
Gli organismi responsabili dell'accesso ai dati sanitari indicano i titolari di dati sanitari affidabili nel catalogo delle serie di dati di cui all'articolo 77.
3. Le domande di accesso ai dati sanitari e le richieste di dati sanitari di cui al paragrafo 1 sono presentate all'organismo responsabile dell'accesso ai dati sanitari, che può trasmetterle al pertinente titolare di dati sanitari affidabile.
4. A seguito del ricevimento di una domanda di accesso ai dati sanitari o di una richiesta di dati sanitari a norma del paragrafo 3 del presente articolo, il titolare di dati sanitari affidabile valuta la domanda di accesso ai dati sanitari o la richiesta di dati sanitari sulla base dei criteri elencati all'articolo 68, paragrafi 1 e 2, o all'articolo 69, paragrafi 2 e 3, a seconda dei casi.
5. Il titolare di dati sanitari affidabile trasmette la valutazione eseguita a norma del paragrafo 4, corredata di una proposta di decisione, all'organismo responsabile dell'accesso ai dati sanitari entro due mesi dal ricevimento della domanda di accesso ai dati sanitari o la richiesta di dati sanitari da parte dell'organismo in questione. Entro due mesi dal ricevimento della valutazione, l'organismo responsabile dell'accesso ai dati sanitari adotta una decisione in merito alla domanda di accesso ai dati sanitari o alla richiesta di dati sanitari. L'organismo responsabile dell'accesso ai dati sanitari non è vincolato dalla proposta presentata dal titolare dei dati sanitari affidabile.
6. A seguito della decisione dell'organismo responsabile dell'accesso ai dati sanitari di rilasciare l'autorizzazione ai dati o di approvare la richiesta di dati sanitari, il titolare di dati sanitari affidabile svolge i compiti di cui all'articolo 57, paragrafo 1, lettera a), punto i), e lettera b).
7. Il servizio di accesso ai dati sanitari dell'Unione di cui all'articolo 56 può designare titolari dei dati sanitari che sono istituzioni, organi o organismi dell'Unione che soddisfano le condizioni di cui al paragrafo 2, primo comma, lettere a), b) e c), del presente articolo come titolari di dati sanitari affidabili. In tal caso si applicano, mutatis mutandis, il paragrafo da 2, terzo e quarto comma, e i paragrafi da 3 a 6 del presente articolo.
Ambiente di trattamento sicuro
1. Gli organismi responsabili dell'accesso ai dati sanitari forniscono l'accesso ai dati sanitari elettronici in virtù di un'autorizzazione ai dati solo attraverso un ambiente di trattamento sicuro che sia soggetto a misure tecniche e organizzative e rispetti prescrizioni in materia di sicurezza e interoperabilità. In particolare, l'ambiente di trattamento sicuro rispetta le misure di sicurezza seguenti:
a) la limitazione dell'accesso all'ambiente di trattamento sicuro alle persone fisiche autorizzate elencate nell'autorizzazione ai dati rilasciata a norma dell'articolo 68;
b) la riduzione al minimo del rischio di lettura, copia, modifica o rimozione non autorizzata dei dati sanitari elettronici ospitati nell'ambiente di trattamento sicuro avvalendosi di misure tecniche e organizzative all'avanguardia;
c) la limitazione dell'immissione di dati sanitari elettronici e l'ispezione, la modifica o l'eliminazione dei dati sanitari elettronici ospitati nell'ambiente di trattamento sicuro a un numero ridotto di persone autorizzate identificabili;
d) la garanzia che gli utenti dei dati sanitari abbiano accesso solo ai dati sanitari elettronici contemplati dalla loro autorizzazione ai dati, esclusivamente attraverso identità di utente individuali e uniche e con modalità di accesso riservate;
e) la conservazione delle registrazioni identificabili dell'accesso all'ambiente di trattamento sicuro e delle attività svolte al suo interno per il periodo necessario a verificare e controllare tutte le operazioni di trattamento in tale ambiente; le registrazioni dell'accesso sono conservate per almeno un anno;
f) la garanzia della conformità e il monitoraggio delle misure di sicurezza di cui al presente paragrafo al fine di attenuare potenziali minacce alla sicurezza.
2. Gli organismi responsabili dell'accesso ai dati sanitari provvedono affinché i titolari di dati sanitari possano caricare i dati sanitari elettronici nel formato specificato nell'autorizzazione ai dati e l'utente dei dati sanitari possa accedervi in un ambiente di trattamento sicuro.
Gli organismi responsabili dell'accesso ai dati sanitari esaminano i dati sanitari elettronici compresi in una richiesta di scaricamento per assicurare che gli utenti dei dati sanitari possano scaricare dall'ambiente di trattamento sicuro soltanto dati sanitari elettronici non personali, compresi i dati sanitari elettronici in forma statistica anonimizzata.
3. Gli organismi responsabili dell'accesso ai dati sanitari provvedono affinché audit degli ambienti di trattamento sicuri siano svolti regolarmente, anche da parte di terzi, e adottano misure correttive in relazione a eventuali lacune, rischi o vulnerabilità individuati da tali audit negli ambienti di trattamento sicuri.
4. Qualora le organizzazioni per l'altruismo dei dati riconosciute a norma del capo IV del regolamento (UE) 2022/868 trattino dati sanitari elettronici personali utilizzando un ambiente di trattamento sicuro, tali ambienti rispettano altresì le misure di sicurezza di cui al paragrafo 1, lettere da a) a f), del presente articolo.
5. Entro 26 marzo 2027 la Commissione stabilisce, mediante atti di esecuzione, prescrizioni di carattere tecnico, organizzativo, inerenti alla sicurezza delle informazioni, alla riservatezza, alla protezione dei dati e all'interoperabilità per gli ambienti di trattamento sicuri, anche per quanto riguarda le caratteristiche e gli strumenti tecnici disponibili all'utente di dati sanitari all'interno degli ambienti di trattamento sicuri. Tali atti di esecuzione sono adottati secondo la procedura d'esame di cui all'articolo 98, paragrafo 2.
Titolarità del trattamento
1. Il titolare dei dati sanitari è considerato titolare del trattamento per la messa a disposizione dell'organismo responsabile dell'accesso ai dati sanitari dei dati sanitari elettronici personali richiesti a norma dell'articolo 60, paragrafo 1.
L'organismo responsabile dell'accesso ai dati sanitari è considerato titolare del trattamento dei dati sanitari elettronici personali nello svolgimento dei suoi compiti a norma del presente regolamento.
Nonostante il secondo comma del presente paragrafo, si considera che l'organismo responsabile dell'accesso ai dati sanitari agisca in qualità di responsabile del trattamento per conto dell'utente dei dati sanitari in quanto titolare del trattamento dei dati sanitari elettronici personali ai sensi di un'autorizzazione ai dati rilasciata a norma all'articolo 68 nell'ambiente di trattamento sicuro quando fornisce dati attraverso tale ambiente o per il trattamento di tali dati ai sensi di una richiesta di dati sanitari approvata a norma dell'articolo 69 per la produzione di una risposta.
2. Nelle situazioni di cui all'articolo 72, paragrafo 6, il titolare di dati sanitari affidabile è considerato titolare del trattamento dei dati sanitari elettronici personali relativi alla fornitura di dati sanitari elettronici all'utente dei dati sanitari in virtù di un'autorizzazione ai dati o di una richiesta di dati sanitari. Si ritiene che il titolare di dati sanitari affidabile agisca in qualità di responsabile del trattamento per conto dell'utente dei dati sanitari quando fornisce dati attraverso un ambiente di trattamento sicuro.
3. La Commissione può stabilire, mediante atti di esecuzione, un modello per gli accordi tra titolare del trattamento e responsabile del trattamento nella situazione di cui ai paragrafi 1 e 2 del presente articolo. Tali atti di esecuzione sono adottati secondo la procedura d'esame di cui all'articolo 98, paragrafo 2.
DatiSanitari@UE (HealthData@EU)
1. Ciascuno Stato membro designa un punto di contatto nazionale per l'uso secondario. Il punto di contatto nazionale per l'uso secondario è uno sportello organizzativo e tecnico, che permette la messa a disposizione dei dati sanitari elettronici per l'uso secondario in un contesto transfrontaliero e ne ha la responsabilità. Il punto di contatto nazionale per l'uso secondario può essere l'organismo responsabile dell'accesso ai dati sanitari che funge da coordinatore a norma dell'articolo 55, paragrafo 1. Ciascuno Stato membro comunica alla Commissione il nome e i dati di contatto del punto di contatto nazionale per l'uso secondario entro il 26 marzo 2027. La Commissione e gli Stati membri mettono tali informazioni a disposizione del pubblico.
2. Il servizio di accesso ai dati sanitari dell'Unione funge da punto di contatto delle istituzioni, degli organi e degli organismi dell'Unione per l'uso secondario ed è responsabile della messa a disposizione dei dati sanitari elettronici per l'uso secondario.
3. I punti di contatto nazionali per l'uso secondario di cui al paragrafo 1 e il servizio di accesso ai dati sanitari dell'Unione di cui al paragrafo 2 si connettono all'infrastruttura transfrontaliera per l'uso secondario, vale a dire DatiSanitari@UE (HealthData@EU). I punti di contatto nazionali per l'uso secondario e il servizio di accesso ai dati sanitari dell'Unione agevolano l'accesso transfrontaliero ai dati sanitari elettronici per l'uso secondario di diversi partecipanti autorizzati a DatiSanitari@UE (HealthData@EU). I punti di contatto nazionali per l'uso secondario cooperano strettamente tra loro e con la Commissione.
4. Le infrastrutture di ricerca in campo sanitario o infrastrutture analoghe il cui funzionamento si basa sul diritto dell'Unione e che forniscono supporto per l'uso di dati sanitari elettronici a fini di ricerca, definizione delle politiche, statistiche, sicurezza dei pazienti o regolamentazione possono diventare partecipanti autorizzati a DatiSanitari@UE (HealthData@EU) e a connettervisi.
5. I paesi terzi o le organizzazioni internazionali possono diventare partecipanti autorizzati a DatiSanitari@UE (HealthData@EU) se rispettano le norme del presente capo e forniscono agli utenti dei dati sanitari situati nell'Unione, a condizioni equivalenti, l'accesso ai dati sanitari elettronici a disposizione dei loro organismi responsabili dell'accesso ai dati sanitari, nel rispetto del capo V del regolamento (UE) 2016/679.
La Commissione può stabilire, tramite atti di esecuzione, che un punto di contatto nazionale per l'uso secondario di un paese terzo o un sistema istituito a livello internazionale da un'organizzazione internazionale è conforme ai requisiti di DatiSanitari@UE (HealthData@EU) ai fini dell'uso secondario dei dati sanitari, è conforme al presente capo e fornisce agli utenti dei dati sanitari situati nell'Unione, a condizioni equivalenti a quelle di DatiSanitari@UE (HealthData@EU), l'accesso ai dati sanitari elettronici cui esso stesso ha accesso. La conformità a tali requisiti giuridici, organizzativi, tecnici e di sicurezza, compresi i requisiti relativi agli ambienti di trattamento sicuri previsti all'articolo 73, è verificata sotto il controllo della Commissione. Tali atti di esecuzione sono adottati secondo la procedura d'esame di cui all'articolo 98, paragrafo 2. La Commissione rende pubblicamente disponibile l'elenco degli atti di esecuzione adottati a norma del presente paragrafo.
6. Ciascun punto di contatto nazionale per l'uso secondario e ciascun partecipante autorizzato a DatiSanitari@UE (HealthData@EU) acquisisce la capacità tecnica necessaria per collegarsi e partecipare a DatiSanitari@UE (HealthData@EU). Essi rispettano le prescrizioni e le specifiche tecniche necessarie per gestire DatiSanitari@UE (HealthData@EU) e per potervisi collegare.
7. Gli Stati membri e la Commissione istituiscono DatiSanitari@UE (HealthData@EU) per favorire e agevolare l'accesso transfrontaliero ai dati sanitari elettronici per l'uso secondario, mettendo in collegamento tra loro i punti di contatto nazionali per l'uso secondario e i partecipanti autorizzati a DatiSanitari@UE (HealthData@EU) come pure la piattaforma centrale di cui al paragrafo 8.
8. La Commissione sviluppa, allestisce e gestisce una piattaforma centrale per DatiSanitari@UE (HealthData@EU) fornendo i servizi informatici necessari per sostenere e agevolare lo scambio di informazioni tra gli organismi responsabili dell'accesso ai dati sanitari nell'ambito di DatiSanitari@UE (HealthData@EU). La Commissione tratta i dati sanitari elettronici per conto dei titolari del trattamento solo in qualità di responsabile del trattamento.
9. Se richiesto da due o più punti nazionali di contatto per l'uso secondario, la Commissione può mettere a disposizione, conformemente alle prescrizioni di cui all'articolo 73, un ambiente di trattamento sicuro per i dati provenienti da più di uno Stato membro. Qualora due o più punti nazionali di contatto per l'uso secondario o partecipanti autorizzati a DatiSanitari@UE (HealthData@EU) inseriscano dati sanitari elettronici in un ambiente di trattamento sicuro gestito dalla Commissione, essi sono contitolari del trattamento e la Commissione assume il ruolo di responsabile del trattamento ai fini del trattamento dei dati in tale ambiente.
10. I punti di contatto nazionali per l'uso secondario agiscono in qualità di contitolari del trattamento nelle operazioni di trattamento eseguite all'interno di DatiSanitari@UE (HealthData@EU) cui partecipano e la Commissione agisce in qualità di responsabile del trattamento per conto di tali punti di contatto nazionali per l'uso secondario, senza pregiudicare i compiti degli organismi responsabili dell'accesso ai dati sanitari e a seguito di tali operazioni di trattamento.
11. Gli Stati membri e la Commissione si adoperano per garantire che DatiSanitari@UE (HealthData@EU) sia interoperabile con altri spazi comuni europei di dati pertinenti di cui ai regolamenti (UE) 2022/868 e (UE) 2023/2854.
12. Entro il 26 marzo 2027 la Commissione stabilisce, mediante atti di esecuzione:
a) prescrizioni, specifiche tecniche e l'architettura informatica di DatiSanitari@UE (HealthData@EU), che devono garantire un livello ottimale in materia di sicurezza dei dati, riservatezza e una protezione dei dati sanitari elettronici in DatiSanitari@UE (HealthData@EU);
b) condizioni e controlli di conformità richiesti al fine di poter aderire e rimanere collegati a DatiSanitari@UE (HealthData@EU) e condizioni per la disconnessione temporanea o l'esclusione definitiva da DatiSanitari@UE (HealthData@EU), comprese disposizioni specifiche per i casi di colpa grave o violazioni ripetute;
c) i criteri minimi che devono essere soddisfatti dai punti nazionali di contatto per l'uso secondario e dai partecipanti autorizzati a DatiSanitari@UE (HealthData@EU);
d) le responsabilità dei titolari del trattamento e dei responsabili del trattamento che partecipano a DatiSanitari@UE (HealthData@EU);
e) le responsabilità dei titolari del trattamento e dei responsabili del trattamento per quanto riguarda l'ambiente di trattamento sicuro gestito dalla Commissione;
f) specifiche comuni in materia di architettura di DatiSanitari@UE (HealthData@EU) e della sua interoperabilità con altri spazi comuni europei di dati.
Gli atti di esecuzione di cui al primo comma del presente paragrafo sono adottati secondo la procedura d'esame di cui all'articolo 98, paragrafo 2.
13. Qualora il controllo di conformità di cui al paragrafo 5 del presente articolo abbia esito positivo, la Commissione può decidere, mediante atti di esecuzione, in merito alla connessione dei singoli partecipanti autorizzati a DatiSanitari@UE (HealthData@EU). Tali atti di esecuzione sono adottati secondo la procedura d'esame di cui all'articolo 98, paragrafo 2.
Accesso a registri o banche dati transfrontalieri di dati sanitari elettronici per l'uso secondario
1. Nel caso di registri e banche dati transfrontalieri, l'organismo responsabile dell'accesso ai dati sanitari presso il quale è registrato il titolare dei dati sanitari per il registro o la banca dati specifici è competente a decidere in merito alle domande di accesso ai dati sanitari per fornire l'accesso ai dati sanitari elettronici in virtù di un'autorizzazione ai dati. In presenza di contitolari del trattamento rispetto a tali registri o banche dati, l'organismo responsabile dell'accesso ai dati sanitari che decide in merito alle domande di accesso ai dati sanitari per fornire l'accesso ai dati sanitari elettronici è l'organismo responsabile dell'accesso ai dati sanitari dello Stato membro in cui è stabilito uno dei contitolari del trattamento.
2. Qualora i registri o le banche dati di più Stati membri si organizzino in una rete unica di registri o banche dati a livello dell'Unione, i registri o le banche dati associati possono designare un coordinatore per garantire la fornitura di dati dalla rete di registri o banche dati per l'uso secondario. L'organismo responsabile dell'accesso ai dati sanitari dello Stato membro in cui è stabilito il coordinatore della rete è competente a decidere in merito alle domande di accesso ai dati sanitari per fornire l'accesso ai dati sanitari elettronici della rete di registri o banche dati.
Descrizione e catalogo delle serie di dati
1. Gli organismi responsabili dell'accesso ai dati sanitari forniscono, tramite un catalogo di serie di dati accessibile al pubblico, standardizzato e leggibile meccanicamente, una descrizione, sotto forma di metadati, delle serie di dati disponibili e delle loro caratteristiche. La descrizione di ciascuna serie di dati comprende informazioni riguardanti la fonte, l'ambito, le caratteristiche principali e la natura dei dati sanitari elettronici nella serie di dati e le condizioni per la messa a disposizione di tali dati.
2. Le descrizioni delle serie di dati nel catalogo nazionale delle serie di dati devono essere disponibili in almeno una lingua ufficiale dell'Unione. Il catalogo delle serie di dati per le istituzioni, gli organi e gli organismi dell'Unione fornito dal servizio di accesso ai dati sanitari dell'Unione deve essere disponibile in tutte le lingue ufficiali dell'Unione.
3. Il catalogo delle serie di dati è messo a disposizione degli sportelli unici istituiti o designati a norma dell'articolo 8 del regolamento (UE) 2022/868.
4. Entro il 26 marzo 2027 la Commissione stabilisce, mediante atti di esecuzione, gli elementi minimi che i titolari dei dati sanitari sono tenuti a fornire riguardo alle serie di dati e alle caratteristiche di tali elementi. Tali atti di esecuzione sono adottati secondo la procedura d'esame di cui all'articolo 98, paragrafo 2.
Marchio di qualità e di utilità dei dati
1. Le serie di dati messe a disposizione attraverso gli organismi responsabili dell'accesso ai dati sanitari possono recare un marchio dell'Unione di qualità e di utilità dei dati applicato dai titolari dei dati sanitari.
2. Le serie di dati contenenti dati sanitari elettronici raccolti e trattati con il sostegno di finanziamenti pubblici dell'Unione o nazionali recano un marchio di qualità e di utilità dei dati che riguarda gli elementi indicati al paragrafo 3.
3. Il marchio di qualità e di utilità dei dati riguarda gli elementi seguenti, se del caso:
a) per la documentazione dei dati: metadati, documentazione di supporto, dizionario di dati, formato e norme utilizzati, fonte dei dati e, se del caso, modello di dati;
b) per la valutazione della qualità tecnica: completezza, unicità, accuratezza, validità, tempestività e coerenza dei dati;
c) per i processi di gestione della qualità dei dati: livello di maturità dei processi di gestione della qualità dei dati, compresi processi di riesame e audit, ed esame delle distorsioni;
d) per la valutazione della copertura: periodo, copertura della popolazione e, se del caso, rappresentatività della popolazione campionata e arco di tempo medio in cui una persona fisica compare in una serie di dati;
e) per le informazioni sull'accesso e sulla fornitura: tempo che intercorre tra la raccolta dei dati sanitari elettronici e la loro aggiunta alla serie di dati e tempo necessario per fornire i dati sanitari elettronici in seguito al rilascio di un'autorizzazione ai dati o all'approvazione di una richiesta di dati sanitari;
f) per le informazioni sulle modifiche dei dati: unione di dati e aggiunta di dati a una serie di dati esistente, compresi i collegamenti con altre serie di dati.
4. Se ha ragione di ritenere che un marchio di qualità e di utilità dei dati possa essere inesatto, un organismo responsabile dell'accesso ai dati sanitari valuta se la serie di dati coperti dal marchio rispetti i requisiti di qualità che sono parte del marchio di qualità e di utilità dei dati di cui al paragrafo 3 e, qualora la serie di dati non rispetti i requisiti di qualità, revoca il marchio.
5. Alla Commissione è conferito il potere di adottare atti delegati conformemente all'articolo 97 al fine di modificare il presente regolamento modificando, aggiungendo o rimuovendo gli elementi che il marchio di qualità e di utilità dei dati di cui al paragrafo 3 del presente articolo deve coprire.
6. Entro il 26 marzo 2027 la Commissione stabilisce, mediante atti di esecuzione, le caratteristiche visive e le specifiche tecniche del marchio di qualità e di utilità dei dati sulla base degli elementi di cui al paragrafo 3 del presente articolo. Tali atti di esecuzione sono adottati secondo la procedura d'esame di cui all'articolo 98, paragrafo 2, del presente regolamento. Tali atti di esecuzione tengono conto delle prescrizioni di cui all'articolo 10 del regolamento (UE) 2024/1689 e di eventuali specifiche comuni o norme armonizzate adottate a sostegno di tali prescrizioni, se del caso.
Catalogo UE delle serie di dati
1. La Commissione istituisce un catalogo UE delle serie di dati che colleghi i cataloghi nazionali delle serie di dati istituiti dagli organismi responsabili dell'accesso ai dati sanitari in ciascuno Stato membro come pure cataloghi di serie di dati di partecipanti autorizzati a DatiSanitari@UE (HealthData@EU).
2. Il catalogo UE delle serie di dati, i cataloghi delle serie di dati nazionali e i cataloghi di serie di dati di partecipanti autorizzati a DatiSanitari@UE (HealthData@EU) sono resi accessibili al pubblico.
Specifiche minime delle serie di dati ad alto impatto
La Commissione può stabilire, mediante atti di esecuzione, le specifiche minime delle serie di dati ad alto impatto per l'uso secondario, tenendo conto delle infrastrutture, delle norme, degli orientamenti e delle raccomandazioni esistenti dell'Unione. Tali atti di esecuzione sono adottati secondo la procedura d'esame di cui all'articolo 98, paragrafo 2.
Diritto di presentare un reclamo a un organismo responsabile dell'accesso ai dati sanitari
1. Fatti salvi eventuali altri ricorsi amministrativi o giurisdizionali, le persone fisiche e giuridiche hanno il diritto di presentare un reclamo in relazione alle disposizioni del presente capo, individualmente o, se del caso, collettivamente, a un organismo responsabile dell'accesso ai dati sanitari, purché i loro diritti o interessi siano influenzati negativamente.
2. L'organismo responsabile dell'accesso ai dati sanitari a cui è stato presentato il reclamo informa il reclamante sui progressi fatti nel trattare il reclamo e alla decisione adottata riguardo al reclamo.
3. Gli organismi responsabili dell'accesso ai dati sanitari predispongono strumenti facilmente accessibili per la presentazione dei reclami.
4. Se il reclamo riguarda i diritti delle persone fisiche a norma dell'articolo 71 del presente regolamento, il reclamo è deferito all'autorità di controllo competente di cui al regolamento (UE) 2016/679. L'organismo responsabile dell'accesso ai dati sanitari interessato fornisce a tale autorità di controllo le informazioni necessarie a sua disposizione a norma del regolamento (UE) 2016/679 al fine di agevolare la valutazione del reclamo e la relativa indagine.
Sviluppo delle capacità
La Commissione favorisce la condivisione delle migliori pratiche e delle competenze al fine di sviluppare negli Stati membri la capacità di rafforzare i sistemi di sanità digitale per l'uso primario e per l'uso secondario, tenendo conto delle circostanze specifiche delle diverse categorie di portatori di interessi coinvolti. Per sostenere tale sviluppo delle capacità la Commissione stabilisce, in stretta collaborazione e consultazione con gli Stati membri, indicatori di autovalutazione per l'uso primario e per l'uso secondario.
Formazione e informazione dei professionisti sanitari
1. Gli Stati membri sviluppano e attuano programmi di formazione o vi forniscono accesso e forniscono accesso alle informazioni per i professionisti sanitari affinché questi siano in grado di comprendere e svolgere efficacemente il loro ruolo nell'uso primario dei dati sanitari elettronici e nell'accesso agli stessi, anche in relazione agli articoli 11, 13 e 16. La Commissione sostiene gli Stati membri in tal senso.
2. I programmi di formazione e le informazioni sono accessibili, anche a livello economico, a tutti i professionisti sanitari, fatta salva l'organizzazione dei sistemi di assistenza sanitaria a livello nazionale.
Alfabetizzazione digitale in ambito sanitario e accesso alla sanità digitale
1. Gli Stati membri promuovono e sostengono l'alfabetizzazione sanitaria digitale e lo sviluppo delle pertinenti competenze e abilità per i pazienti. La Commissione sostiene gli Stati membri a tal fine. Le campagne o i programmi di sensibilizzazione sono intesi in particolare a informare i pazienti e il pubblico in generale in merito all'uso primario e all'uso secondario nel quadro dello spazio europeo dei dati sanitari, tra cui i diritti che ne derivano, nonché ai vantaggi, ai rischi e ai potenziali miglioramenti per la scienza e la società dell'uso primario e all'uso secondario.
2. Le campagne e i programmi di sensibilizzazione di cui al paragrafo 1 sono adattati alle esigenze di gruppi specifici e sono sviluppati, riesaminati e, all'occorrenza, aggiornati.
3. Gli Stati membri promuovono l'accesso alle infrastrutture necessarie per la gestione efficace dei dati sanitari elettronici delle persone fisiche, nell'ambito dell'uso sia primario che secondario.
Prescrizioni aggiuntive in materia di appalti pubblici e finanziamento dell'Unione
1. Le amministrazioni aggiudicatrici, comprese le autorità di sanità digitale e gli organismi responsabili dell'accesso ai dati sanitari e le istituzioni, gli organi e gli organismi dell'Unione, fanno riferimento alle specifiche tecniche, alle norme e ai profili applicabili di cui agli articoli 15, 23, 36, 73, 75 e 78 per le procedure di appalto pubblico e all'atto di formulare i documenti di gara o gli inviti a presentare proposte, nonché di definire le condizioni per il finanziamento dell'Unione in relazione al presente regolamento, comprese le condizioni abilitanti per i fondi strutturali e di coesione.
2. I criteri per ottenere il finanziamento dall'Unione tengono conto delle prescrizioni elaborate nel quadro dei capi II, III e IV.
Conservazione dei dati sanitari elettronici personali per l'uso primario
Conformemente ai principi generali del diritto dell'Unione, tra cui i diritti fondamentali sanciti agli articoli 7 e 8 della Carta dei diritti fondamentali dell'Unione europea, gli Stati membri garantiscono che un livello particolarmente elevato di protezione e sicurezza sia assicurato nel trattamento dei dati sanitari elettronici personali per l'uso primario, mediante idonee misure tecniche e organizzative. A tale riguardo, il presente regolamento non osta a una prescrizione del diritto nazionale, tenuto conto del contesto nazionale, per cui, nei casi in cui i dati sanitari elettronici personali sono trattati da prestatori di assistenza sanitaria per la prestazione di assistenza sanitaria o dai punti di contatto nazionali per la sanità digitale collegati a LaMiaSalute@UE (MyHealth@EU), la conservazione dei dati sanitari elettronici personali di cui all'articolo 14 del presente regolamento ai fini dell'uso primario avvenga all'interno dell'Unione, nel rispetto del diritto dell'Unione e degli impegni internazionali.
Conservazione dei dati sanitari elettronici personali da parte degli organismi responsabili dell'accesso ai dati sanitari e ambienti di trattamento sicuri
1. Gli organismi responsabili dell'accesso ai dati sanitari, i titolari dei dati sanitari affidabili e il servizio di accesso ai dati sanitari dell'Unione conservano e trattano i dati sanitari elettronici personali nell'Unione quando effettuano la pseudonimizzazione, l'anonimizzazione e qualsiasi altra operazione di trattamento dei dati personali di cui agli articoli da 67 a 72, tramite ambienti di trattamento sicuri ai sensi dell'articolo 73 e dell'articolo 75, paragrafo 9, o tramite DatiSanitari@UE (HealthData@EU). La prescrizione si applica a tutte le entità che svolgono tali compiti per conto di tali organismi o titolari o di tale servizio.
2. In deroga al paragrafo 1 del presente articolo, i dati di cui a tale paragrafo possono essere conservati e trattati in un paese terzo, o in un territorio o in uno o più settori specifici all'interno di tale paese terzo, ove tale paese, territorio o settore sia oggetto di una decisione di adeguatezza adottata a norma dell'articolo 45 del regolamento (UE) 2016/679.
Trasferimento di dati elettronici non personali verso paesi terzi
1. I dati sanitari elettronici non personali messi a disposizione da organismi responsabili dell'accesso ai dati sanitari a un utente di dati sanitari in un paese terzo sulla base di un'autorizzazione ai dati rilasciata a norma dell'articolo 68 del presente regolamento o di una richiesta di dati sanitari approvata a norma dell'articolo 69 del presente regolamento, a partecipanti autorizzati in un paese terzo o a un'organizzazione internazionale, e basati sui dati sanitari elettronici di una persona fisica che rientrano in una delle categorie di cui all'articolo 51 del presente regolamento, sono considerati altamente sensibili ai sensi dell'articolo 5, paragrafo 13, del regolamento (UE) 2022/868 ove il loro trasferimento verso paesi terzi presenti un rischio di reidentificazione attraverso mezzi che vanno oltre quelli di cui è ragionevolmente probabile che ci si avvalga, in particolare alla luce del numero limitato di persone fisiche alle quali tali dati sono relativi, del fatto che sono disperse a livello geografico o degli sviluppi tecnologici previsti nel prossimo futuro.
2. Le misure di tutela nei confronti delle categorie di dati di cui al paragrafo 1 del presente articolo sono specificate in un atto delegato di cui all'articolo 5, paragrafo 13, del regolamento (UE) 2022/868.
Accesso governativo ai dati sanitari elettronici non personali a livello internazionale
1. Le autorità di sanità digitale, gli organismi responsabili dell'accesso ai dati sanitari, i partecipanti autorizzati alle infrastrutture transfrontaliere di cui agli articoli 23 e 75 e gli utenti dei dati sanitari adottano tutte le ragionevoli misure tecniche, giuridiche e organizzative, ivi compresi accordi contrattuali, al fine di impedire il trasferimento dei dati sanitari elettronici non personali detenuti nell'Unione verso un paese terzo o verso un'organizzazione internazionale, compreso l'accesso governativo in un paese terzo, nei casi in cui tale trasferimento creerebbe un conflitto con il diritto dell'Unione o con il diritto nazionale dello Stato membro interessato.
2. Le sentenze di un'autorità giurisdizionale di un paese terzo e le decisioni di un'autorità amministrativa di un paese terzo che obblighino un'autorità di sanità digitale, un organismo responsabile dell'accesso ai dati sanitari o gli utenti dei dati sanitari a trasferire dati sanitari elettronici non personali detenuti nell'Unione che rientrano nell'ambito di applicazione del presente regolamento o a concedervi l'accesso sono riconosciute o assumono qualsivoglia carattere esecutivo soltanto se basate su un accordo internazionale in vigore tra il paese terzo richiedente e l'Unione, ad esempio un trattato di mutua assistenza giudiziaria, o su qualsiasi accordo analogo tra il paese terzo richiedente e uno Stato membro.
3. In assenza di un accordo internazionale di cui al paragrafo 2, se un'autorità di sanità digitale, un organismo responsabile dell'accesso ai dati sanitari o un utente dei dati sanitari è destinatario di una decisione o di una sentenza di un'autorità giurisdizionale di un paese terzo o di una decisione di un'autorità amministrativa di un paese terzo che richieda loro di trasferire o di concedere l'accesso a dati non personali detenuti nell'Unione che rientrano nell'ambito di applicazione del presente regolamento e il rispetto di tale decisione o sentenza rischi di porre il destinatario della decisione in conflitto con il diritto dell'Unione o con il diritto nazionale dello Stato membro interessato, il trasferimento di tali dati o l'accesso agli stessi da parte di tale autorità giurisdizionale o amministrativa del paese terzo ha luogo o è fornito soltanto se:
a) il sistema giuridico del paese terzo richiede che siano indicati i motivi e la proporzionalità di tale decisione o sentenza e che tale decisione o sentenza abbia carattere specifico, ad esempio stabilendo un nesso sufficiente con determinate persone sospettate o determinate violazioni;
b) l'obiezione motivata del destinatario della decisione è oggetto di esame da parte di un'autorità giurisdizionale competente del paese terzo; e
c) l'autorità giurisdizionale competente del paese terzo che emette la decisione o sentenza o riesamina la decisione di un'autorità amministrativa ha il potere, in virtù del diritto nazionale del paese terzo, di tenere debitamente conto dei pertinenti interessi giuridici del fornitore dei dati tutelati dal diritto dell'Unione o dal diritto nazionale dello Stato membro interessato.
4. Se sono soddisfatte le condizioni di cui al paragrafo 2 o 3, un'autorità di sanità digitale, un organismo responsabile dell'accesso ai dati sanitari o un'organizzazione per l'altruismo dei dati fornisce in risposta a una richiesta, sulla base di un'interpretazione ragionevole della stessa, la quantità minima di dati ammissibile.
5. Le autorità di sanità digitale, gli organismi responsabili dell'accesso ai dati sanitari e gli utenti dei dati sanitari informano il titolare dei dati sanitari in merito all'esistenza di una richiesta di accesso ai suoi dati da parte di un'autorità amministrativa di un paese terzo prima di darvi seguito, tranne nei casi in cui la richiesta abbia fini di contrasto e per il tempo in cui il darvi seguito sia necessario a preservare l'efficacia dell'attività di contrasto.
Ulteriori condizioni per il trasferimento di dati sanitari elettronici personali verso un paese terzo o un'organizzazione internazionale
Il trasferimento di dati sanitari elettronici personali verso un paese terzo o un'organizzazione internazionale è concesso conformemente al capo V del regolamento (UE) 2016/679. Gli Stati membri possono mantenere o introdurre ulteriori condizioni sull'accesso ai dati sanitari elettronici personali e sul trasferimento degli stessi a livello internazionale, comprese limitazioni, conformemente all'articolo 9, paragrafo 4, del regolamento (UE) 2016/679, oltre alle prescrizioni di cui all'articolo 24, paragrafo 3, e all'articolo 75, paragrafo 5, del presente regolamento e al capo V del regolamento (UE) 2016/679.
Domande di accesso ai dati sanitari e richieste di dati sanitari da paesi terzi
1. Fatti salvi gli articoli 67, 68 e 69, le domande di accesso ai dati sanitari e le richieste di dati sanitari presentate da un richiedente di dati sanitari stabilito in un paese terzo sono considerate ammissibili dagli organismi responsabili dell'accesso ai dati sanitari e dal servizio di accesso ai dati dell'Unione se il paese terzo interessato:
a) è un partecipante autorizzato per il fatto di avere un punto di contatto nazionale per l'uso secondario coperto da un atto di esecuzione di cui all'articolo 75, paragrafo 5; oppure
b) permette ai richiedenti di dati sanitari dell'Unione di accedere ai dati sanitari elettronici in tale paese terzo a condizioni che non sono più restrittive di quelle previste dal presente regolamento e pertanto tale accesso è disciplinato da un atto di esecuzione di cui al paragrafo 2 del presente articolo.
2. La Commissione può stabilire, tramite atti di esecuzione, che un paese terzo soddisfa i requisiti di cui al paragrafo 1, lettera b), del presente articolo. Tali atti di esecuzione sono adottati secondo la procedura d'esame di cui all'articolo 98, paragrafo 2. La Commissione rende pubblicamente disponibile l'elenco degli atti di esecuzione adottati a norma del presente paragrafo.
3. La Commissione monitora gli sviluppi nei paesi terzi e in seno alle organizzazioni internazionali che potrebbero incidere sull'applicazione degli atti di esecuzione adottati a norma del paragrafo 2 e prevede un riesame periodico dell'applicazione del presente articolo.
Se ritiene che un paese terzo non soddisfi più il requisito di cui al paragrafo 1, lettera b), del presente articolo, la Commissione adotta un atto di esecuzione che abroga l'atto di esecuzione di cui al paragrafo 2 del presente articolo relativo al paese terzo che gode dell'accesso. Tale atto di esecuzione è adottato secondo la procedura d'esame di cui all'articolo 98, paragrafo 2.
Comitato dello spazio europeo dei dati sanitari
1. E' istituito il comitato EHDS per agevolare la cooperazione e lo scambio di informazioni tra gli Stati membri e la Commissione. Il comitato EHDS è composto da due rappresentanti per Stato membro, vale a dire un rappresentante a fini dell'uso primario e uno a fini dell'uso secondario, designati da ciascuno Stato membro. Ogni Stato membro dispone di un voto. I membri del comitato EHDS si impegnano ad agire nell'interesse pubblico e in modo indipendente.
2. Un rappresentante della Commissione e uno dei rappresentanti degli Stati membri di cui al paragrafo 1 copresiedono le riunioni del comitato EHDS.
3. Le autorità di vigilanza del mercato di cui all'articolo 43, l'EDPB e il GEPD, l'Agenzia europea per i medicinali, il Centro europeo per la prevenzione e il controllo delle malattie e l'Agenzia dell'Unione europea per la cibersicurezza (ENISA) sono invitati a partecipare alle riunioni allorché i temi trattati sono pertinenti a giudizio del comitato EHDS.
4. Il comitato EHDS può invitare alle sue riunioni autorità, esperti e osservatori nazionali, nonché le istituzioni, gli organi e gli organismi dell'Unione, oltre a quelli menzionati al paragrafo 3, e centri di ricerca e altre infrastrutture analoghe.
5. Il comitato EHDS può cooperare, se del caso, con esperti esterni.
6. A seconda delle funzioni relative all'uso dei dati sanitari elettronici, il comitato EHDS può lavorare, su alcune tematiche, in sottogruppi in cui siano rappresentate le autorità di sanità digitale o gli organismi responsabili dell'accesso ai dati sanitari. I sottogruppi coadiuvano il comitato EHDS con competenze specifiche e, se necessario, possono tenere riunioni congiunte.
7. Il comitato EHDS adotta il proprio regolamento interno e un codice di condotta, sulla base di una proposta della Commissione. Il regolamento interno prevede la composizione, l'organizzazione, il funzionamento e la cooperazione dei sottogruppi di cui al paragrafo 6 del presente articolo e la cooperazione del comitato EHDS con il forum dei portatori di interessi di cui all'articolo 93.
Il comitato EHDS adotta decisioni per consenso per quanto possibile. Se non è possibile raggiungere un consenso, il comitato EHDS adotta decisioni a maggioranza dei due terzi degli Stati membri.
8. Il comitato EHDS coopera con altri organismi, soggetti ed esperti pertinenti, quali il comitato europeo per l'innovazione in materia di dati istituito dall'articolo 29 del regolamento (UE) 2022/868, le autorità competenti designate a norma dell'articolo 37 del regolamento (UE) 2023/2854, gli organismi di vigilanza designati a norma dell'articolo 46 ter del regolamento (UE) n. 910/2014, l'EDPB istituito dall'articolo 68 del regolamento (UE) 2016/679, gli organismi responsabili della cibersicurezza, tra cui l'ENISA, e il cloud europeo per la scienza aperta, allo scopo di pervenire a soluzioni avanzate per l'utilizzo di dati reperibili, accessibili, interoperabili e riutilizzabili (FAIR) nei settori della ricerca e dell'innovazione.
9. Il comitato EHDS è assistito da un segretariato fornito dalla Commissione.
10. Il comitato EHDS pubblica le date delle sue riunioni e i verbali delle sue delibere, nonché una relazione di attività ogni due anni.
11. La Commissione adotta, mediante atti di esecuzione, le misure necessarie per l'istituzione e il funzionamento del comitato EHDS. Tali atti di esecuzione sono adottati secondo la procedura d'esame di cui all'articolo 98, paragrafo 2.
Forum dei portatori di interessi
1. E' istituito un forum dei portatori di interessi al fine di agevolare lo scambio di informazioni e promuovere la cooperazione tra i portatori di interessi in relazione all'attuazione del presente regolamento.
2. Il forum dei portatori di interessi ha una composizione equilibrata ed è composto dai soggetti interessati pertinenti, tra cui i rappresentanti delle organizzazioni dei pazienti, dei professionisti della sanità, delle imprese del settore, delle organizzazioni dei consumatori, dei ricercatori scientifici e del mondo universitario, e rappresenta i loro punti di vista. Ove gli interessi commerciali siano rappresentati nel forum dei portatori di interessi, la rappresentanza di tali interessi è basata su una combinazione equilibrata di grandi aziende, piccole e medie imprese e start-up. I compiti del forum dei portatori di interessi comprendono equamente l'uso primario e l'uso secondario.
3. I membri del forum dei portatori di interessi sono nominati dalla Commissione a seguito di un invito pubblico a manifestare interesse e di una procedura di selezione trasparente. I membri del forum dei portatori di interessi compilano ogni anno una dichiarazione di interessi, che deve essere resa pubblica e aggiornata, se del caso.
4. Il forum dei portatori di interessi può istituire sottogruppi permanenti o temporanei, a seconda del caso, per esaminare questioni specifiche connesse agli obiettivi del presente regolamento. Il comitato dei portatori di interessi adotta il proprio regolamento interno.
5. Il forum dei portatori di interessi tiene riunioni periodiche, che sono presiedute da un rappresentante della Commissione.
6. Il forum dei portatori di interessi prepara una relazione annuale sulle sue attività. Tale relazione è resa pubblica.
Compiti del comitato EHDS
1. In relazione all'uso primario il comitato EHDS svolge i compiti seguenti conformemente ai capi II e III:
a) assistere gli Stati membri nel coordinamento delle pratiche delle autorità di sanità digitale;
b) redigere contributi scritti e provvedere allo scambio delle migliori pratiche su questioni relative al coordinamento dell'attuazione, a livello degli Stati membri, tenendo conto degli enti regionali e locali, del presente regolamento e degli atti delegati e di esecuzione adottati a norma dello stesso, in particolare per quanto riguarda:
i) le disposizioni di cui ai capi II e III;
ii) lo sviluppo di servizi online che agevolino l'accesso sicuro, compresa l'identificazione elettronica sicura, ai dati sanitari elettronici per i professionisti sanitari e le persone fisiche;
iii) altri aspetti relativi all'uso primario;
c) agevolare la cooperazione tra le autorità di sanità digitale attraverso lo sviluppo di capacità, la definizione di un quadro per la relazione di attività di cui all'articolo 20 e lo scambio di informazioni;
d) condividere, tra i propri membri, le informazioni relative ai rischi posti dai sistemi di cartelle cliniche elettroniche e agli incidenti gravi, nonché informazioni sulla gestione di tali rischi e incidenti;
e) agevolare lo scambio di opinioni sull'uso primario con il forum dei portatori di interessi di cui all'articolo 93 e con i regolatori e i responsabili delle politiche del settore sanitario.
2. In relazione all'uso secondario il comitato EHDS svolge i compiti seguenti conformemente al capo IV:
a) assistere gli Stati membri nel coordinamento delle pratiche degli organismi responsabili dell'accesso ai dati sanitari per quanto riguarda l'attuazione delle disposizioni di cui al capo IV, al fine di garantire un'applicazione coerente del presente regolamento;
b) redigere contributi scritti e provvedere allo scambio delle migliori pratiche su questioni relative al coordinamento dell'attuazione, a livello degli Stati membri, del presente regolamento e degli atti delegati e di esecuzione adottati a norma dello stesso, in particolare per quanto riguarda:
i) l'attuazione delle norme in materia di accesso ai dati sanitari elettronici;
ii) le specifiche tecniche o le norme esistenti relative alle prescrizioni di cui al capo IV;
iii) gli incentivi per promuovere la qualità dei dati e il miglioramento dell'interoperabilità;
iv) le politiche relative alle tariffe imposte dagli organismi responsabili dell'accesso ai dati sanitari e dai titolari dei dati sanitari;
v) le misure di protezione dei dati personali dei professionisti sanitari coinvolti nella cura di persone fisiche;
vi) altri aspetti dell'uso secondario;
c) formulare, in consultazione e cooperazione con i pertinenti portatori di interessi, compresi i rappresentanti dei pazienti, dei professionisti sanitari e dei ricercatori, orientamenti intesi ad aiutare gli utenti dei dati sanitari a rispettare i loro obblighi a norma dell'articolo 61, paragrafo 5, in particolare per determinare se le loro risultanze sono significative dal punto di vista clinico;
d) agevolare la cooperazione tra gli organismi responsabili dell'accesso ai dati sanitari attraverso lo sviluppo di capacità, la definizione di un quadro per la relazione di attività di cui all'articolo 59, paragrafo 1, e lo scambio di informazioni;
e) condividere informazioni sui rischi e sugli incidenti relativi all'uso secondario, nonché sulla gestione di tali rischi e incidenti;
f) agevolare lo scambio di opinioni sull'uso primario con il forum dei portatori di interesse di cui all'articolo 93 nonché con i titolari dei dati sanitari, gli utenti dei dati sanitari, i regolatori e i responsabili delle politiche del settore sanitario.
I gruppi direttivi per LaMiaSalute@UE (MyHealth@EU) e DatiSanitari@UE (HealthData@EU)
1. Sono istituiti il gruppo direttivo LaMiaSalute@UE (MyHealth@EU) e il gruppo direttivo DatiSanitari@UE (HealthData@EU) («gruppi direttivi») per le infrastrutture transfrontaliere di cui agli articoli 23 e 75. Ciascun gruppo direttivo è composto da un rappresentante per Stato membro designato dai pertinenti punti di contatto nazionali.
2. I gruppi direttivi adottano decisioni operative inerenti allo sviluppo e al funzionamento di LaMiaSalute@UE (MyHealth@EU) e DatiSanitari@UE (HealthData@EU).
3. I gruppi direttivi decidono per consenso. Qualora non sia possibile raggiungere un consenso, è adottata una decisione dai due terzi dei membri. Per l'adozione delle decisioni, ogni membro dispone di un voto.
4. I gruppi direttivi adottano il proprio regolamento interno, che stabilisce la loro composizione, organizzazione, funzionamento e cooperazione.
5. Altri partecipanti autorizzati possono essere invitati allo scambio di informazioni e di opinioni su questioni pertinenti relative a LaMiaSalute@UE (MyHealth@EU) e DatiSanitari@UE (HealthData@EU). Qualora siano invitati, tali partecipanti svolgono un ruolo di osservatori.
6. I portatori di interessi e i terzi interessati, compresi i rappresentanti dei pazienti, dei professionisti sanitari, dei consumatori e delle imprese del settore, possono essere invitati a presenziare alle riunioni dei gruppi direttivi in qualità di osservatori.
7. I gruppi direttivi eleggono i presidenti delle loro riunioni.
8. I gruppi direttivi sono assistiti da un segretariato fornito dalla Commissione.
Ruoli e responsabilità della Commissione per quanto riguarda il funzionamento dello spazio europeo dei dati sanitari
1. Oltre al suo ruolo nel rendere disponibili i dati sanitari elettronici detenuti dalle istituzioni, dagli organi o dagli organismi dell'Unione, a norma degli articoli 55 e 56 e dell'articolo 75, paragrafo 2, e ai suoi compiti di cui al capo III, in particolare all'articolo 40, la Commissione sviluppa, mantiene, ospita e gestisce le infrastrutture e i servizi centrali necessari per sostenere il funzionamento dello spazio europeo dei dati sanitari, per tutti i pertinenti soggetti connessi, mediante:
a) un meccanismo di identificazione e autenticazione interoperabile e transfrontaliero per le persone fisiche e i professionisti sanitari, in conformità dell'articolo 16, paragrafi 3 e 4;
b) i servizi e le infrastrutture centrali per la sanità digitale di LaMiaSalute@UE (MyHealth@EU), in conformità dell'articolo 23, paragrafo 1;
c) i controlli di conformità per la connessione dei partecipanti autorizzati a LaMiaSalute@UE (MyHealth@EU), in conformità dell'articolo 23, paragrafo 9;
d) le infrastrutture e i servizi sanitari digitali transfrontalieri supplementari di cui all'articolo 24, paragrafo 1;
e) nell'ambito di DatiSanitari@UE (HealthData@EU), un servizio per la presentazione delle domande di accesso ai dati sanitari per l'accesso a dati sanitari elettronici detenuti da titolari dei dati sanitari in più di uno Stato membro o da altri partecipanti autorizzati a DatiSanitari@UE (HealthData@EU) e per l'inoltro automatico delle domande di accesso ai dati sanitari ai punti di contatto pertinenti, in conformità dell'articolo 67, paragrafo 3;
f) i servizi e le infrastrutture centrali di DatiSanitari@UE (HealthData@EU) in conformità dell'articolo 75, paragrafi 7 e 8;
g) un ambiente di trattamento sicuro in conformità dell'articolo 75, paragrafo 9, in cui gli organismi responsabili dell'accesso ai dati sanitari possono decidere di renderli disponibili in conformità dell'articolo 68, paragrafo 8;
h) i controlli di conformità per la connessione dei partecipanti autorizzati a DatiSanitari@UE (HealthData@EU), in conformità dell'articolo 75, paragrafo 5;
i) un catalogo federato UE delle serie di dati che collega i cataloghi nazionali delle serie di dati in conformità dell'articolo 79;
j) una segreteria del comitato EHDS in conformità dell'articolo 92, paragrafo 9;
k) una segreteria per i gruppi direttivi in conformità dell'articolo 95, paragrafo 8.
2. I servizi di cui al paragrafo 1 del presente articolo soddisfano norme di qualità sufficienti in termini di disponibilità, sicurezza, capacità, interoperabilità, manutenzione, monitoraggio e sviluppo onde garantire il funzionamento efficace dello spazio europeo dei dati sanitari. La Commissione fornisce tali servizi in conformità delle decisioni operative dei pertinenti gruppi direttivi di cui all'articolo 95.
3. La Commissione prepara ogni due anni una relazione sulle infrastrutture e sui servizi a sostegno dello spazio europeo dei dati sanitari da essa forniti in conformità del paragrafo 1 e la rende pubblica.
Esercizio della delega
1. Il potere di adottare atti delegati è conferito alla Commissione alle condizioni stabilite nel presente articolo.
2. Il potere di adottare gli atti delegati di cui all'articolo 14, paragrafo 2, all'articolo 49, paragrafo 4, e all'articolo 78, paragrafo 5, è conferito alla Commissione per un periodo indeterminato a decorrere dal 25 marzo 2025.
3. La delega di potere di cui all'articolo 14, paragrafo 2, all'articolo 49, paragrafo 4, e all'articolo 78, paragrafo 5, può essere revocata in qualsiasi momento dal Parlamento europeo o dal Consiglio. La decisione di revoca pone fine alla delega di potere ivi specificata. Gli effetti della decisione decorrono dal giorno successivo alla pubblicazione della decisione nella Gazzetta ufficiale dell'Unione europea o da una data successiva ivi specificata. Essa non pregiudica la validità degli atti delegati già in vigore.
4. Prima dell'adozione dell'atto delegato la Commissione consulta gli esperti designati da ciascuno Stato membro nel rispetto dei principi stabiliti nell'accordo interistituzionale «Legiferare meglio» del 13 aprile 2016.
5. Non appena adotta un atto delegato, la Commissione ne dà contestualmente notifica al Parlamento europeo e al Consiglio.
6. L'atto delegato adottato a norma dell'articolo 14, paragrafo 2, dell'articolo 49, paragrafo 4, o dell'articolo 78, paragrafo 5, entra in vigore solo se né il Parlamento europeo né il Consiglio hanno sollevato obiezioni entro il termine di tre mesi dalla data in cui esso è stato loro notificato o se, prima della scadenza di tale termine, sia il Parlamento europeo che il Consiglio hanno informato la Commissione che non intendono sollevare obiezioni. Tale termine è prorogato di tre mesi su iniziativa del Parlamento europeo o del Consiglio.
Procedura di comitato
1. La Commissione è assistita da un comitato. Esso è un comitato ai sensi del regolamento (UE) n. 182/2011.
2. Nei casi in cui è fatto riferimento al presente paragrafo, si applica l'articolo 5 del regolamento (UE) n. 182/2011.
Sanzioni
Gli Stati membri stabiliscono le norme relative alle sanzioni applicabili in caso di violazione del presente regolamento, in particolare per le violazioni non soggette a sanzioni amministrative pecuniarie a norma degli articoli 63 e 64, e adottano tutte le misure necessarie per assicurarne l'applicazione. Le sanzioni devono essere effettive, proporzionate e dissuasive. Gli Stati membri notificano tali norme e misure alla Commissione entro il 26 marzo 2027 e provvedono poi a dare immediata notifica delle eventuali modifiche successive.
Ai fini dell'imposizione di sanzioni in caso di violazione del presente regolamento, gli Stati membri tengono conto, se del caso, dei seguenti criteri non esaustivi e indicativi:
a) la natura, la gravità, l'entità e la durata della violazione;
b) eventuali azioni intraprese dall'autore della violazione per attenuare il danno causato dalla violazione o porvi rimedio;
c) eventuali violazioni commesse in precedenza dall'autore della violazione;
d) i vantaggi finanziari ottenuti o le perdite evitate dall'autore della violazione in ragione della violazione stessa, nella misura in cui tali vantaggi o perdite possano essere determinati in modo attendibile;
e) di altri eventuali fattori aggravanti o attenuanti applicabili alle circostanze del caso;
f) il fatturato annuo dell'autore della violazione nell'Unione nel corso dell'esercizio precedente.
Diritto di ottenere il risarcimento
Qualsiasi persona fisica o giuridica che subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere un risarcimento, conformemente al diritto dell'Unione e nazionale.
Rappresentanza di una persona fisica
Qualora una persona fisica ritenga che siano stati violati i diritti di cui gode a norma del presente regolamento, ha il diritto di dare mandato a un organismo, un'organizzazione o un'associazione che non abbiano scopo di lucro, costituiti in conformità del diritto nazionale, con obiettivi statutari di pubblico interesse e attivi nel settore della protezione dei dati personali, per proporre reclamo per suo conto o esercitare i diritti di cui agli articoli 21 e 81.
Valutazione, riesame e relazione sui progressi compiuti
1. Entro il 26 marzo 2033 la Commissione effettua una valutazione mirata del presente regolamento e presenta al Parlamento europeo, al Consiglio, al Comitato economico e sociale europeo e al Comitato delle regioni una relazione sulle principali conclusioni tratte, corredata, se del caso, di una proposta di modifica. La valutazione comprende i seguenti elementi:
a) la possibilità di estendere ulteriormente l'interoperabilità tra i sistemi di cartelle cliniche elettroniche e i servizi di accesso ai dati sanitari elettronici diversi da quelli istituiti dagli Stati membri;
b) la necessità di aggiornare le categorie di dati di cui all'articolo 51 e le finalità elencate all'articolo 53, paragrafo 1;
c) l'attuazione e l'utilizzo da parte delle persone fisiche dei meccanismi di esclusione riguardo all'uso secondario di cui all'articolo 71, in particolare per quanto riguarda l'impatto di tali meccanismi sulla salute pubblica, sulla ricerca scientifica e sui diritti fondamentali;
d) l'uso e l'attuazione di eventuali misure più rigorose introdotte a norma dell'articolo 51, paragrafo 4;
e) l'esercizio e l'attuazione del diritto di cui all'articolo 8;
f) la valutazione del quadro di certificazione dei sistemi di cartelle cliniche elettroniche stabilito al capo III e la necessità di introdurre ulteriori strumenti per la valutazione della conformità;
g) la valutazione del funzionamento del mercato interno dei sistemi di cartelle cliniche elettroniche;
h) la valutazione dei costi e dei benefici dell'attuazione delle disposizioni per l'uso secondario di cui al capo IV;
i) l'applicazione delle tariffe di cui all'articolo 62.
2. Entro il 26 marzo 2035 la Commissione effettua una valutazione globale del presente regolamento e presenta al Parlamento europeo, al Consiglio, al Comitato economico e sociale europeo e al Comitato delle regioni una relazione sulle principali conclusioni tratte, corredata, se del caso, di una proposta di modifica o di altre misure adeguate. Tale valutazione comprende la valutazione dell'efficienza e del funzionamento dei sistemi che consentono l'accesso ai dati sanitari elettronici ai fini di un ulteriore trattamento, effettuata sulla base del diritto dell'Unione o nazionale di cui all'articolo 1, paragrafo 7, per quanto riguarda la loro incidenza sull'attuazione del presente regolamento.
3. Gli Stati membri forniscono alla Commissione le informazioni necessarie per redigere le relazioni di cui ai paragrafi 1 e 2 e la Commissione tiene debitamente conto di tali informazioni nelle relazioni.
4. Ogni anno dopo il 25 marzo 2025 e fino alla fine dell'anno nel quale tutte le disposizioni del presente regolamento si applicano in conformità dell'articolo 105, la Commissione presenta al Consiglio una relazione sull'avanzamento dei preparativi ai fini della piena attuazione del presente regolamento. La relazione sull'avanzamento dei preparativi contiene informazioni sui progressi conseguiti e sulla preparazione degli Stati membri riguardo all'attuazione del presente regolamento, compresa una valutazione della fattibilità del rispetto dei termini di cui all'articolo 105, e può contenere altresì raccomandazioni agli Stati membri per migliorare la preparazione all'applicazione del presente regolamento.
Modifica della direttiva 2011/24/UE
L'articolo 14 della direttiva 2011/24/UE è soppresso a decorrere dal 26 marzo 2031.
Modifiche del regolamento (UE) 2024/2847
Il regolamento (EU) 2024/2847 è così modificato:
1) all'articolo 13, il paragrafo 4 è sostituito dal seguente:
«4. All'atto dell'immissione sul mercato di un prodotto con elementi digitali, il fabbricante include la valutazione dei rischi di cibersicurezza di cui al paragrafo 3 del presente articolo nella documentazione tecnica richiesta a norma dell'articolo 31 e dell'allegato VII. Per i prodotti con elementi digitali di cui all'articolo 12 e all'articolo 32, paragrafo 5 bis, che sono soggetti anche ad altri atti giuridici dell'Unione, la valutazione dei rischi di cibersicurezza può far parte della valutazione dei rischi prevista da tali atti giuridici dell'Unione. Se alcuni requisiti essenziali di cibersicurezza non sono applicabili al prodotto con elementi digitali, il fabbricante fornisce una chiara giustificazione in tal senso nella suddetta documentazione tecnica.»
;
2) all'articolo 31, il paragrafo 3 è sostituito dal seguente:
«3. Per i prodotti con elementi digitali di cui all'articolo 12 e all'articolo 32, paragrafo 5 bis, che sono soggetti anche ad altri atti giuridici dell'Unione che prevedono documentazione tecnica, è redatta un'unica documentazione tecnica contenente le informazioni di cui all'allegato VII e le informazioni richieste dai tali atti giuridici dell'Unione.»
;
3) all'articolo 32 è inserito il paragrafo seguente:
«5 bis. I fabbricanti di prodotti con elementi digitali classificati come sistemi di cartelle cliniche elettroniche ai sensi del regolamento (UE) 2025/327 del Parlamento europeo e del Consiglio (*1) dimostrano la conformità ai requisiti essenziali di cui all'allegato I al presente regolamento utilizzando la procedura di valutazione della conformità pertinente prevista al capo III del regolamento (UE) 2025/327.
_______________
(*1) Regolamento (UE) 2025/327 del Parlamento europeo e del Consiglio, dell'11 febbraio 2025, sullo spazio europeo dei dati sanitari e che modifica la direttiva 2011/24/UE e il regolamento (UE) 2024/2847 (GU L, 2025/327, 5.3.2025, ELI: http://data.europa.eu/eli/reg/2025/327/oj).»."
Entrata in vigore e applicazione
Il presente regolamento entra in vigore il ventesimo giorno successivo alla pubblicazione nella Gazzetta ufficiale dell'Unione europea.
Il presente regolamento si applica a decorrere dal 26 marzo 2027.
Tuttavia, gli articoli da 3 a 15, l'articolo 23, paragrafi da 2 a 6, gli articoli 25, 26, 27, 47, 48 e 49 si applicano come segue:
a) a decorrere dal 26 marzo 2029 per le categorie prioritarie di dati sanitari elettronici personali di cui all'articolo 14, paragrafo 1, lettere a), b) e c), e i sistemi di cartelle cliniche elettroniche destinati dal fabbricante al trattamento di tali categorie di dati;
b) a decorrere dal 26 marzo 2031 per le categorie prioritarie di dati sanitari elettronici personali di cui all'articolo 14, paragrafo 1, lettere d), e) ed f), e i sistemi di cartelle cliniche elettroniche destinati dal fabbricante al trattamento di tali categorie di dati;
c) a decorrere da un anno dopo la data stabilita in un atto delegato adottato a norma dell'articolo 14, paragrafo 2, per ogni modifica delle principali caratteristiche dei dati sanitari elettronici personali di cui all'allegato I, a condizione che tale data sia successiva alla data di applicazione di cui alle lettere a) e b) del presente comma per le categorie di dati sanitari elettronici personali in questione.
Il capo III si applica ai sistemi di cartelle cliniche elettroniche di cui all'articolo 26, paragrafo 2, a decorrere dal 26 marzo 2031.
Il capo IV si applica a decorrere dal 26 marzo 2029. Tuttavia, l'articolo 55, paragrafo 6, l'articolo 70, l'articolo 73, paragrafo 5, l'articolo 75, paragrafi 1 e 12, l'articolo 77, paragrafo 4, e l'articolo 78, paragrafo 6, si applicano a decorrere dal 26 marzo 2027, l'articolo 51, paragrafo 1, lettere b), f), g), m) e p), si applica a decorrere dal 26 marzo 2031 e l'articolo 75, paragrafo 5, si applica a decorrere dal 26 marzo 2035.
Gli atti di esecuzione di cui all'articolo 13, paragrafo 4, all'articolo 15, paragrafo 1, all'articolo 23, paragrafo 4, e all'articolo 36, paragrafo 1, si applicano a decorrere dalle date di cui al terzo comma del presente articolo, a seconda delle categorie di dati sanitari elettronici personali di cui, rispettivamente, all'articolo 14, paragrafo 1, lettere a), b) e c), o all'articolo 14, paragrafo 1, lettere d), e), e f).
Gli atti di esecuzione di cui all'articolo 70, all'articolo 73, paragrafo 5, all'articolo 75, paragrafo 12, all'articolo 77, paragrafo 4, e all'articolo 78, paragrafo 6, si applicano a decorrere dal 26 marzo 2029.
Il presente regolamento è obbligatorio in tutti i suoi elementi e direttamente applicabile in ciascuno degli Stati membri.
Fatto a Strasburgo, l'11 febbraio 2025
Per il Parlamento europeo
La presidente
R. METSOLA
Per il Consiglio
Il presidente
A. SZŁAPKA
ALLEGATO I
Caratteristiche principali delle categorie prioritarie di dati sanitari elettronici personali per l'uso primario
| Categoria di dati sanitari elettronici | Caratteristiche principali dei dati sanitari elettronici appartenenti alla categoria |
| 1. Profili sanitari sintetici del paziente | Dati sanitari elettronici che comprendono fatti clinici di rilievo riguardo a una persona fisica identificata e che sono fondamentali per la prestazione di assistenza sanitaria sicura ed efficiente a tale persona. Il profilo sanitario sintetico del paziente comprende le informazioni seguenti: 1. dati personali; 2. recapiti; 3. informazioni sull'assicurazione; 4. allergie; 5. segnalazioni mediche; 6. informazioni su vaccinazioni/profilassi, eventualmente sotto forma di libretto delle vaccinazioni; 7. problemi attuali, risolti, archiviati o inattivi, anche in un sistema internazionale di codifica della classificazione; 8. informazioni scritte relative all'anamnesi medica; 9. impianti e dispositivi medici; 10. procedure mediche o di assistenza 11. stato funzionale; 12. medicinali in uso e medicinali pertinenti assunti in precedenza; 13. osservazioni sull'anamnesi sociale attinenti alla salute; 14. anamnesi ostetrica; 15. dati forniti dal paziente; 16. risultati delle osservazioni relativi alle condizioni di salute; 17. piano di assistenza; 18. informazioni su una malattia rara, quali dettagli sugli effetti o sulle caratteristiche della malattia. |
| 2. Prescrizioni elettroniche | Dati sanitari elettronici che costituiscono la prescrizione di un medicinale quale definita all'articolo 3, lettera k), della direttiva 2011/24/UE. |
| 3. Dispensazioni elettroniche | Informazioni sulla dispensazione di un medicinale a una persona fisica da parte di una farmacia sulla base di una prescrizione elettronica. |
| 4. Esami diagnostici per immagini e relativi referti di immagini | Dati sanitari elettronici relativi all'uso di tecnologie, o da esse prodotti, che sono impiegate per visualizzare il corpo umano al fine di prevenire, diagnosticare, monitorare o curare patologie. |
| 5. Risultati di esami medici, compresi risultati di laboratorio e altri risultati diagnostici e relativi referti | Dati sanitari elettronici che rappresentano i risultati di studi effettuati in particolare attraverso la diagnostica in vitro, in settori quali la biochimica clinica, l'ematologia, la medicina trasfusionale, la microbiologia, l'immunologia e altri, comprese, se del caso, referti a sostegno dell'interpretazione dei risultati. |
| 6. Lettere di dimissione | Dati sanitari elettronici relativi a una o più prestazioni di assistenza sanitaria, comprese le informazioni essenziali sul ricovero, sulla cura e sulla dimissione di una persona fisica. |
.
ALLEGATO II
Prescrizioni essenziali per i componenti armonizzati dei sistemi di cartelle cliniche elettroniche e per i prodotti per i quali è stata dichiarata l'interoperabilità con tali sistemi
Le prescrizioni essenziali di cui al presente allegato si applicano mutatis mutandis ai dispositivi medici, ai dispositivi medico-diagnostici in vitro, ai sistemi di IA e alle applicazioni per il benessere che dichiarano l'interoperabilità con i sistemi di cartelle cliniche elettroniche.
1. Prescrizioni generali
1.1. I componenti software armonizzati di un sistema di cartelle cliniche elettroniche deve garantire le prestazioni previste dal fabbricante ed essere progettato e fabbricato in modo che, in condizioni di utilizzo normali, siano adatte alla loro destinazione d'uso e il loro utilizzo non metta a rischio la sicurezza dei pazienti.
1.2. I componenti software armonizzati di un sistema di cartelle cliniche elettroniche devono essere progettati e sviluppati in modo che il sistema di cartelle cliniche elettroniche possa essere fornito e installato, tenendo conto delle istruzioni e delle informazioni fornite dal fabbricante, senza alterarne le caratteristiche e le prestazioni durante l'uso previsto.
1.3. Un sistema di cartelle cliniche elettroniche deve essere progettato e sviluppato in modo che le sue caratteristiche di interoperabilità e di sicurezza tutelino i diritti delle persone fisiche, in linea con la destinazione d'uso del sistema, secondo quanto stabilito al capo II.
1.4. I componenti software armonizzati di un sistema di cartelle cliniche elettroniche destinato a funzionare insieme ad altri prodotti, compresi i dispositivi medici, devono essere progettati e fabbricati in modo tale da garantire l'affidabilità e la sicurezza dell'interoperabilità e della compatibilità e la possibilità di condividere dati sanitari elettronici personali tra il dispositivo e il sistema stesso in relazione a tali componenti armonizzati.
2. Prescrizioni in materia di interoperabilità
2.1. Un sistema di cartelle cliniche elettroniche che sia progettato per conservare o mediare dati sanitari elettronici personali deve offrire un'interfaccia che permette di accedere ai dati sanitari elettronici personali da esso trattati nel formato europeo di scambio delle cartelle cliniche elettroniche, mediante il componente software europeo di interoperabilità dei sistemi di cartelle cliniche elettroniche.
2.2. Un sistema di cartelle cliniche elettroniche che sia progettato per conservare o mediare dati sanitari elettronici personali deve essere in grado di ricevere dati sanitari elettronici personali nel formato europeo di scambio delle cartelle cliniche elettroniche mediante il componente software europeo di interoperabilità dei sistemi di cartelle cliniche elettroniche.
2.3. Un sistema di cartelle cliniche elettroniche che sia progettato per dare accesso ai dati sanitari elettronici personali deve essere in grado di ricevere dati sanitari elettronici personali nel formato europeo di scambio delle cartelle cliniche elettroniche mediante il componente software europeo di interoperabilità dei sistemi di cartelle cliniche elettroniche.
2.4. Un sistema di cartelle cliniche elettroniche che offra una funzionalità per l'inserimento di dati sanitari elettronici personali strutturati deve consentire l'inserimento di dati con un livello di dettaglio sufficiente a consentire la fornitura di dati sanitari elettronici personali nel formato europeo di scambio delle cartelle cliniche elettroniche.
2.5. I componenti software armonizzati di un sistema di cartelle cliniche elettroniche non devono presentare caratteristiche che vietino, limitino o rendano indebitamente gravosi l'accesso autorizzato, la condivisione di dati sanitari personali elettronici o l'uso di dati sanitari elettronici personali per finalità consentite.
2.6. I componenti software armonizzati di un sistema di cartelle cliniche elettroniche non devono presentare caratteristiche che vietino, limitino o rendano indebitamente gravosa l'esportazione autorizzata di dati sanitari elettronici personali al fine di sostituire il sistema di cartelle cliniche elettroniche con un altro prodotto.
3. Prescrizioni in materia di sicurezza e di registrazione.
3.1. Un sistema di cartelle cliniche elettroniche concepito per essere utilizzato da professionisti sanitari deve offrire meccanismi affidabili per l'identificazione e l'autenticazione degli stessi.
3.2. Il componente software europeo di registrazione dei sistemi di cartelle cliniche elettroniche progettato per consentire ai prestatori di assistenza sanitaria o ad altri soggetti di accedere ai dati sanitari elettronici personali deve fornire meccanismi di registrazione adeguati che registrino, per ogni evento o gruppo di eventi di accesso, almeno le informazioni seguenti:
a) identificazione del prestatore di assistenza sanitaria o altro soggetto che ha avuto accesso ai dati sanitari elettronici personali;
b) identificazione della persona fisica specifica o delle persone fisiche specifiche che hanno avuto accesso ai dati sanitari elettronici personali;
c) le categorie dei dati consultati;
d) l'ora e la data dell'accesso;
e) l'origine o origini dei dati.
3.3. I componenti software armonizzati di un sistema di cartelle cliniche elettroniche devono comprendere strumenti o meccanismi per esaminare e analizzare i dati delle registrazioni o supportare il collegamento e l'uso di software esterni per le medesime finalità.
3.4. I componenti software armonizzati di un sistema di cartelle cliniche elettroniche che archiviano dati sanitari elettronici personali devono supportare periodi di conservazione e diritti di accesso diversi che tengano conto delle origini e delle categorie dei dati sanitari elettronici.
ALLEGATO III
Documentazione tecnica
La documentazione tecnica di cui all'articolo 37 deve includere almeno le informazioni seguenti, a seconda dell'applicabilità ai componenti software armonizzati di sistemi di cartelle cliniche elettroniche nel pertinente sistema di cartelle cliniche elettroniche.
1. Una descrizione dettagliata del sistema di cartelle cliniche elettroniche comprendente:
a) la sua destinazione d'uso, e la data e la versione del sistema di cartelle cliniche elettroniche;
b) le categorie di dati sanitari elettronici personali che il sistema di cartelle cliniche elettroniche è stato progettato per trattare;
c) il modo in cui il sistema di cartelle cliniche elettroniche interagisce o può essere utilizzato per interagire con hardware o software che non fanno parte del sistema stesso;
d) le versioni dei pertinenti software o firmware e qualsiasi requisito relativo all'aggiornamento della versione;
e) la descrizione di tutte le forme in cui il sistema di cartelle cliniche elettroniche è immesso sul mercato o messo in servizio;
f) la descrizione dell"hardware su cui è destinato a operare il sistema di cartelle cliniche elettroniche;
g) una descrizione dell'architettura del sistema che spieghi in che modo i componenti software si basano l'uno sull'altro o si alimentano reciprocamente e si integrano nel processo complessivo, comprese, se del caso, rappresentazioni visive con didascalie (ad esempio diagrammi e disegni) che indichino chiaramente le parti o i componenti software principali nonché spiegazioni sufficienti per la comprensione dei disegni e dei diagrammi;
h) le specifiche tecniche, come caratteristiche, dimensioni e attributi di prestazione del sistema di cartelle cliniche elettroniche nonché delle varianti o configurazioni e degli accessori che di norma figurano nelle specifiche del prodotto messe a disposizione dell'utilizzatore, ad esempio in opuscoli, cataloghi e pubblicazioni simili, compresa una descrizione dettagliata delle strutture, dell'archiviazione e dell'ingresso/dell'uscita dei dati;
i) una descrizione di qualsiasi modifica apportata al sistema durante il suo ciclo di vita;
j) le istruzioni per l'uso destinate all'utente e, ove applicabile, le istruzioni per l'installazione.
2. Se del caso, una descrizione dettagliata del sistema messo in atto per valutare le prestazioni del sistema di cartelle cliniche elettroniche.
3. I riferimenti a qualsiasi specifica comune utilizzata conformemente all'articolo 36 e rispetto alla quale è dichiarata la conformità.
4. I risultati e le analisi critiche di tutte le verifiche e le prove di convalida effettuate per dimostrare la conformità del sistema di cartelle cliniche elettroniche alle prescrizioni di cui al capo III, in particolare alle prescrizioni essenziali applicabili.
5. Una copia della scheda informativa di cui all'articolo 38.
6. Una copia della dichiarazione di conformità UE.
ALLEGATO IV
Dichiarazione di conformità UE
La dichiarazione di conformità per i componenti software armonizzati di un sistema di cartelle cliniche elettroniche contiene tutte le informazioni seguenti:
1. il nome, la versione e qualsiasi ulteriore riferimento inequivocabile che consenta l'identificazione del sistema di cartelle cliniche elettroniche;
2. il nome e l'indirizzo del fabbricante o, ove applicabile, del suo rappresentante autorizzato;
3. un'attestazione secondo cui la dichiarazione di conformità UE è rilasciata sotto la responsabilità esclusiva del fabbricante;
4. un'attestazione secondo cui il sistema di cartelle cliniche elettroniche in questione è conforme alle disposizioni di cui al capo III e, ove applicabile, ad altro pertinente diritto dell'Unione che preveda il rilascio di una dichiarazione di conformità UE, integrata dall'esito dell'ambiente di sperimentazione di cui all'articolo 40;
5. i riferimenti a eventuali specifiche armonizzate utilizzate e rispetto alle quali è dichiarata la conformità;
6. i riferimenti a eventuali specifiche comuni utilizzate e rispetto alle quali è dichiarata la conformità;
7. il luogo e la data di rilascio della dichiarazione, la firma, il nome e la funzione della persona che ha firmato e, se del caso, l'indicazione della persona per conto della quale è stata firmata;
8. ove appropriato, informazioni supplementari.