La comunicazione "Verso un'economia prospera basata sui dati", adottata dalla Commissione Europea nel luglio 2014, ha delineato una strategia per promuovere l'innovazione e la competitività in Europa, con un focus sull'economia dei dati. L'obiettivo principale era posizionare l'Europa come leader globale nel settore dei dati, migliorando la produttività e stimolando la crescita economica attraverso una serie di iniziative coordinate tra UE e Stati membri. Tra gli obiettivi principali vi erano:
- promozione di iniziative strategiche per migliorare la competitività e i servizi pubblici, e per migliorare la qualità della vita,
- sviluppo di tecnologie e infrastrutture per supportare le PMI, in particolare per migliorare l'accesso alle tecnologie abilitanti,
- sfruttamento dei dati pubblici per facilitare la condivisione, l'uso e la ricerca,
- innovazione mirata per affrontare ostacoli tecnologici e normativi,
- adattamento del quadro giuridico per una gestione sicura e protetta dei dati,
- digitalizzazione della pubblica amministrazione per migliorarne l'efficienza,
- appalti pubblici per innovazione per portare sul mercato tecnologie avanzate.
Nel lungo termine, l'UE ha promosso un ambiente favorevole all'interoperabilità dei dati, mirando a migliorare l'innovazione e la competitività. Oggi, la strategia europea per l'economia dei dati, in continuità con le precedenti iniziative, mira a creare un ambiente di fiducia e interoperabilità, in cui i dati possano circolare liberamente, promuovendo l’innovazione, migliorando la qualità della vita e sostenendo la crescita economica europea in settori chiave per costruire un ecosistema competitivo europeo dei dati. Tutti gli interventi proposti dalla Commissione europea e approvati dal Parlamento europeo sono volti a promuovere, affermare e rafforzare tematiche come la libera circolazione dei dati, la creazione di uno spazio comune europeo dei dati, e la promozione della condivisione di dati tra aziende e governi, nel rispetto delle normative esistenti primo fra tutti il GDPR.
L'Agenda Digitale Europea per il periodo 2020-2030 si inserisce pertanto all’interno di una strategia ambiziosa che mira a posizionare l'Europa come leader globale nella trasformazione digitale. In un mondo sempre più interconnesso e tecnologico, l'Unione Europea cerca di rispondere all’improcrastinabile esigenza di adottare politiche adeguate per affrontare le sfide della digitalizzazione, promuovendo al contempo la sicurezza, la competitività e l’equità digitale. L’obiettivo primario è quello di rendere tutti i principali servizi pubblici disponibili online entro il 2030, favorendo l'accesso digitale dei cittadini a servizi essenziali come la sanità, l'istruzione e le amministrazioni locali.
In questo quadro, gli spazi comuni europei di dati costituiscono iniziative che mirano a migliorare l'accesso e il riutilizzo dei dati, creando un ambiente affidabile e sicuro a beneficio dei cittadini europei e delle imprese. Questi spazi sono fondamentali per costruire un mercato unico dei dati, rispondendo alla crescente importanza dei dati nell'economia e nella società. La strategia europea per i dati, aggiornata e adottata nel febbraio 2020, ha tracciato un percorso per la creazione di spazi comuni di dati in settori strategici quali sanità, agricoltura, industria manifatturiera, energia, mobilità, finanza, pubblica amministrazione, competenze e cloud europeo per la scienza aperta, con obiettivi chiari e concreti da raggiungere entro il 2030.
Il 3 maggio 2022, la Commissione Europea ha presentato il Regolamento che disciplina lo Spazio europeo dei dati sanitari (EHDS), un'iniziativa che mira a migliorare l'accesso e l'uso dei dati sanitari per cittadini, medici, ricercatori e autorità in tutta l'UE, contribuendo all'Unione sanitaria europea. Questo spazio comune, regolato da elevati standard di protezione dei dati, ha tre obiettivi principali:
- accesso e circolazione dei dati: offrire ai cittadini un accesso digitale migliorato ai propri dati sanitari personali e garantire la continuità di tali dati ovunque si trovino nell'UE;
- economia dei dati sanitari: sviluppare un mercato unico per i servizi e prodotti sanitari digitali, promuovendo l’innovazione e la competitività del settore;
- uso regolato dei dati per ricerca e innovazione: stabilire norme rigide per l'uso dei dati sanitari non identificabili per ricerca, innovazione e definizione di politiche, assicurando la tutela della privacy.
Il sistema europeo dei dati sanitari EHDS costituisce il primo pilastro della strategia digitale della Commissione europea per un nuovo modo europeo di governance dei dati che faciliti la condivisione tra Stati membri e consenta di creare un mercato unico europeo dei dati sanitari. Nello specifico il quadro normativo europeo per la gestione e la condivisione dei dati sanitari deve confrontarsi con sfide significative nella sua implementazione pratica. Tale quadro normativo, volto a rafforzare la fiducia del pubblico, garantendo al contempo la privacy e la sicurezza delle informazioni sensibili, è basato sul rapporto tra i provvedimenti chiave come il Regolamento Generale sulla Protezione dei Dati (GDPR 2016/679), il Data Governance Act (2022/868), il Data Act (2023/2854) e la Direttiva NIS2 (Direttiva 2022/2555 sulla sicurezza delle reti e dei sistemi informatici).
L’iter di approvazione della proposta di regolamento per creare l'EHDS è nella sua fase conclusiva che porterà alla pubblicazione definitiva del Regolamento da parte del Parlamento europeo prevista entro il 2025, con l'adozione di disposizioni tecniche entro il 2029. Per garantire omogeneità, l’EHDS individua caratteristiche e requisiti standardizzati di interoperabilità che dovranno essere garantiti in modo da abilitare il dialogo dei sistemi a livello transfrontaliero, unitamente all’introduzione di nuove certificazioni e marchi di qualità per i prodotti e servizi sanitari destinati ad alimentare il bacino di dati (cartelle cliniche elettroniche delle singole strutture, telemedicina, IoMT, sistemi collegati che utilizzano l’intelligenza artificiale, ecc.).
L’architettura dell’ecosistema europeo si fonderà su due pilastri: il portale “MyHealth@EU” – già presente (sebbene con diversa articolazione nei Paesi UE) per facilitare l’assistenza sanitaria transfrontaliera a livello individuale – sarà rafforzato e ampliato per garantire l’effettivo esercizio dei diritti dei cittadini sui propri dati sanitari (come sancito dal Regolamento UE 2016/679); la piattaforma “HealthData@EU” rivolta alla creazione di un quadro informativo di dati sanitari su scala europea con finalità di ricerca scientifica e supporto alle politiche sanitarie nazionali e sovranazionali. Ciò per bilanciare la sostenibilità dei sistemi sanitari nazionali con il diritto dei pazienti a cure transfrontaliere, promuovendo l'uso delle nuove tecnologie. Gli Stati europei, incluso il Governo italiano, stanno rivedendo le proprie piattaforme di cartelle cliniche elettroniche (EHR) per supportare questa iniziativa. Questo sistema non solo facilita la continuità dell'assistenza sanitaria, ma permette anche una pianificazione strategica basata su dati reali, migliorando la qualità delle cure e promuovendo la ricerca medica.
Gli Stati europei e il Governo italiano sono impegnati nella rivisitazione delle proprie piattaforme di elettronic health records (EHR). Se Paesi europei come Estonia e Svezia si pongono all’avanguardia nella realizzazione delle rispettive piattaforme di sanità digitale, altri Paesi europei stanno sviluppando il proprio sistema di elettronica health records (EHR) come la Francia con il “Mon espace santé”, la Spagna con la “Historia Clínica Digital del Sistema Nacional de Salud” e la Germania con la “ePA – Die elektronische Patientenakte”. Il legislatore italiano è intervenuto, sulla scia della gestione dell’emergenza pandemica del Covid-19, delineando la disciplina del Fascicolo Sanitario Elettronico 2.0 che nasce dallo sviluppo del Fascicolo Sanitario Elettronico FSE istituito sulla base di quanto previsto dall'articolo 12 del decreto-legge 18 ottobre 2012, n. 179 e fino ad oggi realizzato in maniera irregolare e frammentata nelle diverse realtà regionali. Tale spinta innovatrice ha trovato rafforzamento con una serie di decreti sottoposti al vaglio dell’Autorità Garante per la protezione dei dati personali e successivamente approvati e pubblicati come le “Linee guida per l'attuazione del Fascicolo sanitario elettronico” che descrive i contenuti, i servizi, l’architettura e la governance che caratterizzeranno il nuovo FSE (per l’appunto il FSE 2.0) e guidano la progettazione e lo sviluppo di un sistema uniforme sull’intero territorio nazionale. Tali interventi sono previsti dalla missione 6 del PNRR prevedono la piena realizzazione della piattaforma della sanità digitale italiana entro giugno 2026.
La nuova architettura della sanità digitale in Italia sarà basata su tre pilastri rappresentati
- dal FSE 2.0 quale infrastruttura unica che raccoglie dati e informazioni per l’utilizzo primario che facilita l'assistenza sanitaria e secondario dedicata alla ricerca e alla pianificazione sanitaria,
- dalla Piattaforma di Intelligenza Artificiale per migliorare l’assistenza sanitaria territoriale, ottimizzando e integrando i processi di presa in carico dei pazienti su tutto il territorio nazionale, e
- dall’Ecosistema dei Dati Sanitari (EDS) alimentato con i dati del FSE per fornire appositi servizi di supporto al processo di cura.
Il Fascicolo Sanitario Elettronico 2.0 costituisce il cuore di quello che sarà il nuovo sistema di condivisione dei dati clinici sia nazionale, ovvero l’ecosistema dei dati sanitari EDS, sia europeo l’EHDS, nel rispetto dei
principi fondamentali quali l’interoperabilità e condivisione sicura dei dati, la standardizzazione e regolamentazione, la collaborazione tra tutti i soggetti pubblici coinvolti sia pubblici che privati. Ciò consente di porre in essere l’insieme delle attività necessarie per proteggere i dati sanitari dalle minacce informatiche che interessano le reti, i sistemi informativi, i servizi informatici e le comunicazioni elettroniche, assicurando così la disponibilità, la confidenzialità e l’integrità delle informazioni affinché ne sia garantita la resilienza, anche ai fini della tutela della sicurezza nazionale e dell’interesse nazionale nello spazio cibernetico (di cui la sanità è settore essenziale).
Occorre superare l’attuale disomogeneità che contraddice lo spirito della riforma del FSE 2.0 volta a introdurre misure, garanzie e responsabilità omogenee sul tutto il territorio nazionale. Il rischio è quello di compromettere, oltre che i diritti fondamentali degli interessati, anche la funzionalità, l’interoperabilità e l’efficienza del sistema FSE 2.0 e di minare una realizzazione uniforme dell’interesse della collettività alla tutela della salute di matrice costituzionale (art. 32 della Costituzione). Questo sistema interconnesso, concepito per facilitare la condivisione dei dati tra professionisti sanitari e pazienti, rende possibile l’accesso ai dati sanitari elettronici personali per l'uso primario (per la prestazione di servizi sanitari al fine di valutare, mantenere o ripristinare lo stato di salute della persona fisica, comprese la prescrizione, la dispensazione e la fornitura di medicinali e dispositivi medici, nonché per i pertinenti servizi di sicurezza sociale, amministrativi o di rimborso) e l’uso secondario (per la prestazione di assistenza sanitaria o cure assistenziali o a fini di sanità pubblica, ricerca, innovazione, definizione delle politiche, statistiche ufficiali, sicurezza dei pazienti o regolamentazione). Il FSE 2.0 è già parte del portale “MyHealth@EU” fondamentale per l’utilizzo primario dei dati e facilitare l’assistenza sanitaria transfrontaliera a livello individuale e garantire l’effettivo esercizio dei diritti dei cittadini sui propri dati sanitari (come sancito dal Regolamento UE 2016/679). Il FSE 2.0 sarà parte basilare e indispensabile dell’ecosistema dei dati sanitari EDS e della piattaforma “HealthData@EU”, ancora in fase di completamento, per l’utilizzo secondario dei dati nel quadro informativo di dati sanitari su scala europea con finalità di ricerca scientifica e supporto alle politiche sanitarie nazionali e sovranazionali.
Il succedersi di modifiche e integrazioni del quadro normativo in atto, che a livello europeo dovrebbe avere un primo completamento nel 2029 e che a livello nazionale dovrebbe avvenire nel 2026, rende complessa l’effettiva realizzazione del Fascicolo Sanitario Elettronico FSE 2.0 da parte di ciascuna regione e quindi da parte dello Stato italiano, soprattutto per allineare le soluzioni tecnologiche alle disposizioni previste in materia di tutela e protezione dei dati personali. È imprescindibile realizzare un robusto sistema di governance della sicurezza, che tenga conto delle indicazioni e prescrizioni dettate dalle autorità di controllo indipendenti, ovvero il Garante per la protezione dei dati personali e l’Autorità per la Cybersecurezza Nazionale, per definire le decisioni e le soluzioni che possono essere ritenute “compliance” e “accountable” rispetto alle tematiche della privacy e sicurezza. In questo modo il FSE 2.0 può evitare di risultare vulnerabile a compromissioni, mettendo a rischio non solo i dati personali dei pazienti, ma anche la continuità dei servizi sanitari.
A seguito dell'intervento del Garante per la protezione dei dati personali, il decreto del 7 settembre 2023 che disciplina il FSE 2.0 stabilisce un quadro uniforme di tutele su tutto il territorio nazionale per il trattamento dei dati personali e sanitari svolto per finalità di cura, prevenzione e profilassi internazionale, proporzionato agli obiettivi e garantendo la protezione dei dati personali attraverso l'adozione di misure appropriate che tutelino i diritti fondamentali e gli interessi degli interessati (art. 9, par. 2, lett. g) del GDPR e art. 2 sexies del Codice Privacy italiano).
La sfida persistente risiede nel bilanciare l'innovazione, come l'integrazione del FSE 2.0 con l'European Health Data Space, con i rigorosi requisiti di protezione dei dati stabiliti dal GDPR e dalle altre normative del quadro europeo dell’Agenda digitale 2020-2030. Il Garante ha esortato il Governo e le Regioni ad attuare quanto previsto dagli ultimi provvedimenti normativi prevedendo precisi tempi di attuazione del PNRR prima per il Fascicolo Sanitario Elettronico FSE 2.0 e poi per l’ecosistema dei dati sanitari EDS. È in attesa di definitiva approvazione e pubblicazione un decreto che cristallizzi un crono programma di attuazione della disciplina del FSE 2.0 in tre fasi e prevedendo allo stesso tempo specifiche misure di garanzia volte ad assicurare nell’immediato l’effettiva tutela dei diritti e delle libertà fondamentali dell’interessato. Ogni regione è chiamata ad intervenire:
- entro il 31 marzo 2025 per la normativa relativa al diritto di oscuramento automatico delle prescrizioni e dei documenti collegati, conosciuto come "catena dell'oscuramento," e garantire la registrazione delle operazioni sul Fascicolo Sanitario Elettronico 2.0, assicurando all'interessato il diritto di consultare gli accessi al proprio Fascicolo;
- entro il 30 settembre 2025 per implementare le disposizioni per l’identificazione dell’assistito tramite l’Anagrafe Nazionale degli Assistiti (ANA), per la creazione completa del Profilo Sanitario Sintetico (PSS) da parte dei Medici di Medicina Generale e dei Pediatri di Libera Scelta in tutte le regioni e province autonome, per l'inserimento di dati protetti da anonimato automatico da parte di tutte le regioni e province autonome, e per l’accesso in consultazione ai dati e documenti del Fascicolo Sanitario Elettronico per finalità di cura, secondo i livelli di accesso previsti nell’allegato A del decreto del 7 settembre 2023. Prevede, inoltre, la piena attuazione del Taccuino personale (TP), l’accesso al Fascicolo Sanitario Elettronico per minori e soggetti incapaci di intendere e di volere, e l'attivazione del sistema delle deleghe;
- entro il 31 marzo 2026 per attuare le disposizioni relative alla completezza dei contenuti del Fascicolo Sanitario Elettronico (FSE), garantendo che i dati e i documenti siano inseriti nel FSE entro 5 giorni dall'erogazione della prestazione sanitaria, inclusi quelli di strutture non appartenenti al Servizio Sanitario Nazionale (SSN). Realizzare servizi telematici accessibili tramite un'interfaccia unica a livello regionale, assicurare l'accesso online al FSE per le strutture sanitarie private autorizzate dal SSN e garantirne l’alimentazione del FSE entro 5 giorni dalla prestazione.
Sarà possibile realizzare gli obiettivi della riforma del Fascicolo Sanitario Elettronico 2.0, introducendo misure, garanzie e responsabilità uniformi su scala nazionale e promuovendo la funzionalità, l’interoperabilità e l’efficienza del sistema FSE 2.0. Al completamento di questo cronoprogramma, si potrà verificare la piena attuazione da parte delle regioni delle disposizioni del decreto del 7 settembre 2023, tra cui: la definizione di tutti i documenti inclusi nel FSE 2.0, il rispetto della centralità dell’assistito tramite la sua autodeterminazione informativa e il controllo sui propri dati personali con canali dedicati, l'adozione di modelli architetturali per le infrastrutture del FSE 2.0, sia centralizzati che distribuiti, la chiara assegnazione di ruoli e responsabilità per tutti i soggetti coinvolti nell’alimentazione e nella gestione del FSE 2.0, e l'attuazione di misure di sicurezza appropriate. I Titolari del trattamento dei dati del FSE 2.0 dovranno garantire il rispetto delle normative sulla sicurezza e disponibilità dei dati, dei sistemi e delle infrastrutture delle Pubbliche Amministrazioni, nonché seguire le linee guida AGID per lo sviluppo e la gestione dei sistemi informativi. Saranno tenuti a implementare sistemi di autorizzazione adeguati per gli incaricati, basati sui ruoli e sulle necessità di accesso, e a definire procedure per la verifica periodica dei profili di autorizzazione. Dovranno utilizzare protocolli di comunicazione sicuri che rispettino gli standard crittografici per lo scambio elettronico dei dati, garantire la cifratura o separazione dei dati sensibili (come quelli relativi alla salute e alla vita sessuale) da altri dati personali, assicurare la tracciabilità degli accessi e delle operazioni, implementare sistemi di audit log per monitorare gli accessi e rilevare anomalie, e adottare procedure di pseudonimizzazione dei dati.
È auspicabile individuare temi e modelli comuni per la governance dei dati sanitari elettronici, la privacy, la sicurezza e la conformità normativa nel contesto del FSE 2.0. L’applicazione concreta dei quadri normativi europeo e nazionale, già avviata e da completarsi entro i termini previsti, permette di evidenziare l’impatto delle normative sul rapporto tra l'uso delle soluzioni tecnologiche e la governance dei dati sanitari.
La piena realizzazione del FSE 2.0 può essere raggiunta seguendo tre fasi essenziali, ognuna delle quali affronta specifiche sfide legate alla privacy e alla sicurezza dei dati sanitari:
- concentrarsi sullo sviluppo del FSE 2.0 e sulla sua attuazione completa, in parallelo con l'approvazione del regolamento europeo sull'European Health Data Space (EHDS). Questa fase include il coinvolgimento di partner selezionati, le tempistiche specifiche del progetto, i contributi degli stakeholder e l'adozione di pratiche di sicurezza, privacy e cybersecurity in linea con standard internazionali. Possono essere inoltre analizzate le esperienze di altre regioni e Paesi europei che hanno implementato piattaforme analoghe,
- analizzare i processi decisionali relativi all'uso dei dati, il valore offerto dal FSE 2.0 e le implicazioni per stakeholder interni ed esterni, con riguardo all’operatività del FSE 2.0 per l'uso sia primario che secondario dei dati sanitari, per consentire di delineare l’architettura della piattaforma per massimizzare la sicurezza, la privacy e la cybersecurity,
- focalizzare gli adeguamenti alla gestione dei dati secondo le prescrizioni del Garante della privacy, con attenzione agli impatti sulla sicurezza e sulla privacy e all’adozione di misure per assicurare la sostenibilità e la resilienza del FSE 2.0 nel lungo periodo.
Queste tre fasi sono scandite secondo una linea temporale che segue il cronoprogramma del PNRR fino al 2026, oltre che dell'EHDS fino al 2029, e possono costituire valida traccia per rendere omogeneo l’approccio alla realizzazione degli interventi superando la logica del mero adempimento.