·
Amministrazione sanitaria
Assistenza sanitaria
IT sanitario / CIO
Portabilità dei dati: sanità pubblica vs privata secondo la normativa UE
Scopri come GDPR, EHDS e le normative sanitarie nazionali creano diversi obblighi di portabilità dei dati per i fornitori di assistenza sanitaria pubblici e privati in Europa

Le organizzazioni sanitarie che operano in Europa sono soggette a un obbligo legale sulla portabilità dei dati dei pazienti, non a una semplice aspirazione tecnica. Ciò che è meno noto è che tale obbligo non si applica in modo uniforme. Una clinica privata ad Amsterdam, un ospedale pubblico a Madrid e un fornitore a modello misto a Berlino possono gestire lo stesso tipo di cartella clinica del paziente, ma affrontare requisiti legali significativamente diversi quando un paziente chiede di trasferire i propri dati altrove. La ragione risiede in una caratteristica strutturale del diritto dell'UE: le norme sulla protezione dei dati sono stabilite a livello sovranazionale, mentre l'erogazione dell'assistenza sanitaria rimane una competenza nazionale. La base giuridica su cui un fornitore tratta i dati dei pazienti determina quali diritti di portabilità si applicano effettivamente. Per i decisori sanitari responsabili della conformità, dell'infrastruttura IT o delle operazioni cliniche, comprendere questa distinzione è un lavoro preparatorio essenziale prima che le tempistiche di attuazione dello Spazio europeo dei dati sanitari inizino a farsi sentire. Comprendere gli obblighi in materia di sicurezza dei dati e privacy è un prerequisito per questa analisi.
Il quadro giuridico: cosa richiede effettivamente il diritto dell'UE
Tre livelli normativi distinti disciplinano la portabilità dei dati dei pazienti in Europa. Questi interagiscono in modo diverso a seconda del tipo di fornitore.
Il primo è il Regolamento generale sulla protezione dei dati (GDPR), che stabilisce il diritto di base alla portabilità dei dati ai sensi dell'articolo 20, ma contiene una limitazione fondamentale che ne restringe significativamente l'applicazione nell'assistenza sanitaria pubblica. Il secondo è il Regolamento sullo Spazio europeo dei dati sanitari (EHDS), Regolamento (UE) 2025/327, entrato in vigore il 26 marzo 2025. Rappresenta il cambiamento strutturale più significativo nella governance dei dati sanitari nella storia dell'UE. Il terzo livello è la legislazione nazionale di attuazione, che disciplina il modo in cui i sistemi sanitari pubblici gestiscono l'accesso e il trasferimento delle cartelle cliniche, spesso attraverso la normativa sanitaria settoriale piuttosto che quella sulla protezione dei dati.
Questi livelli non operano in modo indipendente. Il GDPR resta il quadro normativo primario sulla protezione dei dati. L'EHDS introduce obblighi settoriali che si affiancano ad esso. Come nota l'analisi di Taylor Wessing sulla relazione EHDS-GDPR, l'EHDS non sostituisce il GDPR ma costruisce un quadro settoriale su di esso, con un'attuazione graduale che va da marzo 2027 per le disposizioni generali a marzo 2029 per le norme sull'uso primario e secondario. I decisori devono comprendere tutti e tre i livelli per valutare accuratamente i propri obblighi. Affidarsi solo al GDPR offre una visione incompleta.
Articolo 20 del GDPR: dove appare per la prima volta la distinzione pubblico-privato
L'articolo 20 del GDPR garantisce alle persone il diritto di ricevere i propri dati personali in un formato strutturato, di uso comune e leggibile da dispositivo automatico. Possono trasmetterli a un altro titolare del trattamento. Questo diritto non è universale. Si applica solo quando il trattamento si basa sul consenso (articolo 6, paragrafo 1, lettera a) o articolo 9, paragrafo 2, lettera a)) o su un contratto (articolo 6, paragrafo 1, lettera b)). Quando il trattamento si basa su un obbligo di legge o sull'esecuzione di un compito di interesse pubblico, rispettivamente articoli 6, paragrafo 1, lettera c) e 6, paragrafo 1, lettera e), l'articolo 20 non si applica.
È qui che la distinzione pubblico-privato diventa operativamente significativa per la prima volta. La maggior parte dei fornitori di assistenza sanitaria pubblica tratta i dati dei pazienti in base a un mandato legale. Un servizio sanitario nazionale che cura un paziente non lo fa sulla base di un contratto con quel paziente, né tipicamente sulla base del consenso. Svolge una funzione pubblica legalmente definita. Ciò significa che il diritto alla portabilità del GDPR non si applica direttamente alla maggior parte del trattamento dei dati del sistema sanitario pubblico nell'UE.
La conseguenza pratica è che i pazienti che cercano di trasferire le proprie cartelle cliniche da un ospedale pubblico a uno specialista privato, o da un sistema sanitario nazionale a un altro, non possono fare affidamento sull'articolo 20 del GDPR. Devono invece fare riferimento alle disposizioni della normativa sanitaria nazionale, che variano considerevolmente tra gli Stati membri.
Come vengono trattati i fornitori di assistenza sanitaria pubblica ai sensi del diritto dell'UE e nazionale
I fornitori di assistenza sanitaria pubblica in tutta l'UE attuano i diritti di accesso e trasferimento delle cartelle cliniche dei pazienti attraverso la legislazione settoriale specifica, non tramite le disposizioni sulla portabilità del GDPR. Gli obblighi esistono, ma sono radicati in quadri normativi sanitari che differiscono sostanzialmente per giurisdizione.
Nei principali mercati europei, il quadro è frammentato:
Modelli nordici (Danimarca, Finlandia, Svezia): dispongono di un'infrastruttura nazionale di cartelle cliniche elettroniche relativamente matura e di sistemi di portali per i pazienti, con diritti statutari di accesso alle cartelle cliniche incorporati nella legislazione sanitaria. Il sistema Kanta della Finlandia, ad esempio, fornisce ai pazienti un punto di accesso digitale centralizzato per le cartelle cliniche detenute dai fornitori pubblici.
Germania: ha introdotto un diritto statutario per i pazienti di ricevere copie delle proprie cartelle cliniche ai sensi della legge sui diritti dei pazienti (Patientenrechtegesetz), con i fornitori tenuti a rispondere senza indebito ritardo. Il Paese ha anche sviluppato la sua Telematikinfrastruktur (TI) come dorsale nazionale di interoperabilità.
Francia: ha implementato la piattaforma Mon Espace Santé come spazio dati sanitari rivolto ai pazienti, fornendo accesso alle cartelle cliniche dei fornitori pubblici nell'ambito della legislazione nazionale sulla sanità digitale.
Sistemi pubblici dell'Europa meridionale (Spagna, Italia, Portogallo): hanno diritti di accesso statutari ma presentano una maggiore variabilità a livello regionale, con la qualità dell'attuazione strettamente legata alla capacità delle autorità sanitarie regionali.
Il punto chiave per i decisori è che questi obblighi sono reali e applicabili, ma sono amministrati attraverso i quadri normativi dei ministeri della salute, non dalle autorità per la protezione dei dati. Ciò significa che l'organismo di vigilanza, il meccanismo di applicazione e la tempistica applicabile possono tutti differire rispetto a quelli previsti per un fornitore privato ai sensi del GDPR.
Come vengono trattati i fornitori di assistenza sanitaria privata ai sensi del GDPR
I fornitori di assistenza sanitaria privata che trattano i dati dei pazienti sulla base del consenso o del contratto sono direttamente soggetti all'articolo 20 del GDPR. Ciò riguarda la maggior parte delle cliniche private, degli studi specialistici e dei servizi diagnostici indipendenti che operano nell'UE, laddove nessun mandato statutario disciplina il rapporto di trattamento.
Ai sensi dell'articolo 20, i pazienti possono richiedere:
I propri dati personali in un formato strutturato, di uso comune e leggibile da dispositivo automatico
La trasmissione diretta di tali dati a un altro titolare del trattamento, ove tecnicamente fattibile
Una risposta entro un mese dalla richiesta, prorogabile di altri due mesi quando le richieste sono complesse o numerose (con notifica al paziente entro il primo mese)
Ciò che rientra nella definizione di "dati personali" ai fini della portabilità in un contesto clinico è più ampio di quanto molti fornitori privati presumano. Include i dati forniti attivamente dal paziente (informazioni di registrazione, anamnesi fornita all'accettazione) e i dati generati attraverso il rapporto di servizio (registrazioni degli appuntamenti, note di consulto, risultati dei test). Non include i dati derivati o dedotti dal fornitore, una distinzione che diventa rilevante quando si considerano i codici clinici generati dall'IA o i punteggi di rischio.
"Leggibile da dispositivo automatico" ai sensi del GDPR significa un formato che un computer può elaborare automaticamente, come JSON, XML o CSV, piuttosto che un PDF scansionato o un documento stampato. In pratica, molti sistemi di cartelle cliniche elettroniche private possono esportare dati in questi formati, ma produrre un'esportazione strutturata clinicamente significativa che preservi la codifica, la terminologia e le relazioni tra le cartelle cliniche è una sfida tecnica a parte.
Lo Spazio europeo dei dati sanitari: colmare il divario tra i settori
Il Regolamento EHDS rappresenta lo sviluppo più significativo in quest'area che i decisori sanitari devono monitorare. La sua ambizione centrale è stabilire un quadro coerente per l'accesso e la portabilità dei dati sanitari che si applichi sia ai fornitori pubblici che privati, colmando il divario creato dalla dipendenza del GDPR dalla base giuridica.
L'EHDS introduce diversi meccanismi direttamente rilevanti per la portabilità:
Un diritto di portabilità per uso primario rafforzato ai sensi dell'articolo 3, paragrafo 8, che va oltre l'articolo 20 del GDPR rimuovendo la restrizione della base giuridica e coprendo i dati trattati in base a qualsiasi base giuridica ai sensi dell'articolo 9 del GDPR, non solo il consenso o il contratto. Tuttavia, questo diritto si applica solo ai detentori di dati del settore sanitario e della sicurezza sociale. Ciò significa che i pazienti possono richiedere la portabilità dei propri dati sanitari anche dai fornitori pubblici di questo settore che in precedenza erano esclusi dall'ambito di applicazione dell'articolo 20 del GDPR.
L'infrastruttura MyHealth@EU, che consente l'accesso transfrontaliero ai dati sanitari dei pazienti negli Stati membri partecipanti, con punti di contatto nazionali che coordinano l'interoperabilità.
Formati di dati standardizzati, con HL7 FHIR che emerge come base di interoperabilità per le cartelle cliniche elettroniche ai sensi dei requisiti EHDS.
Organismi di accesso ai dati sanitari (HDAB), che governeranno l'uso secondario dei dati sanitari da parte di ricercatori, industria e organismi pubblici, soggetti a un sistema di permessi piuttosto che al consenso individuale.
Come conferma il briefing legale di Skadden sull'EHDS, tutti i fornitori di assistenza sanitaria stabiliti nell'UE, compresi ospedali, cliniche e studi privati, sono soggetti agli stessi obblighi di conformità EHDS per la condivisione dei dati, l'interoperabilità e l'accesso dei pazienti. La non conformità comporta sanzioni equivalenti a quelle del GDPR.
La letteratura accademica segnala importanti ambiguità nel testo dell'EHDS. Un'analisi sottoposta a revisione paritaria in Computer Law & Security Review rileva una tensione tra il considerando 12, che richiede che la portabilità si applichi a qualsiasi titolare del trattamento dei dati privato o pubblico, e l'articolo 3, paragrafo 8 stesso, che limita gli obblighi ai detentori di dati "del settore sanitario e della sicurezza sociale". L'ambito preciso di chi si qualifica come detentore di dati sanitari nei casi limite (app per il benessere, fornitori di salute sul lavoro, piattaforme di telemedicina) rimane soggetto a interpretazione.
Tempistiche di trasferimento delle cartelle cliniche: un confronto per tipo di fornitore e mercato
I tempi di risposta per le richieste di portabilità e trasferimento delle cartelle cliniche variano significativamente a seconda del tipo di fornitore, della legge applicabile e della giurisdizione.
Contesto | Quadro applicabile | Tempistica |
|---|---|---|
Fornitore privato (base consenso/contratto) | Articolo 20 GDPR | Un mese; prorogabile di due mesi |
Fornitore pubblico (base compito pubblico) | Normativa sanitaria nazionale | Varia per Stato membro |
Germania (privato e pubblico) | Legge sui diritti dei pazienti | Senza indebito ritardo |
Francia | Legislazione nazionale sulla sanità digitale | Varia per tipo di cartella clinica |
Post-EHDS (tutti i fornitori) | Disposizioni EHDS per uso primario | Da specificare negli atti di esecuzione |
Si prevede che l'EHDS introduca scadenze più armonizzate tra gli Stati membri, ma le tempistiche specifiche per le richieste di portabilità rivolte ai pazienti nell'ambito del quadro di uso primario EHDS saranno determinate attraverso atti di esecuzione e recepimento da parte degli Stati membri. I decisori dovrebbero monitorare attentamente i processi di recepimento nazionale dell'EHDS, poiché questi stabiliranno i parametri operativi per i programmi di conformità.
Requisiti di formato: dati strutturati, interoperabilità e cosa devono supportare i sistemi
Il GDPR richiede che i dati portabili siano forniti in un formato leggibile da dispositivo automatico ma non impone uno standard tecnico specifico. Questo ha prodotto una variazione significativa nella pratica, con alcuni fornitori che forniscono esportazioni JSON o XML e altri che offrono file CSV privi di note strutturate o contesto terminologico.
L'EHDS affronta questo aspetto direttamente. Come confermato dall'analisi di A&O Shearman sui requisiti delle cartelle cliniche elettroniche EHDS, il regolamento richiede ai detentori di dati sanitari di mantenere dati strutturati e interoperabili in formati compatibili con il quadro tecnico EHDS, con HL7 FHIR come standard emergente per lo scambio di dati clinici.
Per le cartelle cliniche elettroniche che operano in ambienti pubblici e privati, ciò comporta diversi requisiti pratici:
La capacità di esportare dati clinici strutturati in formati conformi a HL7 FHIR, preservando i codici SNOMED CT, le classificazioni ICD e la terminologia dei farmaci
Portali di accesso rivolti ai pazienti che consentano alle persone di visualizzare, scaricare e trasmettere le proprie cartelle cliniche senza richiedere intermediazione amministrativa
Registrazione di audit di tutti gli eventi di accesso ed esportazione dei dati, per dimostrare la conformità sia agli obblighi di responsabilità del GDPR che ai controlli di accesso EHDS
Interoperabilità con l'infrastruttura nazionale delle cartelle cliniche elettroniche (come la TI tedesca, Mon Espace Santé francese o Kanta finlandese) ove applicabile
I sistemi legacy nelle istituzioni pubbliche rappresentano una sfida particolare. Molti sistemi sanitari nazionali operano su piattaforme di cartelle cliniche elettroniche che non sono state progettate pensando all'esportazione di dati strutturati. Il costo e la complessità dell'aggiornamento o della sostituzione di questi sistemi sono considerevoli. La ricerca sull'infrastruttura sicura conforme all'EHDS evidenzia che soddisfare i requisiti dell'articolo 50 per ambienti di elaborazione sicuri e standard di interoperabilità richiede investimenti tecnici significativi, in particolare nelle istituzioni che hanno storicamente operato sistemi isolati e non interoperabili.
Condizioni di consenso e base giuridica: perché cambiano tutto
La base giuridica su cui un fornitore si fonda per il trattamento dei dati dei pazienti è la variabile più determinante nel definire quali obblighi di portabilità si applicano. Non si tratta di un dettaglio tecnico, ma del fondamento dell'intera analisi di conformità.
Per i fornitori di assistenza sanitaria pubblica, le basi rilevanti sono tipicamente l'articolo 6, paragrafo 1, lettera c) (obbligo di legge) e l'articolo 6, paragrafo 1, lettera e) (compito pubblico), combinati con l'articolo 9, paragrafo 2, lettera h) (finalità di assistenza sanitaria o sociale) per i dati di categorie particolari. Queste basi escludono il fornitore dall'articolo 20 del GDPR ma non eliminano tutti gli obblighi relativi alla portabilità. La normativa sanitaria nazionale disciplina ancora l'accesso e il trasferimento delle cartelle cliniche.
Per i fornitori di assistenza sanitaria privata, la situazione è più complessa. Molti trattano i dati in base a una combinazione di basi: consenso per usi di dati opzionali (marketing, partecipazione alla ricerca), contratto per il rapporto di cura principale e, in alcuni casi, obbligo di legge per la segnalazione obbligatoria. Il diritto alla portabilità ai sensi dell'articolo 20 del GDPR si applica solo ai dati trattati in base al consenso o al contratto. Ciò significa che un fornitore privato deve essere in grado di identificare, a livello di cartella clinica, quali dati sono stati trattati su quale base.
I fornitori a modello misto, come le cliniche private incaricate di fornire servizi all'interno di un sistema sanitario pubblico, o gli ospedali pubblici con reparti per pazienti privati, affrontano l'analisi più complessa. Il parere di Arnold & Porter sull'EHDS rileva che la definizione EHDS di "detentore di dati sanitari" si applica a qualsiasi persona giuridica con il diritto o l'obbligo di trattare dati sanitari personali, indipendentemente dal fatto che siano nominalmente pubblici o privati. Le persone fisiche e le microimprese (meno di 10 dipendenti e fatturato annuo o totale di bilancio non superiore a 2 milioni di euro) sono escluse per impostazione predefinita dagli obblighi di detentore di dati sanitari, sebbene gli Stati membri possano estendere loro gli obblighi.
Un'analisi indicizzata su PubMed del quadro di uso secondario EHDS rileva che il design del regolamento riflette una scelta politica deliberata di allontanarsi dal consenso come meccanismo primario per la governance dei dati sanitari, sostituendolo con un sistema basato su permessi amministrato dagli organismi di accesso ai dati sanitari per l'uso secondario. Per l'uso primario, il diritto di portabilità rafforzato ai sensi dell'articolo 3, paragrafo 8 aggira la dipendenza dalla base giuridica, ma solo una volta che le disposizioni EHDS pertinenti entreranno in vigore nel marzo 2029.
Portabilità transfrontaliera: cosa succede quando i pazienti si spostano tra Stati membri
La portabilità transfrontaliera delle cartelle cliniche è l'area in cui la frammentazione è più evidente e dove si prevede che l'EHDS avrà il maggiore impatto pratico. Attualmente, un paziente che si sposta dalla Francia ai Paesi Bassi, o un lavoratore transfrontaliero che riceve cure in uno Stato membro diverso, non dispone di un meccanismo affidabile per garantire che le proprie cartelle cliniche sanitarie vengano trasferite con sé. I sistemi nazionali di cartelle cliniche elettroniche utilizzano modelli di dati diversi, sistemi di codifica differenti e protocolli di accesso non uniformi.
L'EHDS affronta questo problema attraverso l'infrastruttura MyHealth@EU, che richiede agli Stati membri di partecipare allo scambio transfrontaliero di dati sanitari attraverso punti di contatto nazionali. L'infrastruttura si basa sul quadro esistente epSOS/eHealth Digital Service Infrastructure (eHDSI) ma ne espande significativamente l'ambito e il mandato legale.
La ricerca sull'attuazione degli organismi di accesso ai dati sanitari EHDS identifica diverse sfide persistenti per l'uso secondario transfrontaliero dei dati sanitari: maturità incoerente dei sistemi sanitari digitali negli Stati membri, standard di qualità dei dati variabili e assenza di quadri di governance armonizzati per gli organismi di accesso ai dati sanitari. Queste sfide si applicano con uguale o maggiore forza alla portabilità transfrontaliera per uso primario, dove l'infrastruttura tecnica e legale per il trasferimento senza soluzione di continuità delle cartelle cliniche rimane sottosviluppata nella maggior parte degli Stati membri.
Per i fornitori che operano nelle regioni di confine, come il confine tedesco-francese, il corridoio Benelux o il mercato del lavoro transfrontaliero nordico, o che servono popolazioni di pazienti internazionalmente mobili, l'approccio pratico attuale prevede cartelle cliniche detenute dal paziente (cartacee o digitali) come soluzione ponte fino a quando l'infrastruttura EHDS non sarà operativa.
Implicazioni pratiche per l'infrastruttura IT in ambienti pubblico-privati misti
Per i decisori che gestiscono l'IT in contesti di assistenza sia pubblici che privati, l'analisi giuridica sopra descritta si traduce in una serie di requisiti operativi concreti.
Supportare più basi giuridiche all'interno di un'unica piattaforma è la sfida più immediata. Una cartella clinica elettronica utilizzata in un ambiente a modello misto deve essere in grado di registrare e gestire diverse basi di trattamento per diverse categorie di dati e popolazioni di pazienti. Deve generare esportazioni di portabilità che riflettano correttamente quali dati si qualificano ai sensi dell'articolo 20 del GDPR rispetto a quali dati saranno coperti dall'articolo 3, paragrafo 8 dell'EHDS una volta in vigore.
Gli obblighi di audit e registrazione si applicano a entrambi i quadri. I requisiti di responsabilità del GDPR (articolo 5, paragrafo 2) richiedono ai titolari del trattamento di dimostrare la conformità, il che in pratica significa registrare tutti gli eventi di accesso, esportazione e trasferimento dei dati. L'EHDS aggiunge ulteriori requisiti di registrazione per le interazioni con gli organismi di accesso ai dati sanitari e gli scambi transfrontalieri.
Le decisioni sull'architettura di interoperabilità prese ora determineranno la preparazione alla conformità nel 2027-2029. Il Data Act dell'UE (Regolamento (UE) 2023/2854), divenuto applicabile il 12 settembre 2025, aggiunge ulteriori obblighi di condivisione dei dati per i dispositivi medici connessi e gli strumenti di salute digitale, creando un ulteriore livello di conformità per i fornitori privati che utilizzano apparecchiature cliniche IoT o dispositivi di monitoraggio della salute indossabili. Per una panoramica più ampia del panorama normativo, consultare la nostra guida alle normative UE sull'IA sanitaria.
I portali di accesso rivolti ai pazienti sono sempre più un requisito di conformità. Sia il GDPR (attraverso il diritto di accesso ai sensi dell'articolo 15) sia l'EHDS (attraverso il diritto di accesso per uso primario) richiedono che i pazienti possano accedere ai propri dati in modo tempestivo e accessibile. I fornitori che si affidano a processi di richiesta manuali, come moduli cartacei, team amministrativi o consegna postale, affrontano sia il rischio di non conformità sia inefficienze operative man mano che i volumi di richieste aumentano.
Principali lacune di conformità da valutare prima dell'attuazione dell'EHDS
Le aree più comuni in cui i fornitori pubblici e privati attualmente non soddisfano lo standard di conformità emergente sono identificabili dall'analisi giuridica e tecnica sopra descritta. Per i team IT e di conformità che costruiscono roadmap prima delle scadenze graduali EHDS, le seguenti rappresentano le lacune con la massima priorità:
Formati di cartelle cliniche non leggibili da dispositivo automatico: molti fornitori, in particolare nei sistemi pubblici, generano ancora documentazione clinica in formati come PDF scansionati o formati legacy proprietari che non possono essere elaborati automaticamente. Soddisfare i requisiti di formato EHDS richiederà la sostituzione del sistema o soluzioni middleware in grado di trasformare gli output legacy in esportazioni conformi a HL7 FHIR.
Assenza di portali di accesso ai dati rivolti ai pazienti: i fornitori che non hanno ancora implementato portali self-service per i pazienti dovranno costruire o procurarsi questa capacità. Il quadro di uso primario EHDS presuppone l'accesso digitale come impostazione predefinita.
Documentazione del consenso poco chiara in contesti privati: i fornitori privati che si basano sul consenso come base giuridica per alcuni trattamenti devono essere in grado di dimostrare che il consenso è stato dato liberamente, in modo specifico, informato e inequivocabile. Devono essere in grado di collegare i registri del consenso a categorie di dati specifiche ai fini della portabilità.
Cartelle cliniche elettroniche legacy che non possono esportare dati strutturati: questa è la lacuna infrastrutturale più significativa nei sistemi sanitari pubblici. La ricerca IMPaCT-Data sull'infrastruttura conforme all'EHDS dimostra che soddisfare i requisiti di sicurezza e interoperabilità dell'articolo 50 dell'EHDS richiede investimenti tecnici sostanziali. Molte implementazioni esistenti di cartelle cliniche elettroniche del settore pubblico mancano dell'architettura per supportarlo senza una significativa bonifica.
Classificazione poco chiara del trattamento a modello misto: i fornitori che operano attraverso modalità pubbliche e private senza una mappatura chiara di quali attività si basano su quale base giuridica sono esposti sia al rischio di non conformità GDPR che EHDS. Una mappatura documentata delle attività di trattamento, aggiornata per riflettere gli obblighi di detentore di dati sanitari EHDS, è un prerequisito fondamentale.
Vale la pena riconoscere un limite genuino nello stato attuale delle evidenze. L'analisi accademica delle disposizioni sulla portabilità EHDS identifica ambiguità irrisolte nel testo del regolamento che saranno chiarite solo attraverso atti di esecuzione, recepimento da parte degli Stati membri e, infine, orientamenti delle autorità di vigilanza o giurisprudenza. I decisori dovrebbero trattare le attuali valutazioni di conformità come ipotesi di lavoro soggette a revisione man mano che il quadro normativo matura, piuttosto che come conclusioni definitive.
L'evoluzione del concetto di dati sanitari attraverso il GDPR, il Data Governance Act e l'EHDS riflette una traiettoria politica deliberata verso un maggiore accesso ai dati e portabilità intersettoriale. Il ritmo di attuazione e il grado di armonizzazione raggiunto nella pratica dipenderanno fortemente dalle scelte di recepimento nazionale che sono ancora in corso negli Stati membri dell'UE.
Domande frequenti
Il GDPR dà ai pazienti il diritto di trasferire i propri dati sanitari da qualsiasi fornitore?
No. Il diritto alla portabilità dei dati previsto dal Regolamento generale sulla protezione dei dati ai sensi dell'articolo 20 si applica solo quando il trattamento si basa sul consenso o sul contratto. La maggior parte dei fornitori di assistenza sanitaria pubblica tratta i dati dei pazienti in base a un mandato statutario, il che significa che l'articolo 20 non si applica a loro. I pazienti che cercano di trasferire le cartelle cliniche da un ospedale pubblico devono invece fare affidamento sulla normativa sanitaria nazionale, che varia considerevolmente tra gli Stati membri dell'UE.
Cos'è lo Spazio europeo dei dati sanitari e quando si applica?
Lo Spazio europeo dei dati sanitari (EHDS) è un regolamento dell'UE (Regolamento (UE) 2025/327) entrato in vigore il 26 marzo 2025. Introduce un quadro settoriale specifico per l'accesso e la portabilità dei dati sanitari che si affianca al Regolamento generale sulla protezione dei dati, senza sostituirlo. Le disposizioni generali si applicano da marzo 2027, con le norme sull'uso primario e secondario che seguono nel marzo 2029. Si applica a tutti i fornitori di assistenza sanitaria stabiliti nell'UE, compresi sia gli ospedali pubblici che le cliniche private.
In che modo l'EHDS modifica i diritti di portabilità rispetto al GDPR?
L'EHDS introduce un diritto di portabilità rafforzato ai sensi dell'articolo 3, paragrafo 8 che rimuove la restrizione della base giuridica presente nell'articolo 20 del GDPR. Ciò significa che i pazienti saranno in grado di richiedere la portabilità dei propri dati sanitari anche dai fornitori pubblici che in precedenza erano esclusi dall'ambito di applicazione del GDPR. Tuttavia, questo diritto si applica solo ai detentori di dati del settore sanitario e della sicurezza sociale e non entra in vigore fino a marzo 2029.
Quale formato devono utilizzare i fornitori quando rispondono a una richiesta di portabilità?
Ai sensi del GDPR, i dati portabili devono essere forniti in un formato strutturato, di uso comune e leggibile da dispositivo automatico come JSON, XML o CSV. Un PDF scansionato o un documento stampato non soddisfa questo requisito. L'EHDS va oltre, richiedendo ai detentori di dati sanitari di mantenere dati strutturati e interoperabili in formati compatibili con il quadro tecnico EHDS, con HL7 FHIR che emerge come standard per lo scambio di dati clinici.
Quanto tempo ha un fornitore privato per rispondere a una richiesta di portabilità dei dati?
Ai sensi dell'articolo 20 del GDPR, un fornitore privato che tratta dati sulla base del consenso o del contratto deve rispondere entro un mese dal ricevimento della richiesta. Quando le richieste sono complesse o numerose, questo termine può essere prorogato di altri due mesi, a condizione che il fornitore notifichi il paziente entro il primo mese. I fornitori pubblici sono disciplinati dalla normativa sanitaria nazionale e le tempistiche variano per Stato membro.
Quali obblighi di portabilità si applicano ai fornitori a modello misto?
I fornitori a modello misto, come le cliniche private incaricate di fornire servizi all'interno di un sistema sanitario pubblico, affrontano l'analisi di conformità più complessa. L'EHDS definisce un "detentore di dati sanitari" come qualsiasi persona giuridica con il diritto o l'obbligo di trattare dati sanitari personali, indipendentemente dal fatto che siano nominalmente pubblici o privati. Ciò significa che i fornitori a modello misto necessitano di una mappatura chiara di quali attività si basano su quale base giuridica per valutare accuratamente i propri obblighi sia ai sensi del GDPR che dell'EHDS.
Come funziona la portabilità transfrontaliera per i pazienti che si spostano tra Stati membri dell'UE?
Attualmente, non esiste un meccanismo affidabile per i pazienti che si spostano tra Stati membri per garantire che le proprie cartelle cliniche sanitarie vengano trasferite con loro. I sistemi nazionali di cartelle cliniche elettroniche utilizzano modelli di dati, sistemi di codifica e protocolli di accesso diversi. L'EHDS affronta questo problema attraverso l'infrastruttura MyHealth@EU, che richiede agli Stati membri di partecipare allo scambio transfrontaliero di dati sanitari attraverso punti di contatto nazionali. Fino a quando tale infrastruttura non sarà operativa, le cartelle cliniche detenute dal paziente rimangono la soluzione ponte pratica per i pazienti internazionalmente mobili.
Quali sono le lacune di conformità più comuni che i fornitori dovrebbero affrontare prima delle scadenze EHDS?
Le lacune con la massima priorità identificate nell'articolo sono: documentazione clinica archiviata in formati non leggibili da dispositivo automatico come PDF scansionati; assenza di portali di accesso ai dati self-service rivolti ai pazienti; documentazione del consenso poco chiara in contesti privati; cartelle cliniche elettroniche legacy che non possono esportare dati strutturati in formati conformi a HL7 FHIR; e assenza di una mappatura documentata delle attività di trattamento che distingua il trattamento per compito pubblico dal trattamento basato sul consenso o sul contratto.
L'EHDS si applica ai piccoli studi privati e alle microimprese?
Le persone fisiche e le microimprese, definite come organizzazioni con meno di 10 dipendenti e un fatturato annuo o totale di bilancio non superiore a 2 milioni di euro, sono escluse per impostazione predefinita dagli obblighi di detentore di dati sanitari ai sensi dell'EHDS. Tuttavia, gli Stati membri hanno la possibilità di estendere loro questi obblighi attraverso la legislazione nazionale di recepimento, quindi i fornitori in questa categoria dovrebbero monitorare attentamente l'attuazione nella propria giurisdizione.
Cosa significa l'EHDS per le cartelle cliniche elettroniche nelle istituzioni pubbliche?
Le istituzioni pubbliche affrontano una sfida infrastrutturale significativa. Molti sistemi sanitari nazionali operano su piattaforme di cartelle cliniche elettroniche che non sono state progettate pensando all'esportazione di dati strutturati. Soddisfare i requisiti dell'articolo 50 dell'EHDS per ambienti di elaborazione sicuri e standard di interoperabilità richiede investimenti tecnici sostanziali. La ricerca citata nell'articolo conferma che molte implementazioni esistenti del settore pubblico mancano dell'architettura per supportare la conformità EHDS senza un lavoro di bonifica significativo.