«rete eHealth»: la rete volontaria che collega le autorità nazionali responsabili dell’assistenza sanitaria online designate dagli Stati membri e che persegue gli obiettivi di cui all’articolo 14 della direttiva 2011/24/UE;

«punti di contatto nazionali per l’eHealth»: i portali tecnici e organizzativi per la prestazione di servizi informativi transfrontalieri per l’assistenza sanitaria online sotto la responsabilità degli Stati membri;

«servizi informativi transfrontalieri per l’assistenza sanitaria online»: i servizi esistenti che sono trattati tramite i punti di contatto nazionali per l’eHealth e una piattaforma di servizi digitali chiave sviluppata dalla Commissione ai fini dell’assistenza sanitaria transfrontaliera;

«infrastruttura di servizi digitali di eHealth per i servizi informativi transfrontalieri per l’assistenza sanitaria online»: l’infrastruttura che consente la prestazione di servizi informativi transfrontalieri per l’assistenza sanitaria online tramite i punti di contatto nazionali per l’eHealth e la piattaforma europea di servizi digitali chiave. Tale infrastruttura comprende sia i servizi generici, quali definiti all’articolo 2, paragrafo 2, lettera e), del regolamento (UE) n. 283/2014, sviluppati dagli Stati membri, sia una piattaforma di servizi digitali chiave, quale definita all’articolo 2, paragrafo 2, lettera d), dello stesso regolamento, sviluppata dalla Commissione;

«altri servizi europei di eHealth condivisi»: i servizi digitali che possono essere sviluppati nel quadro della rete eHealth e condivisi tra gli Stati membri;

«modello di governance»: una serie di norme relative alla designazione degli organismi che partecipano ai processi decisionali relativi all’infrastruttura di servizi digitali di eHealth per i servizi informativi transfrontalieri per l’assistenza sanitaria online o ad altri servizi europei di eHealth condivisi sviluppati nel quadro della rete eHealth, nonché la descrizione di tali processi;

«utente dell’applicazione»: una persona in possesso di un dispositivo intelligente che ha scaricato e utilizza un’applicazione mobile di tracciamento dei contatti e di allerta approvata;

«tracciamento dei contatti»: le misure attuate al fine di tracciare le persone che sono state esposte a una fonte di una grave minaccia per la salute a carattere transfrontaliero ai sensi dell’articolo 3, lettera c), della decisione n. 1082/2013/UE del Parlamento europeo e del Consiglio ( 1 );

«applicazione mobile nazionale di tracciamento dei contatti e di allerta»: un’applicazione software approvata a livello nazionale che funziona su dispositivi intelligenti, in particolare smartphone, di norma progettata per un’interazione ampia e mirata con risorse web, e che elabora dati di prossimità e altre informazioni contestuali raccolte da molti sensori presenti nei dispositivi intelligenti allo scopo di tracciare i contatti con le persone infette da SARS-CoV-2 e di allertare le persone che potrebbero essere state esposte a SARS-CoV-2; queste applicazioni mobili sono in grado di rilevare la presenza di altri dispositivi che utilizzano il Bluetooth e di scambiare informazioni con server back-end avvalendosi di Internet;

«gateway federativo»: un gateway di rete gestito dalla Commissione mediante uno strumento informatico sicuro che riceve, conserva e mette a disposizione un insieme minimo di dati personali tra i server back-end degli Stati membri allo scopo di garantire l’interoperabilità delle applicazioni mobili nazionali di tracciamento dei contatti e di allerta;

«chiave»: un identificativo temporaneo unico relativo a un utente dell’applicazione che segnala di essere stato contagiato da SARS-CoV-2 o che potrebbe essere stato esposto a SARS-CoV-2;

«verifica dell’infezione»: il metodo applicato per confermare un’infezione da SARS-CoV-2, che indica in particolare se l’infezione è stata segnalata dall’utente dell’applicazione o se risulta dalla conferma di un’autorità sanitaria nazionale o mediante test di laboratorio;

«paesi di interesse»: lo Stato membro o gli Stati membri in cui un utente dell’applicazione ha soggiornato durante i 14 giorni precedenti la data di caricamento delle chiavi e in cui ha scaricato l’applicazione mobile nazionale di tracciamento dei contatti e di allerta approvata e/o ha viaggiato;

«paese di origine delle chiavi»: lo Stato membro in cui è situato il server back-end che ha caricato le chiavi nel gateway federativo;

«dati di log»: una registrazione automatica di un’attività in relazione allo scambio di dati trattati tramite il gateway federativo e all’accesso agli stessi, che indica in particolare il tipo di attività di trattamento, la data e l’ora dell’attività di trattamento e l’identificativo della persona che effettua il trattamento dei dati.

la decisione di partecipare alla rete eHealth;

l’autorità nazionale responsabile dell’assistenza sanitaria online che diventerà membro della rete eHealth, nonché il nome del rappresentante e quello del suo supplente.

la loro decisione di recedere dalla rete eHealth;

qualsiasi modifica delle informazioni di cui al paragrafo 2, lettera b).

facilitare una maggiore interoperabilità dei sistemi nazionali delle tecnologie di informazione e di comunicazione e la trasferibilità transfrontaliera dei dati sanitari elettronici nell’assistenza sanitaria transfrontaliera;

fornire orientamenti agli Stati membri, in collaborazione con altre autorità di vigilanza competenti, per quanto riguarda la condivisione dei dati sanitari tra gli Stati membri e la possibilità per i cittadini di avere accesso ai propri dati sanitari e di condividerli;

fornire orientamenti agli Stati membri e facilitare lo scambio di buone pratiche in merito allo sviluppo di servizi sanitari digitali differenti, come la telemedicina, la sanità mobile o le nuove tecnologie nel settore dei megadati e dell’intelligenza artificiale, tenendo conto delle azioni in corso a livello dell’UE;

fornire orientamenti agli Stati membri per quanto riguarda il sostegno alla promozione della salute, alla prevenzione delle malattie e al miglioramento della prestazione dell’assistenza sanitaria grazie un uso migliore dei dati sanitari e l’accrescimento delle competenze digitali dei pazienti e degli operatori sanitari;

fornire orientamenti agli Stati membri e facilitare lo scambio volontario di migliori pratiche sugli investimenti in infrastrutture digitali;

fornire agli Stati membri, in collaborazione con altri organismi e soggetti interessati, orientamenti sui necessari casi d’uso per l’interoperabilità clinica e gli strumenti per realizzarla;

fornire ai membri orientamenti sulla sicurezza dell’infrastruttura di servizi digitali di eHealth per i servizi informativi transfrontalieri per l’assistenza sanitaria online o di altri servizi europei di eHealth condivisi sviluppati nel quadro della rete eHealth, tenendo conto della legislazione e dei documenti elaborati a livello dell’Unione, in particolare nel settore della sicurezza, nonché delle raccomandazioni nel settore della cibersicurezza, operando in stretta collaborazione con il gruppo di cooperazione in materia di sicurezza delle reti e dei sistemi informativi e con l’Agenzia dell’Unione europea per la cibersicurezza nonché con le autorità nazionali, se del caso;

fornire orientamenti agli Stati membri sullo scambio transfrontaliero di dati personali tramite il gateway federativo tra applicazioni mobili nazionali di tracciamento dei contatti e di allerta.

concordando le priorità dell’infrastruttura di servizi digitali di eHealth e controllandone il funzionamento;

elaborando orientamenti e requisiti per il funzionamento, compresa la selezione delle norme utilizzate per l’infrastruttura di servizi digitali di eHealth per i servizi informativi transfrontalieri per l’assistenza sanitaria online;

decidendo se i membri della rete eHealth debbano essere autorizzati ad avviare e proseguire lo scambio di dati sanitari elettronici attraverso l’infrastruttura di servizi digitali di eHealth per i servizi informativi transfrontalieri per l’assistenza sanitaria online, tramite i rispettivi punti di contatto nazionali per l’eHealth, sulla base della loro rispondenza ai requisiti stabiliti dalla rete eHealth valutata in base ai test eseguiti e agli audit condotti dalla Commissione;

approvando il piano di lavoro annuale per l’infrastruttura di servizi digitali di eHealth per i servizi informativi transfrontalieri per l’assistenza sanitaria online.

partecipa alle riunioni della rete eHealth e le copresiede con il rappresentante dei membri;

collabora con la rete eHealth e le fornisce sostegno in relazione alle sue attività;

assicura i servizi di segreteria per la rete eHealth;

sviluppa, applica e mantiene misure tecniche e organizzative adeguate relative ai servizi chiave dell’infrastruttura di servizi digitali di eHealth per i servizi informativi transfrontalieri per l’assistenza sanitaria online;

sostiene la rete eHealth nella verifica della conformità tecnica e organizzativa dei punti di contatto nazionali per l’eHealth ai requisiti per lo scambio transfrontaliero di dati sanitari eseguendo i test e conducendo gli audit necessari. Esperti degli Stati membri possono assistere i controllori della Commissione;

sviluppa, applica e mantiene misure tecniche e organizzative adeguate relative alla sicurezza della trasmissione e dell’hosting dei dati personali nel gateway federativo allo scopo di garantire l’interoperabilità delle applicazioni mobili nazionali di tracciamento dei contatti e di allerta;

sostiene la rete eHealth nella verifica della conformità tecnica e organizzativa delle autorità nazionali ai requisiti per lo scambio transfrontaliero di dati personali nel gateway federativo eseguendo i test e conducendo gli audit necessari. Esperti degli Stati membri possono assistere gli auditor della Commissione.

le chiavi trasmesse dalle applicazioni mobili nazionali di tracciamento dei contatti e di allerta fino a 14 giorni prima della data di caricamento delle chiavi;

i dati di log associati alle chiavi in linea con il protocollo di specifiche tecniche utilizzato nel paese di origine delle chiavi;

la verifica dell’infezione;

i paesi di interesse e il paese di origine delle chiavi.

Istituisce un’infrastruttura di comunicazione sicura e affidabile che interconnette le reti dei membri della rete eHealth che partecipano all’infrastruttura di servizi digitali di eHealth per i servizi informativi transfrontalieri per l’assistenza sanitaria online («infrastruttura di comunicazione sicura centrale») e ne assicura il funzionamento. Per adempiere ai suoi obblighi, la Commissione può ricorrere a terzi. La Commissione si assicura che a detti terzi si applichino gli stessi obblighi in materia di protezione dei dati di cui alla presente decisione.

Configura una parte dell’infrastruttura di comunicazione sicura centrale in modo che i punti di contatto nazionali per l’eHealth possano scambiarsi informazioni in maniera sicura, affidabile ed efficiente.

Tratta i dati personali su istruzione documentata dei titolari del trattamento.

Adotta tutte le misure di sicurezza fisiche, logiche e organizzative per mantenere efficiente l’infrastruttura di comunicazione sicura centrale. A tal fine la Commissione:

Adotta tutte le misure di sicurezza necessarie per evitare di compromettere il regolare funzionamento operativo del dominio dell’altro. A tal fine la Commissione istituisce le procedure specifiche relative alla connessione all’infrastruttura di comunicazione sicura centrale. Tali informazioni comprendono:

Adotta misure di sicurezza fisiche e/o logiche per le strutture che ospitano le attrezzature per l’infrastruttura di comunicazione sicura centrale e i controlli relativi all’accesso alla sicurezza e ai dati logici. A tal fine la Commissione:

Adotta misure per proteggere il suo dominio, compresa l’interruzione delle connessioni, in caso di scostamento sostanziale rispetto ai principi e ai concetti in materia di qualità o di sicurezza.

Prevede un piano di gestione dei rischi in relazione al suo settore di competenza.

Monitora — in tempo reale — l’efficienza di tutte le componenti dei suoi servizi dell’infrastruttura di comunicazione sicura centrale, produce statistiche periodiche e conserva le informazioni.

Fornisce (24 ore su 24 e sette giorni alla settimana) supporto in inglese per tutti i servizi dell’infrastruttura di comunicazione sicura centrale tramite telefono, posta elettronica o portale web e accetta le chiamate dai chiamanti autorizzati: coordinatori dell’infrastruttura di comunicazione sicura centrale e rispettivi helpdesk, responsabili di progetto e persone designate dalla Commissione.

Assiste i titolari del trattamento fornendo informazioni relative all’infrastruttura di comunicazione sicura centrale dell’infrastruttura di servizi digitali di eHealth per i servizi informativi transfrontalieri per l’assistenza sanitaria online, ai fini dell’adempimento degli obblighi di cui agli articoli 35 e 36 del regolamento (UE) 2016/679.

Si assicura che i dati trasportati all’interno dell’infrastruttura di comunicazione sicura centrale siano criptati.

Adotta tutte le misure necessarie per evitare che gli operatori dell’infrastruttura di comunicazione sicura centrale abbiano accesso non autorizzato ai dati trasportati.

Adotta misure volte a facilitare l’interoperabilità e la comunicazione tra le amministrazioni nazionali competenti designate dell’infrastruttura di comunicazione sicura centrale.

di eventuali rischi potenziali o effettivi per la disponibilità, la riservatezza e/o l’integrità dei dati personali oggetto di trattamento nel gateway federativo;

di eventuali incidenti alla sicurezza connessi al trattamento nel gateway federativo;

di eventuali violazioni dei dati personali, delle probabili conseguenze delle violazioni dei dati personali e della valutazione del rischio per i diritti e le libertà delle persone fisiche, nonché delle misure adottate per porre rimedio alla violazione dei dati personali e per attenuare il rischio per i diritti e le libertà delle persone fisiche;

di eventuali violazioni delle garanzie tecniche e/o organizzative del trattamento nel gateway federativo.

Istituisce un’infrastruttura di comunicazione sicura e affidabile che interconnette le applicazioni mobili nazionali di tracciamento dei contatti e di allerta degli Stati membri che partecipano al gateway federativo e ne assicura il funzionamento. Per adempiere i propri obblighi in qualità di responsabile del trattamento dei dati del gateway federativo, la Commissione può ricorrere a terzi come sub-responsabili del trattamento; la Commissione informa i contitolari del trattamento di eventuali modifiche previste riguardanti l’aggiunta o la sostituzione di altri sub-responsabili del trattamento, offrendo in tal modo ai titolari del trattamento l’opportunità di opporsi congiuntamente a tali modifiche, come stabilito all’allegato II, sezione 1, sottosezione 1, punto 4. La Commissione si assicura che a detti sub-responsabili si applichino gli stessi obblighi in materia di protezione dei dati di cui alla presente decisione.

Tratta i dati personali soltanto su istruzione documentata dei titolari del trattamento, salvo che lo richieda il diritto dell’Unione o dello Stato membro; in tal caso, la Commissione informa i titolari del trattamento in merito a tale obbligo giuridico prima del trattamento, a meno che il diritto vieti la fornitura di tale informazione per importanti motivi di interesse pubblico.

Effettua il trattamento, che comprende i seguenti elementi:

Il responsabile del trattamento adotta le misure necessarie a preservare l’integrità dei dati trattati.

Adotta tutte le misure di sicurezza fisiche, logiche e organizzative all’avanguardia per mantenere efficiente il gateway federativo. A tal fine la Commissione:

Adotta tutte le misure di sicurezza necessarie per evitare di compromettere il regolare funzionamento operativo dei server back-end nazionali. A tal fine la Commissione istituisce le procedure specifiche relative alla connessione dai server back-end al gateway federativo. Queste comprendono:

Adotta misure di sicurezza fisiche e/o logiche all’avanguardia per le strutture che ospitano le attrezzature del gateway federativo e per i controlli relativi all’accesso alla sicurezza e ai dati logici. A tal fine la Commissione:

Adotta misure per proteggere il suo dominio, compresa l’interruzione delle connessioni, in caso di scostamento sostanziale rispetto ai principi e ai concetti in materia di qualità o di sicurezza.

Prevede un piano di gestione dei rischi in relazione al suo settore di competenza.

Monitora – in tempo reale – l’efficienza di tutte le componenti dei suoi servizi del gateway federativo, produce statistiche periodiche e conserva le informazioni.

Fornisce (24 ore su 24 e sette giorni alla settimana) supporto in inglese per tutti i servizi del gateway federativo tramite telefono, posta elettronica o portale web e accetta le chiamate dai chiamanti autorizzati: coordinatori del gateway federativo e rispettivi helpdesk, responsabili di progetto e persone designate dalla Commissione.

Assiste i titolari del trattamento con misure tecniche e organizzative adeguate, nella misura in cui ciò sia possibile, al fine di soddisfare l’obbligo del titolare del trattamento di dare seguito alle richieste per l’esercizio dei diritti dell’interessato di cui al capo III del regolamento generale sulla protezione dei dati.

Assiste i titolari del trattamento fornendo informazioni relative al gateway federativo, ai fini dell’adempimento degli obblighi di cui agli articoli 32, 35 e 36 del regolamento generale sulla protezione dei dati.

Garantisce che i dati trattati all’interno del gateway federativo siano incomprensibili a chiunque non sia autorizzato ad accedere a quest’ultimo.

Adotta tutte le misure necessarie per evitare che gli operatori del gateway federativo abbiano accesso non autorizzato ai dati trasmessi.

Adotta misure volte a facilitare l’interoperabilità e la comunicazione tra i titolari del trattamento del gateway federativo designati.

Tiene un registro delle attività di trattamento svolte per conto dei titolari del trattamento in conformità all’articolo 31, paragrafo 2, del regolamento (UE) 2018/1725.