6.6.2009   

IT

Gazzetta ufficiale dell'Unione europea

C 128/20

1.

Il 2 luglio 2008 la Commissione ha adottato una proposta di direttiva del Parlamento europeo e del Consiglio concernente l'applicazione dei diritti dei pazienti relativi all'assistenza sanitaria transfrontaliera (in seguito denominata «la proposta») (1). La proposta è stata trasmessa dalla Commissione al GEPD per consultazione, a norma dell'articolo 28, paragrafo 2, del regolamento (CE) n. 45/2001.

2.

La proposta mira a istituire un quadro comunitario per la prestazione di assistenza sanitaria transfrontaliera all'interno dell'UE laddove l'assistenza di cui i pazienti hanno bisogno venga prestata in uno Stato membro diverso dal loro paese di origine. Il quadro si articola in tre settori principali:

3.

Il quadro ha un duplice obiettivo: garantire sufficiente chiarezza in merito ai diritti al rimborso spettanti per l'assistenza sanitaria prestata in altri Stati membri e garantire che i necessari requisiti di qualità, sicurezza ed efficienza dell'assistenza sanitaria siano soddisfatti anche quando si tratta di assistenza transfrontaliera.

4.

L'attuazione di un sistema di assistenza sanitaria transfrontaliera richiede lo scambio dei pertinenti dati personali relativi alla salute (in seguito denominati «dati sanitari») dei pazienti tra le organizzazioni e gli operatori sanitari autorizzati dei diversi Stati membri. Tali dati sono considerati sensibili e sono soggetti alle norme di protezione dei dati più rigorose di cui all'articolo 8 della direttiva 95/45/CE riguardante categorie particolari di dati.

5.

Il GEPD accoglie con soddisfazione il fatto di essere stato consultato sulla questione e il riferimento a tale consultazione figurante nel preambolo della proposta, in conformità dell'articolo 28 del regolamento (CE) n. 45/2001.

6.

È la prima volta che il GEPD viene formalmente consultato su una proposta di direttiva nel settore dell'assistenza sanitaria. Pertanto nel presente parere alcune delle osservazioni sono di più ampia portata e riguardano questioni generali della protezione dei dati personali nel settore dell'assistenza sanitaria, che potrebbero applicarsi anche ad altri strumenti giuridici pertinenti (vincolanti o no).

7.

Il GEPD desidera anzitutto esprimere sostegno alle iniziative volte a migliorare le condizioni dell'assistenza sanitaria transfrontaliera. Questa proposta andrebbe in effetti collocata nel contesto del programma comunitario globale di miglioramento della salute dei cittadini nella società dell'informazione. Altre iniziative in tal senso sono la direttiva e la comunicazione, previste dalla Commissione, sulla donazione e il trapianto di organi (2), la raccomandazione sull’interoperabilità dei sistemi di cartelle cliniche elettroniche (3) e la comunicazione prevista sulla telemedicina (4). Il GEPD è tuttavia preoccupato dal fatto che tutte queste iniziative correlate non siano strettamente collegate e/o interconnesse nel settore della tutela della vita privata e della sicurezza dei dati, ostacolando in tal modo l'adozione di un approccio uniforme alla protezione dei dati nell'assistenza sanitaria, soprattutto per quanto riguarda l'uso delle nuove tecnologie dell'informazione e della comunicazione. Ad esempio, benché l'attuale proposta di direttiva menzioni esplicitamente la telemedicina al considerando 10, non viene fatto alcun riferimento all'aspetto di protezione dei dati della pertinente comunicazione della Commissione. Inoltre, nonostante le cartelle cliniche elettroniche siano un possibile modo di comunicazione transfrontaliera di dati sanitari, non si fa alcun riferimento alle questioni inerenti alla vita privata trattate nella pertinente raccomandazione della Commissione (5). Questo dà l'impressione che una prospettiva globale di tutela della vita privata nell'assistenza sanitaria non sia ancora chiaramente definita e, in alcuni casi, manchi completamente.

8.

Lo si può riscontrare chiaramente anche nell'attuale proposta, nella quale il GEPD constata con rammarico che le implicazioni in relazione alla protezione dei dati non sono trattate in termini concreti. Ci sono ovviamente riferimenti alla protezione dei dati, ma essi sono soprattutto di carattere generale e non rispecchiano adeguatamente le esigenze e i requisiti dell'assistenza sanitaria transfrontaliera per quanto concerne la tutela della vita privata.

9.

Il GEPD desidera sottolineare che un approccio uniforme e solido alla protezione dei dati nell'insieme degli strumenti proposti in materia di assistenza sanitaria non solo garantirà il diritto fondamentale dei cittadini alla protezione dei loro dati ma contribuirà anche all'ulteriore sviluppo dell'assistenza sanitaria transfrontaliera nell'UE.

10.

Lo scopo di maggior rilievo della Comunità europea è stato quello di istituire un mercato interno, uno spazio senza frontiere interne nel quale è assicurata la libera circolazione delle merci, delle persone, dei servizi e dei capitali. Consentire ai cittadini di circolare e risiedere più facilmente in Stati membri diversi da quello di origine ha evidentemente posto questioni in relazione all'assistenza sanitaria. Per tale motivo, negli anni novanta, la Corte di giustizia ha trattato, nel contesto del mercato interno, questioni relative al possibile rimborso di spese mediche sostenute in un altro Stato membro. La Corte di giustizia ha riconosciuto che la libera prestazione di servizi, prevista all'articolo 49 del trattato CE, include la libertà per le persone di recarsi in un altro Stato membro per fruire di cure mediche (6). Di conseguenza i pazienti che desideravano ricevere un'assistenza sanitaria transfrontaliera non potevano più essere trattati in modo diverso dai cittadini del proprio paese di origine che fruivano delle stesse cure mediche senza attraversare la frontiera.

11.

Tali sentenze della Corte sono al centro dell'attuale proposta. Poiché la giurisprudenza della Corte è basata su singoli casi, l'attuale proposta intende fare maggiore chiarezza per garantire un'applicazione più generale ed efficace delle libertà inerenti alla fruizione e alla prestazione dei servizi sanitari. Tuttavia, come già indicato, la proposta fa anche parte di un programma più ambizioso che mira al miglioramento della salute dei cittadini nella società dell'informazione, che secondo l'UE offre grandi possibilità di miglioramento dell'assistenza sanitaria transfrontaliera mediante il ricorso alle tecnologie dell'informazione.

12.

Per ovvi motivi, la definizione di norme sull'assistenza sanitaria transfrontaliera è una questione delicata. Tocca un settore sensibile in cui gli Stati membri hanno istituito sistemi nazionali divergenti, ad esempio per quanto riguarda l'assicurazione e il rimborso dei costi o l'organizzazione dell'infrastruttura dell'assistenza sanitaria, incluse le applicazioni e le reti d'informazione in materia di assistenza sanitaria. Anche se nell'attuale proposta il legislatore comunitario si concentra unicamente sull'assistenza sanitaria transfrontaliera, le norme influenzeranno quantomeno il modo in cui sono organizzati i sistemi nazionali di assistenza sanitaria.

13.

Il miglioramento delle condizioni dell'assistenza sanitaria transfrontaliera andrà a vantaggio dei cittadini, comportando tuttavia nel contempo alcuni rischi per gli stessi. Occorre risolvere molti problemi pratici insiti nella cooperazione transfrontaliera tra persone di diversi paesi che parlano lingue diverse. Poiché la salute riveste la massima importanza per ogni cittadino, dovrebbe essere escluso qualsiasi rischio di cattiva comunicazione e di conseguente errore. Va da sé che l'accrescimento dell'assistenza sanitaria transfrontaliera unito al ricorso alle tecnologie dell'informazione più recenti ha forti implicazioni sulla protezione dei dati personali. Uno scambio più efficiente e quindi crescente di dati sanitari, la distanza sempre più grande tra persone e organismi interessati e la diversità delle normative nazionali di attuazione delle norme sulla protezione dei dati pongono questioni di sicurezza dei dati e di certezza del diritto.

14.

È necessario sottolineare che i dati sanitari sono considerati una categoria speciale di dati che merita un livello di protezione più elevato. Come affermato di recente dalla Corte europea dei diritti dell'uomo nel contesto dell'articolo 8 della Convenzione europea dei diritti dell'uomo: la protezione dei dati personali, in particolare dei dati medici, è di importanza fondamentale per l'esercizio da parte di una persona del diritto al rispetto della sua vita privata e familiare, garantito dall'articolo 8 della convenzione (7). Prima di passare alla spiegazione delle norme più rigorose relative al trattamento dei dati sanitari di cui alla direttiva 95/46/CE, in appresso figura un breve esame della nozione di «dati sanitari».

15.

La direttiva 95/46/CE non riporta una definizione esplicita di dati sanitari. Generalmente se ne dà un'interpretazione ampia, che spesso definisce i dati sanitari come dati personali che hanno un legame esplicito e stretto con la descrizione dello stato di salute di una persona (8). Al riguardo i dati sanitari includono normalmente i dati medici (ad es. impegnative e prescrizioni del medico, referti medici, esami di laboratorio, radiografie, ecc.) e i dati finanziari e amministrativi concernenti la salute (ad es. documenti relativi ai ricoveri ospedalieri, numero di sicurezza sociale, calendario delle consultazioni mediche, fatture delle prestazioni di servizi di assistenza sanitaria, ecc.). Va rilevato che i termini «dati medici» (9) sono a volte usati per indicare dati concernenti la salute, come pure i termini «dati relativi all'assistenza sanitaria» (10). Nel presente parere saranno sistematicamente utilizzati i termini «dati sanitari».

16.

La norma ISO 27799 fornisce un'utile definizione dei termini «dati sanitari», intesi come qualsiasi informazione attinente alla salute fisica o mentale di un soggetto, o alla prestazione di un servizio sanitario a tale soggetto e che può includere: a) informazioni sulla registrazione del soggetto ai fini della prestazione di servizi sanitari; b) informazioni sui pagamenti o l'ammissibilità all'assistenza sanitaria riguardo al soggetto; c) un numero, simbolo o elemento specifico attribuito ad un soggetto per identificarlo in modo univoco a fini sanitari; d) qualsiasi informazione sul soggetto raccolta nel corso della prestazione di servizi sanitari allo stesso; e) informazioni derivanti da prove od esami effettuati su una parte del corpo o una sua sostanza; e f) l'identificazione di una persona (operatore sanitario) come fornitore dell'assistenza sanitaria ad un soggetto.

17.

Il GEPD è decisamente favorevole all'adozione di una definizione specifica per i termini «dati sanitari» nel contesto dell'attuale proposta, che potrebbe essere altresì utilizzata in futuro nell'ambito di altri testi pertinenti nella legislazione comunitaria (ved. sezione III in appresso).

18.

L'articolo 8 della direttiva 95/46/CE stabilisce le norme sui trattamenti riguardanti categorie particolari di dati. Tali norme sono più rigorose rispetto a quelle relative al trattamento di altri dati, che figurano all'articolo 7 della direttiva 95/46/CE. L'articolo 8, paragrafo 1 stabilisce infatti esplicitamente che gli Stati membri vietano, tra l'altro, il trattamento di dati relativi alla salute. Nei successivi paragrafi del medesimo articolo sono elencate varie deroghe a tale divieto, ma queste sono più limitate rispetto ai motivi che giustificano il trattamento dei dati normali che figurano all'articolo 7. Ad esempio, il divieto non si applica qualora la persona interessata abbia dato il proprio consenso esplicito (articolo 8, paragrafo 2, lettera a)), che si contrappone al requisito della manifestazione di un consenso inequivocabile di cui all'articolo 7, lettera a) della direttiva 95/46/CE. La legislazione dello Stato membro può inoltre prevedere che in taluni casi anche il consenso della persona interessata non sia sufficiente per derogare al divieto. Il paragrafo 3 dell'articolo 8 è interamente dedicato al trattamento dei dati di carattere sanitario. Ai sensi di tale paragrafo il divieto di cui al paragrafo 1 non si applica quando il trattamento dei dati è necessario alla prevenzione o alla diagnostica medica, alla somministrazione di cure o alla gestione di centri di cura e quando il trattamento dei medesimi dati viene effettuato da un professionista in campo sanitario soggetto al segreto professionale sancito dalla legislazione nazionale, comprese le norme stabilite dagli organi nazionali competenti, o da un'altra persona egualmente soggetta a un obbligo di segreto equivalente.

19.

L'articolo 8 della direttiva 95/46/CE pone un accento particolare sulla necessità che gli Stati membri forniscano garanzie appropriate o adeguate. Ad esempio, l'articolo 8, paragrafo 4 autorizza gli Stati membri a stabilire ulteriori deroghe al divieto di trattamento dei dati di natura delicata per motivi di interesse pubblico rilevante, purché siano previste le opportune garanzie. In termini generali, ciò sottolinea la responsabilità degli Stati membri di prestare un'attenzione particolare al trattamento dei dati di natura delicata, come quelli relativi alla salute.

20.

Gli Stati membri dovrebbero essere particolarmente consapevoli delle responsabilità succitate allorché si pone la questione dello scambio transfrontaliero di dati sanitari. Come rilevato in precedenza, lo scambio transfrontaliero di dati sanitari aumenta il rischio di imprecisione e di illegittimità nel trattamento dei dati. Ovviamente ciò può comportare conseguenze estremamente negative per la persona interessata. Sia lo Stato membro di affiliazione (dove il paziente è assicurato) sia lo Stato membro di cura (dove l'assistenza sanitaria transfrontaliera è effettivamente fornita) sono coinvolti in tale processo e pertanto sono entrambi responsabili.

21.

In tale contesto, la sicurezza dei dati sanitari è una questione importante. Nella recente causa menzionata in precedenza la Corte europea dei diritti dell'uomo ha attribuito particolare rilievo alla riservatezza dei dati sanitari, affermando che il rispetto della riservatezza dei dati sanitari è un principio vitale dei sistemi giuridici di tutte le parti contraenti della convenzione. È di importanza cruciale non soltanto tutelare la vita privata di un paziente, ma anche conservare la sua fiducia nella professione medica e nei servizi sanitari in generale. (11)

22.

Le norme sulla protezione dei dati stabilite dalla direttiva 95/46/CE prevedono inoltre che lo Stato membro di affiliazione fornisca al paziente informazioni adeguate, corrette ed aggiornate riguardo al trasferimento dei suoi dati personali verso un altro Stato membro, ed inoltre garantisca il trasferimento sicuro dei dati verso detto Stato membro. Lo Stato membro di cura dovrebbe inoltre garantire il ricevimento sicuro di tali dati e fornire il livello appropriato di protezione al momento del trattamento effettivo dei dati stessi, conformemente alla propria legislazione nazionale in materia di protezione dei dati.

23.

Il GEPD desidera chiarire all'interno della proposta le responsabilità condivise tra gli Stati membri, tenendo conto anche della comunicazione elettronica dei dati, in particolare nel contesto delle nuove applicazioni TIC, come illustrato in appresso.

24.

Lo scambio transfrontaliero di dati sanitari può essere migliorato principalmente mediante il ricorso alle tecnologie dell'informazione. Sebbene lo scambio di dati in un sistema di assistenza sanitaria transfrontaliera possa ancora avvenire per via cartacea (ad esempio il paziente si trasferisce in un altro Stato membro portando con sé tutti i propri dati sanitari pertinenti, come analisi di laboratorio, impegnative mediche, ecc.) si riscontra la chiara intenzione di ricorrere piuttosto a strumenti elettronici. La comunicazione elettronica dei dati sanitari sarà supportata da sistemi informatici in materia di assistenza sanitaria istituiti (o da istituire) negli Stati membri (in ospedali, cliniche, ecc.) nonché dall'utilizzo di nuove tecnologie, quali le applicazioni relative alle cartelle cliniche elettroniche (possibilmente operanti tramite internet), nonché altri strumenti quali le tessere sanitarie dei pazienti e dei medici. Ovviamente è anche possibile ricorrere a forme combinate di scambi cartacei ed elettronici, a seconda dei sistemi di assistenza sanitaria degli Stati membri.

25.

Le applicazioni relative alla sanità elettronica (e-health) e alla telemedicina, che rientrano nell'ambito della direttiva proposta, dipenderanno esclusivamente dallo scambio di dati sanitari elettronici (ad esempio segni vitali, immagini, ecc.) abitualmente associati ad altri sistemi elettronici di informazione in materia di assistenza sanitaria già in uso negli Stati membri di cura e di affiliazione. Ciò include i sistemi operanti sulla base delle comunicazioni paziente-medico (ad esempio, il monitoraggio e la diagnosi a distanza) sia medico-medico (ad es. teleconsultazione tra operatori sanitari a fini di consulenza su casi specifici di assistenza sanitaria). Altre applicazioni specifiche di assistenza sanitaria nel quadro generale della prestazione di assistenza sanitaria transfrontaliera possono anche dipendere esclusivamente dallo scambio elettronico di dati, ad esempio nel caso delle prescrizioni elettroniche o delle impegnative elettroniche, già utilizzate a livello nazionale in alcuni Stati membri (12).

26.

Tenuto conto delle considerazioni succitate, nonché delle differenze tra i sistemi sanitari esistenti negli Stati membri e del continuo sviluppo delle applicazioni in materia di sanità elettronica, emergono due ordini di problematiche per quanto riguarda la protezione dei dati personali nell'assistenza sanitaria transfrontaliera: a) i diversi livelli di sicurezza che possono essere applicati dagli Stati membri per la protezione dei dati personali (in termini di misure tecniche e organizzative) e b) l'integrazione dei requisiti di tutela della vita privata nelle applicazioni in materia di sanità elettronica, in particolare per quanto riguarda i nuovi sviluppi. Occorre inoltre riservare un'attenzione particolare ad altri aspetti, quali l'uso secondario dei dati sanitari, in particolare nel settore della produzione di statistiche. Tali questioni sono analizzate nel resto della presente sezione.

27.

Sebbene le direttive 95/46/CE e 2002/58/CE siano applicate in modo uniforme in Europa, l'interpretazione e l'attuazione di taluni elementi possono essere diverse a seconda dei paesi, specialmente in settori dove le disposizioni giuridiche sono generali e lasciate alla discrezione degli Stati membri. In questo contesto, il principale settore da analizzare è quello della sicurezza del trattamento, ossia delle misure (tecniche e organizzative) adottate dagli Stati membri per garantire la sicurezza dei dati sanitari.

28.

Sebbene la protezione rigorosa dei dati sanitari rientri tra le responsabilità di tutti gli Stati membri, non esiste al momento una definizione comunemente accettata di livello di sicurezza «appropriato» per l'assistenza sanitaria all'interno dell'UE che possa essere applicato nel caso dell'assistenza sanitaria transfrontaliera. Pertanto, ad esempio, un ospedale in uno Stato membro può essere obbligato dalla normativa sulla protezione dei dati applicata a livello nazionale ad adottare misure di sicurezza specifiche (ad esempio, la definizione di una politica e di codici di condotta in materia di sicurezza, norme specifiche per l'esternalizzazione ed il ricorso a contraenti esterni, requisiti in materia di revisione dei conti, ecc.) mentre in altri Stati membri questo non avviene. Tali discrepanze possono avere delle conseguenze sullo scambio di dati transfrontaliero, specialmente nel caso degli scambi in forma elettronica, poiché non si può garantire che i dati siano protetti (sul piano tecnico e organizzativo) allo stesso livello nei diversi Stati membri.

29.

Vi è quindi la necessità di un'ulteriore armonizzazione in questo settore, in termini di definizione di un insieme comune di requisiti di sicurezza in materia di assistenza sanitaria che i fornitori di servizi di assistenza sanitaria degli Stati membri dovrebbero comunemente adottare. Questa necessità è indubbiamente in linea con l'esigenza generale, evidenziata nella proposta, di definire principi comuni nell'ambito dei sistemi sanitari dell'UE.

30.

A tal fine si dovrebbe intervenire in modo generico, senza imporre agli Stati membri soluzioni tecniche specifiche ma ponendo comunque le basi per il riconoscimento e l'accettazione reciproci, per es. in campi quali la definizione di una politica in materia di sicurezza, l'identificazione e l'autenticazione dei pazienti e del personale sanitario, ecc. Le attuali norme internazionali ed europee (per es. ISO e CEN) in materia di assistenza sanitaria e di sicurezza, così come concetti tecnici generalmente accettati e aventi fondamento giuridico (per es. le firme elettroniche (13) potrebbero servire da tabella di marcia in questo tentativo.

31.

Il GEPD è favorevole all'idea di armonizzare la sicurezza in materia di assistenza sanitaria a livello dell'UE e ritiene che la Commissione debba prendere iniziative al riguardo, già nel quadro della proposta in esame (si veda la sezione III infra).

32.

La tutela della vita privata e la sicurezza dovrebbero costituire parte integrante della progettazione e della realizzazione dei sistemi di assistenza sanitaria, in particolare delle applicazioni di sanità elettronica (e-health) menzionate nella proposta in esame (principio della «tutela della vita privata fin dalla progettazione», «privacy by design»). Questo indiscutibile requisito è già stato sostenuto in altri documenti orientativi pertinenti (14), sia di tipo generale, sia specificamente dedicati all'assistenza sanitaria (15).

33.

Nel quadro dell'interoperabilità della sanità elettronica (e-health) discussa nella proposta, sarebbe opportuno sottolineare ancora una volta la nozione di «tutela della vita privata fin dalla progettazione» come base per ogni sviluppo prospettato. Questo concetto si applica a vari livelli: organizzativo, semantico, tecnico.

34.

Il GEPD ritiene che il campo delle prescrizioni elettroniche possa costituire il punto di partenza per l'integrazione dei requisiti in materia di tutela della vita privata e di sicurezza nella primissima fase di sviluppo (si veda la sezione III infra).

35.

Un altro aspetto di cui si potrebbe tenere conto nel quadro dello scambio transfrontaliero di dati sanitari è l'uso secondario dei dati sanitari, in particolare l'uso dei dati a fini statistici, già previsto nella proposta attuale.

36.

Come indicato in precedenza al punto 18, l'articolo 8, paragrafo 4 della direttiva 95/46 prevede la possibilità dell'uso secondario dei dati sanitari. Tuttavia, questo trattamento successivo dovrebbe essere effettuato solo per motivi «di interesse pubblico rilevante» e a condizione che siano previste «le opportune garanzie» sulla base della legislazione nazionale o di una decisione dell'autorità di controllo (16). Inoltre, il trattamento di dati a fini statistici, come sostenuto anche nel parere del GEPD sulla proposta di regolamento relativo alle statistiche comunitarie sulla sanità pubblica e sulla salute e sicurezza sul luogo di lavoro (17), presenta un ulteriore rischio dovuto al diverso significato che i concetti di «segreto» e «protezione dei dati» possono assumere nell'ambito dell'applicazione, da un lato, della legislazione in materia di protezione dei dati e, dall'altro, della legislazione in materia di statistiche.

37.

Il GEPD desidera sottolineare gli elementi suesposti nel contesto della proposta in esame. Dovrebbero essere inseriti riferimenti più espliciti ai requisiti in materia di protezione dei dati per quanto riguarda l'uso successivo dei dati sanitari (si veda la sezione III infra).

38.

La proposta fa riferimento alla protezione dei dati e alla tutela della vita privata in varie parti del documento; più precisamente:

39.

Il GEPD constata con soddisfazione che nel redigere la proposta si è tenuto conto della protezione dei dati e si è tentato di evidenziare la necessità, in generale, di tutelare la vita privata nel contesto dell'assistenza sanitaria transfrontaliera. Tuttavia, le attuali disposizioni della proposta in materia di protezione dei dati o sono troppo generali o fanno riferimento alle competenze degli Stati membri in modo piuttosto selettivo e disorganico:

Inoltre, come già affermato nell'introduzione del presente parere, non vi sono legami con gli aspetti relativi alla tutela della vita privata affrontati in altri strumenti giuridici comunitari (vincolanti o no) nel settore dell'assistenza sanitaria, specialmente con riguardo all'uso delle nuove applicazioni TIC (quali la telemedicina o le cartelle cliniche elettroniche), né è fatto riferimento a tali aspetti.

40.

Pertanto, sebbene si faccia in generale riferimento alla tutela della vita privata come requisito dell'assistenza sanitaria transfrontaliera, continua a mancare un quadro d'insieme, sia in termini di obblighi degli Stati membri, sia in termini di specificità introdotte a motivo del carattere transfrontaliero della prestazione di servizi di assistenza sanitaria (rispetto alla prestazione di servizi di assistenza sanitaria in ambito nazionale). Più precisamente:

41.

Inoltre, l'articolo 18, relativo alla raccolta dei dati a fini statistici e di monitoraggio, suscita preoccupazioni specifiche. Il paragrafo 1 fa riferimento a «dati statistici e altri dati complementari»; dopo aver fatto inoltre riferimento a «fini di monitoraggio», al plurale, elenca i settori interessati da questi fini di monitoraggio, vale a dire la prestazione dell'assistenza sanitaria transfrontaliera, le cure erogate, i fornitori di questa assistenza e i pazienti, i costi e i risultati. In questo contesto, già poco chiaro, la disposizione contiene un riferimento generale alle norme in materia di protezione dei dati, senza tuttavia stabilire requisiti specifici in materia di uso successivo dei dati di carattere sanitario come disposto all'articolo 8, paragrafo 4 della direttiva 95/46/CE. Inoltre, il paragrafo 2 contiene l'obbligo incondizionato di trasferire alla Commissione almeno con cadenza annuale questa ingente mole di dati. Non essendovi riferimento esplicito a una valutazione della necessità di questo trasferimento, a quanto pare è il legislatore comunitario stesso ad aver già stabilito la necessità di questi trasferimenti alla Commissione.

42.

Per affrontare in maniera adeguata gli elementi sopra menzionati, il GEPD formula di seguito una serie di raccomandazioni consistenti in cinque fasi basilari di modifiche da apportare.

43.

L'articolo 4 definisce i termini di base utilizzati nella proposta. Il GEPD raccomanda vivamente di inserire in questo articolo una definizione di dati sanitari. Dovrebbe essere adottata un'interpretazione ampia di dati sanitari, sulla falsariga di quella descritta nella sezione II del presente parere (punti 14 e 15).

44.

Inoltre il GEPD raccomanda vivamente l'introduzione nella proposta di un articolo specifico sulla protezione dei dati, che potrebbe definire in modo chiaro e comprensibile la dimensione globale della tutela della vita privata. Detto articolo dovrebbe a) descrivere le competenze degli Stati membri di affiliazione e di cura, compresa — tra l'altro — la necessità della sicurezza del trattamento dei dati e b) individuare i principali settori di ulteriore sviluppo, per esempio l'armonizzazione in materia di sicurezza dei dati e l'integrazione della tutela della vita privata nella sanità elettronica. Per tali questioni possono essere previste disposizioni specifiche (nell'ambito dell'articolo proposto), quali presentate nelle fasi 3 e 4 infra.

45.

A seguito della modifica di cui alla fase 2, il GEPD raccomanda che la Commissione adotti un meccanismo per la definizione di un livello di sicurezza comunemente accettabile per i dati sanitari a livello nazionale, tenuto conto delle norme tecniche esistenti in questo settore. Di questo si dovrebbe tener conto nella proposta. Ai fini dell'attuazione si potrebbe fare ricorso alla procedura di comitato, già descritta all'articolo 19 che si applica ad altre parti della proposta. Inoltre, ulteriori strumenti potrebbero essere utilizzati per la definizione delle pertinenti linee guida, coinvolgendo tutti i soggetti interessati, come il Gruppo dell'articolo 29 e il GEPD.

46.

L'articolo 14 sul riconoscimento delle prescrizioni rilasciate in un altro Stato membro prevede l'elaborazione di un modello comunitario di prescrizione, in grado di supportare l'interoperabilità delle prescrizioni elettroniche. Questa misura è adottata tramite la procedura di comitato, quale definita all'articolo 19, paragrafo 2 della proposta.

47.

Il GEPD raccomanda che il modello proposto di prescrizione elettronica integri i concetti di tutela della vita privata e di sicurezza dei dati, fin dalla definizione semantica di base di tale modello. Questo dovrebbe essere esplicitamente menzionato all'articolo 14, paragrafo 2, lettera a). Anche in questo caso il coinvolgimento di tutti i soggetti interessati riveste la massima importanza. A questo riguardo il GEPD desidera essere informato delle ulteriori azioni che saranno intraprese su tale argomento tramite la proposta procedura di comitato ed esservi coinvolto.

48.

Per evitare malintesi, il GEPD incoraggia a precisare la nozione di «altri dati complementari» di cui all'articolo 18, paragrafo 1. L'articolo dovrebbe inoltre essere modificato in modo da riferirsi più esplicitamente ai requisiti per l'uso successivo dei dati sanitari quali stabiliti all'articolo 8, paragrafo 4 della direttiva 95/46/CE. L'obbligo di trasmettere tutti i dati alla Commissione, previsto nel paragrafo 2, dovrebbe altresì essere oggetto di una valutazione della necessità di tali trasferimenti per fini legittimi debitamente specificati in anticipo.

49.

Il GEPD desidera esprimere sostegno alle iniziative volte a migliorare le condizioni dell'assistenza sanitaria transfrontaliera. Esprime tuttavia perplessità sul fatto che le iniziative comunitarie in materia di assistenza sanitaria non siano sempre ben coordinate in relazione all'utilizzo delle TIC, alla tutela della vita privata e alla sicurezza dei dati, ostacolando in tal modo l'adozione di un approccio universale in materia di protezione dei dati nell'ambito dell'assistenza sanitaria.

50.

Il GEPD si rallegra che nell'attuale proposta sia fatto riferimento alla tutela della vita privata. Tuttavia, sono necessarie varie modifiche, come spiegato nella sezione III del presente parere, per stabilire requisiti chiari, per gli Stati membri di cura e di affiliazione, e per affrontare correttamente la dimensione «protezione dei dati» dell'assistenza sanitaria transfrontaliera.