52022PC0197

RELAZIONE

1.CONTESTO DELLA PROPOSTA

•Motivi e obiettivi della proposta

Nel quadro della strategia europea per i dati 1 è stata proposta l'istituzione di spazi comuni europei di dati specifici per dominio. Lo spazio europeo dei dati sanitari (European Health Data Space, EHDS) è il primo di tali spazi europei ad essere stato proposto. Affronterà sfide specifiche all'ambito sanitario relative all'accesso ai dati sanitari elettronici e alla loro condivisione, costituisce una delle priorità della Commissione europea nel settore della sanità 2 e sarà parte integrante della costruzione di un'Unione europea della salute. Lo spazio europeo dei dati sanitari creerà uno spazio comune in cui le persone fisiche possano facilmente controllare i propri dati sanitari elettronici. Consentirà inoltre a ricercatori, innovatori e responsabili delle politiche di utilizzare tali dati sanitari elettronici in un modo affidabile e sicuro che tuteli la privacy.

Attualmente le persone fisiche incontrano difficoltà nell'esercizio dei loro diritti sui dati sanitari elettronici che li riguardano, ad esempio nell'accesso a tali dati e nella loro trasmissione a livello nazionale e transfrontaliero. Tale situazione si verifica nonostante le disposizioni del regolamento (UE) 2016/679 (di seguito "RGPD") 3 , il quale tutela i diritti delle persone fisiche sui loro dati, compresi i dati sanitari. Come evidenziato dallo studio di valutazione delle norme degli Stati membri dell'UE sui dati sanitari alla luce dell'RGPD 4 , la disomogeneità di attuazione e interpretazione dell'RGPD da parte degli Stati membri crea notevoli incertezze giuridiche, che provocano ostacoli all'uso secondario dei dati sanitari elettronici. Pertanto produce determinate situazioni in cui le persone fisiche non possono beneficiare di cure innovative e i responsabili delle politiche non possono reagire in modo efficace a una crisi sanitaria, a causa degli ostacoli che impediscono l'accesso a ricercatori, innovatori, regolatori e responsabili delle politiche ai necessari dati sanitari elettronici. Inoltre, a causa delle differenti norme e dell'interoperabilità limitata, i fabbricanti di prodotti di sanità digitale e i prestatori di servizi di sanità digitale che operano in uno Stato membro incontrano ostacoli e costi aggiuntivi nell'accedere a un altro Stato membro.

Inoltre la pandemia di COVID-19 ha messo in luce ancora di più l'importanza dei dati sanitari elettronici per lo sviluppo di una strategia in risposta alle emergenze sanitarie. Ha altresì evidenziato l'assoluta necessità di garantire un accesso tempestivo ai dati sanitari elettronici personali non solo per la preparazione e la risposta alle minacce sanitarie e per finalità di cura, ma anche per la ricerca, l'innovazione, la sicurezza dei pazienti, finalità normative, la definizione delle politiche, finalità statistiche o la medicina personalizzata. Il Consiglio europeo ha riconosciuto l'urgenza di progredire verso la costituzione di uno spazio europeo dei dati sanitari e di darvi priorità.

L'obiettivo generale è di garantire che le persone fisiche nell'UE abbiano, nella pratica, un maggiore controllo sui loro dati sanitari elettronici. La proposta mira inoltre a garantire un quadro giuridico costituito da meccanismi di governance dell'UE e degli Stati membri affidabili e da un ambiente di trattamento sicuro. Ciò consentirebbe a ricercatori, innovatori, responsabili delle politiche e regolatori, a livello di UE e di Stati membri, di accedere a dati sanitari elettronici pertinenti per favorire il miglioramento della diagnosi, delle cure e del benessere delle persone fisiche, e porterebbe a politiche migliori e ben informate. La proposta ha altresì l'obiettivo di contribuire alla creazione di un autentico mercato unico per i prodotti e i servizi di sanità digitale tramite l'armonizzazione delle norme, incrementando così l'efficienza dei sistemi di assistenza sanitaria.

L'articolo 14 della direttiva 2011/24/UE concernente l'applicazione dei diritti dei pazienti relativi all'assistenza sanitaria transfrontaliera (di seguito "direttiva sull'assistenza sanitaria transfrontaliera") 5 costituisce il primo riferimento all'assistenza sanitaria online nella legislazione dell'UE. Tuttavia, come indicato nella valutazione d'impatto che accompagna il presente regolamento sullo spazio europeo dei dati sanitari, le disposizioni pertinenti della direttiva sull'assistenza sanitaria transfrontaliera sono di natura volontaria. Ciò spiega in parte il motivo per cui tale aspetto della direttiva ha mostrato un'efficacia limitata nel favorire il controllo delle persone fisiche sui loro dati sanitari elettronici personali a livello nazionale e transfrontaliero e un'efficacia estremamente ridotta in merito agli usi secondari dei dati sanitari elettronici. La pandemia di COVID-19 ha evidenziato l'urgente necessità di promuovere l'interoperabilità e l'armonizzazione, nonché l'elevato potenziale in questa direzione, basandosi sulla competenza tecnica esistente a livello nazionale. Allo stesso tempo i prodotti e i servizi di sanità digitale, compresa la telemedicina, sono diventati parte integrante della prestazione di assistenza sanitaria.

La valutazione degli aspetti digitali della direttiva sull'assistenza sanitaria transfrontaliera ha riguardato la pandemia di COVID-19 e il regolamento (UE) 2021/953 sul certificato COVID digitale dell'UE 6 . Tale regolamento limitato nel tempo affronta le restrizioni alla libera circolazione imposte a causa della COVID-19. La valutazione mostra che le disposizioni giuridiche che sostengono l'armonizzazione e un approccio comune dell'UE all'uso di dati sanitari elettronici per finalità specifiche (in contrapposizione alle azioni esclusivamente volontarie), così come gli sforzi dell'UE per garantire un'interoperabilità giuridica, semantica e tecnica 7 , possono apportare benefici. In particolare possono sostenere in modo significativo la libera circolazione delle persone fisiche e possono promuovere l'UE come un modello globale per la definizione di norme nel settore della sanità digitale.

Lo spazio europeo dei dati sanitari contribuirà a migliorare l'accesso a diversi tipi di dati sanitari elettronici, tra cui cartelle cliniche elettroniche, dati genomici, registri di pazienti ecc., e il loro scambio. Questo sosterrà non solo la prestazione di assistenza sanitaria (servizi e personale coinvolti nella prestazione di assistenza sanitaria o uso primario dei dati sanitari elettronici), ma anche la ricerca sanitaria, l'innovazione, la definizione delle politiche, finalità normative e finalità di medicina personalizzata (uso secondario dei dati sanitari elettronici). Stabilirà anche meccanismi per l'altruismo dei dati nel settore sanitario. Lo spazio europeo dei dati sanitari contribuirà alla realizzazione della visione della Commissione per la trasformazione digitale dell'UE entro il 2030, al raggiungimento dell'obiettivo della bussola digitale 8 di fornire al 100 % delle persone fisiche l'accesso alle loro cartelle cliniche e all'attuazione della dichiarazione sui principi digitali 9 .

•Coerenza con le disposizioni vigenti nel settore normativo interessato

Lo scambio transfrontaliero di dati sanitari elettronici è trattato in una certa misura nella direttiva sull'assistenza sanitaria transfrontaliera, in particolare nell'articolo 14 relativo alla rete di assistenza sanitaria online. Istituita nel 2011, la rete è un organismo volontario a livello europeo composto da esperti di sanità digitale di tutti gli Stati membri, nonché dell'Islanda e della Norvegia. Gli esperti stanno lavorando per promuovere l'interoperabilità dei dati sanitari elettronici a livello di UE e sviluppare orientamenti, quali norme semantiche e tecniche, serie di dati e descrizioni di infrastrutture. La valutazione degli aspetti digitali della direttiva sull'assistenza sanitaria transfrontaliera ha constatato la natura volontaria di tale lavoro e degli orientamenti. Ciò spiega il motivo per cui hanno avuto un impatto piuttosto limitato nel favorire l'accesso delle persone fisiche ai loro dati sanitari elettronici e il controllo da parte delle stesse su tali dati. Lo spazio europeo dei dati sanitari mira ad affrontare tali questioni.

Lo spazio europeo dei dati sanitari si basa su normative quali l'RGPD, il regolamento (UE) 2017/745 relativo ai dispositivi medici (regolamento sui dispositivi medici) 10 e il regolamento (UE) 2017/746 relativo ai dispositivi medico-diagnostici in vitro (regolamento sui dispositivi in vitro) 11 , la proposta di legge sull'intelligenza artificiale 12 , la proposta di atto sulla governance dei dati 13 e la proposta di normativa sui dati 14 , la direttiva (UE) 2016/1148 relativa alla sicurezza delle reti e dei sistemi informativi (direttiva NIS) 15 e la direttiva sull'assistenza sanitaria transfrontaliera.

Considerando che un volume sostanziale di dati elettronici a cui si deve accedere nello spazio europeo dei dati sanitari è costituito da dati sanitari personali riguardanti persone fisiche nell'UE, la proposta è concepita in piena conformità non solo con l'RGPD ma anche con il regolamento (UE) 2018/1725 (regolamento sulla protezione dei dati nell'ambito delle istituzioni UE) 16 . L'RGPD stabilisce i diritti di accesso, di portabilità e di accessibilità/trasmissione a un nuovo titolare del trattamento. Definisce inoltre i dati relativi alla salute come "categoria particolare di dati", riconoscendo loro una protezione speciale attraverso l'istituzione di garanzie supplementari per il loro trattamento. Lo spazio europeo dei dati sanitari sostiene l'attuazione dei diritti sanciti dall'RGPD applicati ai dati sanitari elettronici, a prescindere dallo Stato membro, dal tipo di prestatore di assistenza sanitaria, dalle fonti dei dati sanitari elettronici o dall'affiliazione della persona fisica. Lo spazio europeo dei dati sanitari si basa sulle possibilità offerte dall'RGPD per la messa a punto di una normativa dell'UE sull'utilizzo dei dati sanitari elettronici personali per finalità di diagnosi, assistenza o terapia sanitaria o gestione dei sistemi e servizi sanitari. Consente inoltre l'utilizzo dei dati sanitari elettronici a fini di ricerca scientifica o storica o a fini statistici ufficiali e per motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero o la garanzia di parametri elevati di qualità e sicurezza dell'assistenza sanitaria e dei medicinali e dei dispositivi medici. Lo spazio europeo dei dati sanitari prevede ulteriori disposizioni per promuovere l'interoperabilità e rafforzare il diritto delle persone fisiche alla portabilità dei dati nel settore sanitario.

Nel contesto dell'Unione europea della salute, lo spazio europeo dei dati sanitari sosterrà il lavoro dell'Autorità europea per la preparazione e la risposta alle emergenze sanitarie (HERA) 17 , la missione dell'UE dedicata al cancro 18 nel piano europeo di lotta contro il cancro 19 e la strategia farmaceutica per l'Europa 20 . Lo spazio europeo dei dati sanitari creerà un contesto giuridico e tecnico che sosterrà lo sviluppo di medicinali e vaccini innovativi, nonché di dispositivi medici e di diagnosi in vitro. Ciò aiuterà a prevenire e rilevare le emergenze sanitarie e a rispondervi rapidamente. Inoltre lo spazio europeo dei dati sanitari contribuirà a migliorare la comprensione, la prevenzione, l'individuazione precoce, la diagnosi, la cura e il monitoraggio del cancro, attraverso l'accesso sicuro a livello transfrontaliero nell'UE a dati sanitari di persone fisiche, compresi i dati relativi al cancro, e la condivisione sicura di tali dati tra prestatori di assistenza sanitaria. Fornendo un accesso sicuro a un'ampia gamma di dati sanitari elettronici, lo spazio europeo dei dati sanitari creerà pertanto nuove opportunità per la prevenzione delle malattie e la cura delle persone fisiche.

La proposta riguardante lo spazio europeo dei dati sanitari si basa anche sulle prescrizioni che sono state imposte ai software attraverso il regolamento relativo ai dispositivi medici e la proposta di legge sull'intelligenza artificiale. I software per dispositivi medici già adesso devono essere certificati ai sensi del regolamento relativo ai dispositivi medici, e i dispositivi medici basati sull'intelligenza artificiale e altri sistemi di intelligenza artificiale dovranno rispettare anche le prescrizioni della legge sull'intelligenza artificiale, una volta entrata in vigore. Tuttavia è stato individuato un vuoto normativo per quanto riguarda i sistemi informativi utilizzati nel settore sanitario, chiamati anche sistemi di cartelle cliniche elettroniche. È stata dunque posta l'attenzione su tali sistemi di cartelle cliniche elettroniche che sono destinati a essere utilizzati per la conservazione e la condivisione dei dati sanitari elettronici delle persone fisiche. Pertanto lo spazio europeo dei dati sanitari stabilisce prescrizioni essenziali specificamente per i sistemi di cartelle cliniche elettroniche al fine di promuovere l'interoperabilità e la portabilità dei dati di tali sistemi, così da consentire alle persone fisiche di controllare i loro dati sanitari elettronici in modo più efficace. Inoltre i fabbricanti di dispositivi medici e di sistemi di IA ad alto rischio, quando dichiarano l'interoperabilità con i sistemi di cartelle cliniche elettroniche, dovranno rispettare le prescrizioni essenziali in materia di interoperabilità a norma del regolamento sullo spazio europeo dei dati sanitari.

Nel fornire un quadro per l'uso secondario dei dati sanitari elettronici, lo spazio europeo dei dati sanitari si basa sulla proposta di atto sulla governance dei dati e sulla proposta di normativa sui dati. In quanto quadro orizzontale, l'atto sulla governance dei dati stabilisce solo condizioni generiche per l'uso secondario dei dati del settore pubblico senza creare un vero e proprio diritto all'uso secondario di tali dati. La proposta di normativa sui dati rafforza la portabilità di determinati dati generati dagli utenti, che possono includere dati sanitari, ma non fornisce norme per tutti i dati sanitari. Pertanto lo spazio europeo dei dati sanitari integra tali proposte di atti legislativi e fornisce norme più specifiche per il settore sanitario. Tali norme specifiche riguardano lo scambio di dati sanitari elettronici e possono incidere sul fornitore di servizi di condivisione di dati, sui formati che garantiscono la portabilità dei dati sanitari, sulle norme di cooperazione per l'altruismo dei dati nel settore sanitario e sulla complementarità nell'accesso a dati privati per l'uso secondario.

La direttiva NIS ha stabilito le prime norme a livello di UE sulla cibersicurezza. Tale direttiva è in fase di revisione (la "proposta NIS2 21 ), e attualmente sono in corso negoziati con i co-legislatori. La direttiva mira a innalzare il livello di ambizione comune dell'UE del quadro normativo sulla cibersicurezza, attraverso un ambito di applicazione più ampio, norme più chiare e strumenti di vigilanza più forti. La proposta della Commissione affronta tali questioni attraverso tre pilastri: 1) capacità degli Stati membri; 2) gestione dei rischi; 3) cooperazione e scambio di informazioni. Gli operatori del sistema sanitario rimangono nell'ambito di applicazione. Lo spazio europeo dei dati sanitari rafforzerà la sicurezza e la fiducia nel quadro tecnico concepito per facilitare lo scambio di dati sanitari elettronici sia per l'uso primario che secondario.

Nel 2022 è inoltre prevista l'adozione da parte della Commissione di una legge sulla ciberresilienza, con lo scopo di definire requisiti orizzontali di cibersicurezza per i prodotti digitali e i servizi ausiliari. L'insieme previsto di requisiti essenziali di cibersicurezza, che sarà definito nella legge sulla ciberresilienza, si applicherà a tutti i settori e a tutte le categorie di prodotti digitali e dovrà essere rispettato dai relativi produttori e rivenditori prima che i prodotti siano immessi sul mercato o, a seconda dei casi, quando questi sono messi in servizio e anche durante l'intero ciclo di vita del prodotto. Tali requisiti saranno di natura generale e tecnologicamente neutri. Le prescrizioni in materia di sicurezza stabilite nello spazio europeo dei dati sanitari, in particolare per quanto riguarda i sistemi di cartelle cliniche elettroniche, forniscono prescrizioni più specifiche in determinati settori, ad esempio in merito al controllo dell'accesso.

Lo spazio europeo dei dati sanitari si basa sulla nuova proposta riguardante l'identità digitale europea 22 che presenta miglioramenti nel settore dell'identificazione elettronica, tra cui il portafoglio di identità digitale. Ciò consentirebbe meccanismi più efficaci per l'identificazione online e offline delle persone fisiche e dei professionisti sanitari.

•Coerenza con le altre normative dell'Unione

La presente proposta è in linea con gli obiettivi generali dell'UE, che includono la costruzione di un'Unione europea della salute più forte, l'attuazione del pilastro europeo dei diritti sociali, il miglioramento del funzionamento del mercato interno, la promozione di sinergie con l'agenda del mercato interno digitale dell'UE e la realizzazione di un ambizioso programma di ricerca e innovazione. Inoltre fornirà un'importante serie di elementi che contribuiranno alla formazione dell'Unione europea della salute, incoraggiando l'innovazione e la ricerca e gestendo meglio le future crisi sanitarie.

La proposta è coerente con le priorità della Commissione di far sì che l'Europa sia pronta per l'era digitale e di creare un'economia adeguata alle esigenze future al servizio delle persone. Ciò consente inoltre di esplorare il potenziale delle regioni transfrontaliere che fungono da banchi di prova per soluzioni innovative all'integrazione europea, come suggerito nella relazione della Commissione "Regioni frontaliere dell'UE: laboratori viventi dell'integrazione europea" 23 . La proposta sostiene il piano di ripresa della Commissione, sulla scia dell'esperienza acquisita durante la pandemia di COVID-19, e apporta benefici derivanti da dati sanitari elettronici più facilmente accessibili, ove necessario.

2.BASE GIURIDICA, SUSSIDIARIETÀ E PROPORZIONALITÀ

•Base giuridica

La proposta si fonda sugli articoli 16 e 114 del trattato sul funzionamento dell'Unione europea (TFUE). La doppia base giuridica è possibile se è dimostrato che la misura persegue contemporaneamente vari obiettivi che sono indissolubilmente collegati senza che ce ne sia uno secondario o solo indirettamente connesso all'altro. È il caso della presente proposta, come spiegato di seguito. Le procedure stabilite per ciascuna base giuridica sono compatibili tra loro.

Innanzitutto l'articolo 114 TFUE è volto a migliorare il funzionamento del mercato interno attraverso misure per il ravvicinamento delle norme nazionali. Alcuni Stati membri, al contrario di altri, hanno adottato misure legislative per affrontare i problemi descritti in precedenza, istituendo sistemi di certificazione nazionale per i sistemi di cartelle cliniche elettroniche. Ciò può comportare una frammentazione legislativa nel mercato interno e di conseguenza norme e pratiche differenti nell'UE. Potrebbe anche generare costi per le imprese che dovrebbero conformarsi a regimi diversi.

L'articolo 114 TFUE costituisce la base giuridica appropriata dato che la maggior parte delle disposizioni del presente regolamento ha lo scopo di migliorare il funzionamento del mercato interno e la libera circolazione delle merci e dei servizi. A questo proposito, l'articolo 114, paragrafo 3, TFUE dispone esplicitamente che, nel realizzare l'armonizzazione, sia garantito un livello elevato di protezione della salute umana, tenuto conto, in particolare, degli eventuali nuovi sviluppi fondati su riscontri scientifici. Tale base giuridica è pertanto appropriata anche ove ci fosse un'azione connessa all'ambito della protezione della salute pubblica. Ciò inoltre rispetta pienamente l'articolo 168, che stabilisce che deve essere conseguito un alto livello di protezione della salute umana in tutte le politiche dell'Unione, rispettando al contempo la responsabilità degli Stati membri per la definizione della loro politica sanitaria e per l'organizzazione e la fornitura di servizi sanitari e di assistenza medica.

La proposta legislativa consentirà all'UE di trarre beneficio dalla portata del mercato interno, dal momento che i prodotti e i servizi sanitari basati sui dati sono spesso sviluppati utilizzando dati sanitari elettronici provenienti da Stati membri differenti e successivamente commercializzati in tutta l'UE.

La seconda base giuridica della presente proposta è l'articolo 16 TFUE. L'RGPD prevede importanti garanzie in relazione ai diritti delle persone fisiche sui loro dati sanitari. Tuttavia, come evidenziato nella sezione 1, tali diritti non possono essere attuati nella pratica per ragioni di interoperabilità e di armonizzazione limitata delle prescrizioni e delle norme tecniche attuate a livello nazionale e di UE. Inoltre l'ambito di applicazione del diritto alla portabilità ai sensi dell'RGPD lo rende meno efficace nel settore sanitario 24 . Vi è pertanto la necessità di porre in atto ulteriori disposizioni e garanzie giuridicamente vincolanti. È inoltre necessario definire prescrizioni e norme specifiche basate sulle garanzie fornite nel campo del trattamento dei dati sanitari elettronici per sfruttare al meglio il valore dei dati sanitari a favore della società. La proposta mira altresì ad ampliare l'uso dei dati sanitari elettronici rafforzando al contempo i diritti risultanti dall'articolo 16 TFUE. Nel complesso lo spazio europeo dei dati sanitari concretizza la possibilità offerta dall'RGPD di mettere a punto una normativa dell'UE per varie finalità. Queste ultime includono la diagnosi, l'assistenza o terapia sanitaria o la gestione dei sistemi e servizi sanitari. L'RGPD consente inoltre l'uso di dati sanitari elettronici per motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero o la garanzia di parametri elevati di qualità e sicurezza dell'assistenza sanitaria e dei medicinali e dei dispositivi medici. L'uso è consentito anche a fini di ricerca scientifica o storica e a fini statistici.

•Sussidiarietà

L'attuale proposta mira ad armonizzare i flussi di dati per far sì che le persone fisiche possano beneficiare della protezione e della libera circolazione dei dati sanitari elettronici, soprattutto in riferimento ai dati personali. La proposta non mira a regolamentare le modalità con cui viene prestata l'assistenza sanitaria negli Stati membri.

La valutazione degli aspetti digitali della direttiva sull'assistenza sanitaria transfrontaliera ha riesaminato l'attuale situazione di frammentazione, le differenze e gli ostacoli all'accesso ai dati sanitari elettronici e al loro utilizzo. Ha dimostrato che l'azione dei soli Stati membri non è sufficiente e può ostacolare il rapido sviluppo e la diffusione di prodotti e servizi di sanità digitale, inclusi quelli basati sull'intelligenza artificiale.

Lo studio summenzionato sull'attuazione dell'RGPD nel settore sanitario rileva che il regolamentofornisce ampi diritti relativi all'accesso delle persone fisiche ai loro dati, compresi i dati sanitari, e alla trasmissione degli stessi. Ciononostante l'attuazione pratica di tali diritti è ostacolata dalla limitata interoperabilità nel settore dell'assistenza sanitaria, che finora è stata affrontata principalmente attraverso strumenti giuridici non vincolanti. Tali differenze nelle norme e nelle specifiche locali, regionali e nazionali possono inoltre impedire ai fabbricanti di prodotti di sanità digitale e ai fornitori di servizi di sanità digitale di accedere a nuovi mercati dove devono adattarsi a nuove norme. La presente proposta legislativa è dunque concepita al fine di integrare i diritti e le garanzie previsti dall'RGPD, in modo da poter effettivamente conseguire i suoi obiettivi.

Il medesimo studio ha esaminato l'ampio uso di disposizioni di specificazione facoltative ai sensi dell'RGPD a livello nazionale. Ciò ha creato frammentazione e difficoltà nell'accesso ai dati sanitari elettronici, sia a livello nazionale che tra gli Stati membri. Tale situazione ha avuto ripercussioni sulla possibilità per ricercatori, innovatori, responsabili delle politiche e regolatori di eseguire i loro compiti o di svolgere attività di ricerca o di innovazione. In ultima analisi, è stata pregiudizievole per l'economia europea.

Nella valutazione d'impatto, l'esame dell'articolo 14 della direttiva sull'assistenza sanitaria transfrontaliera mostra che gli approcci adottati finora, che consistono in strumenti a bassa intensità/non vincolanti, quali orientamenti e raccomandazioni volti a sostenere l'interoperabilità, non hanno prodotto i risultati desiderati. L'accesso da parte delle persone fisiche ai loro dati sanitari elettronici personali e il controllo degli stessi sono tuttora limitati, e sussistono significative carenze nell'interoperabilità dei sistemi informativi utilizzati nel settore sanitario. Inoltre gli approcci nazionali adottati per affrontare i problemi hanno solo una portata limitata e non affrontano appieno la questione a livello di UE. Attualmente lo scambio transfrontaliero di dati sanitari elettronici è ancora molto limitato, situazione in parte spiegata dalla significativa eterogeneità delle norme applicate ai dati sanitari elettronici nei differenti Stati membri. Molti Stati Membri devono affrontare sostanziali sfide a livello nazionale, regionale e locale concernenti l'interoperabilità e la portabilità dei dati, che ostacolano la continuità dell'assistenza e la creazione di sistemi di assistenza sanitaria efficienti. Anche se sono disponibili in formato elettronico, i dati sanitari solitamente non accompagnano le persone fisiche quando queste ricorrono ai servizi di un prestatore di assistenza sanitaria differente. La proposta riguardante lo spazio europeo dei dati sanitari affronterà tali sfide a livello di UE, fornendo meccanismi per migliorare le soluzioni di interoperabilità utilizzate a livello nazionale, regionale e locale e rafforzando i diritti delle persone fisiche.

Pertanto è necessaria un'azione a livello di UE nel contenuto e nella forma indicati per promuovere il flusso transfrontaliero dei dati sanitari elettronici e favorire un autentico mercato interno dei dati sanitari elettronici e dei prodotti e servizi di sanità digitale.

•Proporzionalità

L'iniziativa mira a istituire le misure necessarie per conseguire gli obiettivi principali. La proposta crea un quadro favorevole che si limita a quanto è necessario per conseguire gli obiettivi. Affronta gli ostacoli esistenti al fine di favorire la realizzazione del valore potenziale dei dati sanitari elettronici. Stabilisce un quadro che riduce la frammentazione e l'incertezza giuridica. L'iniziativa coinvolge le autorità nazionali e si basa sul loro lavoro, e mira inoltre a un forte coinvolgimento dei portatori di interessi pertinenti.

Il regolamento proposto comporterà costi finanziari e amministrativi, che devono essere sostenuti attraverso l'assegnazione di risorse a livello sia di Stati membri che di UE. La valutazione d'impatto dimostra che l'opzione strategica prescelta apporta i benefici migliori al costo minore e non va oltre quanto necessario per conseguire gli obiettivi dei trattati.

•Scelta dell'atto giuridico

La proposta assume la forma di un nuovo regolamento. Il regolamento è considerato l'atto giuridico più adatto, data la necessità di un quadro normativo che affronti direttamente i diritti delle persone fisiche e riduca la frammentazione nel mercato unico digitale. Per prevenire la frammentazione derivante dall'uso incoerente delle disposizioni pertinenti dell'RGPD (ad es. articolo 9, paragrafo 4), lo spazio europeo dei dati sanitari utilizza le opzioni per una normativa dell'UE offerte dal regolamento RGPD relative all'uso dei dati sanitari per varie finalità. Nella preparazione della proposta sono stati attentamente analizzati differenti contesti giuridici nazionali che hanno sviluppato l'RGPD nell'elaborazione della legislazione nazionale. Al fine di prevenire significative perturbazioni, ma anche futuri sviluppi incoerenti, lo spazio europeo dei dati sanitari mira a proporre un'iniziativa che tenga conto dei principali elementi comuni dei vari quadri. Non si è optato per una direttiva, poiché tale strumento giuridico consentirebbe divergenze di attuazione e un mercato frammentato che potrebbero compromettere la protezione e la libera circolazione dei dati personali nel settore sanitario. La proposta rafforzerà l'economia dei dati sanitari dell'UE aumentando la certezza del diritto e garantendo un quadro giuridico settoriale completamente uniforme e coerente. Il regolamento proposto inoltre auspica la partecipazione dei portatori di interessi per garantire che le prescrizioni soddisfino le esigenze dei professionisti sanitari, delle persone fisiche, del mondo accademico, dell'industria e di altri portatori di interessi pertinenti.

3.RISULTATI DELLE VALUTAZIONI EX POST, DELLE CONSULTAZIONI DEI PORTATORI DI INTERESSI E DELLE VALUTAZIONI D'IMPATTO

•Valutazioni ex post / Vaglio di adeguatezza della legislazione vigente

La direttiva sull'assistenza sanitaria transfrontaliera è stata adottata nel 2011 ed è stata recepita da tutti gli Stati membri entro il 2015. È stato valutato l'articolo 14 della direttiva, che istituisce la rete di assistenza sanitaria online, per comprendere meglio l'impatto che ha avuto sulla sanità digitale nell'UE. La valutazione, che si presenta sotto forma di allegato del documento di lavoro dei servizi della Commissione riguardante la valutazione d'impatto dello spazio europeo dei dati sanitari, ha rilevato che il suo impatto è stato piuttosto limitato. La valutazione delle disposizioni della direttiva relative all'assistenza sanitaria online ha concluso che la sua efficacia ed efficienza sono state piuttosto limitate a causa della natura volontaria delle azioni della rete di assistenza sanitaria online.

I progressi nell'uso dei dati sanitari elettronici personali per la finalità primaria nel contesto dell'assistenza sanitaria transfrontaliera sono stati lenti. La piattaforma MyHealth@EU (LaMiaSalute@UE) è stata attuata in soli 10 Stati membri e attualmente supporta solo due servizi (prescrizione elettronica e profilo sanitario sintetico del paziente). L'adozione risulta dunque limitata e lenta, e ciò è in parte dovuto al fatto che la direttiva, pur istituendo il diritto delle persone fisiche a ricevere una documentazione scritta relativa alle cure eseguite, non richiede che la cartella clinica sia fornita in forma elettronica. L'accesso delle persone fisiche ai loro dati sanitari elettronici personali rimane oneroso, e le persone fisiche esercitano un controllo limitato sui loro dati sanitari e sull'uso di tali dati per la diagnosi e la cura. La rete di assistenza sanitaria online ha raccomandato agli Stati membri di utilizzare le norme e le specifiche del formato europeo di scambio delle cartelle cliniche elettroniche negli appalti al fine di sviluppare l'interoperabilità. Tuttavia l'effettiva adozione del formato è stata limitata, il che ha determinato un panorama frammentato e una mancanza di uniformità nell'accesso ai dati sanitari elettronici e nella loro portabilità.

Si prevede che la maggior parte degli Stati membri attuerà la piattaforma MyHealth@EU entro il 2025. Solo quando un numero maggiore di Stati membri avrà attuato la piattaforma MyHealth@EU e avrà sviluppato gli strumenti necessari, il suo uso, sviluppo e manutenzione diventeranno più efficienti in tutta l'UE. I progressi nell'assistenza sanitaria online degli ultimi anni rendono tuttavia necessaria un'azione più coordinata a livello di UE.

Non di meno, in seguito allo scoppio della pandemia di COVID-19 in Europa, la rete di assistenza sanitaria online si è dimostrata molto efficiente ed efficace durante una crisi di sanità pubblica, e ciò ha promosso la convergenza politica.

Le attività della rete di assistenza sanitaria online in merito all'uso secondario dei dati sanitari elettronici sono state molto limitate e non molto efficaci. I pochi documenti non vincolanti sui big data non hanno avuto riscontro in ulteriori azioni specifiche e la loro attuazione pratica rimane molto limitata. A livello nazionale sono emersi soggetti coinvolti nell'uso secondario dei dati sanitari elettronici diversi da quelli rappresentati nella rete di assistenza sanitaria online. Alcuni Stati membri hanno istituito differenti organismi incaricati di affrontare la questione e hanno partecipato all'azione congiunta "Towards a European Health Data Space" (TEHDaS, Verso uno spazio europeo dei dati sanitari). Tuttavia né tale azione congiunta né i numerosi fondi erogati dalla Commissione, ad esempio nell'ambito del programma Orizzonte Europa, per sostenere l'uso secondario dei dati sanitari elettronici sono stati attuati abbastanza coerentemente con le attività della rete di assistenza sanitaria online.

Si è pertanto concluso che l'attuale struttura della rete di assistenza sanitaria online non sia più adeguata, in quanto consente solo una limitata cooperazione sull'uso primario dei dati sanitari elettronici e la loro interoperabilità, che non ha permesso di risolvere in modo sistematico i problemi riguardanti l'accesso ai dati e la loro portabilità a livello nazionale e transfrontaliero. Inoltre la rete di assistenza sanitaria online non è in grado di affrontare in modo efficace ed efficiente le esigenze connesse all'uso secondario dei dati sanitari elettronici. La direttiva sull'assistenza sanitaria transfrontaliera conferisce competenze per l'adozione di atti di esecuzione relativi all'uso dei dati sanitari elettronici per uso primario e secondario; tali competenze sono limitate.

La pandemia di COVID-19 ha evidenziato ed enfatizzato l'importanza di un accesso protetto e sicuro ai dati di sanità pubblica e di assistenza sanitaria e della loro fruibilità oltre i confini dei singoli Stati membri, come anche dell'ampia disponibilità di dati sanitari elettronici per la sanità pubblica nel contesto della libera circolazione delle persone all'interno dell'UE durante la pandemia. Basandosi su un solido quadro normativo, l'UE ha dimostrato una grande efficienza nell'istituzione di norme e servizi a livello di UE per facilitare la libera circolazione delle persone, come nel caso del certificato COVID digitale dell'UE. Tuttavia il progresso complessivo sembra ostacolato dall'assenza di norme vincolanti o obbligatorie in tutta l'UE e dalla limitata interoperabilità che ne deriva. Affrontare tale questione non solo andrebbe a beneficio delle persone fisiche ma contribuirebbe anche a realizzare il mercato interno digitale e a ridurre gli ostacoli alla libera circolazione dei prodotti e servizi di sanità digitale.

•Consultazioni dei portatori di interessi

Nella preparazione della proposta riguardante lo spazio europeo dei dati sanitari i portatori di interessi sono stati consultati in vari modi. La consultazione pubblica ha raccolto le opinioni dei portatori di interessi in merito alle opzioni relative all'istituzione dello spazio europeo dei dati sanitari 25 . Sono pervenuti contributi da vari gruppi di portatori di interessi. Le loro opinioni sono riportate in dettaglio nell'allegato del documento di lavoro dei servizi della Commissione sulla valutazione d'impatto.

È stata effettuata una consultazione pubblica da maggio a luglio 2021. In totale sono pervenute 382 risposte valide. I rispondenti si sono espressi a favore di azioni intraprese a livello di UE volte ad accelerare la ricerca in materia di salute (89 %), promuovere il controllo delle persone fisiche sui loro dati sanitari (88 %) e facilitare la prestazione di assistenza sanitaria transfrontaliera (83 %). Si è riscontrato un grande sostegno in merito alla promozione dell'accesso ai dati sanitari e della loro condivisione attraverso un'infrastruttura digitale (72 %) o un'infrastruttura dell'UE (69 %). La maggior parte dei rispondenti ritiene inoltre che le persone fisiche dovrebbero avere la possibilità di trasmettere i dati raccolti da mHealth e dalla telemedicina nei sistemi di cartelle cliniche elettroniche (77 %). Uno schema di certificazione a livello di UE per promuovere l'interoperabilità ha ottenuto un sostegno del 52 %.

Nell'ambito dell'uso secondario dei dati sanitari, la maggior parte dei rispondenti ha affermato che un organismo dell'UE potrebbe facilitare l'accesso ai dati sanitari per finalità secondarie (87 %). L'uso obbligatorio di prescrizioni e norme tecniche è sostenuto dal 67 % dei rispondenti.

Le opinioni dei portatori di interessi sono state raccolte anche attraverso lo studio "Valutazione delle norme degli Stati membri dell'UE sui dati sanitari alla luce dell'RGPD". Durante tale studio si sono svolti cinque seminari, a cui hanno partecipato rappresentanti dei ministeri della Sanità, esperti, rappresentanti dei portatori di interessi ed esperti dei responsabili nazionali della protezione dei dati 26 . È stata effettuata anche un'indagine tra i portatori di interessi per una convalida incrociata e un'integrazione dei temi affrontati e individuati. In totale sono state ricevute 543 risposte nel quadro del sondaggio online. Il 73 % dei rispondenti del sondaggio online ritiene che la possibilità di disporre di dati sanitari in uno spazio di dati personali o un portale per i pazienti faciliti la trasmissione dei dati tra i prestatori di assistenza sanitaria. Inoltre l'87 % valuta che una mancanza di portabilità dei dati faccia aumentare i costi dell'assistenza sanitaria, mentre l'84 % ritiene che ritardi la diagnosi e le cure. Circa l'84 % è del parere che dovrebbero essere adottate ulteriori misure a livello di UE per rafforzare il controllo delle persone fisiche sui loro dati sanitari. Circa l'81 % considera che l'uso di differenti basi giuridiche dell'RGPD renda difficile la condivisione dei dati sanitari. Circa l'81 % dei rispondenti suggerisce che l'UE dovrebbe sostenere l'uso secondario dei dati sanitari ai sensi della medesima base giuridica.

È stato condotto uno studio sui vuoti normativi relativi alla fornitura transfrontaliera di servizi e prodotti di sanità digitale, compresa l'intelligenza artificiale, con la valutazione del quadro esistente per lo scambio transfrontaliero di dati sanitari. Tra settembre 2020 e agosto 2021 è stato effettuato uno studio sui dati sanitari, la sanità digitale e l'intelligenza artificiale nell'assistenza sanitaria. Tale studio fornisce gli elementi di prova necessari per permettere un processo informato di definizione delle politiche nei settori dei prodotti e servizi di sanità digitale, dell'intelligenza artificiale, della governance sull'uso dei dati sanitari e nella valutazione dell'articolo 14 della direttiva sull'assistenza sanitaria transfrontaliera. Le attività di consultazione comprendevano interviste, gruppi di discussione e sondaggi online. I portatori di interessi sono favorevoli all'adozione di misure in una serie di settori: da orientamenti sulla qualità di servizi e prodotti di sanità digitale, all'interoperabilità, attraverso il rimborso, l'identificazione e l'autenticazione fino all'alfabetizzazione e alle competenze digitali. In merito all'uso primario, i portatori di interessi sostengono la possibilità che alle autorità nazionali di sanità digitale siano affidati compiti volti a sostenere l'erogazione di servizi di sanità digitale e l'accesso ai dati sanitari elettronici a livello transfrontaliero. Oltre a ciò sostengono anche l'ampliamento dei servizi di MyHealth@EU. Viene inoltre considerata positivamente la possibilità di concedere alle persone fisiche il diritto alla portabilità delle loro cartelle cliniche elettroniche in un formato interoperabile. In merito all'uso secondario, viene considerata positivamente l'adozione di un quadro e di una struttura a livello giuridico e di governance basati sull'istituzione di organismi responsabili dell'accesso ai dati sanitari in una serie di Stati membri, promuovendo la cooperazione a livello di UE attraverso una rete o un gruppo di consulenza. Per ridurre gli ostacoli sarebbe valutata favorevolmente l'introduzione di specifiche e norme.

Tra aprile e dicembre 2021 è stato effettuato uno studio sulle infrastrutture e l'ecosistema dei dati a sostegno della valutazione di impatto dello spazio europeo dei dati sanitari 27 . Tale studio mira a presentare informazioni basate sui fatti a sostegno della valutazione d'impatto delle opzioni per un'infrastruttura europea di sanità digitale. Lo studio individua, caratterizza e valuta le opzioni per un'infrastruttura digitale, delinea il rapporto costo/efficacia e fornisce dati sugli impatti previsti, sia per l'uso primario che secondario dei dati sanitari elettronici. Sono stati svolti seminari interattivi che hanno riguardato 65 portatori di interessi coinvolti attivamente nell'uso dei dati sanitari, tra cui figurano rappresentati dei ministeri della Sanità, autorità di sanità digitale, punti di contatto nazionali per la sanità digitale, infrastrutture di ricerca sui dati sanitari, agenzie normative, organismi responsabili dell'accesso ai dati sanitari, prestatori di assistenza sanitaria, pazienti e gruppi di patrocinio. Inoltre è stato messo a punto un sondaggio incentrato sui costi, che comprendeva domande sul valore, i vantaggi, l'impatto e il costo delle differenti opzioni.

Infine tra giugno e dicembre 2021 è stato effettuato lo studio di valutazione d'impatto, che mirava a presentare informazioni basate sui fatti a sostegno della valutazione d'impatto delle opzioni per lo spazio europeo dei dati sanitari. Lo studio definisce e valuta le opzioni strategiche complessive per lo spazio europeo dei dati sanitari, basandosi su elementi di prova raccolti negli studi precedenti. La "consultazione pubblica sul superamento degli ostacoli transfrontalieri" 28 illustra inoltre gli ostacoli che le persone fisiche si trovano ad affrontare nel contesto delle regioni transfrontaliere. Ulteriori dettagli di tali studi sono forniti nell'allegato del documento di lavoro dei servizi della Commissione.

•Assunzione e uso di perizie

Diversi studi e contributi hanno sostenuto il lavoro sullo spazio europeo dei dati sanitari, tra cui:

●uno studio sulla "Valutazione delle norme degli Stati membri dell'UE sui dati sanitari alla luce dell'RGPD" 29 ;

●uno studio sui vuoti normativi relativi alla fornitura transfrontaliera di servizi e prodotti di sanità digitale, compresa l'intelligenza artificiale, con la valutazione del quadro esistente per lo scambio transfrontaliero di dati sanitari (di prossima pubblicazione);

●uno studio su un'infrastruttura e un ecosistema di dati a sostegno della valutazione d'impatto riguardante lo spazio europeo dei dati sanitari (di prossima pubblicazione);

●uno studio a sostegno della valutazione d'impatto delle opzioni strategiche per un'iniziativa dell'UE sullo spazio europeo dei dati sanitari (di prossima pubblicazione);

●uno studio sull'interoperabilità delle cartelle cliniche elettroniche nell'Unione europea (MonitorEHR) 30 ;

●uno studio sull'uso di dati reali per la ricerca, le cure cliniche, il processo decisionale normativo, la valutazione delle tecnologie sanitarie e la definizione delle politiche, e la relativa sintesi 31 ;

●uno studio di mercato sulla telemedicina 32 ;

●il parere preliminare del Garante europeo della protezione dei dati (GEPD) sullo spazio europeo dei dati sanitari 33 .

•Valutazione d'impatto

È stata effettuata una valutazione d'impatto della presente proposta. Il 26 novembre 2021 il comitato per il controllo normativo ha emesso un parere negativo sulla prima presentazione. Dopo una revisione sostanziale della valutazione d'impatto volta a rispondere alle osservazioni formulate e dopo che tale valutazione è stata ripresentata, il 26 gennaio 2022 il comitato ha emesso un parere positivo senza riserve. I pareri del comitato, le raccomandazioni e una spiegazione di come queste ultime siano state prese in considerazione sono presentati nell'allegato 1 del documento di lavoro dei servizi della Commissione.

La Commissione ha esaminato le differenti opzioni strategiche per conseguire gli obiettivi generali della proposta. Tali obiettivi consistono nel garantire che le persone fisiche abbiano il controllo dei loro dati sanitari elettronici, che possano beneficiare di una gamma di prodotti e servizi collegati alla salute e che ricercatori, innovatori, responsabili delle politiche e regolatori possano sfruttare al massimo i dati sanitari elettronici disponibili.

Sono state valutate tre opzioni strategiche con vari gradi di intervento normativo e due ulteriori variazioni di tali opzioni:

–Opzione 1: intervento a bassa intensità: si basa su un meccanismo di cooperazione rafforzata e su strumenti volontari che riguarderebbero prodotti e servizi di sanità digitale e l'uso secondario dei dati sanitari elettronici. Sarebbe sostenuto da una migliore governance e da migliori infrastrutture digitali.

–Opzione 2 e 2+: intervento a media intensità: rafforzerebbe i diritti delle persone fisiche relativi al controllo digitale dei loro dati sanitari e fornirebbe un quadro dell'UE per l'uso secondario dei dati sanitari elettronici. La governance dipenderebbe dagli organismi nazionali per l'uso primario e secondario dei dati sanitari elettronici, che a livello nazionale sarebbero incaricati dell'attuazione delle politiche, mentre a livello di UE sosterrebbero l'elaborazione di prescrizioni adeguate. Due infrastrutture digitali sosterrebbero la condivisione transfrontaliera e l'uso secondario dei dati sanitari elettronici. L'attuazione sarebbe supportata da una certificazione obbligatoria per i sistemi di cartelle cliniche elettroniche e da un'etichettatura volontaria per le applicazioni per il benessere, garantendo in tal modo la trasparenza per le autorità, i committenti e gli utenti.

–Opzione 3 e 3+: intervento ad alta intensità: andrebbe oltre l'opzione 2 attribuendo a un organismo dell'UE esistente o nuovo il compito di definire prescrizioni a livello di UE e la facoltà di accedere ai dati sanitari elettronici transfrontalieri. Amplierebbe inoltre la copertura della certificazione.

L'opzione prescelta è l'opzione 2+, che amplia l'opzione 2. Tale opzione assicurerebbe una certificazione dei sistemi di cartelle cliniche elettroniche, un'etichettatura volontaria per le applicazioni per il benessere e un effetto a cascata nei dispositivi medici destinati a essere interoperabili con i sistemi di cartelle cliniche elettroniche. Ciò garantirebbe il migliore equilibrio tra efficienza ed efficacia nel conseguimento degli obiettivi. L'opzione 1 migliorerebbe lo scenario di base marginalmente, poiché l'intervento rimane volontario. Sarebbe efficace anche l'opzione 3, ma potrebbe avere costi superiori, un impatto maggiore sulle PMI e potrebbe essere meno fattibile a livello politico.

L'opzione prescelta garantirebbe alle persone fisiche la possibilità di accedere ai loro dati sanitari elettronici e di trasmetterli digitalmente, e consentirebbe l'accesso agli stessi, a prescindere dal prestatore di assistenza sanitaria e dalla fonte dei dati. MyHealth@EU diventerebbe obbligatoria e le persone fisiche potrebbero effettuare lo scambio transfrontaliero dei loro dati sanitari elettronici personali in una lingua straniera. Le prescrizioni e la certificazione obbligatorie (per i sistemi di cartelle cliniche elettroniche e i dispositivi medici per i quali è dichiarata l'interoperabilità con tali sistemi) e un'etichettatura volontaria per le applicazioni per il benessere garantirebbero trasparenza per gli utenti e i committenti e ridurrebbero gli ostacoli al mercato transfrontaliero per i fabbricanti.

Le prescrizioni obbligatorie sono state mantenute, ma la certificazione da parte di terzi è stata trasformata in un'autocertificazione associata a una clausola di revisione anticipata, che consente una possibile successiva transizione a una certificazione da parte di terzi. Data la novità rappresentata dalla certificazione, è stato deciso di optare per un approccio graduale, che concederebbe a Stati membri e fabbricanti meno preparati più tempo per adottare il sistema di certificazione e sviluppare le capacità. Allo stesso tempo gli Stati membri più avanzati possono richiedere controlli specifici a livello nazionale nel contesto di appalti, finanziamenti e rimborsi riguardanti i sistemi di cartelle cliniche elettroniche. Tale cambiamento ridurrebbe i costi stimati a carico di un singolo fabbricante per la certificazione di un sistema di cartelle cliniche elettroniche da 20 000-50 000 EUR a 12 000-38 000 EUR, il che potrebbe comportare una riduzione di circa il 30 % dei costi complessivi a carico dei fabbricanti (da 0,3-1,7 miliardi di EUR a 0,2-1,2 miliardi di EUR).

Questo sistema sembra il più proporzionato per i fabbricanti in termini di oneri amministrativi ed eventuali limiti di capacità degli organismi notificati per la certificazione da parte di terzi. Tuttavia gli effettivi benefici che genera per Stati membri, pazienti e committenti dovranno essere analizzati con attenzione nella valutazione del quadro giuridico che sarà effettuata dopo cinque anni.

Con l'uso secondario dei dati sanitari elettronici, ricercatori, innovatori, responsabili delle politiche e regolatori potrebbero avere accesso a dati di qualità per il loro lavoro in modo sicuro, con una governance affidabile e a costi inferiori rispetto all'opzione basata sul consenso. Il quadro comune per l'uso secondario ridurrebbe la frammentazione e gli ostacoli per gli accessi transfrontalieri. L'opzione prescelta prevede che gli Stati membri istituiscano uno o più organismi responsabili dell'accesso ai dati sanitari (con un organismo di coordinamento) che possano fornire l'accesso ai dati sanitari elettronici a terzi e che siano creati come nuove organizzazioni o parte di organizzazioni esistenti, basandosi sull'atto sulla governance dei dati. Parte dei costi sarà compensata da tariffe imposte dagli organismi responsabili dell'accesso ai dati sanitari. Si prevede che l'istituzione di organismi responsabili dell'accesso ai dati sanitari abbasserà i costi di accesso ai dati sanitari elettronici per regolatori e responsabili delle politiche, grazie a una maggiore trasparenza dell'efficacia dei medicinali, con una conseguente riduzione dei costi sostenuti nell'ambito dei processi normativi e degli appalti pubblici nel settore sanitario. La digitalizzazione può inoltre ridurre test inutili e garantire trasparenza nella spesa, consentendo risparmi sul bilancio sanitario. I fondi UE garantiranno un sostegno alla digitalizzazione.

Occorre garantire agli utenti dei dati la trasparenza delle informazioni relative alle serie di dati, obiettivo per il quale è stato ugualmente adottato un approccio graduale. Ciò significherebbe che la descrizione della serie di dati sarebbe obbligatoria per tutte le serie di dati, escluse quelle detenute da microimprese, mentre l'etichettatura relativa alla qualità autodichiarata dei dati sarebbe obbligatoria solo per i titolari dei dati con serie di dati finanziate pubblicamente e volontaria per gli altri. Tali sfumature introdotte dopo la valutazione d'impatto non alterano in modo sostanziale il calcolo dei costi per i titolari dei dati risultante dalla valutazione d'impatto.

Si prevede che i benefici economici totali di questa opzione, in 10 anni, saranno di oltre 11 miliardi di EUR al di sopra dello scenario di base. Questo importo sarebbe suddiviso pressoché uniformemente tra benefici provenienti da misure sull'uso primario (5,6 miliardi di EUR) e sull'uso secondario (5,4 miliardi di EUR) dei dati sanitari.

Nell'ambito dell'uso primario dei dati sanitari, i pazienti e i prestatori di assistenza sanitaria godranno di benefici rispettivamente di circa 1,4 miliardi di EUR e 4,0 miliardi di EUR derivanti da risparmi nei servizi sanitari prodotti da una maggiore diffusione della telemedicina e da scambi più efficienti dei dati sanitari, anche transfrontalieri.

Nell'ambito dell'uso secondario dei dati sanitari, i ricercatori e gli innovatori nel settore della sanità digitale, dei dispositivi medici e dei medicinali avranno benefici di oltre 3,4 miliardi di EUR grazie alla maggiore efficienza dell'uso secondario dei dati sanitari. I pazienti e i prestatori di assistenza sanitaria beneficeranno di risparmi pari a una cifra compresa tra 0,3 e 0,9 miliardi di EUR grazie all'accesso a medicinali più innovativi e processi decisionali migliori. L'uso più intensivo di dati reali nella definizione delle politiche sanitarie consentirebbe ulteriori risparmi, stimati a 0,8 miliardi di EUR, per i responsabili delle politiche e i regolatori.

I costi complessivi per l'opzione prescelta sono stimati a 0,7-2,0 miliardi di EUR al di sopra dello scenario di base, in 10 anni. La maggior parte dei costi proverrebbe dalle misure relative all'uso primario (0,3-1,3 miliardi di EUR) e secondario (0,4-0,7 miliardi di EUR) dei dati sanitari.

Nell'ambito dell'uso primario dei dati sanitari, sarebbero i fabbricanti di sistemi di cartelle cliniche elettroniche e di prodotti destinati a essere collegati a tali sistemi a sostenere la maggior parte dei costi. La cifra ammonterebbe a circa 0,2-1,2 miliardi di EUR a causa dell'introduzione graduale della certificazione per i sistemi di cartelle cliniche elettroniche, i dispositivi medici e i sistemi di IA ad alto rischio e dell'etichettatura volontaria per le applicazioni per il benessere. Il resto (meno di 0,1 miliardi di EUR) sarebbe a carico delle autorità pubbliche, a livello nazionale e di UE, per il completamento della copertura della piattaforma MyHealth@EU.

Nell'ambito dell'uso secondario dei dati sanitari, le autorità pubbliche, compresi i regolatori e i responsabili delle politiche a livello di Stati membri e di UE, sosterrebbero i costi (0,4-0,7 miliardi di EUR) per la costituzione di organismi responsabili dell'accesso ai dati sanitari e dell'infrastruttura digitale necessaria per collegare tali organismi, infrastrutture di ricerca e organismi dell'UE, e per la promozione dell'interoperabilità e della qualità dei dati.

L'opzione prescelta è limitata agli aspetti che gli Stati membri non sono in grado di realizzare in modo soddisfacente autonomamente, come dimostrato dalla valutazione dell'articolo 14 della direttiva sull'assistenza sanitaria transfrontaliera. L'opzione prescelta è proporzionata, data la media intensità della proposta e i benefici previsti per le persone fisiche e il settore.

La valutazione degli impatti ambientali, in linea con la normativa europea sul clima 34 , mostra che tale proposta avrebbe un impatto limitato sul clima e sull'ambiente. Sebbene nuove infrastrutture digitali e un incremento dei volumi di traffico e conservazione dei dati possano aumentare l'inquinamento digitale, una maggiore interoperabilità nel settore sanitario compenserebbe ampiamente tali impatti negativi riducendo l'inquinamento e l'energia collegati agli spostamenti e il consumo di carta.

•Efficienza normativa e semplificazione

Non pertinente.

•Diritti fondamentali

Poiché l'uso di dati sanitari elettronici comporta il trattamento di dati personali sensibili, alcuni elementi della proposta di regolamento ricadono nell'ambito di applicazione della legislazione UE in materia di protezione dei dati. Le disposizioni della presente proposta sono conformi alla suddetta legislazione e sono concepite al fine di integrare i diritti previsti dalla stessa rafforzando il controllo delle persone fisiche sui loro dati sanitari elettronici e l'accesso ad essi. Si prevede che la proposta avrà un notevole impatto positivo sui diritti fondamentali collegati alla protezione dei dati personali e alla libera circolazione. Ciò dipende dal fatto che sulla piattaforma MyHealth@EU le persone fisiche potranno condividere in modo efficace i loro dati sanitari elettronici personali nella lingua del paese di destinazione in caso di viaggio all'estero o portare con loro tali dati in caso di trasferimento in un altro paese. Le persone fisiche avranno ulteriori possibilità di accedere ai loro dati sanitari elettronici e di trasmetterli digitalmente, in base alle disposizioni dell'RGPD. Gli operatori del mercato nel settore sanitario (prestatori di assistenza sanitaria o fornitori di servizi e prodotti digitali) saranno obbligati a condividere i dati sanitari elettronici con terzi del settore sanitario selezionati dall'utente. La proposta fornirà i mezzi necessari per rafforzare tali diritti (attraverso norme, specifiche ed etichette comuni) senza compromettere le misure di sicurezza richieste per proteggere i diritti delle persone fisiche ai sensi dell'RGPD. Contribuirebbe alla migliore protezione dei dati personali relativi alla salute e alla libera circolazione di tali dati come sancito dall'articolo 16 TFUE e dall'RGPD.

Per quanto riguarda l'uso secondario dei dati sanitari elettronici, ad es. per l'innovazione, la ricerca, l'ordine pubblico, la sicurezza dei pazienti, finalità normative o la medicina personalizzata, la proposta seguirà la legislazione UE in materia di protezione dei dati su tale argomento e si conformerà ad essa. Saranno attuate forti garanzie e misure di sicurezza per garantire che i diritti fondamentali della protezione dei dati siano pienamente tutelati, in conformità dell'articolo 8 della Carta dei diritti fondamentali dell'Unione europea. La proposta stabilisce un quadro dell'UE per accedere ai dati sanitari elettronici per finalità di ricerca scientifica e storica e per finalità statistiche, basandosi sulle possibilità offerte a questo proposito dall'RGPD e, per le istituzioni e gli organi dell'UE, dal regolamento sulla protezione dei dati nell'ambito delle istituzioni UE. Includerà misure idonee e specifiche necessarie per salvaguardare i diritti fondamentali e gli interessi delle persone fisiche in conformità dell'articolo 9, paragrafo 2, lettere h), i) e j), dell'RGPD, e dell'articolo 10, paragrafo 2, lettere h), i) e j), del regolamento sulla protezione dei dati nell'ambito delle istituzioni UE. L'istituzione di organismi responsabili dell'accesso ai dati sanitari garantirà un accesso prevedibile e semplificato ai dati sanitari elettronici, e un livello più elevato di trasparenza, responsabilizzazione e sicurezza nel trattamento dei dati. Il coordinamento di tali organismi a livello di UE e l'inserimento delle loro attività in un quadro comune garantiranno parità di condizioni. Ciò sosterrà l'analisi transfrontaliera dei dati sanitari elettronici per la ricerca, l'innovazione, le statistiche ufficiali, la definizione delle politiche e per finalità normative. La promozione dell'interoperabilità dei dati sanitari elettronici e del loro uso secondario contribuirà a favorire un mercato interno dell'UE per i dati sanitari elettronici in linea con l'articolo 114 TFUE.

4.INCIDENZA SUL BILANCIO

La presente proposta definisce una serie di obblighi per le autorità degli Stati membri e la Commissione e richiede specifiche azioni per promuovere l'istituzione e il funzionamento dello spazio europeo dei dati sanitari. Tali azioni riguardano, in particolare, lo sviluppo, la diffusione e la manutenzione di infrastrutture per l'uso primario e secondario dei dati sanitari elettronici. Lo spazio europeo dei dati sanitari è strettamente connesso ad altre azioni dell'Unione negli ambiti della sanità e dell'assistenza sociale, della digitalizzazione, della ricerca, dell'innovazione e dei diritti fondamentali.

Nei suoi programmi di lavoro per il 2021 e il 2022, il programma EU4Health (UE per la salute) sostiene già lo sviluppo e l'istituzione dello spazio europeo dei dati sanitari con un contributo iniziale sostanziale di quasi 110 milioni di EUR. Ciò include il funzionamento dell'infrastruttura esistente per gli usi primari dei dati sanitari elettronici (MyHealth@EU) e l'uso secondario dei dati sanitari elettronici (HealthData@EU (DatiSanitari@UE)), l'adozione di norme internazionali da parte degli Stati membri, azioni per lo sviluppo delle capacità e altre azioni preparatorie, nonché un progetto pilota di infrastruttura per l'uso secondario dei dati sanitari, un progetto pilota per l'accesso dei pazienti ai loro dati sanitari attraverso MyHealth@EU e il suo ampliamento, e lo sviluppo di servizi centrali per gli usi secondari dei dati sanitari.

L'adempimento degli obblighi da parte della Commissione e la realizzazione delle relative azioni di sostegno previste dalla presente proposta legislativa richiederanno 220 milioni di EUR tra il 2023 e il 2027 e saranno finanziati direttamente dal programma EU4Health (170 milioni di EUR) e sostenuti ulteriormente dal programma Europa digitale (50 milioni di EUR) 35 . In entrambi i casi la spesa collegata alla presente proposta sarà coperta dagli importi programmati di questi programmi.

L'attuazione di azioni per il controllo da parte delle persone fisiche dei dati sanitari elettronici personali e per il loro accesso a tali dati ai fini della prestazione di assistenza sanitaria (capo II) richiederà 110 milioni di EUR. Tali azioni includono le operazioni dei servizi della piattaforma europea per la sanità digitale per MyHealth@EU, gli audit degli Stati membri per i punti di contatto nazionali per la sanità digitale come parte di MyHealth@EU, il sostegno per l'adozione di norme internazionali e il sostegno per l'accesso dei pazienti ai dati sanitari attraverso MyHealth@EU.

L'attuazione dello schema di autocertificazione per i sistemi di cartelle cliniche elettroniche (capo III) richiederà oltre 14 milioni di EUR per lo sviluppo e la manutenzione di una banca dati europea per i sistemi di cartelle cliniche elettroniche interoperabili e le applicazioni per il benessere. Inoltre gli Stati membri dovranno designare autorità di vigilanza del mercato incaricate di attuare le prescrizioni legislative. La loro funzione di controllo per l'autocertificazione dei sistemi di cartelle cliniche elettroniche potrebbe basarsi su modalità esistenti, ad esempio per quanto riguarda la vigilanza del mercato, ma richiederebbe sufficienti competenze e risorse umane e finanziarie. Le azioni per l'uso secondario dei dati sanitari elettronici per la ricerca, l'innovazione, la definizione delle politiche, decisioni normative, la sicurezza dei pazienti o la medicina personalizzata (capo IV) richiederanno 96 milioni di EUR. Tale finanziamento coprirà la piattaforma europea e gli audit degli Stati membri per i nodi di collegamento, come parte dell'infrastruttura per gli usi secondari dei dati sanitari elettronici (HealthData@EU).

Oltre a ciò, i costi per il collegamento degli Stati membri alle infrastrutture europee all'interno dello spazio europeo dei dati sanitari saranno parzialmente coperti dai programmi di finanziamento dell'UE che integreranno il programma EU4Health. Strumenti quali il dispositivo per la ripresa e la resilienza e il Fondo europeo di sviluppo regionale (FESR) potranno sostenere il collegamento degli Stati membri alle infrastrutture europee.

L'attuazione degli obiettivi e delle disposizioni del presente regolamento sarà integrata da altre azioni nel contesto del programma Europa digitale, del meccanismo per collegare l'Europa e di Orizzonte Europa. Questi programmi, tra l'altro, mirano rispettivamente a conseguire lo sviluppo e il rafforzamento delle risorse di dati di qualità e dei corrispondenti meccanismi di scambio 36 (conformemente all'obiettivo specifico "Intelligenza artificiale") e a sviluppare, promuovere e far progredire l'eccellenza scientifica 37 , anche nel settore della sanità. Esempi di tale complementarità includono il sostegno orizzontale per lo sviluppo e la sperimentazione su vasta scala di una piattaforma middleware intelligente per spazi comuni di dati, per la quale sono già stati stanziati 105 milioni di EUR dal programma Europa digitale nel periodo 2021-2022; investimenti specifici per dominio per agevolare l'accesso transfrontaliero in condizioni di sicurezza all'imaging dei tumori e alla genomica, sostenuti dal programma Europa digitale nel periodo 2021-2022 con 38 milioni di EUR; inoltre progetti di ricerca e innovazione e azioni di coordinamento e sostegno concernenti la qualità e l'interoperabilità dei dati sanitari ricevono già il sostegno del programma Orizzonte Europa (polo tematico 1), per un importo di 108 milioni di EUR nel 2021 e nel 2022, e del programma "Infrastrutture di ricerca", per un importo di 59 milioni di EUR. Nel 2021 e nel 2022 Orizzonte Europa ha inoltre fornito un ulteriore sostegno per l'uso secondario dei dati sanitari destinato alla COVID-19 (42 milioni di EUR) e al cancro (3 milioni di EUR).

Inoltre, in caso di mancanza di connettività fisica nel settore sanitario, anche il meccanismo per collegare l'Europa contribuirà alla definizione di progetti di interesse comune connessi allo sviluppo di reti sicure ad altissima capacità e all'accesso alle medesime, compresi i sistemi 5G, [nonché] all'aumento della resilienza e della capacità delle reti dorsali digitali sui territori dell'Unione 38 . Nel 2022 e 2023 sono programmati 130 milioni di EUR per l'interconnessione di infrastrutture cloud, anche nel settore della sanità.

I costi amministrativi della Commissione sono stimati a circa 17 milioni di EUR, compresi i costi per le risorse umane e altre spese amministrative.

La scheda finanziaria legislativa allegata alla presente proposta descrive le implicazioni in materia di bilancio e di risorse umane e amministrative.

5.ALTRI ELEMENTI

•Piani attuativi e modalità di monitoraggio, valutazione e informazione

Data la natura dinamica della trasformazione digitale del settore sanitario, il monitoraggio delle tendenze relative all'impatto dello spazio europeo dei dati sanitari costituirà una parte essenziale dell'azione in questo campo. È necessario monitorare e valutare l'attuazione della presente proposta al fine di garantire che le misure strategiche selezionate producano effettivamente i risultati attesi e per orientare eventuali future revisioni.

Il monitoraggio degli obiettivi specifici e degli obblighi normativi sarà effettuato innanzitutto attraverso la presentazione di relazioni da parte delle autorità di sanità digitale e degli organismi responsabili dell'accesso ai dati sanitari. Inoltre saranno monitorati gli indicatori di MyHealth@EU e l'infrastruttura per gli usi secondari dei dati sanitari elettronici.

L'attuazione delle infrastrutture, in particolare l'attuazione della piattaforma europea della nuova infrastruttura per gli usi secondari dei dati sanitari elettronici, sarà realizzata coerentemente con il quadro complessivo della governance informatica della Commissione europea. Pertanto le scelte in materia di appalti e sviluppo delle infrastrutture informatiche saranno soggette all'approvazione preventiva del comitato per le tecnologie dell'informazione e la cibersicurezza della Commissione europea.

•Illustrazione dettagliata delle singole disposizioni della proposta

Il capo I presenta l'oggetto e l'ambito di applicazione del regolamento, stabilisce le definizioni utilizzate in tutto l'atto e spiega il suo rapporto con altri atti dell'UE.

Il capo II illustra gli ulteriori diritti e meccanismi concepiti per integrare i diritti delle persone fisiche previsti ai sensi dell'RGPD in relazione ai loro dati sanitari elettronici. Inoltre descrive gli obblighi di vari professionisti sanitari in relazione ai dati sanitari elettronici. L'integrazione di alcuni tipi di dati sanitari elettronici nello spazio europeo dei dati sanitari, tramite un processo graduale con un periodo di transizione, è considerata prioritaria. Gli Stati membri dovranno istituire un'autorità di sanità digitale che sia responsabile del monitoraggio di questi diritti e meccanismi e che garantisca la corretta applicazione di tali ulteriori diritti delle persone fisiche. Questo capo include disposizioni collegate all'interoperabilità di alcune serie di dati relativi alla salute. Gli Stati membri dovranno inoltre designare un punto di contatto nazionale incaricato di far rispettare gli obblighi e le prescrizioni di questo capo. Infine è concepita un'infrastruttura comune, denominata MyHealth@EU, con lo scopo di facilitare lo scambio transfrontaliero dei dati sanitari elettronici.

Il capo III si concentra sull'attuazione di uno schema di autocertificazione obbligatoria per i sistemi di cartelle cliniche elettroniche, nell'ambito del quale tali sistemi devono essere conformi alle prescrizioni essenziali relative all'interoperabilità e alla sicurezza. Questo approccio è necessario per garantire che le cartelle cliniche elettroniche siano compatibili con ciascun sistema e per facilitare la trasmissione dei dati sanitari elettronici tra loro. Questo capo definisce gli obblighi di ciascun operatore economico dei sistemi di cartelle cliniche elettroniche, le prescrizioni relative alla conformità di tali sistemi, e gli obblighi delle autorità di vigilanza del mercato responsabili dei sistemi di cartelle cliniche elettroniche nel contesto delle loro attività di vigilanza del mercato. Il capo include anche disposizioni sull'etichettatura volontaria delle applicazioni per il benessere interoperabili con i sistemi di cartelle cliniche elettroniche e istituisce una banca dati dell'UE in cui saranno registrati i sistemi di cartelle cliniche elettroniche muniti di certificazione e le applicazioni per il benessere corredate di etichetta.

Il capo IV facilita l'uso secondario dei dati sanitari elettronici, ad es. per la ricerca, l'innovazione, la definizione delle politiche, la sicurezza dei pazienti o attività normative. Definisce una serie di tipi di dati che possono essere utilizzati per finalità specifiche nonché finalità vietate (ad es. l'uso dei dati contro persone, la pubblicità commerciale, l'aumento delle assicurazioni, lo sviluppo di prodotti pericolosi). Gli Stati membri dovranno istituire un organismo responsabile dell'accesso ai dati sanitari per l'uso secondario dei dati sanitari elettronici e per garantire che i titolari dei dati mettano i dati elettronici a disposizione degli utenti dei dati. Questo capo contiene inoltre disposizioni sull'attuazione dell'altruismo dei dati nel settore sanitario. Sono definiti anche i doveri e gli obblighi dell'organismo responsabile dell'accesso ai dati sanitari, dei titolari dei dati e degli utenti dei dati. In particolare i titolari dei dati dovrebbero cooperare con l'organismo responsabile dell'accesso ai dati sanitari per garantire la disponibilità dei dati sanitari elettronici per gli utenti dei dati. Sono inoltre definite le responsabilità degli organismi responsabili dell'accesso ai dati sanitari e degli utenti dei dati in qualità di contitolari del trattamento dei dati sanitari elettronici.

L'uso secondario dei dati sanitari elettronici può comportare dei costi. Questo capo include disposizioni generali sulla trasparenza del calcolo delle tariffe. A livello pratico, sono definite in particolare prescrizioni in merito alla sicurezza dell'ambiente di trattamento sicuro, necessario per accedere ai dati sanitari elettronici e trattarli ai sensi di questo capo. Nella sezione 3 sono elencate le condizioni e le informazioni che devono essere presenti nel modulo di richiesta di dati per ottenere l'accesso ai dati sanitari elettronici. Sono descritte anche le condizioni associate al rilascio dell'autorizzazione ai dati.

La sezione 4 di questo capo contiene principalmente disposizioni relative all'organizzazione e alla promozione dell'accesso transfrontaliero ai dati sanitari elettronici, in modo che gli utenti dei dati in uno Stato membro possano avere accesso ai dati sanitari elettronici per l'uso secondario da altri Stati membri, senza dover richiedere un'autorizzazione ai dati da tutti questi Stati membri. Sono descritti anche l'infrastruttura transfrontaliera concepita per consentire tale processo e il suo funzionamento.

Infine questo capo contiene disposizioni correlate alla descrizione delle serie di dati e alla loro qualità. Permetterebbe agli utenti dei dati di accertare il contenuto e la potenziale qualità delle serie di dati e consentirebbe loro di valutare se tali serie di dati siano idonee allo scopo.

Il capo V mira a suggerire altre misure che promuovano lo sviluppo delle capacità da parte degli Stati membri per sostenere la messa a punto dello spazio europeo dei dati sanitari. Tali misure possono riguardare lo scambio di informazioni sui servizi pubblici digitali, i finanziamenti, ecc. Inoltre questo capo disciplina l'accesso internazionale ai dati non personali nello spazio europeo dei dati sanitari.

Il capo VI istituisce il "comitato dello spazio europeo dei dati sanitari" ("comitato EHDS") che faciliterà la cooperazione tra le autorità di sanità digitale e gli organismi responsabili dell'accesso ai dati sanitari, in particolare la relazione tra uso primario e secondario dei dati sanitari elettronici. Possono essere formati sottogruppi ad hoc, ad esempio sull'uso primario e sull'uso secondario dei dati sanitari elettronici, al fine di concentrarsi su questioni o processi specifici. Il comitato sarà incaricato di promuovere la collaborazione tra le autorità di sanità digitale e gli organismi responsabili dell'accesso ai dati sanitari. Questo capo stabilisce anche la composizione del comitato e le modalità con cui è organizzato il suo funzionamento.

Il capo contiene inoltre disposizioni correlate ai gruppi di controllo congiunto dell'infrastruttura dell'UE che saranno incaricati di prendere decisioni relative all'infrastruttura digitale transfrontaliera necessaria, sia per l'uso primario che per quello secondario dei dati sanitari elettronici.

Il capo VII consente alla Commissione di adottare atti delegati riguardanti lo spazio europeo dei dati sanitari. In seguito all'adozione della proposta, la Commissione intende creare un gruppo di esperti, in linea con la decisione C(2016) 3301, che sia in grado di consigliarla e di assisterla nella preparazione di atti delegati nonché in merito a questioni collegate all'attuazione del regolamento per quanto riguarda:

–lo sfruttamento dei vantaggi socioeconomici sostenibili dei sistemi e dei servizi europei di sanità digitale e delle applicazioni interoperabili, al fine di conseguire un elevato livello di fiducia e sicurezza, rafforzare la continuità dell'assistenza e garantire l'accesso a un'assistenza sanitaria sicura e di elevata qualità;

–il miglioramento dell'interoperabilità dei dati sanitari elettronici per l'assistenza sanitaria, basandosi su norme europee, internazionali o nazionali esistenti e sull'esperienza di altri spazi di dati;

–l'attuazione armonizzata dell'accesso ai dati sanitari elettronici e della loro condivisione per l'uso primario, a livello nazionale e di UE;

–l'interoperabilità dei sistemi di cartelle cliniche elettroniche e di altri prodotti che trasmettono dati alle cartelle cliniche elettroniche, compresi dispositivi medici, sistemi di intelligenza artificiale e applicazioni per il benessere. Se del caso, il gruppo di esperti coopera con il gruppo di coordinamento per i dispositivi medici e il comitato europeo per l'intelligenza artificiale;

–categorie minime di dati sanitari elettronici per l'uso secondario;

–l'attuazione armonizzata dell'accesso ai dati sanitari elettronici per l'uso secondario, a livello nazionale e di UE;

–attività di altruismo dei dati nel settore sanitario;

–politica tariffaria armonizzata per l'uso secondario dei dati sanitari elettronici;

–sanzioni applicate dagli organismi responsabili dell'accesso ai dati sanitari;

–prescrizioni minime e specifiche tecniche per HealthData@EU e per gli ambienti di trattamento sicuri;

–prescrizioni e specifiche tecniche per il marchio di qualità e di utilità dei dati;

–serie minime di dati;

–prescrizioni tecniche per sostenere l'altruismo dei dati nel settore sanitario;

–altri elementi correlati all'uso primario e secondario dei dati sanitari elettronici.

Il gruppo di esperti può cooperare con il gruppo di coordinamento per i dispositivi medici e il comitato europeo per l'intelligenza artificiale e consultarli, se del caso.

Il capo VIII contiene disposizioni sulla cooperazione e le sanzioni, e stabilisce le disposizioni finali.

2022/0140 (COD)

Proposta di

REGOLAMENTO DEL PARLAMENTO EUROPEO E DEL CONSIGLIO

sullo spazio europeo dei dati sanitari

(Testo rilevante ai fini del SEE)

IL PARLAMENTO EUROPEO E IL CONSIGLIO DELL'UNIONE EUROPEA,

visto il trattato sul funzionamento dell'Unione europea, in particolare gli articoli 16 e 114,

vista la proposta della Commissione europea,

previa trasmissione del progetto di atto legislativo ai parlamenti nazionali,

visto il parere del Comitato economico e sociale europeo 39 ,

visto il parere del Comitato delle regioni 40 ,

deliberando secondo la procedura legislativa ordinaria,

considerando quanto segue:

(1)Il presente regolamento ha lo scopo di istituire lo spazio europeo dei dati sanitari (European Health Data Space, EHDS) al fine di migliorare l'accesso delle persone fisiche ai loro dati sanitari elettronici personali e il loro controllo su tali dati nel contesto dell'assistenza sanitaria (uso primario dei dati sanitari elettronici), e per altre finalità di cui beneficerebbe la società quali la ricerca, l'innovazione, la definizione delle politiche, la sicurezza dei pazienti, la medicina personalizzata, le statistiche ufficiali o le attività normative (uso secondario dei dati sanitari elettronici). Il suo obiettivo è inoltre di migliorare il funzionamento del mercato interno istituendo un quadro giuridico uniforme in particolare per quanto riguarda lo sviluppo, la commercializzazione e l'uso di sistemi di cartelle cliniche elettroniche in conformità ai valori dell'Unione.

(2)La pandemia di COVID-19 ha evidenziato l'assoluta necessità di disporre di un accesso tempestivo ai dati sanitari elettronici per la preparazione e la risposta alle minacce sanitarie, nonché per la diagnosi e la cura e l'uso secondario dei dati sanitari. Tale accesso tempestivo avrebbe contribuito, attraverso una sorveglianza e un monitoraggio efficienti della sanità pubblica, a realizzare una gestione più efficace della pandemia, e in ultima analisi avrebbe aiutato a salvare vite umane. Nel 2020 la Commissione ha adattato d'urgenza il sistema di gestione dei dati clinici dei pazienti, istituito dalla decisione di esecuzione (UE) 2019/1269 della Commissione 41 , per consentire agli Stati membri di condividere i dati sanitari elettronici dei pazienti affetti dalla COVID-19 che durante il picco della pandemia sono passati da un prestatore di assistenza sanitaria a un altro e si sono spostati tra Stati membri, ma si è trattato solo di una soluzione di emergenza, che ha dimostrato la necessità di un approccio strutturale a livello di Stati membri e di Unione.

(3)La crisi COVID-19 ha consacrato l'attività della rete di assistenza sanitaria online (eHealth), una rete volontaria di autorità di sanità digitale, come il pilastro principale per lo sviluppo di applicazioni mobili di tracciamento dei contatti e di allerta e degli aspetti tecnici dei certificati COVID digitali dell'UE. Ha anche evidenziato la necessità di condividere dati sanitari elettronici che siano reperibili, accessibili, interoperabili e riutilizzabili (principi "FAIR") e di garantire che i dati sanitari elettronici siano il più aperti possibile e chiusi il tanto necessario. Dovrebbero essere garantite sinergie tra lo spazio europeo dei dati sanitari, il cloud europeo per la scienza aperta 42 e le infrastrutture europee di ricerca, anche tenendo conto delle esperienze acquisite dalle soluzioni di condivisione dei dati sviluppate nel quadro della piattaforma europea di dati sulla COVID-19.

(4)Il trattamento di dati sanitari elettronici personali è soggetto alle disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio 43 e, per le istituzioni e gli organi dell'Unione, del regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio 44 . I riferimenti alle disposizioni del regolamento (UE) 2016/679 dovrebbero essere intesi anche come riferimenti alle corrispondenti disposizioni del regolamento (UE) 2018/1725 per le istituzioni e gli organi dell'Unione, se del caso.

(5)Sono sempre più numerosi gli europei che attraversano le frontiere nazionali per lavorare, studiare, visitare i parenti o viaggiare. Per facilitare lo scambio dei dati sanitari, e in linea con la necessità di dare maggiori possibilità ai cittadini, questi ultimi dovrebbero essere in grado di accedere ai loro dati sanitari in un formato elettronico che possa essere riconosciuto e accettato in tutta l'Unione. Tali dati sanitari elettronici personali potrebbero includere dati personali relativi alla salute fisica o mentale di una persona fisica, compresa l'erogazione di servizi di assistenza sanitaria, che rivelano informazioni sul suo stato di salute, dati personali relativi a caratteristiche genetiche ereditarie o acquisite di una persona fisica che forniscono informazioni univoche sulla fisiologia o la salute di quella persona fisica e che provengono, in particolare, dall'analisi di un campione biologico della persona fisica in questione, e dati sui determinanti della salute, quali il comportamento, le influenze ambientali e fisiche, l'assistenza medica e fattori sociali o educativi. I dati sanitari elettronici includono anche dati che sono stati inizialmente raccolti per la ricerca, le statistiche, la definizione delle politiche o finalità normative e che possono essere resi disponibili secondo le norme di cui al capo IV. I dati sanitari elettronici riguardano tutte le categorie di questi dati, a prescindere dal fatto che tali dati siano forniti dall'interessato o da altre persone fisiche o giuridiche come i professionisti sanitari, o siano trattati in relazione alla salute o al benessere di una persona fisica e dovrebbero inoltre includere dati desunti o derivati, quali diagnosi, test ed esami medici, nonché i dati osservati e registrati con l'ausilio di strumenti automatici.

(6)Il capo III del regolamento (UE) 2016/679 contiene disposizioni specifiche relative ai diritti delle persone fisiche in relazione al trattamento dei loro dati personali. Lo spazio europeo dei dati sanitari si basa su tali diritti e sviluppa ulteriormente alcuni di essi. Lo spazio europeo dei dati sanitari dovrebbe sostenere l'attuazione coerente di tali diritti applicati ai dati sanitari elettronici, indipendentemente dallo Stato membro in cui sono trattati i dati sanitari elettronici personali, dal tipo di prestatore di assistenza sanitaria, dalle fonti dei dati o dallo Stato membro di affiliazione della persona fisica. Le norme e i diritti correlati all'uso primario dei dati sanitari elettronici personali ai sensi dei capi II e III del presente regolamento riguardano tutte le categorie di questi dati, a prescindere dalle modalità con cui sono stati raccolti o da chi li ha forniti, dalla base giuridica per il trattamento ai sensi del regolamento (UE) 2016/679 o dallo stato del titolare del trattamento quale organizzazione pubblica o privata della base giuridica del trattamento.

(7)Nei sistemi sanitari, i dati sanitari elettronici personali in genere sono raccolti in cartelle cliniche elettroniche, che solitamente contengono l'anamnesi di una persona fisica, diagnosi e cure, medicinali, allergie, immunizzazioni, nonché immagini radiologiche e risultati di laboratorio, distribuiti tra i diversi soggetti del sistema sanitario (medici di medicina generale, ospedali, farmacie, servizi di assistenza). Al fine di permettere l'accesso ai dati sanitari elettronici e la loro condivisione e modifica da parte delle persone fisiche o dei professionisti sanitari, alcuni Stati membri hanno adottato le necessarie misure giuridiche e tecniche e hanno istituito infrastrutture centralizzate che collegano i sistemi di cartelle cliniche elettroniche utilizzati dai prestatori di assistenza sanitaria e dalle persone fisiche. In alternativa alcuni Stati membri sostengono prestatori di assistenza sanitaria pubblici e privati nell'istituzione di spazi di dati sanitari personali per permettere l'interoperabilità tra diversi prestatori di assistenza sanitaria. Vari Stati membri hanno inoltre sostenuto o fornito servizi di accesso ai dati sanitari per pazienti e professionisti sanitari (ad esempio attraverso portali per i pazienti o i professionisti sanitari). Hanno inoltre adottato misure intese a garantire che i sistemi di cartelle cliniche elettroniche o le applicazioni per il benessere siano in grado di trasmettere dati sanitari elettronici al sistema centrale delle cartelle cliniche elettroniche (alcuni Stati membri a tal fine utilizzano, ad esempio, un sistema di certificazione). Tuttavia non tutti gli Stati membri hanno messo in atto tali sistemi, e gli Stati membri che li hanno attuati lo hanno fatto in modo frammentato. Al fine di facilitare la libera circolazione dei dati sanitari personali in tutta l'Unione ed evitare conseguenze negative per i pazienti quando ricevono assistenza sanitaria in un contesto transfrontaliero, è necessaria l'azione dell'Unione per garantire che le persone possano accedere più facilmente ai loro dati sanitari elettronici personali e che abbiano la facoltà di condividerli.

(8)Il diritto di accedere ai dati da parte di una persona fisica, stabilito dall'articolo 15 del regolamento (UE) 2016/679, dovrebbe essere ulteriormente sviluppato nel settore sanitario. Ai sensi del regolamento (UE) 2016/679, i titolari del trattamento non hanno l'obbligo di fornire l'accesso immediatamente. Sebbene in molti luoghi esistano portali per i pazienti, applicazioni mobili e altri servizi di accesso ai dati sanitari, tra cui soluzioni nazionali in taluni Stati membri, in molti casi il diritto di accesso ai dati sanitari è tuttora comunemente attuato attraverso la fornitura dei dati sanitari richiesti in formato cartaceo o sotto forma di documenti scannerizzati, processo che risulta dispendioso in termini di tempo. Tale situazione può pregiudicare gravemente l'accesso tempestivo ai dati sanitari da parte delle persone fisiche e può avere un impatto negativo sulle persone fisiche che hanno bisogno immediatamente di tale accesso a causa di circostanze urgenti in merito alla loro condizione di salute.

(9)Allo stesso tempo è opportuno considerare che l'accesso immediato ad alcuni tipi di dati sanitari elettronici personali può essere dannoso per la sicurezza delle persone fisiche, non etico o inappropriato. Ad esempio potrebbe non essere etico informare un paziente attraverso un canale elettronico in merito alla diagnosi di una malattia incurabile che probabilmente porterà rapidamente al suo decesso, anziché prima comunicare tale informazione in un colloquio con il paziente. Pertanto dovrebbe essere garantita la possibilità di definire limitate eccezioni nell'attuazione di tale diritto. Gli Stati membri possono imporre una tale eccezione laddove essa costituisca una misura necessaria e proporzionata in una società democratica, in linea con le prescrizioni dell'articolo 23 del regolamento (UE) 2016/679. Tali limitazioni dovrebbero essere attuate ritardando la visualizzazione, da parte della persona fisica, dei dati sanitari elettronici personali in questione per un periodo limitato. Laddove i dati sanitari siano disponibili solo in formato cartaceo e gli interventi volti a renderli disponibili elettronicamente siano sproporzionati, gli Stati membri non dovrebbero essere soggetti all'obbligo di convertire tali dati sanitari in formato elettronico. Qualsiasi trasformazione digitale nel settore dell'assistenza sanitaria dovrebbe mirare a essere inclusiva e apportare benefici anche alle persone fisiche con una capacità limitata di accedere ai servizi digitali e di usufruirne. Le persone fisiche dovrebbero poter fornire un'autorizzazione alle persone fisiche di loro scelta, come a parenti o ad altre persone fisiche loro vicine, che permetta a queste persone di accedere ai loro dati sanitari elettronici personali o di controllarne l'accesso, oppure di utilizzare servizi di sanità digitale per loro conto. Tali autorizzazioni possono essere utili anche per ragioni di praticità in altre situazioni. Per attuare tali autorizzazioni è opportuno che gli Stati membri istituiscano servizi di delega, che dovrebbero essere collegati a servizi di accesso ai dati sanitari personali, quali portali per i pazienti o applicazioni mobili rivolte ai pazienti. I servizi di delega dovrebbero anche permettere ai tutori di agire per conto dei minori di cui hanno la tutela; in tali situazioni le autorizzazioni potrebbero essere automatiche. Al fine di tenere conto dei casi in cui la visualizzazione, da parte dei tutori, di alcuni dati sanitari elettronici personali di minori possa essere contraria agli interessi o alla volontà del minore, gli Stati membri dovrebbero poter prevedere tali limitazioni e garanzie nel diritto interno, nonché la necessaria attuazione tecnica. I servizi di accesso ai dati sanitari personali, quali portali per i pazienti o applicazioni mobili, dovrebbero utilizzare tali autorizzazioni e consentire così alle persone fisiche autorizzate di accedere ai dati sanitari elettronici personali che rientrano nell'ambito dell'autorizzazione, affinché producano l'effetto desiderato.

(10)Alcuni Stati membri consentono alle persone fisiche di aggiungere dati sanitari elettronici alle loro cartelle cliniche elettroniche o di conservare informazioni supplementari nella loro cartella clinica personale separata a cui possono accedere i professionisti sanitari. Tuttavia questa non è prassi comune in tutti gli Stati membri e pertanto dovrebbe essere istituita dallo spazio europeo dei dati sanitari in tutta l'UE. Le informazioni inserite dalle persone fisiche possono non essere tanto affidabili quanto i dati sanitari elettronici immessi e verificati dai professionisti sanitari; pertanto dovrebbero essere chiaramente segnalate per indicare la fonte di tali dati aggiuntivi. Potendo accedere più facilmente e rapidamente ai propri dati sanitari elettronici, le persone fisiche sarebbero anche in grado di notare possibili errori quali informazioni errate o cartelle cliniche attribuite erroneamente e farli rettificare avvalendosi dei loro diritti ai sensi del regolamento (UE) 2016/679. In tali casi bisognerebbe permettere alle persone fisiche di richiedere, immediatamente e gratuitamente, la rettifica dei dati sanitari elettronici errati online attraverso ad esempio il servizio di accesso ai dati sanitari personali. Le richieste di rettifica dei dati dovrebbero essere valutate e, se del caso, eseguite dai titolari del trattamento caso per caso, se necessario coinvolgendo i professionisti sanitari.

(11)Alle persone fisiche dovrebbero essere date maggiori possibilità di scambiare dati sanitari elettronici personali con professionisti sanitari di loro scelta e di fornire loro l'accesso a tali dati, andando oltre il diritto alla portabilità dei dati stabilito dall'articolo 20 del regolamento (UE) 2016/679. Ciò è necessario per fronteggiare difficoltà e ostacoli oggettivi nella situazione attuale. Ai sensi del regolamento (UE) 2016/679 la portabilità è limitata solo ai dati trattati sulla base del consenso o di un contratto, il che esclude i dati trattati secondo altre basi giuridiche, ad esempio quando il trattamento è previsto per legge, ossia quando il trattamento è necessario per l'esecuzione di un compito di interesse pubblico o è connesso all'esercizio di pubblici poteri di cui è investito il titolare del trattamento. Riguarda solo i dati forniti dall'interessato a un titolare del trattamento, con l'esclusione di molti dati desunti o indiretti, quali diagnosi o test. Infine, ai sensi del regolamento (UE) 2016/679, la persona fisica ha il diritto di ottenere la trasmissione diretta dei dati personali da un titolare del trattamento all'altro solo se tecnicamente fattibile. Tale regolamento non prevede tuttavia l'obbligo di rendere questa trasmissione diretta tecnicamente fattibile. Tutti questi elementi limitano la portabilità dei dati e possono comprometterne i benefici ai fini dell'erogazione di servizi di assistenza sanitaria di alta qualità, sicuri ed efficienti per le persone fisiche.

(12)Le persone fisiche dovrebbero poter esercitare il loro controllo sulla trasmissione dei dati sanitari elettronici personali ad altri prestatori di assistenza sanitaria. I prestatori di assistenza sanitaria e altre organizzazioni che forniscono cartelle cliniche elettroniche dovrebbero facilitare l'esercizio di tale diritto. I portatori di interessi quali i prestatori di assistenza sanitaria, i fornitori di servizi di sanità digitale e i fabbricanti di sistemi di cartelle cliniche elettroniche o di dispositivi medici non dovrebbero limitare o bloccare l'esercizio del diritto alla portabilità a causa dell'uso di standard proprietari o di altre misure adottate per limitare la portabilità. Per tali motivi il quadro stabilito dal presente regolamento si basa sul diritto alla portabilità dei dati previsto dal regolamento (UE) 2016/679 garantendo che le persone fisiche, in qualità di interessati, possano trasmettere i loro dati sanitari elettronici, compresi i dati desunti, a prescindere dalla base giuridica per il trattamento dei dati sanitari elettronici. Questo diritto dovrebbe applicarsi ai dati sanitari elettronici trattati da titolari del trattamento pubblici o privati, a prescindere dalla base giuridica per il trattamento dei dati in conformità del regolamento (UE) 2016/679. Questo diritto dovrebbe applicarsi a tutti i dati sanitari elettronici.

(13)È possibile che le persone fisiche non vogliano concedere l'accesso ad alcune parti dei loro dati sanitari elettronici personali permettendo al contempo l'accesso ad altre parti. È opportuno sostenere questa condivisione selettiva dei dati sanitari elettronici personali. Tuttavia tali limitazioni possono mettere a repentaglio la vita delle persone e pertanto è opportuno che sia possibile accedere ai dati sanitari elettronici personali per proteggere gli interessi vitali in caso di emergenza. Secondo il regolamento (UE) 2016/679, con "interessi vitali" si intendono situazioni in cui è necessario proteggere un interesse essenziale per la vita dell'interessato o di un'altra persona fisica. Il trattamento di dati sanitari elettronici personali fondato sull'interesse vitale di un'altra persona fisica dovrebbe avere luogo in principio unicamente quando il trattamento non può essere manifestamente fondato su un'altra base giuridica. Gli Stati membri dovrebbero prevedere nel diritto interno disposizioni giuridiche più specifiche sui meccanismi delle limitazioni poste dalla persona fisica su parti dei suoi dati sanitari elettronici personali. Poiché l'indisponibilità dei dati sanitari elettronici personali soggetti a tali limitazioni può influire sull'erogazione o sulla qualità dei servizi sanitari erogati alla persona fisica, quest'ultima dovrebbe assumersi la responsabilità del fatto che il prestatore di assistenza sanitaria non può tenere conto dei dati al momento dell'erogazione dei servizi sanitari.

(14)Nel contesto dello spazio europeo dei dati sanitari, le persone fisiche dovrebbero poter esercitare i loro diritti sanciti dal regolamento (UE) 2016/679. Le autorità di controllo istituite ai sensi dell'articolo 51 del regolamento (UE) 2016/679 dovrebbero continuare a essere competenti, in particolare per monitorare il trattamento dei dati sanitari elettronici personali e rispondere a eventuali reclami presentati dalle persone fisiche. Al fine di eseguire i loro compiti nel settore sanitario e tutelare i diritti delle persone fisiche, le autorità di sanità digitale dovrebbero cooperare con le autorità di controllo ai sensi del regolamento (UE) 2016/679.

(15)L'articolo 9, paragrafo 2, lettera h), del regolamento (UE) 2016/679 prevede eccezioni quando il trattamento dei dati sensibili è necessario per finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria ovvero gestione dei sistemi e servizi sanitari sulla base del diritto dell'Unione o degli Stati membri. Il presente regolamento dovrebbe fornire condizioni e garanzie per il trattamento dei dati sanitari elettronici da parte di prestatori di assistenza sanitaria e di professionisti sanitari in linea con l'articolo 9, paragrafo 2, lettera h), del regolamento (UE) 2016/679 con la finalità di accedere ai dati sanitari elettronici personali forniti dalla persona fisica o trasmessi da altri prestatori di assistenza sanitaria. Tuttavia il presente regolamento dovrebbe lasciare impregiudicate le leggi nazionali relative al trattamento dei dati sanitari, compresa la normativa che definisce le categorie di professionisti sanitari che possono trattare differenti categorie di dati sanitari elettronici.

(16)Un accesso tempestivo e completo dei professionisti sanitari alle cartelle cliniche dei pazienti è fondamentale per garantire la continuità dell'assistenza ed evitare duplicazioni ed errori. Tuttavia, a causa della mancanza di interoperabilità, in molti casi i professionisti sanitari non possono accedere alle cartelle cliniche complete dei loro pazienti e non possono prendere decisioni mediche ottimali per la diagnosi e la cura, il che comporta costi notevoli sia per i sistemi sanitari che per le persone fisiche e può portare a risultati di salute peggiori per le persone fisiche. I dati sanitari elettronici resi disponibili in un formato interoperabile, che possono essere trasmessi tra prestatori di assistenza sanitaria, possono anche ridurre l'onere amministrativo per i professionisti sanitari derivante dal dover inserire manualmente o copiare i dati sanitari da un sistema elettronico all'altro. Pertanto i professionisti sanitari dovrebbero essere muniti di mezzi elettronici appropriati, come i portali ad essi dedicati, in modo da poter utilizzare i dati sanitari elettronici personali per l'esercizio delle loro funzioni. Inoltre l'accesso alle cartelle cliniche personali dovrebbe essere trasparente per le persone fisiche, le quali dovrebbero poter esercitare il pieno controllo su tale accesso, anche limitando l'accesso a tutti i dati sanitari elettronici personali o a parte di essi nelle loro cartelle cliniche. I professionisti sanitari dovrebbero astenersi dall'ostacolare l'attuazione dei diritti delle persone fisiche, ad esempio rifiutandosi di tenere conto dei dati sanitari elettronici provenienti da un altro Stato membro e forniti nel formato europeo di scambio delle cartelle cliniche elettroniche, interoperabile e affidabile.

(17)La pertinenza delle diverse categorie di dati sanitari elettronici varia a seconda dei differenti scenari di assistenza sanitaria. Le diverse categorie di dati hanno inoltre conseguito livelli di maturità differenti in termini di normazione, e pertanto l'attuazione di meccanismi per il loro scambio può essere più o meno complessa a seconda della categoria. Pertanto il miglioramento dell'interoperabilità e della condivisione dei dati dovrebbe essere graduale ed è necessario definire l'ordine di priorità delle categorie di dati sanitari elettronici. Le categorie di dati sanitari elettronici quali il profilo sanitario sintetico del paziente, la prescrizione e la dispensazione elettroniche, i risultati e i rapporti di laboratorio, le lettere di dimissione ospedaliera e le immagini medicali e i referti di immagini sono state selezionate dalla rete di assistenza sanitaria online come le più pertinenti per la maggior parte delle situazioni di assistenza sanitaria e gli Stati membri dovrebbero considerarle come categorie prioritarie per garantire l'accesso a esse e la loro trasmissione. L'elenco delle categorie prioritarie dovrebbe essere ampliato qualora siano individuate ulteriori necessità di scambiare più categorie di dati sanitari elettronici per finalità di assistenza sanitaria. Alla Commissione dovrebbe essere conferito il potere di ampliare l'elenco delle categorie prioritarie, dopo aver analizzato gli aspetti pertinenti legati alla necessità e alla possibilità di scambiare nuove serie di dati, come la loro gestione da parte di sistemi istituiti a livello nazionale o regionale dagli Stati membri. Si dovrebbe prestare particolare attenzione allo scambio di dati nelle regioni frontaliere di Stati membri confinanti dove l'erogazione di servizi sanitari transfrontalieri è più frequente e richiede procedure anche più rapide rispetto a quelle necessarie nell'Unione in generale.

(18)È opportuno permettere l'accesso ai dati sanitari elettronici e la loro condivisione per tutti i dati presenti nella cartella clinica elettronica di una persona fisica, se tecnicamente fattibile. È possibile tuttavia che alcuni dati sanitari elettronici non siano strutturati o codificati, e la trasmissione tra prestatori di assistenza sanitaria può essere limitata o possibile solo in formati che non consentono la traduzione (quando i dati sono condivisi a livello transfrontaliero). Al fine di concedere tempo sufficiente per preparare l'attuazione, dovrebbero essere determinate date di applicazione differita per consentire di conseguire la preparazione giuridica, organizzativa, semantica e tecnica necessaria per la trasmissione di differenti categorie di dati sanitari elettronici. Quando si riscontra la necessità di scambiare nuove categorie di dati sanitari elettronici, è opportuno determinare le relative date di applicazione al fine di consentire l'attuazione di tale scambio.

(19)Il livello di disponibilità dei dati sanitari e genetici personali in un formato elettronico varia a seconda degli Stati membri. Lo spazio europeo dei dati sanitari dovrebbe facilitare alle persone fisiche la possibilità di disporre di tali dati in formato elettronico. Ciò contribuirebbe anche al conseguimento dell'obiettivo di garantire che entro il 2030 il 100 % dei cittadini dell'Unione abbia accesso alle proprie cartelle cliniche elettroniche, come indicato nel programma strategico "Percorso per il decennio digitale". Al fine di rendere i dati sanitari elettronici disponibili e trasmissibili, è opportuno che l'accesso a tali dati e la loro trasmissione avvenga in un formato europeo di scambio delle cartelle cliniche elettroniche comune e interoperabile, almeno per determinate categorie di dati sanitari elettronici, quali i profili sanitari sintetici dei pazienti, le prescrizioni e le dispensazioni elettroniche, le immagini medicali e i referti di immagini, i risultati di laboratorio e le lettere di dimissione, prevedendo periodi di transizione. Laddove i dati sanitari elettronici personali siano messi a disposizione di un prestatore di assistenza sanitaria o di una farmacia da una persona fisica, o siano trasmessi da un altro titolare del trattamento nel formato europeo di scambio delle cartelle cliniche elettroniche, tali dati dovrebbero essere letti e accettati ai fini della prestazione di assistenza sanitaria o della dispensazione di un medicinale, sostenendo così l'erogazione dei servizi di assistenza sanitaria o la dispensazione della prescrizione elettronica. La raccomandazione (UE) 2019/243 della Commissione 45 pone le basi di tale formato europeo comune di scambio delle cartelle cliniche elettroniche. L'uso del formato europeo di scambio delle cartelle cliniche elettroniche dovrebbe diventare più generalizzato a livello nazionale e di UE. Sebbene la rete di assistenza sanitaria online di cui all'articolo 14 della direttiva 2011/24/UE del Parlamento europeo e del Consiglio 46 abbia raccomandato agli Stati membri di utilizzare il formato europeo di scambio delle cartelle cliniche elettroniche negli appalti al fine di migliorare l'interoperabilità, nella pratica la sua adozione è stata limitata, il che ha determinato un panorama frammentato e una mancanza di uniformità nell'accesso ai dati sanitari elettronici e nella loro portabilità.

(20)Sebbene i sistemi di cartelle cliniche elettroniche siano ampiamente diffusi, il livello di digitalizzazione dei dati sanitari varia negli Stati membri a seconda delle categorie di dati e della copertura dei prestatori di assistenza sanitaria che registrano i dati sanitari in formato elettronico. Al fine di sostenere l'attuazione dei diritti degli interessati di accedere ai dati sanitari elettronici e di scambiarli, è necessaria l'azione dell'Unione per evitare un'ulteriore frammentazione. Onde contribuire a un'elevata qualità e alla continuità dell'assistenza sanitaria, determinate categorie di dati sanitari dovrebbero essere registrate sistematicamente in formato elettronico e secondo specifiche prescrizioni di qualità dei dati. Il formato europeo di scambio delle cartelle cliniche elettroniche dovrebbe costituire la base per le specifiche relative alla registrazione e allo scambio dei dati sanitari elettronici. Alla Commissione dovrebbe essere conferito il potere di adottare atti di esecuzione per determinare ulteriori aspetti collegati alla registrazione dei dati sanitari elettronici, quali le categorie di prestatori di assistenza sanitaria che devono registrare i dati sanitari elettronicamente, le categorie di dati da registrare elettronicamente o le prescrizioni di qualità dei dati.

(21)Ai sensi dell'articolo 168 del trattato gli Stati membri sono responsabili della loro politica sanitaria, in particolare delle decisioni sui servizi (inclusa la telemedicina) che forniscono e rimborsano. Le diverse politiche di rimborso non dovrebbero tuttavia costituire un ostacolo alla libera circolazione dei servizi di sanità digitale quali la telemedicina, compresi i servizi farmaceutici online. Quando i servizi digitali accompagnano l'erogazione fisica di un servizio di assistenza sanitaria, il servizio digitale dovrebbe essere considerato parte della prestazione complessiva dell'assistenza.

(22)Il regolamento (UE) n. 910/2014 del Parlamento europeo e del Consiglio 47 stabilisce le condizioni alle quali gli Stati membri effettuano l'identificazione delle persone fisiche in situazioni transfrontaliere utilizzando mezzi di identificazione elettronica rilasciati da un altro Stato membro, stabilendo norme per il riconoscimento reciproco di tali mezzi di identificazione elettronica. Lo spazio europeo dei dati sanitari richiede un accesso sicuro ai dati sanitari elettronici, anche in scenari transfrontalieri in cui il professionista sanitario e la persona fisica provengono da Stati membri differenti, per evitare casi di accesso non autorizzato. Allo stesso tempo l'esistenza di differenti mezzi di identificazione elettronica non dovrebbe costituire un ostacolo all'esercizio dei diritti delle persone fisiche e dei professionisti sanitari. L'introduzione di meccanismi di identificazione e autenticazione transfrontalieri e interoperabili per le persone fisiche e i professionisti sanitari in tutto lo spazio europeo dei dati sanitari richiede il rafforzamento della cooperazione a livello di Unione nel comitato dello spazio europeo dei dati sanitari ("comitato EHDS"). Poiché i diritti delle persone fisiche in relazione all'accesso ai dati sanitari elettronici personali e alla loro trasmissione dovrebbero essere attuati uniformemente nell'Unione, sono necessari una forte governance e un buon coordinamento sia a livello di Unione che di Stati membri. Gli Stati membri dovrebbero istituire autorità di sanità digitale competenti per la pianificazione e l'attuazione di norme per l'accesso ai dati sanitari elettronici e per la loro trasmissione, nonché per l'applicazione dei diritti delle persone fisiche e dei professionisti sanitari. Inoltre negli Stati membri sono necessari elementi di governance per facilitare la partecipazione di attori nazionali alla cooperazione a livello di Unione, convogliando le competenze e fornendo consulenza sulla concezione di soluzioni necessarie al conseguimento degli obiettivi dello spazio europeo dei dati sanitari. Nella maggior parte degli Stati membri esistono autorità di sanità digitale che si occupano di cartelle cliniche elettroniche, interoperabilità, sicurezza o normazione. Tali autorità dovrebbero essere istituite in tutti gli Stati membri, sotto forma di organizzazioni separate o come parte di autorità attualmente esistenti.

(23)Le autorità di sanità digitale dovrebbero avere competenze tecniche sufficienti, riunendo possibilmente esperti di differenti organizzazioni. Le attività di tali autorità dovrebbero essere ben pianificate e monitorate al fine di garantirne l'efficienza. Le autorità di sanità digitale dovrebbero adottare le misure necessarie per garantire i diritti delle persone fisiche mettendo a punto soluzioni tecniche nazionali, regionali e locali quali cartelle cliniche elettroniche nazionali, portali per i pazienti e sistemi di intermediazione dei dati. È opportuno che, nel farlo, applichino norme e specifiche comuni in tali soluzioni, promuovano l'applicazione delle norme e delle specifiche negli appalti e utilizzino altri mezzi innovativi come il rimborso di soluzioni conformi alle prescrizioni di interoperabilità e sicurezza dello spazio europeo dei dati sanitari. Per eseguire tali compiti, le autorità di sanità digitale dovrebbero cooperare a livello nazionale e di Unione con altri soggetti, tra cui compagnie assicurative, prestatori di assistenza sanitaria, fabbricanti di sistemi di cartelle cliniche elettroniche e applicazioni per il benessere, nonché con portatori di interessi del settore sanitario o informatico, soggetti che gestiscono regimi di rimborso, organismi di valutazione della tecnologia sanitaria, autorità e agenzie di regolamentazione dei medicinali, autorità competenti sui dispositivi medici, committenti e autorità di cibersicurezza o di identificazione elettronica.

(24)L'accesso ai dati sanitari elettronici e la loro trasmissione sono pertinenti in situazioni di assistenza sanitaria transfrontaliera, poiché possono sostenere la continuità dell'assistenza sanitaria quando le persone fisiche viaggiano in altri Stati membri o cambiano luogo di residenza. La continuità dell'assistenza e il rapido accesso ai dati sanitari elettronici personali sono ancora più importanti per i residenti delle regioni frontaliere, che attraversano spesso i confini per ricevere assistenza sanitaria. In molte regioni frontaliere alcuni servizi specializzati di assistenza sanitaria possono essere disponibili in luoghi più vicini oltre frontiera piuttosto che nello stesso Stato membro. È necessaria un'infrastruttura per la trasmissione transfrontaliera di dati sanitari elettronici personali in situazioni in cui una persona fisica utilizza i servizi di un prestatore di assistenza sanitaria stabilito in un altro Stato membro. A tal fine, nel quadro delle azioni previste dall'articolo 14 della direttiva 2011/24/UE, è stata istituita un'infrastruttura volontaria denominata MyHealth@EU (LaMiaSalute@UE). Attraverso MyHealth@EU gli Stati membri hanno iniziato a offrire alle persone fisiche la possibilità di condividere i loro dati sanitari elettronici personali con prestatori di assistenza sanitaria in occasione di viaggi all'estero. Per sostenere ulteriormente tali possibilità, la partecipazione degli Stati membri all'infrastruttura digitale MyHealth@EU dovrebbe diventare obbligatoria. Tutti gli Stati membri dovrebbero aderire all'infrastruttura e provvedere al collegamento di prestatori di assistenza sanitaria e di farmacie, in quanto ciò è necessario per l'attuazione dei diritti delle persone fisiche ad accedere ai propri dati sanitari elettronici personali e a utilizzarli indipendentemente dallo Stato membro. L'infrastruttura dovrebbe essere gradualmente ampliata per supportare ulteriori categorie di dati sanitari elettronici.

(25)Nel contesto di MyHealth@EU, una piattaforma centrale dovrebbe fornire un'infrastruttura comune agli Stati membri per garantire la connettività e l'interoperabilità in modo efficiente e sicuro. Al fine di garantire la conformità alle norme in materia di protezione dei dati e di fornire un quadro per la gestione del rischio per la trasmissione dei dati sanitari elettronici personali, la Commissione, per mezzo di atti di esecuzione, dovrebbe attribuire responsabilità specifiche agli Stati membri, come contitolari del trattamento, e prescrivere i propri obblighi, in qualità di responsabile del trattamento.

(26)Oltre ai servizi presenti in MyHealth@EU per lo scambio di dati sanitari elettronici personali sulla base del formato europeo di scambio delle cartelle cliniche elettroniche, possono essere necessari altri servizi o infrastrutture supplementari, ad esempio nei casi di emergenze di sanità pubblica o quando l'architettura di MyHealth@EU non è idonea per l'attuazione di alcuni casi d'uso. Esempi di tali casi d'uso includono il supporto delle funzionalità del libretto delle vaccinazioni, compreso lo scambio di informazioni sui piani vaccinali, o la verifica dei certificati di vaccinazione o di altri certificati collegati alla salute. Ciò sarebbe importante anche per l'introduzione di ulteriori funzionalità per la gestione di crisi di sanità pubblica, come il supporto del tracciamento dei contatti ai fini del contenimento delle malattie infettive. Il collegamento di punti di contatto nazionali per la sanità digitale di paesi terzi o l'interoperabilità con sistemi digitali istituiti a livello internazionale dovrebbero essere oggetto di un controllo che garantisca la conformità del punto di contatto nazionale alle specifiche tecniche, alle norme in materia di protezione dei dati e ad altre prescrizioni di MyHealth@EU. La decisione di collegare un punto di contatto nazionale di un paese terzo dovrebbe essere presa dai titolari del trattamento nel gruppo di controllo congiunto di MyHealth@EU.

(27)Al fine di garantire il rispetto dei diritti delle persone fisiche e dei professionisti sanitari, i sistemi di cartelle cliniche elettroniche commercializzati nel mercato interno dell'Unione dovrebbero essere in grado di conservare e trasmettere, in modo sicuro, dati sanitari elettronici di alta qualità. Si tratta di un principio essenziale dello spazio europeo dei dati sanitari per garantire la libera e sicura circolazione dei dati sanitari elettronici nell'Unione. A tal fine dovrebbe essere istituito uno schema di autocertificazione obbligatoria per i sistemi di cartelle cliniche elettroniche che trattano una o più categorie prioritarie di dati sanitari elettronici per superare la frammentazione del mercato garantendo al contempo un approccio proporzionato. Attraverso tale autocertificazione, i sistemi di cartelle cliniche elettroniche dovrebbero dimostrare la conformità alle prescrizioni essenziali in materia di interoperabilità e sicurezza definite a livello di Unione. In relazione alla sicurezza, è opportuno che le prescrizioni essenziali riguardino elementi specifici dei sistemi di cartelle cliniche elettroniche, poiché le proprietà di sicurezza più generali dovrebbero essere garantite da altri meccanismi come i sistemi di certificazione della cibersicurezza ai sensi del regolamento (UE) 2019/881 del Parlamento europeo e del Consiglio 48 .

(28)Mentre i sistemi di cartelle cliniche elettroniche specificamente previsti dai fabbricanti per essere utilizzati per il trattamento di una o più categorie specifiche di dati sanitari elettronici dovrebbero essere soggetti a un'autocertificazione obbligatoria, i software di tipo generico non dovrebbero essere considerati sistemi di cartelle cliniche elettroniche, anche quando sono utilizzati in scenari di assistenza sanitaria, e pertanto non dovrebbero essere tenuti a rispettare le disposizioni del capo III.

(29)I software o moduli di software che rientrano nella definizione di dispositivo medico o di sistema di intelligenza artificiale (IA) ad alto rischio dovrebbero essere certificati in conformità del regolamento (UE) 2017/745 del Parlamento europeo e del Consiglio 49 e del regolamento […] del Parlamento europeo e del Consiglio [legge sull'intelligenza artificiale (COM(2021) 206 final)], a seconda dei casi. Le prescrizioni essenziali in materia di interoperabilità del presente regolamento dovrebbero applicarsi solo nella misura in cui il fabbricante di un dispositivo medico o di un sistema di IA ad alto rischio, che fornisce dati sanitari elettronici da trattare come parte di un sistema di cartelle cliniche elettroniche, dichiara l'interoperabilità con tale sistema. In tal caso le disposizioni sulle specifiche comuni per i sistemi di cartelle cliniche elettroniche dovrebbero essere applicabili a tali dispositivi medici e sistemi di IA ad alto rischio.

(30)Per sostenere ulteriormente l'interoperabilità e la sicurezza, gli Stati membri possono mantenere o definire norme specifiche per l'appalto, il rimborso, il finanziamento o l'uso di sistemi di cartelle cliniche elettroniche a livello nazionale nel contesto dell'organizzazione, dell'erogazione o del finanziamento di servizi sanitari. Tali norme specifiche non dovrebbero impedire la libera circolazione dei sistemi di cartelle cliniche elettroniche nell'Unione. Alcuni Stati membri hanno introdotto la certificazione obbligatoria dei sistemi di cartelle cliniche elettroniche o un test di interoperabilità obbligatorio per il loro collegamento ai servizi nazionali di sanità digitale. Tali prescrizioni solitamente si riflettono negli appalti organizzati da prestatori di assistenza sanitaria, autorità nazionali o regionali. La certificazione obbligatoria dei sistemi di cartelle cliniche elettroniche a livello di Unione dovrebbe stabilire uno scenario di base che può essere utilizzato negli appalti a livello nazionale.

(31)Al fine di garantire l'effettivo esercizio da parte dei pazienti dei loro diritti ai sensi del presente regolamento, laddove i prestatori di assistenza sanitaria sviluppino e utilizzino "internamente" un sistema di cartelle cliniche elettroniche per eseguire attività interne senza immetterlo sul mercato in cambio di un pagamento o una remunerazione, essi dovrebbero comunque rispettare il presente regolamento. In tale contesto i prestatori di assistenza sanitaria in questione dovrebbero rispettare tutte le prescrizioni applicabili ai fabbricanti.

(32)Occorre prevedere una divisione chiara e proporzionata degli obblighi corrispondenti al ruolo di ciascun operatore nel processo di fornitura e di distribuzione dei sistemi di cartelle cliniche elettroniche. Gli operatori economici dovrebbero essere responsabili della conformità in relazione ai rispettivi ruoli in tale processo e dovrebbero garantire di mettere a disposizione sul mercato solo sistemi di cartelle cliniche elettroniche che rispettano le prescrizioni pertinenti.

(33)La conformità alle prescrizioni essenziali in materia di interoperabilità e sicurezza dovrebbe essere dimostrata dai fabbricanti di sistemi di cartelle cliniche elettroniche attraverso l'attuazione di specifiche comuni. A tal fine alla Commissione dovrebbero essere conferite competenze di esecuzione per determinare tali specifiche comuni relative a serie di dati, sistemi di codifica, specifiche tecniche, comprese norme, specifiche e profili per lo scambio di dati, e prescrizioni e principi collegati alla sicurezza, la riservatezza, l'integrità, la sicurezza dei pazienti e la protezione dei dati personali nonché specifiche e prescrizioni relative alla gestione dell'identificazione e all'uso dell'identificazione elettronica. Le autorità di sanità digitale dovrebbero contribuire allo sviluppo di tali specifiche comuni.

(34)Al fine di garantire un'applicazione adeguata ed efficace delle prescrizioni e degli obblighi di cui al capo III del presente regolamento, è opportuno che si applichi il sistema di vigilanza del mercato e di conformità dei prodotti istituito dal regolamento (UE) 2019/1020. A seconda dell'organizzazione definita a livello nazionale, tali attività di vigilanza del mercato potrebbero essere svolte dalle autorità di sanità digitale che garantiscono la corretta attuazione del capo II o da un'autorità di vigilanza del mercato separata responsabile dei sistemi di cartelle cliniche elettroniche. Sebbene la designazione di autorità di sanità digitale come autorità di vigilanza del mercato potrebbe avere importanti vantaggi pratici per l'attuazione di attività di assistenza sanitaria, dovrebbero essere evitati eventuali conflitti di interesse, ad esempio separando compiti differenti.

(35)Gli utenti di applicazioni per il benessere, quali le applicazioni mobili, dovrebbero essere informati sulla capacità di tali applicazioni di essere collegate e di fornire dati ai sistemi di cartelle cliniche elettroniche o a soluzioni di sanità elettronica nazionali, nei casi in cui i dati prodotti dalle applicazioni per il benessere siano utili per finalità di assistenza sanitaria. La capacità di tali applicazioni di esportare dati in un formato interoperabile è pertinente anche per finalità di portabilità dei dati. Se del caso, gli utenti dovrebbero essere informati sulla conformità di tali applicazioni alle prescrizioni di interoperabilità e sicurezza. Tuttavia, dato il numero elevato di applicazioni per il benessere e la pertinenza limitata per finalità di assistenza sanitaria dei dati prodotti da molte di esse, un sistema di certificazione per tali applicazioni non sarebbe adeguato. È pertanto opportuno istituire un sistema di etichettatura volontaria quale meccanismo adeguato per garantire agli utenti di applicazioni per il benessere la trasparenza in merito alla conformità alle prescrizioni, sostenendo in tal modo gli utenti nella scelta di applicazioni per il benessere appropriate, dotate di elevati standard di interoperabilità e sicurezza. La Commissione può stabilire in atti di esecuzione informazioni dettagliate relative al formato e al contenuto di tale etichetta.

(36)È necessario divulgare informazioni sui sistemi di cartelle cliniche elettroniche muniti di certificazione e sulle applicazioni per il benessere corredate di etichetta al fine di permettere a committenti e utenti di tali prodotti di trovare soluzioni interoperabili adeguate alle loro esigenze specifiche. È opportuno dunque istituire a livello di Unione una banca dati dei sistemi di cartelle cliniche elettroniche e delle applicazioni per il benessere interoperabili, che non rientrano nell'ambito di applicazione dei regolamenti (UE) 2017/745 e […] [legge sull'intelligenza artificiale (COM(2021) 206 final)], simile alla banca dati europea dei dispositivi medici (Eudamed) istituita dal regolamento (UE) 2017/745. Gli obiettivi della banca dati dell'UE dei sistemi di cartelle cliniche elettroniche e delle applicazioni per il benessere interoperabili dovrebbero essere di migliorare la trasparenza generale, evitare la moltiplicazione degli obblighi di informazione e razionalizzare e facilitare il flusso di informazioni. Per quanto riguarda i dispositivi medici e i sistemi di IA, la registrazione dovrebbe essere mantenuta nel quadro delle banche dati esistenti istituite rispettivamente ai sensi dei regolamenti (UE) 2017/745 e […] [legge sull'intelligenza artificiale (COM(2021) 206 final)], ma dovrebbe essere indicata la conformità alle prescrizioni in materia di interoperabilità quando è dichiarata dai fabbricanti, per fornire informazioni ai committenti.

(37)Ai fini dell'uso secondario dei dati clinici per la ricerca, l'innovazione, la definizione delle politiche, finalità normative, la sicurezza dei pazienti o la cura di altre persone fisiche, le possibilità offerte dal regolamento (UE) 2016/679 per una normativa dell'Unione dovrebbero essere utilizzate come base, con norme e meccanismi che forniscano misure adeguate e specifiche per tutelare i diritti e le libertà delle persone fisiche. Il presente regolamento fornisce la base giuridica in conformità dell'articolo 9, paragrafo 2, lettere g), h), i) e j), del regolamento (UE) 2016/679 per l'uso secondario dei dati sanitari, stabilendo le garanzie per il trattamento, in termini di finalità legittime, una governance affidabile per fornire l'accesso ai dati sanitari (attraverso organismi responsabili dell'accesso ai dati sanitari) e il trattamento in un ambiente sicuro, nonché modalità per il trattamento dei dati, stabilite nell'autorizzazione ai dati. Al tempo stesso il richiedente dovrebbe dimostrare una base giuridica, ai sensi dell'articolo 6 del regolamento (UE) 2016/679, che gli consenta di richiedere l'accesso ai dati a norma del presente regolamento e dovrebbe soddisfare le condizioni stabilite nel capo IV. Più precisamente, per il trattamento di dati sanitari elettronici detenuti dal titolare dei dati a norma del presente regolamento, quest'ultimo introduce l'obbligo giuridico, ai sensi dell'articolo 6, paragrafo 1, lettera c), del regolamento (UE) 2016/679, secondo cui il titolare dei dati è tenuto a comunicare i dati agli organismi responsabili dell'accesso ai dati sanitari, mentre la base giuridica per la finalità del trattamento iniziale (ad es. la prestazione di assistenza) è inalterata. Il presente regolamento soddisfa inoltre le condizioni per tale trattamento ai sensi dell'articolo 9, paragrafo 2, lettere h), i) e j), del regolamento (UE) 2016/679. Il presente regolamento attribuisce compiti di interesse pubblico agli organismi responsabili dell'accesso ai dati sanitari (gestione dell'ambiente di trattamento sicuro, trattamento di dati prima che vengano utilizzati, ecc.) ai sensi dell'articolo 6, paragrafo 1, lettera e), del regolamento (UE) 2016/679 e soddisfa le prescrizioni dell'articolo 9, paragrafo 2, lettere h), i) e j), del regolamento (UE) 2016/679. Pertanto in questo caso il presente regolamento fornisce la base giuridica ai sensi dell'articolo 6 e soddisfa le prescrizioni dell'articolo 9 di tale regolamento riguardanti le condizioni alle quali possono essere trattati i dati sanitari elettronici. Nel caso in cui abbia accesso ai dati sanitari elettronici (per l'uso secondario dei dati per una delle finalità definite nel presente regolamento), l'utente dei dati dovrebbe dimostrare la base giuridica del trattamento ai sensi dell'articolo 6, paragrafo 1, lettera e) o f), del regolamento (UE) 2016/679 e spiegare la specifica base giuridica sulla quale esso si fonda nell'ambito della domanda di accesso ai dati sanitari elettronici ai sensi del presente regolamento: sulla base della legislazione applicabile, ove la base giuridica ai sensi del regolamento (UE) 2016/679 è l'articolo 6, paragrafo 1, lettera e), o sulla base dell'articolo 6, paragrafo 1, lettera f), del regolamento (UE) 2016/679. Se invoca una base giuridica prevista dall'articolo 6, paragrafo 1, lettera e), l'utente dovrebbe fare riferimento a un'altra normativa nazionale o dell'UE, differente dal presente regolamento, che impone all'utente il trattamento dei dati sanitari personali per assolvere i suoi compiti. Se la base giuridica per il trattamento da parte dell'utente è l'articolo 6, paragrafo 1, lettera f), del regolamento (UE) 2016/679, allora è il presente regolamento a fornire le garanzie. In questo contesto le autorizzazioni ai dati rilasciate dagli organismi responsabili dell'accesso ai dati sanitari rappresentano una decisione amministrativa che definisce le condizioni per l'accesso ai dati.

(38)Nel contesto dello spazio europeo dei dati sanitari, i dati sanitari elettronici esistono già e sono raccolti da prestatori di assistenza sanitaria, associazioni professionali, istituzioni pubbliche, regolatori, ricercatori, assicuratori ecc. nel corso delle loro attività. Alcune categorie di dati sono raccolte principalmente ai fini dell'erogazione dell'assistenza sanitaria (ad es. cartelle cliniche elettroniche, dati genetici, dati relativi alle domande di rimborso, ecc.), mentre altre sono raccolte anche per altre finalità come la ricerca, le statistiche, la sicurezza dei pazienti, attività normative o la definizione delle politiche (ad es. registri di malattia, registri inerenti alla definizione delle politiche, registri degli effetti collaterali di medicinali o dispositivi medici, ecc.). Ad esempio in alcuni ambiti, come quelli del cancro (sistema europeo d'informazione sul cancro) o delle malattie rare (piattaforma europea per la registrazione delle malattie rare, registri ERN, ecc.), sono disponibili banche dati europee che facilitano l'utilizzo e/o il riutilizzo dei dati. Questi dati dovrebbero essere resi disponibili anche per l'uso secondario. Tuttavia molti dei dati esistenti relativi alla salute non sono resi disponibili per finalità diverse da quelle per cui sono stati raccolti. Ciò limita la capacità di ricercatori, innovatori, responsabili delle politiche, regolatori e medici di utilizzare questi dati per finalità differenti, tra cui la ricerca, l'innovazione, la definizione delle politiche, finalità normative, la sicurezza dei pazienti o la medicina personalizzata. Al fine di sfruttare pienamente i benefici derivanti dall'uso secondario dei dati sanitari elettronici, tutti i titolari di dati dovrebbero contribuire rendendo disponibili per l'uso secondario le differenti categorie di dati sanitari elettronici in loro possesso.

(39)Le categorie di dati sanitari elettronici che possono essere trattate per l'uso secondario dovrebbero essere abbastanza ampie e flessibili da soddisfare le mutevoli esigenze degli utenti dei dati, rimanendo al contempo limitate ai dati relativi alla salute o di cui è nota l'influenza sulla salute. Queste categorie possono includere anche dati pertinenti provenienti dal sistema sanitario (cartelle cliniche elettroniche, dati relativi alle domande di rimborso, registri di malattia, dati genomici ecc.) e dati che hanno un impatto sulla salute (ad esempio consumo di varie sostanze, deprivazione abitativa, assicurazione sanitaria, reddito minimo, posizione professionale, comportamento), inclusi i fattori ambientali (ad esempio inquinamento, radiazioni, uso di determinate sostanze chimiche). Possono anche includere dati generati dalla persona, quali dati provenienti da dispositivi medici, applicazioni per il benessere o altri dispositivi indossabili e applicazioni di sanità digitale. L'utente dei dati che beneficia dell'accesso a serie di dati fornite ai sensi del presente regolamento potrebbe arricchire i dati con varie correzioni, annotazioni e altri miglioramenti, integrando ad esempio i dati mancanti o incompleti, migliorando in tal modo l'accuratezza, la completezza o la qualità dei dati nella serie di dati. Per favorire il miglioramento della banca dati originaria e l'ulteriore utilizzo della serie di dati arricchita, la serie di dati contenente tali miglioramenti e una descrizione dei cambiamenti dovrebbero essere messe a disposizione del titolare dei dati originario gratuitamente. Il titolare dei dati dovrebbe rendere disponibile la nuova serie di dati, a meno che non fornisca all'organismo responsabile dell'accesso ai dati sanitari un'opposizione giustificata a tale operazione, ad esempio in casi di bassa qualità dell'arricchimento. È opportuno garantire anche l'uso secondario dei dati elettronici non personali. In particolare i dati genomici sugli agenti patogeni hanno un valore significativo per la salute umana, come dimostrato durante la pandemia di COVID-19. L'accesso a tali dati e la loro condivisione tempestivi si sono dimostrati essenziali per il rapido sviluppo di strumenti di rilevamento, di contromisure mediche e di risposte alle minacce per la sanità pubblica. Il maggiore beneficio derivante dall'azione nel campo della genomica dei patogeni sarà conseguito quando i processi della sanità pubblica e della ricerca condivideranno le serie di dati e lavoreranno di concerto per informarsi e migliorarsi a vicenda.

(40)I titolari dei dati possono essere prestatori di assistenza sanitaria o cure assistenziali pubblici, senza scopo di lucro o privati, organizzazioni, associazioni o altri soggetti pubblici, senza scopo di lucro e privati, soggetti pubblici e privati che svolgono attività di ricerca nel settore sanitario che trattano le categorie di dati sanitari e relativi alla salute sopra menzionate. Al fine di evitare un onere sproporzionato a carico delle piccole entità, le microimprese sono escluse dall'obbligo di rendere disponibili i loro dati per l'uso secondario nell'ambito dello spazio europeo dei dati sanitari. I soggetti pubblici o privati ricevono spesso finanziamenti pubblici, da fondi nazionali o dell'Unione, per raccogliere e trattare dati sanitari elettronici per la ricerca, le statistiche (ufficiali o no) o altre finalità simili, anche in ambiti in cui la raccolta di tali dati è frammentata o difficile, quali quelli delle malattie rare, del cancro ecc. Tali dati, raccolti e trattati dai titolari dei dati con il sostegno di finanziamenti pubblici nazionali o dell'Unione, dovrebbero essere messi a disposizione degli organismi responsabili dell'accesso ai dati sanitari dai titolari dei dati, al fine di massimizzare l'impatto dell'investimento pubblico e sostenere la ricerca, l'innovazione, la sicurezza dei pazienti o la definizione delle politiche a beneficio della società. In alcuni Stati membri i soggetti privati, compresi i prestatori di assistenza sanitaria privati e le associazioni professionali, svolgono un ruolo di fondamentale importanza nel settore sanitario. I dati sanitari detenuti da tali prestatori dovrebbero essere resi disponibili anche per l'uso secondario. Al tempo stesso i dati che beneficiano di una protezione giuridica specifica quale la proprietà intellettuale da parte di aziende produttrici di dispositivi medici o case farmaceutiche spesso godono della protezione del diritto d'autore o di tutele simili. Tuttavia le autorità pubbliche e i regolatori dovrebbero avere accesso a tali dati, ad esempio nel caso di pandemie, per verificare dispositivi difettosi e per proteggere la salute umana. In tempi di gravi preoccupazioni per la sanità pubblica (ad esempio la truffa delle protesi mammarie PIP) è risultato molto difficile per le autorità pubbliche ottenere l'accesso a tali dati per capire le cause e se i fabbricanti fossero a conoscenza dei difetti di alcuni dispositivi. La pandemia di COVID-19 ha inoltre messo in evidenza le difficoltà incontrate dai responsabili delle politiche nell'avere accesso ai dati sanitari e ad altri dati relativi alla salute. Tali dati dovrebbero essere resi disponibili per attività pubbliche e normative, sostenendo gli organismi pubblici nell'esecuzione del loro mandato giuridico, rispettando al contempo, se pertinente e possibile, la protezione di cui godono i dati commerciali. È opportuno prevedere norme specifiche in relazione all'uso secondario dei dati sanitari. Attività di altruismo dei dati possono essere eseguite da diversi soggetti, nel contesto del regolamento […] [Atto sulla governance dei dati (COM(2020) 767 final)] e tenendo conto delle specificità del settore sanitario.

(41)L'uso secondario dei dati sanitari nello spazio europeo dei dati sanitari dovrebbe permettere ai soggetti pubblici, privati e senza scopo di lucro, così come ai singoli ricercatori, di avere accesso ai dati sanitari per la ricerca, l'innovazione, la definizione delle politiche, attività didattiche, la sicurezza dei pazienti, attività normative o la medicina personalizzata, in linea con le finalità stabilite nel presente regolamento. L'accesso ai dati per l'uso secondario dovrebbe contribuire all'interesse generale della società. Le attività per le quali è legittimo l'accesso nel contesto del presente regolamento possono comprendere l'uso dei dati sanitari elettronici per compiti eseguiti da organismi pubblici, quali l'esercizio della funzione pubblica, tra cui la sorveglianza della sanità pubblica, obblighi di pianificazione e comunicazione, la definizione delle politiche in ambito sanitario e la garanzia della sicurezza dei pazienti, della qualità dell'assistenza e della sostenibilità dei sistemi di assistenza sanitaria. Gli organismi pubblici e le istituzioni, gli organi e gli organismi dell'Unione possono richiedere di accedere regolarmente ai dati sanitari elettronici per un periodo di tempo prolungato, anche al fine di adempiere al proprio mandato, come previsto dal presente regolamento. Gli enti pubblici possono eseguire tali attività di ricerca ricorrendo a terzi, compresi subappaltatori, a condizione che l'ente pubblico rimanga in qualsiasi momento il supervisore di tali attività. La fornitura dei dati dovrebbe inoltre favorire attività correlate alla ricerca scientifica (compresa la ricerca privata), lo sviluppo e l'innovazione, la produzione di beni e servizi per il settore sanitario o dell'assistenza, quali attività di innovazione o l'addestramento di algoritmi di IA che potrebbero proteggere la salute delle persone fisiche e garantirne l'assistenza. In taluni casi le informazioni di alcune persone fisiche (come le informazioni genomiche delle persone fisiche con una determinata malattia) potrebbero favorire la diagnosi o la cura di altre persone fisiche. È necessario che gli organismi pubblici vadano oltre l'ambito di applicazione di emergenza definito nel capo V del regolamento […] [normativa sui dati (COM(2022) 68 final)]. Tuttavia gli enti pubblici possono richiedere il sostegno degli organismi responsabili dell'accesso ai dati sanitari per trattare o collegare i dati. Il presente regolamento fornisce agli enti pubblici un canale per ottenere l'accesso alle informazioni di cui hanno bisogno per adempiere i compiti assegnati loro dalla legge, ma non estende il mandato di tali enti pubblici. Dovrebbe essere vietato qualsiasi tentativo di utilizzare i dati per eventuali misure pregiudizievoli per la persona fisica, per aumentare i premi assicurativi, per pubblicizzare prodotti o cure o per sviluppare prodotti nocivi.

(42)L'istituzione di uno o più organismi responsabili dell'accesso ai dati sanitari, che sostengano l'accesso ai dati sanitari elettronici negli Stati membri, è un elemento essenziale per la promozione dell'uso secondario dei dati relativi alla salute. Gli Stati membri dovrebbero pertanto istituire uno o più organismi responsabili dell'accesso ai dati sanitari, ad esempio per rispecchiare la loro struttura costituzionale, organizzativa e amministrativa. Tuttavia uno di tali organismi responsabili dell'accesso ai dati sanitari dovrebbe essere designato come coordinatore nel caso in cui siano presenti più organismi responsabili dell'accesso ai dati. Laddove siano istituiti più organismi, lo Stato membro dovrebbe stabilire norme a livello nazionale atte ad assicurare la partecipazione coordinata di tali organismi nel comitato EHDS. Lo Stato membro dovrebbe in particolare designare un organismo responsabile dell'accesso ai dati sanitari che funga da punto di contatto unico per l'effettiva partecipazione di tali organismi e che garantisca la rapida e agevole cooperazione con altri organismi responsabili dell'accesso ai dati sanitari, il comitato EHDS e la Commissione. Gli organismi responsabili dell'accesso ai dati sanitari possono variare in termini di organizzazione e dimensioni (spaziando da un'organizzazione dedicata vera e propria a un'unità o un dipartimento in un'organizzazione esistente), ma dovrebbero avere le medesime funzioni, responsabilità e capacità. Gli organismi responsabili dell'accesso ai dati sanitari non dovrebbero essere influenzati nelle loro decisioni sull'accesso ai dati sanitari elettronici per l'uso secondario. Tuttavia tale indipendenza non dovrebbe significare che l'organismo responsabile dell'accesso ai dati sanitari non può essere assoggettato a meccanismi di controllo o monitoraggio con riguardo alle sue spese sostenute o a controllo giurisdizionale. Ciascun organismo responsabile dell'accesso ai dati sanitari dovrebbe disporre delle risorse umane e finanziarie, dei locali e delle infrastrutture necessari per l'efficace adempimento dei propri compiti, compresi quelli di cooperazione con altri organismi responsabili dell'accesso ai dati sanitari in tutta l'Unione. Ciascun organismo responsabile dell'accesso ai dati sanitari dovrebbe disporre di un bilancio annuale pubblico separato, che può far parte del bilancio generale statale o nazionale. Al fine di consentire un migliore accesso ai dati sanitari e a integrazione dell'articolo 7, paragrafo 3, del regolamento […] del Parlamento europeo e del Consiglio [Atto sulla governance dei dati (COM(2020) 767 final)], gli Stati membri dovrebbero attribuire agli organismi responsabili dell'accesso ai dati sanitari il potere di prendere decisioni sull'accesso e l'uso secondario dei dati sanitari. Ciò potrebbe tradursi nell'attribuzione di nuovi compiti agli organismi competenti designati dagli Stati membri ai sensi dell'articolo 7, paragrafo 1, del regolamento […] [Atto sulla governance dei dati (COM(2020) 767 final)] o nella designazione di organismi settoriali esistenti o nuovi come responsabili di tali compiti in relazione all'accesso ai dati sanitari.

(43)Gli organismi responsabili dell'accesso ai dati sanitari dovrebbero monitorare l'applicazione del capo IV del presente regolamento e contribuire alla sua coerente applicazione in tutta l'Unione. A tal fine, gli organismi responsabili dell'accesso ai dati sanitari dovrebbero cooperare tra loro e con la Commissione, senza che siano necessari accordi tra gli Stati membri sulla mutua assistenza o su tale tipo di cooperazione. Gli organismi responsabili dell'accesso ai dati sanitari dovrebbero cooperare anche con i portatori di interessi, comprese le organizzazioni dei pazienti. Poiché l'uso secondario dei dati sanitari comporta il trattamento di dati personali relativi alla salute, si applicano le pertinenti disposizioni del regolamento (UE) 2016/679 e le autorità di controllo ai sensi del regolamento (UE) 2016/679 e del regolamento (UE) 2018/1725 dovrebbero essere incaricate dell'applicazione di tali norme. Inoltre, poiché i dati sanitari sono dati sensibili, gli organismi responsabili dell'accesso ai dati sanitari, adempiendo a un dovere di leale cooperazione, dovrebbero informare le autorità di protezione dei dati di qualsiasi problematica connessa al trattamento dei dati per l'uso secondario, incluse le sanzioni. Oltre ai compiti necessari per garantire un efficace uso secondario dei dati sanitari, l'organismo responsabile dell'accesso ai dati sanitari dovrebbe cercare di accrescere la disponibilità di ulteriori serie di dati, sostenere lo sviluppo dell'IA in ambito sanitario e promuovere l'elaborazione di norme comuni. Dovrebbe applicare tecniche sperimentate in grado di garantire che il trattamento dei dati sanitari elettronici avvenga in modo da tutelare la privacy delle informazioni contenute nei dati per i quali è consentito l'uso secondario, comprese le tecniche di pseudonimizzazione, anonimizzazione, generalizzazione, soppressione e randomizzazione dei dati personali. Gli organismi responsabili dell'accesso ai dati sanitari possono preparare le serie di dati in base alle esigenze degli utenti dei dati correlate all'autorizzazione ai dati rilasciata. Ciò include norme per l'anonimizzazione di serie di microdati.

(44)Considerando l'onere amministrativo che comporta per gli organismi responsabili dell'accesso ai dati sanitari il dover informare le persone fisiche i cui dati sono utilizzati in progetti di dati all'interno di un ambiente di trattamento sicuro, dovrebbero applicarsi le eccezioni previste dall'articolo 14, paragrafo 5, del regolamento (UE) 2016/679. Pertanto gli organismi responsabili dell'accesso ai dati sanitari dovrebbero fornire informazioni generali sulle condizioni per l'uso secondario dei loro dati sanitari contenenti le informazioni elencate nell'articolo 14, paragrafo 1, e, ove fosse necessario garantire un trattamento corretto e trasparente, nell'articolo 14, paragrafo 2, del regolamento (UE) 2016/679, ad es. informazioni sulla finalità e le categorie di dati trattati. È opportuno derogare a tale regola quando i risultati della ricerca potrebbero essere di aiuto nell'ambito della cura della persona fisica interessata. In tal caso l'utente dei dati dovrebbe informare l'organismo responsabile dell'accesso ai dati sanitari, che a sua volta dovrebbe informare l'interessato o il suo professionista sanitario. È opportuno che le persone fisiche siano in grado di accedere ai risultati di differenti progetti di ricerca sul sito web dell'organismo responsabile dell'accesso ai dati sanitari, idealmente in un modo facilmente consultabile. Dovrebbe inoltre essere reso pubblico l'elenco delle autorizzazioni ai dati. Al fine di promuovere la trasparenza del suo funzionamento, ciascun organismo responsabile dell'accesso ai dati sanitari dovrebbe pubblicare una relazione annuale di attività che fornisca una sintesi delle sue attività.

(45)Il regolamento […] [Atto sulla governance dei dati (COM(2020) 767 final)] stabilisce le norme generali per la gestione dell'altruismo dei dati. Al tempo stesso, dato che il settore sanitario gestisce dati sensibili, dovrebbero essere stabiliti criteri aggiuntivi attraverso il quadro normativo previsto nel regolamento […] [Atto sulla governance dei dati (COM(2020) 767 final)]. Ove tale quadro normativo preveda il ricorso a un ambiente di trattamento sicuro per il settore in oggetto, tale ambiente dovrebbe rispettare i criteri stabiliti nel presente regolamento. Gli organismi responsabili dell'accesso ai dati sanitari dovrebbero cooperare con gli organismi designati a norma del regolamento […] [Atto sulla governance dei dati (COM(2020) 767 final)] per controllare l'attività delle organizzazioni per l'altruismo dei dati nel settore sanitario o dell'assistenza.

(46)Al fine di sostenere l'uso secondario dei dati sanitari elettronici, i titolari dei dati dovrebbero astenersi dal non mettere a disposizione i dati, dal richiedere tariffe ingiustificate non trasparenti né proporzionate ai costi sostenuti per rendere disponibili i dati (e, se del caso, ai costi marginali per la raccolta dei dati), dal richiedere agli utenti dei dati di co-pubblicare la ricerca o da altre pratiche che potrebbero dissuadere gli utenti dal richiedere i dati. Ove sia necessaria un'approvazione etica per fornire un'autorizzazione ai dati, essa dovrebbe essere valutata nel merito. D'altro canto, istituzioni, organi e organismi dell'Unione, compresi l'EMA, l'ECDC e la Commissione, detengono dati molto importanti e approfonditi. L'accesso ai dati di tali istituzioni, organi e organismi dovrebbe essere garantito attraverso l'organismo responsabile dell'accesso ai dati sanitari del luogo in cui si trova il titolare del trattamento.

(47)È opportuno che agli organismi responsabili dell'accesso ai dati sanitari e ai singoli titolari dei dati sia consentito imporre tariffe in base alle disposizioni del regolamento […] [Atto sulla governance dei dati (COM(2020) 767 final)] in relazione ai loro compiti. Tali tariffe possono tenere conto della situazione e dell'interesse di PMI, singoli ricercatori od organismi pubblici. È opportuno che ai titolari dei dati sia consentito imporre tariffe anche per la messa a disposizione dei dati. Tali tariffe dovrebbero rispecchiare i costi per la fornitura di tali servizi. I titolari dei dati privati possono imporre tariffe anche per la raccolta di dati. Al fine di garantire un approccio armonizzato alle politiche e alla struttura delle tariffe, la Commissione può adottare atti di esecuzione. È opportuno applicare le disposizioni dell'articolo 10 del regolamento [normativa sui dati (COM(2022) 68 final)] per le tariffe imposte ai sensi del presente regolamento.

(48)Al fine di rafforzare l'applicazione delle norme sull'uso secondario dei dati sanitari elettronici dovrebbero essere adottate misure appropriate, le quali possono portare a sanzioni o esclusioni temporanee o definitive dal quadro dello spazio europeo dei dati sanitari degli utenti dei dati o dei titolari dei dati che non rispettano i rispettivi obblighi. È opportuno che all'organismo responsabile dell'accesso ai dati sanitari sia conferito il potere di verificare la conformità e di fornire agli utenti e ai titolari dei dati l'opportunità di rispondere a eventuali osservazioni e di rimediare a eventuali violazioni. L'imposizione di sanzioni dovrebbe essere soggetta a garanzie procedurali appropriate in conformità dei principi generali del diritto dello Stato membro pertinente, inclusi l'effettiva tutela giurisdizionale e il giusto processo.

(49)Data la sensibilità dei dati sanitari elettronici, è necessario ridurre i rischi relativi alla privacy delle persone fisiche applicando il principio della minimizzazione dei dati di cui all'articolo 5, paragrafo 1, lettera c), del regolamento (UE) 2016/679. Pertanto, quando possibile e se l'utente dei dati lo richiede, è opportuno mettere a disposizione dati sanitari elettronici anonimizzati privi di qualsiasi dato personale. Se l'utente dei dati avesse bisogno di utilizzare dati sanitari elettronici personali, dovrebbe indicare chiaramente nella sua richiesta la giustificazione per l'uso di questo tipo di dati per l'attività di trattamento dei dati prevista. I dati sanitari elettronici personali dovrebbero essere resi disponibili solo in formato pseudonimizzato e la chiave di cifratura può essere detenuta solo dall'organismo responsabile dell'accesso ai dati sanitari. Gli utenti dei dati non dovrebbero tentare di reidentificare le persone fisiche dalla serie di dati fornita ai sensi del presente regolamento, per non incorrere in sanzioni amministrative o eventualmente penali, nel caso in cui il diritto nazionale lo preveda. Tuttavia, nei casi in cui i risultati di un progetto eseguito in base a un'autorizzazione ai dati abbiano un beneficio o un impatto sulla salute di una determinata persona fisica (ad esempio, la scoperta di cure o fattori di rischio per lo sviluppo di una determinata malattia), tale situazione non dovrebbe impedire agli utenti dei dati di informare l'organismo responsabile dell'accesso ai dati sanitari, che a sua volta informerebbe la persona fisica interessata. Inoltre il richiedente può richiedere agli organismi responsabili dell'accesso ai dati sanitari di fornire la risposta a una richiesta di dati, anche in forma statistica. In questo caso gli utenti dei dati non tratterebbero i dati sanitari e l'organismo responsabile dell'accesso ai dati sanitari rimarrebbe l'unico titolare del trattamento dei dati necessari a fornire la risposta alla richiesta di dati.

(50)Al fine di garantire che tutti gli organismi responsabili dell'accesso ai dati sanitari rilascino autorizzazioni in modo simile, è necessario stabilire un processo comune standard per il rilascio delle autorizzazioni ai dati, con richieste simili nei vari Stati membri. Il richiedente dovrebbe fornire agli organismi responsabili dell'accesso ai dati sanitari diverse informazioni che aiuterebbero l'organismo a valutare la richiesta e a decidere se il richiedente può ricevere un'autorizzazione ai dati per l'uso secondario dei dati, garantendo anche la coerenza tra diversi organismi responsabili dell'accesso ai dati sanitari. Tali informazioni comprendono: la base giuridica ai sensi del regolamento (UE) 2016/679 per richiedere l'accesso ai dati (esercizio di un compito di interesse pubblico attribuito dalla legge o legittimo interesse), le finalità per le quali i dati sarebbero utilizzati, la descrizione dei dati necessari e le possibili fonti di dati, una descrizione degli strumenti necessari per trattare i dati, nonché le caratteristiche dell'ambiente sicuro che sono richieste. Laddove i dati siano richiesti in formato pseudonimizzato, il richiedente dovrebbe spiegare perché ciò è necessario e perché non sarebbero sufficienti i dati anonimi. Può essere richiesta una valutazione etica in base al diritto nazionale. Gli organismi responsabili dell'accesso ai dati sanitari e, se del caso, i titolari dei dati, dovrebbero assistere gli utenti dei dati nella selezione delle serie di dati o delle fonti di dati idonee per la finalità prevista dell'uso secondario. Laddove il richiedente abbia bisogno di dati statistici anonimizzati, dovrebbe presentare una richiesta di dati, chiedendo all'organismo responsabile dell'accesso ai dati sanitari di fornire direttamente il risultato. Al fine di garantire un approccio armonizzato tra organismi responsabili dell'accesso ai dati sanitari, la Commissione dovrebbe sostenere l'armonizzazione delle domande di accesso ai dati e delle richieste di dati.

(51)Poiché le risorse degli organismi responsabili dell'accesso ai dati sanitari sono limitate, tali organismi possono applicare norme di definizione delle priorità, ad esempio dando la priorità a istituzioni pubbliche rispetto a soggetti privati, ma non dovrebbero fare alcuna discriminazione tra organizzazioni nazionali o di altri Stati membri all'interno della stessa categoria di priorità. È opportuno che l'utente dei dati possa prorogare la durata dell'autorizzazione ai dati al fine, ad esempio, di concedere l'accesso alle serie di dati ai revisori di pubblicazioni scientifiche o di permettere ulteriori analisi delle serie di dati in base ai risultati iniziali. Tale proroga richiederebbe una modifica dell'autorizzazione ai dati e può essere soggetta a una tariffa aggiuntiva. Tuttavia in tutti i casi l'autorizzazione ai dati dovrebbe rispecchiare tali utilizzi aggiuntivi della serie di dati. L'utente dei dati dovrebbe preferibilmente menzionarli nella sua richiesta iniziale di rilascio dell'autorizzazione ai dati. Al fine di garantire un approccio armonizzato tra organismi responsabili dell'accesso ai dati sanitari, la Commissione dovrebbe sostenere l'armonizzazione dell'autorizzazione ai dati.

(52)Come dimostrato dalla crisi COVID-19, le istituzioni, gli organi e gli organismi dell'Unione, in particolare la Commissione, hanno bisogno di accedere ai dati sanitari per un periodo più lungo e in maniera ricorrente. Tale situazione si può verificare non solo in circostanze specifiche in tempi di crisi ma anche per fornire periodicamente prove scientifiche e sostegno tecnico nell'ambito delle politiche dell'Unione. L'accesso a tali dati può essere richiesto in specifici Stati membri o in tutto il territorio dell'Unione.

(53)Per richieste di accesso ai dati sanitari elettronici provenienti da un singolo titolare dei dati in un singolo Stato membro e al fine di alleviare l'onere amministrativo della gestione di tale richiesta a carico degli organismi responsabili dell'accesso ai dati sanitari, l'utente dei dati dovrebbe poter richiedere questi dati direttamente al titolare dei dati e il titolare dei dati dovrebbe poter rilasciare un'autorizzazione ai dati rispettando tutte le prescrizioni e le garanzie collegate a tale richiesta e autorizzazione. Le richieste multinazionali e le richieste di una combinazione di serie di dati di vari titolari dei dati dovrebbero passare sempre attraverso gli organismi responsabili dell'accesso ai dati sanitari. Il titolare dei dati dovrebbe segnalare agli organismi responsabili dell'accesso ai dati sanitari eventuali autorizzazioni ai dati fornite o richieste di dati.

(54)Data la sensibilità dei dati sanitari elettronici, gli utenti dei dati non dovrebbero avere un accesso illimitato a tali dati. Tutti gli accessi per l'uso secondario ai dati sanitari elettronici richiesti dovrebbero avvenire attraverso un ambiente di trattamento sicuro. Al fine di assicurare forti garanzie tecniche e di sicurezza per i dati sanitari elettronici, l'organismo responsabile dell'accesso ai dati sanitari o, se del caso, il singolo titolare dei dati dovrebbe fornire l'accesso a tali dati in un ambiente di trattamento sicuro, rispettando gli elevati standard tecnici e di sicurezza stabiliti ai sensi del presente regolamento. Alcuni Stati membri hanno adottato misure per collocare tali ambienti sicuri in Europa. Il trattamento dei dati personali in tale ambiente sicuro dovrebbe ottemperare alle disposizioni del regolamento (UE) 2016/679, inclusi, ove l'ambiente sicuro sia gestito da terzi, le prescrizioni dell'articolo 28 e, ove applicabile, il capo V. Tale ambiente di trattamento sicuro dovrebbe ridurre i rischi per la privacy collegati a tali attività di trattamento e impedire che i dati sanitari elettronici siano trasmessi direttamente agli utenti dei dati. È opportuno che l'organismo responsabile dell'accesso ai dati sanitari o il titolare dei dati che fornisce tale servizio mantenga in qualsiasi momento il controllo dell'accesso ai dati sanitari elettronici e che l'accesso concesso agli utenti dei dati sia determinato dalle condizioni dell'autorizzazione ai dati rilasciata. È opportuno che gli utenti dei dati estraggano da tale ambiente di trattamento sicuro solo i dati sanitari elettronici non personali che non contengono alcun dato sanitario elettronico. Si tratta quindi di una garanzia essenziale per preservare i diritti e le libertà delle persone fisiche in relazione al trattamento dei loro dati sanitari elettronici per l'uso secondario. La Commissione dovrebbe assistere gli Stati membri nello sviluppo di norme comuni di sicurezza al fine di promuovere la sicurezza e l'interoperabilità dei vari ambienti sicuri.

(55)Per il trattamento dei dati sanitari elettronici nell'ambito di un'autorizzazione concessa, gli organismi responsabili dell'accesso ai dati sanitari e gli utenti dei dati dovrebbero essere contitolari del trattamento ai sensi dell'articolo 26 del regolamento (UE) 2016/679, il che significa che si applicano gli obblighi dei contitolari del trattamento ai sensi di tale regolamento. Per sostenere gli organismi responsabili dell'accesso ai dati sanitari e gli utenti dei dati, è opportuno che la Commissione, per mezzo di un atto di esecuzione, fornisca un modello per gli accordi dei contitolari del trattamento che gli organismi responsabili dell'accesso ai dati sanitari e gli utenti dei dati dovranno stipulare. Al fine di ottenere un quadro inclusivo e sostenibile per l'uso secondario multinazionale dei dati sanitari elettronici è opportuno istituire un'infrastruttura transfrontaliera. HealthData@EU (DatiSanitari@UE) dovrebbe accelerare l'uso secondario dei dati sanitari elettronici aumentando al contempo la certezza del diritto, rispettando la privacy delle persone fisiche ed essendo interoperabile. Data la sensibilità dei dati sanitari, laddove possibile dovrebbero essere rispettati principi quali la "tutela della vita privata fin dalla progettazione" e "interrogare i dati anziché spostare i dati". I partecipanti autorizzati di HealthData@EU potrebbero essere organismi responsabili dell'accesso ai dati sanitari, infrastrutture di ricerca istituite come un consorzio per un'infrastruttura europea di ricerca ("ERIC") ai sensi del regolamento (CE) n. 723/2009 50 del Consiglio o strutture simili istituite ai sensi di un'altra normativa dell'Unione, così come altri tipi di soggetti, incluse le infrastrutture del Forum strategico europeo sulle infrastrutture di ricerca (ESFRI) e le infrastrutture federate nel cloud europeo per la scienza aperta (EOSC). Altri partecipanti autorizzati dovrebbero ottenere l'approvazione del gruppo di controllo congiunto per aderire a HealthData@EU. D'altro canto, HealthData@EU dovrebbe permettere l'uso secondario di differenti categorie di dati sanitari elettronici, compreso il collegamento dei dati sanitari con dati provenienti da altri spazi di dati quali quello dell'ambiente, quello dell'agricoltura, quello sociale ecc. La Commissione potrebbe fornire una serie di servizi all'interno di HealthData@EU, tra cui il sostegno allo scambio di informazioni tra organismi responsabili dell'accesso ai dati sanitari e partecipanti autorizzati per la gestione di richieste di accesso transfrontaliero, il mantenimento di cataloghi di dati sanitari elettronici accessibili attraverso l'infrastruttura, la scopribilità della rete e interrogazioni di metadati, servizi per la connettività e la conformità. La Commissione può inoltre istituire un ambiente sicuro, che permetta la trasmissione e l'analisi dei dati provenienti da differenti infrastrutture nazionali, su richiesta dei titolari del trattamento. La strategia digitale della Commissione promuove il collegamento dei vari spazi comuni europei di dati. Per il settore sanitario, l'interoperabilità con settori quali quello ambientale, sociale e agricolo può essere pertinente per ottenere ulteriori informazioni sui determinanti della salute. Per motivi di efficienza informatica, di razionalizzazione e di interoperabilità degli scambi di dati, è opportuno riutilizzare il più possibile i sistemi esistenti per la condivisione dei dati, come quelli costituiti per lo scambio di prove secondo il sistema tecnico basato sul principio "una tantum" di cui al regolamento (UE) 2018/1724 del Parlamento europeo e del Consiglio 51 .

(56)In caso di registri o di banche dati transfrontalieri, quali i registri delle reti di riferimento europee per le malattie rare, che ricevono dati da differenti prestatori di assistenza sanitaria in vari Stati membri, l'organismo responsabile dell'accesso ai dati sanitari del luogo in cui si trova il coordinatore del registro dovrebbe essere responsabile della fornitura dell'accesso ai dati.

(57)Il processo di autorizzazione per ottenere l'accesso ai dati sanitari personali in diversi Stati membri può essere ripetitivo e complicato per gli utenti dei dati. Laddove possibile, è opportuno creare sinergie per ridurre l'onere e gli ostacoli per gli utenti dei dati. Un modo per conseguire questo obiettivo è aderire al principio della "domanda unica" secondo il quale, con una sola domanda, l'utente dei dati ottiene l'autorizzazione da molteplici organismi responsabili dell'accesso ai dati sanitari in diversi Stati membri.

(58)Gli organismi responsabili dell'accesso ai dati sanitari dovrebbero fornire informazioni sulle serie di dati disponibili e sulle loro caratteristiche in modo che gli utenti dei dati possano essere informati di fatti elementari sulle serie di dati e valutarne la possibile pertinenza per i propri interessi. Per questo motivo ciascuna serie di dati dovrebbe includere almeno informazioni relative alla fonte, alla natura dei dati e alle condizioni per rendere disponibili i dati. Pertanto dovrebbe essere istituito un catalogo UE delle serie di dati per facilitare la scopribilità delle serie di dati disponibili nello spazio europeo dei dati sanitari, per aiutare i titolari dei dati a pubblicare le loro serie di dati, per fornire a tutti i portatori di interessi, compreso il pubblico in generale, tenendo anche conto delle persone con disabilità, informazioni sulle serie di dati inserite nello spazio europeo dei dati sanitari (quali marchi di qualità e di utilità dei dati, schede informative sulle serie di dati) e per fornire agli utenti dei dati informazioni aggiornate sulla qualità e l'utilità delle serie di dati.

(59)Le informazioni sulla qualità e l'utilità delle serie di dati aumentano in modo significativo il valore dei risultanti provenienti da attività di ricerca e innovazione a forte intensità di dati, promuovendo, al contempo, un processo decisionale normativo e strategico basato su dati concreti. Il miglioramento della qualità e dell'utilità delle serie di dati attraverso scelte informate dei clienti e l'armonizzazione delle relative prescrizioni a livello di Unione, tenendo conto delle norme internazionali e dell'Unione esistenti, degli orientamenti, delle raccomandazioni per la raccolta e lo scambio dei dati (ossia i principi FAIR: dati che siano reperibili, accessibili, interoperabili e riutilizzabili), apportano benefici anche a titolari dei dati, professionisti sanitari, persone fisiche e all'economia dell'Unione in generale. Un marchio di qualità e di utilità dei dati per le serie di dati informerebbe gli utenti dei dati sulle caratteristiche di qualità e utilità di una serie di dati e permetterebbe loro di scegliere le serie di dati più adatte alle loro esigenze. Il marchio di qualità e di utilità dei dati non dovrebbe impedire la messa a disposizione delle serie di dati attraverso lo spazio europeo dei dati sanitari, ma fornire un meccanismo di trasparenza tra i titolari e gli utenti dei dati. Ad esempio una serie di dati che non rispetta alcuna prescrizione di qualità e utilità dei dati dovrebbe essere corredata di un'etichetta che riporti la classe che rappresenta il livello più basso di qualità e utilità, ma dovrebbe comunque essere resa disponibile. Nell'elaborazione del quadro di qualità e di utilità dei dati è opportuno tenere in considerazione le aspettative stabilite nei quadri descritti all'articolo 10 del regolamento […] [legge sull'intelligenza artificiale (COM(2021) 206 final)] e nella documentazione pertinente specificata nell'allegato IV. Gli Stati membri dovrebbero accrescere il livello di consapevolezza riguardo al marchio di qualità e di utilità dei dati attraverso attività di comunicazione. La Commissione potrebbe sostenere tali attività.

(60)Il catalogo UE delle serie di dati dovrebbe ridurre al minimo l'onere amministrativo per i titolari dei dati e altri utenti delle banche dati; dovrebbe inoltre essere di facile utilizzo, accessibile ed efficace in termini di costi, collegare i cataloghi dei dati nazionali ed evitare la registrazione ridondante di serie di dati. Il catalogo UE delle serie di dati potrebbe essere allineato all'iniziativa data.europa.eu e non pregiudicare le prescrizioni stabilite nel regolamento […] [Atto sulla governance dei dati (COM(2020) 767 final)]. Gli Stati membri dovrebbero garantire che i cataloghi dei dati nazionali siano interoperabili con i cataloghi delle serie di dati esistenti provenienti da infrastrutture di ricerca europee e altre infrastrutture pertinenti di condivisione dei dati.

(61)Diverse organizzazioni professionali, la Commissione e altre istituzioni stanno attualmente collaborando e lavorando alla definizione di campi minimi di dati e di altre caratteristiche di differenti serie di dati (ad esempio registri). Tali lavori sono più avanzati in ambiti quali quelli del cancro, delle malattie rare e delle statistiche, e devono essere tenuti in considerazione al momento della definizione di nuove norme. Tuttavia la mancanza di armonizzazione di molte serie di dati pone problemi di comparabilità dei dati e rende difficile la ricerca transfrontaliera. Pertanto negli atti di esecuzione dovrebbero essere stabilite norme più dettagliate per garantire l'armonizzazione della fornitura, della codifica e della registrazione dei dati sanitari elettronici. Gli Stati membri dovrebbero sfruttare i vantaggi socioeconomici sostenibili dei sistemi e dei servizi europei di sanità elettronica e delle applicazioni interoperabili, al fine di conseguire un elevato livello di fiducia e sicurezza, rafforzare la continuità dell'assistenza sanitaria e garantire l'accesso a un'assistenza sanitaria sicura e di elevata qualità.

(62)La Commissione dovrebbe sostenere gli Stati membri nel potenziamento delle capacità e dell'efficacia nell'ambito dei sistemi di sanità digitale per l'uso primario e secondario dei dati sanitari elettronici. Gli Stati membri dovrebbero essere sostenuti per rafforzare le loro capacità. Le attività a livello di Unione, quali l'analisi comparativa e lo scambio delle migliori pratiche, sono misure pertinenti in tal senso.

(63)Anche l'utilizzo dei fondi dovrebbe contribuire al conseguimento degli obiettivi dello spazio europeo dei dati sanitari. I committenti pubblici, le autorità nazionali competenti negli Stati membri, tra cui le autorità di sanità digitale e gli organismi responsabili dell'accesso ai dati sanitari, e la Commissione dovrebbero fare riferimento alle specifiche tecniche, alle norme e ai profili applicabili in materia di interoperabilità, sicurezza e qualità dei dati, nonché ad altre prescrizioni messe a punto ai sensi del presente regolamento al momento della definizione delle condizioni per gli appalti pubblici, gli inviti a presentare proposte e l'assegnazione di fondi dell'Unione, inclusi i fondi strutturali e di coesione.

(64)Determinate categorie di dati sanitari elettronici possono rimanere particolarmente sensibili anche quando sono in formato anonimizzato e dunque non personali, come specificamente previsto nell'Atto sulla governance dei dati. Anche nel caso in cui si ricorra alle tecniche di anonimizzazione più avanzate, permane un rischio residuo che esista o possa esistere in futuro una capacità di reidentificazione, oltre i mezzi di cui ci si può ragionevolmente avvalere. Tale rischio residuo è presente in relazione alle malattie rare (una affezione che comporta una minaccia per la vita o la debilitazione cronica e che colpisce non più di cinque individui su diecimila nell'Unione), dove i numeri limitati dei casi riducono la possibilità di aggregare completamente i dati pubblicati al fine di preservare la privacy delle persone fisiche mantenendo al contempo un appropriato livello di granularità perché i dati rimangano significativi. Il rischio può riguardare diversi tipi di dati sanitari a seconda del livello di granularità e della descrizione delle caratteristiche degli interessati, del numero di persone colpite o ad esempio nei casi dei dati inclusi in cartelle cliniche elettroniche, registri di malattia, biobanche, dati generati dalle persone, ecc. dove le caratteristiche di identificazione sono più ampie e dove, in combinazione con altre informazioni (ad es. in zone geografiche molto piccole) o attraverso l'evoluzione tecnologica di metodi che non erano disponibili al momento dell'anonimizzazione, possono portare alla reidentificazione degli interessati utilizzando mezzi che vanno oltre quelli di cui ci si può ragionevolmente avvalere. La concretizzazione di un tale rischio di reidentificazione delle persone fisiche rappresenterebbe una seria preoccupazione ed è probabile che metta a repentaglio l'accettazione della politica e delle norme sull'uso secondario previste nel presente regolamento. Inoltre le tecniche di aggregazione sono meno testate per quanto riguarda i dati non personali contenenti ad esempio segreti commerciali, come nelle relazioni sulle sperimentazioni cliniche, e il perseguimento di violazioni di segreti commerciali al di fuori dell'Unione è più difficile in assenza di un'adeguata norma di protezione internazionale. Per questi tipi di dati sanitari permane pertanto un rischio di reidentificazione dopo l'anonimizzazione o l'aggregazione, che non ha potuto essere ragionevolmente ridotto in origine. Ciò rientra nei criteri indicati nell'articolo 5, paragrafo 13, del regolamento […] [Atto sulla governance dei dati (COM(2020) 767 final)]. Questi tipi di dati sanitari rientrerebbero dunque nel conferimento di potere di cui all'articolo 5, paragrafo 13, del regolamento […] [Atto sulla governance dei dati (COM(2020) 767 final)] per il trasferimento dei dati a paesi terzi. Le misure protettive, proporzionali al rischio di reidentificazione, dovrebbero tenere conto delle specificità delle differenti categorie di dati o delle differenti tecniche di anonimizzazione o aggregazione e saranno descritte in dettaglio nel contesto dell'atto delegato nell'ambito del conferimento di potere di cui all'articolo 5, paragrafo 13, del regolamento […] [Atto sulla governance dei dati (COM(2020) 767 final)].

(65)Al fine di promuovere l'applicazione coerente del presente regolamento dovrebbe essere istituito un comitato dello spazio europeo dei dati sanitari (comitato EHDS). È opportuno che la Commissione partecipi alle attività del comitato e le presieda. Dovrebbe contribuire all'applicazione coerente del presente regolamento in tutta l'Unione, tra l'altro aiutando gli Stati membri a coordinare l'uso dei dati sanitari elettronici per l'assistenza sanitaria, la certificazione, nonché per l'uso secondario dei dati sanitari elettronici. Dato che, a livello nazionale, le autorità di sanità digitale che gestiscono l'uso primario dei dati sanitari elettronici possono differire dagli organismi responsabili dell'accesso ai dati sanitari che gestiscono l'uso secondario dei dati sanitari elettronici, le funzioni sono differenti e ciascuno di tali ambiti richiede una cooperazione distinta, il comitato EHDS dovrebbe poter istituire sottogruppi che gestiscono tali due funzioni, nonché altri sottogruppi, se necessario. Per un metodo di lavoro efficiente, le autorità di sanità digitale e gli organismi responsabili dell'accesso ai dati sanitari dovrebbero creare reti e collegamenti a livello nazionale con diversi altri organismi e autorità, ma anche a livello di Unione. Tali organismi potrebbero comprendere autorità di protezione dei dati, organismi responsabili della cibersicurezza, dell'identificazione elettronica e della normazione, nonché organismi e gruppi di esperti ai sensi dei regolamenti […], […], […] e […] [Atto sulla governance dei dati, normativa sui dati, legge sull'intelligenza artificiale e regolamento sulla cibersicurezza].

(66)Al fine di gestire le infrastrutture transfrontaliere per l'uso primario e secondario dei dati sanitari elettronici, è necessario creare il gruppo di controllo congiunto per i partecipanti autorizzati (ad es. per garantire la conformità alle norme in materia di protezione dei dati e al presente regolamento per operazioni di trattamento realizzate in tali infrastrutture).

(67)Poiché gli obiettivi del presente regolamento, ossia consentire alle persone fisiche di esercitare un maggiore controllo sui loro dati sanitari personali e sostenerne la libera circolazione garantendo che i dati sanitari li accompagnino, incoraggiare un autentico mercato unico per i servizi e i prodotti di sanità digitale e garantire un quadro coerente ed efficiente per il riutilizzo dei dati sanitari delle persone fisiche per la ricerca, l'innovazione, la definizione delle politiche e le attività normative, non possono essere conseguiti in misura sufficiente dagli Stati membri attraverso le sole misure di coordinamento, come dimostrato dalla valutazione degli aspetti digitali della direttiva 2011/24/UE, ma, a motivo delle misure di armonizzazione per i diritti delle persone fisiche in relazione ai loro dati sanitari elettronici, per l'interoperabilità dei dati sanitari elettronici nonché per un quadro comune e garanzie per l'uso primario e secondario dei dati sanitari elettronici, possono essere conseguiti meglio a livello di Unione, quest'ultima può intervenire in base al principio di sussidiarietà sancito dall'articolo 5 del trattato sull'Unione europea. Il presente regolamento si limita a quanto è necessario per conseguire tali obiettivi in ottemperanza al principio di proporzionalità enunciato nello stesso articolo.

(68)Al fine di garantire il conseguimento degli obiettivi dello spazio europeo dei dati sanitari, è opportuno delegare alla Commissione il potere di adottare atti conformemente all'articolo 290 del trattato sul funzionamento dell'Unione europea per quanto riguarda le differenti disposizioni in merito all'uso primario e secondario dei dati sanitari elettronici. È di particolare importanza che durante i lavori preparatori la Commissione svolga adeguate consultazioni, anche a livello di esperti, nel rispetto dei principi stabiliti nell'accordo interistituzionale "Legiferare meglio" del 13 aprile 2016 52 . In particolare, al fine di garantire la parità di partecipazione alla preparazione degli atti delegati, il Parlamento europeo e il Consiglio ricevono tutti i documenti contemporaneamente agli esperti degli Stati membri, e i loro esperti hanno sistematicamente accesso alle riunioni dei gruppi di esperti della Commissione incaricati della preparazione di tali atti delegati.

(69)È opportuno attribuire alla Commissione competenze di esecuzione al fine di garantire condizioni uniformi di esecuzione del presente regolamento. È altresì opportuno che tali competenze siano esercitate conformemente al regolamento (UE) n. 182/2011 del Parlamento europeo e del Consiglio 53 .

(70)Gli Stati membri dovrebbero adottare tutte le misure necessarie per assicurare l'attuazione delle disposizioni di cui al presente regolamento, anche stabilendo sanzioni effettive, proporzionate e dissuasive in caso di violazione. Per talune violazioni specifiche, è opportuno che gli Stati membri tengano conto dei margini e dei criteri stabiliti nel presente regolamento.

(71)Al fine di valutare se il presente regolamento raggiunga i suoi obiettivi in modo efficace ed efficiente, sia coerente e ancora pertinente, e apporti un valore aggiunto a livello di Unione, la Commissione dovrebbe effettuare una valutazione del presente regolamento. La Commissione dovrebbe effettuare una valutazione parziale del presente regolamento cinque anni dopo la sua entrata in vigore per quanto riguarda l'autocertificazione dei sistemi di cartelle cliniche elettroniche e una valutazione generale sette anni dopo la sua entrata in vigore. Al termine di ogni valutazione la Commissione dovrebbe presentare relazioni sui risultati principali al Parlamento europeo, al Consiglio, al Comitato economico e sociale europeo e al Comitato delle regioni.

(72)Per il buon esito dell'attuazione dello spazio europeo dei dati sanitari a livello transfrontaliero è opportuno considerare come punto di riferimento comune il quadro europeo di interoperabilità 54 , al fine di garantire un'interoperabilità giuridica, organizzativa, semantica e tecnica.

(73)La valutazione degli aspetti digitali della direttiva 2011/24/UE dimostra l'efficacia limitata della rete di assistenza sanitaria online, ma anche un grande potenziale per gli interventi dell'UE in quest'ambito, come dimostrato dal lavoro svolto durante la pandemia. Pertanto l'articolo 14 della direttiva sarà abrogato e sostituito dall'attuale regolamento e la direttiva sarà modificata di conseguenza.

(74)Conformemente all'articolo 42 del regolamento (UE) 2018/1725, il Garante europeo della protezione dei dati e il comitato europeo per la protezione dei dati sono stati consultati e hanno formulato il loro parere il [...].

(75)Il presente regolamento non dovrebbe incidere sull'applicazione delle regole di concorrenza, in particolare degli articoli 101 e 102 del trattato. Le misure di cui al presente regolamento non dovrebbero essere utilizzate per limitare la concorrenza in contrasto con il trattato.

(76)Data la necessità di una preparazione tecnica, il presente regolamento dovrebbe applicarsi da [12 mesi dopo l'entrata in vigore],

HANNO ADOTTATO IL PRESENTE REGOLAMENTO:

Capo I

Disposizioni generali

Articolo 1

Oggetto e ambito di applicazione

1.Il presente regolamento istituisce lo spazio europeo dei dati sanitari (European Health Data Space, EHDS) prevedendo disposizioni, norme e prassi comuni, infrastrutture e un quadro di governance per l'uso primario e secondario dei dati sanitari elettronici.

2.Il presente regolamento:

a)rafforza i diritti delle persone fisiche in relazione alla disponibilità e al controllo dei loro dati sanitari elettronici;

b)stabilisce norme per l'immissione sul mercato, la messa a disposizione sul mercato o la messa in servizio di sistemi di cartelle cliniche elettroniche nell'Unione;

c)stabilisce norme e meccanismi a sostegno dell'uso secondario dei dati sanitari elettronici;

d)istituisce un'infrastruttura transfrontaliera obbligatoria che rende possibile l'uso primario dei dati sanitari elettronici in tutta l'Unione;

e)istituisce un'infrastruttura transfrontaliera obbligatoria per l'uso secondario dei dati sanitari elettronici.

3.Il presente regolamento si applica:

a)ai fabbricanti e ai fornitori di sistemi di cartelle cliniche elettroniche e di applicazioni per il benessere immessi sul mercato e messi in servizio nell'Unione e agli utilizzatori di tali prodotti;

b)ai titolari del trattamento e ai responsabili del trattamento stabiliti nell'Unione che trattano dati sanitari elettronici di cittadini dell'Unione e di cittadini di paesi terzi che soggiornano legalmente nel territorio degli Stati membri;

c)ai titolari del trattamento e ai responsabili del trattamento stabiliti in un paese terzo collegati a MyHealth@EU o che sono interoperabili con tale rete, a norma dell'articolo 12, paragrafo 5;

d)agli utenti dei dati ai quali i titolari dei dati dell'Unione mettono a disposizione dati sanitari elettronici.

4.Il presente regolamento lascia impregiudicati gli altri atti giuridici dell'Unione relativi all'accesso ai dati sanitari elettronici, alla loro condivisione o al loro uso secondario o le prescrizioni relative al trattamento dei dati in relazione ai dati sanitari elettronici, in particolare i regolamenti (UE) 2016/679, (UE) 2018/1725, [...] [Atto sulla governance dei dati (COM(2020) 767 final)] e [...] [normativa sui dati (COM(2022) 68 final)].

5.Il presente regolamento lascia impregiudicati i regolamenti (UE) 2017/745 e [...] [legge sull'intelligenza artificiale (COM(2021) 206 final)] per quanto riguarda la sicurezza dei dispositivi medici e dei sistemi di intelligenza artificiale (IA) che interagiscono con i sistemi di cartelle cliniche elettroniche.

6.Il presente regolamento lascia impregiudicati i diritti e gli obblighi previsti dalle normative dell'Unione o nazionali in materia di trattamento dei dati ai fini della comunicazione, del soddisfacimento delle richieste di informazioni o della dimostrazione o verifica del rispetto degli obblighi di legge.

Articolo 2

Definizioni

1.Ai fini del presente regolamento si applicano le definizioni seguenti:

a)le definizioni contenute nel regolamento (UE) 2016/679;

b)le definizioni di "assistenza sanitaria", "Stato membro di affiliazione", "Stato membro di cura", "professionista sanitario", "prestatore di assistenza sanitaria", "medicinale" e "prescrizione" ai sensi dell'articolo 3, lettere a), c), d), f), g), i) e k), della direttiva 2011/24/UE;

c)le definizioni di "dati", "accesso", "altruismo dei dati", "ente pubblico" e "ambiente di trattamento sicuro" ai sensi dell'articolo 2, punti 1), 8), 10), 11) e 14), dell'[Atto sulla governance dei dati (COM(2020) 767 final)];

d)le definizioni di "messa a disposizione sul mercato", "immissione sul mercato", "vigilanza del mercato", "autorità di vigilanza del mercato", "non conformità", "fabbricante", "importatore", "distributore", "operatore economico", "misura correttiva", "rischio", "richiamo" e "ritiro" ai sensi dell'articolo 2, punti 1), 2), 3), 4), 7), 8), 9), 10), 13), 16), 18), 22) e 23), del regolamento (UE) 2019/1020;

e)le definizioni di "dispositivo medico", "destinazione d'uso", "istruzioni per l'uso", "prestazioni", "istituzione sanitaria" e "specifiche comuni" ai sensi dell'articolo 2, punti 1), 12), 14), 22), 36) e 71), del regolamento (UE) 2017/745;

f)le definizioni di "identificazione elettronica", "mezzi di identificazione elettronica" e "dati di identificazione personale" ai sensi dell'articolo 3, punti 1), 2) e 3), del regolamento (UE) n. 910/2014.

2.Ai fini del presente regolamento si applicano inoltre le definizioni seguenti:

a)"dati sanitari elettronici personali": i dati relativi alla salute e i dati genetici quali definiti nel regolamento (UE) 2016/679, nonché i dati relativi a determinanti della salute o i dati trattati nell'ambito della prestazione di servizi di assistenza sanitaria, che sono trattati in formato elettronico;

b)"dati sanitari elettronici non personali": i dati relativi alla salute e i dati genetici in formato elettronico che non rientrano nella definizione di dato personale di cui all'articolo 4, punto 1), del regolamento (UE) 2016/679;

c)"dati sanitari elettronici": dati sanitari elettronici personali o non personali;

d)"uso primario dei dati sanitari elettronici": il trattamento dei dati sanitari elettronici personali per la prestazione di servizi sanitari al fine di valutare, mantenere o ripristinare lo stato di salute della persona fisica cui si riferiscono tali dati, comprese la prescrizione, la dispensazione e la fornitura di medicinali e dispositivi medici, nonché per i pertinenti servizi di sicurezza sociale, amministrativi o di rimborso;

e)"uso secondario dei dati sanitari elettronici": il trattamento dei dati sanitari elettronici per le finalità di cui al capo IV del presente regolamento. Tra i dati utilizzati possono figurare dati sanitari elettronici personali originariamente raccolti nel contesto dell'uso primario, ma anche dati sanitari elettronici raccolti ai fini dell'uso secondario;

f)"interoperabilità": la capacità delle organizzazioni, nonché delle applicazioni software o dei dispositivi dello stesso fabbricante o di fabbricanti diversi, di interagire tra loro per conseguire obiettivi reciprocamente vantaggiosi, il che comporta lo scambio di informazioni e conoscenze tra tali organizzazioni, applicazioni software o dispositivi, attraverso i processi che essi supportano, senza che sia modificato il contenuto dei dati;

g)"formato europeo di scambio delle cartelle cliniche elettroniche": un formato strutturato, di uso comune e leggibile da un dispositivo automatico che consente la trasmissione di dati sanitari elettronici personali tra applicazioni software, dispositivi e prestatori di assistenza sanitaria diversi;

h)"registrazione dei dati sanitari elettronici": la registrazione di dati sanitari in formato elettronico, mediante l'inserimento manuale di dati, la raccolta di dati da parte di un dispositivo o la conversione di dati sanitari non elettronici in un formato elettronico, il cui trattamento avviene all'interno di un sistema di cartelle cliniche elettroniche o di un'applicazione per il benessere;

i)"servizio di accesso ai dati sanitari elettronici": un servizio online, quale un portale o un'applicazione mobile, che consente alle persone fisiche che non agiscono in veste professionale di accedere ai propri dati sanitari elettronici o ai dati sanitari elettronici delle persone fisiche a cui sono legalmente autorizzati ad accedere;

j)"servizio di accesso per professionisti sanitari": un servizio, supportato da un sistema di cartelle cliniche elettroniche, che consente ai professionisti sanitari di accedere ai dati delle persone fisiche in cura presso di loro;

k)"destinatario dei dati": una persona fisica o giuridica che riceve dati da un altro titolare del trattamento nel contesto dell'uso primario dei dati sanitari elettronici;

l)"telemedicina": la prestazione di servizi di assistenza sanitaria, comprese l'assistenza a distanza e le farmacie online, mediante l'uso di tecnologie dell'informazione e della comunicazione, in situazioni in cui il professionista sanitario e il paziente (o più professionisti sanitari) non si trovano nello stesso luogo;

m)"cartella clinica elettronica": una raccolta di dati sanitari elettronici relativi a una persona fisica e rilevati nell'ambito del sistema sanitario, il cui trattamento avviene ai fini dell'assistenza sanitaria;

n)"sistema di cartelle cliniche elettroniche": qualsiasi apparecchio o software destinato dal fabbricante a essere utilizzato per la conservazione, l'intermediazione, l'importazione, l'esportazione, la conversione, la modifica o la visualizzazione delle cartelle cliniche elettroniche;

o)"applicazione per il benessere": qualsiasi apparecchio o software destinato dal fabbricante a essere utilizzato da una persona fisica per il trattamento dei dati sanitari elettronici per scopi diversi dall'assistenza sanitaria, quali il benessere e il perseguimento di stili di vita sani;

p)"marcatura CE di conformità": una marcatura mediante la quale il fabbricante indica che un sistema di cartelle cliniche elettroniche è conforme alle prescrizioni applicabili stabilite nel presente regolamento e in altre normative dell'Unione applicabili che ne prevedono l'apposizione;

q)"incidente grave": qualsiasi malfunzionamento o deterioramento delle caratteristiche o delle prestazioni di un sistema di cartelle cliniche elettroniche messo a disposizione sul mercato che, direttamente o indirettamente, causa, avrebbe potuto causare o può causare:

i)la morte di una persona fisica o danni gravi alla salute di una persona fisica;

ii)una perturbazione grave della gestione e del funzionamento delle infrastrutture critiche del settore sanitario;

r)"punto di contatto nazionale per la sanità digitale": uno sportello organizzativo e tecnico per la prestazione di servizi di informazione transfrontalieri in materia di sanità digitale per l'uso primario dei dati sanitari elettronici, sotto la responsabilità degli Stati membri;

s)"piattaforma centrale per la sanità digitale": una piattaforma di interoperabilità che fornisce servizi volti a favorire e agevolare lo scambio di dati sanitari elettronici tra i punti di contatto nazionali per la sanità digitale;

t)"MyHealth@EU" (LaMiaSalute@UE): l'infrastruttura transfrontaliera per l'uso primario dei dati sanitari elettronici, costituita dalla combinazione dei punti di contatto nazionali per la sanità digitale e della piattaforma centrale per la sanità digitale;

u)"punto di contatto nazionale per l'uso secondario dei dati sanitari elettronici": uno sportello organizzativo e tecnico che rende possibile l'uso secondario dei dati sanitari elettronici a livello transfrontaliero, sotto la responsabilità degli Stati membri;

v)"piattaforma centrale per l'uso secondario dei dati sanitari elettronici": una piattaforma di interoperabilità, istituita dalla Commissione, che fornisce servizi volti a favorire e agevolare lo scambio di informazioni tra i punti di contatto nazionali per l'uso secondario dei dati sanitari elettronici;

x)"HealthData@EU" (DatiSanitari@UE): l'infrastruttura che collega i punti di contatto nazionali per l'uso secondario dei dati sanitari elettronici e la piattaforma centrale;

y)"titolare dei dati": una persona fisica o giuridica che è un soggetto o un organismo del settore sanitario o dell'assistenza, o che svolge attività di ricerca in relazione a tali settori, nonché le istituzioni, gli organi e gli organismi dell'Unione che hanno il diritto o l'obbligo, conformemente al presente regolamento, al diritto dell'Unione applicabile o alla legislazione nazionale di attuazione del diritto dell'Unione, o, nel caso di dati non personali, mediante il controllo della progettazione tecnica di un prodotto e dei servizi correlati, la capacità, di rendere disponibili determinati dati, anche in termini di registrazione, fornitura, limitazione dell'accesso o scambio;

z)"utente dei dati": una persona fisica o giuridica che ha legalmente accesso ai dati sanitari elettronici personali o non personali ai fini dell'uso secondario;

a bis)"autorizzazione ai dati": una decisione amministrativa emessa nei confronti di un utente dei dati da un organismo responsabile dell'accesso ai dati sanitari o da un titolare dei dati per il trattamento dei dati sanitari elettronici specificati nell'autorizzazione di cui trattasi per le finalità correlate all'uso secondario indicate in tale autorizzazione sulla base delle condizioni stabilite nel presente regolamento;

a ter)"serie di dati": una raccolta strutturata di dati sanitari elettronici;

a quater)"catalogo delle serie di dati": una raccolta di descrizioni delle serie di dati, organizzata in modo sistematico e costituita da una parte pubblica orientata all'utente, in cui le informazioni relative ai singoli parametri delle serie di dati sono accessibili per via elettronica attraverso un portale online;

a quinquies)"qualità dei dati": il grado di idoneità delle caratteristiche dei dati sanitari elettronici all'uso secondario;

a sexies)"marchio di qualità e di utilità dei dati": schema grafico, comprensivo di una scala, che descrive la qualità dei dati e le condizioni d'uso di una serie di dati.

Capo II

Uso primario dei dati sanitari elettronici

Sezione 1

Accesso ai dati sanitari elettronici personali e relativa trasmissione per l'uso primario

Articolo 3

Diritti delle persone fisiche in relazione all'uso primario dei loro dati sanitari elettronici personali

1.Le persone fisiche hanno il diritto di accedere immediatamente, gratuitamente e in un formato facilmente leggibile, consolidato e accessibile ai propri dati sanitari elettronici personali trattati nel contesto dell'uso primario dei dati sanitari elettronici.

2.Le persone fisiche hanno il diritto di ricevere una copia elettronica, nel formato europeo di scambio delle cartelle cliniche elettroniche di cui all'articolo 6, almeno dei loro dati sanitari elettronici che rientrano nelle categorie prioritarie di cui all'articolo 5.

3.Conformemente all'articolo 23 del regolamento (UE) 2016/679, gli Stati membri possono limitare la portata di tale diritto laddove necessario per la tutela della persona fisica sulla base della sicurezza del paziente e dell'etica, ritardandone temporaneamente l'accesso ai dati sanitari elettronici personali fino a quando un professionista sanitario non sia in grado di comunicare e spiegare adeguatamente alla persona fisica informazioni che possono avere un impatto significativo sulla salute di quest'ultima.

4.Qualora i dati sanitari personali non fossero registrati elettronicamente prima dell'applicazione del presente regolamento, gli Stati membri possono chiedere che tali dati siano messi a disposizione in formato elettronico a norma del presente articolo. Ciò non pregiudica l'obbligo imposto dal presente articolo di rendere disponibili in formato elettronico i dati sanitari elettronici personali registrati dopo l'applicazione del presente regolamento.

5.Gli Stati membri:

a)istituiscono uno o più servizi di accesso ai dati sanitari elettronici a livello nazionale, regionale o locale che consentano l'esercizio dei diritti di cui ai paragrafi 1 e 2;

b)istituiscono uno o più servizi di delega che consentano a una persona fisica di autorizzare altre persone fisiche di sua scelta ad accedere ai suoi dati sanitari elettronici per suo conto.

I servizi di delega forniscono le autorizzazioni gratuitamente, in formato elettronico o cartaceo. Essi consentono ai tutori o ad altri rappresentanti di essere autorizzati, automaticamente o su richiesta, ad accedere ai dati sanitari elettronici delle persone fisiche di cui curano gli interessi. Gli Stati membri possono stabilire che tali autorizzazioni non si applichino laddove necessario per motivi connessi alla tutela della persona fisica, in particolare sulla base della sicurezza del paziente e dell'etica. I servizi di delega sono interoperabili tra Stati membri.

6.Le persone fisiche possono inserire i loro dati sanitari elettronici nella propria cartella clinica elettronica o in quella delle persone fisiche alle cui informazioni cliniche hanno accesso attraverso servizi di accesso ai dati sanitari elettronici o applicazioni ad essi collegate. Tali informazioni sono contrassegnate come inserite dalla persona fisica o dal suo rappresentante.

7.Gli Stati membri provvedono affinché, nell'esercizio del diritto di rettifica di cui all'articolo 16 del regolamento (UE) 2016/679, le persone fisiche possano chiedere facilmente la rettifica online tramite i servizi di accesso ai dati sanitari elettronici di cui al paragrafo 5, lettera a), del presente articolo.

8.Le persone fisiche hanno il diritto di concedere l'accesso ai loro dati sanitari elettronici a un destinatario dei dati di loro scelta del settore sanitario o della sicurezza sociale o di chiedere a un titolare dei dati del settore sanitario o della sicurezza sociale di trasmettere i loro dati sanitari elettronici a un destinatario dei dati di loro scelta del settore sanitario o della sicurezza sociale, immediatamente, gratuitamente e senza ostacoli da parte del titolare dei dati o dei fabbricanti dei sistemi utilizzati da tale titolare.

Le persone fisiche hanno il diritto che, qualora il titolare dei dati e il destinatario dei dati si trovino in Stati membri diversi e detti dati sanitari elettronici rientrino nelle categorie di cui all'articolo 5, il titolare dei dati trasmetta i dati nel formato europeo di scambio delle cartelle cliniche elettroniche di cui all'articolo 6 e il destinatario dei dati li legga e li accetti.

In deroga all'articolo 9 del regolamento [...] [normativa sui dati (COM(2022) 68 final)], il destinatario dei dati non è tenuto a riconoscere al titolare dei dati un compenso per la messa a disposizione dei dati sanitari elettronici.

Le persone fisiche hanno il diritto che, qualora le categorie prioritarie di dati sanitari elettronici personali di cui all'articolo 5 siano trasmesse o messe a disposizione dalla persona fisica secondo il formato europeo di scambio delle cartelle cliniche elettroniche di cui all'articolo 6, tali dati siano letti e accettati da altri prestatori di assistenza sanitaria.

9.Fatto salvo l'articolo 6, paragrafo 1, lettera d), del regolamento (UE) 2016/679, le persone fisiche hanno il diritto di limitare l'accesso dei professionisti sanitari alla totalità o a parte dei loro dati sanitari elettronici. Gli Stati membri stabiliscono le norme e le garanzie specifiche relative a tali meccanismi di limitazione.

10.Le persone fisiche hanno il diritto di ottenere informazioni sui prestatori di assistenza sanitaria e sui professionisti sanitari che hanno avuto accesso ai loro dati sanitari elettronici nell'ambito dell'assistenza sanitaria. Le informazioni sono fornite immediatamente e gratuitamente attraverso servizi di accesso ai dati sanitari elettronici.

11.L'autorità di controllo o le autorità incaricate di sorvegliare l'applicazione del regolamento (UE) 2016/679 sono altresì incaricate di sorvegliare l'applicazione del presente articolo, conformemente alle pertinenti disposizioni dei capi VI, VII e VIII del regolamento (UE) 2016/679. Esse sono competenti a infliggere sanzioni amministrative pecuniarie fino all'importo di cui all'articolo 83, paragrafo 5, di detto regolamento. Tali autorità di controllo e le autorità di sanità digitale di cui all'articolo 10 del presente regolamento cooperano, se del caso, nell'applicazione del presente regolamento nell'ambito delle rispettive competenze.

12.La Commissione stabilisce, mediante atti di esecuzione, le prescrizioni relative all'attuazione tecnica dei diritti di cui al presente articolo. Tali atti di esecuzione sono adottati secondo la procedura consultiva di cui all'articolo 68, paragrafo 2.

Articolo 4

Accesso dei professionisti sanitari ai dati sanitari elettronici personali

1.Nel trattare i dati in formato elettronico, i professionisti sanitari:

a)hanno accesso ai dati sanitari elettronici delle persone fisiche in cura presso di loro, indipendentemente dallo Stato membro di affiliazione e dallo Stato membro di cura;

b)garantiscono che i dati sanitari elettronici personali delle persone fisiche che curano siano aggiornati con informazioni relative ai servizi sanitari prestati.

2.In linea con il principio della minimizzazione dei dati di cui al regolamento (UE) 2016/679, gli Stati membri possono stabilire norme che prevedano le categorie di dati sanitari elettronici personali necessarie per le diverse professioni sanitarie. Tali norme non si basano sulla fonte dei dati sanitari elettronici.

3.Gli Stati membri provvedono affinché i professionisti sanitari abbiano accesso almeno alle categorie prioritarie di dati sanitari elettronici di cui all'articolo 5 tramite i servizi di accesso per professionisti sanitari. I professionisti sanitari in possesso di mezzi di identificazione elettronica riconosciuti hanno il diritto di fruire gratuitamente di tali servizi di accesso per professionisti sanitari.

4.Qualora la persona fisica abbia limitato l'accesso ai dati sanitari elettronici, il prestatore di assistenza sanitaria o i professionisti sanitari non sono informati in merito al contenuto dei dati sanitari elettronici senza l'autorizzazione preventiva della persona fisica, anche laddove il prestatore o il professionista è stato informato dell'esistenza e della natura dei dati sanitari elettronici oggetto della limitazione. Nei casi in cui il trattamento è necessario per la salvaguardia degli interessi vitali dell'interessato o di un'altra persona fisica, il prestatore di assistenza sanitaria o il professionista sanitario può avere accesso ai dati sanitari elettronici oggetto della limitazione. A seguito di tale accesso, il prestatore di assistenza sanitaria o il professionista sanitario informa il titolare dei dati e la persona fisica interessata o i suoi tutori in merito alla concessione dell'accesso ai dati sanitari elettronici. Il diritto degli Stati membri può prevedere garanzie supplementari.

Articolo 5

Categorie prioritarie di dati sanitari elettronici personali per l'uso primario

1.Qualora i dati siano trattati in formato elettronico, gli Stati membri rendono possibile l'accesso ai dati sanitari elettronici personali per l'uso primario e il relativo scambio per quanto riguarda i dati che rientrano, in tutto o in parte, nelle categorie seguenti:

a)profili sanitari sintetici dei pazienti;

b)prescrizioni elettroniche;

c)dispensazioni elettroniche;

d)immagini medicali e referti di immagini;

e)risultati di laboratorio;

f)lettere di dimissione.

Le caratteristiche principali delle categorie di dati sanitari elettronici di cui al primo comma sono indicate nell'allegato I.

L'accesso ai dati sanitari elettronici per l'uso primario e il relativo scambio possono essere consentiti per altre categorie di dati sanitari elettronici personali disponibili nella cartella clinica elettronica delle persone fisiche.

2.Alla Commissione è conferito il potere di adottare atti delegati conformemente all'articolo 67 al fine di modificare l'elenco delle categorie prioritarie di dati sanitari elettronici di cui al paragrafo 1. Tali atti delegati possono inoltre modificare l'allegato I mediante l'aggiunta, la modifica o l'eliminazione delle caratteristiche principali delle categorie prioritarie di dati sanitari elettronici e l'indicazione, se del caso, della data di applicazione differita. Le categorie di dati sanitari elettronici aggiunte mediante tali atti delegati soddisfano i criteri seguenti:

a)la categoria è pertinente per i servizi sanitari prestati alle persone fisiche;

b)secondo le informazioni più recenti, la categoria è utilizzata in un numero significativo di sistemi di cartelle cliniche elettroniche impiegati negli Stati membri;

c)esistono norme internazionali per la categoria che sono state oggetto di esame per valutarne la possibilità di applicazione nell'Unione.

Articolo 6

Formato europeo di scambio delle cartelle cliniche elettroniche

1.La Commissione stabilisce, mediante atti di esecuzione, le specifiche tecniche relative alle categorie prioritarie di dati sanitari elettronici personali di cui all'articolo 5 e che definiscono il formato europeo di scambio delle cartelle cliniche elettroniche. Il formato comprende gli elementi seguenti:

a)serie di dati contenenti dati sanitari elettronici e strutture definitorie, quali campi di dati e gruppi di dati per la rappresentazione contenutistica delle informazioni cliniche e di altre parti dei dati sanitari elettronici;

b)valori e sistemi di codifica da utilizzare nelle serie di dati contenenti dati sanitari elettronici;

c)specifiche tecniche per lo scambio di dati sanitari elettronici, tra cui la rappresentazione contenutistica, le norme e i profili.

2.Tali atti di esecuzione sono adottati secondo la procedura consultiva di cui all'articolo 68, paragrafo 2. Gli Stati membri provvedono affinché, qualora le categorie prioritarie di dati sanitari elettronici personali di cui all'articolo 5 siano fornite direttamente da una persona fisica o trasmesse a un prestatore di assistenza sanitaria, con l'ausilio di strumenti automatici, nel formato di cui al paragrafo 1, tali dati siano letti e accettati dal destinatario dei dati.

3.Gli Stati membri provvedono affinché le categorie prioritarie di dati sanitari elettronici personali di cui all'articolo 5 siano rilasciate nel formato di cui al paragrafo 1 e tali dati siano letti e accettati dal destinatario dei dati.

Articolo 7

Registrazione dei dati sanitari elettronici personali

1.Gli Stati membri provvedono affinché, qualora i dati siano trattati in formato elettronico, i professionisti sanitari registrino sistematicamente, in formato elettronico all'interno di un sistema di cartelle cliniche elettroniche, i pertinenti dati sanitari che rientrano almeno nelle categorie prioritarie di cui all'articolo 5 riguardo ai servizi sanitari da essi prestati alle persone fisiche.

2.Qualora i dati sanitari elettronici di una persona fisica siano registrati in uno Stato membro che non è lo Stato membro di affiliazione di tale persona, lo Stato membro di cura provvede affinché la registrazione sia effettuata con i dati di identificazione personale della persona fisica nello Stato membro di affiliazione.

3.La Commissione stabilisce, mediante atti di esecuzione, le prescrizioni relative alla registrazione dei dati sanitari elettronici da parte dei prestatori di assistenza sanitaria e delle persone fisiche, a seconda dei casi. Tali atti di esecuzione stabiliscono quanto segue:

a)le categorie di prestatori di assistenza sanitaria che devono registrare i dati sanitari elettronicamente;

b)le categorie di dati sanitari che devono essere registrati sistematicamente in formato elettronico dai prestatori di assistenza sanitaria di cui alla lettera a);

c)le prescrizioni di qualità dei dati relative alla registrazione elettronica dei dati sanitari.

Tali atti di esecuzione sono adottati secondo la procedura consultiva di cui all'articolo 68, paragrafo 2.

Articolo 8

Telemedicina nel contesto dell'assistenza sanitaria transfrontaliera

Qualora accetti la prestazione di servizi di telemedicina, uno Stato membro accetta, alle stesse condizioni, l'erogazione di servizi dello stesso tipo da parte di prestatori di assistenza sanitaria situati in altri Stati membri.

Articolo 9

Gestione dell'identificazione

1.Qualora una persona fisica si avvalga dei servizi di telemedicina o dei servizi di accesso ai dati sanitari personali di cui all'articolo 3, paragrafo 5, lettera a), tale persona fisica ha il diritto di identificarsi elettronicamente con qualsiasi mezzo di identificazione elettronica riconosciuto a norma dell'articolo 6 del regolamento (UE) n. 910/2014.

2.La Commissione stabilisce, mediante atti di esecuzione, le prescrizioni relative al meccanismo interoperabile e transfrontaliero di identificazione e autenticazione delle persone fisiche e dei professionisti sanitari, conformemente al regolamento (UE) n. 910/2014 come modificato da [COM(2021) 281 final]. Il meccanismo agevola la trasferibilità dei dati sanitari elettronici in un contesto transfrontaliero. Tali atti di esecuzione sono adottati secondo la procedura consultiva di cui all'articolo 68, paragrafo 2.

3.La Commissione attua i servizi richiesti dal meccanismo interoperabile e transfrontaliero di identificazione e autenticazione di cui al paragrafo 2 del presente articolo a livello dell'Unione, nell'ambito dell'infrastruttura di sanità digitale transfrontaliera di cui all'articolo 12, paragrafo 3.

4.La Commissione e le autorità di sanità digitale attuano il meccanismo transfrontaliero di identificazione e autenticazione rispettivamente a livello dell'Unione e degli Stati membri.

Articolo 10

Autorità di sanità digitale

1.Ciascuno Stato membro designa un'autorità di sanità digitale responsabile dell'attuazione e dell'applicazione del presente capo a livello nazionale. Lo Stato membro comunica alla Commissione l'identità dell'autorità di sanità digitale entro la data di applicazione del presente regolamento. Qualora l'autorità di sanità digitale designata sia un soggetto composto da più organizzazioni, lo Stato membro comunica alla Commissione una descrizione della ripartizione dei compiti tra le organizzazioni. La Commissione mette tali informazioni a disposizione del pubblico.

2.Ciascuna autorità di sanità digitale è incaricata di svolgere i compiti seguenti:

a)garantire l'attuazione dei diritti e degli obblighi di cui ai capi II e III adottando le soluzioni tecniche necessarie a livello nazionale, regionale o locale e stabilendo le norme e i meccanismi pertinenti;

b)assicurare che siano messe prontamente a disposizione delle persone fisiche, dei professionisti sanitari e dei prestatori di assistenza sanitaria informazioni complete e aggiornate sull'attuazione dei diritti e degli obblighi di cui ai capi II e III;

c)nell'attuazione delle soluzioni tecniche di cui alla lettera a), garantirne la conformità ai capi II e III e all'allegato II;

d)contribuire, a livello dell'Unione, allo sviluppo di soluzioni tecniche che consentano alle persone fisiche e ai professionisti sanitari di esercitare i loro diritti e obblighi di cui al presente capo;

e)agevolare le persone con disabilità nell'esercizio dei loro diritti di cui all'articolo 3 del presente regolamento conformemente alla direttiva (UE) 2019/882 del Parlamento europeo e del Consiglio 55 ;

f)vigilare sui punti di contatto nazionali per la sanità digitale e cooperare con altre autorità di sanità digitale e con la Commissione sull'ulteriore sviluppo di MyHealth@EU;

g)garantire l'attuazione a livello nazionale del formato europeo di scambio delle cartelle cliniche elettroniche, in cooperazione con le autorità nazionali e i portatori di interessi;

h)contribuire a livello dell'Unione allo sviluppo del formato europeo di scambio delle cartelle cliniche elettroniche, all'elaborazione di specifiche comuni per far fronte alle preoccupazioni in materia di interoperabilità, sicurezza o diritti fondamentali conformemente all'articolo 23 e alla definizione delle specifiche della banca dati UE dei sistemi di cartelle cliniche elettroniche e delle applicazioni per il benessere di cui all'articolo 32;

i)se del caso, svolgere attività di vigilanza del mercato conformemente all'articolo 28, avendo cura nel contempo di evitare qualsiasi conflitto di interessi;

j)sviluppare capacità nazionali per dare attuazione all'interoperabilità e alla sicurezza dell'uso primario dei dati sanitari elettronici e partecipare agli scambi di informazioni e alle attività di sviluppo delle capacità a livello dell'Unione;

k)offrire servizi di telemedicina nel rispetto della legislazione nazionale e garantire che tali servizi siano di facile utilizzo e accessibili a diversi gruppi di persone fisiche e a professionisti sanitari, comprese le persone fisiche con disabilità, non siano discriminatori e offrano la possibilità di scegliere tra servizi in presenza e servizi digitali;

l)cooperare con le autorità di vigilanza del mercato, partecipare alle attività relative alla gestione dei rischi posti dai sistemi di cartelle cliniche elettroniche e degli incidenti gravi e vigilare sull'attuazione di misure correttive conformemente all'articolo 29;

m)cooperare con altri soggetti e organismi pertinenti a livello nazionale o dell'Unione, al fine di garantire l'interoperabilità, la portabilità dei dati e la sicurezza dei dati sanitari elettronici, nonché con i rappresentanti dei portatori di interessi, compresi i rappresentanti dei pazienti, i prestatori di assistenza sanitaria, i professionisti sanitari e le associazioni di categoria;

n)cooperare con le autorità di controllo a norma del regolamento (UE) n. 910/2014, del regolamento (UE) 2016/679 e della direttiva (UE) 2016/1148 del Parlamento europeo e del Consiglio 56 e con altre autorità pertinenti, tra cui quelle competenti in materia di cibersicurezza e identificazione elettronica, il comitato europeo per l'intelligenza artificiale, il gruppo di coordinamento per i dispositivi medici, il comitato europeo per l'innovazione in materia di dati e le autorità competenti a norma del regolamento [...] [normativa sui dati (COM(2022) 68 final)];

o)elaborare, se del caso in collaborazione con le autorità di vigilanza del mercato, una relazione annuale di attività contenente una panoramica completa delle sue attività. La relazione è trasmessa alla Commissione. La relazione annuale di attività segue una struttura concordata a livello dell'Unione in seno al comitato EHDS, a sostegno dell'analisi comparativa ai sensi dell'articolo 59. La relazione contiene almeno informazioni riguardanti:

i)i provvedimenti adottati per l'attuazione del presente regolamento;

ii)la percentuale delle persone fisiche che hanno accesso a diverse categorie di dati nelle rispettive cartelle cliniche elettroniche;

iii)il trattamento delle richieste presentate da persone fisiche riguardo all'esercizio dei loro diritti a norma del presente regolamento;

iv)il numero di prestatori di assistenza sanitaria di vario tipo, tra cui farmacie, ospedali e altri luoghi di prestazione, collegati a MyHealth@EU, calcolato a) in termini assoluti, b) in percentuale su tutti i prestatori di assistenza sanitaria dello stesso tipo e c) in percentuale di persone fisiche che possono usufruire dei servizi;

v)i volumi di dati sanitari elettronici di diverse categorie condivisi a livello transfrontaliero tramite MyHealth@EU;

vi)il livello di soddisfazione delle persone fisiche per quanto riguarda i servizi di MyHealth@EU;

vii)il numero di sistemi di cartelle cliniche elettroniche muniti di certificazione e di applicazioni per il benessere corredate di etichetta iscritti nella banca dati dell'UE;

viii)il numero di casi di non conformità alle prescrizioni obbligatorie;

ix)una descrizione delle attività svolte in relazione al coinvolgimento e alla consultazione dei portatori di interessi pertinenti, compresi i rappresentanti delle persone fisiche, delle organizzazioni dei pazienti, dei professionisti sanitari, dei ricercatori e dei comitati etici;

x)informazioni sulla cooperazione con altri organismi competenti, in particolare nel settore della protezione dei dati, della cibersicurezza e dell'intelligenza artificiale.

3.Alla Commissione è conferito il potere di adottare atti delegati conformemente all'articolo 67 al fine di integrare il presente regolamento attribuendo alle autorità di sanità digitale i compiti supplementari necessari per svolgere le funzioni loro affidate dal presente regolamento e modificare il contenuto della relazione annuale.

4.Ciascuno Stato membro provvede affinché ogni autorità di sanità digitale disponga delle risorse umane, tecniche e finanziarie, dei locali e delle infrastrutture necessari per l'efficace svolgimento dei propri compiti e per l'esercizio dei propri poteri.

5.Nello svolgimento dei suoi compiti, l'autorità di sanità digitale coopera attivamente con i rappresentanti dei portatori di interessi, compresi i rappresentanti dei pazienti. I membri dell'autorità di sanità digitale evitano qualsiasi conflitto di interessi.

Articolo 11

Diritto di presentare un reclamo a un'autorità di sanità digitale

1.Fatto salvo ogni altro ricorso amministrativo o giurisdizionale, le persone fisiche e giuridiche hanno il diritto di presentare, singolarmente o, se del caso, collettivamente, un reclamo all'autorità di sanità digitale. Se il reclamo riguarda i diritti delle persone fisiche a norma dell'articolo 3 del presente regolamento, l'autorità di sanità digitale informa le autorità di controllo di cui al regolamento (UE) 2016/679.

2.L'autorità di sanità digitale alla quale è stato presentato il reclamo informa il reclamante in merito allo stato del procedimento e alla decisione adottata.

3.Le autorità di sanità digitale cooperano per trattare e risolvere i reclami, anche scambiando tutte le informazioni pertinenti per via elettronica, senza indebito ritardo.

Sezione 2

Infrastruttura transfrontaliera per l'uso primario dei dati sanitari elettronici

Articolo 12

MyHealth@EU

1.La Commissione istituisce una piattaforma centrale per la sanità digitale per fornire servizi volti a favorire e agevolare lo scambio di dati sanitari elettronici tra i punti di contatto nazionali per la sanità digitale degli Stati membri.

2.Ciascuno Stato membro designa un punto di contatto nazionale per la sanità digitale al fine di garantire il collegamento con tutti gli altri punti di contatto nazionali per la sanità digitale e con la piattaforma centrale per la sanità digitale. Qualora il punto di contatto nazionale designato sia un soggetto composto da più organizzazioni responsabili dell'attuazione di servizi diversi, lo Stato membro comunica alla Commissione una descrizione della ripartizione dei compiti tra le organizzazioni. Il punto di contatto nazionale per la sanità digitale è considerato un partecipante all'infrastruttura autorizzato. Ciascuno Stato membro comunica alla Commissione l'identità del suo punto di contatto nazionale entro il [data di applicazione del presente regolamento]. Tale punto di contatto può essere costituito in seno all'autorità di sanità digitale istituita dall'articolo 10 del presente regolamento. Gli Stati membri comunicano alla Commissione ogni successiva modifica dell'identità di tali punti di contatto. La Commissione e gli Stati membri mettono tali informazioni a disposizione del pubblico.

3.Ciascun punto di contatto nazionale per la sanità digitale rende possibile lo scambio dei dati sanitari elettronici personali di cui all'articolo 5 con tutti gli altri punti di contatto nazionali. Lo scambio si basa sul formato europeo di scambio delle cartelle cliniche elettroniche.

4.La Commissione adotta, mediante atti di esecuzione, le misure necessarie per lo sviluppo tecnico di MyHealth@EU, norme dettagliate riguardanti la sicurezza, la riservatezza e la protezione dei dati sanitari elettronici, nonché le condizioni e i controlli di conformità necessari per aderire e rimanere collegati a MyHealth@EU e le condizioni per l'esclusione temporanea o definitiva da MyHealth@EU. Tali atti di esecuzione sono adottati secondo la procedura consultiva di cui all'articolo 68, paragrafo 2.

5.Gli Stati membri garantiscono che tutti i prestatori di assistenza sanitaria siano collegati ai rispettivi punti di contatto nazionali per la sanità digitale e che i prestatori collegati siano in grado di effettuare uno scambio bidirezionale di dati sanitari elettronici con il punto di contatto nazionale per la sanità digitale.

6.Gli Stati membri provvedono affinché le farmacie operanti sul loro territorio, comprese le farmacie online, siano in grado di dispensare, alle condizioni di cui all'articolo 11 della direttiva 2011/24/UE, le prescrizioni elettroniche rilasciate da altri Stati membri. Le farmacie accedono alle prescrizioni elettroniche loro trasmesse da altri Stati membri e le accettano tramite MyHealth@EU. In seguito alla dispensazione di medicinali sulla base di una prescrizione elettronica proveniente da un altro Stato membro, le farmacie segnalano tale dispensazione allo Stato membro che ha rilasciato la prescrizione tramite MyHealth@EU.

7.I punti di contatto nazionali per la sanità digitale agiscono in qualità di contitolari del trattamento dei dati sanitari elettronici comunicati tramite "MyHealth@EU" nelle operazioni di trattamento in cui sono coinvolti. La Commissione agisce in qualità di responsabile del trattamento.

8.La Commissione provvede, mediante atti di esecuzione, alla ripartizione delle responsabilità tra i titolari del trattamento e alla definizione di quelle in capo al responsabile del trattamento di cui al paragrafo 7 del presente articolo, conformemente al capo IV del regolamento (UE) 2016/679. Tali atti di esecuzione sono adottati secondo la procedura consultiva di cui all'articolo 68, paragrafo 2.

9.L'approvazione dell'adesione dei singoli partecipanti autorizzati a MyHealth@EU per vari servizi o della disconnessione di un partecipante è rilasciata dal gruppo di controllo congiunto sulla base dei risultati dei controlli di conformità.

Articolo 13

Infrastrutture e servizi di sanità digitale transfrontalieri supplementari

1.Tramite MyHealth@EU gli Stati membri possono erogare servizi supplementari in grado di agevolare la telemedicina, la sanità mobile, l'accesso da parte delle persone fisiche ai dati sanitari tradotti e lo scambio o la verifica di certificati sanitari, compresi i libretti delle vaccinazioni, nonché servizi a sostegno della sanità pubblica e della vigilanza della sanità pubblica o di sistemi, servizi e applicazioni interoperabili di sanità digitale, al fine di conseguire un elevato livello di fiducia e sicurezza, migliorare la continuità dell'assistenza e garantire l'accesso a un'assistenza sanitaria sicura e di elevata qualità. La Commissione definisce, mediante atti di esecuzione, gli aspetti tecnici di detta erogazione. Tali atti di esecuzione sono adottati secondo la procedura consultiva di cui all'articolo 68, paragrafo 2.

2.La Commissione e gli Stati membri possono agevolare lo scambio di dati sanitari elettronici con altre infrastrutture, quali il sistema di gestione dei dati clinici dei pazienti o altri servizi o infrastrutture nei settori sanitario, dell'assistenza o della sicurezza sociale che possono diventare partecipanti autorizzati a MyHealth@EU. La Commissione definisce, mediante atti di esecuzione, gli aspetti tecnici di detti scambi. Tali atti di esecuzione sono adottati secondo la procedura consultiva di cui all'articolo 68, paragrafo 2. Il collegamento di un'altra infrastruttura alla piattaforma centrale per la sanità digitale è soggetto a una decisione del gruppo di controllo congiunto di MyHealth@EU di cui all'articolo 66.

3.Gli Stati membri e la Commissione si adoperano per garantire l'interoperabilità di MyHealth@EU con i sistemi tecnologici istituiti a livello internazionale per lo scambio di dati sanitari elettronici. La Commissione può adottare un atto di esecuzione che stabilisca che un punto di contatto nazionale di un paese terzo o un sistema istituito a livello internazionale è conforme ai requisiti di MyHealth@EU ai fini dello scambio di dati sanitari elettronici. Prima di adottare tale atto di esecuzione è effettuata una verifica, sotto il controllo della Commissione, della conformità del punto di contatto nazionale del paese terzo o del sistema istituito livello internazionale.

Gli atti di esecuzione di cui al primo comma del presente paragrafo sono adottati secondo la procedura di cui all'articolo 68. Il collegamento del punto di contatto nazionale del paese terzo o del sistema istituito a livello internazionale alla piattaforma centrale per la sanità digitale e la decisione di disconnessione sono soggetti a una decisione del gruppo di controllo congiunto di MyHealth@EU di cui all'articolo 66.

La Commissione rende pubblicamente disponibile l'elenco degli atti di esecuzione adottati a norma del presente paragrafo.

CAPO III

Sistemi di cartelle cliniche elettroniche e applicazioni per il benessere

Sezione 1

Disposizioni generali per i sistemi di cartelle cliniche elettroniche

Articolo 14

Interazione con la normativa che disciplina i dispositivi medici e i sistemi di IA

1.I sistemi di cartelle cliniche elettroniche destinati dal fabbricante all'uso primario delle categorie prioritarie di dati sanitari elettronici di cui all'articolo 5 sono soggetti alle disposizioni del presente capo.

2.Il presente capo non si applica ai software generali utilizzati in un ambiente sanitario.

3.I fabbricanti di dispositivi medici quali definiti all'articolo 2, punto 1), del regolamento (UE) 2017/745 che dichiarano l'interoperabilità di tali dispositivi medici con i sistemi di cartelle cliniche elettroniche dimostrano la conformità alle prescrizioni essenziali in materia di interoperabilità di cui all'allegato II, sezione 2, del presente regolamento. A tali dispositivi medici si applica l'articolo 23 del presente capo.

4.I fornitori di sistemi di IA ad alto rischio quali definiti all'articolo 6 del regolamento [...] [legge sull'intelligenza artificiale (COM(2021) 206 final)], i quali non rientrano nell'ambito di applicazione del regolamento (UE) 2017/745, che dichiarano l'interoperabilità di tali sistemi di IA con i sistemi di cartelle cliniche elettroniche dovranno dimostrare la conformità alle prescrizioni essenziali in materia di interoperabilità di cui all'allegato II, sezione 2, del presente regolamento. A tali sistemi di IA ad alto rischio si applica l'articolo 23 del presente capo.

5.Gli Stati membri possono mantenere o definire norme specifiche per l'appalto, il rimborso o il finanziamento dei sistemi di cartelle cliniche elettroniche nel contesto dell'organizzazione, della prestazione o del finanziamento di servizi di assistenza sanitaria.

Articolo 15

Immissione sul mercato e messa in servizio

1.I sistemi di cartelle cliniche elettroniche possono essere immessi sul mercato o messi in servizio solo se sono conformi alle disposizioni del presente capo.

2.I sistemi di cartelle cliniche elettroniche fabbricati e impiegati nelle istituzioni sanitarie stabilite nell'Unione e i sistemi di cartelle cliniche elettroniche offerti come servizi ai sensi dell'articolo 1, paragrafo 1, lettera b), della direttiva (UE) 2015/1535 del Parlamento europeo e del Consiglio 57 a una persona fisica o giuridica stabilita nell'Unione sono considerati messi in servizio.

Articolo 16

Dichiarazioni

Nella scheda informativa, nelle istruzioni per l'uso o in altre informazioni che accompagnano i sistemi di cartelle cliniche elettroniche e nella pubblicità di tali sistemi è vietato l'uso di testi, nomi, marchi, immagini e segni figurativi o di altro tipo che possano indurre in errore l'utente per quanto riguarda la destinazione d'uso, l'interoperabilità e la sicurezza del sistema:

a)attribuendo al sistema di cartelle cliniche elettroniche funzioni e proprietà che non possiede;

b)omettendo di informare l'utente in merito a probabili limitazioni riguardanti le caratteristiche di interoperabilità o di sicurezza del sistema di cartelle cliniche elettroniche in relazione alla sua destinazione d'uso;

c)proponendo usi del sistema di cartelle cliniche elettroniche diversi da quelli dichiarati parte della destinazione d'uso nella documentazione tecnica.

Sezione 2

Obblighi degli operatori economici per quanto riguarda i sistemi di cartelle cliniche elettroniche

Articolo 17

Obblighi dei fabbricanti di sistemi di cartelle cliniche elettroniche

1.I fabbricanti di sistemi di cartelle cliniche elettroniche:

a)garantiscono che i loro sistemi di cartelle cliniche elettroniche siano conformi alle prescrizioni essenziali di cui all'allegato II e alle specifiche comuni a norma dell'articolo 23;

b)redigono la documentazione tecnica dei loro sistemi di cartelle cliniche elettroniche conformemente all'articolo 24;

c)garantiscono che i loro sistemi di cartelle cliniche elettroniche siano accompagnati dalla scheda informativa di cui all'articolo 25 e da istruzioni per l'uso chiare e complete, senza che ciò comporti alcun costo per l'utente;

d)redigono la dichiarazione di conformità UE di cui all'articolo 26;

e)appongono la marcatura CE ai sensi dell'articolo 27;

f)rispettano gli obblighi di registrazione di cui all'articolo 32;

g)adottano senza indebito ritardo le misure correttive necessarie nei confronti dei loro sistemi di cartelle cliniche elettroniche che non soddisfano le prescrizioni essenziali di cui all'allegato II, oppure richiamano o ritirano tali sistemi;

h)informano i distributori dei loro sistemi di cartelle cliniche elettroniche e, se del caso, il rappresentante autorizzato e gli importatori in merito a eventuali misure correttive, richiami o ritiri;

i)informano le autorità di vigilanza del mercato degli Stati membri in cui hanno messo a disposizione o messo in servizio i propri sistemi di cartelle cliniche elettroniche in merito alla non conformità e a qualsiasi misura correttiva adottata;

j)su richiesta di un'autorità di vigilanza del mercato, forniscono a quest'ultima tutte le informazioni e la documentazione necessarie per dimostrare la conformità del proprio sistema di cartelle cliniche elettroniche alle prescrizioni essenziali di cui all'allegato II;

k)su richiesta delle autorità di vigilanza del mercato, cooperano con queste ultime nell'ambito di qualsiasi misura adottata per rendere i loro sistemi di cartelle cliniche elettroniche conformi alle prescrizioni essenziali di cui all'allegato II.

2.I fabbricanti di sistemi di cartelle cliniche elettroniche provvedono affinché siano predisposte procedure atte a garantire che la progettazione, lo sviluppo e la diffusione di un sistema di cartelle cliniche elettroniche continuino a soddisfare le prescrizioni essenziali di cui all'allegato II e le specifiche comuni di cui all'articolo 23. La documentazione tecnica tiene adeguatamente conto delle modifiche della progettazione o delle caratteristiche del sistema di cartelle cliniche elettroniche e le rispecchia.

3.I fabbricanti di sistemi di cartelle cliniche elettroniche conservano la documentazione tecnica e la dichiarazione di conformità UE per 10 anni dalla data di immissione sul mercato dell'ultimo sistema di cartelle cliniche elettroniche oggetto della dichiarazione di conformità UE.

Articolo 18

Rappresentanti autorizzati

1.Prima di mettere a disposizione un sistema di cartelle cliniche elettroniche sul mercato dell'Unione, il fabbricante di un tale sistema stabilito al di fuori dell'Unione nomina, mediante mandato scritto, un rappresentante autorizzato stabilito nell'Unione.

2.Il rappresentante autorizzato esegue i compiti specificati nel mandato ricevuto dal fabbricante. Tale mandato consente al rappresentante autorizzato di svolgere almeno i compiti seguenti:

a)tenere la dichiarazione di conformità UE e la documentazione tecnica a disposizione delle autorità di vigilanza del mercato per il periodo di cui all'articolo 17, paragrafo 3;

b)a seguito della richiesta motivata di un'autorità di vigilanza del mercato, fornire a quest'ultima tutte le informazioni e la documentazione necessarie per dimostrare la conformità di un sistema di cartelle cliniche elettroniche alle prescrizioni essenziali di cui all'allegato II;

c)su richiesta delle autorità di vigilanza del mercato, cooperare con queste ultime nell'ambito di qualsiasi misura correttiva adottata nei confronti dei sistemi di cartelle cliniche elettroniche che rientrano nel loro mandato.

Articolo 19

Obblighi degli importatori

1.Gli importatori immettono sul mercato dell'Unione solo i sistemi di cartelle cliniche elettroniche conformi alle prescrizioni essenziali di cui all'allegato II.

2.Prima di mettere a disposizione sul mercato un sistema di cartelle cliniche elettroniche, gli importatori garantiscono che:

a)il fabbricante abbia redatto la documentazione tecnica e la dichiarazione di conformità UE;

b)il sistema di cartelle cliniche elettroniche rechi la marcatura CE di conformità;

c)il sistema di cartelle cliniche elettroniche sia accompagnato dalla scheda informativa di cui all'articolo 25 e dalle opportune istruzioni per l'uso.

3.Gli importatori indicano il loro nome, la loro denominazione commerciale registrata o il loro marchio registrato e l'indirizzo al quale possono essere contattati all'interno di un documento che accompagna il sistema di cartelle cliniche elettroniche.

4.Gli importatori garantiscono che, per il periodo in cui un sistema di cartelle cliniche elettroniche è sotto la loro responsabilità, tale sistema non sia modificato in modo tale da comprometterne la conformità alle prescrizioni essenziali di cui all'allegato II.

5.L'importatore, se ritiene o ha motivo di ritenere che un sistema di cartelle cliniche elettroniche non sia conforme alle prescrizioni essenziali di cui all'allegato II, non mette tale sistema a disposizione sul mercato fino a quando esso non sia stato reso conforme. L'importatore ne informa senza indebito ritardo il fabbricante di tale sistema di cartelle cliniche elettroniche e le autorità di vigilanza del mercato dello Stato membro in cui ha messo a disposizione il sistema in questione.

6.Gli importatori tengono una copia della dichiarazione di conformità UE a disposizione delle autorità di vigilanza del mercato per il periodo di cui all'articolo 17, paragrafo 3, e provvedono affinché, su richiesta, la documentazione tecnica possa essere messa a disposizione di tali autorità.

7.Gli importatori, a seguito della richiesta motivata di un'autorità di vigilanza del mercato, forniscono a quest'ultima tutte le informazioni e la documentazione necessarie per dimostrare la conformità di un sistema di cartelle cliniche elettroniche nella lingua ufficiale dello Stato membro in cui ha sede l'autorità di vigilanza del mercato. Su richiesta dell'autorità di vigilanza del mercato, gli importatori cooperano con quest'ultima nell'ambito di qualsiasi misura adottata per rendere i loro sistemi di cartelle cliniche elettroniche conformi alle prescrizioni essenziali di cui all'allegato II.

Articolo 20

Obblighi dei distributori

1.Prima di mettere a disposizione sul mercato un sistema di cartelle cliniche elettroniche, i distributori verificano che:

a)il fabbricante abbia redatto la dichiarazione di conformità UE;

b)il sistema di cartelle cliniche elettroniche rechi la marcatura CE di conformità;

c)il sistema di cartelle cliniche elettroniche sia accompagnato dalla scheda informativa di cui all'articolo 25 e dalle opportune istruzioni per l'uso;

d)se del caso, l'importatore abbia ottemperato alle prescrizioni di cui all'articolo 19, paragrafo 3.

2.I distributori garantiscono che, per il periodo in cui un sistema di cartelle cliniche elettroniche è sotto la loro responsabilità, tale sistema non sia modificato in modo tale da comprometterne la conformità alle prescrizioni essenziali di cui all'allegato II.

3.Il distributore, se ritiene o ha motivo di ritenere che un sistema di cartelle cliniche elettroniche non sia conforme alle prescrizioni essenziali di cui all'allegato II, non mette tale sistema a disposizione sul mercato fino a quando esso non sia stato reso conforme. Inoltre il distributore ne informa senza indebito ritardo il fabbricante o l'importatore nonché le autorità di vigilanza del mercato degli Stati membri in cui il sistema in questione è stato messo a disposizione sul mercato.

4.I distributori, a seguito della richiesta motivata di un'autorità di vigilanza del mercato, forniscono a quest'ultima tutte le informazioni e la documentazione necessarie per dimostrare la conformità di un sistema di cartelle cliniche elettroniche. Su richiesta dell'autorità di vigilanza del mercato, gli importatori cooperano con quest'ultima nell'ambito di qualsiasi misura adottata per rendere i loro sistemi di cartelle cliniche elettroniche conformi alle prescrizioni essenziali di cui all'allegato II.

Articolo 21

Casi in cui gli obblighi dei fabbricanti di un sistema di cartelle cliniche elettroniche si applicano agli importatori e ai distributori

Ai fini del presente regolamento un importatore o distributore che abbia messo a disposizione sul mercato un sistema di cartelle cliniche elettroniche con il proprio nome o marchio o abbia modificato un tale sistema già immesso sul mercato in modo tale da poter incidere sulla conformità alle prescrizioni applicabili è considerato alla stregua di un fabbricante ed è soggetto agli obblighi di cui all'articolo 17.

Articolo 22

Identificazione degli operatori economici

Per 10 anni dalla data di immissione sul mercato dell'ultimo sistema di cartelle cliniche elettroniche oggetto della dichiarazione di conformità UE, gli operatori economici indicano alle autorità di vigilanza del mercato che ne facciano richiesta:

a)qualsiasi operatore economico che abbia fornito loro un sistema di cartelle cliniche elettroniche;

b)qualsiasi operatore economico a cui abbiano fornito un sistema di cartelle cliniche elettroniche.

Sezione 3

Conformità del sistema di cartelle cliniche elettroniche

Articolo 23

Specifiche comuni

1.La Commissione adotta, mediante atti di esecuzione, specifiche comuni per quanto riguarda le prescrizioni essenziali di cui all'allegato II, compreso un termine per l'attuazione di tali specifiche comuni. Se del caso, le specifiche comuni tengono conto delle specificità dei dispositivi medici e dei sistemi di IA ad alto rischio di cui all'articolo 14, paragrafi 3 e 4.

Tali atti di esecuzione sono adottati secondo la procedura consultiva di cui all'articolo 68, paragrafo 2.

2.Le specifiche comuni di cui al paragrafo 1 comprendono gli elementi seguenti:

a)ambito;

b)applicabilità a diverse categorie di sistemi di cartelle cliniche elettroniche o di funzioni in essi incluse;

c)versione;

d)periodo di validità;

e)parte normativa;

f)parte esplicativa, compresi eventuali orientamenti pertinenti in materia di attuazione.

3.Le specifiche comuni possono includere elementi relativi a quanto segue:

a)serie di dati contenenti dati sanitari elettronici e strutture definitorie, quali campi di dati e gruppi di dati per la rappresentazione delle informazioni cliniche e di altre parti dei dati sanitari elettronici;

b)valori e sistemi di codifica da utilizzare nelle serie di dati contenenti dati sanitari elettronici;

c)altre prescrizioni relative alla qualità dei dati, quali la completezza e l'accuratezza dei dati sanitari elettronici;

d)specifiche tecniche, norme e profili per lo scambio di dati sanitari elettronici;

e)prescrizioni e principi relativi alla sicurezza, alla riservatezza, all'integrità, alla sicurezza dei pazienti e alla protezione dei dati sanitari elettronici;

f)specifiche e prescrizioni relative alla gestione dell'identificazione e all'uso dell'identificazione elettronica.

4.I sistemi di cartelle cliniche elettroniche, i dispositivi medici e i sistemi di IA ad alto rischio di cui all'articolo 14 che sono conformi alle specifiche comuni di cui al paragrafo 1 sono considerati conformi alle prescrizioni essenziali previste da tali specifiche o da parti di esse, di cui all'allegato II, oggetto di tali specifiche comuni o delle parti pertinenti di tali specifiche comuni.

5.Qualora le specifiche comuni relative alle prescrizioni in materia di interoperabilità e sicurezza dei sistemi di cartelle cliniche elettroniche incidano su dispositivi medici o sistemi di IA ad alto rischio che rientrano nell'ambito di altri atti, come il regolamento (UE) 2017/745 o il regolamento [...] [legge sull'intelligenza artificiale (COM(2021) 206 final)], l'adozione di tali specifiche comuni può essere preceduta, a seconda dei casi, da una consultazione con il gruppo di coordinamento per i dispositivi medici (MDCG) di cui all'articolo 103 del regolamento (UE) 2017/745 o con il comitato europeo per l'intelligenza artificiale di cui all'articolo 56 del regolamento [...] [legge sull'intelligenza artificiale (COM(2021) 206 final)].

6.Qualora le specifiche comuni relative alle prescrizioni in materia di interoperabilità e sicurezza dei dispositivi medici o dei sistemi di IA ad alto rischio che rientrano nell'ambito di altri atti, come il regolamento (UE) 2017/745 o il regolamento [...] [legge sull'intelligenza artificiale (COM(2021) 206 final)], incidano sui sistemi di cartelle cliniche elettroniche, l'adozione di tali specifiche comuni è preceduta da una consultazione con il comitato EHDS, in particolare il suo sottogruppo per i capi II e III del presente regolamento.

Articolo 24

Documentazione tecnica

1.La documentazione tecnica è redatta prima dell'immissione sul mercato o della messa in servizio del sistema di cartelle cliniche elettroniche ed è tenuta aggiornata.

2.La documentazione tecnica è redatta in modo da dimostrare che il sistema di cartelle cliniche elettroniche è conforme alle prescrizioni essenziali di cui all'allegato II e fornire alle autorità di vigilanza del mercato tutte le informazioni necessarie per valutare la conformità del sistema in questione a tali prescrizioni. Essa contiene almeno gli elementi di cui all'allegato III.

3.La documentazione tecnica è redatta in una delle lingue ufficiali dell'Unione. A seguito di una richiesta motivata da parte dell'autorità di vigilanza del mercato di uno Stato membro, il fabbricante fornisce una traduzione delle parti pertinenti della documentazione tecnica nella lingua ufficiale di tale Stato membro.

4.Qualora a un fabbricante sia richiesta la documentazione tecnica o la traduzione di parti di essa da un'autorità di vigilanza del mercato, quest'ultima fissa un termine di 30 giorni per il ricevimento di tale documentazione o traduzione, a meno che rischi gravi e imminenti non giustifichino una scadenza più breve. Se il fabbricante non rispetta le prescrizioni di cui ai paragrafi 1, 2 e 3, l'autorità di vigilanza del mercato può imporgli di far eseguire a un organismo indipendente, a proprie spese ed entro un periodo di tempo determinato, una prova atta a verificare la conformità alle prescrizioni essenziali di cui all'allegato II e alle specifiche comuni di cui all'articolo 23.

Articolo 25

Scheda informativa che accompagna il sistema di cartelle cliniche elettroniche

1.I sistemi di cartelle cliniche elettroniche sono accompagnati da una scheda informativa contenente informazioni concise, complete, corrette e chiare che siano pertinenti, accessibili e comprensibili per gli utenti.

2.La scheda informativa di cui al paragrafo 1 specifica:

a)l'identità, la denominazione commerciale registrata o il marchio registrato e i dati di contatto del fabbricante e, se del caso, del suo rappresentante autorizzato;

b)il nome, la versione e la data di rilascio del sistema di cartelle cliniche elettroniche;

c)la sua destinazione d'uso;

d)le categorie di dati sanitari elettronici per il cui trattamento il sistema di cartelle cliniche elettroniche è stato progettato;

e)le norme, i formati, le specifiche e le relative versioni supportati dal sistema di cartelle cliniche elettroniche.

3.Alla Commissione è conferito il potere di adottare atti delegati conformemente all'articolo 67 al fine di integrare il presente regolamento consentendo ai fabbricanti di inserire le informazioni di cui al paragrafo 2 nella banca dati UE dei sistemi di cartelle cliniche elettroniche e delle applicazioni per il benessere di cui all'articolo 32 anziché fornire la scheda informativa di cui al paragrafo 1 insieme al sistema di cartelle cliniche elettroniche.

Articolo 26

Dichiarazione di conformità UE

1.La dichiarazione di conformità UE attesta che il fabbricante del sistema di cartelle cliniche elettroniche ha dimostrato il rispetto delle prescrizioni essenziali di cui all'allegato II.

2.Se i sistemi di cartelle cliniche elettroniche, per aspetti non contemplati dal presente regolamento, sono disciplinati da altri atti legislativi dell'Unione che richiedono anch'essi una dichiarazione di conformità UE del fabbricante attestante il rispetto delle prescrizioni ivi stabilite, è redatta un'unica dichiarazione di conformità UE relativa a tutti gli atti dell'Unione applicabili al sistema in questione. La dichiarazione contiene tutte le informazioni necessarie per identificare la normativa dell'Unione cui si riferisce la dichiarazione.

3.La dichiarazione di conformità UE riporta come minimo le informazioni di cui all'allegato IV ed è tradotta in una o più lingue ufficiali dell'Unione in base a quanto stabilito dagli Stati membri nei quali il sistema di cartelle cliniche elettroniche è messo a disposizione.

4.Con la dichiarazione di conformità UE il fabbricante si assume la responsabilità della conformità del sistema di cartelle cliniche elettroniche.

Articolo 27

Marcatura CE

1.La marcatura CE è apposta in modo visibile, leggibile e indelebile sui documenti che accompagnano il sistema di cartelle cliniche elettroniche e, se del caso, sull'imballaggio.

2.La marcatura CE è soggetta ai principi generali di cui all'articolo 30 del regolamento (CE) n. 765/2008 del Parlamento europeo e del Consiglio 58 .

Sezione 4

Vigilanza del mercato dei sistemi di cartelle cliniche elettroniche

Articolo 28

Autorità di vigilanza del mercato

1.Ai sistemi di cartelle cliniche elettroniche di cui al capo III del presente regolamento si applica il regolamento (UE) 2019/1020.

2.Gli Stati membri designano l'autorità o le autorità di vigilanza del mercato responsabili dell'attuazione del presente capo. Essi attribuiscono alle rispettive autorità di vigilanza del mercato le facoltà, le risorse, le attrezzature e le conoscenze necessarie per l'adeguato espletamento dei loro compiti a norma del presente regolamento. Gli Stati membri comunicano l'identità delle autorità di vigilanza del mercato alla Commissione, che pubblica un elenco di tali autorità.

3.Le autorità di vigilanza del mercato designate a norma del presente articolo possono essere le autorità di sanità digitale designate a norma dell'articolo 10. Se un'autorità di sanità digitale svolge i compiti dell'autorità di vigilanza del mercato, è evitato qualsiasi conflitto di interessi.

4.Le autorità di vigilanza del mercato riferiscono periodicamente alla Commissione in merito ai risultati delle pertinenti attività di vigilanza del mercato.

5.Le autorità di vigilanza del mercato degli Stati membri cooperano tra loro e con la Commissione. La Commissione provvede all'organizzazione degli scambi di informazioni necessari a tal fine.

6.Per i dispositivi medici o i sistemi di IA ad alto rischio di cui all'articolo 14, paragrafi 3 e 4, le autorità responsabili della vigilanza del mercato sono, a seconda dei casi, quelle di cui all'articolo 93 del regolamento (UE) 2017/745 o all'articolo 59 del regolamento [...] [legge sull'intelligenza artificiale (COM(2021) 206 final)].

Articolo 29

Gestione dei rischi posti dai sistemi di cartelle cliniche elettroniche e degli incidenti gravi

1.Qualora un'autorità di vigilanza del mercato concluda che un sistema di cartelle cliniche elettroniche presenta un rischio per la salute o la sicurezza delle persone fisiche o per altri aspetti della protezione del pubblico interesse, essa chiede al fabbricante del sistema interessato, al suo rappresentante autorizzato e a tutti gli altri operatori economici pertinenti di adottare tutte le misure appropriate per garantire che il sistema di cartelle cliniche elettroniche in questione non presenti più tale rischio al momento dell'immissione sul mercato, di ritirarlo dal mercato o di richiamarlo entro un termine ragionevole.

2.L'operatore economico di cui al paragrafo 1 garantisce che siano adottate misure correttive nei confronti di tutti i sistemi di cartelle cliniche elettroniche interessati che ha immesso sul mercato in tutta l'Unione.

3.L'autorità di vigilanza del mercato informa immediatamente la Commissione e le autorità di vigilanza del mercato degli altri Stati membri in merito alle misure disposte a norma del paragrafo 1. Tali informazioni comprendono tutti i dettagli disponibili, in particolare i dati necessari all'identificazione del sistema di cartelle cliniche elettroniche interessato, l'origine e la catena di approvvigionamento di tale sistema, la natura del rischio connesso, nonché la natura e la durata delle misure nazionali adottate.

4.I fabbricanti dei sistemi di cartelle cliniche elettroniche immessi sul mercato segnalano qualsiasi incidente grave riguardante un tale sistema alle autorità di vigilanza del mercato degli Stati membri in cui si è verificato detto incidente grave, nonché le misure correttive adottate o previste dal fabbricante.

Tale notifica è effettuata, fatti salvi gli obblighi in materia di notifica degli incidenti di cui alla direttiva (UE) 2016/1148, subito dopo che il fabbricante ha stabilito un nesso di causalità tra il sistema di cartelle cliniche elettroniche e l'incidente grave o ha appurato la ragionevole probabilità di tale nesso e, in ogni caso, non oltre 15 giorni dopo che il fabbricante è venuto a conoscenza dell'incidente grave che ha interessato il sistema di cartelle cliniche elettroniche.

5.Le autorità di vigilanza del mercato di cui al paragrafo 4 informano senza ritardo le altre autorità di vigilanza del mercato in merito all'incidente grave e alle misure correttive adottate o previste dal fabbricante o che quest'ultimo è tenuto ad adottare per ridurre al minimo il rischio di reiterazione dell'incidente grave.

6.Qualora i compiti dell'autorità di vigilanza del mercato non siano svolti dall'autorità di sanità digitale, l'autorità di vigilanza del mercato coopera con l'autorità di sanità digitale. Essa informa l'autorità di sanità digitale in merito a qualsiasi incidente grave, ai sistemi di cartelle cliniche elettroniche che presentano un rischio, compresi i rischi connessi all'interoperabilità, alla sicurezza e alla sicurezza dei pazienti, e a qualsiasi misura correttiva, richiamo o ritiro di tali sistemi.

Articolo 30

Gestione dei casi di non conformità

1.L'autorità di vigilanza del mercato impone al fabbricante del sistema di cartelle cliniche elettroniche interessato, al suo rappresentante autorizzato e a tutti gli altri operatori economici pertinenti di porre fine alla non conformità in questione qualora essa giunga a una delle conclusioni seguenti:

a)il sistema di cartelle cliniche elettroniche non è conforme alle prescrizioni essenziali di cui all'allegato II;

b)la documentazione tecnica non è disponibile o è incompleta;

c)la dichiarazione di conformità UE non è stata redatta o non è stata redatta correttamente;

d)la marcatura CE è stata apposta in violazione dell'articolo 27 o non è stata apposta.

2.Se la non conformità di cui al paragrafo 1 permane, lo Stato membro interessato adotta tutte le misure del caso per limitare o vietare la messa a disposizione sul mercato del sistema di cartelle cliniche elettroniche o per garantire che sia richiamato o ritirato dal mercato.

Sezione 5

Altre disposizioni in materia di interoperabilità

Articolo 31

Etichettatura volontaria delle applicazioni per il benessere

1.Qualora il fabbricante di un'applicazione per il benessere dichiari l'interoperabilità con un sistema di cartelle cliniche elettroniche e pertanto la conformità alle prescrizioni essenziali di cui all'allegato II e alle specifiche comuni di cui all'articolo 23, tale applicazione per il benessere può essere accompagnata da un'etichetta che ne indichi chiaramente la conformità a tali prescrizioni. L'etichetta è rilasciata dal fabbricante dell'applicazione per il benessere.

2.L'etichetta reca le informazioni seguenti:

a)le categorie di dati sanitari elettronici per le quali è stata confermata la conformità alle prescrizioni essenziali di cui all'allegato II;

b)il riferimento a specifiche comuni per dimostrare la conformità;

c)il periodo di validità dell'etichetta.

3.La Commissione può, mediante atti di esecuzione, stabilire il formato e il contenuto dell'etichetta. Tali atti di esecuzione sono adottati secondo la procedura consultiva di cui all'articolo 68, paragrafo 2.

4.L'etichetta è redatta in una o più lingue ufficiali dell'Unione o nelle lingue stabilite dallo Stato membro o dagli Stati membri in cui l'applicazione per il benessere è immessa sul mercato.

5.La validità dell'etichetta non supera i cinque anni.

6.Se l'applicazione per il benessere è integrata in un dispositivo, l'etichetta che la accompagna è apposta sul dispositivo. Per visualizzare l'etichetta possono essere utilizzati anche codici a barre bidimensionali.

7.Le autorità di vigilanza del mercato verificano la conformità delle applicazioni per il benessere alle prescrizioni essenziali di cui all'allegato II.

8.Ogni fornitore di un'applicazione per il benessere per la quale è stata rilasciata un'etichetta garantisce che ciascuna singola unità dell'applicazione per il benessere immessa sul mercato o messa in servizio sia accompagnata gratuitamente dall'etichetta.

9.Ciascun distributore di un'applicazione per il benessere per la quale è stata rilasciata un'etichetta mette l'etichetta a disposizione dei clienti presso il punto di vendita in forma elettronica o, su richiesta, in forma fisica.

10.Le prescrizioni del presente articolo non si applicano alle applicazioni per il benessere che costituiscono sistemi di IA ad alto rischio quali definiti nel regolamento [...] [legge sull'intelligenza artificiale (COM(2021) 206 final)].

Articolo 32

Registrazione dei sistemi di cartelle cliniche elettroniche e delle applicazioni per il benessere

1.La Commissione istituisce e mantiene una banca dati accessibile al pubblico contenente informazioni sui sistemi di cartelle cliniche elettroniche per i quali è stata rilasciata una dichiarazione di conformità UE a norma dell'articolo 26 e sulle applicazioni per il benessere per le quali è stata rilasciata un'etichetta a norma dell'articolo 31.

2.Prima dell'immissione sul mercato o della messa in servizio di un sistema di cartelle cliniche elettroniche di cui all'articolo 14 o di un'applicazione per il benessere di cui all'articolo 31, il fabbricante di tale sistema di cartelle cliniche elettroniche o applicazione per il benessere o, se del caso, il suo rappresentante autorizzato registra i dati richiesti nella banca dati UE di cui al paragrafo 1.

3.I dispositivi medici o i sistemi di IA ad alto rischio di cui all'articolo 14, paragrafi 3 e 4, del presente regolamento sono registrati, a seconda dei casi, nella banca dati istituita a norma del regolamento (UE) 2017/745 o del regolamento [...] [legge sull'intelligenza artificiale (COM(2021) 206 final)].

4.Alla Commissione è conferito il potere di adottare atti delegati conformemente all'articolo 67 al fine di stabilire l'elenco dei dati richiesti che devono essere registrati dai fabbricanti di sistemi di cartelle cliniche elettroniche e di applicazioni per il benessere a norma del paragrafo 2.

CAPO IV

Uso secondario dei dati sanitari elettronici

Sezione 1

Condizioni generali relative all'uso secondario dei dati sanitari elettronici

Articolo 33

Categorie minime di dati elettronici per l'uso secondario

1.I titolari dei dati mettono a disposizione per l'uso secondario, conformemente alle disposizioni del presente capo, le categorie di dati elettronici seguenti:

a)cartelle cliniche elettroniche;

b)dati con un'incidenza sulla salute, compresi i determinanti comportamentali, sociali e ambientali della salute;

c)dati genomici sugli agenti patogeni pertinenti che incidono sulla salute umana;

d)dati amministrativi relativi alla salute, compresi i dati relativi alle domande di rimborso e ai rimborsi;

e)dati genetici, genomici e proteomici umani;

f)dati sanitari elettronici generati dalla persona, compresi dispositivi medici, applicazioni per il benessere o altre applicazioni di sanità digitale;

g)dati identificativi relativi ai professionisti sanitari coinvolti nella cura di una persona fisica;

h)registri dei dati sanitari a livello di popolazione (registri di sanità pubblica);

i)dati sanitari elettronici provenienti da registri medici per malattie specifiche;

j)dati sanitari elettronici provenienti da sperimentazioni cliniche;

k)dati sanitari elettronici provenienti da dispositivi medici e da registri dei medicinali e dei dispositivi medici;

l)coorti di ricerca, questionari e indagini in materia di salute;

m)dati sanitari elettronici provenienti da biobanche e banche dati dedicate;

n)dati elettronici relativi allo status assicurativo, alla condizione professionale, all'istruzione, allo stile di vita, al benessere e ai comportamenti pertinenti per la salute;

o)dati sanitari elettronici contenenti vari miglioramenti, quali correzioni, annotazioni e arricchimenti, ricevuti dal titolare dei dati a seguito di un trattamento basato su un'autorizzazione ai dati.

2.La prescrizione di cui al primo comma non si applica ai titolari dei dati che si qualificano come microimprese ai sensi dell'articolo 2 dell'allegato della raccomandazione 2003/361/CE della Commissione 59 .

3.I dati sanitari elettronici di cui al paragrafo 1 comprendono i dati trattati per la prestazione di assistenza sanitaria o cure assistenziali o a fini di sanità pubblica, ricerca, innovazione, definizione delle politiche, statistiche ufficiali, sicurezza dei pazienti o regolamentazione, raccolti da soggetti e organismi del settore sanitario o dell'assistenza, compresi prestatori pubblici e privati di assistenza sanitaria o cure assistenziali, soggetti od organismi che svolgono attività di ricerca in relazione a tali settori, nonché istituzioni, organi e organismi dell'Unione.

4.I dati sanitari elettronici che comportano proprietà intellettuale protetta e segreti commerciali di imprese private sono messi a disposizione per l'uso secondario. Qualora tali dati siano messi a disposizione per l'uso secondario, sono adottate tutte le misure necessarie per tutelare la riservatezza dei diritti di proprietà intellettuale e dei segreti commerciali.

5.Qualora il diritto nazionale prescriva il consenso della persona fisica, gli organismi responsabili dell'accesso ai dati sanitari si basano sugli obblighi di cui al presente capo per fornire l'accesso ai dati sanitari elettronici.

6.Qualora un ente pubblico ottenga dati in situazioni di emergenza quali definite all'articolo 15, lettera a) o b), del regolamento [...] [normativa sui dati (COM(2022) 68 final)], in conformità delle norme stabilite in tale regolamento, può essere coadiuvato da un organismo responsabile dell'accesso ai dati sanitari che fornisca sostegno tecnico nel trattamento dei dati o nella loro combinazione con altri dati per un'analisi congiunta.

7.Alla Commissione è conferito il potere di adottare atti delegati conformemente all'articolo 67 al fine di modificare l'elenco di cui al paragrafo 1 per adeguarlo agli sviluppi in materia di dati sanitari elettronici disponibili.

8.Gli organismi responsabili dell'accesso ai dati sanitari possono fornire l'accesso ad altre categorie di dati sanitari elettronici loro affidati a norma del diritto nazionale o sulla base di una collaborazione volontaria con i pertinenti titolari dei dati a livello nazionale, in particolare ai dati sanitari elettronici detenuti da soggetti privati del settore sanitario.

Articolo 34

Finalità per le quali è possibile trattare i dati sanitari elettronici per l'uso secondario

1.Gli organismi responsabili dell'accesso ai dati sanitari forniscono l'accesso ai dati sanitari elettronici di cui all'articolo 33 solo se la finalità prevista del trattamento perseguito dal richiedente è conforme:

a)ad attività per motivi di pubblico interesse nell'ambito della sanità pubblica e della medicina del lavoro, quali la protezione da gravi minacce per la salute a carattere transfrontaliero, la sorveglianza della sanità pubblica o la garanzia di elevati livelli di qualità e sicurezza dell'assistenza sanitaria e di medicinali o dispositivi medici;

b)al sostegno nei confronti di enti pubblici o di istituzioni, organi e organismi dell'Unione, comprese le autorità di regolamentazione, del settore sanitario o dell'assistenza affinché svolgano i compiti definiti nei rispettivi mandati;

c)alla produzione di statistiche ufficiali a livello nazionale, multinazionale e dell'Unione relative al settore sanitario o dell'assistenza;

d)ad attività d'istruzione o d'insegnamento nel settore sanitario o dell'assistenza;

e)ad attività di ricerca scientifica nel settore sanitario o dell'assistenza;

f)ad attività di sviluppo e innovazione per prodotti o servizi che contribuiscono alla sanità pubblica o alla sicurezza sociale, oppure che garantiscono elevati livelli di qualità e sicurezza dell'assistenza sanitaria, dei medicinali o dei dispositivi medici;

g)ad attività di addestramento, prova e valutazione degli algoritmi, anche nell'ambito di dispositivi medici, sistemi di IA e applicazioni di sanità digitale, che contribuiscono alla sanità pubblica o alla sicurezza sociale, oppure che garantiscono elevati livelli di qualità e sicurezza dell'assistenza sanitaria, dei medicinali o dei dispositivi medici;

h)all'erogazione di un'assistenza sanitaria personalizzata che consiste nel valutare, mantenere o ripristinare lo stato di salute delle persone fisiche sulla base dei dati sanitari di altre persone fisiche.

2.L'accesso ai dati sanitari elettronici di cui all'articolo 33 nei casi in cui la finalità prevista del trattamento perseguito dal richiedente corrisponde a una di quelle di cui al paragrafo 1, lettere da a) a c), è concesso solo agli enti pubblici e alle istituzioni, agli organi e agli organismi dell'Unione che esercitano i compiti loro affidati dal diritto dell'Unione o dal diritto nazionale, anche quando il trattamento dei dati per lo svolgimento di tali compiti è effettuato da terzi per conto di tale ente pubblico o delle istituzioni, degli organi e degli organismi dell'Unione.

3.L'accesso ai dati detenuti da privati al fine di prevenire le emergenze pubbliche, rispondervi o contribuire alla ripresa dopo le stesse è garantito conformemente all'articolo 15 del regolamento [...] [normativa sui dati (COM(2022) 68 final)].

4.Gli enti pubblici o le istituzioni, gli organi e gli organismi dell'Unione che ottengono l'accesso a dati sanitari elettronici che comportano diritti di proprietà intellettuale e segreti commerciali nell'esercizio dei compiti loro affidati dal diritto dell'Unione o dal diritto nazionale adottano tutte le misure specifiche necessarie a tutelare la riservatezza di tali dati.

Articolo 35

Uso secondario vietato dei dati sanitari elettronici

Sono vietati l'accesso ai dati sanitari elettronici ottenuti mediante un'autorizzazione ai dati rilasciata a norma dell'articolo 46 e il trattamento di tali dati per le finalità seguenti:

a)adottare decisioni pregiudizievoli per una persona fisica sulla base dei suoi dati sanitari elettronici; per essere considerate "decisioni", esse devono produrre effetti giuridici o incidere in modo analogo significativamente su tali persone fisiche;

b)adottare decisioni, in relazione a una persona fisica o a gruppi di persone fisiche, al fine di escluderle dal beneficio di un contratto di assicurazione o di modificare i loro contributi e premi assicurativi;

c)svolgere attività pubblicitarie o di marketing rivolte a professionisti sanitari, organizzazioni sanitarie o persone fisiche;

d)fornire l'accesso ai dati sanitari elettronici, oppure renderli disponibili in altro modo, a terzi non menzionati nell'autorizzazione ai dati;

e)sviluppare prodotti o servizi in grado di danneggiare le persone e le società in generale, tra cui, ma non solo, droghe illecite, bevande alcoliche, prodotti del tabacco o beni o servizi concepiti o modificati in modo da violare l'ordine pubblico o la moralità.

Sezione 2

Governance e meccanismi per l'uso secondario dei dati sanitari elettronici

Articolo 36

Organismi responsabili dell'accesso ai dati sanitari

1.Gli Stati membri designano uno o più organismi responsabili dell'accesso ai dati sanitari incaricati di concedere l'accesso ai dati sanitari elettronici per l'uso secondario. Gli Stati membri possono istituire uno o più enti pubblici nuovi oppure fare affidamento su enti pubblici esistenti o su servizi interni di enti pubblici che soddisfano le condizioni di cui al presente articolo. Qualora uno Stato membro designi più organismi responsabili dell'accesso ai dati sanitari, esso designa un organismo responsabile dell'accesso ai dati sanitari che funga da coordinatore e sia incaricato di coordinare le richieste con gli altri organismi responsabili dell'accesso ai dati sanitari.

2.Gli Stati membri provvedono affinché ogni organismo responsabile dell'accesso ai dati sanitari disponga delle risorse umane, tecniche e finanziarie, dei locali e delle infrastrutture necessari per l'efficace svolgimento dei propri compiti e per l'esercizio dei propri poteri.

3.Nello svolgimento dei loro compiti, gli organismi responsabili dell'accesso ai dati sanitari cooperano attivamente con i rappresentanti dei portatori di interessi, in particolare con i rappresentanti dei pazienti, dei titolari dei dati e degli utenti dei dati. Il personale degli organismi responsabili dell'accesso ai dati sanitari evita qualsiasi conflitto di interessi. Al momento di prendere le loro decisioni, gli organismi responsabili dell'accesso ai dati sanitari non sono vincolati da alcuna istruzione.

4.Gli Stati membri comunicano alla Commissione l'identità degli organismi responsabili dell'accesso ai dati sanitari designati a norma del paragrafo 1 entro la data di applicazione del presente regolamento. Essi comunicano inoltre alla Commissione ogni successiva modifica dell'identità di tali organismi. La Commissione e gli Stati membri mettono tali informazioni a disposizione del pubblico.

Articolo 37

Compiti degli organismi responsabili dell'accesso ai dati sanitari

1.Gli organismi responsabili dell'accesso ai dati sanitari svolgono i compiti seguenti:

a)decidono in merito alle domande di accesso ai dati a norma dell'articolo 45, concedono e rilasciano autorizzazioni ai dati a norma dell'articolo 46 per accedere ai dati sanitari elettronici che rientrano nelle loro competenze nazionali per l'uso secondario e decidono in merito alle richieste di dati conformemente al capo II del regolamento [...] [Atto sulla governance dei dati (COM(2020) 767 final)] e al presente capo;

b)coadiuvano gli enti pubblici nello svolgimento dei compiti previsti dal loro mandato, sulla base del diritto nazionale o dell'Unione;

c)coadiuvano le istituzioni, gli organi e gli organismi dell'Unione nello svolgimento dei compiti previsti dal mandato delle istituzioni, degli organi e degli organismi dell'Unione, sulla base del diritto nazionale o dell'Unione;

d)trattano i dati sanitari elettronici per le finalità di cui all'articolo 34, comprese la raccolta, la combinazione, la preparazione e la divulgazione di tali dati per l'uso secondario sulla base di un'autorizzazione ai dati;

e)trattano i dati sanitari elettronici di altri titolari dei dati pertinenti sulla base di un'autorizzazione ai dati o di una richiesta di dati per le finalità di cui all'articolo 34;

f)adottano tutte le misure necessarie per tutelare la riservatezza dei diritti di proprietà intellettuale e dei segreti commerciali;

g)raccolgono e compilano i dati sanitari elettronici necessari provenienti dai vari titolari dei dati i cui dati sanitari elettronici rientrano nell'ambito di applicazione del presente regolamento, oppure danno accesso a tali dati, e li mettono a disposizione degli utenti dei dati in un ambiente di trattamento sicuro conformemente alle prescrizioni di cui all'articolo 50;

h)contribuiscono alle attività di altruismo dei dati conformemente all'articolo 40;

i)favoriscono lo sviluppo di sistemi di IA, l'addestramento, la prova e la convalida dei sistemi di IA e lo sviluppo di norme armonizzate e orientamenti a norma del regolamento [...] [legge sull'intelligenza artificiale (COM(2021) 206 final)] per l'addestramento, la prova e la convalida dei sistemi di IA in ambito sanitario;

j)cooperano con i titolari dei dati e vigilano su di essi al fine di garantire l'attuazione coerente e accurata del marchio di qualità e di utilità dei dati di cui all'articolo 56;

k)mantengono un sistema di gestione per la registrazione e il trattamento delle domande di accesso ai dati, delle richieste di dati, delle autorizzazioni ai dati rilasciate e delle richieste di dati evase, fornendo almeno informazioni sul nome del richiedente, sulla finalità dell'accesso, sulla data del rilascio, sulla durata dell'autorizzazione ai dati, nonché una descrizione della domanda di accesso ai dati o della richiesta di dati;

l)mantengono un sistema di informazione al pubblico per conformarsi agli obblighi di cui all'articolo 38;

m)cooperano a livello dell'Unione e nazionale per stabilire misure e prescrizioni adeguate per l'accesso ai dati sanitari elettronici in un ambiente di trattamento sicuro;

n)cooperano a livello dell'Unione e nazionale e forniscono consulenza alla Commissione sulle tecniche e le migliori pratiche per l'uso e la gestione dei dati sanitari elettronici;

o)agevolano l'accesso transfrontaliero ai dati sanitari elettronici per l'uso secondario ospitati in altri Stati membri tramite HealthData@EU e cooperano strettamente tra loro e con la Commissione;

p)inviano gratuitamente al titolare dei dati, entro la scadenza dell'autorizzazione ai dati, una copia della serie di dati corretta, annotata o arricchita, a seconda dei casi, e una descrizione delle operazioni effettuate sulla serie di dati originale;

q)rendono pubblici, per via elettronica:

i)un catalogo nazionale delle serie di dati contenente informazioni dettagliate sulla fonte e sulla natura dei dati sanitari elettronici, conformemente agli articoli 56 e 58, e sulle condizioni per la messa a disposizione dei dati sanitari elettronici. Il catalogo nazionale delle serie di dati è altresì messo a disposizione degli sportelli unici di cui all'articolo 8 del regolamento [...] [Atto sulla governance dei dati (COM(2020) 767 final)];

ii)sui loro siti web ed entro 30 giorni lavorativi dal rilascio dell'autorizzazione ai dati o dalla risposta a una richiesta di dati, tutte le autorizzazioni, le richieste e le domande in materia di dati;

iii)le sanzioni applicate a norma dell'articolo 43;

iv)i risultati comunicati dagli utenti dei dati a norma dell'articolo 46, paragrafo 11;

r)adempiono gli obblighi nei confronti delle persone fisiche a norma dell'articolo 38;

s)chiedono agli utenti e ai titolari dei dati tutte le informazioni pertinenti per verificare l'attuazione del presente capo;

t)svolgono qualsiasi altro compito relativo alla messa a disposizione dell'uso secondario dei dati sanitari elettronici nel contesto del presente regolamento.

2.Nello svolgimento dei loro compiti, gli organismi responsabili dell'accesso ai dati sanitari:

a)cooperano con le autorità di controllo ai sensi dei regolamenti (UE) 2016/679 e (UE) 2018/1725 in relazione ai dati sanitari elettronici personali, nonché con il comitato EHDS;

b)informano le autorità di controllo competenti ai sensi dei regolamenti (UE) 2016/679 e (UE) 2018/1725 qualora un organismo responsabile dell'accesso ai dati sanitari abbia imposto sanzioni o altre misure a norma dell'articolo 43 in relazione al trattamento di dati sanitari elettronici personali e tale trattamento si riferisca a un tentativo di reidentificazione di una persona o a un trattamento illecito di dati sanitari elettronici personali;

c)cooperano con i portatori di interessi, tra cui le organizzazioni dei pazienti, i rappresentanti delle persone fisiche, i professionisti sanitari, i ricercatori e i comitati etici, se del caso in conformità del diritto dell'Unione e nazionale;

d)cooperano con altri organismi nazionali competenti, compresi gli organismi nazionali competenti che vigilano sulle organizzazioni per l'altruismo dei dati a norma del regolamento [...] [Atto sulla governance dei dati (COM(2020) 767 final)], le autorità competenti a norma del regolamento [...] [normativa sui dati (COM(2022) 68 final)] e le autorità nazionali competenti di cui ai regolamenti (UE) 2017/745 e [...] [legge sull'intelligenza artificiale (COM(2021) 206 final)].

3.Gli organismi responsabili dell'accesso ai dati sanitari possono fornire assistenza agli enti pubblici allorché questi ultimi accedono ai dati sanitari elettronici sulla base dell'articolo 14 del regolamento [...] [normativa sui dati (COM(2022) 68 final)].

4.Alla Commissione è conferito il potere di adottare atti delegati conformemente all'articolo 67 al fine di modificare l'elenco dei compiti di cui al paragrafo 1 del presente articolo, in modo tale da tenere conto degli sviluppi riguardanti le attività svolte dagli organismi responsabili dell'accesso ai dati sanitari.

Articolo 38

Obblighi degli organismi responsabili dell'accesso ai dati sanitari nei confronti delle persone fisiche

1.Gli organismi responsabili dell'accesso ai dati sanitari rendono pubblicamente disponibili e facilmente consultabili le condizioni alle quali i dati sanitari elettronici sono messi a disposizione per l'uso secondario, fornendo informazioni riguardanti:

a)la base giuridica in virtù della quale l'accesso è concesso;

b)le misure tecniche e organizzative adottate per tutelare i diritti delle persone fisiche;

c)i diritti delle persone fisiche applicabili in relazione all'uso secondario dei dati sanitari elettronici;

d)le modalità di esercizio dei diritti da parte delle persone fisiche conformemente al capo III del regolamento (UE) 2016/679;

e)i risultati o gli esiti dei progetti per i quali i dati sanitari elettronici sono stati utilizzati.

2.Gli organismi responsabili dell'accesso ai dati sanitari non sono tenuti a fornire a ciascuna persona fisica le informazioni specifiche di cui all'articolo 14 del regolamento (UE) 2016/679 in merito all'uso dei loro dati per progetti sottoposti a un'autorizzazione ai dati e forniscono al pubblico informazioni su tutte le autorizzazioni ai dati rilasciate a norma dell'articolo 46.

3.Se un organismo responsabile dell'accesso ai dati sanitari è informato da un utente dei dati di una risultanza che può incidere sulla salute di una persona fisica, l'organismo in questione può informare di tale risultanza la persona fisica e il professionista sanitario che la ha in cura.

4.Gli Stati membri informano periodicamente il pubblico in merito al ruolo e ai benefici degli organismi responsabili dell'accesso ai dati sanitari.

Articolo 39

Comunicazione da parte degli organismi responsabili dell'accesso ai dati sanitari

1.Ciascun organismo responsabile dell'accesso ai dati sanitari pubblica una relazione annuale di attività che contiene almeno gli elementi seguenti:

a)informazioni relative alle domande di accesso ai dati sanitari elettronici presentate, quali i tipi di richiedenti, il numero di autorizzazioni ai dati concesse o rifiutate, le finalità dell'accesso e le categorie di dati sanitari elettronici a cui si è avuto accesso, nonché se del caso una sintesi dei risultati degli impieghi dei dati sanitari elettronici;

b)un elenco delle autorizzazioni ai dati che comportano l'accesso ai dati sanitari elettronici trattati dall'organismo responsabile dell'accesso ai dati sanitari sulla base dell'altruismo dei dati e, se del caso, una descrizione sintetica delle finalità di interesse generale perseguite, compresi gli esiti delle autorizzazioni ai dati concesse;

c)informazioni sull'adempimento degli impegni normativi e contrattuali da parte degli utenti e dei titolari dei dati, nonché sulle sanzioni imposte;

d)informazioni sugli audit effettuati sugli utenti dei dati per garantire la conformità del trattamento al presente regolamento;

e)informazioni sugli audit sulla conformità degli ambienti di trattamento sicuri alle norme, alle specifiche e alle prescrizioni stabilite;

f)informazioni sul trattamento delle richieste presentate da persone fisiche riguardo all'esercizio dei loro diritti alla protezione dei dati;

g)una descrizione delle attività svolte in relazione al coinvolgimento e alla consultazione dei portatori di interessi pertinenti, compresi i rappresentanti delle persone fisiche, delle organizzazioni dei pazienti, dei professionisti sanitari, dei ricercatori e dei comitati etici;

h)informazioni sulla cooperazione con altri organismi competenti, in particolare nel settore della protezione dei dati, della cibersicurezza, dell'altruismo dei dati e dell'intelligenza artificiale;

i)entrate derivanti da autorizzazioni ai dati e richieste di dati;

j)soddisfazione dei richiedenti che chiedono l'accesso ai dati;

k)numero medio di giorni tra la domanda e l'accesso ai dati;

l)numero di marchi di qualità dei dati rilasciati, suddiviso per categoria di qualità;

m)numero di pubblicazioni di ricerca sottoposte a valutazione inter pares, documenti strategici e procedure di regolamentazione che utilizzano dati a cui si è avuto accesso tramite lo spazio europeo dei dati sanitari;

n)numero di prodotti e servizi di sanità digitale, comprese le applicazioni di IA, sviluppati utilizzando dati a cui si è avuto accesso tramite lo spazio europeo dei dati sanitari.

2.La relazione è trasmessa alla Commissione.

3.Alla Commissione è conferito il potere di adottare atti delegati conformemente all'articolo 67 al fine di modificare il contenuto della relazione annuale di attività.

Articolo 40

Altruismo dei dati in ambito sanitario

1.Nel trattare i dati sanitari elettronici personali, le organizzazioni per l'altruismo dei dati rispettano le norme di cui al capo IV del regolamento [...] [Atto sulla governance dei dati (COM(2020) 767 final)]. Qualora le organizzazioni per l'altruismo dei dati trattino dati sanitari elettronici personali utilizzando un ambiente di trattamento sicuro, tale ambiente rispetta altresì le prescrizioni di cui all'articolo 50 del presente regolamento.

2.Gli organismi responsabili dell'accesso ai dati sanitari coadiuvano le autorità competenti designate a norma dell'articolo 23 del regolamento [...] [Atto sulla governance dei dati (COM(2020) 767 final)] nel monitoraggio dei soggetti che svolgono attività di altruismo dei dati.

Articolo 41

Obblighi dei titolari dei dati

1.Qualora il titolare dei dati sia tenuto a mettere a disposizione i dati sanitari elettronici a norma dell'articolo 33 o di altre normative dell'Unione o normative nazionali di attuazione del diritto dell'Unione, se del caso esso coopera in buona fede con gli organismi responsabili dell'accesso ai dati sanitari.

2.Il titolare dei dati comunica all'organismo responsabile dell'accesso ai dati sanitari una descrizione generale della serie di dati che detiene conformemente all'articolo 55.

3.Se la serie di dati è corredata di un marchio di qualità e di utilità dei dati ai sensi dell'articolo 56, il titolare dei dati fornisce all'organismo responsabile dell'accesso ai dati sanitari una documentazione sufficiente affinché detto organismo confermi la correttezza del marchio.

4.Il titolare dei dati mette i dati sanitari elettronici a disposizione dell'organismo responsabile dell'accesso ai dati sanitari entro due mesi dal ricevimento della richiesta da parte dell'organismo in questione. In casi eccezionali tale periodo può essere prorogato dall'organismo responsabile dell'accesso ai dati sanitari per un ulteriore periodo di due mesi.

5.Qualora abbia ricevuto serie di dati arricchite a seguito di un trattamento basato su un'autorizzazione ai dati, il titolare dei dati mette a disposizione la nuova serie di dati, a meno che non la ritenga inadeguata e informi a tale riguardo l'organismo responsabile dell'accesso ai dati sanitari.

6.I titolari dei dati sanitari elettronici non personali garantiscono l'accesso ai dati tramite banche dati aperte e affidabili per assicurare un accesso illimitato a tutti gli utenti e l'archiviazione e la conservazione dei dati. Tali banche dati pubbliche aperte e affidabili dispongono di una governance solida, trasparente e sostenibile e di un modello di accesso degli utenti trasparente.

7.Alla Commissione è conferito il potere di adottare atti delegati conformemente all'articolo 67 al fine di modificare gli obblighi dei titolari dei dati di cui al presente articolo, in modo tale da tenere conto degli sviluppi riguardanti le attività svolte dai titolari dei dati.

Articolo 42

Tariffe

1.Gli organismi responsabili dell'accesso ai dati sanitari e i singoli titolari dei dati possono imporre tariffe per la messa a disposizione di dati sanitari elettronici per l'uso secondario. In conformità dell'articolo 6 del regolamento [...] [Atto sulla governance dei dati (COM(2020) 767 final)], le eventuali tariffe includono i costi relativi alla messa in atto della procedura riguardante le richieste, anche per quanto concerne la valutazione di una domanda di accesso ai dati o di una richiesta di dati, la concessione, il rifiuto o la modifica di un'autorizzazione ai dati ai sensi degli articoli 45 e 46 o la risposta a una richiesta di dati a norma dell'articolo 47, e sono derivate da tali costi.

2.Se i dati in questione non sono detenuti dall'organismo responsabile dell'accesso ai dati o da un ente pubblico, oltre a quelle che possono essere imposte a norma del paragrafo 1 le tariffe possono includere anche una compensazione per coprire una parte dei costi di raccolta dei dati sanitari elettronici specificamente a norma del presente regolamento. La parte delle tariffe legata ai costi del titolare dei dati è versata a quest'ultimo.

3.I dati sanitari elettronici di cui all'articolo 33, paragrafo 1, lettera o), sono messi a disposizione di un nuovo utente gratuitamente o dietro pagamento di una tariffa che garantisca la compensazione dei costi delle risorse umane e tecniche utilizzate per arricchire i dati sanitari elettronici. Tale tariffa è corrisposta al soggetto che ha arricchito i dati sanitari elettronici.

4.Le tariffe imposte agli utenti dei dati a norma del presente articolo da parte degli organismi responsabili dell'accesso ai dati sanitari o dei titolari dei dati sono trasparenti e proporzionate ai costi di raccolta e messa a disposizione dei dati sanitari elettronici per l'uso secondario, sono oggettivamente giustificate e non limitano la concorrenza. Il sostegno ricevuto dal titolare dei dati da donazioni o da fondi pubblici nazionali o dell'Unione per la creazione, lo sviluppo o l'aggiornamento della serie di dati in questione è escluso da tale calcolo. Nel fissare le tariffe si tiene conto delle esigenze e degli interessi specifici delle PMI, degli enti pubblici, delle istituzioni, degli organi e degli organismi dell'Unione coinvolti nella ricerca, nella politica sanitaria o nell'analisi, degli istituti di istruzione e dei prestatori di assistenza sanitaria, riducendo le tariffe in questione proporzionalmente alle loro dimensioni o al loro bilancio.

5.Qualora i titolari dei dati e gli utenti dei dati non concordino sul livello delle tariffe entro un mese dalla concessione dell'autorizzazione ai dati, l'organismo responsabile dell'accesso ai dati sanitari può fissare le tariffe in proporzione al costo della messa a disposizione dei dati sanitari elettronici per l'uso secondario. Se non concorda con la tariffa stabilita dall'organismo responsabile dell'accesso ai dati sanitari, il titolare dei dati o l'utente dei dati ha accesso agli organismi di risoluzione delle controversie istituiti conformemente all'articolo 10 del regolamento [...] [normativa sui dati (COM(2022) 68 final)].

6.La Commissione può, mediante atti di esecuzione, stabilire principi e norme per le politiche in materia di tariffe e le strutture tariffarie. Tali atti di esecuzione sono adottati secondo la procedura consultiva di cui all'articolo 68, paragrafo 2.

Articolo 43

Sanzioni applicate dagli organismi responsabili dell'accesso ai dati sanitari

1.Gli organismi responsabili dell'accesso ai dati sanitari monitorano e sorvegliano il rispetto, da parte degli utenti e dei titolari dei dati, delle prescrizioni di cui al presente capo.

2.Quando chiedono agli utenti e ai titolari dei dati le informazioni necessarie per verificare la conformità al presente capo, gli organismi responsabili dell'accesso ai dati sanitari presentano richieste proporzionate all'esecuzione del compito di verifica della conformità.

3.Qualora concludano che un utente o un titolare dei dati non rispetta le prescrizioni del presente capo, gli organismi responsabili dell'accesso ai dati sanitari ne informano immediatamente l'utente o il titolare dei dati e gli danno la possibilità di esprimere il proprio parere entro due mesi.

4.Gli organismi responsabili dell'accesso ai dati sanitari hanno il potere di revocare l'autorizzazione ai dati rilasciata a norma dell'articolo 46 e di interrompere il trattamento dei dati sanitari elettronici interessato da parte dell'utente al fine di garantire la cessazione della non conformità di cui al paragrafo 3, immediatamente o entro un termine ragionevole, e adottano misure adeguate e proporzionate volte a garantire un trattamento conforme da parte degli utenti dei dati. A tale riguardo gli organismi responsabili dell'accesso ai dati sanitari possono, se del caso, revocare l'autorizzazione ai dati ed escludere l'utente dei dati dall'accesso ai dati sanitari elettronici per un periodo massimo di cinque anni.

5.Qualora i titolari dei dati si rifiutino di fornire i dati sanitari elettronici agli organismi responsabili dell'accesso ai dati sanitari con la chiara intenzione di ostacolare l'uso dei dati sanitari elettronici o non rispettino i termini di cui all'articolo 41, l'organismo responsabile dell'accesso ai dati sanitari ha il potere di infliggere sanzioni pecuniarie trasparenti e proporzionate al titolare dei dati per ogni giorno di ritardo. L'importo delle sanzioni pecuniarie è stabilito dall'organismo responsabile dell'accesso ai dati sanitari. Qualora il titolare dei dati violi ripetutamente l'obbligo di leale cooperazione con l'organismo responsabile dell'accesso ai dati sanitari, tale organismo può escludere il titolare dei dati dalla partecipazione allo spazio europeo dei dati sanitari per un periodo massimo di cinque anni. Se un titolare dei dati è stato escluso dalla partecipazione allo spazio europeo dei dati sanitari a norma del presente articolo a seguito della chiara intenzione di ostacolare l'uso secondario dei dati sanitari elettronici, esso non ha il diritto di fornire l'accesso ai dati sanitari conformemente all'articolo 49.

6.L'organismo responsabile dell'accesso ai dati sanitari comunica senza ritardo all'utente o al titolare dei dati interessato le misure imposte a norma del paragrafo 4 e i motivi su cui si basano, e stabilisce un termine ragionevole entro il quale l'utente o il titolare dei dati è tenuto a conformarsi a tali misure.

7.Le sanzioni e le misure imposte a norma del paragrafo 4 sono messe a disposizione di altri organismi responsabili dell'accesso ai dati sanitari.

8.La Commissione può, mediante atti di esecuzione, definire l'architettura di uno strumento informatico volto a sostenere le attività di cui al presente articolo, in particolare le sanzioni e le esclusioni, e a renderle trasparenti ad altri organismi responsabili dell'accesso ai dati sanitari. Tali atti di esecuzione sono adottati secondo la procedura consultiva di cui all'articolo 68, paragrafo 2.

9.Qualsiasi persona fisica o giuridica interessata dalla decisione di un organismo responsabile dell'accesso ai dati sanitari ha diritto a un ricorso giurisdizionale effettivo nei confronti di tale decisione.

10.La Commissione può emanare orientamenti sulle sanzioni applicabili dagli organismi responsabili dell'accesso ai dati sanitari.

Sezione 3

Autorizzazione ai dati per l'uso secondario dei dati sanitari elettronici

Articolo 44

Minimizzazione dei dati e limitazione della finalità

1.L'organismo responsabile dell'accesso ai dati sanitari garantisce che l'accesso sia fornito solo ai dati sanitari elettronici richiesti che sono pertinenti ai fini del trattamento indicato nella domanda di accesso ai dati da parte dell'utente dei dati e in linea con l'autorizzazione ai dati concessa.

2.Gli organismi responsabili dell'accesso ai dati sanitari forniscono i dati sanitari elettronici in forma anonimizzata, qualora lo scopo del trattamento da parte dell'utente dei dati possa essere conseguito con tali dati, tenendo conto delle informazioni fornite da quest'ultimo.

3.Qualora la finalità del trattamento da parte dell'utente dei dati non possa essere conseguita con dati anonimizzati, tenendo conto delle informazioni fornite da quest'ultimo, gli organismi responsabili dell'accesso ai dati sanitari forniscono l'accesso ai dati sanitari elettronici in forma pseudonimizzata. Le informazioni necessarie per invertire la pseudonimizzazione sono disponibili soltanto all'organismo responsabile dell'accesso ai dati sanitari. Gli utenti dei dati si astengono dal reidentificare i dati sanitari elettronici loro forniti in forma pseudonimizzata. Il mancato rispetto, da parte dell'utente dei dati, delle misure previste dall'organismo responsabile dell'accesso ai dati sanitari che garantiscono la pseudonimizzazione è soggetto a sanzioni adeguate.

Articolo 45

Domande di accesso ai dati

1.Qualsiasi persona fisica o giuridica può presentare una domanda di accesso ai dati per le finalità di cui all'articolo 34.

2.La domanda di accesso ai dati comprende:

a)una spiegazione dettagliata dell'uso previsto dei dati sanitari elettronici, incluse le finalità per cui è richiesto l'accesso tra quelle di cui all'articolo 34, paragrafo 1;

b)una descrizione dei dati sanitari elettronici richiesti, del loro formato e delle fonti di dati, ove possibile, compresa la copertura geografica qualora i dati siano richiesti a più Stati membri;

c)l'indicazione se i dati sanitari elettronici debbano essere messi a disposizione in forma anonimizzata;

d)se del caso, una spiegazione dei motivi alla base della domanda di accesso ai dati sanitari elettronici in forma pseudonimizzata;

e)una descrizione delle garanzie previste per impedire qualsiasi altro uso dei dati sanitari elettronici;

f)una descrizione delle garanzie previste per tutelare i diritti e gli interessi del titolare dei dati e delle persone fisiche interessate;

g)una stima del periodo durante il quale i dati sanitari elettronici sono necessari per il trattamento;

h)una descrizione degli strumenti e delle risorse informatiche necessari per un ambiente sicuro.

3.Gli utenti dei dati che desiderano accedere ai dati sanitari elettronici provenienti da più di uno Stato membro presentano un'unica domanda a uno degli organismi responsabili dell'accesso ai dati sanitari interessati di loro scelta, cui spetta la responsabilità di condividere la richiesta con altri organismi responsabili dell'accesso ai dati sanitari e partecipanti autorizzati a HealthData@EU di cui all'articolo 52 identificati nella domanda di accesso ai dati. Per le domande di accesso ai dati sanitari elettronici provenienti da più di uno Stato membro, l'organismo responsabile dell'accesso ai dati sanitari notifica agli altri organismi responsabili dell'accesso ai dati sanitari il ricevimento di una domanda ad essi pertinente entro 15 giorni dalla data di ricevimento della domanda di accesso ai dati.

4.Se il richiedente intende accedere ai dati sanitari elettronici personali in forma pseudonimizzata, congiuntamente alla domanda di accesso ai dati sono fornite le informazioni supplementari seguenti:

a)una descrizione delle modalità con cui il trattamento si conformerebbe all'articolo 6, paragrafo 1, del regolamento (UE) 2016/679;

b)se del caso e in linea con il diritto nazionale, informazioni sulla valutazione degli aspetti etici del trattamento.

5.Ai fini dell'esecuzione dei compiti di cui all'articolo 37, paragrafo 1, lettere b) e c), gli enti pubblici e le istituzioni, gli organi e gli organismi dell'Unione forniscono le medesime informazioni prescritte a norma dell'articolo 45, paragrafo 2, fatta eccezione per la lettera g), al posto delle quali trasmettono informazioni relative al periodo durante il quale è possibile accedere ai dati, alla frequenza di tale accesso o alla frequenza degli aggiornamenti dei dati.

Qualora gli enti pubblici e le istituzioni, gli organi e gli organismi dell'Unione intendano accedere ai dati sanitari elettronici in forma pseudonimizzata, è fornita altresì una descrizione delle modalità con cui il trattamento si conformerebbe all'articolo 6, paragrafo 1, del regolamento (UE) 2016/679 o all'articolo 5, paragrafo 1, del regolamento (UE) 2018/1725, a seconda dei casi.

6.La Commissione può, mediante atti di esecuzione, stabilire i modelli per la domanda di accesso ai dati di cui al presente articolo, l'autorizzazione ai dati di cui all'articolo 46 e la richiesta di dati di cui all'articolo 47. Tali atti di esecuzione sono adottati secondo la procedura di cui all'articolo 68, paragrafo 2.

7.Alla Commissione è conferito il potere di adottare atti delegati conformemente all'articolo 67 al fine di modificare l'elenco delle informazioni di cui ai paragrafi 2, 4, 5 e 6 del presente articolo, in modo tale da garantire che l'elenco sia adeguato per il trattamento di una domanda di accesso ai dati a livello nazionale o transfrontaliero.

Articolo 46

Autorizzazione ai dati

1.Gli organismi responsabili dell'accesso ai dati sanitari valutano se la domanda persegue una delle finalità di cui all'articolo 34, paragrafo 1, del presente regolamento, se i dati richiesti sono necessari per la finalità indicata nella domanda e se il richiedente soddisfa le prescrizioni di cui al presente capo. In caso affermativo l'organismo responsabile dell'accesso ai dati sanitari rilascia un'autorizzazione ai dati.

2.Gli organismi responsabili dell'accesso ai dati sanitari respingono tutte le domande che riguardano una o più delle finalità di cui all'articolo 35 o che non soddisfano le prescrizioni di cui al presente capo.

3.L'organismo responsabile dell'accesso ai dati sanitari rilascia o rifiuta un'autorizzazione ai dati entro due mesi dal ricevimento della domanda di accesso ai dati. In deroga al regolamento [...] [Atto sulla governance dei dati (COM(2020) 767 final)], l'organismo responsabile dell'accesso ai dati sanitari può prorogare di altri due mesi il termine di risposta a una domanda di accesso ai dati, se necessario, tenendo conto della complessità della richiesta. In tali casi l'organismo responsabile dell'accesso ai dati sanitari comunica quanto prima al richiedente che è necessario più tempo per esaminare la domanda, indicando i motivi del ritardo. Se un organismo responsabile dell'accesso ai dati sanitari non adotta una decisione entro il termine stabilito, l'autorizzazione ai dati è rilasciata.

4.In seguito al rilascio dell'autorizzazione ai dati, l'organismo responsabile dell'accesso ai dati sanitari chiede immediatamente i dati sanitari elettronici al titolare dei dati. L'organismo responsabile dell'accesso ai dati sanitari mette i dati sanitari elettronici a disposizione dell'utente dei dati entro due mesi dal ricevimento di tali dati dai rispettivi titolari, a meno che l'organismo in questione non indichi che fornirà i dati entro un termine più lungo specificato.

5.Quando rifiuta di rilasciare un'autorizzazione ai dati, l'organismo responsabile dell'accesso ai dati sanitari motiva il rifiuto al richiedente.

6.L'autorizzazione ai dati stabilisce le condizioni generali applicabili all'utente dei dati, in particolare:

a)tipi e formato dei dati sanitari elettronici a cui si è avuto accesso contemplati dall'autorizzazione ai dati, comprese le relative fonti;

b)finalità della messa a disposizione dei dati;

c)durata dell'autorizzazione ai dati;

d)informazioni sulle caratteristiche tecniche e sugli strumenti a disposizione dell'utente dei dati nell'ambiente di trattamento sicuro;

e)tariffe a carico dell'utente dei dati;

f)eventuali condizioni specifiche supplementari stabilite nell'autorizzazione ai dati concessa.

7.Gli utenti dei dati hanno il diritto di accedere ai dati sanitari elettronici e di trattarli conformemente all'autorizzazione ai dati loro fornita sulla base del presente regolamento.

8.Alla Commissione è conferito il potere di adottare atti delegati al fine di modificare, secondo la procedura di cui all'articolo 67, l'elenco degli aspetti che devono essere contemplati da un'autorizzazione ai dati di cui al paragrafo 7 del presente articolo.

9.L'autorizzazione ai dati è rilasciata per la durata necessaria al conseguimento delle finalità richieste, che non può essere superiore a cinque anni. Tale durata può essere prorogata una volta, su richiesta dell'utente dei dati, sulla base di argomentazioni e documenti giustificativi forniti, un mese prima della scadenza dell'autorizzazione ai dati, per un periodo che non può superare i cinque anni. In deroga all'articolo 42, l'organismo responsabile dell'accesso ai dati sanitari può imporre tariffe di importo più elevato per tenere conto dei costi e dei rischi legati alla conservazione dei dati sanitari elettronici per un periodo di tempo più lungo rispetto ai cinque anni iniziali. Al fine di ridurre tali costi e tariffe, l'organismo responsabile dell'accesso ai dati sanitari può anche proporre all'utente dei dati di conservare la serie di dati in un sistema di archiviazione con capacità ridotte. I dati contenuti nell'ambiente di trattamento sicuro sono cancellati entro sei mesi dalla scadenza dell'autorizzazione ai dati. Su richiesta dell'utente dei dati, l'organismo responsabile dell'accesso ai dati sanitari conserva la formula per la creazione della serie di dati richiesta.

10.Se si rende necessario un aggiornamento dell'autorizzazione ai dati, l'utente dei dati presenta una richiesta di modifica della stessa.

11.Gli utenti dei dati rendono pubblici i risultati o gli esiti dell'uso secondario dei dati sanitari elettronici, comprese le informazioni pertinenti per la prestazione di assistenza sanitaria, entro 18 mesi dal completamento del trattamento dei dati sanitari elettronici o dopo aver ricevuto la risposta alla richiesta di dati di cui all'articolo 47. Tali risultati o esiti contengono solo dati anonimizzati. L'utente dei dati informa gli organismi responsabili dell'accesso ai dati sanitari dai quali è stata ottenuta un'autorizzazione ai dati e li aiuta a rendere pubbliche le informazioni sui siti web di tali organismi. Qualora abbiano utilizzato dati sanitari elettronici conformemente al presente capo, gli utenti dei dati citano le fonti dei dati sanitari elettronici e menzionano il fatto che i dati sanitari elettronici sono stati ottenuti nel contesto dello spazio europeo dei dati sanitari.

12.Gli utenti dei dati informano l'organismo responsabile dell'accesso ai dati sanitari in merito a qualsiasi risultanza significativa dal punto di vista clinico che possa influenzare lo stato di salute delle persone fisiche i cui dati figurano nella serie di dati.

13.La Commissione può elaborare, mediante un atto di esecuzione, un logo per riconoscere il contributo dello spazio europeo dei dati sanitari. Tale atto di esecuzione è adottato secondo la procedura consultiva di cui all'articolo 68, paragrafo 2.

14.La responsabilità degli organismi responsabili dell'accesso ai dati sanitari in qualità di contitolari del trattamento è limitata all'ambito di applicazione dell'autorizzazione ai dati rilasciata fino al termine dell'attività di trattamento.

Articolo 47

Richiesta di dati

1.Qualsiasi persona fisica o giuridica può presentare una richiesta di dati per le finalità di cui all'articolo 34. L'organismo responsabile dell'accesso ai dati sanitari risponde a una richiesta di dati soltanto in forma statistica anonimizzata e l'utente dei dati non ha accesso ai dati sanitari elettronici utilizzati per fornire tale risposta.

2.La richiesta di dati include gli elementi di cui all'articolo 45, paragrafo 2, lettere a) e b) e, se necessario, può comprendere altresì:

a)una descrizione del risultato atteso dall'organismo responsabile dell'accesso ai dati sanitari;

b)una descrizione del contenuto delle statistiche.

3.Qualora un richiedente abbia chiesto un risultato in forma anonimizzata, anche in forma statistica, sulla base di una richiesta di dati, l'organismo responsabile dell'accesso ai dati sanitari procede alla valutazione entro due mesi e, ove possibile, fornisce i risultati all'utente dei dati entro due mesi.

Articolo 48

Messa a disposizione di dati per gli enti pubblici e le istituzioni, gli organi e gli organismi dell'Unione in assenza di un'autorizzazione ai dati

In deroga all'articolo 46 del presente regolamento, per accedere ai dati sanitari elettronici a norma del presente articolo non è richiesta un'autorizzazione ai dati. Nello svolgimento dei compiti di cui all'articolo 37, paragrafo 1, lettere b) e c), l'organismo responsabile dell'accesso ai dati sanitari informa gli enti pubblici e le istituzioni, gli organi e gli organismi dell'Unione in merito alla disponibilità dei dati entro due mesi dalla domanda di accesso ai dati conformemente all'articolo 9 del regolamento [...] [Atto sulla governance dei dati (COM(2020) 767 final)]. In deroga a tale regolamento [...] [Atto sulla governance dei dati (COM(2020) 767 final)], l'organismo responsabile dell'accesso ai dati sanitari può prorogare di altri due mesi tale termine, se necessario, tenendo conto della complessità della richiesta. L'organismo responsabile dell'accesso ai dati sanitari mette i dati sanitari elettronici a disposizione dell'utente dei dati entro due mesi dal ricevimento di tali dati dai rispettivi titolari, a meno che l'organismo in questione non indichi che fornirà i dati entro un termine più lungo specificato.

Articolo 49

Accesso ai dati sanitari elettronici di un unico titolare dei dati

1.Se un richiedente chiede l'accesso soltanto ai dati sanitari elettronici di un unico titolare dei dati in un unico Stato membro, in deroga all'articolo 45, paragrafo 1, esso può presentare una domanda di accesso ai dati o una richiesta di dati direttamente al titolare dei dati. La domanda di accesso ai dati è conforme alle prescrizioni di cui all'articolo 45 e la richiesta di dati è conforme alle prescrizioni di cui all'articolo 47. Le richieste multinazionali e le richieste di una combinazione di serie di dati di vari titolari dei dati sono trasmesse agli organismi responsabili dell'accesso ai dati sanitari.

2.In tal caso il titolare dei dati può rilasciare un'autorizzazione ai dati a norma dell'articolo 46 o fornire una risposta a una richiesta di dati a norma dell'articolo 47. Il titolare dei dati fornisce quindi l'accesso ai dati sanitari elettronici in un ambiente di trattamento sicuro conformemente all'articolo 50 e può imporre tariffe a norma dell'articolo 42.

3.In deroga all'articolo 51, l'unico fornitore di dati e l'utente dei dati sono considerati contitolari del trattamento.

4.Entro tre mesi il titolare dei dati informa per via elettronica il pertinente organismo responsabile dell'accesso ai dati sanitari in merito a tutte le domande di accesso ai dati presentate, a tutte le autorizzazioni ai dati rilasciate e alle richieste di dati soddisfatte a norma del presente articolo, al fine di consentire all'organismo responsabile dell'accesso ai dati sanitari di adempiere i propri obblighi di cui all'articolo 37, paragrafo 1, e all'articolo 39.

Articolo 50

Ambiente di trattamento sicuro

1.Gli organismi responsabili dell'accesso ai dati sanitari forniscono l'accesso ai dati sanitari elettronici solo attraverso un ambiente di trattamento sicuro che sia oggetto di misure tecniche e organizzative e rispetti prescrizioni in materia di sicurezza e interoperabilità. In particolare, essi adottano le misure di sicurezza seguenti:

a)limitano l'accesso all'ambiente di trattamento sicuro alle persone autorizzate elencate nella rispettiva autorizzazione ai dati;

b)riducono al minimo il rischio di lettura, copia, modifica o rimozione non autorizzata dei dati sanitari elettronici ospitati nell'ambiente di trattamento sicuro avvalendosi di strumenti tecnologici all'avanguardia;

c)limitano l'immissione di dati sanitari elettronici e l'ispezione, la modifica o l'eliminazione dei dati sanitari elettronici ospitati nell'ambiente di trattamento sicuro a un numero ridotto di persone autorizzate identificabili;

d)garantiscono che gli utenti dei dati abbiano accesso solo ai dati sanitari elettronici contemplati dalla loro autorizzazione ai dati, esclusivamente attraverso identità di utente individuali e uniche e con modalità di accesso riservate;

e)conservano registrazioni identificabili dell'accesso all'ambiente di trattamento sicuro per il periodo necessario a verificare e controllare tutte le operazioni di trattamento in tale ambiente;

f)garantiscono la conformità e monitorano le misure di sicurezza di cui al presente articolo al fine di attenuare potenziali minacce alla sicurezza.

2.Gli organismi responsabili dell'accesso ai dati sanitari provvedono affinché i titolari dei dati possano caricare i dati sanitari elettronici e l'utente dei dati possa accedervi in un ambiente di trattamento sicuro. Gli utenti dei dati possono scaricare dall'ambiente di trattamento sicuro soltanto dati sanitari elettronici non personali.

3.Gli organismi responsabili dell'accesso ai dati sanitari provvedono affinché siano svolti audit periodici degli ambienti di trattamento sicuri.

4.La Commissione stabilisce, mediante atti di esecuzione, prescrizioni di carattere tecnico e inerenti alla sicurezza delle informazioni e all'interoperabilità per gli ambienti di trattamento sicuri. Tali atti di esecuzione sono adottati secondo la procedura consultiva di cui all'articolo 68, paragrafo 2.

Articolo 51

Contitolari del trattamento

1.Gli organismi responsabili dell'accesso ai dati sanitari e gli utenti dei dati, tra cui le istituzioni, gli organi e gli organismi dell'Unione, sono considerati contitolari del trattamento dei dati sanitari elettronici trattati in conformità dell'autorizzazione ai dati.

2.La Commissione stabilisce, mediante atti di esecuzione, un modello per l'accordo tra contitolari del trattamento. Tali atti di esecuzione sono adottati secondo la procedura consultiva di cui all'articolo 68, paragrafo 2.

Sezione 4

Accesso transfrontaliero ai dati sanitari elettronici per l'uso secondario

Articolo 52

Infrastruttura transfrontaliera per l'uso secondario dei dati sanitari elettronici (HealthData@EU)

1.Ciascuno Stato membro designa un punto di contatto nazionale per l'uso secondario dei dati sanitari elettronici, cui è affidata la responsabilità di mettere a disposizione i dati sanitari elettronici per l'uso secondario in un contesto transfrontaliero, e ne comunica i nomi e i dati di contatto alla Commissione. Il punto di contatto nazionale può essere l'organismo responsabile dell'accesso ai dati sanitari che funge da coordinatore a norma dell'articolo 36. La Commissione e gli Stati membri mettono tali informazioni a disposizione del pubblico.

2.I punti di contatto nazionali di cui al paragrafo 1 sono partecipanti autorizzati all'infrastruttura transfrontaliera per l'uso secondario dei dati sanitari elettronici (HealthData@EU). I punti di contatto nazionali agevolano l'accesso transfrontaliero ai dati sanitari elettronici per l'uso secondario di diversi partecipanti autorizzati all'infrastruttura e cooperano strettamente tra loro e con la Commissione.

3.Le istituzioni, gli organi e gli organismi dell'Unione coinvolti nella ricerca, nella politica sanitaria o nell'analisi sono autorizzati a partecipare a HealthData@EU.

4.Le infrastrutture di ricerca in campo sanitario o strutture analoghe il cui funzionamento si basa sul diritto dell'Unione e che favoriscono l'uso di dati sanitari elettronici a fini di ricerca, definizione delle politiche, statistiche, sicurezza dei pazienti o regolamentazione sono autorizzate a partecipare a HealthData@EU.

5.I paesi terzi o le organizzazioni internazionali possono diventare partecipanti autorizzati se rispettano le norme di cui al capo IV del presente regolamento e forniscono agli utenti dei dati situati nell'Unione, a condizioni equivalenti, l'accesso ai dati sanitari elettronici a disposizione dei loro organismi responsabili dell'accesso ai dati sanitari. La Commissione può adottare atti di esecuzione che stabiliscano che un punto di contatto nazionale di un paese terzo o un sistema istituito a livello internazionale è conforme ai requisiti di HealthData@EU ai fini dell'uso secondario dei dati sanitari, è conforme al capo IV del presente regolamento e fornisce agli utenti dei dati situati nell'Unione, a condizioni equivalenti, l'accesso ai dati sanitari elettronici cui esso stesso ha accesso. La conformità a tali requisiti giuridici, organizzativi, tecnici e di sicurezza, comprese le norme relative agli ambienti di trattamento sicuri di cui all'articolo 50, è verificata sotto il controllo della Commissione. Tali atti di esecuzione sono adottati secondo la procedura consultiva di cui all'articolo 68, paragrafo 2. La Commissione rende pubblicamente disponibile l'elenco degli atti di esecuzione adottati a norma del presente paragrafo.

6.Ciascun partecipante autorizzato acquisisce la capacità tecnica necessaria per collegarsi e partecipare a HealthData@EU. Ciascun partecipante rispetta le prescrizioni e le specifiche tecniche necessarie per gestire l'infrastruttura transfrontaliera e consentire ai partecipanti autorizzati di collegarsi tra loro al suo interno.

7.Alla Commissione è conferito il potere di adottare atti delegati conformemente all'articolo 67 al fine di modificare il presente articolo per aggiungere o rimuovere categorie di partecipanti autorizzati a HealthData@EU, tenendo conto del parere del gruppo di controllo congiunto ai sensi dell'articolo 66 del presente regolamento.

8.Gli Stati membri e la Commissione istituiscono HealthData@EU per favorire e agevolare l'accesso transfrontaliero ai dati sanitari elettronici per l'uso secondario, mettendo in collegamento tra loro i punti di contatto nazionali per l'uso secondario dei dati sanitari elettronici di tutti gli Stati membri e i partecipanti autorizzati a tale infrastruttura.

9.La Commissione sviluppa, distribuisce e gestisce una piattaforma di base per HealthData@EU fornendo i servizi informatici necessari per agevolare il collegamento tra gli organismi responsabili dell'accesso ai dati sanitari nell'ambito dell'infrastruttura transfrontaliera per l'uso secondario dei dati sanitari elettronici. La Commissione tratta i dati sanitari elettronici per conto dei contitolari del trattamento solo in qualità di responsabile del trattamento.

10.Se richiesto da due o più organismi responsabili dell'accesso ai dati sanitari, la Commissione può mettere a disposizione, conformemente alle prescrizioni di cui all'articolo 50, un ambiente di trattamento sicuro per i dati provenienti da più di uno Stato membro. Qualora due o più organismi responsabili dell'accesso ai dati sanitari inseriscano dati sanitari elettronici in un ambiente di trattamento sicuro gestito dalla Commissione, essi sono contitolari del trattamento e la Commissione assume il ruolo di responsabile del trattamento.

11.I partecipanti autorizzati agiscono in qualità di contitolari del trattamento nelle operazioni di trattamento cui partecipano all'interno di HealthData@EU e la Commissione agisce in qualità di responsabile del trattamento.

12.Gli Stati membri e la Commissione si adoperano per garantire l'interoperabilità di HealthData@EU con altri spazi comuni europei di dati pertinenti di cui ai regolamenti [...] [Atto sulla governance dei dati (COM(2020) 767 final)] e [...] [normativa sui dati (COM(2022) 68 final)].

13.La Commissione può stabilire, mediante atti di esecuzione:

a)prescrizioni, specifiche tecniche, architettura informatica di HealthData@EU, condizioni e controlli di conformità affinché i partecipanti autorizzati aderiscano e rimangano collegati a HealthData@EU e condizioni per l'esclusione temporanea o definitiva da HealthData@EU;

b)i criteri minimi che devono essere soddisfatti dai partecipanti autorizzati all'infrastruttura;

c)le responsabilità dei contitolari del trattamento e del responsabile o dei responsabili del trattamento che partecipano alle infrastrutture transfrontaliere;

d)le responsabilità dei contitolari del trattamento e del responsabile o dei responsabili del trattamento per quanto riguarda l'ambiente sicuro gestito dalla Commissione;

e)specifiche comuni in materia di architettura di HealthData@EU e della sua interoperabilità con altri spazi comuni europei di dati.

Tali atti di esecuzione sono adottati secondo la procedura consultiva di cui all'articolo 68, paragrafo 2.

14.L'approvazione dell'adesione dei singoli partecipanti autorizzati a HealthData@EU o della disconnessione di un partecipante dall'infrastruttura è rilasciata dal gruppo di controllo congiunto sulla base dei risultati dei controlli di conformità.

Articolo 53

Accesso a fonti transfrontaliere di dati sanitari elettronici per l'uso secondario

1.Nel caso di registri e banche dati transfrontalieri, l'organismo responsabile dell'accesso ai dati sanitari presso il quale è registrato il titolare dei dati è competente a decidere in merito alle domande di accesso ai dati per fornire l'accesso ai dati sanitari elettronici. In presenza di contitolari del trattamento rispetto al registro, l'organismo responsabile dell'accesso ai dati sanitari che fornisce l'accesso ai dati sanitari elettronici è l'organismo dello Stato membro in cui è stabilito uno dei contitolari del trattamento.

2.Qualora i registri o le banche dati di più Stati membri si organizzino in una rete unica di registri o banche dati a livello dell'Unione, i registri associati possono designare uno dei loro membri come coordinatore per garantire la fornitura di dati dalla rete di registri per l'uso secondario. L'organismo responsabile dell'accesso ai dati sanitari dello Stato membro in cui è ubicato il coordinatore della rete è competente a decidere in merito alle domande di accesso ai dati per fornire l'accesso ai dati sanitari elettronici della rete di registri o banche dati.

3.La Commissione può adottare, mediante atti di esecuzione, le norme necessarie per agevolare il trattamento delle domande di accesso ai dati per HealthData@EU, compresi un modulo comune di domanda, un modello comune di autorizzazione ai dati, moduli standard per gli accordi contrattuali comuni in materia di accesso ai dati sanitari elettronici e procedure comuni per il trattamento delle richieste transfrontaliere a norma degli articoli 45, 46, 47 e 48. Tali atti di esecuzione sono adottati secondo la procedura consultiva di cui all'articolo 68, paragrafo 2.

Articolo 54

Riconoscimento reciproco

1.Nel trattare una domanda di accesso transfrontaliero ai dati sanitari elettronici per l'uso secondario, gli organismi responsabili dell'accesso ai dati sanitari e i pertinenti partecipanti autorizzati rimangono responsabili della decisione di concedere o rifiutare l'accesso ai dati sanitari elettronici nell'ambito delle rispettive competenze, nel rispetto delle prescrizioni in materia di accesso di cui al presente capo.

2.Un'autorizzazione ai dati rilasciata da un organismo responsabile dell'accesso ai dati sanitari interessato può beneficiare del riconoscimento reciproco da parte degli altri organismi responsabili dell'accesso ai dati sanitari interessati.

Sezione 5

Qualità e utilità dei dati sanitari per l'uso secondario

Articolo 55

Descrizione della serie di dati

1.Gli organismi responsabili dell'accesso ai dati sanitari informano gli utenti dei dati in merito alle serie di dati disponibili e alle loro caratteristiche tramite un catalogo di metadati. Ciascuna serie di dati comprende informazioni riguardanti la fonte, l'ambito, le caratteristiche principali, la natura dei dati sanitari elettronici e le condizioni per la messa a disposizione di tali dati.

2.La Commissione stabilisce, mediante atti di esecuzione, le informazioni minime che i titolari dei dati sono tenuti a fornire riguardo alle serie di dati e alle loro caratteristiche. Tali atti di esecuzione sono adottati secondo la procedura consultiva di cui all'articolo 68, paragrafo 2.

Articolo 56

Marchio di qualità e di utilità dei dati

1.Le serie di dati messe a disposizione attraverso gli organismi responsabili dell'accesso ai dati sanitari possono recare un marchio dell'Unione di qualità e di utilità dei dati fornito dai titolari dei dati.

2.Le serie di dati contenenti dati sanitari elettronici raccolti e trattati con il sostegno di finanziamenti pubblici nazionali o dell'Unione recano un marchio di qualità e di utilità dei dati conformemente ai principi di cui al paragrafo 3.

3.Il marchio di qualità e di utilità dei dati si attiene agli elementi seguenti:

a)per la documentazione dei dati: metadati, documentazione di supporto, modello di dati, dizionario di dati, norme utilizzate, provenienza;

b)qualità tecnica a dimostrazione della completezza, dell'unicità, dell'accuratezza, della validità, della tempestività e della coerenza dei dati;

c)per i processi di gestione della qualità dei dati: livello di maturità dei processi di gestione della qualità dei dati, compresi processi di riesame e audit, esame delle distorsioni;

d)copertura: rappresentazione di dati sanitari elettronici multidisciplinari, rappresentatività della popolazione campionata, arco di tempo medio in cui una persona fisica compare in una serie di dati;

e)informazioni sull'accesso e sulla fornitura: tempo che intercorre tra la raccolta dei dati sanitari elettronici e la loro aggiunta alla serie di dati, tempo necessario per fornire i dati sanitari elettronici in seguito all'approvazione della relativa domanda di accesso;

f)informazioni sugli arricchimenti dei dati: unione di serie di dati e aggiunta di dati a una serie di dati esistente, compresi i collegamenti con altre serie di dati.

4.Alla Commissione è conferito il potere di adottare atti delegati conformemente all'articolo 67 al fine di modificare l'elenco dei principi relativi al marchio di qualità e di utilità dei dati. Tali atti delegati possono anche modificare l'elenco di cui al paragrafo 3 aggiungendo, modificando o eliminando prescrizioni relative al marchio di qualità e di utilità dei dati.

5.La Commissione stabilisce, mediante atti di esecuzione, le caratteristiche visive e le specifiche tecniche del marchio di qualità e di utilità dei dati sulla base degli elementi di cui al paragrafo 3. Tali atti di esecuzione sono adottati secondo la procedura consultiva di cui all'articolo 68, paragrafo 2. Tali atti di esecuzione tengono conto delle prescrizioni di cui all'articolo 10 del regolamento [...] [legge sull'intelligenza artificiale (COM(2021) 206 final)] e di eventuali specifiche comuni o norme armonizzate adottate a sostegno di tali prescrizioni.

Articolo 57

Catalogo UE delle serie di dati

1.La Commissione istituisce un catalogo UE delle serie di dati che colleghi i cataloghi nazionali delle serie di dati istituiti dagli organismi responsabili dell'accesso ai dati sanitari e da altri partecipanti autorizzati a HealthData@EU.

2.Il catalogo UE delle serie di dati e i cataloghi delle serie di dati nazionali sono resi accessibili al pubblico.

Articolo 58

Specifiche minime delle serie di dati

La Commissione può stabilire, mediante atti di esecuzione, le specifiche minime relative alle serie di dati transfrontaliere per l'uso secondario dei dati sanitari elettronici, tenendo conto delle infrastrutture, delle norme, degli orientamenti e delle raccomandazioni esistenti dell'Unione. Tali atti di esecuzione sono adottati secondo la procedura consultiva di cui all'articolo 68, paragrafo 2.

Capo V

Altre azioni

Articolo 59

Sviluppo delle capacità

La Commissione favorisce la condivisione delle migliori pratiche e delle competenze al fine di sviluppare negli Stati membri la capacità di rafforzare i sistemi di sanità digitale per l'uso primario e secondario dei dati sanitari elettronici. Per sostenere lo sviluppo delle capacità la Commissione elabora orientamenti sull'analisi comparativa per l'uso primario e secondario dei dati sanitari elettronici.

Articolo 60

Prescrizioni aggiuntive in materia di appalti pubblici e finanziamento dell'Unione

1.I committenti pubblici, le autorità nazionali competenti, comprese le autorità di sanità digitale e gli organismi responsabili dell'accesso ai dati sanitari, e la Commissione fanno riferimento, a seconda dei casi, alle specifiche tecniche, alle norme e ai profili applicabili di cui agli articoli 6, 23, 50 e 56 quali punti di riferimento per gli appalti pubblici e all'atto di formulare i documenti di gara o gli inviti a presentare proposte, nonché di definire le condizioni per il finanziamento dell'Unione in relazione al presente regolamento, comprese le condizioni abilitanti per i fondi strutturali e di coesione.

2.La condizionalità ex ante per il finanziamento dell'Unione tiene conto delle prescrizioni elaborate nel quadro dei capi II, III e IV.

Articolo 61

Trasferimento di dati elettronici non personali verso paesi terzi

1.I dati elettronici non personali messi a disposizione da organismi responsabili dell'accesso ai dati sanitari e basati sui dati elettronici di una persona fisica che rientrano in una delle categorie di cui all'articolo 33 [lettere a), e), f), i), j), k), m)] sono considerati altamente sensibili ai sensi dell'articolo 5, paragrafo 13, del regolamento [...] [Atto sulla governance dei dati (COM(2020) 767 final)], a condizione che il loro trasferimento verso paesi terzi presenti un rischio di reidentificazione attraverso mezzi che vanno oltre quelli di cui ci si può ragionevolmente avvalere, alla luce del numero limitato di persone fisiche interessate da tali dati, della loro dispersione a livello geografico o degli sviluppi tecnologici previsti nel prossimo futuro.

2.Le misure di tutela nei confronti delle categorie di dati di cui al paragrafo 1 dipendono dalla natura dei dati e dalle tecniche di anonimizzazione e sono specificate nell'atto delegato in virtù del conferimento di potere di cui all'articolo 5, paragrafo 13, del regolamento [...] [Atto sulla governance dei dati (COM(2020) 767 final)].

Articolo 62

Accesso ai dati sanitari elettronici non personali e trasferimento degli stessi a livello internazionale

1.Fatto salvo il paragrafo 2 o 3 del presente articolo, le autorità di sanità digitale, gli organismi responsabili dell'accesso ai dati sanitari, i partecipanti autorizzati alle infrastrutture transfrontaliere di cui agli articoli 12 e 52 e gli utenti dei dati adottano tutte le ragionevoli misure tecniche, giuridiche e organizzative, ivi compresi accordi contrattuali, al fine di impedire il trasferimento internazionale dei dati sanitari elettronici non personali detenuti nell'Unione o l'accesso governativo agli stessi nei casi in cui tale trasferimento o accesso creerebbe un conflitto con il diritto dell'Unione o con il diritto nazionale dello Stato membro interessato.

2.Le sentenze di un'autorità giurisdizionale di un paese terzo e le decisioni di un'autorità amministrativa di un paese terzo che obblighino un'autorità di sanità digitale, un organismo responsabile dell'accesso ai dati sanitari o gli utenti dei dati a trasferire dati sanitari elettronici non personali detenuti nell'Unione che rientrano nell'ambito di applicazione del presente regolamento o a concedervi l'accesso sono riconosciute o assumono qualsivoglia carattere esecutivo soltanto se basate su un accordo internazionale in vigore tra il paese terzo richiedente e l'Unione, ad esempio un trattato di mutua assistenza giudiziaria, o su qualsiasi accordo analogo tra il paese terzo richiedente e uno Stato membro.

3.In assenza di un accordo internazionale di cui al paragrafo 2 del presente articolo, se un'autorità di sanità digitale, un organismo responsabile dell'accesso ai dati sanitari o un utente dei dati è destinatario della decisione o della sentenza di un'autorità giurisdizionale di un paese terzo o della decisione di un'autorità amministrativa di un paese terzo che prevede il trasferimento di dati non personali detenuti nell'Unione che rientrano nell'ambito di applicazione del presente regolamento o la concessione dell'accesso a tali dati, e il rispetto di tale decisione rischiasse di porre il destinatario della decisione in conflitto con il diritto dell'Unione o con il diritto nazionale dello Stato membro interessato, il trasferimento di tali dati o l'accesso agli stessi da parte di tale autorità del paese terzo ha luogo soltanto se:

a)il sistema del paese terzo richiede che siano indicati i motivi e la proporzionalità di tale decisione o sentenza e che tale decisione o sentenza abbia carattere specifico, ad esempio stabilendo un nesso sufficiente con determinate persone sospettate o determinate violazioni;

b)l'obiezione motivata del destinatario della decisione è oggetto di esame da parte di un'autorità giurisdizionale competente del paese terzo; e

c)l'autorità giurisdizionale competente del paese terzo che emette la decisione o sentenza o riesamina la decisione di un'autorità amministrativa ha il potere, in virtù del diritto di tale paese terzo, di tenere debitamente conto dei pertinenti interessi giuridici del fornitore dei dati tutelati dal diritto dell'Unione o dal diritto nazionale dello Stato membro interessato.

4.Se sono soddisfatte le condizioni di cui al paragrafo 2 o 3, un'autorità di sanità digitale, un organismo responsabile dell'accesso ai dati sanitari o un organismo per l'altruismo dei dati fornisce in risposta a una richiesta, sulla base di un'interpretazione ragionevole della stessa, la quantità minima di dati ammissibile.

5.Le autorità di sanità digitale, gli organismi responsabili dell'accesso ai dati sanitari o gli utenti dei dati informano il titolare dei dati in merito all'esistenza di una richiesta di accesso ai suoi dati da parte di un'autorità amministrativa di un paese terzo prima di darvi seguito, tranne nei casi in cui la richiesta abbia fini di contrasto e per il tempo necessario a preservare l'efficacia dell'attività di contrasto.

Articolo 63

Accesso ai dati sanitari elettronici personali e trasferimento degli stessi a livello internazionale

Nel contesto dell'accesso ai dati sanitari elettronici personali e del trasferimento degli stessi a livello internazionale, gli Stati membri possono mantenere o introdurre ulteriori condizioni, comprese limitazioni, conformemente e alle condizioni di cui all'articolo 9, paragrafo 4, del regolamento (UE) 2016/679.

Capo VI

Governance e coordinamento europei

Articolo 64

Comitato dello spazio europeo dei dati sanitari (comitato EHDS)

1.È istituito un comitato dello spazio europeo dei dati sanitari (comitato EHDS) per agevolare la cooperazione e lo scambio di informazioni tra gli Stati membri. Il comitato EHDS è composto da rappresentanti di alto livello delle autorità di sanità digitale e degli organismi responsabili dell'accesso ai dati sanitari di tutti gli Stati membri. Alle riunioni possono essere invitate altre autorità nazionali, comprese le autorità di vigilanza del mercato di cui all'articolo 28, il comitato europeo per la protezione dei dati e il Garante europeo della protezione dei dati, qualora le questioni discusse siano di loro pertinenza. Il comitato può inoltre invitare esperti e osservatori a presenziare alle sue riunioni e, se del caso, può cooperare con altri esperti esterni. Le altre istituzioni e gli altri organi e organismi dell'Unione, le infrastrutture di ricerca e altre strutture analoghe svolgono un ruolo di osservatore.

2.A seconda delle funzioni rispetto all'uso dei dati sanitari elettronici, il comitato EHDS può lavorare in sottogruppi in cui siano rappresentate le autorità di sanità digitale o gli organismi responsabili dell'accesso ai dati sanitari per un determinato settore. Se necessario, i sottogruppi possono tenere riunioni congiunte.

3.La composizione, l'organizzazione, il funzionamento e la cooperazione dei sottogruppi sono stabiliti nel regolamento interno presentato dalla Commissione.

4.I portatori di interessi e i terzi interessati, compresi i rappresentanti dei pazienti, sono invitati a presenziare alle riunioni del comitato EHDS e a partecipare ai suoi lavori, in funzione degli argomenti discussi e del relativo grado di sensibilità.

5.Il comitato EHDS coopera con altri organismi, soggetti ed esperti pertinenti, quali il comitato europeo per l'innovazione in materia di dati di cui all'articolo 26 del regolamento [...] [Atto sulla governance dei dati (COM(2020) 767 final)], gli organismi competenti istituiti a norma dell'articolo 7 del regolamento [...] [normativa sui dati (COM(2022) 68 final)], gli organismi di vigilanza istituiti a norma dell'articolo 17 del regolamento [...] [regolamento eID], il comitato europeo per la protezione dei dati di cui all'articolo 68 del regolamento (UE) 2016/679 e gli organismi responsabili della cibersicurezza.

6.La Commissione presiede le riunioni del comitato EHDS.

7.Il comitato EHDS è assistito da un segretariato fornito dalla Commissione.

8.La Commissione adotta, mediante atti di esecuzione, le misure necessarie per l'istituzione, la gestione e il funzionamento del comitato EHDS. Tali atti di esecuzione sono adottati secondo la procedura consultiva di cui all'articolo 68, paragrafo 2.

Articolo 65

Compiti del comitato EHDS

1.In relazione all'uso primario dei dati sanitari elettronici il comitato EHDS svolge i compiti seguenti conformemente ai capi II e III:

a)assiste gli Stati membri nel coordinamento delle pratiche delle autorità di sanità digitale;

b)redige contributi scritti e provvede allo scambio delle migliori pratiche su questioni relative al coordinamento dell'attuazione, a livello degli Stati membri, del presente regolamento e degli atti delegati e di esecuzione adottati a norma dello stesso, in particolare per quanto riguarda:

i)le disposizioni di cui ai capi II e III;

ii)lo sviluppo di servizi online che agevolino l'accesso sicuro, compresa l'identificazione elettronica sicura, ai dati sanitari elettronici per i professionisti sanitari e le persone fisiche;

iii)altri aspetti dell'uso primario dei dati sanitari elettronici;

c)agevola la cooperazione tra le autorità di sanità digitale attraverso lo sviluppo di capacità, la definizione di una struttura per la relazione annuale di attività, la valutazione inter pares delle relazioni annuali di attività e lo scambio di informazioni;

d)condivide le informazioni relative ai rischi posti dai sistemi di cartelle cliniche elettroniche e agli incidenti gravi, nonché informazioni sulla relativa gestione;

e)agevola lo scambio di opinioni sull'uso primario dei dati sanitari elettronici con i portatori di interessi pertinenti, compresi i rappresentanti dei pazienti, dei professionisti sanitari, dei ricercatori, dei regolatori e dei responsabili delle politiche del settore sanitario.

2.In relazione all'uso secondario dei dati sanitari elettronici il comitato EHDS svolge i compiti seguenti conformemente al capo IV:

a)assiste gli Stati membri nel coordinamento delle pratiche degli organismi responsabili dell'accesso ai dati sanitari per quanto riguarda l'attuazione delle disposizioni di cui al capo IV, al fine di garantire un'applicazione coerente del presente regolamento;

xi)l'attuazione delle norme in materia di accesso ai dati sanitari elettronici;

xii)le specifiche tecniche o le norme esistenti relative alle prescrizioni di cui al capo IV;

xiii)la politica di incentivi volta a promuovere la qualità dei dati e il miglioramento dell'interoperabilità;

xiv)le politiche relative alle tariffe imposte dagli organismi responsabili dell'accesso ai dati sanitari e dai titolari dei dati;

xv)la definizione e l'applicazione di sanzioni;

xvi)altri aspetti dell'uso secondario dei dati sanitari elettronici;

c)agevola la cooperazione tra gli organismi responsabili dell'accesso ai dati sanitari attraverso lo sviluppo di capacità, la definizione di una struttura per la relazione annuale di attività, la valutazione inter pares delle relazioni annuali di attività e lo scambio di informazioni;

d)condivide informazioni sui rischi e sugli incidenti in materia di protezione dei dati relativi all'uso secondario dei dati sanitari elettronici, nonché sulla gestione di tali rischi e incidenti;

e)contribuisce ai lavori del comitato europeo per l'innovazione in materia di dati da istituire a norma dell'articolo 29 del regolamento [...] [Atto sulla governance dei dati (COM(2020) 767 final)];

f)agevola lo scambio di opinioni sull'uso secondario dei dati sanitari elettronici con i portatori di interessi pertinenti, compresi i rappresentanti dei pazienti, dei professionisti sanitari, dei ricercatori, dei regolatori e dei responsabili delle politiche del settore sanitario.

Articolo 66

Gruppi di controllo congiunto delle infrastrutture dell'Unione

1.La Commissione istituisce due gruppi incaricati di provvedere al controllo congiunto delle infrastrutture transfrontaliere di cui agli articoli 12 e 52. I gruppi sono composti dai rappresentanti dei punti di contatto nazionali e da altri partecipanti autorizzati a tali infrastrutture.

2.La composizione, l'organizzazione, il funzionamento e la cooperazione dei sottogruppi sono stabiliti nel regolamento interno adottato dai gruppi stessi.

3.I portatori di interessi e i terzi interessati, compresi i rappresentanti dei pazienti, possono essere invitati a presenziare alle riunioni dei gruppi e a partecipare ai loro lavori.

4.I gruppi eleggono i presidenti delle loro riunioni.

5.I gruppi sono assistiti da un segretariato fornito dalla Commissione.

6.I gruppi adottano decisioni riguardanti lo sviluppo e il funzionamento delle infrastrutture transfrontaliere a norma dei capi II e IV, la modifica delle infrastrutture, l'aggiunta di infrastrutture o servizi supplementari o la garanzia dell'interoperabilità con altre infrastrutture o altri sistemi digitali o spazi di dati. Il gruppo decide inoltre in merito all'adesione alle infrastrutture di singoli partecipanti autorizzati o alla disconnessione degli stessi.

CAPO VII

Delega e comitato

Articolo 67

Esercizio della delega

1.Il potere di adottare atti delegati è conferito alla Commissione alle condizioni stabilite nel presente articolo.

2.Il potere di adottare atti delegati di cui all'articolo 5, paragrafo 2, all'articolo 10, paragrafo 3, all'articolo 25, paragrafo 3, all'articolo 32, paragrafo 4, all'articolo 33, paragrafo 7, all'articolo 37, paragrafo 4, all'articolo 39, paragrafo 3, all'articolo 41, paragrafo 7, all'articolo 45, paragrafo 7, all'articolo 46, paragrafo 8, all'articolo 52, paragrafo 7, e all'articolo 56, paragrafo 4, è conferito alla Commissione per un periodo indeterminato a decorrere dalla data di entrata in vigore del presente regolamento.

3.Il potere di adottare atti delegati di cui all'articolo 5, paragrafo 2, all'articolo 10, paragrafo 3, all'articolo 25, paragrafo 3, all'articolo 32, paragrafo 4, all'articolo 33, paragrafo 7, all'articolo 37, paragrafo 4, all'articolo 39, paragrafo 3, all'articolo 41, paragrafo 7, all'articolo 45, paragrafo 7, all'articolo 46, paragrafo 8, all'articolo 52, paragrafo 7, e all'articolo 56, paragrafo 4, può essere revocato in qualsiasi momento dal Parlamento europeo o dal Consiglio. La decisione di revoca pone fine alla delega di potere ivi specificata. Gli effetti della decisione decorrono dal giorno successivo alla pubblicazione della decisione nella Gazzetta ufficiale dell'Unione europea o da una data successiva ivi specificata. Essa non pregiudica la validità degli atti delegati già in vigore.

4.Prima dell'adozione dell'atto delegato la Commissione consulta gli esperti designati da ciascuno Stato membro nel rispetto dei principi stabiliti nell'accordo interistituzionale "Legiferare meglio" del 13 aprile 2016.

5.Non appena adotta un atto delegato, la Commissione ne dà contestualmente notifica al Parlamento europeo e al Consiglio.

6.L'atto delegato adottato ai sensi dell'articolo 5, paragrafo 2, dell'articolo 10, paragrafo 3, dell'articolo 25, paragrafo 3, dell'articolo 32, paragrafo 4, dell'articolo 33, paragrafo 7, dell'articolo 37, paragrafo 4, dell'articolo 39, paragrafo 3, dell'articolo 41, paragrafo 7, dell'articolo 45, paragrafo 7, dell'articolo 46, paragrafo 8, dell'articolo 52, paragrafo 7, o dell'articolo 56, paragrafo 4, entra in vigore solo se né il Parlamento europeo né il Consiglio hanno sollevato obiezioni entro il termine di tre mesi dalla data in cui esso è stato loro notificato o se, prima della scadenza di tale termine, sia il Parlamento europeo che il Consiglio hanno informato la Commissione che non intendono sollevare obiezioni. Tale termine è prorogato di tre mesi su iniziativa del Parlamento europeo o del Consiglio.

Articolo 68

Procedura di comitato

1.La Commissione è assistita da un comitato. Esso è un comitato ai sensi del regolamento (UE) n. 182/2011.

2.Nei casi in cui è fatto riferimento al presente paragrafo, si applica l'articolo 4 del regolamento (UE) n. 182/2011.

Capo VIII

Varie

Articolo 69

Sanzioni

Gli Stati membri stabiliscono le norme relative alle sanzioni da applicare in caso di violazione del presente regolamento e adottano tutte le misure necessarie per assicurarne l'applicazione. Le sanzioni sono effettive, proporzionate e dissuasive. Gli Stati membri notificano tali norme e misure alla Commissione entro la data di applicazione del presente regolamento e le comunicano tempestivamente le successive modifiche ad esse pertinenti.

Articolo 70

Valutazione e riesame

1.Dopo cinque anni dall'entrata in vigore del presente regolamento la Commissione effettua una valutazione mirata dello stesso, in particolare per quanto riguarda il capo III, e presenta al Parlamento europeo, al Consiglio, al Comitato economico e sociale europeo e al Comitato delle regioni una relazione sulle principali conclusioni tratte corredata, se del caso, di una proposta di modifica. La valutazione comprende la verifica dell'autocertificazione dei sistemi di cartelle cliniche elettroniche e considera la necessità di introdurre una procedura di valutazione della conformità condotta dagli organismi notificati.

2.Dopo sette anni dall'entrata in vigore del presente regolamento la Commissione effettua una valutazione globale dello stesso e presenta al Parlamento europeo, al Consiglio, al Comitato economico e sociale europeo e al Comitato delle regioni una relazione sulle principali conclusioni tratte corredata, se del caso, di una proposta di modifica.

3.Gli Stati membri forniscono alla Commissione le informazioni necessarie per redigere tale relazione.

Articolo 71

Modifica della direttiva 2011/24/UE

L'articolo 14 della direttiva 2011/24/UE è soppresso.

Capo IX

Applicazione differita e disposizioni finali

Articolo 72

Entrata in vigore e applicazione

Il presente regolamento entra in vigore il ventesimo giorno successivo alla pubblicazione nella Gazzetta ufficiale dell'Unione europea.

Esso si applica a decorrere da 12 mesi dopo l'entrata in vigore.

Tuttavia gli articoli 3, 4, 5, 6, 7, 12, 14, 23 e 31 si applicano secondo quanto indicato di seguito:

a)a decorrere da un anno dalla data di entrata in applicazione per le categorie di dati sanitari elettronici personali di cui all'articolo 5, paragrafo 1, lettere a), b) e c), e i sistemi di cartelle cliniche elettroniche destinati dal fabbricante al trattamento di tali categorie di dati;

b)a decorrere da tre anni dalla data di entrata in applicazione per le categorie di dati sanitari elettronici personali di cui all'articolo 5, paragrafo 1, lettere d), e) e f), e i sistemi di cartelle cliniche elettroniche destinati dal fabbricante al trattamento di tali categorie di dati;

c)a decorrere dalla data stabilita negli atti delegati adottati a norma dell'articolo 5, paragrafo 2, per altre categorie di dati sanitari elettronici personali.

Il capo III si applica ai sistemi di cartelle cliniche elettroniche messi in servizio nell'Unione a norma dell'articolo 15, paragrafo 2, a decorrere da tre anni dalla data di entrata in applicazione.

Il presente regolamento è obbligatorio in tutti i suoi elementi e direttamente applicabile in ciascuno degli Stati membri.

Fatto a Strasburgo, il

Per il Parlamento europeo Per il Consiglio

La presidente Il presidente

SCHEDA FINANZIARIA LEGISLATIVA

1.CONTESTO DELLA PROPOSTA/INIZIATIVA

1.1.Titolo della proposta/iniziativa

1.2.Settore/settori interessati

1.3.La proposta/iniziativa riguarda:

1.4.Obiettivi

1.4.1.Obiettivi generali

1.4.2.Obiettivi specifici

1.4.3.Risultati e incidenza previsti

1.4.4.Indicatori di prestazione

1.5.Motivazione della proposta/iniziativa

1.5.1.Necessità nel breve e lungo termine, compreso un calendario dettagliato per fasi di attuazione dell'iniziativa

1.5.2.Valore aggiunto dell'intervento dell'Unione (che può derivare da diversi fattori, ad es. un miglior coordinamento, la certezza del diritto o un'efficacia e una complementarità maggiori). Ai fini del presente punto, per "valore aggiunto dell'intervento dell'Unione" si intende il valore derivante dall'intervento dell'Unione che va ad aggiungersi al valore che avrebbero altrimenti generato gli Stati membri se avessero agito da soli.

1.5.3.Insegnamenti tratti da esperienze analoghe

1.5.4.Compatibilità con il quadro finanziario pluriennale ed eventuali sinergie con altri strumenti pertinenti

1.5.5.Valutazione delle varie opzioni di finanziamento disponibili, comprese le possibilità di riassegnazione

1.6.Durata e incidenza finanziaria della proposta/iniziativa

1.7.Modalità di gestione previste

2.MISURE DI GESTIONE

2.1.Disposizioni in materia di monitoraggio e di relazioni

2.2.Sistema di gestione e di controllo

2.2.1.Giustificazione della o delle modalità di gestione, del meccanismo o dei meccanismi di attuazione del finanziamento, delle modalità di pagamento e della strategia di controllo proposti

2.2.2.Informazioni concernenti i rischi individuati e il sistema o i sistemi di controllo interno per ridurli

2.2.3.Stima e giustificazione del rapporto costo/efficacia dei controlli (rapporto "costi del controllo ÷ valore dei fondi gestiti") e valutazione dei livelli di rischio di errore previsti (al pagamento e alla chiusura)

2.3.Misure di prevenzione delle frodi e delle irregolarità

3.INCIDENZA FINANZIARIA PREVISTA DELLA PROPOSTA/INIZIATIVA

3.1.Rubrica/rubriche del quadro finanziario pluriennale e linea/linee di bilancio di spesa interessate

3.2.Incidenza finanziaria prevista della proposta sugli stanziamenti

3.2.1.Sintesi dell'incidenza prevista sugli stanziamenti operativi

3.2.2.Risultati previsti finanziati con gli stanziamenti operativi

3.2.3.Sintesi dell'incidenza prevista sugli stanziamenti amministrativi

3.2.4.Compatibilità con il quadro finanziario pluriennale attuale

3.2.5.Partecipazione di terzi al finanziamento

3.3.Incidenza prevista sulle entrate

SCHEDA FINANZIARIA LEGISLATIVA

1.CONTESTO DELLA PROPOSTA/INIZIATIVA

1.1.Titolo della proposta/iniziativa

Regolamento del Parlamento europeo e del Consiglio sullo spazio europeo dei dati sanitari

1.2.Settore/settori interessati

Rubrica 1: mercato unico, innovazione e agenda digitale

Rubrica 2: coesione, resilienza e valori

1.3.La proposta/iniziativa riguarda:

◻ una nuova azione

◻ una nuova azione a seguito di un progetto pilota/un'azione preparatoria 60

◻ la proroga di un'azione esistente

la fusione o il riorientamento di una o più azioni verso un'altra/una nuova azione

1.4.Obiettivi

1.4.1.Obiettivi generali

L'obiettivo generale dell'intervento è stabilire le norme che disciplinano lo spazio europeo dei dati sanitari al fine di garantire alle persone fisiche l'accesso ai loro dati sanitari e il controllo sugli stessi, migliorare il funzionamento del mercato unico per lo sviluppo e l'uso di prodotti e servizi sanitari innovativi basati sui dati sanitari e garantire che i ricercatori, gli innovatori, i responsabili delle politiche e i regolatori possano sfruttare al massimo i dati sanitari disponibili per il loro lavoro, preservando nel contempo la fiducia e la sicurezza.

1.4.2.Obiettivi specifici

Obiettivo specifico 1

Consentire alle persone fisiche un maggiore accesso digitale ai loro dati sanitari e un maggiore controllo degli stessi e sostenerne la libera circolazione.

Obiettivo specifico 2

Stabilire prescrizioni specifiche per i sistemi di cartelle cliniche elettroniche e prevedere obblighi che garantiscano che i sistemi di cartelle cliniche elettroniche immessi sul mercato e utilizzati siano interoperabili, sicuri e rispettino i diritti delle persone fisiche per quanto riguarda i loro dati sanitari.

Obiettivo specifico 3

Garantire un quadro coerente ed efficiente per l'uso secondario dei dati sanitari delle persone fisiche a fini di ricerca, innovazione, definizione delle politiche, statistiche ufficiali, sicurezza dei pazienti o attività di regolamentazione.

1.4.3.Risultati e incidenza previsti

Precisare gli effetti che la proposta/iniziativa dovrebbe avere sui beneficiari/gruppi interessati.

Obiettivo specifico 1

Le persone fisiche dovrebbero beneficiare di un accesso più agevole ai propri dati sanitari e di un controllo più semplice sugli stessi, anche a livello transfrontaliero.

Obiettivo specifico 2

I fornitori e i fabbricanti di sistemi di cartelle cliniche elettroniche dovrebbero beneficiare di una serie minima ma chiara di prescrizioni in materia di interoperabilità e sicurezza per tali sistemi, riducendone gli ostacoli alla fornitura in tutto il mercato unico.

Obiettivo specifico 3

Le persone fisiche dovrebbero beneficiare di una vasta gamma di prodotti e servizi sanitari innovativi forniti e sviluppati sulla base dell'uso primario e secondario dei dati sanitari, preservando nel contempo la fiducia e la sicurezza.

Gli utenti dei dati sanitari, vale a dire ricercatori, innovatori, responsabili delle politiche e regolatori, dovrebbero beneficiare di una maggiore efficienza dell'uso secondario dei dati sanitari.

1.4.4.Indicatori di prestazione

Precisare gli indicatori con cui monitorare progressi e risultati.

Obiettivo specifico 1

a)il numero di prestatori di assistenza sanitaria di vario tipo collegati a MyHealth@EU, calcolato a) in termini assoluti, b) in percentuale su tutti i prestatori di assistenza sanitaria e c) in percentuale di persone fisiche che possono usufruire dei servizi forniti su MyHealth@EU;

b)il volume di dati sanitari elettronici personali di diverse categorie condivisi a livello transfrontaliero tramite MyHealth@EU;

c)la percentuale delle persone fisiche che hanno accesso alle loro cartelle cliniche elettroniche;

d)il livello di soddisfazione delle persone fisiche per quanto riguarda i servizi di MyHealth@EU.

Tali dati saranno raccolti mediante relazioni annuali da parte delle autorità di sanità digitale.

Obiettivo specifico 2

e)il numero di sistemi di cartelle cliniche elettroniche muniti di certificazione e di applicazioni per il benessere corredate di etichetta presenti nella banca dati dell'UE;

f)il numero di casi di non conformità alle prescrizioni obbligatorie.

Tali dati saranno raccolti mediante relazioni annuali da parte delle autorità di sanità digitale.

Obiettivo specifico 3

g)il numero di serie di dati pubblicate nel catalogo europeo dei dati;

h)il numero di domande di accesso ai dati, suddivise in domande nazionali e multinazionali, trattate, accolte o respinte dagli organismi responsabili dell'accesso ai dati sanitari.

Tali dati saranno raccolti mediante relazioni annuali da parte degli organismi responsabili dell'accesso ai dati sanitari.

1.5.Motivazione della proposta/iniziativa

1.5.1.Necessità nel breve e lungo termine, compreso un calendario dettagliato per fasi di attuazione dell'iniziativa

Il regolamento sarà pienamente applicabile quattro anni dopo la sua entrata in vigore, una volta decorso il termine per l'applicazione differita. Prima di tale data dovrebbero entrare in vigore le disposizioni relative ai diritti delle persone fisiche (capo II), alla certificazione dei sistemi di cartelle cliniche elettroniche (capo III), all'uso secondario dei dati sanitari (capo IV) e alla governance (capo V). In particolare, gli Stati membri devono aver nominato le autorità esistenti e/o istituito nuove autorità incaricate di svolgere i compiti previsti in precedenza dalla normativa, in modo che il comitato dello spazio europeo dei dati sanitari sia istituito e in grado di assisterle già prima di tale data. Anche l'infrastruttura relativa agli usi primario e secondario dei dati sanitari dovrebbe essere resa operativa prima di tale data, per consentire l'adesione di tutti gli Stati membri prima che il presente regolamento diventi pienamente applicabile.

Motivi dell'azione a livello europeo (ex ante)

Come emerge dall'esame dell'articolo 14 della direttiva 2011/24/UE sull'assistenza sanitaria transfrontaliera, gli approcci adottati finora, che consistono in strumenti a bassa intensità/non vincolanti, quali orientamenti e raccomandazioni volti a sostenere l'interoperabilità, non hanno prodotto i risultati desiderati. Gli approcci nazionali adottati per affrontare i problemi hanno solo un ambito di applicazione limitato e non affrontano appieno la questione a livello di UE: attualmente lo scambio transfrontaliero di dati sanitari è ancora molto limitato, situazione in parte spiegata dalla significativa eterogeneità delle norme applicate ai dati sanitari nei differenti Stati membri. Molti Stati Membri devono affrontare sostanziali sfide a livello nazionale, regionale e locale concernenti l'interoperabilità e la portabilità dei dati, che ostacolano la continuità dell'assistenza e la creazione di sistemi di assistenza sanitaria efficienti. Anche se sono disponibili in formato elettronico, i dati sanitari solitamente non accompagnano le persone fisiche quando queste ricorrono ai servizi di un prestatore di assistenza sanitaria differente.

Valore aggiunto dell'Unione previsto (ex post)

L'azione a livello europeo intrapresa attraverso il presente regolamento aumenterà l'efficacia delle misure adottate per affrontare tali sfide. La definizione di diritti comuni per le persone fisiche nell'accesso ai loro dati sanitari e nel controllo dell'uso degli stessi, nonché l'elaborazione di norme e obblighi comuni in materia di interoperabilità e sicurezza dei sistemi di cartelle cliniche elettroniche, ridurranno i costi del flusso di dati sanitari in tutta l'UE. Una base giuridica comune per l'uso secondario dei dati sanitari migliorerà inoltre l'efficienza per gli utenti dei dati del settore sanitario. L'istituzione di un quadro comune per la governance degli usi primario e secondario dei dati sanitari agevolerà il coordinamento.

1.5.3.Insegnamenti tratti da esperienze analoghe

La valutazione delle disposizioni della direttiva sull'assistenza sanitaria transfrontaliera in materia di sanità digitale ha concluso che, data la natura volontaria delle azioni della rete di assistenza sanitaria online, l'efficacia e l'efficienza dell'aumento degli scambi transfrontalieri dei dati sanitari sono state piuttosto limitate. L'attuazione di MyHealth@EU avanza lentamente. Sebbene la rete di assistenza sanitaria online abbia raccomandato agli Stati membri di utilizzare le norme, i profili e le specifiche del formato europeo di scambio delle cartelle cliniche elettroniche negli appalti, al fine di realizzare sistemi interoperabili, la scarsità della loro diffusione ha comportato un panorama frammentato e una mancanza di uniformità nell'accesso ai dati sanitari e nella loro portabilità. Per questo motivo è necessario stabilire norme, diritti e obblighi specifici per quanto riguarda l'accesso delle persone fisiche ai loro dati sanitari, il controllo delle stesse su di essi e lo scambio transfrontaliero di tali dati per l'uso primario e secondario, definendo una struttura di governance che garantisca il coordinamento a livello dell'Unione di organismi responsabili specifici.

1.5.4.Compatibilità con il quadro finanziario pluriennale ed eventuali sinergie con altri strumenti pertinenti

Lo spazio europeo dei dati sanitari è strettamente connesso ad altre azioni dell'Unione negli ambiti della sanità e dell'assistenza sociale, della digitalizzazione, della ricerca, dell'innovazione e dei diritti fondamentali.

Il presente regolamento definisce le norme, i diritti e gli obblighi per il funzionamento dello spazio europeo dei dati sanitari, nonché per la realizzazione delle infrastrutture necessarie, dei sistemi di certificazione/etichettatura e dei quadri di governance. Tali misure sono complementari alle disposizioni orizzontali dell'atto sulla governance dei dati, della normativa sui dati e del regolamento generale sulla protezione dei dati.

Per l'adempimento degli obblighi da parte della Commissione e la realizzazione delle relative azioni di sostegno previste dalla presente proposta legislativa saranno necessari 220 milioni di EUR tra il 2023 e il 2027. La maggior parte dei costi del presente regolamento (170 milioni di EUR) dovrebbe essere finanziata dal programma EU4Health a norma dell'articolo 4, lettera f), del regolamento che istituisce tale programma 61 . Le azioni previste contribuiscono anche al conseguimento degli obiettivi specifici di cui all'articolo 4, lettere a), b) e h). Il programma Europa digitale sosterrà l'accesso dei pazienti ai loro dati sanitari tramite MyHealth@EU con ulteriori 50 milioni di EUR. In entrambi i casi la spesa collegata alla presente proposta sarà coperta dagli importi programmati di questi programmi.

Nei suoi programmi di lavoro per il 2021 e il 2022, il programma EU4Health sostiene già lo sviluppo e l'istituzione dello spazio europeo dei dati sanitari con un contributo iniziale sostanziale di quasi 110 milioni di EUR. Ciò include il funzionamento dell'infrastruttura esistente per gli usi primari dei dati sanitari (MyHealth@EU), l'adozione di norme internazionali da parte degli Stati membri, azioni per lo sviluppo delle capacità e altre azioni preparatorie, nonché un progetto pilota di infrastruttura per l'uso secondario dei dati sanitari, un progetto pilota per l'accesso dei pazienti ai loro dati sanitari tramite MyHealth@EU e il suo ampliamento, e lo sviluppo di servizi centrali per gli usi secondari dei dati sanitari.

Oltre ai 330 milioni di EUR dei programmi EU4Health ed Europa digitale appena descritti, l'attuazione dello spazio europeo dei dati sanitari sarà integrata e agevolata da altre azioni nell'ambito del programma Europa digitale, del meccanismo per collegare l'Europa e di Orizzonte Europa. Inoltre la Commissione può coadiuvare, su richiesta, gli Stati membri nel conseguimento degli obiettivi della presente proposta fornendo assistenza tecnica diretta a titolo dello strumento di sostegno tecnico. Questi programmi, tra l'altro, mirano rispettivamente a conseguire lo sviluppo e il rafforzamento delle risorse di dati di qualità e dei corrispondenti meccanismi di scambio 62 e a sviluppare, promuovere e far progredire l'eccellenza scientifica 63 , anche nel settore della sanità. Esempi di tale complementarità includono il sostegno orizzontale per lo sviluppo e la sperimentazione su vasta scala di una piattaforma middleware intelligente per spazi comuni di dati, per la quale sono già stati stanziati 105 milioni di EUR dal programma Europa digitale nel periodo 2021-2022; investimenti specifici per dominio per agevolare l'accesso transfrontaliero in condizioni di sicurezza all'imaging dei tumori e alla genomica, sostenuti dal programma Europa digitale nel periodo 2021-2022 con 38 milioni di EUR; inoltre progetti di ricerca e innovazione e azioni di coordinamento e sostegno concernenti la qualità e l'interoperabilità dei dati sanitari ricevono già il sostegno del programma Orizzonte Europa (polo tematico 1), per un importo di 108 milioni di EUR nel 2021 e nel 2022, e del programma "Infrastrutture di ricerca", per un importo di 59 milioni di EUR. Nel 2021 e nel 2022 Orizzonte Europa ha inoltre fornito un ulteriore sostegno per l'uso secondario dei dati sanitari destinato alla COVID-19 (42 milioni di EUR) e al cancro (3 milioni di EUR).

Inoltre, in caso di mancanza di connettività fisica nel settore sanitario, il meccanismo per collegare l'Europa contribuirà alla definizione di progetti di interesse comune connessi allo sviluppo di reti sicure ad altissima capacità e all'accesso alle medesime, compresi i sistemi 5G, [nonché] all'aumento della resilienza e della capacità delle reti dorsali digitali sui territori dell'Unione 64 . Nel 2022 e 2023 sono programmati 130 milioni di EUR per l'interconnessione di infrastrutture cloud, anche nel settore della sanità.

1.5.5.Valutazione delle varie opzioni di finanziamento disponibili, comprese le possibilità di riassegnazione

L'adempimento degli obblighi da parte della Commissione e la realizzazione delle relative azioni di sostegno previste dalla presente proposta legislativa saranno finanziati direttamente dal programma EU4Health e sostenuti ulteriormente dal programma Europa digitale.

Le azioni in materia di sanità e sanità digitale riassegnate nell'ambito del programma Europa digitale e di Orizzonte Europa potranno inoltre integrare le azioni di attuazione a sostegno del presente regolamento intraprese nell'ambito del programma EU4Health.

1.6.Durata e incidenza finanziaria della proposta/iniziativa

◻ durata limitata

–◻ in vigore a decorrere dal [GG/MM]AAAA fino al [GG/MM]AAAA

–◻ incidenza finanziaria dal AAAA al AAAA per gli stanziamenti di impegno e dal AAAA al AAAA per gli stanziamenti di pagamento.

durata illimitata

–Attuazione con un periodo di avviamento dal gennaio 2023,

–e successivo funzionamento a pieno ritmo.

1.7.Modalità di gestione previste 65

Gestione diretta a opera della Commissione

–a opera dei suoi servizi, compreso il suo personale presso le delegazioni dell'Unione;

–a opera delle agenzie esecutive

◻ Gestione concorrente con gli Stati membri

◻

Gestione indiretta affidando compiti di esecuzione del bilancio:

–◻ a paesi terzi o organismi da questi designati;

–◻ a organizzazioni internazionali e loro agenzie (specificare);

–◻ alla BEI e al Fondo europeo per gli investimenti;

–◻ agli organismi di cui agli articoli 70 e 71 del regolamento finanziario;

–◻ a organismi di diritto pubblico;

–◻ a organismi di diritto privato investiti di attribuzioni di servizio pubblico nella misura in cui sono dotati di sufficienti garanzie finanziarie;

–◻ a organismi di diritto privato di uno Stato membro preposti all'attuazione di un partenariato pubblico-privato e che sono dotati di sufficienti garanzie finanziarie;

–◻ alle persone incaricate di attuare azioni specifiche della PESC a norma del titolo V del TUE e indicate nel pertinente atto di base.

–Se è indicata più di una modalità, fornire ulteriori informazioni alla voce "Osservazioni".

Osservazioni

2.MISURE DI GESTIONE

2.1.Disposizioni in materia di monitoraggio e di relazioni

Precisare frequenza e condizioni.

Il regolamento sarà riesaminato e valutato dopo sette anni dall'entrata in vigore del regolamento. Dopo cinque anni dall'entrata in vigore del regolamento sarà effettuata una valutazione mirata dell'autocertificazione dei sistemi di cartelle cliniche elettroniche e sarà considerata la necessità di introdurre una procedura di valutazione della conformità condotta dagli organismi notificati. La Commissione presenterà relazioni sui risultati della valutazione al Parlamento europeo, al Consiglio, al Comitato economico e sociale europeo e al Comitato delle regioni.

La proposta prevede l'ampliamento e la realizzazione delle infrastrutture digitali transfrontaliere per l'uso primario e secondario dei dati sanitari, il che agevolerà il monitoraggio di diversi indicatori.

2.2.Sistema di gestione e di controllo

2.2.1.Giustificazione della o delle modalità di gestione, del meccanismo o dei meccanismi di attuazione del finanziamento, delle modalità di pagamento e della strategia di controllo proposti

Il regolamento stabilisce una nuova politica in materia di protezione dei dati sanitari elettronici, norme armonizzate per i sistemi di cartelle cliniche elettroniche e un quadro di norme e di governance per il riutilizzo dei dati sanitari. Tali nuove regole richiedono un meccanismo comune di coordinamento per l'applicazione transfrontaliera degli obblighi previsti dal presente regolamento sotto forma di un nuovo gruppo consultivo che coordina le attività delle autorità nazionali.

Le azioni previste a norma del presente regolamento saranno attuate in regime di gestione diretta, facendo ricorso alle modalità di attuazione previste dal regolamento finanziario, in particolare mediante sovvenzioni e appalti. La gestione diretta consente di stabilire convenzioni di sovvenzione e contratti con i beneficiari e i contraenti direttamente impegnati in attività a servizio delle politiche dell'Unione. La Commissione garantirà il monitoraggio diretto dei risultati delle azioni finanziate. Le modalità di pagamento delle azioni finanziate saranno adattate ai rischi inerenti alle operazioni finanziarie.

Al fine di garantire l'efficacia, l'efficienza e l'economia dei controlli della Commissione, la strategia di controllo sarà orientata a un equilibrio tra i controlli ex ante ed ex post e sarà incentrata su tre fasi chiave dell'utilizzo di sovvenzioni e contratti, conformemente al regolamento finanziario:

a)la selezione di proposte/offerte adeguate agli obiettivi strategici del regolamento;

b)i controlli operativi, di monitoraggio ed ex ante riguardanti l'attuazione dei progetti, gli appalti pubblici, i prefinanziamenti, i pagamenti intermedi e a saldo e la gestione di garanzie.

I controlli ex post presso i beneficiari/contraenti saranno effettuati anche su un campione di operazioni. La selezione di tali operazioni combinerà una valutazione del rischio e una selezione casuale.

2.2.2.Informazioni concernenti i rischi individuati e il sistema o i sistemi di controllo interno per ridurli

L'attuazione del presente regolamento si concentra sull'attribuzione di appalti pubblici e sovvenzioni per attività e organizzazioni specifiche.

Gli appalti pubblici riguarderanno principalmente la fornitura di piattaforme europee per le infrastrutture digitali e i servizi associati nonché l'assistenza tecnica per il quadro di governance.

Le sovvenzioni saranno concesse principalmente per sostenere il collegamento degli Stati membri alle infrastrutture europee, per finanziare progetti di interoperabilità e per realizzare azioni congiunte. Il periodo di esecuzione dei progetti e delle attività sovvenzionati varia per lo più da uno a tre anni.

I rischi principali sono i seguenti:

a)rischio di non raggiungere pienamente gli obiettivi del regolamento a causa dell'adesione o della qualità insufficienti o di ritardi nell'attuazione dei progetti o dei contratti selezionati;

b)rischio di un utilizzo non efficiente o non economico dei fondi erogati, sia per le sovvenzioni (complessità delle regole di finanziamento) sia per gli appalti (numero limitato di fornitori dotati delle conoscenze specialistiche richieste e conseguente impossibilità di confrontare in modo sufficiente le offerte di prezzo in alcuni settori);

c)rischio di discredito della Commissione nel caso si riscontrino frodi o reati; a causa del vasto numero di contraenti e beneficiari eterogenei, ciascuno dei quali applica i propri sistemi di controllo, i sistemi di controllo interno dei terzi non sono completamente affidabili.

La Commissione si avvale di procedure interne volte a fronteggiare i rischi summenzionati. Le procedure interne sono pienamente conformi al regolamento finanziario e comprendono misure antifrode e considerazioni sul rapporto costi-benefici. In tale contesto la Commissione continua a valutare opzioni per migliorare la gestione e incrementare l'efficienza. Le caratteristiche principali del quadro di controllo sono descritte di seguito.

1)Controlli effettuati prima e durante l'attuazione dei progetti:

a)sarà posto in essere un adeguato sistema di gestione dei progetti incentrato sui contributi dei progetti e dei contratti agli obiettivi strategici, che garantisca un coinvolgimento sistematico di tutti gli attori, che stabilisca un sistema di rendicontazione regolare sulla gestione del progetto, integrato da visite sul posto da valutarsi caso per caso, che comprenda relazioni sui rischi destinate all'alta dirigenza e che mantenga un'adeguata flessibilità di bilancio;

b)i modelli di convenzione di sovvenzione o di contratti di servizio utilizzati sono elaborati dalla Commissione. Tali modelli prevedono una serie di disposizioni in materia di controlli, come certificati di audit, garanzie finanziarie, audit sul posto e verifiche dell'OLAF. Si sta procedendo alla semplificazione delle norme che disciplinano l'ammissibilità dei costi ricorrendo, ad esempio, a costi unitari, somme forfettarie, contributi non collegati ai costi e altre possibilità offerte dal regolamento finanziario. Ciò ridurrà il costo dei controlli e permetterà di concentrare maggiormente le verifiche e i controlli sui settori ad alto rischio;

c)tutti i membri del personale aderiscono al codice di buona condotta amministrativa. Il personale che si occupa della procedura di selezione o della gestione delle convenzioni di sovvenzione/dei contratti rilascia (inoltre) una dichiarazione di assenza di conflitto di interessi. Il personale riceve regolare formazione e utilizza le reti per lo scambio delle migliori pratiche;

d)l'attuazione tecnica di un progetto è verificata a intervalli regolari mediante controlli documentali, sulla base delle relazioni sui progressi tecnici trasmesse dai contraenti e dai beneficiari; si prevedono inoltre, caso per caso, riunioni con i contraenti/beneficiari e visite sul posto.

2)Controlli effettuati alla fine del progetto:

gli audit ex post sono condotti su un campione di operazioni allo scopo di verificare sul posto l'ammissibilità delle dichiarazioni di spesa. Lo scopo di tali verifiche è impedire, individuare e correggere gli errori rilevanti per quanto concerne la legalità e la regolarità delle operazioni finanziarie. Per conseguire un livello di controllo elevato, ai fini della selezione dei beneficiari da sottoporre a audit si prevede di combinare una selezione basata sui rischi con un campionamento casuale e di considerare gli aspetti operativi ogni qualvolta possibile nel corso degli audit sul posto.

I costi annuali del livello di controlli proposto nell'ambito del terzo programma in materia di salute 2014-2020 rappresentavano approssimativamente il 4-7 % del bilancio annuale delle spese operative. Ciò è giustificato dalla diversità di operazioni da controllare. Nel settore della sanità la gestione diretta implica infatti l'aggiudicazione di numerosi contratti e sovvenzioni per azioni di dimensioni da piccolissime a grandissime e l'erogazione di numerose sovvenzioni di funzionamento a organizzazioni non governative. Il rischio connesso a tali attività riguarda la capacità (in particolare) delle organizzazioni più piccole di controllare efficacemente le spese.

La Commissione ritiene probabile che i costi medi dei controlli siano gli stessi per le azioni proposte a norma del presente regolamento.

Nell'ambito del terzo programma in materia di salute 2014-2020, su una base di cinque anni il tasso di errore rilevato dagli audit sul posto in relazione alle sovvenzioni in regime di gestione diretta era dell'1,8 %, mentre per i contratti di appalto era inferiore all'1 %. Questo livello di errore è considerato accettabile, in quanto inferiore alla soglia di rilevanza del 2 %.

Le azioni proposte non incideranno sulle attuali modalità di gestione degli stanziamenti. L'attuale sistema di controllo si è dimostrato in grado di prevenire e/o individuare errori e/o irregolarità e, in caso di errori o irregolarità, di correggerli. Sarà adattato per includere le nuove azioni e garantire che i tassi di errore residuo (dopo la correzione) rimangano al di sotto della soglia del 2 %.

2.3.Misure di prevenzione delle frodi e delle irregolarità

Precisare le misure di prevenzione e tutela in vigore o previste, ad esempio strategia antifrode.

La Commissione adotta provvedimenti opportuni volti a garantire che, in relazione alle attività in regime di gestione diretta, gli interessi finanziari dell'Unione europea siano tutelati mediante l'applicazione di misure preventive contro la frode, la corruzione e ogni altra attività illecita, mediante controlli efficaci e, ove fossero rilevate irregolarità, mediante il recupero delle somme indebitamente versate e, se del caso, sanzioni effettive, proporzionate e dissuasive. A tal fine, la Commissione ha adottato una strategia antifrode, aggiornata da ultimo nell'aprile 2019 (COM(2019) 196), che riguarda in particolare le misure di prevenzione, individuazione e rettifica indicate di seguito.

La Commissione o i suoi rappresentanti e la Corte dei conti hanno la facoltà di sottoporre a audit, documentale e con verifiche sul posto, tutti i beneficiari di sovvenzioni, gli appaltatori e i subappaltatori che hanno ottenuto finanziamenti dell'Unione. L'OLAF è autorizzato a effettuare controlli e verifiche sul posto presso gli operatori economici direttamente o indirettamente interessati da tali finanziamenti.

La Commissione attua inoltre una serie di misure, quali quelle riportate di seguito:

a)le decisioni, le convenzioni e i contratti inerenti all'attuazione del regolamento autorizzeranno esplicitamente la Commissione, compreso l'OLAF, e la Corte dei conti a procedere a audit, controlli e verifiche sul posto e a recuperare le somme indebitamente versate e, se del caso, a imporre sanzioni amministrative;

b)durante la fase di valutazione di un invito a presentare proposte o di una gara d'appalto, la posizione dei richiedenti e degli offerenti sarà valutata secondo i criteri di esclusione pubblicati, sulla base di dichiarazioni e del sistema di individuazione precoce e di esclusione (EDES);

c)le norme che disciplinano l'ammissibilità dei costi saranno semplificate conformemente alle disposizioni del regolamento finanziario;

d)una formazione in materia di frodi e irregolarità sarà impartita regolarmente a tutto il personale responsabile della gestione dei contratti, nonché ai revisori e ai controllori preposti alle verifiche sul posto delle dichiarazioni dei beneficiari.

3.INCIDENZA FINANZIARIA PREVISTA DELLA PROPOSTA/INIZIATIVA

3.1.Rubrica/rubriche del quadro finanziario pluriennale e linea/linee di bilancio di spesa interessate

·Linee di bilancio esistenti

Secondo l'ordine delle rubriche del quadro finanziario pluriennale e delle linee di bilancio.

Rubrica del quadro finanziario pluriennale	Linea di bilancio	Tipo di spesa	Contributo
	Numero	Diss./Non diss. 66	di paesi EFTA 67	di paesi candidati 68	di paesi terzi	ai sensi dell'articolo 21, paragrafo 2, lettera b), del regolamento finanziario
1	02 04 03 - Programma Europa digitale - Intelligenza artificiale	Diss.	SÌ	SÌ	SÌ	NO
2b	06 06 01 - Programma EU4Health	Diss.	SÌ	SÌ	SÌ	NO
7	20 02 06 - Spese amministrative	Non diss.	NO	NO	NO	NO

3.2.Incidenza finanziaria prevista della proposta sugli stanziamenti

3.2.1.Sintesi dell'incidenza prevista sugli stanziamenti operativi

–◻ La proposta/iniziativa non comporta l'utilizzo di stanziamenti operativi.

– La proposta/iniziativa comporta l'utilizzo di stanziamenti operativi, come spiegato di seguito:

Mio EUR (al terzo decimale)

Rubrica del quadro finanziario
pluriennale

mercato unico, innovazione e agenda digitale

DG CNECT			Anno 2022 69	Anno 2023	Anno 2024	Anno 2025	Anno 2026	Anno 2027	Anni successivi (annuale)	TOTALE 2023-2027
• Stanziamenti operativi
02 04 03 - Programma Europa digitale - Intelligenza artificiale	Impegni	(1a)			10,000	20,000		20,000		50,000
	Pagamenti	(2 a)			5,000	15,000	10,000	10,000	10,000 70	50,000
Stanziamenti amministrativi finanziati dalla dotazione di programmi specifici 71
Linea di bilancio		(3)
TOTALE stanziamenti per la DG CNECT	Impegni	=1a+1b+1c +3			10,000	20,000		20,000		50,000
	Pagamenti	=2a+2b+2c +3			5,000	15,000	10,000	10,000	10,000	50,000
I contributi provenienti dal programma Europa digitale per il 2023 sono indicativi, e saranno considerati nel contesto della preparazione dei rispettivi programmi di lavoro. Le assegnazioni definitive saranno soggette alla definizione delle priorità di finanziamento nel contesto della procedura di adozione sottesa, nonché all'accordo del rispettivo comitato di programma.

• TOTALE stanziamenti operativi	Impegni	(4)	10,000	20,000		20,000		50,000
	Pagamenti	(5)	5,000	15,000	10,000	10,000	10,000	50,000
• TOTALE stanziamenti amministrativi finanziati dalla dotazione di programmi specifici		(6)
TOTALE stanziamenti per la RUBRICA 1 del quadro finanziario pluriennale	Impegni	=4+6	10,000	20,000		20,000		50,000
	Pagamenti	=5+6	5,000	15,000	10,000	10,000	10,000	50,000

Rubrica del quadro finanziario
pluriennale

Coesione, resilienza e valori

DG SANTE			Anno 2022 72	Anno 2023	Anno 2024	Anno 2025	Anno 2026	Anno 2027	Anni successivi (annuale)	TOTALE 2023-2027
• Stanziamenti operativi
06 06 01 - Programma EU4Health	Impegni	(1a)		26,000	25,000	34,000	35,000	50,000	15,000	170,000
	Pagamenti	(2 a)		13,000	25,500	29,500	34,500	67,500	15,000	170,000
Stanziamenti amministrativi finanziati dalla dotazione di programmi specifici 73
Linea di bilancio		(3)
TOTALE stanziamenti per la DG SANTE	Impegni	=1a+1b+1c +3		26,000	25,000	34,000	35,000	50,000	15,000	170,000
	Pagamenti	=2a+2b+2c +3		13,000	25,500	29,500	34,500	67,500	15,000	170,000

• TOTALE stanziamenti operativi	Impegni	(4)	26,000	25,000	34,000	35,000	50,000	15,000	170,000
	Pagamenti	(5)	13,000	25,500	29,500	34,500	67,500	15,000	170,000
• TOTALE stanziamenti amministrativi finanziati dalla dotazione di programmi specifici		(6)
TOTALE stanziamenti per la RUBRICA 2b del quadro finanziario pluriennale	Impegni	=4+6	26,000	25,000	34,000	35,000	50,000	15,000	170,000
	Pagamenti	=5+6	13,000	25,500	29,500	34,500	67,500	15,000	170,000

Rubrica del quadro finanziario
pluriennale

Spese amministrative

Sezione da compilare utilizzando i "dati di bilancio di natura amministrativa" che saranno introdotti nell' allegato della scheda finanziaria legislativa (allegato V delle norme interne), caricato su DECIDE a fini di consultazione interservizi.

Mio EUR (al terzo decimale)

		Anno 2022	Anno 2023	Anno 2024	Anno 2025	Anno 2026	Anno 2027	Anni successivi (annuale)	TOTALE 2023-2027
DG SANTE
• Risorse umane			3,289	3,289	3,289	3,289	3,289	3,289	16,445
• Altre spese amministrative			0,150	0,150	0,250	0,250	0,250	0,250	1,050
TOTALE DG SANTE	Stanziamenti		3,439	3,439	3,539	3,539	3,539	3,539	17,495

TOTALE stanziamenti
per la RUBRICA 7
del quadro finanziario pluriennale

(Totale impegni = totale pagamenti)

3,439

3,539

17,495

Mio EUR (al terzo decimale)

		Anno 2022	Anno 2023	Anno 2024	Anno 2025	Anno 2026	Anno 2027	Anni successivi (annuale)	TOTALE 2023-2027
TOTALE stanziamenti per le RUBRICHE da 1 a 7 del quadro finanziario pluriennale	Impegni		29,439	38,439	57,539	38,539	73,539	18,539	237,495
	Pagamenti		16,439	33,939	48,039	48,039	91,039	18,539	237,495

3.2.2.Risultati previsti finanziati con gli stanziamenti operativi

Stanziamenti di impegno in Mio EUR (al terzo decimale)

Specificare gli obiettivi e i risultati ⇩			Anno 2022		Anno 2023		Anno 2024		Anno 2025		Anno 2026		Anno 2027		Anni successivi (annuale)		TOTALE 2023-2027
	RISULTATI
	Tipo 74	Costo medio	N.	Costo	N.	Costo	N.	Costo	N.	Costo	N.	Costo	N.	Costo	N.	Costo	N. totale	Costo totale
OBIETTIVO SPECIFICO 1
Sviluppo e manutenzione della piattaforma europea di base per MyHealth@EU e sostegno agli Stati membri						16,400		18,000		28,000		10,000		38,000		8,000		110,400
Totale parziale obiettivo specifico 1						16,400		18,000		28,000		10,000		38,000		8,000		110,400
OBIETTIVO SPECIFICO 2
Banca dati per i sistemi di cartelle cliniche elettroniche e le applicazioni per il benessere						3,100		3,000		3,000		3,000		2,000		2,000		14,100
Totale parziale obiettivo specifico 2						3,100		3,000		3,000		3,000		2,000		2,000		14,100
OBIETTIVO SPECIFICO 3
Sviluppo e manutenzione della piattaforma europea di base per HealthData@EU e sostegno agli Stati membri						6,500		14,000		23,000		22,000		30,000		5,000		95,500
Totale parziale obiettivo specifico 3						6,500		14,000		23,000		22,000		30,000		5,000		95,500
TOTALI						26,000		35,000		54,000		35,000		70,000		15,000		220,000

3.2.3.Sintesi dell'incidenza prevista sugli stanziamenti amministrativi

–◻ La proposta/iniziativa non comporta l'utilizzo di stanziamenti amministrativi.

– La proposta/iniziativa comporta l'utilizzo di stanziamenti amministrativi, come spiegato di seguito:

Mio EUR (al terzo decimale)

	Anno 2022	Anno 2023	Anno 2024	Anno 2025	Anno 2026	Anno 2027 e successivi	TOTALE
RUBRICA 7 del quadro finanziario pluriennale
Risorse umane		3,289	3,289	3,289	3,289	3,289	16,445
Altre spese amministrative		0,150	0,150	0,250	0,250	0,250	1,050
Totale parziale RUBRICA 7 del quadro finanziario pluriennale		3,439	3,439	3,539	3,539	3,539	17,495

	Anno 2022	Anno 2023	Anno 2024	Anno 2025	Anno 2026	Anno 2027 e successivi	TOTALE
Esclusa la RUBRICA 7 75 del quadro finanziario pluriennale
Risorse umane
Altre spese di natura amministrativa
Totale parziale esclusa la RUBRICA 7 del quadro finanziario pluriennale

	Anno 2022	Anno 2023	Anno 2024	Anno 2025	Anno 2026	Anno 2027 e successivi	TOTALE
TOTALE		3,439	3,439	3,539	3,539	3,539	17,495

Il fabbisogno di stanziamenti relativi alle risorse umane e alle altre spese di natura amministrativa è coperto dagli stanziamenti della DG già assegnati alla gestione dell'azione e/o riassegnati all'interno della stessa DG, integrati dall'eventuale dotazione supplementare concessa alla DG responsabile nell'ambito della procedura annuale di assegnazione, tenendo conto dei vincoli di bilancio.

3.2.3.1.Fabbisogno previsto di risorse umane

–◻ La proposta/iniziativa non comporta l'utilizzo di risorse umane.

– La proposta/iniziativa comporta l'utilizzo di risorse umane, come spiegato di seguito:

Stima da esprimere in equivalenti a tempo pieno

		Anno 2022	Anno 2023	Anno 2024	Anno 2025	Anno 2026	Anno 2027 e successivi
• Posti della tabella dell'organico (funzionari e agenti temporanei)
20 01 02 01 (sede e uffici di rappresentanza della Commissione)			16	16	16	16	16
20 01 02 03 (delegazioni)
01 01 01 01 (ricerca indiretta)
01 01 01 11 (ricerca diretta)
Altre linee di bilancio (specificare)
20 02 01 (AC, END e INT della dotazione globale)			9	9	9	9	9
20 02 03 (AC, AL, END, INT e JPD nelle delegazioni)
XX 01 xx yy zz 76	- in sede
	- nelle delegazioni
01 01 01 02 (AC, END, INT - ricerca indiretta)
01 01 01 12 (AC, END, INT - ricerca diretta)
Altre linee di bilancio (specificare)
TOTALE			25	25	25	25	25

06 è il settore o il titolo di bilancio interessato.

Il fabbisogno di risorse umane è coperto dal personale della DG già assegnato alla gestione dell'azione e/o riassegnato all'interno della stessa DG, integrato dall'eventuale dotazione supplementare concessa alla DG responsabile nell'ambito della procedura annuale di assegnazione, tenendo conto dei vincoli di bilancio.

Descrizione dei compiti da svolgere:

Funzionari e agenti temporanei

Saranno necessari 12 AD ETP (10 nell'unità politica e 2 nell'unità informatica della DG SANTE) e 4 AST ETP (3 nell'unità politica e 1 nell'unità informatica della DG SANTE) per svolgere i compiti connessi allo sviluppo e al funzionamento dello spazio europeo dei dati sanitari, in particolare per quanto riguarda:

a)la gestione dell'infrastruttura digitale transfrontaliera MyHealth@EU;

b)la gestione dell'infrastruttura digitale transfrontaliera per gli usi secondari;

c)la standardizzazione delle cartelle cliniche elettroniche e degli scambi di dati sanitari;

d)la qualità dei dati delle cartelle cliniche elettroniche e degli scambi di dati sanitari;

e)l'accesso ai dati sanitari per gli usi secondari;

f)reclami, infrazioni e controlli di conformità;

g)il sostegno logistico al quadro di governance (riunioni in presenza e online);

h)compiti orizzontali in materia di comunicazione, gestione dei portatori di interessi e relazioni interistituzionali;

i)coordinamento interno;

j)gestione delle attività.

6,5 AD ETP e 4 AST ETP saranno coperti con il personale attualmente impegnato nella sanità digitale e nello scambio di dati sanitari, a norma dell'articolo 14 della direttiva 2011/24/UE, e nei preparativi per il regolamento sullo spazio europeo dei dati sanitari. I restanti 5,5 AD ETP saranno coperti mediante riassegnazione interna dalla DG SANTE.

Personale esterno

Per lo svolgimento dei compiti sopra elencati il personale AD e AST sarà coadiuvato da 5 AC e 4 END presso la DG SANTE.

4 AC ETP e 3 END ETP saranno coperti con il personale attualmente impegnato nella sanità digitale e nello scambio di dati sanitari, a norma dell'articolo 14 della direttiva 2011/24/UE, e nei preparativi per il regolamento sullo spazio europeo dei dati sanitari. Il restante AC ETP e il restante END ETP saranno coperti mediante riassegnazione interna dalla DG SANTE.

3.2.4.Compatibilità con il quadro finanziario pluriennale attuale

La proposta/iniziativa:

– può essere interamente finanziata mediante riassegnazione all'interno della pertinente rubrica del quadro finanziario pluriennale (QFP);

Gli stanziamenti saranno riassegnati nell'ambito della dotazione finanziaria assegnata al programma EU4Health e al programma Europa digitale nel QFP 2021-2027.

–◻ comporta l'uso del margine non assegnato della pertinente rubrica del QFP e/o l'uso degli strumenti speciali definiti nel regolamento QFP;

–◻ comporta una revisione del QFP.

3.2.5.Partecipazione di terzi al finanziamento

La proposta/iniziativa:

– non prevede cofinanziamenti da terzi

–◻ prevede il cofinanziamento da terzi indicato di seguito:

Stanziamenti in Mio EUR (al terzo decimale)

	Anno N 77	Anno N+1	Anno N+2	Anno N+3	Inserire gli anni necessari per evidenziare la durata dell'incidenza (cfr. punto 1.6)	Totale
Specificare l'organismo di cofinanziamento
TOTALE stanziamenti cofinanziati

3.3.Incidenza prevista sulle entrate

– La proposta/iniziativa non ha incidenza finanziaria sulle entrate.

–◻ La proposta/iniziativa ha la seguente incidenza finanziaria:

–◻ sulle risorse proprie

–◻ su altre entrate

–◻ indicare se le entrate sono destinate a linee di spesa specifiche

Mio EUR (al terzo decimale)

Linea di bilancio delle entrate:	Stanziamenti disponibili per l'esercizio in corso	Incidenza della proposta/iniziativa 78
		Anno N	Anno N+1	Anno N+2	Anno N+3	Inserire gli anni necessari per evidenziare la durata dell'incidenza (cfr. punto 1.6)
Articolo ……

Per quanto riguarda le entrate con destinazione specifica, precisare la o le linee di spesa interessate.

Altre osservazioni (ad es. formula/metodo per calcolare l'incidenza sulle entrate o altre informazioni).

(1) Commissione europea. Strategia europea per i dati (2020). https://ec.europa.eu/info/strategy/priorities-2019-2024/europe-fit-digital-age/european-data-strategy_it .

(2) Come menzionato nella lettera di incarico di Stella Kyriakides (europa.eu) .

(3) Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (GU L 119 del 4.5.2016, pag. 1).

(4) Commissione europea, Valutazione delle norme degli Stati membri dell'UE sui dati sanitari alla luce dell'RGPD , 2021.

(5) Direttiva 2011/24/UE del Parlamento europeo e del Consiglio, del 9 marzo 2011, concernente l'applicazione dei diritti dei pazienti relativi all'assistenza sanitaria transfrontaliera (GU L 88 del 4.4.2011, pag. 45).

(6) Regolamento (UE) 2021/953 del Parlamento europeo e del Consiglio, del 14 giugno 2021, su un quadro per il rilascio, la verifica e l'accettazione di certificati interoperabili di vaccinazione, di test e di guarigione in relazione alla COVID-19 (certificato COVID digitale dell'UE) per agevolare la libera circolazione delle persone durante la pandemia di COVID-19 (GU L 211 del 15.6.2021, pag. 1).

(7) Commissione europea, Quadro europeo di interoperabilità .

(8) Commissione europea, Decennio digitale europeo: obiettivi digitali per il 2030 .

(9) Commissione europea, iniziativa riguardante la dichiarazione di principi digitali – la "via europea" per la società digitale .

(10) Regolamento (UE) 2017/745 del Parlamento europeo e del Consiglio, del 5 aprile 2017, relativo ai dispositivi medici, che modifica la direttiva 2001/83/CE, il regolamento (CE) n. 178/2002 e il regolamento (CE) n. 1223/2009 e che abroga le direttive 90/385/CEE e 93/42/CEE del Consiglio (GU L 117 del 5.5.2017, pag. 1).

(11) Regolamento (UE) 2017/746 del Parlamento europeo e del Consiglio, del 5 aprile 2017, relativo ai dispositivi medico-diagnostici in vitro e che abroga la direttiva 98/79/CE e la decisione 2010/227/UE della Commissione (GU L 117 del 5.5.2017, pag. 176).

(12) Proposta di regolamento del Parlamento europeo e del Consiglio che stabilisce regole armonizzate sull'intelligenza artificiale (legge sull'intelligenza artificiale) COM(2021) 206 final .

(13) Proposta di regolamento del Parlamento europeo e del Consiglio relativo alla governance europea dei dati (Atto sulla governance dei dati) COM(2020) 767 final .

(14) Proposta di regolamento del Parlamento europeo e del Consiglio riguardante norme armonizzate sull'accesso equo ai dati e sul loro utilizzo (normativa sui dati) COM(2022) 68 final .

(15) Direttiva (UE) 2016/1148 del Parlamento europeo e del Consiglio, del 6 luglio 2016, recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell'Unione (GU L 194 del 19.7.2016, pag. 1).

(16) Regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio, del 23 ottobre 2018, sulla tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni, degli organi e degli organismi dell'Unione e sulla libera circolazione di tali dati, e che abroga il regolamento (CE) n. 45/2001 e la decisione n. 1247/2002/CE (GU L 295 del 21.11.2018, pag. 39).

(17) Autorità per la preparazione e la risposta alle emergenze sanitarie | Commissione europea (europa.eu) .

(18) Missione dell'UE dedicata al cancro | Commissione europea (europa.eu) .

(19) Un piano di lotta contro il cancro per l'Europa | Commissione europea (europa.eu) .

(20) Strategia farmaceutica per l'Europa (europa.eu) .

(21) Proposta di direttiva del Parlamento europeo e del Consiglio relativa a misure per un elevato livello comune di cibersicurezza nell'Unione, che abroga la direttiva (UE) 2016/1148 (COM(2020) 823 final).

(22) Proposta di regolamento del Parlamento europeo e del Consiglio che modifica il regolamento (UE) n. 910/2014 per quanto riguarda l'istituzione di un quadro per un'identità digitale europea (COM(2021) 281 final) .

(23) Commissione europea, Relazione sulle regioni frontaliere dell'UE: laboratori viventi dell'integrazione europea , 2021.

(24) L'esclusione di dati "desunti" e la limitazione a dati trattati sulla base del consenso o di un contratto implicano che ingenti volumi di dati relativi alla salute non rientrano nell'ambito di applicazione del diritto alla portabilità sancito dall'RGPD.

(25) L'angolo della stampa | Commissione europea (europa.eu) .

(26) Ulteriori dettagli in Nivel per la Commissione europea, pag. 20.

(27) Commissione europea (studio di prossima pubblicazione). Studio su un'infrastruttura e un ecosistema di dati a sostegno della valutazione d'impatto riguardante lo spazio europeo dei dati sanitari, Trasys.

(28) Commissione europea, Consultazione pubblica sul superamento degli ostacoli transfrontalieri, 2020.

(29) Commissione europea (2020). Valutazione delle norme degli Stati membri dell'UE sui dati sanitari alla luce dell'RGPD . (Allegati disponibili qui : https://ec.europa.eu/health/system/files/2021-02/ms_rules_health-data_annex_en_0.pdf ).

(30) Assistenza sanitaria online, interoperabilità dei dati sanitari e intelligenza artificiale per la salute e la cura nell'UE, Lotto 1 - Interoperabilità delle cartelle cliniche elettroniche nell'UE (2020) .

(31) Studio sull'uso di dati reali per la ricerca, le cure cliniche, il processo decisionale normativo, la valutazione delle tecnologie sanitarie e la definizione delle politiche .

(32) Studio di mercato sulla telemedicina .

(33) Parere preliminare 8/2020 sullo spazio europeo dei dati sanitari .

(34) Articolo 6, paragrafo 4, del regolamento (UE) 2021/1119 del Parlamento europeo e del Consiglio, del 30 giugno 2021, che istituisce il quadro per il conseguimento della neutralità climatica e che modifica il regolamento (CE) n. 401/2009 e il regolamento (UE) 2018/1999 ("Normativa europea sul clima").

(35) I contributi provenienti dal programma Europa digitale per il 2023 sono indicativi, e saranno considerati nel contesto della preparazione dei rispettivi programmi di lavoro. Le assegnazioni definitive saranno soggette alla definizione delle priorità di finanziamento nel contesto della procedura di adozione sottesa, nonché all'accordo del rispettivo comitato di programma.

(36) Articolo 5 del regolamento (UE) 2021/694 del Parlamento europeo e del Consiglio, del 29 aprile 2021, che istituisce il programma Europa digitale e abroga la decisione (UE) 2015/2240.

(37) Articolo 3, paragrafo 2, lettera a), del regolamento (UE) 2021/695 del Parlamento europeo e del Consiglio, del 28 aprile 2021, che istituisce il programma quadro di ricerca e innovazione Orizzonte Europa e ne stabilisce le norme di partecipazione e diffusione, e che abroga i regolamenti (UE) n. 1290/2013 e (UE) n. 1291/2013.

(38) Articolo 3, paragrafo 2, lettera c), del regolamento (UE) 2021/1153 del Parlamento europeo e del Consiglio, del 7 luglio 2021, che istituisce il meccanismo per collegare l'Europa e abroga i regolamenti (UE) n. 1316/2013 e (UE) n. 283/2014.

(39) GU C […] del […], pag. […].

(40) GU C […] del […], pag. […].

(41) Decisione di esecuzione (UE) 2019/1269 della Commissione, del 26 luglio 2019, che modifica la decisione di esecuzione 2014/287/UE della Commissione che stabilisce criteri per l'istituzione e la valutazione delle reti di riferimento europee e dei loro membri e per agevolare lo scambio di informazioni e competenze in relazione all'istituzione e alla valutazione di tali reti (GU L 200 del 29.7.2019, pag. 35).

(42) EOSC Portal (eosc-portal.eu) .

(43) Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (GU L 119 del 4.5.2016, pag. 1).

(44) Regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio, del 23 ottobre 2018, sulla tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni, degli organi e degli organismi dell'Unione e sulla libera circolazione di tali dati, e che abroga il regolamento (CE) n. 45/2001 e la decisione n. 1247/2002/CE (GU L 295 del 21.11.2018, pag. 39).

(45) Raccomandazione (UE) 2019/243 della Commissione, del 6 febbraio 2019, relativa a un formato europeo di scambio delle cartelle cliniche elettroniche (GU L 39 dell'11.2.2019, pag. 18).

(46) Direttiva 2011/24/UE del Parlamento europeo e del Consiglio, del 9 marzo 2011, concernente l'applicazione dei diritti dei pazienti relativi all'assistenza sanitaria transfrontaliera (GU L 88 del 4.4.2011, pag. 45).

(47) Regolamento (UE) n. 910/2014 del Parlamento europeo e del Consiglio, del 23 luglio 2014, in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno e che abroga la direttiva 1999/93/CE (GU L 257 del 28.8.2014, pag. 73).

(48) Regolamento (UE) 2019/881 del Parlamento europeo e del Consiglio, del 17 aprile 2019, relativo all'ENISA, l'Agenzia dell'Unione europea per la cibersicurezza, e alla certificazione della cibersicurezza per le tecnologie dell'informazione e della comunicazione, e che abroga il regolamento (UE) n. 526/2013 ("regolamento sulla cibersicurezza") (GU L 151 del 7.6.2019, pag. 15).

(49) Regolamento (UE) 2017/745 del Parlamento europeo e del Consiglio, del 5 aprile 2017, relativo ai dispositivi medici, che modifica la direttiva 2001/83/CE, il regolamento (CE) n. 178/2002 e il regolamento (CE) n. 1223/2009 e che abroga le direttive 90/385/CEE e 93/42/CEE del Consiglio (GU L 117 del 5.5.2017, pag. 1).

(50) Regolamento (CE) n. 723/2009 del Consiglio, del 25 giugno 2009, relativo al quadro giuridico comunitario applicabile a un consorzio per un'infrastruttura europea di ricerca (ERIC) (GU L 206 dell'8.8.2009, pag. 1).

(51) Regolamento (UE) 2018/1724 del Parlamento europeo e del Consiglio, del 2 ottobre 2018, che istituisce uno sportello digitale unico per l'accesso a informazioni, procedure e servizi di assistenza e di risoluzione dei problemi e che modifica il regolamento (UE) n. 1024/2012 (GU L 295 del 21.11.2018, pag. 1).

(52) GU L 123 del 12.5.2016, pag. 1.

(53) Regolamento (UE) n. 182/2011 del Parlamento europeo e del Consiglio, del 16 febbraio 2011, che stabilisce le regole e i principi generali relativi alle modalità di controllo da parte degli Stati membri dell'esercizio delle competenze di esecuzione attribuite alla Commissione (GU L 55 del 28.2.2011, pag. 13).

(54) Commissione europea, Quadro europeo di interoperabilità .

(55) Direttiva (UE) 2019/882 del Parlamento europeo e del Consiglio, del 17 aprile 2019, sui requisiti di accessibilità dei prodotti e dei servizi (Testo rilevante ai fini del SEE) (GU L 151 del 7.6.2019, pag. 70).

(56) Direttiva (UE) 2016/1148 del Parlamento europeo e del Consiglio, del 6 luglio 2016, recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell'Unione (GU L 194 del 19.7.2016, pag. 1).

(57) Direttiva (UE) 2015/1535 del Parlamento europeo e del Consiglio, del 9 settembre 2015, che prevede una procedura d'informazione nel settore delle regolamentazioni tecniche e delle regole relative ai servizi della società dell'informazione (GU L 241 del 17.9.2015, pag. 1).

(58) Regolamento (CE) n. 765/2008 del Parlamento europeo e del Consiglio, del 9 luglio 2008, che pone norme in materia di accreditamento e vigilanza del mercato per quanto riguarda la commercializzazione dei prodotti e che abroga il regolamento (CEE) n. 339/93 (GU L 218 del 13.8.2008, pag. 30).

(59) Raccomandazione della Commissione, del 6 maggio 2003, relativa alla definizione delle microimprese, piccole e medie imprese (GU L 124 del 20.5.2003, pag. 36).

(60) A norma dell'articolo 58, paragrafo 2, lettera a) o b), del regolamento finanziario.

(61) Regolamento (UE) 2021/522 del Parlamento europeo e del Consiglio, del 24 marzo 2021, che istituisce un programma d'azione dell'Unione in materia di salute per il periodo 2021-2027 ("programma UE per la salute") (EU4Health) e che abroga il regolamento (UE) n. 282/2014.

(62) Articolo 5 del regolamento (UE) 2021/694 del Parlamento europeo e del Consiglio, del 29 aprile 2021, che istituisce il programma Europa digitale e abroga la decisione (UE) 2015/2240.

(63) Articolo 3, paragrafo 2, lettera a), del regolamento (UE) 2021/695 del Parlamento europeo e del Consiglio, del 28 aprile 2021, che istituisce il programma quadro di ricerca e innovazione Orizzonte Europa e ne stabilisce le norme di partecipazione e diffusione, e che abroga i regolamenti (UE) n. 1290/2013 e (UE) n. 1291/2013.

(64) Articolo 3, paragrafo 2, lettera c), del regolamento (UE) 2021/1153 del Parlamento europeo e del Consiglio, del 7 luglio 2021, che istituisce il meccanismo per collegare l'Europa e abroga i regolamenti (UE) n. 1316/2013 e (UE) n. 283/2014.

(65) Le spiegazioni sulle modalità di gestione e i riferimenti al regolamento finanziario sono disponibili sul sito BudgWeb: https://myintracomm.ec.europa.eu/budgweb/EN/man/budgmanag/Pages/budgmanag.aspx.

(66) Diss. = stanziamenti dissociati / Non diss. = stanziamenti non dissociati.

(67) EFTA: Associazione europea di libero scambio.

(68) Paesi candidati e, se del caso, potenziali candidati dei Balcani occidentali.

(69) L'anno N è l'anno in cui inizia a essere attuata la proposta/iniziativa. Sostituire "N" con il primo anno di attuazione previsto (ad es: 2021). E così per gli anni a seguire.

(70) Tale importo deriva dall'impegno del 2027 e non costituisce un pagamento ricorrente. L'importo in questione è incluso nel calcolo del totale per il periodo 2023-2027.

(71) Assistenza tecnica e/o amministrativa e spese di sostegno all'attuazione di programmi e/o azioni dell'UE (ex linee "BA"), ricerca indiretta, ricerca diretta.

(72) L'anno N è l'anno in cui inizia a essere attuata la proposta/iniziativa. Sostituire "N" con il primo anno di attuazione previsto (ad es: 2021). E così per gli anni a seguire.

(73) Assistenza tecnica e/o amministrativa e spese di sostegno all'attuazione di programmi e/o azioni dell'UE (ex linee "BA"), ricerca indiretta, ricerca diretta.

(74) I risultati sono i prodotti e i servizi da fornire (ad esempio: numero di scambi di studenti finanziati, numero di km di strade costruite, ecc.).

(75) Assistenza tecnica e/o amministrativa e spese di sostegno all'attuazione di programmi e/o azioni dell'UE (ex linee "BA"), ricerca indiretta, ricerca diretta.

(76) Sottomassimale per il personale esterno previsto dagli stanziamenti operativi (ex linee "BA").

(77) L'anno N è l'anno in cui inizia a essere attuata la proposta/iniziativa. Sostituire "N" con il primo anno di attuazione previsto (ad es: 2021). E così per gli anni a seguire.

(78) Per le risorse proprie tradizionali (dazi doganali, contributi zucchero), indicare gli importi netti, cioè gli importi lordi al netto del 20 % per spese di riscossione.

Categoria di dati sanitari elettronici	Caratteristiche principali dei dati sanitari elettronici appartenenti alla categoria
1.Profilo sanitario sintetico del paziente	Dati sanitari elettronici che comprendono fatti clinici di rilievo riguardo a una persona identificata e che sono fondamentali per la prestazione di assistenza sanitaria sicura ed efficiente a tale persona. Il profilo sanitario sintetico del paziente comprende le informazioni seguenti: 1.dati personali; 2.recapiti; 3.informazioni sull'assicurazione; 4.allergie; 5.segnalazioni mediche; 6.informazioni su vaccinazioni/profilassi, eventualmente sotto forma di libretto delle vaccinazioni; 7.problemi attuali, risolti, archiviati o inattivi; 8.informazioni scritte relative all'anamnesi medica; 9.impianti e dispositivi medici; 10.procedure; 11.stato funzionale; 12.medicinali in uso e medicinali pertinenti assunti in precedenza; 13.osservazioni sull'anamnesi sociale attinenti alla salute; 14.anamnesi ostetrica; 15.dati forniti dal paziente; 16.risultati delle osservazioni relativi alle condizioni di salute; 17.piano di assistenza; 18.informazioni su una malattia rara, quali dettagli sugli effetti o sulle caratteristiche della malattia.
2.Prescrizione elettronica	Dati sanitari elettronici che costituiscono la prescrizione di un medicinale quale definita all'articolo 3, lettera k), della direttiva 2011/24/UE.
3.Dispensazione elettronica	Informazioni sulla dispensazione di un medicinale a una persona fisica da parte di una farmacia sulla base di una prescrizione elettronica.
4.Immagine medicale e referto di un'immagine	Dati sanitari elettronici relativi all'uso di tecnologie, o da esse prodotti, che sono impiegate per visualizzare il corpo umano al fine di prevenire, diagnosticare, monitorare o curare patologie.
5.Risultato di laboratorio	Dati sanitari elettronici che rappresentano i risultati di studi condotti in particolare attraverso la diagnostica in vitro, in settori quali la biochimica clinica, l'ematologia, la medicina trasfusionale, la microbiologia, l'immunologia e altri, comprese, se del caso, relazioni a sostegno dell'interpretazione dei risultati.
6.Lettera di dimissione	Dati sanitari elettronici relativi a una o più prestazioni di assistenza sanitaria, comprese le informazioni essenziali sul ricovero, sulla cura e sulla dimissione di una persona fisica.

Choose the experimental features you want to try