EUR-Lex Access to European Union law

Back to EUR-Lex homepage

This document is an excerpt from the EUR-Lex website

Document 32019D1269

Decisione di esecuzione (UE) 2019/1269 della Commissione, del 26 luglio 2019, che modifica la decisione di esecuzione 2014/287/UE della Commissione che stabilisce criteri per l'istituzione e la valutazione delle reti di riferimento europee e dei loro membri e per agevolare lo scambio di informazioni e competenze in relazione all'istituzione e alla valutazione di tali reti (Testo rilevante ai fini del SEE.)

C/2019/5470

OJ L 200, 29.7.2019, p. 35–43 (BG, ES, CS, DA, DE, ET, EL, EN, FR, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)

In force

ELI: http://data.europa.eu/eli/dec_impl/2019/1269/oj

29.7.2019   

IT

Gazzetta ufficiale dell'Unione europea

L 200/35


DECISIONE DI ESECUZIONE (UE) 2019/1269 DELLA COMMISSIONE

del 26 luglio 2019

che modifica la decisione di esecuzione 2014/287/UE della Commissione che stabilisce criteri per l'istituzione e la valutazione delle reti di riferimento europee e dei loro membri e per agevolare lo scambio di informazioni e competenze in relazione all'istituzione e alla valutazione di tali reti

(Testo rilevante ai fini del SEE)

LA COMMISSIONE EUROPEA,

visto il trattato sul funzionamento dell'Unione europea,

vista la direttiva 2011/24/UE del Parlamento europeo e del Consiglio, del 9 marzo 2011, concernente l'applicazione dei diritti dei pazienti relativi all'assistenza sanitaria transfrontaliera (1), in particolare l'articolo 12, paragrafo 4, lettere b) e c),

considerando quanto segue:

(1)

La decisione di esecuzione 2014/287/UE della Commissione (2) stabilisce criteri per l'istituzione e la valutazione delle reti di riferimento europee e dei loro membri e per agevolare lo scambio di informazioni e competenze in relazione all'istituzione e alla valutazione di tali reti. L'articolo 6 di tale decisione invitava gli Stati membri a costituire un comitato di Stati membri al fine di decidere in merito all'approvazione delle proposte di reti, ai loro membri e al loro scioglimento. Gli Stati membri hanno costituito il comitato di Stati membri, che successivamente ha approvato 23 reti di riferimento europee (European Reference Network - ERN) nel dicembre 2016 e una nel febbraio 2017. Tutte le reti hanno avviato le attività nel 2017.

(2)

Per aumentare l'efficienza delle reti di riferimento europee, il comitato di Stati membri dovrebbe diventare la sede per lo scambio di informazioni e competenze al fine di indirizzare lo sviluppo delle ERN, offrire orientamento alle reti e agli Stati membri e fornire consulenza alla Commissione su questioni relative all'istituzione delle reti. Per promuovere lo scambio di esperienze e facilitare un processo coerente con altri scambi transfrontalieri di dati sanitari, il comitato dovrebbe prevedere una stretta cooperazione con la rete di assistenza sanitaria online al fine di sviluppare, ove possibile, approcci, strutture di dati e orientamenti comuni che agevolino l'accesso trasparente a diversi servizi e razionalizzino le norme per i prestatori di assistenza sanitaria. Il comitato dovrebbe inoltre promuovere la discussione con altre sedi pertinenti dell'UE (come il gruppo direttivo per la promozione della salute, la prevenzione delle malattie e la gestione delle malattie non trasmissibili) in settori di interesse comune.

(3)

L'attuale esperienza delle 24 ERN esistenti ha dimostrato che, per garantire un efficace funzionamento di ciascuna rete, i membri di tale rete dovrebbero cooperare strettamente nello svolgimento dei rispettivi compiti, come lo scambio di dati sanitari riguardanti le diagnosi e le terapie dei pazienti in modo efficiente e sicuro, contribuendo alle attività di ricerca scientifica e all'elaborazione di orientamenti medici. Per cooperare strettamente è necessario che vi siano una fiducia reciproca tra i membri di ciascuna rete e un reciproco riconoscimento soprattutto delle loro competenze e conoscenze, della qualità delle loro prestazioni cliniche e delle loro specifiche risorse umane, strutturali e strumentali, come previsto all'allegato II, punto 2, della decisione delegata 2014/286/UE della Commissione (3).

(4)

La fiducia e il riconoscimento reciproci tra pari sono importanti anche quando i prestatori di assistenza sanitaria desiderano aderire a una rete esistente, in quanto garantiscono i giusti presupposti per la futura cooperazione all'interno della rete. È pertanto opportuno che una domanda di adesione sia accompagnata da un parere favorevole del consiglio della rete a cui il prestatore di assistenza sanitaria desidera aderire, a seguito di una valutazione tra pari effettuata dalla rete sulla base dei criteri e delle condizioni di cui all'allegato II, punto 2, della decisione delegata 2014/286/UE, quando tale domanda è valutata da un organismo di valutazione indipendente designato dalla Commissione. Per consentire al prestatore di assistenza sanitaria di esprimere la propria opinione sul parere del consiglio della rete, il prestatore di assistenza sanitaria dovrebbe essere autorizzato a presentare osservazioni sul progetto di parere entro un periodo di un mese dalla data del ricevimento di tale parere.

(5)

È opportuno stabilire scadenze ragionevoli per il consiglio della rete per quanto riguarda il progetto di parere e il parere definitivo. Il termine per il parere definitivo dovrebbe pertanto essere fissato in linea di principio a quattro mesi. Tuttavia, nel caso in cui il prestatore di assistenza sanitaria presenti osservazioni sul progetto di parere del consiglio della rete, il termine di quattro mesi per la trasmissione del parere definitivo dovrebbe essere prorogato di un mese per consentire al consiglio della rete di tenere conto delle osservazioni ricevute. Ai fini della certezza del diritto, se il consiglio della rete non invia il progetto di parere o non trasmette il parere definitivo entro i termini stabiliti, il parere definitivo dovrebbe essere considerato favorevole.

(6)

Se una domanda di adesione riceve un parere sfavorevole dal consiglio della rete a cui il prestatore di assistenza sanitaria desidera aderire, pur avendo ricevuto l'approvazione sotto forma di dichiarazione scritta da parte dello Stato membro di stabilimento del prestatore di assistenza sanitaria, lo Stato membro di stabilimento dovrebbe avere la possibilità di chiedere al comitato di Stati membri di decidere, in base ai criteri e alle condizioni di cui all'allegato II, punto 2, della decisione delegata 2014/286/UE, se la domanda possa essere comunque presentata alla Commissione.

(7)

Per sostenere i professionisti del settore sanitario nelle diverse ERN affinché possano collaborare a distanza nella diagnosi e nelle terapie di pazienti affetti da malattie o condizioni di salute complesse, rare o a bassa prevalenza, oltre i confini nazionali e per facilitare la ricerca scientifica su tali malattie o condizioni di salute, la Commissione ha sviluppato un sistema di gestione dei dati clinici dei pazienti per le ERN (Clinical Patient Management System, «CPMS») allo scopo di agevolare l'istituzione e il funzionamento delle ERN, come previsto all'articolo 12, paragrafo 4, lettera c), della direttiva 2011/24/UE.

(8)

Il CPMS dovrebbe fornire un'infrastruttura comune ai professionisti del settore sanitario per poter collaborare all'interno delle ERN nella diagnosi e nelle terapie di pazienti affetti da malattie o condizioni di salute complesse, rare o a bassa prevalenza. Dovrebbe fornire i mezzi per consentire lo scambio di informazioni e competenze su tali malattie all'interno delle ERN nel modo più efficace possibile.

(9)

Il CPMS dovrebbe pertanto consistere in un'infrastruttura informatica sicura che fornisca un'interfaccia comune in cui i prestatori di assistenza sanitaria membri delle ERN, i partner affiliati (4) o gli utenti ospiti (i «prestatori di assistenza sanitaria autorizzati ad accedere al CPMS») possano scambiare informazioni all'interno delle reti in merito ai pazienti interessati, in modo che questi possano accedere più facilmente a un'assistenza sanitaria sicura e di elevata qualità e per promuovere una cooperazione efficace nel campo dell'assistenza sanitaria tra gli Stati membri facilitando lo scambio di informazioni pertinenti.

(10)

Al fine di garantire il rispetto delle norme in materia di protezione dei dati e assicurare l'uso di un ambiente efficace e sicuro per lo scambio elettronico di dati personali di pazienti tra prestatori di assistenza sanitaria all'interno delle ERN ai fini di cui all'articolo 12, paragrafo 2, della direttiva 2011/24/UE, tale scambio dovrebbe avvenire solo sulla base del consenso esplicito dei pazienti e solo tramite il CPMS. I prestatori di assistenza sanitaria sono tenuti a garantire la sicurezza dei dati che trattano al di fuori del CPMS allo scopo di inserirli nel CPMS, nonché dei dati che non sono inseriti nel CPMS ma che sono da loro trattati in relazione al CPMS (ad esempio i moduli di consenso) o dei dati che scaricano dal CPMS e che trattano al di fuori di tale sistema.

(11)

Il CPMS tratta dati sensibili relativi a pazienti affetti da malattie complesse, rare o a bassa prevalenza. Tali dati sono trattati unicamente allo scopo di facilitare la diagnosi e le terapie dei pazienti, di essere inseriti in archivi e altre banche dati di malattie complesse, rare e a bassa prevalenza, utilizzati per finalità di ricerca scientifica, cliniche o di elaborazione delle politiche sanitarie, e di contattare potenziali partecipanti per iniziative di ricerca scientifica. I prestatori di assistenza sanitaria all'interno delle ERN dovrebbero essere in grado di trattare dati di pazienti nel CPMS dopo aver ottenuto il consenso specifico, informato e libero dei pazienti in relazione a tre possibili utilizzi dei loro dati (valutazione medica del fascicolo a fini di consulenza su diagnosi e terapie, inserimento dei dati in archivi di malattie rare o altre banche dati di malattie complesse, rare e a bassa prevalenza, e possibilità per i pazienti di essere contattati per partecipare a un'iniziativa di ricerca scientifica). Il consenso dovrebbe essere ottenuto separatamente per ciascuna di queste tre finalità. La presente decisione dovrebbe stabilire le finalità e le garanzie del trattamento di tali dati nel CPMS. In particolare, la Commissione dovrebbe prevedere le caratteristiche generali del CPMS in relazione a ciascuna rete, fornire e mantenere l'infrastruttura informatica sicura a tal fine necessaria e garantirne il funzionamento tecnico e la sicurezza. In linea con il principio della minimizzazione dei dati, la Commissione dovrebbe trattare solamente i dati personali strettamente necessari per garantire la gestione del CPMS in relazione a ciascuna rete e pertanto non dovrebbe avere accesso a dati sanitari di pazienti scambiati nelle reti di riferimento europee, a meno che ciò non sia strettamente necessario per adempiere ai propri obblighi di contitolare del trattamento.

(12)

È opportuno che la presente decisione di esecuzione si applichi solamente al trattamento di dati personali effettuato nel CPMS, in particolare ai dati di contatto e ai dati sanitari, all'interno delle ERN.

(13)

L'articolo 26 del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio (5) e l'articolo 28 del regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio (6) prevedono l'obbligo per i contitolari del trattamento dei dati personali di determinare in modo trasparente le rispettive responsabilità in merito all'osservanza degli obblighi derivanti da detti regolamenti. Essi prevedono inoltre la possibilità che tali responsabilità siano determinate dal diritto dell'Unione o dello Stato membro cui i titolari del trattamento sono soggetti.

(14)

È pertanto opportuno modificare di conseguenza la decisione di esecuzione 2014/287/UE.

(15)

Il Garante europeo della protezione dei dati è stato consultato a norma dell'articolo 42, paragrafo 1, del regolamento (UE) 2018/1725 e ha espresso un parere il 13 settembre 2018.

(16)

Le misure di cui alla presente decisione sono conformi al parere del comitato istituito a norma dell'articolo 16 della direttiva 2011/24/UE,

HA ADOTTATO LA PRESENTE DECISIONE:

Articolo 1

La decisione di esecuzione 2014/287/UE è così modificata:

(1)

è inserito il seguente articolo 1 bis:

«Articolo 1 bis

Definizioni

Ai fini della presente decisione di esecuzione si applicano le seguenti definizioni:

a)

“coordinatore delle reti di riferimento europee”, la persona designata coordinatore della rete dal membro di una rete di riferimento europea scelto quale membro coordinatore come indicato al considerando 3 e all'articolo 4 della decisione delegata 2014/286/UE;

b)

“consiglio della rete”, un organismo responsabile della gestione della rete, composto da rappresentanti di ciascun membro della rete come indicato al considerando 3 e all'allegato I, punto 1, lettera b), punto ii), della decisione delegata 2014/286/UE;

c)

“partner affiliato”, (centro nazionale associato, centro nazionale di collaborazione e centro nazionale di coordinamento), come indicato al considerando 14 e all'allegato I, punto 7, lettera c), della decisione delegata 2014/286/UE e nella dichiarazione del comitato di Stati membri del 10 ottobre 2017;

d)

“utente ospite”, un prestatore di assistenza sanitaria che non è un membro o un partner affiliato e che ha il diritto, in seguito all'approvazione del coordinatore della rete di riferimento europea competente, per un periodo di tempo limitato, di iscrivere i pazienti nel CPMS e di partecipare al gruppo di lavoro relativo a tale paziente o di partecipare a un gruppo di lavoro specifico in qualità di esperto.»;

(2)

all'articolo 8 sono aggiunti i seguenti paragrafi 4, 5 e 6:

«4.   Se la Commissione conclude che le prescrizioni di cui ai paragrafi 2 e 3 del presente articolo sono soddisfatte, il consiglio della rete a cui il prestatore di assistenza sanitaria desidera aderire emette un parere in merito alla domanda di adesione a seguito di una valutazione tra pari effettuata dalla rete sulla base dei criteri e delle condizioni di cui all'allegato II, punto 2, della decisione delegata 2014/286/UE.

5.   Prima di emettere il parere di cui al paragrafo 4 ed entro tre mesi dal momento in cui la Commissione ha confermato che sono soddisfatte le prescrizioni di cui all'articolo 8, paragrafi 2 e 3, il consiglio della rete trasmette un progetto di parere al prestatore di assistenza sanitaria che ha presentato la domanda, che può inviare osservazioni alla rete entro un mese dal ricevimento del progetto di parere. Nel caso in cui il consiglio della rete non riceva osservazioni in merito a tale progetto, esso formula un parere definitivo sulla domanda di adesione entro quattro mesi dal momento in cui la Commissione ha confermato che sono soddisfatte le prescrizioni di cui all'articolo 8, paragrafi 2 e 3.

Nel caso in cui il consiglio della rete riceva osservazioni, il termine per la formulazione del parere definitivo è prorogato a cinque mesi dal momento in cui la Commissione ha confermato che sono soddisfatte le prescrizioni di cui all'articolo 8, paragrafi 2 e 3. Al ricevimento di osservazioni il consiglio della rete modifica il proprio parere spiegando se le osservazioni giustifichino una modifica della sua valutazione. Se il consiglio della rete non invia il progetto di parere o non emette il parere definitivo entro i termini sopra stabiliti, il parere definitivo si considera favorevole.

6.   In caso di parere sfavorevole del consiglio della rete, su richiesta dello Stato membro di stabilimento il comitato degli Stati membri può emettere un parere favorevole dopo aver riesaminato la domanda sulla base dei criteri e delle condizioni di cui all'allegato II, punto 2, della decisione delegata 2014/286/UE. Tale parere favorevole correda la domanda.»;

(3)

all'articolo 9, il paragrafo 1 è sostituito dal seguente:

«1.   Se è emesso un parere favorevole in conformità all'articolo 8, paragrafi 5 o 6, la Commissione nomina un organismo che valuta la domanda di adesione che tale parere correda.»;

(4)

al capo IV è inserito il seguente articolo 15 bis:

«Articolo 15 bis

Scambio di informazioni e competenze tra gli Stati membri

Gli Stati membri sono invitati a scambiare informazioni e competenze all'interno del comitato di Stati membri al fine di indirizzare lo sviluppo delle reti di riferimento europee (European Reference Network - ERN), offrire orientamento alle reti e agli Stati membri e fornire consulenza alla Commissione su questioni relative all'istituzione delle reti.»;

(5)

è inserito il seguente articolo 16 bis:

«Articolo 16 bis

Il sistema di gestione dei dati clinici dei pazienti

1.   È istituito un sistema di gestione dei dati clinici dei pazienti (Clinical Patient Management System, «CPMS») per lo scambio elettronico di dati personali di pazienti tra prestatori di assistenza sanitaria autorizzati ad accedere a tale sistema all'interno delle ERN.

2.   Il CPMS consiste in uno strumento informatico sicuro, fornito dalla Commissione per la condivisione e l'archiviazione di dati di pazienti e per la comunicazione in tempo reale e tempestiva su casi relativi a pazienti all'interno delle ERN.

3.   Il sistema comprende, tra l'altro, un visualizzatore di immagini mediche, strumenti per la comunicazione dei dati e serie di dati personalizzati, e integra adeguate garanzie in materia di protezione dei dati conformemente all'allegato I.»;

(6)

è inserito il seguente articolo 16 ter:

«Articolo 16 ter

Dati personali trattati nel CPMS

1.   I dati personali di pazienti che consistono in nome, genere, data e luogo di nascita, e altri dati personali necessari ai fini della diagnosi e delle terapie, sono scambiati e trattati all'interno delle ERN esclusivamente tramite il CPMS. Il trattamento è limitato alle finalità di facilitare la collaborazione sulla valutazione medica del fascicolo di un paziente ai fini della diagnosi e delle terapie, di inserire i dati in archivi e in altre banche dati di malattie complesse, rare e a bassa prevalenza, utilizzati per finalità di ricerca scientifica, cliniche o elaborazione delle politiche sanitarie e di contattare potenziali partecipanti per iniziative di ricerca scientifica. Tale trattamento si basa su un consenso ottenuto conformemente all'allegato IV.

2.   La Commissione è considerata titolare del trattamento di dati personali relativi alla gestione dei diritti di accesso e tratta tali dati sulla base del consenso esplicito dei soggetti identificati dai prestatori di assistenza sanitaria come utenti e autorizzati dalla pertinente ERN nella misura necessaria a garantire che:

a)

siano concessi diritti di accesso a tali soggetti,

b)

tali soggetti possano esercitare i loro diritti e adempiere ai loro obblighi, e

c)

possa adempiere ai propri obblighi di titolare del trattamento.

3.   La Commissione non accede a dati personali di pazienti, a meno che ciò non sia strettamente necessario per adempiere ai propri obblighi di contitolare del trattamento.

4.   Soltanto le persone autorizzate dalle ERN e appartenenti alle categorie del personale e degli altri soggetti affiliati ai prestatori di assistenza sanitaria autorizzati ad accedere al CPMS possono accedere a dati personali di pazienti nel CPMS.

5.   Nel CPMS il nome del paziente e il luogo e la data esatta di nascita sono cifrati e pseudonimizzati. Gli altri dati personali necessari per la diagnosi e le terapie sono pseudonimizzati. Gli utenti del CPMS di altri prestatori di assistenza sanitaria hanno a disposizione solo i dati pseudonimizzati per le discussioni a livello di gruppi e la valutazione dei fascicoli dei pazienti.

6.   La Commissione garantisce la sicurezza del trasferimento e dell'archiviazione dei dati personali.

7.   I prestatori di assistenza sanitaria autorizzati ad accedere al CPMS sopprimono i dati non più necessari. I dati personali dei pazienti sono conservati solo per il tempo necessario ai fini dell'assistenza ai pazienti, della diagnosi delle malattie o per garantire l'assistenza ai familiari di pazienti all'interno di una rete di riferimento europea. Al più tardi ogni quindici anni ciascun prestatore di assistenza sanitaria autorizzato ad accedere al CPMS riesamina la necessità di conservare dati di pazienti di cui è il titolare del trattamento.

8.   L'efficacia delle misure tecniche e organizzative volte a garantire la sicurezza del trattamento di dati personali nel CPMS è regolarmente verificata, esaminata e valutata dalla Commissione e dai prestatori di assistenza sanitaria autorizzati ad accedere al CPMS.»;

(7)

è inserito il seguente articolo 16 quater:

«Articolo 16 quater

Contitolarità del trattamento di dati personali di pazienti trattati tramite il CPMS

1.   Ciascuno dei prestatori di assistenza sanitaria che tratta dati di pazienti nel CPMS e la Commissione sono contitolari del trattamento di tali dati nel CPMS.

2.   Ai fini del paragrafo 1, le responsabilità sono ripartite tra i contitolari del trattamento in conformità all'allegato III.

3.   Ciascuno dei contitolari del trattamento si conforma alla pertinente legislazione dell'Unione e nazionale cui è soggetto il rispettivo titolare del trattamento.»;

(8)

è aggiunto l'allegato III, il cui testo figura nell'allegato I della presente decisione;

(9)

è aggiunto l'allegato IV, il cui testo figura nell'allegato II della presente decisione.

Articolo 2

La presente decisione entra in vigore il ventesimo giorno successivo alla pubblicazione nella Gazzetta ufficiale dell'Unione europea.

Fatto a Bruxelles, il 26 luglio 2019

Per la Commissione

Il presidente

Jean-Claude JUNCKER


(1)  GU L 88 del 4.4.2011, pag. 45.

(2)  Decisione di esecuzione 2014/287/UE della Commissione, del 10 marzo 2014, che stabilisce criteri per l'istituzione e la valutazione delle reti di riferimento europee e dei loro membri e per agevolare lo scambio di informazioni e competenze in relazione all'istituzione e alla valutazione di tali reti (GU L 147 del 17.5.2014, pag. 79).

(3)  Decisione delegata 2014/286/UE della Commissione, del 10 marzo 2014, relativa ai criteri e alle condizioni che devono soddisfare le reti di riferimento europee e i prestatori di assistenza sanitaria che desiderano aderire a una rete di riferimento europea (GU L 147 del 17.5.2014, pag. 71).

(4)  Come indicato al considerando 14 e all'allegato I, punto 7, lettera c), della decisione delegata 2014/286/UE e nella dichiarazione del comitato di Stati membri del 10 ottobre 2017, disponibile all'indirizzo https://ec.europa.eu/health/sites/health/files/ern/docs/boms_affiliated_partners_en.pdf.

(5)  Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (GU L 119 del 4.5.2016, pag. 1).

(6)  Regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio, del 23 ottobre 2018, sulla tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni, degli organi e degli organismi dell'Unione e sulla libera circolazione di tali dati, e che abroga il regolamento (CE) n. 45/2001 e la decisione n. 1247/2002/CE (GU L 295 del 21.11.2018, pag. 39).


ALLEGATO I

«ALLEGATO III

RIPARTIZIONE DELLE RESPONSABILITÀ TRA I CONTITOLARI DEL TRATTAMENTO

1.

La Commissione ha le seguenti responsabilità:

i)

provvedere all'istituzione, al funzionamento e alla gestione del CPMS;

ii)

fornire, ove necessario, ai prestatori di assistenza sanitaria i mezzi tecnici per consentire ai pazienti di esercitare i loro diritti tramite il CPMS in conformità al regolamento (UE) n. 2018/1725 e rispondere e provvedere alle richieste degli interessati quando previsto dalla legislazione applicabile;

iii)

assicurare che il CPMS rispetti le prescrizioni applicabili ai sistemi di comunicazione e informazione della Commissione (1);

iv)

definire e predisporre i mezzi tecnici per consentire ai pazienti di esercitare i loro diritti in conformità al regolamento (UE) 2018/1725;

v)

comunicare ai prestatori di assistenza sanitaria eventuali violazioni dei dati personali all'interno del CPMS;

vi)

esportare serie di dati personali dal CPMS in caso di cambiamento di responsabile del trattamento dei dati personali;

vii)

individuare le categorie di personale e gli altri soggetti cui può essere concesso l'accesso al CPMS, affiliati ai prestatori di assistenza sanitaria autorizzati ad accedere al CPMS;

viii)

garantire che il nome del paziente e il suo luogo di nascita (a meno che ciò sia necessario per la diagnosi e il trattamento) e la data esatta di nascita siano criptati e pseudonimizzati, e che altri dati personali necessari per la diagnosi e le terapie siano pseudonimizzati nel CPMS;

ix)

prevedere adeguate garanzie per preservare la sicurezza e la riservatezza dei dati personali di pazienti trattati tramite il CPMS.

2.

Ciascun prestatore di assistenza sanitaria autorizzato ad accedere al CPMS ha le seguenti responsabilità:

i)

selezionare i pazienti i cui dati personali sono trattati tramite il CPMS;

ii)

raccogliere e conservare uno o più consensi espliciti, informati, espressi liberamente e specifici dei pazienti i cui dati sono trattati tramite il CPMS in conformità alle prescrizioni minime obbligatorie per il modulo di consenso di cui all'allegato IV;

iii)

fungere da punto di contatto per i propri pazienti, anche nel momento in cui esercitano i loro diritti, rispondendo alle richieste dei pazienti o dei loro rappresentanti e garantendo che i pazienti i cui dati sono trattati attraverso il CPMS siano messi in condizione di esercitare i propri diritti in conformità alla legislazione in materia di protezione dei dati, utilizzando, se necessario, i mezzi tecnici forniti dalla Commissione conformemente al punto 1, ii);

iv)

riesaminare, almeno ogni quindici anni, la necessità di trattare dati personali specifici di pazienti tramite il CPMS;

v)

garantire la sicurezza e la riservatezza di qualsiasi trattamento di dati personali di pazienti al di fuori del CPMS effettuato dal prestatore di assistenza sanitaria, qualora tali dati siano trattati a fini del trattamento di dati personali di pazienti tramite il CPMS o in relazione a tale trattamento;

vi)

comunicare alla Commissione, alle competenti autorità di controllo e, ove prescritto, ai pazienti, eventuali violazioni dei dati personali trattati tramite il CPMS in conformità agli articoli 33 e 34 del regolamento (UE) 2016/679 o se richiesto dalla Commissione;

vii)

identificare, in conformità ai criteri di accesso di cui al punto 1, vii), del presente allegato, il personale e gli altri soggetti a loro affiliati, cui sarà concesso l'accesso a dati personali di pazienti all'interno del CPMS e comunicarlo alla Commissione;

viii)

garantire che il proprio personale e gli altri soggetti a loro affiliati che hanno accesso a dati personali di pazienti all'interno del CPMS siano adeguatamente formati per garantire che svolgano i loro compiti nel rispetto delle norme applicabili alla protezione dei dati personali e siano vincolati al segreto professionale ai sensi dell'articolo 9, paragrafo 3, del regolamento (UE) 2016/679.

»

(1)  Decisione (UE, Euratom) 2017/46 della Commissione, del 10 gennaio 2017, sulla sicurezza dei sistemi di comunicazione e informazione della Commissione europea (GU L 6 dell'11.1.2017, pag. 40) e decisione della Commissione del 13 dicembre 2017 che stabilisce le modalità di applicazione degli articoli 3, 5, 7, 8, 9, 10, 11, 12, 14 e 15 della decisione (UE, Euratom) 2017/46 sulla sicurezza dei sistemi di comunicazione e informazione della Commissione europea [C(2017) 8841 final].


ALLEGATO II

«ALLEGATO IV

Prescrizioni minime obbligatorie per il modulo di consenso da fornire a cura dei prestatori di assistenza sanitaria autorizzati ad accedere al CPMS

1.

Il modulo di consenso descrive la base giuridica e la legittimità del trattamento, del concetto e della finalità delle reti di riferimento europee (European Reference Network -ERN) istituite dalla direttiva 2011/24/UE concernente l'applicazione dei diritti dei pazienti relativi all'assistenza sanitaria transfrontaliera. Informa in merito alle specifiche operazioni di trattamento e ai rispettivi diritti dell'interessato in conformità alla normativa applicabile in materia di protezione dei dati. Spiega che le reti sono costituite da membri che sono prestatori di assistenza sanitaria altamente specializzati, allo scopo di consentire ai professionisti del settore sanitario di collaborare per aiutare pazienti con malattie o condizioni di salute complesse, rare o a bassa prevalenza, che necessitano di cure sanitarie altamente specializzate.

2.

Il modulo di consenso chiede al paziente il consenso esplicito alla condivisione dei suoi dati personali con una o più ERN, unicamente per permettergli di disporre di migliori diagnosi e terapie e di un'assistenza sanitaria di qualità. A tal fine esso spiega che:

a)

se il consenso viene dato, i dati personali del paziente saranno trattati da prestatori di assistenza sanitaria autorizzati ad accedere al CPMS nel rispetto delle seguenti condizioni:

i)

il nome del paziente e il luogo e la data esatta di nascita non faranno parte dei dati condivisi; i dati identificativi del paziente saranno sostituiti da un identificativo univoco che non consente l'identificazione del paziente a soggetti diversi dal prestatore di assistenza sanitaria (pseudonimizzazione);

ii)

saranno condivisi solo i dati pertinenti ai fini della diagnosi e delle terapie, come ad esempio la zona di nascita, la zona di residenza, il genere, l'anno e il mese di nascita, le immagini mediche, le relazioni di laboratorio e i dati di campioni biologici; è possibile che siano condivise anche la corrispondenza e i referti di altri professionisti del settore sanitario che hanno assistito il paziente in precedenza;

iii)

i dati del paziente saranno condivisi tramite il sistema di gestione dei dati clinici dei pazienti (Clinical Patient Management System, CPMS), un sistema informativo elettronico sicuro;

iv)

avranno accesso ai dati del paziente solo i professionisti del settore sanitario e gli altri soggetti affiliati a tali prestatori di assistenza sanitaria vincolati al segreto professionale che hanno facoltà di accedere ai dati di pazienti nelle reti;

v)

i professionisti del settore sanitario e gli altri soggetti affiliati a tali prestatori di assistenza sanitaria che hanno facoltà di accedere ai dati di pazienti possono effettuare ricerche nel CPMS e generare rapporti al fine di individuare casi simili relativi a pazienti;

b)

se il consenso non viene dato, ciò non influirà in alcun modo sull'assistenza del paziente da parte del rispettivo prestatore di assistenza sanitaria.

3.

Il modulo di consenso può anche chiedere il consenso aggiuntivo del paziente all'inserimento dei suoi dati in archivi o in altre banche dati di malattie complesse, rare e a bassa prevalenza, utilizzate per attività scientifiche, cliniche o per l'elaborazione di politiche. Se il consenso viene chiesto per questa finalità, il modulo di consenso descrive il concetto e la finalità degli archivi o delle banche dati di malattie rare e spiega che:

a)

se il consenso viene dato, i dati personali del paziente saranno trattati da prestatori di assistenza sanitaria autorizzati ad accedere al CPMS nel rispetto delle seguenti condizioni:

i)

saranno condivisi solo i dati pertinenti relativi alla condizione medica del paziente;

ii)

i professionisti del settore sanitario e gli altri soggetti affiliati a tali prestatori di assistenza sanitaria che hanno facoltà di accedere ai dati di pazienti possono effettuare ricerche nel CPMS e generare rapporti al fine di individuare casi simili relativi a pazienti;

b)

se il consenso non viene dato, ciò non influirà in alcun modo sull'assistenza del paziente da parte del rispettivo prestatore di assistenza sanitaria, né sulla fornitura, da parte della rete, di consulenza su diagnosi e terapie su richiesta del paziente.

4.

Il modulo di consenso può anche chiedere il consenso supplementare del paziente a essere contattato da un membro della rete che ritiene che il paziente possa essere idoneo per un'iniziativa di ricerca scientifica, uno specifico progetto di ricerca scientifica o parti di un progetto di ricerca scientifica. Se il consenso viene chiesto a tale scopo, il modulo di consenso spiega che il consenso dato in tale fase, a essere contattato a fini di ricerca scientifica, non implica la concessione del consenso all'utilizzo dei dati del paziente per una specifica iniziativa di ricerca scientifica, né significa che il paziente sarà in ogni caso contattato in relazione a un progetto di ricerca scientifica specifico o che il paziente parteciperà a tale progetto; inoltre:

a)

se il consenso viene dato, i dati personali del paziente saranno trattati da prestatori di assistenza sanitaria autorizzati ad accedere al CPMS nel rispetto delle seguenti condizioni:

i)

i professionisti del settore sanitario e gli altri soggetti affiliati a tali prestatori di assistenza sanitaria che hanno facoltà di accedere ai dati di pazienti possono effettuare ricerche nel CPMS e generare rapporti al fine di individuare pazienti idonei per la ricerca scientifica;

ii)

se la malattia o la condizione del paziente è ritenuta pertinente per un progetto di ricerca scientifica specifico, il paziente può essere contattato per lo specifico progetto di ricerca scientifica al fine di ottenere il suo consenso all'utilizzo dei suoi dati per tale progetto di ricerca scientifica;

b)

se il consenso non viene dato, ciò non influirà in alcun modo sull'assistenza del paziente da parte del rispettivo prestatore di assistenza sanitaria, né sulla fornitura, da parte della rete, di consulenza su diagnosi e terapie su richiesta del paziente.

5.

Il modulo di consenso illustra i diritti del paziente per quanto riguarda i suoi rispettivi consensi alla condivisione dei dati personali e in particolare comunica l'informazione che il paziente:

a)

ha il diritto di dare o negare il o i consensi senza che ciò incida sulle terapie che gli sono prestate;

b)

può revocare in qualsiasi momento il consenso dato in precedenza;

c)

ha il diritto di sapere quali dati sono condivisi in una rete, di accedere ai dati conservati che lo riguardano e di chiedere la rettifica di eventuali errori;

d)

può chiedere il blocco o la cancellazione dei suoi dati personali e il diritto alla portabilità dei dati.

6.

Il modulo di consenso informa il paziente che il prestatore di assistenza sanitaria conserverà i dati personali solo per il tempo necessario alle finalità per le quali il paziente ha dato il proprio consenso, sottoponendo a revisione la necessità di conservare i dati personali specifici del paziente nel CPMS almeno ogni quindici anni.

7.

Il modulo di consenso informa il paziente in merito all'identità e ai dati di contatto dei titolari del trattamento, specificando chiaramente che il punto di contatto per esercitare i diritti del paziente è il prestatore di assistenza sanitaria autorizzato ad accedere al CPMS, in merito ai dati di contatto dei responsabili della protezione dei dati e, se applicabile, in merito ai mezzi di ricorso disponibili relativi alla protezione dei dati, e fornisce i dati di contatto dell'autorità nazionale competente per la protezione dei dati.

8.

Il modulo di consenso registra separatamente il singolo consenso per ciascuna delle tre diverse forme di condivisione dei dati in modo specifico, esplicito e privo di ambiguità:

a)

il consenso deve essere dimostrato attraverso un'azione positiva inequivocabile, ad esempio mediante l'uso di una casella di spunta e una firma sul modulo;

b)

sono incluse entrambe le opzioni (dare o negare il consenso).

»

Top