DECISIONE DI ESECUZIONE (UE) 2019/1765 DELLA COMMISSIONE

del 22 ottobre 2019

che stabilisce le norme per l’istituzione, la gestione e il funzionamento della rete di autorità nazionali responsabili dell’assistenza sanitaria online e che abroga la decisione di esecuzione 2011/890/UE

[notificata con il numero C(2019) 7460]

(Testo rilevante ai fini del SEE)

LA COMMISSIONE EUROPEA,

visto il trattato sul funzionamento dell’Unione europea,

vista la direttiva 2011/24/UE del Parlamento europeo e del Consiglio, del 9 marzo 2011, concernente l’applicazione dei diritti dei pazienti relativi all’assistenza sanitaria transfrontaliera (1), in particolare l’articolo 14, paragrafo 3,

considerando quanto segue:

(1)

L’articolo 14 della direttiva 2011/24/UE attribuisce all’Unione il compito di sostenere e facilitare la cooperazione e lo scambio di informazioni tra gli Stati membri operanti nell’ambito di una rete volontaria che collega le autorità nazionali responsabili dell’assistenza sanitaria online designate dagli Stati membri (la «rete eHealth»).

(2)	La decisione di esecuzione 2011/890/UE della Commissione (2) stabilisce le norme per l’istituzione, la gestione e il funzionamento della rete eHealth.

(3)

Tale decisione non contiene, al momento, norme appropriate riguardo a determinati aspetti necessari per assicurare un funzionamento sufficientemente trasparente della rete eHealth, in particolare in merito al ruolo di tale rete e della Commissione in relazione all’infrastruttura di servizi digitali di eHealth per i servizi informativi transfrontalieri per l’assistenza sanitaria online e ai nuovi requisiti in materia di protezione dei dati previsti dal regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio (il «regolamento generale sulla protezione dei dati») (3) e dal regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio (4).

(4)

La trasparenza nella gestione della rete eHealth dovrebbe essere assicurata tramite la definizione di norme in merito all’adesione alla rete e al recesso da essa. Dal momento che la partecipazione alla rete eHealth è volontaria, gli Stati membri devono potervi aderire in qualsiasi momento. Per motivi organizzativi occorre che gli Stati membri che intendono partecipare informino previamente la Commissione della loro intenzione.

(5)

La comunicazione elettronica costituisce un mezzo appropriato per lo scambio rapido e affidabile di dati tra gli Stati membri che partecipano alla rete eHealth. In questo settore si sono registrati sviluppi significativi. In particolare, al fine di facilitare l’interoperabilità dei sistemi europei di assistenza sanitaria online, gli Stati membri partecipanti alla rete eHealth che hanno deciso di far progredire la loro collaborazione in questo settore con il sostegno della Commissione hanno sviluppato l’infrastruttura di servizi digitali di eHealth per i servizi informativi transfrontalieri per l’assistenza sanitaria online, quale strumento informatico per lo scambio di dati sanitari nell’ambito del programma del meccanismo per collegare l’Europa (5). È opportuno che la presente decisione rifletta tali sviluppi. Inoltre, come sottolineato nella comunicazione della Commissione del 25 aprile 2018 relativa alla trasformazione digitale della sanità e dell’assistenza nel mercato unico digitale, alla responsabilizzazione dei cittadini e alla creazione di una società più sana (6), è opportuno chiarire il ruolo rispettivo degli Stati membri partecipanti e della Commissione in relazione al funzionamento dell’infrastruttura di servizi digitali di eHealth per i servizi informativi transfrontalieri per l’assistenza sanitaria online.

(6)

Il ruolo dell’infrastruttura di servizi digitali di eHealth per i servizi informativi transfrontalieri per l’assistenza sanitaria online dovrebbe essere quello di facilitare lo scambio transfrontaliero di dati sanitari tra gli Stati membri che partecipano alla rete eHealth, come riconosciuto nelle conclusioni del 2017 del Consiglio sulla sanità nella società digitale (7), quali i dati sui pazienti contenuti nelle prescrizioni elettroniche e nei profili sanitari sintetici e, in ultima istanza, cartelle cliniche elettroniche più esaustive, nonché di sviluppare altri casi d’uso e settori di informazioni sanitarie.

(7)

L’infrastruttura di servizi digitali di eHealth per i servizi informativi transfrontalieri per l’assistenza sanitaria online è composta da servizi chiave e da servizi generici, come previsto dal regolamento (UE) n. 283/2014 del Parlamento europeo e del Consiglio (8). I servizi chiave sono sviluppati, prestati e gestiti dalla Commissione europea. Insieme ai servizi generici, essi dovrebbero consentire e sostenere la connettività transeuropea. I servizi generici sono sviluppati, prestati e gestiti dai punti di contatto nazionali per l’eHealth, designati da ciascuno Stato membro. I punti di contatto nazionali per l’eHealth, che utilizzano i servizi generici, collegano l’infrastruttura nazionale con i punti di contatto nazionali per l’eHealth di un altro Stato membro attraverso le piattaforme di servizi digitali chiave.

(8)

Al fine di migliorare lo scambio transfrontaliero di dati sanitari e conseguire l’interoperabilità tecnica, semantica e organizzativa tra i sistemi nazionali di assistenza sanitaria online, la rete eHealth dovrebbe, nel contesto dell’infrastruttura di servizi digitali di eHealth per i servizi informativi transfrontalieri per l’assistenza sanitaria online, assumere un ruolo guida nell’elaborazione e nel coordinamento dei requisiti e delle specifiche comuni necessari.

(9)

La rete eHealth sta già svolgendo diverse attività nel settore dell’assistenza sanitaria online, illustrate nel suo programma di lavoro pluriennale e intese principalmente a fornire orientamenti, condividere buone pratiche o individuare modalità di collaborazione comuni. Tra queste figurano, ad esempio, le attività finalizzate a consentire ai cittadini di svolgere un ruolo attivo nella gestione dei propri dati sanitari, anche nel settore dell’assistenza sanitaria online, della sanità mobile e della telemedicina; a promuovere l’accesso, l’uso e la condivisione dei propri dati sanitari da parte dei pazienti; nonché le competenze digitali dei pazienti nel settore della salute. Altre attività della rete riguardano l’uso innovativo dei dati sanitari, compresi i megadati, l’intelligenza artificiale, lo sviluppo di conoscenze in materia di politica sanitaria, compresa la messa a disposizione, in collaborazione con le parti interessate a livello nazionale e dell’UE, di orientamenti sulla promozione della salute, sulla prevenzione delle malattie e sul miglioramento della prestazione dell’assistenza sanitaria grazie a un uso migliore dei dati sanitari. La rete assiste gli Stati membri nel loro impegno per consentire la condivisione e l’utilizzo dei dati sanitari e medici per la sanità pubblica e la ricerca. Conformemente all’articolo 14, paragrafo 2, lettera c), della direttiva 2011/24/UE, sostiene inoltre gli Stati membri nello sviluppo di strumenti elettronici di identificazione e autenticazione per agevolare la trasferibilità dei dati nell’assistenza sanitaria transfrontaliera, in particolare per quanto riguarda l’infrastruttura di servizi digitali di eHealth per i servizi informativi transfrontalieri per l’assistenza sanitaria online, tenendo conto del quadro eIDAS e delle altre azioni in corso a livello dell’Unione.

(10)

La rete eHealth si sta adoperando anche per migliorare la continuità dell’assistenza grazie alla promozione della diffusione dei servizi di assistenza sanitaria online transfrontalieri e allo sviluppo di casi d’uso e di settori di informazioni sanitarie nuovi in aggiunta ai profili sanitari sintetici dei pazienti e alle prescrizioni elettroniche, nonché al superamento delle sfide in materia di attuazione, correlate all’interoperabilità, alla protezione e alla sicurezza dei dati o alle competenze informatiche degli operatori sanitari. Essa favorisce inoltre una maggiore interoperabilità dei sistemi nazionali delle tecnologie di informazione e di comunicazione e la trasferibilità transfrontaliera dei dati sanitari elettronici nell’assistenza sanitaria transfrontaliera, fornendo orientamenti sui requisiti e sulle specifiche da utilizzare per realizzare l’interoperabilità tecnica, semantica e organizzativa tra i sistemi sanitari digitali nazionali. La rete è impegnata a promuovere una cooperazione più stretta per sviluppare e condividere le buone pratiche nelle strategie nazionali in materia di sanità digitale, al fine di creare una convergenza per un sistema interoperabile di assistenza sanitaria online.

(11)

Nell’elaborare orientamenti sugli aspetti relativi alla sicurezza dello scambio di dati, la rete eHealth dovrebbe avvalersi delle competenze del gruppo di cooperazione in materia di sicurezza delle reti e dei sistemi informativi, istituito a norma dell’articolo 11 della direttiva (UE) 2016/1148 del Parlamento europeo e del Consiglio (9), e dell’Agenzia dell’Unione europea per la cibersicurezza (ENISA).

(12)

La rete eHealth sta anche promuovendo lo scambio di opinioni tra i suoi membri sulle sfide strategiche nazionali per quanto riguarda le nuove tecnologie e gli usi dei dati e dovrebbe promuovere discussioni con altri pertinenti consessi dell’Unione (quali il gruppo direttivo per la promozione della salute, la prevenzione delle malattie e la gestione delle malattie non trasmissibili o il comitato degli Stati membri sulle reti europee di riferimento) in merito alle priorità, agli orientamenti strategici e alla loro attuazione.

(13)

Il 6 febbraio 2019 la Commissione ha adottato una raccomandazione relativa a un formato europeo di scambio delle cartelle cliniche elettroniche (10) (la «raccomandazione della Commissione»). Al fine di promuovere la diffusione e l’ulteriore sviluppo del formato europeo di scambio delle cartelle cliniche elettroniche e di facilitarne l’uso, la rete eHealth, in collaborazione con la Commissione, le parti interessate, i medici, i rappresentanti dei pazienti e le autorità competenti, dovrebbe sviluppare orientamenti, promuovere ulteriormente lo sviluppo e il monitoraggio del formato di scambio delle cartelle cliniche elettroniche e sostenere gli Stati membri nel garantire la privacy e la sicurezza degli scambi di dati. Al fine di rafforzare l’interoperabilità, la rete ha sviluppato linee guida sugli investimenti (11) che raccomandano di tenere conto delle norme e delle specifiche cui è fatto riferimento nella raccomandazione della Commissione, in particolare ai fini delle procedure di appalto.

(14)

Poiché l’infrastruttura di servizi digitali di eHealth per i servizi informativi transfrontalieri per l’assistenza sanitaria online rappresenta un elemento importante del funzionamento della rete, è opportuno chiarire il ruolo della rete eHealth in tale infrastruttura e in altri servizi europei di eHealth condivisi al fine di garantire un funzionamento trasparente della rete.

(15)

Affinché lo scambio di dati sanitari tra gli Stati membri possa avvenire in modo efficace, la rete eHealth dovrebbe adoperarsi per mettere gli Stati membri in condizione di effettuare tale scambio. In particolare, in base al rispetto di requisiti predefiniti e di prove e audit eseguiti dalla Commissione e, se possibile da altri esperti, la rete eHealth dovrebbe avere la possibilità di concordare la preparazione organizzativa, semantica e tecnica degli Stati membri candidati, necessaria per scambiare dati sanitari elettronici esaustivi convalidati per i casi d’uso approvati tramite i rispettivi punti di contatto nazionali per l’eHealth, e la loro costante idoneità a tale riguardo.

(16)

Per assicurare un funzionamento efficace e trasparente della rete è opportuno stabilire norme per l’adozione del regolamento interno e del programma di lavoro pluriennale, nonché per la creazione di sottogruppi al fine di garantire l’efficace funzionamento della rete eHealth. Il regolamento interno dovrebbe specificare la procedura da seguire per le decisioni sullo scambio di dati personali tramite l’infrastruttura di servizi digitali di eHealth per i servizi informativi transfrontalieri per l’assistenza sanitaria online, come descritto in precedenza.

(17)

I membri della rete eHealth interessati possono far progredire la loro collaborazione nei settori che rientrano nei compiti della rete. Tale collaborazione è promossa dagli Stati membri e ha carattere volontario. È questo il caso dell’infrastruttura di servizi digitali di eHealth per i servizi informativi transfrontalieri per l’assistenza sanitaria online e potrebbe anche essere il caso di altri servizi europei di eHealth condivisi sviluppati nel quadro della rete eHealth. Allorché scelgono di far progredire la loro collaborazione, gli Stati membri dovrebbero concordare le regole di tale cooperazione e impegnarsi a rispettarle.

(18)

Al fine di continuare a garantire un funzionamento trasparente della rete eHealth, è opportuno definire la relazione di questa con la Commissione, in particolare con riferimento ai compiti della rete eHealth e al ruolo della Commissione nello scambio transfrontaliero di dati sanitari tramite l’infrastruttura di servizi digitali di eHealth per i servizi informativi transfrontalieri per l’assistenza sanitaria online.

(19)

Il trattamento dei dati personali dei pazienti, dei rappresentanti degli Stati membri, degli esperti e degli osservatori che partecipano alla rete eHealth, effettuato sotto la responsabilità degli Stati membri o di altre organizzazioni o organismi pubblici degli Stati membri, dovrebbe essere realizzato conformemente al regolamento generale sulla protezione dei dati e alla direttiva 2002/58/CE del Parlamento europeo e del Consiglio (12). I dati personali dei rappresentanti delle autorità nazionali responsabili dell’assistenza sanitaria online, degli altri rappresentanti degli Stati membri, degli esperti e degli osservatori che partecipano alla rete eHealth sono trattati dalla Commissione conformemente al regolamento (UE) 2018/1725. Il trattamento dei dati personali allo scopo di gestire e garantire la sicurezza dei servizi chiave dell’infrastruttura di servizi digitali di eHealth per i servizi informativi transfrontalieri per l’assistenza sanitaria online effettuato sotto la responsabilità della Commissione dovrebbe ottemperare alle disposizioni del regolamento (UE) 2018/1725.

(20)

Gli Stati membri, rappresentati dalle competenti autorità nazionali o da altri organismi designati, determinano congiuntamente le finalità e i mezzi del trattamento dei dati personali attraverso l’infrastruttura di servizi digitali di eHealth per i servizi informativi transfrontalieri per l’assistenza sanitaria online e sono pertanto titolari del trattamento. Le rispettive responsabilità dei titolari del trattamento dovrebbero essere definite in un accordo separato. La Commissione, in quanto fornitrice di soluzioni tecniche e organizzative dell’infrastruttura di servizi digitali di eHealth per i servizi informativi transfrontalieri per l’assistenza sanitaria online, procede al trattamento per conto degli Stati membri dei dati personali criptati dei pazienti tra i punti di contatto nazionali per l’eHealth ed è pertanto responsabile del trattamento. A norma dell’articolo 28 del regolamento generale sulla protezione dei dati e dell’articolo 29 del regolamento (UE) 2018/1725, i trattamenti da parte di un responsabile del trattamento sono disciplinati da un contratto o da un atto giuridico a norma del diritto dell’Unione o degli Stati membri che vincola il responsabile del trattamento al titolare del trattamento e che specifica i trattamenti. La presente decisione stabilisce le norme che disciplinano i trattamenti da parte della Commissione in qualità di responsabile del trattamento.

(21)

Al fine di garantire pari diritti di accesso sulla base del regolamento generale sulla protezione dei dati e del regolamento (UE) 2018/1725, la Commissione dovrebbe essere considerata titolare del trattamento dei dati personali in relazione alla gestione dei diritti di accesso ai servizi chiave dell’infrastruttura di servizi digitali di eHealth per i servizi informativi transfrontalieri per l’assistenza sanitaria online.

(22)	Al fine di rendere trasparenti le procedure di rimborso, è opportuno stabilire norme in merito alle spese dei partecipanti alle attività della rete eHealth.

(23)	Per motivi di certezza del diritto e di chiarezza è pertanto opportuno abrogare la decisione di esecuzione 2011/890/UE e sostituirla con la presente decisione.

(24)	Le misure di cui alla presente decisione sono conformi al parere del comitato istituito a norma dell’articolo 16 della direttiva 2011/24/UE,

HA ADOTTATO LA PRESENTE DECISIONE:

Articolo 1

Oggetto

La presente decisione stabilisce le norme necessarie per l’istituzione, la gestione e il funzionamento della rete eHealth di autorità nazionali responsabili dell’assistenza sanitaria online prevista dall’articolo 14 della direttiva 2011/24/UE.

Articolo 2

Definizioni

1. Ai fini della presente decisione si applicano le seguenti definizioni:

a)	«rete eHealth»: la rete volontaria che collega le autorità nazionali responsabili dell’assistenza sanitaria online designate dagli Stati membri e che persegue gli obiettivi di cui all’articolo 14 della direttiva 2011/24/UE;

b)	«punti di contatto nazionali per l’eHealth»: i portali tecnici e organizzativi per la prestazione di servizi informativi transfrontalieri per l’assistenza sanitaria online sotto la responsabilità degli Stati membri;

c)	«servizi informativi transfrontalieri per l’assistenza sanitaria online»: i servizi esistenti che sono trattati tramite i punti di contatto nazionali per l’eHealth e una piattaforma di servizi digitali chiave sviluppata dalla Commissione ai fini dell’assistenza sanitaria transfrontaliera;

«infrastruttura di servizi digitali di eHealth per i servizi informativi transfrontalieri per l’assistenza sanitaria online»: l’infrastruttura che consente la prestazione di servizi informativi transfrontalieri per l’assistenza sanitaria online tramite i punti di contatto nazionali per l’eHealth e la piattaforma europea di servizi digitali chiave. Tale infrastruttura comprende sia i servizi generici, quali definiti all’articolo 2, paragrafo 2, lettera e), del regolamento (UE) n. 283/2014, sviluppati dagli Stati membri, sia una piattaforma di servizi digitali chiave, quale definita all’articolo 2, paragrafo 2, lettera d), dello stesso regolamento, sviluppata dalla Commissione;

e)	«altri servizi europei di eHealth condivisi»: i servizi digitali che possono essere sviluppati nel quadro della rete eHealth e condivisi tra gli Stati membri;

«modello di governance»: una serie di norme relative alla designazione degli organismi che partecipano ai processi decisionali relativi all’infrastruttura di servizi digitali di eHealth per i servizi informativi transfrontalieri per l’assistenza sanitaria online o ad altri servizi europei di eHealth condivisi sviluppati nel quadro della rete eHealth, nonché la descrizione di tali processi.

2. Le definizioni di cui ai punti 1), 2), 7) e 8) dell’articolo 4 del regolamento (UE) 2016/679 si applicano di conseguenza.

Articolo 3

Membri della rete eHealth

1. I membri della rete eHealth sono le autorità degli Stati membri responsabili dell’assistenza sanitaria online, designate dagli Stati membri che partecipano alla rete eHealth.

2. Gli Stati membri che intendono partecipare alla rete eHealth notificano per iscritto alla Commissione:

a)	la decisione di partecipare alla rete eHealth;

b)	l’autorità nazionale responsabile dell’assistenza sanitaria online che diventerà membro della rete eHealth, nonché il nome del rappresentante e quello del suo supplente.

3. I membri notificano per iscritto alla Commissione:

a)	la loro decisione di recedere dalla rete eHealth;

b)	qualsiasi modifica delle informazioni di cui al paragrafo 2, lettera b).

4. La Commissione mette a disposizione del pubblico l’elenco dei membri che partecipano alla rete eHealth.

Articolo 4

Attività della rete eHealth

1. Nel perseguire l’obiettivo di cui all’articolo 14, paragrafo 2, lettera a), della direttiva 2011/24/UE, la rete eHealth può, in particolare:

a)	facilitare una maggiore interoperabilità dei sistemi nazionali delle tecnologie di informazione e di comunicazione e la trasferibilità transfrontaliera dei dati sanitari elettronici nell’assistenza sanitaria transfrontaliera;

b)	fornire orientamenti agli Stati membri, in collaborazione con altre autorità di vigilanza competenti, per quanto riguarda la condivisione dei dati sanitari tra gli Stati membri e la possibilità per i cittadini di avere accesso ai propri dati sanitari e di condividerli;

fornire orientamenti agli Stati membri e facilitare lo scambio di buone pratiche in merito allo sviluppo di servizi sanitari digitali differenti, come la telemedicina, la sanità mobile o le nuove tecnologie nel settore dei megadati e dell’intelligenza artificiale, tenendo conto delle azioni in corso a livello dell’UE;

fornire orientamenti agli Stati membri per quanto riguarda il sostegno alla promozione della salute, alla prevenzione delle malattie e al miglioramento della prestazione dell’assistenza sanitaria grazie un uso migliore dei dati sanitari e l’accrescimento delle competenze digitali dei pazienti e degli operatori sanitari;

e)	fornire orientamenti agli Stati membri e facilitare lo scambio volontario di migliori pratiche sugli investimenti in infrastrutture digitali;

f)	fornire agli Stati membri, in collaborazione con altri organismi e soggetti interessati, orientamenti sui necessari casi d’uso per l’interoperabilità clinica e gli strumenti per realizzarla;

fornire ai membri orientamenti sulla sicurezza dell’infrastruttura di servizi digitali di eHealth per i servizi informativi transfrontalieri per l’assistenza sanitaria online o di altri servizi europei di eHealth condivisi sviluppati nel quadro della rete eHealth, tenendo conto della legislazione e dei documenti elaborati a livello dell’Unione, in particolare nel settore della sicurezza, nonché delle raccomandazioni nel settore della cibersicurezza, operando in stretta collaborazione con il gruppo di cooperazione in materia di sicurezza delle reti e dei sistemi informativi e con l’Agenzia dell’Unione europea per la cibersicurezza nonché con le autorità nazionali, se del caso.

2. Nell’elaborazione di orientamenti in merito a metodi efficaci per consentire l’uso di informazioni mediche per la sanità pubblica e la ricerca di cui all’articolo 14, paragrafo 2, lettera b), punto ii), della direttiva 2011/24/UE, la rete eHealth tiene conto degli orientamenti adottati dal comitato europeo per la protezione dei dati e, se del caso, lo consulta. Tali orientamenti possono anche riguardare le informazioni scambiate tramite l’infrastruttura di servizi digitali di eHealth per i servizi informativi transfrontalieri per l’assistenza sanitaria online o altri servizi europei di eHealth condivisi.

Articolo 5

Funzionamento della rete eHealth

1. La rete eHealth adotta il suo regolamento interno a maggioranza semplice dei suoi membri.

2. La rete eHealth adotta un programma di lavoro pluriennale e uno strumento di valutazione dell’attuazione dello stesso.

3. Per assolvere i suoi compiti la rete eHealth può costituire sottogruppi permanenti in relazione a compiti specifici, in particolare per quanto riguarda l’infrastruttura di servizi digitali di eHealth per i servizi informativi transfrontalieri per l’assistenza sanitaria online o gli altri servizi europei di eHealth condivisi sviluppati nel quadro della rete eHealth.

4. La rete eHealth può anche costituire sottogruppi temporanei, anche con esperti, per esaminare questioni specifiche sulla base di un mandato definito dalla stessa rete eHealth. Tali sottogruppi si sciolgono non appena espletato il loro mandato.

5. Allorché decidono di far progredire la loro collaborazione in alcuni settori che rientrano nei compiti della rete, i membri della rete eHealth dovrebbero concordare le regole della cooperazione avanzata e impegnarsi a rispettarle.

6. Nel perseguire i suoi obiettivi, la rete eHealth opera in stretta collaborazione con le azioni comuni che sostengono le attività della rete eHealth, ove tali azioni comuni esistono, con le parti interessate o altri organismi o meccanismi di sostegno interessati, e tiene conto dei risultati ottenuti nel quadro di tali attività.

7. La rete eHealth elabora, insieme alla Commissione, i modelli di governance dell’infrastruttura di servizi digitali di eHealth per i servizi informativi transfrontalieri per l’assistenza sanitaria online e partecipa a tale governance:

i)	concordando le priorità dell’infrastruttura di servizi digitali di eHealth e controllandone il funzionamento;

ii)	elaborando orientamenti e requisiti per il funzionamento, compresa la selezione delle norme utilizzate per l’infrastruttura di servizi digitali di eHealth per i servizi informativi transfrontalieri per l’assistenza sanitaria online;

iii)

decidendo se i membri della rete eHealth debbano essere autorizzati ad avviare e proseguire lo scambio di dati sanitari elettronici attraverso l’infrastruttura di servizi digitali di eHealth per i servizi informativi transfrontalieri per l’assistenza sanitaria online, tramite i rispettivi punti di contatto nazionali per l’eHealth, sulla base della loro rispondenza ai requisiti stabiliti dalla rete eHealth valutata in base ai test eseguiti e agli audit condotti dalla Commissione;

iv)	approvando il piano di lavoro annuale per l’infrastruttura di servizi digitali di eHealth per i servizi informativi transfrontalieri per l’assistenza sanitaria online.

8. La rete eHealth può elaborare, insieme alla Commissione, i modelli di governance di altri servizi europei di eHealth condivisi sviluppati nel quadro della rete eHealth e partecipare alla loro governance. La rete può inoltre stabilire le priorità, d’intesa con la Commissione, ed elaborare orientamenti per il funzionamento di tali servizi europei di eHealth condivisi.

9. Il regolamento interno può prevedere che altri paesi, diversi dagli Stati membri, che applicano la direttiva 2011/24/UE possano partecipare alle riunioni della rete eHealth in qualità di osservatori.

10. I membri della rete eHealth e i loro rappresentanti, nonché gli esperti e gli osservatori invitati, sono tenuti al rispetto degli obblighi del segreto professionale stabiliti dall’articolo 339 del trattato, nonché delle disposizioni della Commissione in materia di sicurezza riguardanti la protezione delle informazioni classificate UE, riportate nella decisione (UE, Euratom) 2015/444 della Commissione (13). In caso di mancato rispetto di tali obblighi il presidente della rete eHealth può adottare tutte le misure appropriate conformemente al regolamento interno.

Articolo 6

Relazione tra la rete eHealth e la Commissione

1. La Commissione:

a)	partecipa alle riunioni della rete eHealth e le copresiede con il rappresentante dei membri;

b)	collabora con la rete eHealth e le fornisce sostegno in relazione alle sue attività;

c)	assicura i servizi di segreteria per la rete eHealth;

d)	sviluppa, applica e mantiene misure tecniche e organizzative adeguate relative ai servizi chiave dell’infrastruttura di servizi digitali di eHealth per i servizi informativi transfrontalieri per l’assistenza sanitaria online;

sostiene la rete eHealth nella verifica della conformità tecnica e organizzativa dei punti di contatto nazionali per l’eHealth ai requisiti per lo scambio transfrontaliero di dati sanitari eseguendo i test e conducendo gli audit necessari. Esperti degli Stati membri possono assistere i controllori della Commissione.

2. La Commissione può partecipare alle riunioni dei sottogruppi della rete eHealth.

3. La Commissione può consultare la rete eHealth su questioni relative all’assistenza sanitaria online a livello dell’Unione e allo scambio di migliori pratiche in materia di assistenza sanitaria online.

4. La Commissione mette a disposizione del pubblico informazioni sulle attività svolte dalla rete eHealth.

Articolo 7

Protezione dei dati

1. Gli Stati membri, rappresentati dalle competenti autorità nazionali o da altri organismi designati, sono considerati titolari del trattamento dei dati personali da essi elaborati tramite l’infrastruttura di servizi digitali di eHealth per i servizi informativi transfrontalieri per l’assistenza sanitaria online e attribuiscono in modo chiaro e trasparente le responsabilità tra i titolari del trattamento.

2. La Commissione è considerata responsabile del trattamento dei dati personali dei pazienti elaborati tramite l’infrastruttura di servizi digitali di eHealth per i servizi informativi transfrontalieri per l’assistenza sanitaria online. In qualità di responsabile del trattamento, la Commissione gestisce i servizi chiave dell’infrastruttura di servizi digitali di eHealth per i servizi informativi transfrontalieri per l’assistenza sanitaria online e rispetta gli obblighi in capo a un responsabile del trattamento di cui all’allegato della presente decisione. La Commissione non ha accesso ai dati personali dei pazienti trattati tramite l’infrastruttura di servizi digitali di eHealth per i servizi informativi transfrontalieri per l’assistenza sanitaria online.

3. La Commissione è considerata titolare del trattamento dei dati personali necessari per concedere e gestire i diritti di accesso ai servizi chiave dell’infrastruttura di servizi digitali di eHealth per i servizi informativi transfrontalieri per l’assistenza sanitaria online. Tali dati sono i recapiti degli utenti, compresi nome, cognome e indirizzo di posta elettronica, e la loro affiliazione.

Articolo 8

Spese

1. I partecipanti alle attività della rete eHealth non sono retribuiti dalla Commissione per i servizi resi.

2. Le spese di viaggio e di soggiorno sostenute dai partecipanti alle attività della rete eHealth sono rimborsate dalla Commissione conformemente alle disposizioni in vigore in seno alla Commissione in materia di rimborso delle spese sostenute da persone estranee alla Commissione invitate a partecipare a riunioni in veste di esperti. Tali spese sono rimborsate nei limiti degli stanziamenti disponibili assegnati nel quadro della procedura annuale di assegnazione delle risorse.

Articolo 9

Abrogazione

La decisione di esecuzione 2011/890/UE è abrogata. I riferimenti alla decisione abrogata si intendono fatti alla presente decisione.

Articolo 10

Destinatari

Gli Stati membri sono destinatari della presente decisione.

Fatto a Bruxelles, il 22 ottobre 2019

Per la Commissione

Vytenis ANDRIUKAITIS

Membro della Commissione

(1) GU L 88 del 4.4.2011, pag. 45.

(2) Decisione di esecuzione 2011/890/UE della Commissione, del 22 dicembre 2011, che stabilisce le norme per l’istituzione, la gestione e il funzionamento della rete di autorità nazionali responsabili dell’assistenza sanitaria on line (GU L 344 del 28.12.2011, pag. 48).

(3) Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (GU L 119 del 4.5.2016, pag. 1).

(4) Regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio, del 23 ottobre 2018, sulla tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni, degli organi e degli organismi dell’Unione e sulla libera circolazione di tali dati, e che abroga il regolamento (CE) n. 45/2001 e la decisione n. 1247/2002/CE (GU L 295 del 21.11.2018, pag. 39).

(5) Regolamento (UE) n. 1316/2013 del Parlamento europeo e del Consiglio, dell’11 dicembre 2013, che istituisce il meccanismo per collegare l’Europa e che modifica il regolamento (UE) n. 913/2010 e che abroga i regolamenti (CE) n. 680/2007 e (CE) n. 67/2010 (GU L 348 del 20.12.2013, pag. 129).

(6) Comunicazione della Commissione relativa alla trasformazione digitale della sanità e dell’assistenza nel mercato digitale, alla responsabilizzazione dei cittadini e alla creazione di una società più sana, COM(2018) 233 final, pag. 7.

(7) Conclusioni del Consiglio (2017/C 440/05) sulla sanità nella società digitale — Progredire nell’innovazione basata sui dati nel settore della sanità, punto 30.

(8) Regolamento (UE) n. 283/2014 del Parlamento europeo e del Consiglio, dell’11 marzo 2014, sugli orientamenti per le reti transeuropee nel settore dell’infrastruttura di telecomunicazioni e che abroga la decisione n. 1336/97/CE (GU L 86 del 21.3.2014, pag. 14).

(9) Direttiva (UE) 2016/1148 del Parlamento europeo e del Consiglio, del 6 luglio 2016, recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell’Unione (GU L 194 del 19.7.2016, pag. 1).

(10) Raccomandazione (UE) 2019/243 della Commissione, del 6 febbraio 2019, relativa a un formato europeo di scambio delle cartelle cliniche elettroniche (GU L 39 dell’11.2.2019, pag. 18).

(11) https://ec.europa.eu/health/sites/health/files/ehealth/docs/ev_20190611_co922_en.pdf

(12) Direttiva 2002/58/CE del Parlamento europeo e del Consiglio, del 12 luglio 2002, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (direttiva relativa alla vita privata e alle comunicazioni elettroniche) (GU L 201 del 31.7.2002, pag. 37).

(13) Decisione (UE, Euratom) 2015/444 della Commissione, del 13 marzo 2015, sulle norme di sicurezza per proteggere le informazioni classificate UE (GU L 72 del 17.3.2015, pag. 53).

ALLEGATO

RESPONSABILITÀ DELLA COMMISSIONE IN QUALITÀ DI RESPONSABILE DEL TRATTAMENTO DEI DATI PER L’INFRASTRUTTURA DI SERVIZI DIGITALI DI eHEALTH PER I SERVIZI INFORMATIVI TRANSFRONTALIERI PER L’ASSISTENZA SANITARIA ONLINE

La Commissione:

Istituisce un’infrastruttura di comunicazione sicura e affidabile che interconnette le reti dei membri della rete eHealth che partecipano all’infrastruttura di servizi digitali di eHealth per i servizi informativi transfrontalieri per l’assistenza sanitaria online («infrastruttura di comunicazione sicura centrale») e ne assicura il funzionamento. Per adempiere ai suoi obblighi, la Commissione può ricorrere a terzi. La Commissione si assicura che a detti terzi si applichino gli stessi obblighi in materia di protezione dei dati di cui alla presente decisione.

2.	Configura una parte dell’infrastruttura di comunicazione sicura centrale in modo che i punti di contatto nazionali per l’eHealth possano scambiarsi informazioni in maniera sicura, affidabile ed efficiente.

3.	Tratta i dati personali su istruzione documentata dei titolari del trattamento.

Adotta tutte le misure di sicurezza fisiche, logiche e organizzative per mantenere efficiente l’infrastruttura di comunicazione sicura centrale. A tal fine la Commissione:

a)	designa un responsabile per la gestione della sicurezza a livello dell’infrastruttura di comunicazione sicura centrale, ne comunica i dati di contatto ai titolari del trattamento e garantisce la sua disponibilità a reagire alle minacce alla sicurezza;

b)	si assume la responsabilità della sicurezza dell’infrastruttura di comunicazione sicura centrale;

c)	si assicura che tutte le persone cui è consentito l’accesso all’infrastruttura di comunicazione sicura centrale siano assoggettati per contratto, professionalmente o per legge all’obbligo di riservatezza;

d)	si assicura che il personale che ha accesso alle informazioni classificate soddisfi i relativi criteri in materia di nulla osta e riservatezza.

Adotta tutte le misure di sicurezza necessarie per evitare di compromettere il regolare funzionamento operativo del dominio dell’altro. A tal fine la Commissione istituisce le procedure specifiche relative alla connessione all’infrastruttura di comunicazione sicura centrale. Tali informazioni comprendono:

a)	una procedura di valutazione del rischio finalizzata a individuare e stimare potenziali minacce al sistema;

una procedura di audit e revisione finalizzata a:

i)	verificare la corrispondenza tra le misure di sicurezza applicate e la politica di sicurezza attuata;

ii)	controllare periodicamente l’integrità dei file di sistema, dei parametri di sicurezza e delle autorizzazioni concesse;

iii)	effettuare controlli allo scopo di rilevare violazioni della sicurezza e intrusioni;

iv)	apportare modifiche per colmare le lacune esistenti in materia di sicurezza;

v)	definire le condizioni alle quali autorizzare, anche su richiesta dei titolari del trattamento, audit indipendenti, comprese ispezioni, e contribuire all’esecuzione di tali audit e di revisioni delle misure di sicurezza;

una procedura di controllo delle modifiche finalizzata a documentare e misurare l’impatto di una modifica prima della sua realizzazione e a tenere informati i punti di contatto nazionali per l’eHealth in merito a eventuali modifiche in grado di avere effetti sulla comunicazione con le altre infrastrutture nazionali e/o sulla sicurezza di queste;

d)	una procedura per la manutenzione e la riparazione finalizzata a specificare le norme e le condizioni da seguire in caso di manutenzione e/o riparazione delle attrezzature;

una procedura per gli incidenti alla sicurezza finalizzata a definire il sistema di segnalazione e successione, informare senza indugio l’amministrazione nazionale responsabile e il garante europeo della protezione dei dati in merito a qualsiasi violazione della sicurezza e definire un processo disciplinare per affrontare le violazioni della sicurezza.

Adotta misure di sicurezza fisiche e/o logiche per le strutture che ospitano le attrezzature per l’infrastruttura di comunicazione sicura centrale e i controlli relativi all’accesso alla sicurezza e ai dati logici. A tal fine la Commissione:

a)	garantisce il rispetto della sicurezza fisica per stabilire specifici perimetri di sicurezza e consentire l’individuazione di violazioni;

b)	controlla l’accesso alle strutture e tiene un registro dei visitatori a fini di tracciabilità;

c)	si assicura che le persone esterne a cui è consentito l’accesso ai locali siano scortate da personale debitamente autorizzato della rispettiva organizzazione;

d)	provvede affinché non possano essere aggiunte, sostituite o rimosse attrezzature senza la preventiva autorizzazione degli organismi responsabili designati;

e)	controlla l’accesso da e verso un’altra rete o altre reti interconnesse con l’infrastruttura di comunicazione sicura centrale;

f)	provvede affinché le persone che accedono all’infrastruttura di comunicazione sicura centrale siano identificate e la loro identità sia accertata;

g)	riesamina i diritti di autorizzazione relativi all’accesso all’infrastruttura di comunicazione sicura centrale in caso di violazione della sicurezza riguardante tale infrastruttura;

h)	salvaguarda l’integrità delle informazioni trasmesse attraverso l’infrastruttura di comunicazione sicura centrale;

i)	applica misure tecniche e organizzative di sicurezza per impedire l’accesso non autorizzato ai dati personali;

j)	applica, ove necessario, misure per bloccare l’accesso non autorizzato all’infrastruttura di comunicazione sicura centrale dal dominio dei punti di contatto nazionali per l’eHealth (ossia blocco di un indirizzo IP/di localizzazione).

7.	Adotta misure per proteggere il suo dominio, compresa l’interruzione delle connessioni, in caso di scostamento sostanziale rispetto ai principi e ai concetti in materia di qualità o di sicurezza.

8.	Prevede un piano di gestione dei rischi in relazione al suo settore di competenza.

9.	Monitora — in tempo reale — l’efficienza di tutte le componenti dei suoi servizi dell’infrastruttura di comunicazione sicura centrale, produce statistiche periodiche e conserva le informazioni.

10.

Fornisce (24 ore su 24 e sette giorni alla settimana) supporto in inglese per tutti i servizi dell’infrastruttura di comunicazione sicura centrale tramite telefono, posta elettronica o portale web e accetta le chiamate dai chiamanti autorizzati: coordinatori dell’infrastruttura di comunicazione sicura centrale e rispettivi helpdesk, responsabili di progetto e persone designate dalla Commissione.

11.

Assiste i titolari del trattamento fornendo informazioni relative all’infrastruttura di comunicazione sicura centrale dell’infrastruttura di servizi digitali di eHealth per i servizi informativi transfrontalieri per l’assistenza sanitaria online, ai fini dell’adempimento degli obblighi di cui agli articoli 35 e 36 del regolamento (UE) 2016/679.

12.	Si assicura che i dati trasportati all’interno dell’infrastruttura di comunicazione sicura centrale siano criptati.

13.	Adotta tutte le misure necessarie per evitare che gli operatori dell’infrastruttura di comunicazione sicura centrale abbiano accesso non autorizzato ai dati trasportati.

14.	Adotta misure volte a facilitare l’interoperabilità e la comunicazione tra le amministrazioni nazionali competenti designate dell’infrastruttura di comunicazione sicura centrale.