Con un provvedimento adottato il 12 luglio 2022, l’European Data Protection Board e l’European Data Protection Supervisor hanno reso una joint opinion in relazione alla proposta di Regolamento on the European Health Data Space, pubblicata dalla Commissione europea il precedente 3 maggio.
In particolare, la Proposta si pone come obiettivo quello di espandere l’utilizzo di dati elettronici relativi alla salute, al fine di fornire le cure necessarie ai soggetti a cui i dati si riferiscono (cosiddetto “uso primario”) e di migliorare le attività di ricerca e di innovazione (cosiddetto “uso secondario”), nonché contribuire a mitigare l’attuale frammentazione normativa nell’ambito del trattamento dei dati sanitari e della ricerca scientifica.
Già solo dalla descrizione degli obiettivi del Regolamento risulta evidente il suo potenziale impatto sui diritti e le libertà fondamentali dei cittadini e, in particolare, quello alla protezione dei loro dati personali, motivo per il quale, subito dopo la pubblicazione della proposta, la Commissione ha richiesto il parere in commento.
Numerose sono le criticità espresse dall’EDPB e l’EDPS con riferimento alla normativa data protection, ma sicuramente le più rilevanti attengono alla gestione dei diritti previsti dalla Proposta e l’opportunità di inserire, nell’ambito di applicazione del Regolamento, i dati prodotti dalle applicazioni di wellness.
Con riferimento all’uso primario dei dati, nel parere è stato evidenziato come i diritti previsti nella Proposta si sovrappongano a quelli previsti dal Regolamento 679/2016 (cosiddetto “GDPR”) agli artt. 15 – 22 e creino un rischio di incertezza normativa. In particolare:
-
non sarebbe chiaro chi dovrebbe essere il soggetto responsabile ad assicurare la rettifica dei dati, posto che ai sensi del GDPR tale soggetto dovrebbe essere il titolare del trattamento eppure, ai sensi della proposta, una pluralità di titolari contribuirebbero al trattamento dei dati elettronici dei pazienti;
-
quanto alle previsioni relative all’accesso ai dati, l’EDPB e l’EDPS hanno rilevato che un siffatto accesso dovrebbe rispettare i principi di minimizzazione e limitazione delle finalità di cui al GDPR, che parrebbero non essere presi in considerazione dalla proposta. In tal senso, è stata auspicata una modifica volta a garantire un accesso basato su un approccio “need-to-know”, soprattutto delimitando le categorie di professionisti che possono avere accesso ai dati.
Uno dei punti fondamentali della Proposta, poi, è costituito dall’interoperabilità dei sistemi, tra cui rientrano le wellness app e le altre applicazioni digitali. Ebbene, a tale proposito, nel parere si rileva come, da un lato, la qualità delle informazioni generata da dette applicazioni potrebbe essere inferiore rispetto a quelle prodotte dai medical device e, dall’altro, potrebbero riguardare numerosi aspetti della vita quotidiana degli individui (non solo quelli relativi alla salute). Pertanto, l’EDPB e l’EDPS ne hanno auspicato l’esclusione dall’ambito di applicazione del Regolamento, soprattutto con riferimento all’utilizzo secondario dei dati.
Infine, l’EDPB e l’EDPS, per quanto riguarda il modello di governance creato dalla Proposta, ha rilevato come i compiti e le competenze dei nuovi organismi pubblici dovrebbero essere attentamente adattati ai compiti e delle competenze delle autorità nazionali di controllo al fine di evitare sovrapposizioni di competenze.
Ariella Fonsi
