Il trattamento e gestione dei dati in ambito sanitario è sempre in continuo movimento.
Si potrebbe pensare che siano soprattutto le novità tecnologiche a contribuirne lo sviluppo, la crescita e l’evoluzione, ma in realtà anche i legislatori (quello italiano e quello europeo) sono strategici in questo settore.
[Vedi da ultimo Cybersecurity in sanità: come prepararsi alla NIS2
Proprio in questi giorni alcuni interessanti interventi normativi consentono agli operatori del settore sanitario di fare dei ragionamenti per progetti nuovi e funzionalità strategiche per la propria competitività e ancora non parliamo di Intelligenza Artificiale, forse.
Indice
Spazio Europeo dei Dati Sanitari (“EHDS”)
Nel mese di aprile il Parlamento europeo ha approvato il Regolamento sullo Spazio Europeo dei Dati Sanitari (European Health Data Space).
Un passo importante verso l’approvazione della proposta di Regolamento presentata dalla Commissione nel 2022 e che, se tutto andrà bene, arriverà all’approvazione definitiva il prossimo autunno. Per la effettiva vigenza del Regolamento, però, si dovrà aspettare almeno due anni che, per alcuni elementi, potranno anche raddoppiarsi.
Il Regolamento rappresenta solo uno dei pilastri dell’ambiziosa “Strategia Europea per i Dati” della Commissione, che ha l’obiettivo di creare un “mercato unico dei dati”, che garantisca la competitività globale dell’Europa e la sovranità sui dati, anche attraverso la creazione di spazi comuni per la condivisione delle informazioni. Ma vediamo di cosa si tratta quando parliamo di Spazio Europeo dei dati Sanitari.
Si tratta di una risorsa per il settore sanitario che consentirà di migliorare l’accesso ed il controllo delle persone sui propri dati sanitari, permettendone al contempo il riutilizzo per scopi di pubblico interesse (c.d. uso secondario). Il progetto prevede la creazione di un ambiente specifico per i dati sanitari che contribuirà a promuovere un mercato unico per i prodotti e servizi sanitari digitali, a beneficio dei pazienti e dell’intera collettività.
Quali sono gli obiettivi dell’EHDS?
Ecco, in sintesi, gli obiettivi perseguiti.
- Dare più potere alle persone attraverso un maggiore accesso digitale e un maggiore controllo dei loro dati sanitari personali elettronici, a livello nazionale e in tutta l’UE. Maggiore potere e controllo dei dati, però, passa attraverso l’individuazione di regole, standard e infrastrutture comuni nonché un quadro per la governance dei dati sanitari, con l’obiettivo di facilitare l’accesso ai dati sanitari elettronici ai fini del loro utilizzo primario e secondario, ovunque il cittadino si trovi.
- Promuovere un mercato unico per i sistemi di cartelle cliniche elettroniche, i relativi dispositivi medici e i sistemi di IA ad alto rischio. Il Regolamento, infatti, prevede l’obbligo di conformità degli “electronic health record systems” (o EHR systems) alle specifiche previste per il formato europeo di scambio dei dati sanitari elettronici, in modo da garantire la sicurezza dei dati e renderne possibile la condivisione al di là dei confini degli Stati membri. Il progetto Ue ricorda però anche il progetto di Fascicolo Sanitario elettronico del legislatore italiano (FSE 2.0: evoluzione e opportunità).
- Fornire una struttura affidabile ed efficiente per l’ uso dei dati sanitari per attività di ricerca e innovazione. Parliamo, in particolare, della possibilità di riutilizzare i dati sanitari, raccolti per finalità di cura, per finalità di ricerca scientifica. Una possibilità che oggi incontra ostacoli nati soprattutto dalla preoccupazione dei soggetti coinvolti di violare la normativa in materia di protezione dei dati personali, in primis il Regolamento (UE) 2016/679 (“GDPR”) e, a cascata, le varie declinazioni nazionali (ad esempio, il D.lgs. 196/2003 (“Codice Privacy”). Con questo Regolamento si prevede di costruire un sistema coerente, affidabile ed efficiente per l’utilizzo dei dati sanitari per la ricerca, l’innovazione, l’elaborazione delle politiche e le attività normative, così detto uso secondario dei dati.
Le novità sulla ricerca
E’ di questo giorni la notizia la notizia dell’approvazione di un ulteriore emendamento al Decreto PNRR che include una modifica all’art. 110 del Codice Privacy. La formulazione di questa norma, all’indomani dell’entrata in vigore del GDPR, presentava un ostacolo per la realizzazione di Studi Retrospettivi, introducendo per questi studi il requisito obbligatorio della consultazione preventiva presso il Garante. La nuova formulazione ha eliminato il requisito della consultazione preventiva, di fatto aprendo, anche in sede nazionale al riuso dei dati per tali finalità.
La nuova formulazione, in assenza di consenso dell’interessato, i dati personali possono essere trattati per fini di ricerca scientifica a condizione che sia ottenuto il parere favorevole del competente comitato etico e che siano osservate le garanzie dettate dal Garante per la protezione dei dati personali.
La normativa sull’Intelligenza Artificiale
Anche in materia di Intelligenza Artificiale c’è ancora molto fermento.
Se da una parte l’Unione Europea (UE) si avvicina alla promulgazione dell’AI Act, l’Italia ha avviato un iter legislativo di adozione di una normativa specifica. Non si esclude che altri Paesi seguano lo stesso esempio e che le normative locali (come quella italiana) diventino vincolanti prima dell’AI Act.
La proposta di legge italiana sull’AI propone una strategia nazionale completa che affronta gli impatti sociali, normativi, economici e sulla privacy dell’AI. In particolare, richiede che i sistemi di AI rispettino, tra gli altri, i principi di trasparenza, proporzionalità, sicurezza, protezione dei dati personali, riservatezza, accuratezza, non discriminazione, parità di genere e sostenibilità. Oltre al rispetto di questi principi, la proposta stabilisce che lo sviluppo di sistemi e modelli di intelligenza artificiale deve avvenire utilizzando dati e processi che devono essere monitorati per correttezza, affidabilità, sicurezza, qualità, adeguatezza e trasparenza. Il soddisfacimento di tutti questi requisiti deve essere documentato e le aziende devono quindi implementare politiche appropriate e garantire la documentazione delle attività svolte durante lo sviluppo, l’implementazione e l’utilizzo dei sistemi di AI.
Nella proposta di legge, sono state introdotte delle norme specifiche anche per i sistemi di AI utilizzati nel settore sanitario, riconoscendo il loro potenziale nel contribuire al miglioramento del sistema sanitario e alla prevenzione e al trattamento delle malattie.
La protezione dei dati personali è un requisito sine qua non per la correttezza dei sistemai di AI.
Il disegno di legge italiano sull’AI prevede che: i sistemi di AI e i relativi dati utilizzati nel settore sanitario devono essere affidabili e periodicamente verificati e aggiornati; e il paziente coinvolto ha il diritto di essere informato sull’uso delle tecnologie di intelligenza artificiale, sui benefici diagnostici e terapeutici derivanti dall’utilizzo delle nuove tecnologie e sulle informazioni relative alla logica decisionale utilizzata.
Il Disegno di legge italiano -attualmente in discussione – a differenza dell’AI Act prevede ulteriori controlli e misure rispetto alla normativa europea.
Conclusione
La regolamentazione dell’utilizzo delle tecnologie e dell’innovazione ha come scopo quello di di assicurare il rispetto dei principi etici e della protezione dei dati personali, seppur a fatica a volte. E’ innegabile, infatti, che la tecnologia viaggia con una velocità spesso irraggiungibile per il legislatore. Ma le normative degli ultimi anni – a livello europeo e nazionale – perseguono l’obiettivo congiunto di creare un ambiente in cui la tecnologia possa essere applicata nel rispetto dei diritti delle persone fisiche e della tutela dei dati.
Lo spazio europeo dei dati sanitari muove in questa direzione. Ma tutte le norme che vengono emanate devono essere viste in un quadro più ampio e complesso della normativa che hanno, come riferimento principale, il Regolamento Generale sulla protezione dei dati (GDPR), ma anche la Data Governance Act (DGA), la direttiva NIS 2.
La conoscenza di queste normative può diventare oggi uno strumento di competitività anche per le strutture sanitarie. Per questo motivo ne parleremo nel corso dell’evento in programma per il prossimo 23 maggio.