Reg. n. 327/2025,L’avanzamento della sanità digitale. Dallo spazio europeo dei dati sanitari all’ecosistema dati sanitari

Reg. Ue n. 327 del 2025 - Legge 30 dicembre 2024, n. 207 - Decreto del Ministero della salute 30 dicembre 2024 - Decreto del Ministero della salute 31 dicembre 2024 - Disegno di legge presentato dal Presidente del Consiglio dei ministri e dal Ministro della giustizia comunicato alla presidenza il 20 maggio 2025

Nuovi e importanti tasselli normativi si aggiungono al quadro di regole in materia di sanità digitale.

Il Regolamento UE 2025/327 dell’11 febbraio 2025, pubblicato nella Gazzetta Ufficiale dell’Unione europea il 5 marzo 2025, ha istituito l’European Health Data Space (c.d. EHDS), lo spazio europeo dei dati sanitari. Si tratta del primo spazio comune europeo dei dati lanciato dalla Commissione europea. La proposta di Regolamento fu presentata il 3 maggio 2022 e, attraverso le successive fasi di dialogo interistituzionale proprie della procedura legislativa ordinaria, è stata modificata e approvata dal Parlamento europeo ad aprile 2024 e dal Consiglio a gennaio 2025.

Tappa fondamentale della strategia europea per i dati, il reg. Ue n. 327 del 2025 è elemento costitutivo della c.d. Unione europea della salute ed è definito dalla Commissione in tale contesto una ‘iniziativa faro’ (v. Comunicazione della Commissione al Parlamento europeo, al Consiglio, al Comitato economico e sociale europeo e al Comitato delle Regioni, L'Unione europea della salute: agire insieme per la salute delle persone, COM(2024) 206 final, 22 maggio 2024). Con l’EHDS, infatti, si vuole offrire una migliore assistenza sanitaria transfrontaliera, grazie a una circolazione dei dati più sicura e diretta fra gli Stati membri. Nel reg. Ue n. 327 del 2025 si osserva chiaramente l’intersecarsi della protezione dei dati personali e del diritto alla salute, che i sistemi devono egualmente garantire ai singoli e alla collettività.

Il reg. Ue n. 327 del 2025 reca «disposizioni, norme e infrastrutture comuni e un quadro di governance al fine di facilitare l’accesso ai dati sanitari elettronici per l’uso primario dei dati sanitari elettronici e l’uso secondario di tali dati» (così l’art. 1). Un agevole accesso ai propri dati sanitari elettronici da parte dei pazienti consente agli stessi di esercitare un controllo sulle informazioni che li riguardano e di meglio tutelare i propri diritti, mentre l’accesso ai dati sanitari elettronici da parte di medici e operatori sanitari può permettere una più efficace esecuzione delle prestazioni sanitarie. «Il trattamento dei dati sanitari elettronici per la prestazione di assistenza sanitaria al fine di valutare, mantenere o ripristinare lo stato di salute della persona fisica cui si riferiscono tali dati, comprese la prescrizione, la dispensazione e la fornitura di medicinali e dispositivi medici, nonché per i pertinenti servizi sociali, amministrativi o di rimborso» è definito ‘uso primario’.

L’‘uso secondario’ è invece il trattamento dei dati sanitari elettronici per le finalità indicate al capo IV del Regolamento, che sono diverse dalle finalità iniziali per le quali tali dati sono stati raccolti o prodotti. In tal senso, l’EHDS permette di riutilizzare i dati sanitari in ambito pubblico, come avviene per la ricerca, l’innovazione e la determinazione delle politiche.

Il reg. Ue n. 327 del 2025, in ogni caso, come espresso all’art. 1, par. 3, «lascia impregiudicati gli altri atti giuridici dell’Unione relativi all’accesso ai dati sanitari elettronici, alla loro condivisione o al loro uso secondario o le prescrizioni dell’Unione relative al trattamento dei dati in relazione ai dati sanitari elettronici» e, in particolare, fra i vari atti normativi richiamati è compreso il Regolamento generale sulla protezione dei dati, reg. UE n. 679 del 2016.

Il Regolamento, già in vigore, si applica a decorrere dal 26 marzo 2027. Il termine iniziale di applicazione, però, non vale per il testo del Regolamento nella sua interezza. Sono infatti previste varie soglie temporali, distinte, ai sensi dell’art. 105, per diversi gruppi di regole: 2029, 2031, 2035.

Il Regolamento modifica la Direttiva sull’assistenza sanitaria transfrontaliera, dir. Ue 2011/24/UE, abrogando l’art. 14 a decorrere dal 26 marzo 2031, e modifica il Cyber Resilience Act, reg. Ue 2024/2847, intervenendo sugli artt. 13, 31 e 32.

Se il diritto eurounitario si arricchisce di una nuova pietra miliare della legislazione in materia di dati, il diritto interno a sua volta prosegue il costante cammino di regolazione nazionale della sanità digitale.

Così, il decreto del Ministero della salute del 31 dicembre 2024, ha formalmente istituito l’Ecosistema dati sanitari (EDS). Con le modifiche apportate all’art. 12 d.l. n. 179/2012 da parte del d.l. n. 4/2022 (c.d. Decreto sostegni ter), convertito con l. n. 25/2022, si è previsto, al comma 15 quater, che il Ministero della salute curi la realizzazione dell’EDS, assicurando in ciò l’adeguatezza delle infrastrutture tecnologiche e la sicurezza cibernetica in raccordo con l’Agenzia per la cybersicurezza nazionale. L’EDS è alimentato dai dati trasmessi dalle strutture sanitarie e socio-sanitarie, dagli enti del Servizio sanitario nazionale e da quelli resi disponibili tramite il sistema Tessera Sanitaria. Titolare del trattamento dei dati raccolti e generati dall’EDS è il Ministero della salute e la gestione operativa dell’EDS è affidata all’Agenzia nazionale per i servizi sanitari regionali (AGENAS), responsabile del trattamento.

Il sistema del FSE, ai sensi del comma 3° dell’art. 12, viene ad alimentare l’EDS.

Il decreto del 31 dicembre 2024 – anche alla luce del parere del Garante per la protezione dei dati personali, provv. del 22 agosto 2022, n. 295 – ha individuato i contenuti dell’EDS, le modalità di alimentazione, nonché i soggetti che vi hanno accesso, le operazioni eseguibili e le misure di sicurezza per assicurare i diritti degli interessati.

Assai importanti sono le disposizioni contenute agli artt. 14, 15, 16 e 17, sull’accesso ai servizi dell’EDS per finalità, rispettivamente, di prevenzione, profilassi internazionale, governo, studio e ricerca scientifica. È espressamente sancito, in ciascuno di questi articoli, che tali scopi siano perseguiti esclusivamente attraverso l’EDS. In particolare, come forma di tutela della persona, in relazione alle finalità di studio e ricerca, si prevede che i dati siano anonimizzati, mentre, in relazione alle finalità di governo, è previsto che i dati siano «privati degli elementi identificativi diretti, pseudonimizzati irreversibili». Gli artt. 16 e 17 prevedono che cessino di avere efficacia, dal 31 marzo 2026, i Capi III e IV del d.p.c.m. n. 178 del 2015, recante il regolamento sul fascicolo sanitario elettronico, ancora applicabili, in quanto compatibili con le regole più nuove, in relazione ai trattamenti di dati tramite il FSE per finalità di ricerca e di governo.

Uno dei principali servizi che si realizza attraverso l’EDS è quello del dossier farmaceutico, finalizzato a favorire la qualità, il monitoraggio, l’appropriatezza nella dispensazione dei medicinali e l’aderenza alla terapia per il paziente. L’art. 5, comma 3°, del decreto EDS vieta che attraverso l’accesso al dossier farmaceutico soggetti diversi dall’assistito possano consultare i documenti oscurati ex art. 9 del decreto FSE 2.0. Ai sensi dell’art. 3, comma 2°, del decreto EDS, i dati oggetto di oscuramento secondo il decreto FSE 2.0 in ogni caso non alimentano l’EDS.

Su un altro fronte si è mossa la legge di bilancio 2025, disponendo la dematerializzazione delle ricette mediche cartacee per la prescrizione di farmaci a carico del SSN, dei SASN e dei cittadini. L’art. 1, comma 317°, della l. 30 dicembre 2024, n. 207 stabilisce che tutte queste prescrizioni siano effettuate nel formato elettronico di cui ai decreti del Ministero dell’economia e delle finanze del 2 novembre 2011 e del 30 dicembre 2020, allo scopo di potenziare il monitoraggio dell’appropriatezza prescrittiva e garantire la completa alimentazione del FSE. L’attuazione di tale previsione è assicurata, ai sensi del comma 318°, dalle Regioni, nell’esercizio delle proprie funzioni di vigilanza e controllo, per mezzo delle autorità competenti per territorio.

Con un altro decreto del Ministero della salute – del 30 dicembre 2024 – si è invece modificato il decreto FSE 2.0. Si è così introdotto l’art. 27 bis del decreto FSE 2.0, contemplando una disciplina transitoria in tre fasi, coerenti con le scadenze del PNRR – entro il 31 marzo 2025, entro il 30 settembre 2025 ed entro il 31 marzo 2026 – per dare attuazione alle disposizioni del decreto stesso, con l’attivazione di tutti i servizi e le funzionalità del FSE. Le nuove previsioni mirano anche a raccordare tali servizi e funzionalità con l’avvio dell’EDS.

L’art. 27 bis comma 3° prevede poi che i dati soggetti a maggior tutela dell’anonimato di cui all’art. 6 del decreto FSE 2.0 non alimentino il FSE nelle more dell’attuazione delle norme previste dall’art. 6 stesso. Mentre, secondo il comma 4°, nelle more della piena realizzazione del profilo sanitario sintetico, non è ammesso l’accesso in emergenza al FSE, ex art. 20, in assenza del consenso dell’assistito alla consultazione dei dati del proprio FSE. Complessivamente queste novità rappresentano un approccio di cautela rispetto al trattamento dei dati operato tramite il FSE, alla luce delle indicazioni del Garante per la protezione dei dati personali (v. nota prot. n. 0009859-02/07/2024-DGSISS-MDS-A, indirizzata al Ministero della salute), che ha evidenziato difformità applicativa tra le Regioni e Province autonome, circa il mancato rispetto dei diritti e garanzie previsti dalla disciplina di settore, in grado di inficiare la tenuta del complesso quadro di tutele.

Ulteriori innovazioni si prospettano in relazione all’impiego dell’intelligenza artificiale. Il 20 marzo 2025, il Senato ha approvato il disegno di legge n. 1146 e, trasmesso alla Camera, è stato assegnato il 24 marzo 2025. Il ddl, recante “Disposizioni e delega al Governo in materia di intelligenza artificiale”, contiene norme di principio e disposizioni di settore per promuovere l’utilizzo delle nuove tecnologie per il miglioramento delle condizioni di vita dei cittadini e la coesione sociale e insieme fornire soluzioni per la gestione del rischio basate su una visione antropocentrica. Alla sanità sono dedicate le regole di cui agli artt. 7, 8 e 9, nel Capo II. Così, dopo aver annunciato, al comma 1°, che l’utilizzo di sistemi di intelligenza artificiale contribuisce al miglioramento del sistema sanitario, alla prevenzione e alla cura delle malattie, l’art. 7 sancisce – per il vero, in gran parte recependo il contenuto di norme già poste dal legislatore eurounitario – libertà e diritti della persona, in relazione all’uso di questa tecnologia in ambito sanitario. In particolare, il comma 3° riconosce all’interessato il diritto di essere informato sull’«utilizzo di tecnologie di intelligenza artificiale e sui vantaggi, in termini diagnostici e terapeutici, derivanti dall’utilizzo delle nuove tecnologie, nonché di ricevere informazioni sulla logica decisionale utilizzata». La regola riflette il portato del riconoscimento – specialmente indagato in dottrina – di un diritto alla spiegazione della decisione algoritmica.

L’art. 8 è rivolto, più nel dettaglio, al contesto della ricerca. Il comma 1° riveste particolare rilievo, poiché dichiara che i trattamenti di dati personali eseguiti da soggetti pubblici e privati senza scopo di lucro, posti in essere a fini di ricerca e sperimentazione scientifica nella realizzazione di sistemi di intelligenza artificiale in ambito sanitario, sono di rilevante interesse pubblico in attuazione dell’art. 32 Cost. e conformemente all’art. 9, par. 2, lett, g, del reg. Ue n. 679 del 2016, «in quanto necessari ai fini della realizzazione e dell’utilizzazione di banche dati e modelli di base». Il comma 2° aggiunge che, per le medesime finalità, l’uso secondario da parte dei citati soggetti di dati personali, anche sensibili, privi degli elementi identificativi diretti, «è sempre autorizzato». L’obbligo di informare l’interessato può essere assolto anche per mezzo di un’informativa generale messa a disposizione sul sito web del titolare del trattamento. Il consenso dell’interessato, quindi – anche se muta l’ambito della ricerca – non è più necessario. In ogni caso, tali trattamenti di dati vanno approvati dai comitati etici interessati e comunicati al Garante per la protezione dei dati personali.

L’art. 9, invece, intende modificare il d.l. n. 179/2012, aggiungendo un art. 12 bis, rubricato “Intelligenza artificiale nel settore sanitario”. Si attribuisce così al Ministero della salute il compito di disciplinare, con appositi decreti, le soluzioni di intelligenza artificiale aventi funzione di supporto alle finalità di cui all’art. 12, comma 2°, cioè alle finalità del FSE (diagnosi, cura e riabilitazione; prevenzione; profilassi internazionale; studio e ricerca scientifica in campo medico, biomedico ed epidemiologico; programmazione sanitaria, verifica delle qualità delle cure e valutazione dell'assistenza sanitaria; valutazioni e accertamenti sanitari per il riconoscimento di prestazioni assistenziali e previdenziali). Verrebbe inoltre istituita, ai sensi del comma 2° dell’art. 12 bis, una piattaforma di intelligenza artificiale per il supporto alle finalità di cura, e in particolare per l’assistenza territoriale, di cui sarebbe titolare l’Agenzia nazionale per i servizi sanitari regionali (AGENAS) in qualità di Agenzia nazionale per la sanità digitale. La piattaforma si rivolge tanto ai professionisti sanitari, a scopi gestionali, e ai medici, nella «pratica clinica quotidiana», quanto «agli utenti per l’accesso ai servizi sanitari delle Case della comunità». L’AGENAS, con proprio provvedimento, dovrà dunque specificare i tipi di dati trattati e le operazioni eseguite all’interno della piattaforma, nonché le misure tecniche e organizzative per garantire un livello di sicurezza adeguato al rischio e per tutelare i diritti fondamentali e gli interessi dell’interessato.

S.C.