La gestione e la proprietà dei dati sanitari rappresentano oggi uno dei nodi più delicati e strategici nell'ambito della digitalizzazione della salute in Europa. L'entrata in vigore di nuove normative europee, in particolare il Regolamento sullo Spazio Europeo dei Dati Sanitari (European Health Data Space - EHDS), insieme ad altre leggi come il GDPR, il Data Act e il Digital Services Act, sta ridefinendo il quadro giuridico e operativo di questi dati, con importanti implicazioni per cittadini, operatori sanitari, enti pubblici e imprese private.

Il quadro normativo europeo: GDPR, Data Act, Digital Services Act e EHDS

La gestione dei dati personali, inclusi quelli sanitari, è regolata da un sistema integrato di normative europee che mirano a bilanciare la tutela della privacy con l'innovazione e l'interesse pubblico. Il Regolamento Generale sulla Protezione dei Dati (GDPR), in vigore dal 2018, rappresenta il fondamento della protezione dei dati personali nell'Unione Europea. Esso stabilisce principi fondamentali come la responsabilizzazione del titolare del trattamento, il consenso esplicito per i dati sensibili, il diritto all'oblio e alla portabilità dei dati, nonché la protezione dei dati fin dalla progettazione ("privacy by design").

A questo si aggiunge il Data Act, applicabile dal 12 settembre 2025, che regola l'accesso e la condivisione dei dati tra soggetti pubblici e privati in tutti i settori economici. Questo regolamento mira a facilitare un accesso più equo e trasparente ai dati, promuovendo la loro condivisione per usi innovativi e di interesse pubblico, definendo al contempo diritti e obblighi per i detentori e utilizzatori dei dati, tutelando la proprietà intellettuale e prevenendo abusi contrattuali.

Il Digital Services Act, pur non essendo specifico per i dati sanitari, migliora la trasparenza e la tutela degli utenti nel contesto digitale, vietando pratiche ingannevoli come i "dark pattern" nelle interfacce digitali, contribuendo alla protezione della libertà e della trasparenza nella gestione dei dati personali online.

Ma è lo Spazio Europeo dei Dati Sanitari (EHDS), istituito dal Regolamento UE 2025/327 pubblicato nel marzo 2025, a rappresentare il primo spazio comune europeo dedicato esclusivamente ai dati sanitari. Questo regolamento stabilisce un quadro giuridico e tecnico armonizzato per l'accesso, la condivisione e il riutilizzo dei dati sanitari elettronici in tutta l'Unione Europea, con l'obiettivo di migliorare l'assistenza sanitaria, la ricerca, l'innovazione e le politiche pubbliche.

Come funziona l'EHDS

L'EHDS definisce due principali modalità di utilizzo dei dati sanitari. La prima, denominata "uso primario", riguarda la cura diretta del paziente, dove i dati sono utilizzati dagli operatori sanitari per fornire assistenza. In questo contesto, i cittadini hanno diritto a un accesso rapido, gratuito e transnazionale ai propri dati sanitari elettronici, con la possibilità di controllarne l'accesso, correggere errori, aggiungere informazioni personali e limitare la condivisione.

La seconda modalità, l'"uso secondario", riguarda invece il riutilizzo dei dati sanitari in forma pseudonimizzata o aggregata per finalità di ricerca scientifica, innovazione nel settore sanitario, sviluppo di politiche sanitarie, attività regolatorie e preparazione alle emergenze. L'accesso a questi dati è regolato da autorità nazionali (Health Data Access Bodies - HDAB) che valutano le richieste garantendo sicurezza, privacy e rispetto dei diritti dei cittadini. L'EHDS promuove inoltre l'interoperabilità dei sistemi di cartelle cliniche elettroniche in tutta Europa, favorendo un mercato unico per i servizi e prodotti sanitari digitali, e stabilisce norme di qualità e sicurezza per i fornitori di tali sistemi.

Il regolamento EHDS definisce chiaramente la titolarità e la gestione dei dati sanitari. I cittadini restano titolari dei propri dati personali, con il diritto di accedere gratuitamente ai propri dati sanitari elettronici, correggerli, aggiungere informazioni, limitarne l'accesso e conoscere chi li utilizza e per quali scopi.

Accanto ai cittadini, il regolamento identifica i cosiddetti "health data holder" (titolari di dati sanitari), ovvero soggetti pubblici e privati che, per obbligo o diritto, trattano dati sanitari personali o sono in grado di rendere disponibili dati non personali. In questa categoria rientrano ospedali e strutture sanitarie, enti pubblici sanitari, aziende farmaceutiche, assicurazioni sanitarie, sviluppatori di prodotti e servizi sanitari e centri di ricerca.

Questa distinzione tra titolari dei dati (i cittadini) e detentori dei dati (gli enti che li gestiscono) è fondamentale per comprendere le dinamiche di potere e responsabilità nel nuovo quadro normativo europeo. Stando alle previsioni, l’EHDS dovrebbe: generare risparmi per 11 miliardi di euro nel prossimo decennio migliorando l'accessibilità dei dati; accrescere l'efficienza dei servizi sanitari in tutti gli Stati membri dell'UE; favorire un'espansione del 20-30% del comparto della sanità digitale; favorire lo sviluppo delle politiche e la ricerca scientifica; portare a migliori risultati in campo sanitario per i cittadini europei.

Il recepimento in Italia: l'Ecosistema dei Dati Sanitari (EDS)

Per allinearsi al regolamento europeo, l'Italia ha istituito l'Ecosistema dei Dati Sanitari (EDS) con il Decreto Ministeriale 31 dicembre 2024 n. 53, pubblicato in Gazzetta Ufficiale il 5 marzo 2025 e che sarà operativo entro il 2026. Si tratta di un sistema digitale federato che consente la raccolta, gestione e analisi dei dati sanitari mantenendo i dati clinici nei sistemi locali dove sono generati, ma garantendo al contempo l'interoperabilità e l'accesso controllato su base nazionale. Questo approccio supera il modello centralizzato precedente, raccogliendo i dati in formato strutturato secondo standard europei. L'innovazione principale dell'EDS sta nel suo approccio integrato, che potenzia il Fascicolo Sanitario Elettronico (FSE) già esistente, rafforzando la sicurezza e la trasparenza dei dati, il controllo da parte dei cittadini sui propri dati, l'interoperabilità tra sistemi diversi e, in ultima analisi, la qualità del Servizio Sanitario Nazionale e i servizi per pazienti e professionisti.

Le informazioni sottoposte a oscuramento nel Fascicolo Sanitario Elettronico non vengono trasferite all'Ecosistema Dati Sanitari. In conformità con la legislazione corrente sulla tutela dei dati personali, la titolarità del trattamento è attribuita alle regioni e alle province autonome, mentre l'Agenzia nazionale per i servizi sanitari regionali (Agenas) assume il ruolo di responsabile del trattamento su designazione delle stesse.

È inoltre necessario, in ottemperanza agli articoli 13 e 14 del Regolamento Generale sulla Protezione dei Dati, che il Ministero della salute, congiuntamente alle regioni e province autonome, fornisca agli assistiti un'adeguata informativa che illustri chiaramente le modalità di trattamento dei dati implementate attraverso l'Ecosistema Dati Sanitari e il personale autorizzato ad accedervi, quale condizione essenziale per la legittimità del trattamento stesso.

La governance dell'EDS è affidata pertanto a un sistema articolato che coinvolge il Ministero della Salute, il Ministero dell'Economia e delle Finanze, il Dipartimento per la trasformazione digitale, l'Agenzia per i servizi sanitari regionali (Agenas) e le Regioni e Province autonome. Questo sistema di governance mira ad assicurare responsabilità chiare e un sistema di autorizzazioni rigoroso per l'accesso ai dati, bilanciando le esigenze di efficienza con quelle di sicurezza e rispetto della privacy.

L'EDS si inserisce armoniosamente nel quadro della legge sulla privacy italiana, rispettando sia il GDPR sia il Codice della Privacy nazionale (istituito con il decreto legislativo n.196 del 2003), con particolare riferimento all'articolo 110, che disciplina specificamente il trattamento dei dati sanitari. È stato progettato per garantire massima sicurezza, trasparenza e tutela della privacy in ogni fase del trattamento dei dati sanitari, richiedendo un consenso libero, specifico, informato, inequivocabile ed esplicito da parte dell'interessato per ciascuna finalità, con la possibilità di revoca in qualsiasi momento.

Tensioni tra pubblico e privato e altre sfide

L'introduzione dell'EHDS e del Data Act comporta una profonda ridefinizione delle dinamiche tra soggetti pubblici e privati nella gestione dei dati sanitari, creando tensioni strutturali tra interessi diversi e talvolta contrastanti.

Da un lato, gli interessi pubblici puntano a massimizzare la disponibilità di dati di qualità per la ricerca e l'innovazione sanitaria, mantenendo la fiducia dei cittadini e la tutela della privacy. Dall'altro, per le aziende private i dati rappresentano un asset strategico e competitivo. L'obbligo di condividere dati per usi secondari può quindi entrare in tensione con la protezione della proprietà intellettuale e i modelli di business basati sull'esclusività dei dati. Questa tensione si manifesta concretamente nella necessità, per le aziende, di rivedere profondamente le proprie strategie commerciali. La condivisione obbligatoria dei dati impone infatti una valutazione attenta dei rischi e dei costi associati, un rafforzamento delle misure tecniche e organizzative per tutelare la posizione competitiva, la modifica di prodotti e servizi per adeguarsi ai requisiti di interoperabilità e l'aggiornamento dei modelli contrattuali per garantire conformità alle nuove regole. Queste trasformazioni possono portare a quella che alcuni esperti definiscono una "ricostruzione forzata" dei modelli di business tradizionali, con particolare impatto sulle aziende che hanno costruito il proprio valore sulla proprietà esclusiva dei dati e che ora devono ripensare le proprie strategie in un contesto di maggiore apertura e condivisione.

A complicare ulteriormente il quadro vi è la persistente frammentazione normativa tra gli Stati membri dell'Unione Europea. Nonostante gli sforzi di armonizzazione, le differenze nell'implementazione delle normative e nelle prassi amministrative possono creare incertezze e aumentare i costi di compliance, soprattutto per i piccoli operatori e per le aziende attive in più paesi.

Per quanto riguarda i cittadini, il regolamento EHDS rafforza i loro diritti, consentendo di opporsi all'uso secondario dei propri dati e garantendo pieno controllo sull'accesso ai dati per uso primario. Ad ogni modo, come specifica il regolamento europeo, e sempre nel rispetto di rigorose garanzie, compresi i requisiti di trasparenza, i loro dati potrebbero comunque essere utilizzati per alcuni importanti scopi di interesse pubblico.

È indubbio che mantenere un equilibrio tra apertura dei dati per il bene pubblico e tutela della privacy rimanga una sfida complessa e in continua evoluzione.

Gli Stati membri hanno inoltre la facoltà di introdurre ulteriori restrizioni per l'accesso ai dati particolarmente sensibili, creando un ulteriore livello di complessità per gli operatori del settore che devono navigare tra normative europee e specificità nazionali.

 Un aspetto cruciale per il successo dell'intero progetto è l'interoperabilità dei sistemi e la qualità dei dati. Garantire che i dati sanitari siano raccolti, standardizzati e scambiati in modo efficace tra sistemi diversi richiede investimenti tecnologici significativi, l'armonizzazione degli standard tecnici, un coordinamento efficace tra Stati membri e attori locali, nonché la formazione adeguata del personale sanitario che quotidianamente genera e utilizza questi dati.

In poche parole

Per provare a dare una risposta univoca al titolo dell’articolo, possiamo affermare che la proprietà dei dati sanitari in Europa rimane formalmente in capo ai cittadini, che ne detengono il controllo e i diritti di accesso e gestione. La loro gestione è affidata a un ecosistema complesso che coinvolge soggetti pubblici e privati, regolato da un quadro normativo in evoluzione che mira a bilanciare la tutela della privacy, la sicurezza, l'innovazione e l'interesse pubblico. Lo Spazio Europeo dei Dati Sanitari rappresenta un passo fondamentale verso un sistema integrato e armonizzato di gestione dei dati sanitari, ma solleva anche sfide significative, in particolare nelle tensioni tra esigenze di apertura e condivisione dei dati e la protezione degli interessi economici dei detentori privati.

Il recepimento italiano con l'Ecosistema dei Dati Sanitari è un esempio di come i Paesi membri stiano adattando le proprie infrastrutture e normative per rispondere a queste sfide, puntando a un futuro in cui i dati sanitari siano una risorsa condivisa, sicura e al servizio di tutti.

La sfida principale dei prossimi anni sarà trovare il giusto equilibrio tra valorizzazione collettiva dei dati sanitari, tutela dei diritti individuali e protezione degli interessi economici, in un contesto normativo e tecnologico in rapida evoluzione.