Nell’ambito del Regolamento generale sulla protezione dei dati (GDPR) e dello Spazio europeo dei dati sanitari (EHDS), alcune categorie di dati sono designate come dati con accesso limitato e sono pertanto soggette a maggiori garanzie normative.
Il GDPR stabilisce un regime giuridico completo per la protezione dei dati personali, imponendo obblighi e restrizioni specifici alle attività di trattamento dei dati. Parallelamente, l’EHDS introduce un quadro normativo specifico per il settore che perfeziona ulteriormente e, per certi aspetti, diverge dal GDPR, in particolare in relazione alla governance dei dati sanitari.
Indice degli argomenti
Dati aperti e dati sanitari con accesso limitato: quali differenze?
Come chiarito dall’UE, i dati aperti svolgono un ruolo fondamentale nell’EHDS, riducendo gli ostacoli alla condivisione dei dati sanitari e promuovendone un utilizzo sicuro e trasparente.
Solo una parte dei dati all’interno dello Spazio Europeo dei Dati Sanitari, però, è costituita da dati aperti, ovvero dati anonimizzati e aggregati che possono essere liberamente utilizzati, modificati e condivisi da chiunque. Questa tipologia di dati contribuisce a generare approfondimenti e a guidare la ricerca senza creare preoccupazioni per la privacy individuale.
D’altro canto, altri tipi di dati sanitari all’interno dello Spazio Europeo dei Dati Sanitari, come le cartelle cliniche personali o le informazioni mediche sensibili, ossia i dati sanitari con accesso limitato (dati riservati) sono soggetti a rigorosi controlli di accesso e sono disponibili solo agli utenti autorizzati e a determinate condizioni, a ulteriore tutela della privacy e della sicurezza.
L’interazione tra dati aperti e dati sanitari con accesso limitato – spiega l’UE – è progettata per massimizzare i vantaggi della condivisione dei dati, tutelando al contempo la privacy e la sicurezza. Ad esempio, i dati sanitari aperti possono essere utilizzati per informare iniziative di sanità pubblica o orientare la ricerca, mentre i dati sanitari con accesso limitato possono essere accessibili in modo sicuro da ricercatori o operatori sanitari per sviluppare trattamenti personalizzati o condurre studi approfonditi.
Dati sanitari con accesso limitato: le differenze tra GDPR ed EHDS
I dati con accesso limitato, in entrambi i regimi (GDPR ed EHDS), sono regolati da meccanismi di limitazione dell’accesso progettati per garantire che il trattamento dei dati sia limitato a finalità definite dalla legge e a soggetti autorizzati. Mentre il GDPR regola i dati con accesso limitato principalmente attraverso la tutela dei diritti e delle libertà fondamentali degli interessati, l’EHDS adotta un approccio più funzionale e orientato all’uso, enfatizzando l’accesso controllato e l’uso secondario dei dati sanitari nel rispetto di condizioni rigorose.
GDPR
Ai sensi dell’articolo 4(1) del GDPR, i dati personali sono definiti come qualsiasi informazione relativa a una persona fisica identificata o identificabile. L’identificabilità è valutata attraverso processi di identificazione che possono essere diretti o indiretti. Per mitigare i rischi per gli interessati, il GDPR riconosce le tecniche di de-identificazione, inclusa la pseudonimizzazione , come meccanismi che riducono l’identificabilità, preservando al contempo l’applicabilità delle norme sulla protezione dei dati e i diritti degli interessati. I diritti degli interessati costituiscono un elemento fondamentale del quadro normativo del GDPR, comprendendo, tra gli altri, i diritti di accesso, rettifica, cancellazione e limitazione del trattamento.
EHDS
Sebbene l’EHDS si basi su questi diritti fondamentali, introduce regole e limitazioni differenziate, in particolare per quanto riguarda l’accesso limitato ai dati e l’uso secondario per scopi di interesse pubblico, come la ricerca, l’innovazione e l’elaborazione di politiche.
Di conseguenza, mentre il GDPR dà priorità al controllo individuale sui dati personali, l’EHDS cerca di bilanciare tale controllo con obiettivi sistemici e di salute pubblica più ampi.
Consenso granulare e limitazione del trattamento dati
L’EDBP, il Gruppo di lavoro Articolo 29, definisce alcune buone pratiche per la condivisione dei dati in modo molto sicuro, i diritti GDPR riguardano specificamente i diritti degli individui in materia di dati in relazione al trattamento dei dati personali.
Il consenso granulare costituisce una forma di consenso esplicito e rappresenta uno degli strumenti giuridici più significativi nell’ambito del trattamento dei dati. Ai sensi del GDPR, la liceità del trattamento è un principio fondamentale e diversi diritti degli interessati sono concepiti per garantire che gli individui ricevano informazioni dirette e trasparenti in merito al trattamento dei loro dati personali. Tali diritti sono attuati attraverso disposizioni normative che operano in modo sostanzialmente simile nei diversi contesti di trattamento. Il ciclo di vita del trattamento dei dati incorpora inoltre requisiti di best practice, tra cui l’applicazione di tecniche di pseudonimizzazione , che perseguono lo stesso obiettivo di mitigare i rischi per gli interessati, consentendo al contempo un utilizzo legittimo dei dati.
La limitazione del trattamento dei dati personali riguarda principalmente l’interessato, il cui diritto di limitare il trattamento dei dati personali funge da garanzia giuridica contro potenziali illeciti nelle attività di trattamento dei dati. Tuttavia, il diritto alla limitazione non è assoluto e la sua applicabilità in ogni circostanza rimane soggetta a interpretazione e dibattito giuridico.
Ai sensi del GDPR, gli interessati possono richiedere la limitazione del trattamento al titolare del trattamento.
Al contrario, l’EHDS introduce un ulteriore livello di obbligo, imponendo agli Stati membri di istituire sistemi tecnici e organizzativi che consentano l’effettivo esercizio del diritto di limitazione del trattamento dei dati.
È essenziale sottolineare che la limitazione del trattamento dei dati non equivale alla completa esclusione dei dati da ogni forma di utilizzo. Piuttosto, la limitazione indica che l’interessato non ha prestato il consenso per specifiche operazioni di trattamento, mentre altri usi legalmente consentiti potrebbero rimanere possibili.
Durante la pandemia di COVID-19, oltre all’obbligo di conformarsi al GDPR, è stata rivolta maggiore attenzione al miglioramento della conoscenza degli interessati in relazione ai processi di condivisione dei dati. Questo sviluppo ha sottolineato l’importanza della comprensione da parte degli individui dei propri diritti, della loro consapevolezza dei meccanismi di opposizione e limitazione e della loro partecipazione attiva ai sistemi di governance dei dati.
Altruismo dei dati sanitari e diritto a limitarne il trattamento
Il concetto di altruismo dei dati diventa particolarmente rilevante in questo contesto. Da una prospettiva normativa, il diritto di limitare il trattamento dei dati e la nozione di altruismo dei dati possono essere intesi come interconnessi in una relazione dialettica. L’esercizio del diritto di limitazione non preclude necessariamente la condivisione volontaria di dati limitati per finalità altruistiche o di interesse pubblico. È importante sottolineare che la regolamentazione dei diritti di limitazione del trattamento dei dati ai sensi sia del GDPR che dell’EHDS si colloca in un quadro giuridico europeo più ampio, fondato sulla Carta europea dei diritti fondamentali, sulla Convenzione europea dei diritti dell’uomo e su altri strumenti giuridici europei pertinenti. Questo contesto costituzionale definisce l’equilibrio tra autonomia individuale, protezione dei dati e interessi collettivi della società.
I diritti dell’interessato sono fondamentalmente inquadrati come diritti umani, tra cui uno dei più essenziali è il diritto di limitare l’utilizzo dei dati o di garantire che i dati non vengano condivisi in un ambiente privo di fiducia. Tuttavia, questo diritto non è assoluto e può essere soggetto a eccezioni in casi specifici, nei quali può essere annullato o attenuato. L’applicabilità del diritto di limitazione in situazioni in cui i dati sono stati trattati lecitamente è oggetto di dibattito in corso.
Privacy by Design e Privacy by Default
Un aspetto cruciale, inoltre, è rappresentato dal principio della Privacy by Design, che è alla base della discussione sul diritto alla limitazione dei dati. La base giuridica per l’esercizio di questo diritto è strettamente legata alla Privacy by Design, un concetto che garantisce che le considerazioni sulla privacy siano integrate nello sviluppo e nell’implementazione dei sistemi. In questo contesto, i principi di Privacy by Design e Privacy by Default svolgono un ruolo cruciale nel facilitare l’esercizio dei diritti degli interessati, poiché garantiscono che la privacy sia prioritaria fin dalla progettazione e che i sistemi siano configurati in modo tale che la protezione dei dati sia l’impostazione predefinita.
Questi principi, che sono parte integrante del GDPR, sono direttamente rilevanti anche per l’EHDS. È opportuno sottolineare che gli strumenti derivanti dal GDPR avranno un impatto significativo sulle modalità di esercizio del diritto di limitazione del trattamento dei dati nell’ambito del quadro EHDS.
In definitiva, questi meccanismi mirano a creare un’architettura incentrata sulla privacy che non solo faciliti l’esercizio del diritto di limitazione, ma promuova anche un ambiente basato sulla fiducia per la condivisione dei dati.
La governance dei dati sanitari per la qualità dell’assistenza: il triangolo regolatorio GDPR, EHDS e DGA
In linea con il quadro di una data governance ristretta, il ruolo dell’interessato diventa centrale nella regolamentazione del trattamento dei dati sanitari.
Ai sensi del GDPR, l’interessato non è semplicemente un beneficiario passivo delle norme sulla protezione dei dati, ma un soggetto giuridico attivo i cui diritti definiscono i confini del trattamento lecito. Meccanismi come il consenso granulare consentono agli individui di esercitare un controllo differenziato su specifiche finalità di trattamento, rafforzando così la trasparenza e la responsabilità nell’ambito del ciclo di vita del trattamento dei dati. Questo approccio basato sui diritti riflette l’enfasi del GDPR sull’autonomia individuale e sull’autodeterminazione informativa.
Il diritto alla limitazione del trattamento, previsto dall’articolo 18 del GDPR, opera come garanzia nei casi in cui la liceità del trattamento sia contestata o l’interessato si sia opposto a determinate attività di trattamento. Tuttavia, tale diritto non è assoluto e non comporta necessariamente l’esclusione completa dei dati da qualsiasi forma di utilizzo. Piuttosto, la limitazione funziona come una limitazione condizionale, consentendo la conservazione dei dati limitandone temporaneamente o intenzionalmente il trattamento attivo. A tale riguardo, la governance dei dati con accesso limitato introduce uno strumento normativo articolato che bilancia la certezza del diritto con la continuità operativa.
Nell’ambito dell’EHDS, questo modello di governance viene ulteriormente sviluppato attraverso meccanismi strutturali e istituzionali. L’EHDS si concentra sulle richieste individuali verso soluzioni basate sul sistema, obbligando gli Stati membri a istituire infrastrutture tecniche e organizzative che consentano un accesso limitato ai dati sanitari. Questo approccio riflette una transizione da un modello puramente basato sui diritti a un quadro ibrido in cui i diritti individuali degli interessati coesistono con obiettivi di interesse pubblico, in particolare in relazione agli usi secondari dei dati sanitari per la ricerca, l’innovazione e l’elaborazione delle politiche .
L’interazione tra il diritto alla limitazione e il concetto di altruismo dei dati illustra una dimensione normativa critica della governance dei dati con accesso limitato. Limitare il trattamento dei dati non implica necessariamente un rifiuto totale di condividerli; piuttosto, può indicare un approccio selettivo e mirato alla condivisione dei dati. Gli interessati possono scegliere di limitare determinati usi commerciali o non trasparenti dei propri dati, consentendone volontariamente l’accesso per scopi altruistici che servano a obiettivi di salute collettiva. Questa relazione dialettica evidenzia come limitazione e condivisione possano operare simultaneamente in un contesto giuridicamente strutturato.
Dal punto di vista della qualità dell’assistenza, la governance dei dati limitata prevista dall’EHDS contribuisce a migliorare i risultati sanitari rafforzando la fiducia, l’integrità dei dati e la legittimità normativa. Quando gli individui percepiscono che i loro dati sono soggetti a chiare restrizioni e a un controllo significativo, la loro disponibilità a interagire con i sistemi sanitari digitali aumenta. Questo, a sua volta, porta a input di dati di qualità superiore, essenziali per il processo decisionale clinico basato sulle evidenze e per lo sviluppo di politiche sanitarie.
Di conseguenza, la governance dei dati limitata non dovrebbe essere intesa come un ostacolo all’utilizzo dei dati, ma come una condizione abilitante per sistemi sanitari sostenibili e di alta qualità.
Sebbene il Data Governance Act (DGA) non stabilisca un quadro di governance completamente articolato nell’ambito del GDPR, introduce comunque una struttura normativa frammentata per quanto riguarda le fasi da seguire. Prima della fase di anonimizzazione , è essenziale che i dati siano preparati in modo idoneo all’applicazione delle tecniche di anonimizzazione. In caso contrario, l’anonimizzazione non può essere considerata efficace o coronata da successo. Questa fase preparatoria può essere descritta come il trattamento dei dati in conformità con gli standard di anonimizzazione.
Anonimizzazione, riutilizzo dei dati sanitari e ambienti di trattamento sicuri
La fase successiva prevede l’applicazione delle tecniche di anonimizzazione vere e proprie. Tuttavia, in particolare nel settore sanitario, l’anonimizzazione potrebbe non produrre risultati affidabili o sufficienti in tutte le circostanze. In tali casi, diventa rilevante una terza fase. Laddove i dati anonimizzati non soddisfino le esigenze dei riutilizzatori, potrebbe essere necessario fare riferimento agli articoli 35 e 36 del GDPR presentando una richiesta all’autorità di controllo. In questa fase, è essenziale fornire una giustificazione motivata che spieghi perché si sono verificate le condizioni per invocare gli articoli 35 e 36.
La governance del riutilizzo dei dati deve essere valutata nel rigoroso quadro normativo del GDPR e dell’EHDS e non può essere ridotta al solo consenso esplicito dell’interessato. Una procedura di trattamento dei dati che non rispetti le condizioni per il legittimo riutilizzo non può essere resa ammissibile tramite il solo consenso. Di conseguenza, la questione non può essere limitata a una valutazione puramente normativa senza un esame approfondito delle procedure e dei metodi impiegati. In caso contrario, si corre il rischio che i diritti dell’interessato vengano sacrificati a favore di pratiche di innovazione incontrollata.
Gli articoli 35 e 36 del GDPR stabiliscono che, laddove sia debitamente giustificato che le tecniche di anonimizzazione non siano utili agli obiettivi dell’utilizzo secondario dei dati, l’autorità di controllo può consentire il trattamento dei dati in un ambiente di trattamento sicuro.
Gli ambienti di trattamento sicuri (Secure Processing Environments – SPEs) sono disciplinati anche dall’articolo 73 dell’EHDS. Sebbene questo quadro possa essere descritto come un nuovo regime di trattamento dei dati, resta necessario valutarne criticamente i vantaggi che offre al di là delle misure tecniche di trattamento dei dati e chiedersi se possa essere considerato del tutto privo di problemi.
Il DGA definisce gli ambienti di trattamento sicuri come strumenti o impostazioni organizzative e ambientali progettati per garantire la conformità al diritto dell’Unione. Questo meccanismo di vigilanza fornisce una base giuridica per lo sviluppo di pratiche di trattamento dei dati sicure da parte dell’ente di vigilanza. All’interno di questo ambiente, il trattamento dei dati deve essere sicuro, deve essere reso sicuro ed è soggetto a supervisione; analogamente, la condivisione dei dati deve avvenire attraverso questo ambiente. Di conseguenza, l’ambiente di trattamento dei dati sicuro è direttamente collegato alla rete di condivisione dei dati e deve presentare una struttura omogenea.
Qualità dei dati e organismi competenti
Una sfida centrale nella governance dei dati sanitari con accesso limitato risiede nel conciliare i requisiti di qualità dei dati con i ruoli e le capacità degli organi istituzionali e di controllo.
Dati sanitari di alta qualità sono indispensabili per il processo decisionale clinico, la pianificazione della sanità pubblica e gli usi secondari come la ricerca e l’innovazione. Tuttavia, la qualità dei dati non è determinata esclusivamente da standard tecnici o dall’accuratezza metodologica; piuttosto, è significativamente influenzata dal contesto giuridico e istituzionale in cui i dati vengono raccolti, elaborati, limitati e riutilizzati. Ai sensi del GDPR, dell’EHDS e del Data Governance Act, diversi organismi, dai titolari del trattamento dei dati e dalle autorità di controllo agli organismi di accesso ai dati sanitari, esercitano responsabilità sovrapposte che influenzano direttamente il modo in cui la qualità dei dati viene definita, preservata e valutata.
Agli organi istituzionali è affidato un duplice mandato: da un lato, devono garantire il rigoroso rispetto dei principi di protezione dei dati, tra cui liceità, limitazione delle finalità, minimizzazione dei dati e sicurezza; dall’altro, ci si aspetta che facilitino la disponibilità e l’usabilità dei dati, in particolare nel contesto degli obiettivi dell’EHDS di consentire la condivisione transfrontaliera dei dati e l’uso secondario.
Questo duplice ruolo crea tensioni intrinseche. Regimi di accesso eccessivamente restrittivi, procedure di approvazione frammentate o interpretazioni avverse al rischio degli obblighi di conformità possono portare a ritardi, frammentazione dei dati o eccessiva soppressione dei dati, compromettendone così la completezza e il valore analitico. Al contrario, una supervisione insufficiente o un coordinamento istituzionale debole possono compromettere l’accuratezza, l’integrità e l’affidabilità dei dati.
Inoltre, la governance della qualità dei dati è complicata dalla natura multistrato dell’ecosistema dei dati sanitari dell’UE. Le autorità di vigilanza nazionali, le autorità di regolamentazione settoriali e i nuovi organi di governance EHDS possono applicare standard o priorità divergenti, con conseguenti incoerenze tra le giurisdizioni. Tale frammentazione pone sfide particolari per l’utilizzo dei dati secondari, dove i set di dati devono essere interoperabili, comparabili e contestualmente affidabili.
In questo senso, la qualità dei dati diventa non solo un attributo tecnico, ma un concetto relazionale, dipendente dall’allineamento istituzionale, dalla chiarezza normativa e da pratiche di governance condivise.
Fiducia e trasparenza
Da una prospettiva normativa, la sfida si estende oltre l’efficienza amministrativa, toccando questioni di legittimità e fiducia. La volontà degli interessati di fornire dati di alta qualità, sia attraverso interazioni con l’assistenza primaria che attraverso meccanismi di altruismo dei dati, dipende in larga misura dalla loro fiducia nelle garanzie istituzionali.
Laddove le strutture di governance siano percepite come opache, eccessivamente burocratiche o scollegate dai meccanismi di accountability, la fiducia può erodersi, con implicazioni dirette sull’accuratezza e la completezza dei dati.
Di conseguenza, garantire la qualità dei dati all’interno di quadri di governance dei dati ristretta richiede non solo solidi standard tecnici, ma anche pratiche istituzionali trasparenti, coordinate e rispettose dei diritti.
In questo contesto, l’EHDS rappresenta sia un’opportunità che un rischio. Introducendo procedure di accesso armonizzate, ambienti di trattamento sicuri e ruoli istituzionali più chiari, ha il potenziale per migliorare la qualità dei dati in tutti gli Stati membri. Allo stesso tempo, senza un’attuazione attenta e un rafforzamento costante delle capacità istituzionali, l’espansione dei livelli di governance potrebbe esacerbare la complessità e mettere a dura prova i sistemi di vigilanza esistenti.
Affrontare queste sfide sarà quindi essenziale per garantire che una governance dei dati ristretta contribuisca non solo alla conformità rispetto alla protezione dei dati, ma anche a miglioramenti significativi della qualità e dei risultati dell’assistenza sanitaria.
Health Data Access Bodies e titolari dei dati sanitari
La fase di preparazione dei set di dati nell’ambito degli standard di autorizzazione, integrando gli standard di qualità dei set di dati eterogenei, si esprime seguendo le procedure di autorizzazione degli Health Data Access Bodies (HDAB).
Il rapporto tra l’HDAB e i titolari dei dati sanitari (DH) è cruciale nella definizione di questi standard. Questo rapporto non è solo normativo, ma gli HDAB non sono obbligati a effettuare alcun controllo sui contenuti in nessuna fase. Pertanto, è accettato che le procedure di condivisione dei dati si verifichino quando i set di dati vengono condivisi dai titolari dei dati secondo gli standard delle piattaforme di accesso ai dati qui stabiliti.
La questione è se l’HDAB effettuerà o meno un controllo sui contenuti per verificare che i set di dati soddisfino gli standard di qualità dei dati nella fase di richiesta di autorizzazione da parte degli utilizzatori dei dati. L’attuale regolamento EHDS assegna ai titolari dei dati una responsabilità storica per la preparazione dei propri set di dati in conformità con gli standard di qualità dei dati; tuttavia, indipendentemente dal fatto che i set di dati siano di alta qualità o meno, saranno inclusi nelle procedure di autorizzazione dei dati dell’HDAB. Il livello di qualità verrà indicato durante l’etichettatura dei set di dati. Di conseguenza, è possibile che nelle piattaforme vengano inclusi set di dati di scarsa qualità .
Dati sanitari: le principali sfide da vincere
Le principali sfide nel processo di governance e gestione dei dati che abbiamo fin qui analizzato, dunque, possono emergere in diversi ambiti.
In primo luogo, garantire la qualità dei dati può essere un compito complesso, in particolare quando si tratta di armonizzare set di dati eterogenei provenienti da fonti e formati diversi. Dati di scarsa qualità possono influire negativamente sull’affidabilità e l’accuratezza delle procedure di condivisione dei dati.
Inoltre, l’etichettatura e la classificazione dei dataset, soprattutto in caso di scarsa qualità, possono complicare il processo di determinazione dei livelli di qualità corretti, portando potenzialmente a un utilizzo o a un processo decisionale errato.
Anche il rapporto tra HDAB e i titolari dei dati potrebbe presentare difficoltà, in particolare in termini di controllo dei contenuti e di mancanza di chiarezza sulle responsabilità. Ciò può rendere più difficile la condivisione dei dati in modo sicuro e corretto. Inoltre, potrebbero sorgere sfide legali e normative, poiché le normative vigenti attribuiscono ai titolari dei dati la responsabilità storica di garantire la qualità dei dataset, ma questi, indipendentemente dalla qualità, saranno comunque inclusi nelle procedure di autorizzazione dell’HDAB. L’assenza di linee guida giuridiche chiare potrebbe aumentare i rischi per la sicurezza e la privacy nella condivisione dei dati.
Un’ulteriore sfida risiede nell’infrastruttura tecnica richiesta per queste piattaforme di condivisione dei dati, che deve soddisfare standard e requisiti di sicurezza consolidati. Costruire e gestire queste piattaforme può essere tecnicamente complesso.
Anche i processi di monitoraggio e auditing sono fondamentali, poiché l’HDAB deve stabilire in quali fasi e in che modo verificare la qualità dei dati delle richieste di autorizzazione, garantendo la trasparenza e l’efficienza di tali processi.
Infine, il coordinamento tra i vari stakeholder, come i titolari dei dati, gli utilizzatori, le istituzioni sanitarie e gli enti regolatori, può presentare difficoltà. Interessi divergenti e una mancanza di coordinamento possono ostacolare l’efficacia dell’intero processo, rendendo più complessa la creazione di un sistema di condivisione dei dati sicuro, efficiente e di alta qualità.
Considerazioni finali e conclusioni
La governance ristretta dei dati sanitari, in particolare nell’ambito del GDPR, dell’EHDS e della DGA, presenta una serie di sfide complesse che devono essere affrontate con attenzione.
Uno degli ostacoli più significativi risiede nel bilanciare l’esigenza di un’elevata qualità dei dati con i requisiti normativi imposti da questi quadri giuridici. Mentre il GDPR si concentra sui diritti individuali e sulla protezione dei dati, l’EHDS introduce un approccio più settoriale, enfatizzando l’uso secondario dei dati sanitari e la condivisione transfrontaliera dei dati. Questa divergenza evidenzia la complessità di garantire la qualità dei dati in dataset eterogenei provenienti da fonti diverse, con potenziali implicazioni per l’accuratezza e l’affidabilità dei dati e il loro successivo utilizzo per finalità di salute pubblica.
L’integrazione degli standard di qualità dei dati, soprattutto nel contesto dell’HDAB, richiede un’attenta gestione per garantire che i dataset soddisfino i parametri di qualità prescritti. Tuttavia, la responsabilità normativa in materia di qualità dei dati è spesso poco chiara: i titolari dei dati hanno il compito di garantire la qualità dei propri dataset, ma non esiste un quadro chiaro su come gli HDAB debbano verificare tale qualità durante il processo di richiesta di autorizzazione. Questa ambiguità può contribuire all’inclusione di dati di scarsa qualità nelle piattaforme di dati sanitari, compromettendo potenzialmente l’efficacia delle procedure di condivisione dei dati e l’affidabilità degli usi secondari dei dati, come la ricerca e lo sviluppo di politiche.
Inoltre, l’infrastruttura legale e tecnica necessaria per gestire la condivisione e l’elaborazione dei dati in conformità con il GDPR e gli standard EHDS rimane una sfida critica. Sebbene l’introduzione di ambienti di trattamento sicuri ai sensi del Data Governance Act offra una via per l’utilizzo sicuro dei dati, permangono dubbi sull’adeguatezza di questi ambienti nel garantire sia la protezione dei dati sia l’efficacia del loro riutilizzo. È evidente che sistemi tecnici robusti e rigorosi meccanismi di supervisione sono necessari per supportare l’operatività di questi quadri, in particolare per preservare l’integrità dei dati e facilitarne al contempo l’utilizzo secondario per obiettivi di salute pubblica.
Un’altra sfida chiave è il coordinamento tra i vari stakeholder, tra cui i titolari dei dati, utilizzatori di dati, istituzioni sanitarie e organismi di regolamentazione. Interessi divergenti, standard normativi incoerenti e una mancanza di allineamento istituzionale tra le giurisdizioni possono portare a inefficienze e frammentazione nella governance dei dati sanitari. Questa frammentazione potrebbe ostacolare l’interoperabilità e la comparabilità dei dataset, compromettendo così gli sforzi per migliorare la qualità dell’assistenza attraverso decisioni basate sui dati.
In conclusione, sebbene i quadri normativi stabiliti dal GDPR, dall’EHDS e dalla DGA offrano una base promettente per la gestione dei dati sanitari con accesso limitato, la loro implementazione efficace richiede un attento bilanciamento tra i diritti di protezione dei dati e la salute pubblica.
Garantire un’elevata qualità dei dati, promuovere il coordinamento istituzionale e fornire linee guida normative chiare e trasparenti saranno cruciali per superare le attuali sfide di governance. Solo attraverso questi sforzi sarà possibile sfruttare appieno il potenziale della governance dei dati sanitari con accesso limitato, contribuendo in ultima analisi a sistemi sanitari più efficaci e a migliori risultati in termini di salute pubblica.
