Il Regolamento (UE) 2025/327, che istituisce lo Spazio Europeo dei Dati Sanitari (EHDS), è stato approvato dal Parlamento europeo nell’aprile 2024, dal Consiglio dell’UE nel gennaio 2025, pubblicato nella Gazzetta Ufficiale il 5 marzo 2025 ed infine entrato in vigore il 26 marzo 2025.
Il nuovo quadro normativo si fonda sui principi del GDPR e del Regolamento (UE) 2018/1725, integrandoli con regole specifiche per il settore sanitario. L’obiettivo è rafforzare il controllo dei cittadini sui propri dati, migliorare la qualità dell’assistenza e promuovere innovazione, ricerca ed elaborazione delle politiche sanitarie.
UE – Parlamento Europeo e Consiglio Europeo - Reg. 2025/327 (EHDS): Regolamento per la gestione e la circolazione dei dati sanitari nell'UE
11 febbraio 2025
Numero
327
Il regolamento, si compone attualmente di nove capi, di cui si riassumono i contenuti essenziali:
- Il Capo I (artt. 1 e 2) istituisce lo Spazio europeo dei dati sanitari (EHDS), delineando un quadro normativo, infrastrutturale e di governance comuni per facilitare l’accesso, l’uso e la condivisione dei dati sanitari elettronici nell’UE. Inoltre, stabilisce norme per garantire i diritti delle persone e l’interoperabilità tra sistemi di cartelle cliniche elettroniche e le applicazioni per il benessere, sia per l’uso primario dei dati sanitari (assistenza sanitaria diretta) sia per il loro uso secondario (ricerca, politiche, innovazione). Chiarisce anche i rapporti con altre normative europee in materia di dati sanitari, privacy e dispositivi medici, escludendo i trattamenti effettuati a fini di contrasto o al di fuori del diritto UE. Infine, definisce in dettaglio le principali nozioni, soggetti e istituti sottoposti alla disciplina del Regolamento, tra cui: dati sanitari elettronici personali e non personali, sistemi e componenti software, titolari e utilizzatori dei dati, nonché i criteri di qualità e sicurezza dei dati.
- Il Capo II (artt. 3-24) disciplina l’uso primario dei dati sanitari. Esso si occupa infatti dei diritti delle persone fisiche riguardo i dati sanitari elettronici, prevedendo: l’accesso immediato, gratuito e leggibile, la possibilità di scaricare copie, di integrare le informazioni senza alterare quelle dei professionisti, il diritto di rettifica, la portabilità, la limitazione e la trasparenza sugli accessi, qualora ciò sia necessario per tutelare la salute dell’interessato.I professionisti sanitari possono accedere ai dati necessari alla cura, anche dal punto di vista transfrontaliero. Gli Stati membri, a loro volta, devono mettere a disposizione delle persone fisiche servizi nazionali gratuiti che consentono l’esercizio effettivo dei diritti sui dati sanitari elettronici, come l’accesso, il download, la rettifica, l’integrazione e la trasparenza sugli accessi. I prestatori di assistenza sanitaria registrano e aggiornano i dati prioritari, mentre è attribuito alla Commissione il dovere di stabilire i formati e le prescrizioni tecniche comuni senza prevedere costi aggiuntivi. Ogni Stato membro designa un’autorità di sanità digitale per la vigilanza, la redazione di relazioni biennali e la gestione dei reclami coordinati con le autorità GDPR. La Commissione istituisce la piattaforma MyHealth@EU per lo scambio transfrontaliero di dati, prevedendo regole sulla sicurezza, sulla gestione e sui servizi aggiuntivi (telemedicina, traduzioni, certificati), anche verso paesi terzi o organismi internazionali, previa verifica di conformità.
- Il Capo III (artt. 25-49) disciplina i sistemi di cartelle cliniche elettroniche (EHR) e le applicazioni per il benessere, imponendo requisiti di sicurezza, interoperabilità e registrazione. I sistemi EHR, composti da componenti software armonizzati, possono essere immessi sul mercato solo se conformi alle norme UE. Gli operatori economici devono garantire la conformità tecnica, la presenza del marchio CE, la disponibilità di documentazione chiara, la gestione dei reclami e degli eventuali ritiri e la tracciabilità decennale dei sistemi e dei loro componenti, comprendente la conservazione delle informazioni relative all’identificazione, alla distribuzione e alla documentazione tecnica, mentre i componenti software devono rispettare le specifiche definite dalla Commissione, come la dichiarazione UE e la marcatura CE. La vigilanza del mercato è affidata alle autorità nazionali e alla Commissione, che impongono misure correttive o il ritiro delle cartelle cliniche elettroniche in caso di rischi gravi. Le applicazioni per il benessere possono dichiarare di essere interoperabili solo se rispettano le specifiche comuni e le prescrizioni essenziali, e devono riportare un’etichetta ufficiale che attesti la compatibilità dei dati e le garanzie di sicurezza. Tutti i sistemi EHR e le applicazioni etichettate devono essere registrati in una banca dati UE pubblica.
- Il Capo IV (artt. 50-81) disciplina l’uso secondario dei dati sanitari elettronici, prevedendo esenzioni per persone fisiche e microimprese e la possibilità per gli Stati membri di designare entità intermediarie. I titolari devono rendere disponibili varie categorie di dati, inclusi quelli derivanti dalle cartelle cliniche, dai dispositivi medici, dai registri di medicinali e di dispositivi medici, i dati genetici e molecolari, con garanzie rafforzate per quelli sensibili. L’accesso a dati protetti da segreti o diritti di proprietà intellettuale è regolato dalla normativa, con possibilità di diniego in caso di rischi gravi. L’uso dei dati è ammesso per ragioni di sanità pubblica, di ricerca, di politiche e di innovazione, mentre è vietato per scopi discriminatori, pubblicitari o per utilizzi che possano comportare rischi per la sanità, la sicurezza, la privacy o altri danni agli interessati. Gli Stati membri designano organismi responsabili dell’accesso, che autorizzano l’uso dei dati, vigilano sul rispetto delle regole, informano i cittadini e pubblicano relazioni biennali. Titolari e utilizzatori devono rispettare gli obblighi su tempi, cataloghi, qualità, ambienti sicuri e anonimizzazione, con autorizzazioni basate su necessità, proporzionalità, GDPR e rischi. L’infrastruttura HealthData@EU facilita lo scambio transfrontaliero tra punti di contatto e piattaforma centrale, mentre la Commissione istituisce cataloghi nazionali e europei delle serie di dati, marchi di qualità e procedure di trasparenza da rispettare in modo da garantire anche il diritto di reclamo.
- Il Capo V (artt. 82 -91) disciplina le azioni di supporto e regolazione nell’uso dei dati sanitari elettronici. La Commissione rafforza le capacità degli Stati membri attraverso best practice, formazione per i professionisti e alfabetizzazione digitale per i pazienti. Gli Stati membri devono rispettare le specifiche tecniche negli appalti e garantire elevati livelli di protezione e sicurezza: i dati per uso primario restano nazionali, quelli per uso secondario in ambienti sicuri europei, infatti i trasferimenti verso paesi terzi vengono ammessi solo in presenza di garanzie equivalenti. I trasferimenti seguono il GDPR e la Commissione monitora l’accesso da parte di paesi terzi.
- Il Capo VI (artt. 92-96) disciplina la governance e il coordinamento dello Spazio Europeo dei Dati Sanitari (EHDS). Il Comitato EHDS è istituito per favorire la cooperazione e lo scambio di informazioni tra la Commissione e gli Stati membri, coordinando le attività relative all’uso primario e secondario dei dati sanitari elettronici. Tra le sue funzioni principali rientrano il coordinamento delle autorità nazionali, la promozione di buone pratiche, l’interoperabilità e la qualità dei dati, nonché la gestione di rischi e incidenti. Accanto al Comitato, il Forum dei portatori di interessi riunisce rappresentanti di pazienti, professionisti, imprese, consumatori e ricercatori con l’obiettivo di rafforzare il dialogo e la cooperazione tra i diversi attori coinvolti, fornendo contributi strategici e pubblicando relazioni annuali. Infine, la Commissione è responsabile della gestione tecnica delle infrastrutture centrali dell’EHDS, assicurandone disponibilità, sicurezza, interoperabilità e manutenzione.
- Il Capo VII (artt. 97 e 98) disciplina la delega di potere e la procedura di comitato. La Commissione può adottare atti delegati relativi all’art. 14, co. 2, all’art. 49, co. 4, e all’art. 78, co. 5, revocabili da Parlamento o Consiglio senza pregiudicare atti già in vigore. Prima dell’adozione consulta gli esperti degli Stati membri e notifica anche al Parlamento e al Consiglio: gli atti entrano in vigore se non vi sono obiezioni entro tre mesi. La Commissione è assistita da un comitato ai sensi del regolamento (UE) 182/2011, applicando l’art. 5 dello stesso Regolamento.
- Il Capo VIII (artt. 99-104) contiene le disposizioni finali e complementari. Gli Stati membri devono stabilire sanzioni efficaci, proporzionate e dissuasive per violazioni non coperte dagli artt. 63-64, comunicandole alla Commissione entro il 26 marzo 2027, considerando gravità, durata, reiterazione, misure correttive, benefici economici e fatturato. È riconosciuto il diritto al risarcimento per danni materiali o immateriali da violazioni, e la possibilità di affidare mandato a enti senza scopo di lucro per reclami o azioni collettive. Viene stabilito che la Commissione debba effettuare una valutazione mirata entro il 2033 e una globale entro il 2035, presentando relazioni su interoperabilità, uso secondario, certificazioni, mercato interno e costi/benefici, con eventuali proposte di modifica. Infine, vengono introdotte modifiche al Regolamento (UE) 2024/2847, imponendo ai fabbricanti di prodotti digitali sanitari requisiti di cibersicurezza e conformità in linea con l’EHDS.
- Nel Capo IX si specifica che, anche se il regolamento entra in vigore 20 giorni dopo la pubblicazione, sarà applicabile dal 26 marzo 2027. Alcune norme chiave si applicheranno in fasi diverse: dal 2029 per le prime categorie di dati sanitari (art. 14, lett. a–c) e dal 2031 per le successive (at. 14, lett. d–f). Le modifiche future dei dati saranno operative un anno dopo l’adozione dei relativi atti delegati. Il Capo III sui sistemi di cartelle cliniche elettroniche sarà obbligatorio dal 2031, mentre il Capo IV sull’uso secondario dei dati entrerà in vigore a partire dal 2029, con alcune disposizioni già applicabili dal 2027 e altre che potranno essere rinviate fino al 2035. Anche gli atti di esecuzione seguiranno scadenze differenziate, in base ai tipi di dati interessati.
Il testo completo del Regolamento è disponibile al seguente link e nel box download.
Sara Cavallet
Pubblicato il: Martedì, 11 Febbraio 2025 - Ultima modifica: Lunedì, 03 Novembre 2025
