EN Contattaci

European Health Data Space: il Regolamento (UE) 2025/327 e la nuova cornice dei dati sanitari europei

Il Regolamento sull'European Health Data Space, pubblicato il 5 marzo 2025 e in vigore dal 26 marzo 2025. Primary use, secondary use, Health Data Access Body, MyHealth@EU, HealthData@EU e il calendario di applicazione.

Digital HealthCompliance
Digital HealthCompliance EHDSRegolamento UE 2025/327Primary UseSecondary UseHDABHealthData@EUDigital Health
AIHealth

AIHealth

Piattaforma clinica on-premise con LLM locali, RAG su dati FHIR/DICOM, supporto alla diagnosi, follow-up remoto. Architettura progettata per il percorso MDR.

Scopri AIHealth →Digital Health

Digital Health

Sviluppo di software medicale conforme agli standard normativi CE e MDR. Sistemi di supporto alle decisioni cliniche, integrazione AI nei flussi di lavoro clinici.

Scopri →

Una cornice europea per i dati sanitari

Il Regolamento (UE) 2025/327 del Parlamento europeo e del Consiglio dell’11 febbraio 2025“sullo spazio europeo dei dati sanitari” — è stato pubblicato nella Gazzetta Ufficiale dell’Unione Europea il 5 marzo 2025 ed è entrato in vigore il 26 marzo 2025. È il regolamento che istituisce lo European Health Data Space (EHDS): la cornice normativa, infrastrutturale e di governance europea per la circolazione dei dati sanitari.

Il percorso legislativo è stato lungo. La proposta della Commissione — COM(2022) 197 final — è stata presentata il 3 maggio 2022. Dopo quasi due anni di negoziati tra co-legislatori, l’accordo politico provvisorio del trilogo è arrivato il 24 aprile 2024. Il Parlamento europeo ha votato il testo definitivo il 15 gennaio 2025, il Consiglio il 21 gennaio 2025, con firma l’11 febbraio 2025. Il Regolamento è il primo “Data Space” settoriale adottato dall’UE dopo la Strategia europea per i dati del 2020.

I due pilastri: primary use e secondary use

L’EHDS disciplina due ambiti distinti ma coordinati:

  • Primary use — uso dei dati sanitari per erogare assistenza sanitaria al singolo paziente. L’EHDS rafforza i diritti del paziente sull’accesso elettronico ai propri dati, armonizza i requisiti degli EHR system (i sistemi usati dai provider sanitari), rende obbligatoria l’infrastruttura MyHealth@EU per lo scambio transfrontaliero di documenti clinici
  • Secondary use — uso dei dati sanitari per ricerca scientifica, innovazione, statistica ufficiale, policy sanitaria pubblica, regulatory activities. L’EHDS istituisce in ogni Stato membro un Health Data Access Body (HDAB), definisce il procedimento di data permit per l’accesso ai dati, e costruisce l’infrastruttura europea HealthData@EU per l’accesso transfrontaliero

I due pilastri hanno regimi, tempistiche e infrastrutture distinte ma si inseriscono nella stessa architettura regolamentare: il Capo II, III e V del Regolamento per il primary use e la governance; il Capo IV per il secondary use.

Primary use: diritti dei cittadini e obblighi dei provider

Il Capo II del Regolamento disciplina i diritti dei soggetti interessati sui propri dati sanitari elettronici:

  • Diritto di accesso elettronico immediato e gratuito ai dati sanitari presenti nei sistemi dei propri provider e degli enti pubblici
  • Diritto alla portabilità dei dati verso altri Stati membri, senza oneri
  • Diritto di rettifica con procedura semplificata
  • Diritto di oscuramento (masking) di documenti specifici, analogo a quello già previsto dal FSE italiano
  • Diritto di inserimento di informazioni da parte dell’assistito (equivalente del taccuino personale italiano)
  • Diritto al registro degli accessi con dettaglio su chi ha consultato, quando, per quale finalità

Il Capo III impone obblighi ai provider sanitari e ai fabbricanti di sistemi EHR:

  • I provider devono alimentare i sistemi nazionali (EHR regionali, FSE) con i contenuti previsti, in formati interoperabili, senza più eccezioni o rinvii
  • I fabbricanti di EHR system devono sottoporre i loro prodotti a valutazione di conformità secondo i requisiti essenziali fissati dal Regolamento, con certificazione europea armonizzata
  • Le app di wellness e benessere che gestiscono dati sanitari sono soggette a un regime di etichettatura e adesione volontaria

L’infrastruttura obbligatoria per l’interoperabilità transfrontaliera è MyHealth@EU — che passa così da progetto europeo volontario a obbligo di partecipazione per tutti gli Stati membri, con perimetro di servizi progressivamente ampliato: patient summary, ePrescription, medical imaging, laboratory results, discharge reports.

Formati di scambio: il ruolo di FHIR

Il Regolamento non detta specifiche tecniche puntuali ma rinvia a standard armonizzati europei e ad atti di esecuzione della Commissione. Gli standard di riferimento già ampiamente utilizzati nei lavori preparatori EHDS e nelle attività eHDSI/MyHealth@EU sono:

  • HL7 FHIR R4 come standard di scambio
  • IPS (International Patient Summary) come contenuto base del patient summary europeo
  • HL7 IPS Implementation Guide FHIR come profilo di riferimento
  • eIDAS per l’identificazione dei cittadini nei servizi transfrontalieri
  • SNOMED CT, LOINC, ATC, ICD-10, UCUM come terminologie di riferimento

Gli atti di esecuzione specifici saranno adottati nei mesi successivi all’entrata in vigore, con consultazione pubblica dei portatori di interesse e coinvolgimento del Comitato EHDS.

Secondary use: il Capo IV

Il Capo IV è la parte più innovativa del Regolamento ed è stata anche la più dibattuta in trilogo. Introduce:

  • Categorie di dati sanitari riusabili (art. 51): dati EHR, registri (di patologia, mortalità, malattie rare), dati di ricerca clinica, cohort, claims assicurativi, dati di biobanche, genomici e omici, dati da dispositivi medici, dati di wellness app, dati di studi di popolazione
  • Data holder obbligati a rendere disponibili i dati: provider sanitari pubblici e privati (con deroghe per i microsoggetti), agenzie nazionali, IRCCS e enti di ricerca, biobanche pubbliche, gestori di registri. I data holder privati (assicurazioni, farma) sono assoggettati al regime con alcune specificità
  • Health Data Access Body (HDAB) in ciascuno Stato membro — autorità pubblica responsabile di valutare le richieste di accesso, rilasciare i data permit, fornire i dati in ambienti sicuri di elaborazione, gestire tariffe e audit
  • Data permit — procedura strutturata di richiesta che specifica finalità, dati richiesti, misure di sicurezza; decisione motivata e appellabile dell’HDAB
  • Ambienti sicuri di elaborazione (secure processing environments) — infrastrutture di analisi in cui il richiedente accede ai dati senza possibilità di estrazione, solo di risultati aggregati
  • HealthData@EU — l’infrastruttura europea federata che collega gli HDAB nazionali, gestita dalla Commissione con il supporto degli Stati membri
  • Catalogue delle fonti dati — dataset dictionary pubblico a livello europeo

Gli scopi ammessi per il secondary use (art. 53) includono: ricerca scientifica di interesse pubblico, innovazione in ambito sanitario, valutazione delle tecnologie sanitarie (HTA), attività regolatorie, statistiche pubbliche, miglioramento della qualità di cura. Gli usi vietati (art. 54) coprono l’uso contro l’interesse dei soggetti (discriminazione, esclusione da assicurazioni, campagne marketing, pattern di prezzo).

Rapporto con GDPR

L’EHDS non sostituisce il GDPR — lo complementa. Le basi giuridiche per il trattamento restano quelle del GDPR (art. 6 e art. 9), con l’EHDS che specifica obblighi e diritti operativi per il dominio sanitario. Il rapporto:

  • Il primary use è ricondotto all’art. 9(2)(h) del GDPR (finalità di cura) — il Regolamento rafforza i diritti di accesso e portabilità senza modificare la base giuridica
  • Il secondary use poggia sugli art. 9(2)(i) — interesse pubblico nel settore sanitario — e 9(2)(j) — ricerca scientifica. Il Regolamento specifica le procedure operative
  • Le autorità di protezione dei dati (Garante in Italia, EDPB a livello europeo) cooperano con gli HDAB

Il Regolamento prevede esplicitamente che il richiedente di un data permit non diventi titolare del trattamento dei dati nel senso del GDPR — opera in un ambiente controllato dall’HDAB, con i dati pseudonimizzati.

Calendario di applicazione

Il Regolamento ha un calendario di applicazione progressivo. Le date chiave:

  • 26 marzo 2025 — entrata in vigore
  • 26 marzo 2027 — applicazione della maggior parte delle disposizioni del Capo II e III (primary use): diritti del paziente, obblighi dei provider per le categorie prioritarie di documenti (patient summary, ePrescription), MyHealth@EU obbligatoria
  • 26 marzo 2028 — estensione agli EHR system (obblighi dei fabbricanti di conformità)
  • 26 marzo 2029 — applicazione del Capo IV (secondary use): HDAB operativi, HealthData@EU operativa, data permit disponibili
  • Date successive per categorie specifiche (genomici, alcune tipologie di registri) fino al 2031

Il Regolamento prevede revisioni periodiche e la possibilità di adeguamento tramite atti di esecuzione e atti delegati.

Impatto sul sistema italiano

Per l’Italia l’EHDS si innesta sul percorso FSE 2.0 in corso — in parte anticipando gli obblighi europei, in parte richiedendo adeguamenti:

  • Primary use — il FSE 2.0 con il Gateway FSE Sogei è strutturalmente compatibile con l’EHDS. L’adesione a MyHealth@EU — già in corso sotto Direttiva 2011/24 — diventa obbligo a pieno regime. Gli EDS regionali dovranno esporre i contenuti in FHIR IT conformemente ai profili europei armonizzati
  • Secondary use — qui il lavoro è più consistente. L’Italia dovrà istituire un Health Data Access Body nazionale (o una struttura federata con articolazioni regionali), definire le procedure di data permit, costruire gli ambienti sicuri di elaborazione, allineare le governance esistenti (Garante, Comitati Etici, Agenas, ISS, AIFA) al nuovo regime
  • Fabbricanti di EHR system — i vendor italiani di cartella clinica e di gestionali sanitari dovranno sottoporre i propri prodotti a valutazione di conformità secondo gli standard EU, con effetti sui capitolati di gara e sulle catene di fornitura
  • Normativa nazionale — il D.Lgs. 196/2003 (Codice Privacy) e i decreti attuativi del FSE richiederanno allineamento; il Garante dovrà aggiornare le proprie Linee guida

Cosa fare ora

I ventiquattro mesi che separano dalla prima grande scadenza (26 marzo 2027) sono un periodo di lavoro denso per tutti gli attori del sistema sanitario italiano:

  • Regioni — completamento degli EDS, adozione dei profili FHIR IT, integrazione con il Gateway FSE, preparazione alla partecipazione piena a MyHealth@EU
  • Provider sanitari — verifica di conformità delle cartelle cliniche in uso, adeguamento dei processi di alimentazione, formazione del personale
  • Vendor di EHR system — avvio dei percorsi di conformità EU, aggiornamento delle roadmap di prodotto
  • Ricercatori e centri di ricerca — preparazione alla richiesta di data permit, familiarizzazione con le procedure HDAB, strutturazione dei dataset esistenti verso il formato europeo armonizzato
  • Pubblica amministrazione — disegno dell’HDAB italiano, aggiornamento del quadro normativo nazionale, dialogo con le controparti europee

La cornice EHDS, letta insieme al FSE 2.0, a MDR, al GDPR e all’EU AI Act, compone un ecosistema regolatorio che disegna l’infrastruttura dei dati sanitari europei per il prossimo decennio.

Riferimenti normativi: Regolamento (UE) 2025/327 del Parlamento europeo e del Consiglio, 11 febbraio 2025, pubblicato in GU UE L 2025/327 del 5 marzo 2025, in vigore 26 marzo 2025. Proposta COM(2022) 197 final, 3 maggio 2022. Regolamento (UE) 2016/679 (GDPR). Direttiva 2011/24/UE. Regolamento (UE) 2017/745 (MDR). Regolamento (UE) 2024/1689 (EU AI Act).

Vuoi supporto? Sei sotto attacco? Stato dei servizi
Vuoi supporto? Sei sotto attacco? Stato dei servizi