Fervono novità rilevanti per l’ambito EHDS (acronimo con cui intendiamo la disciplina dello Spazio Europeo dei Dati Sanitari, disciplinato dal Regolamento (UE) 2025/327 del Parlamento europeo e del Consiglio dell’11 febbraio 2025). La prima e più importante è la pubblicazione del Regolamento di esecuzione (UE) 2026/771 in Gazzetta Ufficiale UE, l’atto che formalizza il Comitato EHDS come organo operativo per l’attuazione del progetto.

Il secondo è l’aggiornamento, avvenuto il 26 marzo 2026, delle FAQ ufficiali della DG SANTE (Direzione generale della salute della Commissione europea), che nella loro nuova versione 1.1 chiariscono quattro aree rimaste ambigue nella versione originale.

Il terzo – meno visibile ma strategicamente rilevante – è la progressione del lavoro di TEHDAS2, il progetto europeo che sta costruendo le linee guida operative per l’uso secondario (cioè di ricerca) dei dati sanitari, con una terza consultazione pubblica ora calendarizzata per maggio-giugno 2026.

Presi insieme questi tre aggiornamenti segnano un passaggio preciso: l’EHDS cessa di essere un progetto normativo in attesa di attuazione e diventa un sistema in costruzione attiva, con organi operativi, linee guida e scadenze che si avvicinano. E dunque l’intero EHDS compie notevoli passi avanti.

Per concetti di base e fondamentali sull’EHDS, rimandiamo tra l’altro a precedenti contributi sul presente portale.

Qui rammentiamo che si tratta di un ambizioso e già corrente progetto europeo per costruire la prima architettura comune dei dati sanitari UE, sia a fini di ricerca che di condivisione per fini di cura. Atti come quelli qui esaminati rappresentano appendici fondamentali per trainare il progetto fino alla sua concreta ultimazione, prevista per ora entro il 26 marzo 2031 per la piena applicazione delle categorie prioritarie di dati, e il 26 marzo 2035 per l’apertura dell’infrastruttura HealthData@EU anche a Paesi terzi.

Regolamento 2026/771: il Comitato EHDS nel dettaglio

Veniamo alla novità più recente, il Regolamento di esecuzione (UE) 2026/771 del 7 aprile 2026, adottato ai sensi dell’art.92 del Reg. EHDS, il quale istituisce le regole per la creazione, gestione e funzionamento del Comitato EHDS – il principale forum di cooperazione tra gli Stati membri e la Commissione.

Secondo quanto chiarisce la stessa FAQ ufficiale il Comitato è composto da due rappresentanti per ciascuno Stato membro, con copertura sia degli aspetti di uso primario sia di uso secondario (intendendo: l’uso primario riguarda l’accesso diretto del paziente ai propri dati sanitari elettronici per finalità di cura; l’uso secondario riguarda il riutilizzo di tali dati – in forma anonimizzata o pseudonimizzata – per ricerca scientifica, innovazione, definizione di politiche pubbliche e sviluppo di algoritmi di intelligenza artificiale in ambito sanitario).

La presidenza è in realtà co-presieduta: un rappresentante della Commissione da un lato, un rappresentante eletto tra i delegati nazionali dall’altro – un equilibrio deliberato tra impulso comunitario e legittimazione degli Stati. Il Comitato può istituire sottogruppi a livello tecnico per preparare le proprie attività, e può invitare esperti esterni – inclusi ENISA, EDPB e i membri dello Stakeholder Forum, quando necessario.

I compiti del Comitato EHDS sono fondamentali e comprendono: assistere gli Stati membri nel coordinare le proprie pratiche, emettere contributi scritti e condividere best practice sull’implementazione del Regolamento. Il Comitato avrà un ruolo basilare anche nella governance delle infrastrutture transfrontaliere, ovvero MyHealth@EU (per l’uso primario) e HealthData@EU (per l’uso secondario), oltre che nel raccordo con il sistema di e-health preesistente. Le FAQ chiariscono che il Comitato EHDS sostituirà gradualmente la rete eHealth Network attuale durante un periodo di transizione fino al 2031, coesistendo con essa man mano che le diverse parti del Regolamento entreranno in applicazione.

Le FAQ aggiornate al 26 marzo 2026: cosa c’è di nuovo

Passiamo alla seconda e annessa, recente news: la versione 1.1 delle FAQ sull’EHDS, pubblicata il 26 marzo 2026 dalla DG SANTE. Rispetto alla versione 1.0 del 5 marzo 2025 il documento introduce quattro domande completamente nuove e amplia due aree già trattate. Le novità sono di assoluto interesse:

• Dispositivi medici, IVD e sistemi AI ad alto rischio interoperabili con EHR. Questa è la risposta a una delle questioni più pratiche per il settore medtech: la FAQ chiarisce che quando un produttore di dispositivi medici, dispositivi medico-diagnostici in vitro o sistemi AI ad alto rischio dichiara l’interoperabilità con un sistema EHR (cioè di cartella clinica elettronica), deve dimostrare la conformità ai requisiti essenziali dell’EHDS per entrambi i componenti armonizzati – ovvero quello di interoperabilità e quello di logging. Pertanto, i produttori di tali dispositivi, seppure non obbligati a utilizzare l’ambiente di test digitale europeo previsto per i fabbricanti di sistemi EHR, devono comunque dimostrare di esservi conformi. La FAQ segnala altresì che le normative MDR e IVDR (riguardanti soprattutto i dispositivi medici) sono in corso di revisione – proprio con un’altra proposta della Commissione del 2025 – e che le disposizioni sovrapposte tra queste normative potrebbero dover essere adattate a seguito di tale revisione. Chi produce dispositivi medici con funzionalità EHR si trova quindi in una situazione di doppia compliance potenziale, da monitorare attivamente.
• Data Access Applications e future data extractions. La FAQ chiarisce un nodo operativo per la ricerca: i c.d. data permit (ovvero le autorizzazioni rilasciate dalle Health Data Access Bodies che consentono a un soggetto determinato di accedere a specifiche categorie di dati sanitari per una finalità dichiarata, in un ambiente di elaborazione sicuro e per un periodo definito) possono prevedere estrazioni future di dati – cioè aggiornamenti periodici dello stesso dataset – solo se il richiedente è un soggetto pubblico o un’istituzione UE. Per tutti gli altri soggetti, comprese le imprese private e i ricercatori del settore profit, ogni nuova estrazione richiede un nuovo permesso. La regola è “un permesso per istanza”: ogni accesso è autorizzato separatamente. Con implicazioni concrete per chi pianifica ricerche longitudinali o aggiornamenti periodici di dataset sanitari: il costo procedurale di accesso ai dati è strutturalmente più alto per il settore privato rispetto al pubblico.
• Contestazione delle decisioni delle HDAB. Le Health Data Access Bodies (HDAB), ovvero le autorità nazionali per l’accesso ai dati sanitari, prenderanno decisioni di notevole impatto economico – come quelle di approvare o rifiutare richieste di accesso ai dati, determinare le tariffe di accesso, o ancora se imporre misure protettive per la proprietà intellettuale. La FAQ chiarisce il sistema di tutele: sia i titolari dei dati sia gli utenti potranno presentare reclamo all’HDAB competente, e una decisione negativa su un data permit costituirà atto amministrativo impugnabile in giudizio. Un dettaglio rilevante: i reclami relativi al diritto di opt-out delle persone fisiche andranno invece indirizzati all’autorità di protezione dei dati personali (in Italia: il Garante per la protezione dei dati personali), non all’HDAB – confermando la coesistenza dei due regimi di supervisione.
• Interazione tra EHDS e Cyber Resilience Act. Questa è probabilmente una delle domande più attese dall’industria tech: si chiarisce ora il meccanismo di coordinamento tra le due normative, per cui un prodotto può essere contemporaneamente un “prodotto con elementi digitali” ai sensi del predetto “CRA” (ovvero il Reg. (UE) 2024/2847, dedicato alla cybersicurezza dei prodotti connessi, già in vigore dal 10 dicembre 2024) e un sistema EHR ai sensi dell’EHDS. In tal caso l’art. 32.5a del CRA stabilisce che è la procedura di valutazione della conformità dell’EHDS a prevalere su quella del CRA. Questo comporta per il fabbricante il non dover condurre due valutazioni separate, visto che il processo EHDS assorbe quello CRA per la parte relativa alla cybersicurezza. La FAQ rinvia per i dettagli al documento FAQ della Commissione separato, dedicato all’implementazione del CRA.
• Infine, il quesito su quali prodotti si qualificano come sistemi EHR è stato esteso con esempi più dettagliati, incluso il chiarimento che un’app che si connette al servizio di accesso ai dati sanitari del paziente conta come sistema EHR, mentre un smartwatch che visualizza dati sanitari fuori dal contesto di cura non vi rientra.

TEHDAS2: le linee guida operative in costruzione

Dato il Reg. EHDS come quadro regolatorio, le linee guida operative sono di spettanza della c.d. TEHDAS2 – “Second Joint Action Towards the European Health Data Space” – un progetto che coinvolge 29 Paesi europei, coordinato dall’istituto finlandese Sitra, attivo dal 2024 fino al dicembre 2026. Il suo compito è sviluppare le linee guida e le specifiche tecniche che consentiranno la concreta implementazione dell’uso secondario (di ricerca) dei dati sanitari a livello transnazionale.

TEHDAS2 lavora con tre ondate di consultazione pubblica: la prima, svoltasi tra gennaio e febbraio 2025, ha raccolto circa 350 risposte su quattro documenti relativi alla scoperta e descrizione dei dataset. Le versioni definitive di questi documenti sono già disponibili sul sito tehdas.eu.

La seconda, apertasi il 30 settembre 2025 e chiusasi il 30 novembre 2025, ha coperto temi operativi di maggiore impatto: tariffe applicate dalle HDAB, sanzioni per mancata conformità dei data holder, procedure di accesso ai dati, minimizzazione e pseudonimizzazione, ambienti di elaborazione sicura (Secure Processing Environments) e diritti dei cittadini.

La forte partecipazione – più del doppio rispetto alla prima consultazione – segnala una maturazione dell’engagement del settore con i dettagli tecnici e operativi dell’EHDS. Le versioni definitive di questi documenti sono attese nel primo semestre 2026.

La terza ondata è già programmata per maggio-giugno 2026 e coprirà sei documenti dedicati a: collaborazione delle HDAB con altri soggetti, accesso e trasferimento internazionale dei dati sanitari, arricchimento e collegamento dei dataset, e il cosiddetto “Citizen Information Point” – le modalità con cui le HDAB informeranno i cittadini sull’uso dei propri dati. Quest’ultima area è particolarmente delicata: dalla chiarezza delle comunicazioni ai cittadini dipende in larga misura il tasso di opt-out e quindi il volume di dati disponibili per la ricerca.

Le linee guida TEHDAS2 diventano il riferimento operativo per le HDAB di tutti e 29 gli Stati partecipanti, e alimentano direttamente gli atti di esecuzione della Commissione. Le imprese che hanno interessi nell’accesso ai dati sanitari per uso secondario hanno un incentivo prioritario nel contribuire attivamente alla terza consultazione.

Il Digital Omnibus: tre implicazioni dirette per l’EHDS

L’ecosistema normativo intorno all’EHDS si complica ulteriormente per effetto del Digital Omnibus, la discussa proposta normativa della Commissione del 19 novembre 2025, tuttora in fermento dopo alcune revisioni (il pacchetto è composto da tre proposte – COM(2025) 835, 836 e 837 – ed è ora all’esame del Parlamento europeo e del Consiglio nell’ambito della procedura legislativa ordinaria).

In febbraio 2026 EDPB e EDPS hanno adottato un parere congiunto critico su alcune delle modifiche proposte, in particolare sulla ridefinizione del dato personale. L’approvazione definitiva non è attesa prima del 2027-2028.

Tre sono le previsioni con impatto potenziale diretto sul quadro EHDS:

• La prima è la proposta di abrogazione del Data Governance Act (Reg. UE 2022/868), con assorbimento delle sue disposizioni nel Data Act rivisto. Per l’EHDS questa è una modifica strutturale: il DGA era la norma di riferimento per l’altruismo dei dati in ambito sanitario – il meccanismo di condivisione volontaria e gratuita dei dati nell’interesse generale – e per i data intermediary services, i soggetti che facilitano la condivisione dati B2B. Lo stesso documento di FAQ EHDS prende esplicitamente atto di questa proposta, avvertendo che le disposizioni del DGA richiamate nell’EHDS “potrebbero dover essere adattate” a seguito della revisione. Il rischio concreto per chi ha costruito la propria governance dei dati sanitari facendo affidamento sugli strumenti del DGA è di trovarsi con un riferimento normativo che già riscritto prima che sia pienamente operativo. Non certo un buon supporto all’auspicata certezza del diritto.
• La seconda modifica riguarda la definizione di dato personale. Il Digital Omnibus propone una lettura più “relativistica”: un dato non sarebbe personale per chi non dispone dei mezzi per identificare l’interessato. Per i dati sanitari pseudonimizzati utilizzati nell’uso secondario EHDS questa modifica avrebbe conseguenze dirette: in alcuni scenari, potrebbe restringere le garanzie applicabili. EDPB ed EDPS, nel parere congiunto dell’11 febbraio 2026, si sono opposti fermamente a questa modifica, definendola un allargamento che va “ben oltre una modifica tecnica”. La questione rimane aperta e sarà uno dei nodi più controversi nell’iter parlamentare.
• La terza modifica è invece accolta positivamente proprio da EDPB ed EDPS: l’armonizzazione della nozione di ricerca scientifica come base giuridica per il trattamento dei dati particolari (art. 9 GDPR). Questa modifica ridurrebbe la frammentazione tra i 27 ordinamenti nazionali che oggi interpretano diversamente i confini della ricerca, inclusa quella finanziata privatamente. Per le imprese farmaceutiche e le CRO che accederanno ai dati per uso secondario, un’interpretazione armonizzata della base giuridica riduce significativamente l’incertezza legale.

Le date principali: una sintesi discorsiva

Ora riconsideriamo quanto sopra in una cornice temporale. Il Reg. EHDS è entrato in vigore il 26 marzo 2025.

Da quella data è iniziato un periodo di transizione articolato per fasi, prima di arrivare alla concreta applicazione: entro il 26 marzo 2027 devono accadere tre cose fondamentali, ovvero che gli Stati membri designino le autorità di sanità digitale e i punti di contatto nazionali, che la Commissione adotti i principali atti di esecuzione (formato di scambio EHR, specifiche di MyHealth@EU e HealthData@EU, requisiti degli ambienti di elaborazione sicura) e che il Comitato EHDS diventi pienamente operativo. Entro questa data si istituisce anche il quadro formale per le Health Data Access Bodies.

Il 26 marzo 2029 è la prima vera scadenza applicativa: l’uso primario transfrontaliero diventerà operativo per il primo gruppo di categorie prioritarie (profili sintetici del paziente, ricette elettroniche, dispensazioni); l’uso secondario diventerà obbligatorio per la maggior parte delle categorie di dati; i sistemi EHR (qualsiasi software, o combinazione di hardware e software, che consente di archiviare, intermediare, esportare, importare, convertire, modificare o visualizzare dati sanitari elettronici personali appartenenti alle categorie prioritarie) dovranno essere conformi per poter essere messi sul mercato UE.

Il 26 marzo 2031 estenderà entrambi gli utilizzi alla seconda tranche di categorie: immagini mediche, referti di laboratorio, lettere di dimissione per l’uso primario; dati genomici, dati da trial clinici e dati di ricerca per l’uso secondario.

Chi è davvero coinvolto e cosa fare adesso

Il perimetro dell’EHDS è più ampio di quanto il nome suggerisca. Non riguarda solo ospedali e sistemi sanitari pubblici, ma qualsiasi soggetto che operi nel settore sanitario o dell’assistenza, sviluppi prodotti o servizi per la salute, conduca ricerche in ambito sanitario o detenga dati sanitari elettronici nell’esercizio della propria attività.

Aziende farmaceutiche e biotech, produttori di dispositivi medici connessi, sviluppatori di software EHR, assicuratori sanitari, CRO, startup di digital health: tutti rientrano nella definizione di “health data holder” e saranno soggetti agli obblighi di condivisione per uso secondario a partire dal 2029. Le microimprese – meno di 10 dipendenti e fatturato sotto i 2 milioni di euro – sono esonerate dall’obbligo di messa a disposizione dei dati, salvo diversa previsione del diritto nazionale.

Le azioni prioritarie per chi opera in questo perimetro sono quattro. Verificare se si rientra nella definizione di health data holder e quali categorie di dati dell’articolo 51 si detengono. Avviare la gap analysis sui sistemi EHR rispetto ai requisiti tecnici dell’Allegato II EHDS, tenendo a mente che gli atti di esecuzione con le specifiche dettagliate arriveranno entro marzo 2027 e che i cicli di sviluppo e certificazione richiedono mesi.

Seguire – e possibilmente partecipare – alla terza consultazione TEHDAS2 di maggio-giugno 2026, che riguarderà temi di diretto interesse per chi vuole accedere ai dati o ha relazioni con Paesi terzi. E monitorare l’iter del Digital Omnibus per anticipare le modifiche al DGA e alla base giuridica della ricerca, che cambieranno alcune delle regole di governance dei dati sanitari già prima che l’EHDS sia pienamente applicabile.

Conclusioni

C’è qualcosa di storicamente insolito in quello che sta accadendo intorno all’EHDS, e le tre notizie esaminate lo rivelano con chiarezza. Nel diritto europeo la sequenza tipica è: prima si scrive la norma, poi si costruisce il sistema, poi arriva l’enforcement.

L’EHDS rompe questa sequenza: il Comitato – che è la governance – viene istituito mentre le FAQ, che sono l’interpretazione delle regole, vengono aggiornate su domande che provengono dall’industria, mentre TEHDAS2 — che sono le specifiche operative — viene costruito attraverso consultazioni pubbliche a cui rispondono in 750.

I tre piani si muovono in parallelo, non in sequenza: il Comitato EHDS stabilisce chi decide, le FAQ aggiornate chiariscono cosa si deve fare, le linee guida TEHDAS2 spiegano come farlo.

Questo significa una cosa: le regole dell’EHDS non sono ancora scritte del tutto, e chi partecipa adesso non sta rispondendo a norme definite – le sta co-scrivendo. Le 750 risposte alla seconda consultazione TEHDAS2 rappresentano il materiale di costruzione delle linee guida che diventeranno gli atti di esecuzione della Commissione.

Le domande inviate alla DG SANTE che hanno generato le nuove FAQ erano le voci dell’industria che hanno costretto la Commissione a mettere nero su bianco il coordinamento tra CRA ed EHDS, l’asimmetria tra pubblico e privato sui data permit, i diritti delle imprese di contestare le decisioni delle HDAB.

Il vero insight è questo: l’EHDS è forse il più ampio progetto normativo europeo che viene costruito in modo (parzialmente) partecipativo in tempo reale – con regolatori, tecnici e stakeholder che scrivono contemporaneamente la governance, le specifiche e le interpretazioni.

Chi aspetta che il quadro sia completo per posizionarsi non capisce che il quadro lo stanno scrivendo quelli che sono già dentro. La terza consultazione TEHDAS2 di maggio-giugno 2026 è l’ultima finestra utile per cercare di influenzare le regole prima che vengano chiuse.

Infine, un auspicio: il paziente, che è nominalmente il soggetto intorno a cui ruota l’intero impianto EHDS, pare l’ultimo pezzo del puzzle. La macchina viene costruita interamente – governance, tariffe, accessi, infrastrutture – e solo alla fine si progetta come spiegarlo a chi quella macchina la alimenta con i propri dati sanitari.

Le citate risposte alla seconda consultazione TEHDAS2 provenivano da istituzioni, enti di ricerca, autorità, industria – non da pazienti.

L’EHDS è un sistema costruito nell’interesse dei cittadini, con la partecipazione di tutti ma forse ben poco dei cittadini. Il diritto di opt-out esiste, è reale e va rispettato – se il cittadino non capisce cosa sta rinunciando o cosa sta concedendo, quell’opt-out vale quanto una clausola in calce a un contratto che nessuno ha letto.

Qualcuno dovrà curarsi della fiducia pubblica in un sistema che, senza quella fiducia, rischia di restare un’architettura ambiziosa con pochi dati dentro e quindi nessun valore aggiunto.