Messaggio 001
Comunicazione della Commissione - TRIS/(2025) 3364
Direttiva (UE) 2015/1535
Notifica: 2025/0708/FR
Notifica di un progetto di testo da parte di uno Stato membro
Notification – Notification – Notifzierung – Нотификация – Oznámení – Notifikation – Γνωστοποίηση – Notificación – Teavitamine – Ilmoitus – Obavijest – Bejelentés – Notifica – Pranešimas – Paziņojums – Notifika – Kennisgeving – Zawiadomienie – Notificação – Notificare – Oznámenie – Obvestilo – Anmälan – Fógra a thabhairt
Does not open the delays - N'ouvre pas de délai - Kein Fristbeginn - Не се предвижда период на прекъсване - Nezahajuje prodlení - Fristerne indledes ikke - Καμμία έναρξη προθεσμίας - No abre el plazo - Viivituste perioodi ei avata - Määräaika ei ala tästä - Ne otvara razdoblje kašnjenja - Nem nyitja meg a késéseket - Non fa decorrere la mora - Atidėjimai nepradedami - Atlikšanas laikposms nesākas - Ma jiftaħx il-perijodi ta’ dewmien - Geen termijnbegin - Nie otwiera opóźnień - Não inicia o prazo - Nu deschide perioadele de stagnare - Nezačína oneskorenia - Ne uvaja zamud - Inleder ingen frist - Ní osclaíonn sé na moilleanna
MSG: 20253364.IT
1. MSG 001 IND 2025 0708 FR IT 25-11-2025 FR NOTIF
2. France
3A. Ministères économiques et financiers
Direction générale des entreprises
SCIDE/SQUALPI - Pôle Normalisation et réglementation des produits
Bât. Sieyès -Teledoc 143
61, Bd Vincent Auriol
75703 PARIS Cedex 13
3B. Délégation au numérique en santé
Ministère de la Santé et de la Prévention
14 avenue Duquesne
75007 PARIS
4. 2025/0708/FR - SERV - Servizi della società dell'informazione
5. Decreto recante modifica di talune disposizioni relative all’hosting di dati sanitari personali
6. Hosting di dati sanitari personali
7.
8. 8. Il presente decreto, emanato ai sensi dell’articolo 31 della legge SREN, mira a:
1. specificare gli obblighi di sovranità di cui al paragrafo IV dell’articolo L.1111-8 del codice della sanità pubblica, integrando i requisiti da 28 a 31 della norma HDS notificata con il numero di notifica 2023/0682/FR:
- richiede che i dati sanitari siano ospitati esclusivamente sul territorio di uno Stato membro dell’Unione europea o che fa parte dello Spazio economico europeo. In caso di accesso remoto da un paese terzo, tale accesso deve basarsi su una decisione di adeguatezza della Commissione europea o, in mancanza, su garanzie adeguate specificate nel contratto di hosting;
- introduce nuovi obblighi contrattuali per i fornitori di servizi di hosting, che devono informare i propri clienti in merito alle normative extraeuropee che potrebbero comportare il trasferimento o l’accesso non autorizzato ai dati, alle misure messe in atto per limitarne gli effetti e agli eventuali rischi residui;
- viene introdotto un obbligo di trasparenza che impone ai fornitori di servizi di hosting di pubblicare e aggiornare una mappa dei trasferimenti di dati verso paesi al di fuori del SEE e una descrizione dei rischi di accesso non autorizzato;
2. adeguare alcune disposizioni dell’articolo R.1111-11 a quelle del GDPR:
- sul contenuto della clausola contrattuale relativa alle modalità di esercizio dei diritti degli interessati e dei diritti effettivamente previsti dal GDPR;
- sul requisito 19, allineato al GDPR per quanto riguarda i diritti delle persone fisiche, come previsto dal GDPR aggiornato nel 2024.
9. L’articolo 32 della legge SREN modifica l’articolo L.1111-8, paragrafo IV, del codice della sanità pubblica (CSP) aggiungendo nuovi obblighi in materia di sovranità dei dati che devono essere rispettati dai gestori di dati sanitari personali, prevedendo, da un lato, l’obbligo di conservare i dati nell’UE e, dall’altro, nuove clausole da includere nel contratto tra il gestore e il suo cliente in considerazione dei rischi di trasferimento o accesso non autorizzato ai dati personali da parte di legislazioni non europee.
Il contenuto di tali obblighi e clausole contrattuali deve ora essere specificato con decreto del Consiglio di Stato.
L’articolo 32 della legge SREN prevede inoltre che l’hosting dei dati sanitari nell’ambito di un servizio di archiviazione elettronica è ora soggetto all’obbligo di certificazione "host dei dati sanitari" (HDS), oltre a essere approvato dal ministro della Cultura. Tale modifica della legge non comporta alcuna modifica normativa, ad eccezione del chiarimento che l’attività di hosting corrispondente alla "salvaguardia dei dati sanitari" comprende l’attività di "archiviazione elettronica".
Il progetto notificato è conforme alla normativa europea in materia di dati personali, in particolare al regolamento (UE) 2025/327 sullo spazio europeo dei dati sanitari (EHDS). In particolare, l’obbligo per gli host dei dati sanitari di localizzare i dati fisici all’interno dell’UE o del SEE è coerente con l’articolo 86 del regolamento EHDS, che concede espressamente agli Stati membri la possibilità di limitare la conservazione dei dati sanitari al territorio dell’UE. Inoltre l’host o uno dei suoi responsabili del trattamento sottopone l’accesso remoto ai dati da un paese terzo a una decisione di adeguatezza della Commissione a norma dell’articolo 46 del regolamento (UE) 2016/679 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (GDPR), conformemente all’articolo 90 del regolamento EHDS, che dà agli Stati membri la possibilità di mantenere o introdurre ulteriori condizioni relative all’accesso internazionale ai dati sanitari. Infine l’obbligo di includere, in assenza di una decisione di adeguatezza da parte della Commissione, le misure adottate per attenuare i rischi di trasferimento o accesso non autorizzato a tali dati da paesi terzi al di fuori dell’UE o del SEE è anche in linea con l’articolo 90 del regolamento EHDS, che dà agli Stati membri la possibilità di sottoporre il trasferimento di dati personali a ulteriori condizioni di protezione.
10. Riferimenti dei testi di base: 2023/0682/FR, 2017/0343/F
I testi di base sono stati inoltrati nell’ambito di una precedente notifica:
2023/0682/FR
2017/0343/F
11. No
12.
13. No
14. No
15. No
16.
Aspetto OTC: No
Aspetto SPS: No
**********
Commissione europea
Punto di contatto Direttiva (UE) 2015/1535
email: grow-dir2015-1535-central@ec.europa.eu
