Vuoi ricevere i nostri aggiornamenti?

Registrati per accedere ai contenuti riservati e iscriverti alla nostra newsletter
Registrati
Back

Data Act, si parte il 12 settembre. Istruzioni per l’uso

04/09/2025
Silvia Stefanelli

Il 12 settembre diventa pienamente efficace il Regolamento UE 2023/2854 più noto come Data Act che rappresenta un tassello fondamentale della strategia europea dei dati delineata dalla Commissione con la COM(2020) 66 del 19 febbraio 2020, creando un ecosistema legislativo uniforme per favorire la condivisione di dati tra soggetti privati e tra pubblico e privato. 
La disciplina – che si applica anche ai medical device ­– impatta sia sulla progettazione dei prodotti che sugli obblighi tra i diversi soggetti (per un’analisi più approfondita si veda il nostro articolo L’impatto del Data Act sui dispositivi medici pubblicato in questa rubrica). Vediamo allora cosa cambia per fabbricanti, operatori sanitari e pazienti.

I punti cardine

Il Data Act si applica ai “prodotti connessi”, definiti all’articolo 2, lettera 5 come “un bene che ottiene, genera o raccoglie dati relativi al suo utilizzo o al suo ambiente e che è in grado di comunicare dati del prodotto tramite un servizio di comunicazione elettronica, una connessione fisica o l’accesso su dispositivo, e la cui funzione primaria non è l’archiviazione, il trattamento o la trasmissione dei dati per conto di una parte diversa dall’utente”.
Il cuore del Data Act (cioè il meccanismo di condivisione) risiede negli articoli 3, 4 e 5, che stabiliscono il principio dell’accessibilità “by design e by default”. L’articolo 3 impone che i prodotti connessi siano progettati e fabbricati in modo che i dati siano “accessibili all’utente in modo facile, sicuro, gratuito, in un formato completo, strutturato, di uso comune e leggibile da dispositivo automatico”. L’articolo 4 specifica che, quando l’accesso diretto non è possibile, il titolare deve mettere a disposizione i dati “senza indebito ritardo, con la stessa qualità di cui dispone il titolare dei dati”. L’articolo 5 estende questo obbligo alla condivisione con terze parti indicate dall’utente. Vediamo allora cosa cambia, concretamente, per il mondo medical device.

I nuovi obblighi per i fabbricanti

In primo luogo i fabbricanti dovranno valutare se il loro prodotto rientra o meno nella nozione di “prodotto connesso”. Ove i dispositivi medici rientrino nella nozione di cui sopra, il fabbricante dovrà ripensare al flusso dei dati che sono generati da i dm/prodotti connessi e implementare i conseguenti nuovi processi. L’intera disciplina pone infatti specifici obblighi in capo al “titolare dei dati”, che è la persona fisica o giuridica che ha il diritto o l’obbligo di utilizzare e mettere a disposizione dati, compresi, se concordato contrattualmente, quelli del prodotto o di un servizio che ha reperito o generato nel corso della fornitura di un servizio correlato” (articolo 2 punto 13) .
Il “titolare dei dati” è dunque il soggetto che ha la possibilità/il dovere di “mettere a disposizione” i dati generati dai prodotti: potrà dunque essere il fabbricante stesso o altro soggetto (es. il distributore).

L’elenco completo

Partendo dalla più semplice ipotesi che il “fabbricante” (ex MDR ) sia anche “titolare dei dati” (ex Data Act) i nuovi obblighi che scattano a settembre sono i seguenti:

  • obblighi di progettazione (articolo 3). I dispositivi medici che sono “prodotti connessi” dovranno garantire l’accessibilità dei dati “per impostazione predefinita”. Questo significa riprogettare l’architettura software per includere API dedicate, interfacce di esportazione dati e sistemi di autenticazione che permettano l’accesso sicuro ma semplificato. I dati dovranno essere disponibili in formati standard come ad es. JSON, XML o CSV, leggibili automaticamente e interoperabili con i sistemi informativi ospedalieri.
  • Obblighi informativi pre-contrattuali (articolo 3, par. 2-3). Prima della conclusione del contratto, il titolare dei dati dovrà fornire informazioni dettagliate su: tipologia dei dati raccolti (es. parametri vitali, dati di utilizzo, diagnostica), formato e struttura dei dati, frequenza di aggiornamento, modalità tecniche di accesso, eventuali limitazioni all’accesso per protezione di segreti commerciali.
  • Fornitura continua dei dati (articolo 4, par. 1). Quando l’accesso diretto non è tecnicamente possibile, il titolare dovrà implementare sistemi di trasmissione dati che garantiscano qualità equivalente a quella disponibile internamente, trasmissione “senza indebito ritardo”, disponibilità continua e, dove possibile, in tempo reale, gratuità per l’utente.
  • Gestione delle richieste di condivisione con terzi (articolo 5). I fabbricanti/titolari dovranno predisporre – previa verifica della base giuridica ex GDPR ­– procedure per verificare l’identità dell’utente richiedente, validare l’autorizzazione alla condivisione, implementare meccanismi di tracciamento degli accessi, garantire che i terzi non siano gatekeeper ai sensi del Digital Markets Act.
  • Protezione dei segreti commerciali (articolo 4, par. 6-8). È consentito rifiutare la condivisione solo se questa comporta la divulgazione di segreti commerciali, ma il fabbricante dovrà dimostrare l’esistenza del segreto commerciale, valutare misure alternative di protezione, documentare il rifiuto motivato.
  • Misure tecniche di protezione (articolo 11). Implementazione di smart contracts per automatizzare la condivisione, sistemi di crittografia end-to-end, audit trail completi per tracciare ogni accesso, meccanismi di revoca immediata dell’accesso.
  • Conformità contrattuale (articolo 13). Revisione di tutti i contratti per eliminare clausole considerate abusive, in particolare quelle che escludono o limitano l’accesso ai dati, impongono costi nascosti per l’accesso, vincolano l’utente a servizi accessori non necessari.

Nessun costo per gli utenti

Va inoltre precisato che ai sensi dell’articolo 4 i titolari dei dati non possono addebitare costi agli utenti per l’accesso ai loro dati: questo comporta che i costi per i nuovi processi e per l’implementazione delle infrastrutture di accesso ai dati ricadano interamente sui titolari, rappresentando possibile impatto economico per l’industria dei dispositivi medici.

Cosa devono fare le aziende?

Senza dubbio intraprendere alcune azioni immediate per prepararsi all’entrata in vigore quali:

  1. audit completo per valutare quali dei loro dispositivi medici sono prodotti connessi
  2. identificare gap di conformità ai fini della accessibilità
  3. revisione, se del caso, dell’architettura tecnica per implementare l’accesso by design
  4. aggiornamento, se del caso, dei processi di sviluppo prodotto per includere requisiti Data Act
  5. definizione dei processi di accesso ai dati nel caso non sia possibile l’accesso diretto
  6. processo per l’identificazione quale utente, del soggetto che chiede l’accesso
  7. determinazione di quali dati possono essere considerati protetti da segreto industriale ex Dir 2016/943
  8. definizione dei processi per la protezione delle informazioni considerate “segrete”
  9. revisione di tutti i contratti e/o procedure per adempiere obbligo informativo
  10. revisione di tutti i contratti per eliminazione di clausole abusive (ove esistenti)
  11. formazione del personale dedicato alla gestione obblighi e diritti degli utenti
  12. procedure per collaborazione con autorità competenti, se del caso

I nuovi diritti in capo agli utenti

A fronte dei nuovi obblighi in capo al titolare dei dati sorgono nuovi diritti in capo alla figura dell’utente. L’utente ex Data Act è “una persona fisica o giuridica che possiede un prodotto connesso o a cui sono stati trasferiti contrattualmente diritti temporanei di utilizzo di tale prodotto connesso o che riceve un servizio correlati” (articolo 2 lett. 12). Il considerando 18 del Data Act chiarisce poi che possono esistere più utenti per lo stesso dispositivo connesso. Questo è proprio il caso tipico del settore sanitario, nell’ambito del quale possono essere presenti utenti contemporaneamente. A titolo di esempio:

  • il paziente che indossa o utilizza il dispositivo wearable
  • l’ospedale o clinica che ha acquistato o noleggiato tale dispositivo
  • il medico curante che prescrive e monitora l’uso del wearable

In questi casi l’articolo 21 del Data Act precisa poi che la progettazione del prodotto connesso deve consentire a tutti gli utenti di avere accesso ai dati che generano, richiedendo potenzialmente sistemi di account multipli o condivisi. Più esattamente tali utenti acquisiscono i seguenti nuovi diritti:

  • diritto di accesso completo (articolo 4, par. 1). Gli utenti potranno accedere a tutti i dati “dati prontamente disponibili”, definiti come dati facilmente accessibili senza sforzo sproporzionato. Questo include (a titolo di esempio) dati grezzi dei sensori, dati pre-processati di diagnostica, metadati sulla qualità e affidabilità delle misurazioni, log di utilizzo e manutenzione, dati di calibrazione e configurazione.
  • Diritto alla trasparenza pre-contrauttuale (articolo 3 par. 3).

Gli utenti acquisiscono il diritto di ricevere quattro categorie fondamentali di informazioni:

  • il tipo, formato e volume stimato dei dati sanitari che il dispositivo è capace di generare;
  • l’indicazione se il dispositivo può generare dati in modo continuo e in tempo reale;
  • le modalità di archiviazione (su dispositivo o server remoto) e la durata prevista di conservazione;
  • le modalità tecniche specifiche per accedere, recuperare o cancellare i dati, inclusi i termini d’uso e la qualità del servizio.

Nel contesto sanitario, questo significa (ad esempio) che un paziente che acquista direttamente un dispositivo per il monitoraggio cardiaco deve essere informato preventivamente se il dispositivo registra dati ECG ogni secondo, se li memorizza localmente per 30 giorni o li trasmette in cloud per cinque anni e attraverso quale app o interfaccia web potrà accedervi.

  • Diritto al trasferimento a terzi (articolo 5 in combinato con gli articoli 23-31). Tutti gli utenti potranno richiedere il trasferimento dei dati verso terzi, quali (ad esempio) altri fornitori di servizi di manutenzione, piattaforme di analisi dati sanitari, sistemi di intelligenza artificiale per diagnostica avanzata, centri di ricerca per studi clinici.
  • Diritto all’interoperabilità (articoli 28-30). Gli stessi potranno esigere che i dati siano forniti secondo standard di interoperabilità europei, facilitando l’integrazione con sistemi PACS per l’imaging, LIS per i laboratori, EMR/EHR per le cartelle cliniche, piattaforme di telemedicina.

La nuova centralità del paziente nell’ecosistema dei dati

I pazienti sono utenti che si trovano in una posizione rafforzata, in quanto sono anche interessati ex GDPR. Sotto questo profilo, ai sensi dell’articolo 1 par. 3, gli stessi non solo mantengono tutti i diritti del GDPR ­– diritto all’informativa completa (articoli 13-14 GDPR), diritto di accesso ai dati personali (articolo 15 GDPR), diritto alla cancellazione (articolo 17 GDPR), diritto di opposizione (articolo 21 GDPR) ­– ma vedono altresì fortemente potenziato il diritto alla portabilità (articolo 20 GDPR) attraverso i sistemi di trasferimenti a terzi dell’ articolo 5 Data Act. Ciò apre nuovi e interessanti spazi per la ricerca. Infatti questa convergenza di status giuridici facilita significativamente il consenso informato per la ricerca: il paziente-utente acquisisce piena consapevolezza dei dati generati dal dispositivo attraverso i meccanismi informativi del Data Act (articolo 3) e i diritti di accesso (articolo 4), può quindi rilasciare un consenso genuinamente informato per finalità di ricerca e può altresì chiedere il trasferimento dei dati a soggetti terzi, quali centri di ricerca (articolo 5).
Tale ampliamento della consapevolezza e delle possibilità giuridiche del paziente diventa particolarmente interessante quando si considera che le “organizzazioni di altruismo dei dati” ex Data Governance Act potranno quindi ricevere dati dai pazienti/utenti attraverso il meccanismo di condivisione del Data Act, creando un ponte strutturato tra diritti individuali e interesse collettivo per la ricerca.
Questa architettura giuridica integrata tra Data Act, GDPR e Data Governance Act rappresenta quindi un’innovazione sistemica che non aggira le protezioni dei dati personali, ma le potenzia attraverso la trasparenza, creando le condizioni ottimali per un altruismo dei dati che sia contemporaneamente volontario, informato e orientato al progresso scientifico nel settore sanitario. Proprio queste considerazioni finali devo spingere a non considerare il Data Act come l’ennesimo adempimento normativo, ma a coglierne invece l’opportunità strategica anche finalizzata a potenziare una nuova cultura del dato, creando valore attraverso l’innovazione basata sui dati e contribuendo a un sistema sanitario più efficiente e patient-centric.


ARTICOLO PUBBLICATO SU ABOUTPHARMA

Rubrica "I DISPOSITIVI MEDICI TRA NORMATIVA E REGOLATORIO"

Leggi gli altri articoli presenti nella nostra rubrica in collaborazione con AboutPharma

VAI ALLA RUBRICA
Dispositivi Medici IA - Intelligenza Artificiale
Share

AI LEGAL: un prisma da comporre

Leggi tutti gli articoli della nostra rubrica digitale