Health Data Space: cosa cambia per il mondo medical device

Il 5 marzo 2025 è stato pubblicato l’attesissimo Regolamento 2025/327 (European Health Data Space – Ehds). L’obiettivo di tale regolamento è istituire “lo spazio europeo dei dati sanitari prevedendo disposizioni, norme e infrastrutture comuni e un quadro di governance al fine di facilitare l’accesso ai dati sanitari elettronici per l’uso primario dei dati sanitari elettronici e l’uso secondario di tali dati” (articolo 1 par. 1). Con tale obiettivo, le norme del Regolamento possono dividersi in diversi macro-gruppi, volti in particolare a:

• specificare e integrare i diritti delle persone fisiche già dettati dal regolamento (UE) 2016/679 (Gdpr) in relazione all’uso primario e dei loro dati sanitari elettronici personali;
• stabilire norme comuni per i sistemi di cartelle cliniche elettroniche e per le applicazioni per il benessere che si dichiarano interoperabili con tali sistemi, per quanto riguarda l’uso primario dei dati sanitari elettronici;
• stabilire le regole per l’uso secondario dei dati sanitari elettronici;
• istituire un’infrastruttura transfrontaliera che renda possibile l’uso primario dei dati sanitari elettronici personali (MyHealth@EU) e l’uso secondario dei dati sanitari elettronici (HealthData@EU);
• istituire meccanismi di governance e di coordinamento europeo e nazionale sia per l’uso primario che secondario dei dati sanitari elettronici.

In questo articolo analizzeremo quali sono le nuove discipline per i fabbricanti di software che siano cartelle cliniche elettroniche, analizzando il Capo III. Nel prossimo articolo analizzeremo l’utilizzo secondario dei dati.

Le definizioni e l’ambito di applicazione

Partiamo innanzitutto dalle definizioni. Infatti, le norme del Capo III, di interesse nel presente articolo, si applicano esclusivamente ai software che si qualifichino come sistemi di cartelle cliniche elettroniche. In merito, l’articolo 2 Ehds, infatti, chiarisce che “cartella clinica elettronica» deve intendersi “una raccolta di dati sanitari elettronici relativi a una persona fisica e rilevati nell’ambito del sistema sanitario, il cui trattamento avviene ai fini della prestazione di assistenza sanitaria (lett. j)”;

Con “sistema di cartelle cliniche elettroniche” s’intende invece un sistema in cui il software oppure la combinazione tra l’hardware e il software consenta ai dati sanitari elettronici personali rientranti nelle categorie prioritarie di dati sanitari elettronici personali stabilite a norma del (…) regolamento di essere conservati, intermediati, esportati, importati, convertiti, modificati o visualizzati e destinato dal fabbricante a essere utilizzato dai prestatori di assistenza sanitaria nel fornire cure assistenziali ai pazienti o dai pazienti nell’accedere ai loro dati sanitari elettronici (lett. k)”.

Gli elementi da considerare

Due sono quindi gli elementi rilevanti per qualificarsi come sistema di cartelle cliniche elettroniche ai fini dell’applicazione delle norme del Egds:

1) Il software (o la combinazione hardware+software) deve consentire di conservare, intermediare, esportare, importare, convertire, modificare o visualizzare i dati sanitari elettronici personali rientranti nelle categorie prioritarie, ossia quelli elencati nell’articolo 14 para. 1:

• profili sanitari sintetici dei pazienti;
• prescrizioni elettroniche;
• dispensazioni elettroniche;
• esami diagnostici per immagini e relativi referti di immagini;
• risultati degli esami medici, compresi i risultati di laboratorio e altri risultati diagnostici e relativi referti; e lettere di dimissione.

2) Il software (o la combinazione hardware+software) deve essere destinato dal fabbricante ad essere utilizzato:

• dai professionisti sanitari, per la prestazione delle cure, oppure
• dai pazienti per accedere ai propri dati.

Tali sistemi, secondo l’articolo 25 Ehds devono essere composti da due elementi software armonizzati di sistemi di cartelle cliniche elettroniche, ossia:

• un componente software europeo di interoperabilità dei sistemi di cartelle cliniche elettroniche, definito come “un componente software del sistema di cartelle cliniche elettroniche che fornisce e riceve i dati sanitari elettronici personali rientranti nelle categorie prioritarie per l’uso primario stabilite dal presente regolamento nel formato europeo di scambio delle cartelle cliniche elettroniche e che è indipendente dal componente software europeo di registrazione dei sistemi di cartelle cliniche elettroniche” (articolo 2 lett n);
• un componente software europeo di registrazione europea dei sistemi di cartelle cliniche, a sua volta definito come “un componente software del sistema di cartelle cliniche elettroniche che fornisce informazioni di registrazione relative agli accessi di professionisti sanitari o di altre persone a categorie prioritarie di dati sanitari elettronici personali stabilite dal presente regolamento, nel formato definito al punto 3.2 dell’allegato II, e che è indipendente dal componente software europeo di interoperabilità dei sistemi di cartelle cliniche elettroniche” (articolo 2 lett. o).

Cosa vuol dire “componente software”

Entrambe le definizioni, poi, poggiano sul concetto di componente software che è “una parte distinta del software che fornisce una funzionalità specifica o esegue funzioni o procedure specifiche e che può funzionare in modo indipendente o in combinazione con altri componenti” (articolo 2 lett. m). Infine, è utile sottolineare che vengono espressamente esclusi dall’applicazione del Capo III i software di uso generali utilizzati in ambiente sanitario, dunque quelli che non rientrano nella definizione di cartella clinica elettronica sopra individuata (articolo 25 c. 2 Ehds).

Le prescrizioni applicabili ai sistemi di cartelle cliniche elettroniche

Le norme applicabili ai sistemi di cartelle cliniche elettroniche e che dunque devono essere rispettate da chi li realizza e intenda metterli in servizio sono quelle contenute nel Capo III (articolo 26). La struttura della normativa di tale capo è essenzialmente analoga a quelle delle altre normative di prodotto e si presenta soprattutto simile nell’architettura a quanto disposto dal Regolamento 2017/745 per i dispositivi medici. Di conseguenza, per quanto qui di interesse, nella realizzazione di un sistema di cartelle cliniche elettroniche le norme del Capo III dovranno essere rispettate:

• da chi risponde alla definizione di fabbricante;
• se realizza un sistema che risponda alla definizione di sistema di cartelle cliniche elettroniche sopra riportata;
• all’atto della sua immissione in commercio o messa in servizio.

Relativamente a tali ultimi due concetti, per quanto le definizioni siano assolutamente analoghe a quanto di solito previsto dalle normative di prodotto, l’articolo 26 puntualizza che si considerano “messi in servizio” anche

• i sistemi di cartelle cliniche elettroniche fabbricati e impiegati nelle istituzioni sanitarie stabilite nell’Unione;
• quelli offerti come servizi a una persona fisica o giuridica nell’Unione.

Gli obblighi per i fabbricanti di sistemi

Quanto al contenuto del Capo III, ai sensi dell’articolo 30, i fabbricanti di sistemi di cartelle cliniche elettroniche devono:

• garantire che tali sistemi, in entrambi i loro componenti, siano realizzati in conformità alle prescrizioni essenziali dell’allegato II e alle specifiche comuni dell’articolo 36 che siano applicabili nel caso concreto;
• garantire che i componenti software armonizzati dei loro sistemi non siano influenzati negativamente da altri componenti software dello stesso sistema;
• redigere e tenere aggiornata la documentazione tecnica del sistema ex articolo 37, prima dell’immissione in commercio, nonché la dichiarazione di conformità ex articolo 39 (e conservare entrambe per 10 anni);
• dotare il sistema di una scheda informativa ex articolo 38 e delle istruzioni per l’uso;
• apporre la marcatura CE ex articolo 41;
• indicare i propri dati, compreso indirizzo web e e-mail a cui poter essere contattati, nel sistema di cartelle cliniche elettroniche;
  rispettare gli obblighi di registrazione ex articolo 49;
• adottare se del caso misure correttive;
• informare gli altri operatori inclusi nella catena di fornitura del sistema di eventuali non conformità, misure correttive, richiami, ritiri o eventuale manutenzione preventiva obbligatoria (e relativa frequenza);
• cooperare con l’autorità di vigilanza;
• tenere un registro dei reclami e dei sistemi non conformi;
• istituire canali di reclamo e informarne i distributori;
• rendere disponibile il codice sorgente o la logica di programmazione contenuti nella documentazione tecnica alle autorità competenti, su richiesta motivata;
• se avente sede extra-UE, nominare con mandato scritto un rappresentante autorizzato ex articolo 31.

Comunicazione e pubblicità

Anche per questi sistemi, infine, si ribadisce un principio generale già noto nell’ambito dei dispositivi medici (e contenuto nell’articolo 7 MDR), cioè che in tutto il materiale che accompagna il prodotto (anche pubblicitario), è vietato “l’uso di testi, nomi, marchi, immagini e segni figurativi o di altro tipo che possano indurre in errore l’utente professionale (…) per quanto riguarda la loro destinazione d’uso, interoperabilità e sicurezza:

• Attribuendo al sistema (…) funzioni e proprietà che non possiede;
• Omettendo di informare (…) in merito a probabili limitazioni (…);
• Proponendo usi del sistema (…) diversi da quelli dichiarati parte della destinazione d’uso nella documentazione tecnica”

Il rapporto tra Ehds e Mdr

Come noto, i software di sistemi di cartelle cliniche elettroniche possono essere molto complessi, e composti da vari moduli con funzionalità diverse tra loro. Tali moduli, a loro volta, possono qualificarsi come prodotti diversi e dover dunque rispondere a varie normative, a seconda della concreta destinazione d’uso. Potrebbe dunque risultare particolarmente complesso per il fabbricante di tali sistemi navigare tra le diverse normative applicabili e i requisiti a cui i moduli devono essere conformi.

L’ Ehds pare essere consapevole di tale eventualità dal momento che il Considerando 42 afferma che: “Alcuni componenti software di sistemi di cartelle cliniche elettroniche potrebbero essere considerati dispositivi medici a norma del regolamento (UE) 2017/745 o dispositivi medico-diagnostici in vitro a norma del regolamento (UE) 2017/746 (…). I software o moduli di software che rientrano nella definizione di dispositivo medico, di dispositivo medico-diagnostico in vitro o di sistema di intelligenza artificiale (IA) considerati ad alto rischio (“sistema di IA ad alto rischio”) dovrebbero essere certificati in conformità dei regolamenti (UE) 2017/745, (UE) 2017/746 e (UE) 2024/1689, a seconda dei casi”.
Inoltre “sebbene tali prodotti debbano soddisfare le prescrizioni del rispettivo regolamento che disciplina tali prodotti, gli Stati membri dovrebbero adottare misure adeguate per garantire che la rispettiva valutazione della conformità sia effettuata come procedura congiunta o coordinata al fine di limitare l’onere amministrativo sui fabbricanti e altri operatori economici”.

Interoperabilità con altri sistemi

L’Ehds si preoccupa, infine, di regolare le dichiarazioni di interoperabilità con un sistema di cartelle cliniche elettroniche con:

• dispositivi medici o dispositivi medico-diagnostici in vitro ai sensi, rispettivamente, del Regolamento 2017/745 e Regolamento 2017/746 (articolo 27 c.1);
• sistemi di IA ad alto rischio (IA ad alto rischio) ai sensi del Regolamento 2024/1689 (articolo 27 c. 2)
• applicazioni per il benessere (wellness app) (articolo 47).

Ai sensi di tale normativa, per interoperabilità deve intendersi “la capacità delle organizzazioni, nonché delle applicazioni software o dei dispositivi dello stesso fabbricante o di fabbricanti diversi, di interagire tra loro attraverso i processi che supportano, il che comporta lo scambio di informazioni e conoscenze tra tali organizzazioni, applicazioni software o dispositivi, senza che sia modificato il contenuto dei dati” (articolo 2 lett. f). In particolare, il Ehds richiede espressamente che:

• Il fabbricante di un dm, di un idv o AI ad alto rischio che dichiari l’interoperabilità dimostri la conformità alle prescrizioni essenziali relative ai componenti dei sistemi di cartelle cliniche elettroniche – che diventano dunque anche applicabili a tali diversi prodotti;
• applichi l’articolo 36
• il fabbricante di una wellness app rispetti le pertinenti specifiche comuni e prescrizioni essenziali di cui all’articolo 36 e allegato II Ehds. La condivisione e la trasmissione di dati tra la wellness app e il sistema di cartelle cliniche, poi, deve basarsi sul consenso dell’interessato e rispetti l’articolo 5 Ehds.

Tempi di applicazione

Infine, occorre fare chiarezza sui tempi di applicazione delle menzionate norme. In generale, infatti, l’Ehds entrerà in vigore a venti giorni dalla pubblicazione nella Gazzetta ufficiale dell’Unione Europea (25 marzo 2025).
Quanto invece alle date di applicabilità delle sue norme, occorre chiarire che l’Ehds individua diversi scaglioni. In particolare si ricorda che in generale, il regolamento si applica a decorrere dal 26 marzo 2027, come disciplinato dall’articolo 105 Ehds. Per quanto qui di interesse, gli articoli 25, 26, 27, 47, 48 e 49 si applicano come segue:

• 26 marzo 2029: per i sistemi di cartelle cliniche elettroniche destinati al trattamento delle categorie prioritarie di dati sanitari elettronici personali dell’articolo 14 para. 1 lett. a), b) e c) (ossia profili sanitari sintetici dei pazienti; prescrizioni elettroniche; dispensazioni elettroniche);
• 26 marzo 2031: per i sistemi di cartelle cliniche elettroniche destinati al trattamento delle categorie prioritarie di dati sanitari elettronici personali dell’articolo 14 para. 1 lett. d), e) ed f) (ossia gli esami diagnostici per immagini e relativi referti di immagini; i risultati degli esami medici, compresi i risultati di laboratorio e altri risultati diagnostici e relativi referti; e le lettere di dimissione);

Infine, si applicheranno soltanto dal 26 marzo 2031 le norme del Capo III a due particolari tipologie di sistemi di cartelle cliniche elettroniche:

• quelli fabbricati e impiegati nelle istituzioni sanitarie stabilite nell’Unione;
• quelli offerti come servizi ai sensi della Direttiva 2015/1535, ossia “qualsiasi servizio della società dell’informazione, vale a dire qualsiasi servizio prestato normalmente dietro retribuzione, a distanza, per via elettronica e a richiesta individuale di un destinatario di servizi” (articolo 1 para. 1 lett. b).

Rubrica "I DISPOSITIVI MEDICI TRA NORMATIVA E REGOLATORIO"

Leggi gli altri articoli presenti nella nostra rubrica in collaborazione con AboutPharma

VAI ALLA RUBRICA