Si è parlato molto nell’ultimo mese del nuovo Pacchetto di semplificazione comunitaria: il cosiddetto Digital Omnibus (COM(2025) 835 definitivo 19 novembre 2025). Cambia qualcosa per il settore dei medical device? Molto in sintesi, vediamo novità e possibili impatti.
Il 19 novembre 2025, la Commissione europea ha pubblicato il Digital Omnibus Package, un’iniziativa legislativa volta a semplificare e razionalizzare il quadro normativo digitale dell’Unione europea. Il Pacchetto si compone di due proposte di Regolamento distinte:
Senza dubbio i fabbricanti di dispositivi medici che utilizzano sistemi di AI (sottoposti all’AI Act) e/o tecnologie mediche connesse (sottoposti al Data Act) potrebbero veder mutato il quadro giuridico di riferimento. Inoltre, le modifiche al GDPR (molto interessanti) impattano su tutti i dispositivi e su tutta la filiera.
La proposta di modifica dell’AI ACT (COM (2025) 836 del 19.11.2025) introduce nuovi meccanismi ed un posticipo per l’applicazione degli obblighi relativi ai sistemi di IA ad alto rischio (capo III AI ACT). Più precisamente:
Particolarmente rilevante per il settore è la previsione che le procedure di valutazione della conformità previste dal MDR e dall’IVDR mantengano la precedenza per i sistemi di IA ad alto rischio integrati in dispositivi medici.
I requisiti sostanziali dell’AI Act non coperti dalla normativa settoriale – quali quelli relativi alla governance dei dati, alla gestione del rischio, alla documentazione tecnica, alla trasparenza, alla sorveglianza umana e alla robustezza – potranno essere integrati nelle valutazioni di conformità già previste dal MDR e dall’IVDR, evitando così la duplicazione delle procedure. Analogamente, gli obblighi relativi al sistema di gestione della qualità potranno essere assolti attraverso il QMS richiesto dalla legislazione sui medical device, consentendo un unico sistema di gestione che copra sia i requisiti del dispositivo sia quelli dell’IA.
La proposta affronta inoltre una criticità pratica segnalata dall’industria: la limitata disponibilità di Organismi notificati competenti a valutare i sistemi di IA sia ai sensi dell’AI Act sia della normativa sui dispositivi medici: sotto questo profilo il Digital Omnibus introduce una procedura semplificata che consente agli organismi di valutazione della conformità di presentare un’unica domanda e sottoporsi a un’unica valutazione per ottenere la designazione sia ai sensi dell’AI Act sia del MDR o dell’IVDR.
Molto interessanti le proposte per quanto attiene l’uso delle sandbox regolatorie e dei test in condizioni reali (real-world testing). Per le sandbox regolatorie viene introdotta la possibilità di crearle non solo a livello nazionale, ma direttamente a livello dell’Unione: più precisamente l’Ufficio per l’IA (AI Office) potrà istituire una sandbox regolatoria a livello UE specifica per i sistemi di IA che rientrano nella sua competenza esclusiva (come i modelli di IA per finalità generali o i sistemi integrati in grandi piattaforme online); inoltre queste sandbox dovranno garantire un accesso prioritario alle piccole e medie imprese (PMI) e alle start-up.
Per quanto attiene invece i Test in condizioni reali la proposta amplia notevolmente la platea di prodotti che possono essere testati al di fuori delle sandbox, estendendo questa possibilità anche ai sistemi di IA ad alto rischio coperti dalla legislazione di armonizzazione dell’Allegato I, Sezione A (che include, ad esempio, dispositivi medici, macchinari, giocattoli, ascensori). Più esattamente i fornitori potranno condurre questi test in qualsiasi momento prima dell’immissione sul mercato o della messa in servizio del sistema.
Senza dubbio qui le modifiche proposte – se passeranno – sono destinate a cambiare la gestione dei dati (specie per la ricerca scientifica). La proposta infatti – in coerenza con la recente giurisprudenza della Corte di Giustizia dell’Ue nella Causa C-413/23 P (GEPD c. Comitato di risoluzione unico, sentenza del 4 settembre 2025 – c.d. sentenza Deloitte) chiarisce che un’informazione non deve essere considerata “dato personale” per un determinato soggetto qualora quest’ultimo non disponga dei mezzi “ragionevolmente utilizzabili” per identificare la persona fisica interessata. Ne consegue che i dati pseudonimizzati dal soggetto A (es. ospedale) potrebbero non essere più considerati dati personali per il soggetto B (es. azienda medical device), se quest’ultimo non ha i mezzi per la re-identificazione. Per chiarezza si precisa che la dimostrazione della non re-identificazione comporta un processo piuttosto articolato, ma ciò non toglie la forte portata innovativa della modifica legislativa.
Ampia apertura inoltre sulle basi giuridiche: viene infatti chiarito che la ricerca scientifica può costituire un legittimo interesse ai sensi del GDPR e che il legittimo interesse può essere la base giuridica per il trattamento dei dati personali finalizzato allo sviluppo o al funzionamento di un sistema o modello di IA.
Altro aspetto di estremo rilievo è l’introduzione all’articolo 9 GDPR (sulle particolari categorie di dati) della lett. (k) che legittima il trattamento nel contesto dello sviluppo e del funzionamento di un sistema di IA quale definito all’articolo 3 AI ACT o di un modello di IA, previo rispetto di determinate condizioni.
L’associazione europea del settore delle tecnologie mediche ha pubblicato il 20 novembre 2025 uno statement che accoglie con favore l’intento della Commissione di semplificare la legislazione digitale.
In particolare esprime apprezzamento per la previsione di un percorso legale per i test pre-market e per la procedura unificata di domanda e valutazione per gli Organismi notificati. Tuttavia, l’associazione ha sollecitato un ulteriore affinamento di alcune definizioni chiave, in particolare quella di “modifica sostanziale”.
Circa le tempistiche MedTech Europe ha chiesto di estendere la data di piena applicazione per i dm basati sull’IA al 2 agosto 2029, ritenendo che tale proroga rifletterebbe più adeguatamente la maturità dell’ecosistema regolatorio.
Il Digital Omnibus Package è stato trasmesso al Parlamento europeo e al Consiglio per l’esame (secondo la procedura legislativa ordinaria); contemporaneamente è stata aperta una consultazione di otto settimane durante il quale gli stakeholder possono fornire feedback. I negoziati interistituzionali (triloghi) sono previsti per la metà del 2026, con possibile adozione finale entro fine anno.
ARTICOLO PUBBLICATO SU ABOUTPHARMA
Leggi gli altri articoli presenti nella nostra rubrica in collaborazione con AboutPharma
