L’impatto del Data Act sui dispositivi medici

Non c’è solo il MDR. Così inizia il nostro articolo “Non solo MDR, il quadro giuridico sui dispositivi medici è molto più complesso” pubblicato in questa rubrica. Infatti, oltre alle discipline già richiamate, oggi esaminiamo un regolamento comunitario che è destinato ad avere un impatto importante nel settore medical device. Si tratta del Regolamento Ue 2023/2854 riguardante norme armonizzate sull’accesso equo ai dati e sul loro utilizzo: il cosiddetto Data Act. Vediamone in sintesi i contenuti e poi l’impatto sul mondo medical device.

Il Data Act

Pubblicato sulla Gazzetta ufficiale europea il 22 dicembre 2023 si pone l’obiettivo di creare un ecosistema legislativo, uniforme a livello comunitario, per favorire e regolamentare la condivisione di dati tra privato e privato, nonché tra pubblico e privato. La piena applicazione sarà il 12 settembre 2025 (articolo 50), ma l’impatto sarà di estremo rilievo (per cui è opportuno cominciare a capire di cosa si tratta). Il Data Act impatta sui software e in generale “prodotti connessi” (Iot): cioè beni che ottengono, generano o raccolgono dati (personali e non) nel corso del loro utilizzo e che comunicano tali dati tramite un servizio di comunicazione elettronica, una connessione fisica o l’accesso su dispositivo (articolo 2 lett. 5).

Gli attori

I protagonisti del Data Act sono:

• Il Titolare dei dati (articolo 2 lett. 13) cioè il soggetto che vanta una posizione di diritto sui dati e che ha l’obbligo (secondo lo stesso Data Act) di mettere a disposizione i dati generati/raccolti dal “prodotto connesso” a favore dell’utente (o di destinatario terzo indicato dall’Utente). Il Titolare dal Data Act non necessariamente coincide con il Titolare ex Gdpr: più precisamente il titolare del Gdpr è chi stabilisce mezzi e finalità; il Titolare del Data Act è chi si trova nella condizione di potere/dovere condividere i dati.
• l’Utente (articolo 2 lett. 12) cioè il soggetto che possiede/utilizza un “prodotto connesso” e che ha il diritto di accesso sui dati.
• l’Interessato (articolo 2 lett. 11) che coincide con l’interessato del Gdpr.
• il Destinatario dei dati (articolo 2 lett. 14) cioè chi riceve i dati dal Titolare (soggetto che può coincidere o meno con l’Utente).

Gli obblighi di condivisione

Il cuore del Data Act è nei primi articoli. L’articolo 3 stabilisce che i “prodotti connessi” sono progettati e fabbricati (ed altresì i servizi correlati sono progettati e forniti) in maniera tale che i dati (compresi i metadati) siano, per impostazione predefinita, “accessibili all’utente in modo facile, sicuro, gratuito, in un formato completo, strutturato, di uso comune e leggibile da dispositivo automatico e, ove pertinente e tecnicamente possibile, in modo diretto”.
In sostanza chi detiene il “prodotto connesso” ai fini del suo utilizzo (ospedale, casa di cura, medico singolo) deve potere – di default – accedere a tutti i dati (da intendersi in senso lato come “qualsiasi rappresentazione digitale di atti, fatti o informazioni e qualsiasi raccolta di tali atti, fatti o informazioni, anche sotto forma di registrazione sonora, visiva o audiovisiva” – quindi , dati personali e anche dati non personali). Quindi i “prodotti connessi” devono essere progettati e realizzati “accessibili by design e by default”. Il successivo articolo 4 stabilisce poi che qualora l’Utente non possa accedere ai dati direttamente attraverso il “prodotto connesso”, il Titolare ha l’obbligo di mettere a disposizione dell’Utente dati (e metadati) “senza indebito ritardo, con la stessa qualità di cui dispone il titolare dei dati, in modo facile, sicuro, gratuitamente, in un formato completo, strutturato, di uso comune e leggibile da dispositivo automatico e, ove pertinente e tecnicamente possibile, in modo continuo e in tempo reale”. In sostanza si obbliga il soggetti che detiene i dati (il Titolare) e metterli a disposizione di chi utilizza il prodotto connesso (l’Utente).

La fornitura all’Utente è gratuita

L’articolo 5 stabilisce poi che, ove l’Utente ne faccia richiesta, il Titolare è obbligato a mettere i dati a disposizione di un terzo indicato dall’utente, sempre “senza indebito ritardo, con la stessa qualità di cui dispone il titolare dei dati, in modo facile, sicuro, a titolo gratuito per l’Utente, in un formato completo, strutturato, di uso comune e leggibile da dispositivo automatico e, ove pertinente e tecnicamente possibile, in modo continuo e in tempo reale”.

 Le tutele per il Titolare

Vi sono poi alcune tutele a favore del Titolare dei dati: lo stesso infatti potrà non condividere i dati se ciò viola i suoi segreti commerciali, dall’altra l’Utente (ed in generale il Destinatario se non coincide con l’Utente) non potrà utilizzare i dati per sviluppare altro “prodotto connesso” che sia in concorrenza con quello del titolare (articolo 4 e 5). Inoltre gli obblighi di cui sopra non trovano applicazione per le micro e piccole imprese. I successivi articoli dall’8 al 12 stabiliscono poi le modalità di tale condivisione (come calcolare il prezzo, le tutele, le misure tecniche di protezione relative all’uso non autorizzato o alla divulgazione dei dati) nonché il divieto di clausole abusive (articolo 13).

Altre regole

Infine le parti successive del Data Act regolano quanto segue:

• gli articoli 14 al 22 stabiliscono l’obbligo di condivisione con la PA, gratuitamente, in casi necessità eccezionali;
• gli articoli dal 23 al 31 mirano invece (cambiando focus) ad agevolare il passaggio da un fornitore di servizi di trattamento ad un altro fornitore;
• l’articolo 32 fornisce linee guida per evitare di violare le leggi nazionali o dell’UE durante lo scambio di dati a livello internazionale;
• gli articoli dal 33 al 36 stabiliscono i requisiti essenziali in materia di interoperabilità dei dati, dei meccanismi e servizi di condivisione dei dati nonché degli spazi comuni europei di dati (quindi anche il futuro Health Data Space);
• gli articoli dal 37 al 40 danno indicazioni agli Stati membri sulle modalità per dare attuazione al Data Act nonché sulle sanzioni (attenzione: sanzioni di portata analoga a quella del GDPR).

Impatto sul settore medical device

In primo luogo è del tutto pacifico che il Data Act si applichi al settore Healthcare e ai dispositivi medici. Lo afferma chiaramente il Considerando 14 che così stabilisce “I prodotti connessi sono presenti in tutti gli aspetti dell’economia e della società, tra cui infrastrutture private, civili o commerciali, veicoli, attrezzature sanitarie e legate allo stile di vita, navi, aeromobili, apparecchiature domestiche e beni di consumo, dispositivi medici e sanitari”

Le criticità evidenti

Che cosa occorre quindi fare e quali saranno i punti critici? Ecco una prima analisi:

• occorrerà ripensare ai “prodotti connessi” in termini di accessibilità dei dati. Nel mondo dei medical device non è escluso che questo possa portare a modifiche progettuali che potrebbero configurare “modifiche significative” ex articolo 120 Regolamento Ue 2017/754 (MDR) e articolo 110 Regolamento Ue 2017/746 (IVDR) facendo venir meno il beneficio del periodo transitorio.
• Occorrerà aumentare la sicurezza informatica. L’obbligo infatti di rendere disponibili i dati anche a terzi autorizzati dall’utente aumenterà notevolmente i requisiti di sicurezza informatica che andranno quindi riparametrati.
• Analisi e gestione aumento dei costi. L’articolo 4 del data Act prevede la fornitura gratuita dei dati: ciò vuol dire che i costi per tale accessibilità di scaricano necessariamente sul Titolare.
• Gestire l’aumento del rischio di concorrenza. L’articolo 5 par. 5 vieta esplicitamente agli utenti di utilizzare i dati per lo sviluppo di prodotti concorrenti. Ma senza dubbio un aumento di circolazione dei dati – assolutamente positivo per l’economia europea specie in relazione alle libertà esistenti in Usa – accresce il rischio di prodotti copiati: qui occorrerà lavorare bene anche in applicazione della dir 2016/943 sul know how industriale.
• Compliance al Gdpr. L’obbligo di condivisione non fa venire meno il rispetto del Gdpr. Nel caso dunque di condivisione di dati personali e ove l’Utente (es. ospedale) non coincida con l’interessato il titolare dovrà valutare la sussistenza di una base giuridica (sul punto si veda il Parere congiunto Edpb-Gepd 2/2022 sulla proposta del Parlamento europeo e del Consiglio riguardante norme armonizzate sull’accesso equo ai dati e sul loro utilizzo (normativa sui dati – 4 maggio 2022). Restano poi aperti molti dubbi quando il prodotto connesso è utilizzato sia dal medico che dal paziente (cioè entrambi sono Utenti).
• Modifica dei contratti. Prima del settembre 2025 occorrerà poi modificare tutti i contratti in essere: sia quelli con gli Utenti professionali (ospedali, case di cura, medici) che quelli con i consumatori (per i quali dovrà trovare applicazione anche il Codice del Consumo).
• Definire con esattezza cosa condividere. L’articolo 2 lett. 15 stabilisce che i “dati del prodotto” da condividere sono i “dati generati dall’uso di un prodotto connesso”. Questa definizione sarà foriera di grandi dubbi interpretativi ed applicativi: come dovremo interpretare infatti i dati dei modelli di machine learning per l’addestramento? E i dati la cui la cui raccolta e fornitura può mettere a rischio i pazienti in quanto diminuisce la durata della batteria?

Conclusioni

Il Data Act è un intervento di amplissima portata. E l’obiettivo è senza dubbio quello di aiutare le aziende europee a poter fruire di molti più dati, perché siano in grado di fronteggiare l’espansione digitale dei paesi extraUe , all’interno però di un sistema regolato. Non va quindi vissuto come l’ennesima “cosa da fare”, ma come una grande opportunità. Settembre 2015 non è una data così lontana: occorre iniziare da subito.

Rubrica "I DISPOSITIVI MEDICI TRA NORMATIVA E REGOLATORIO"

Leggi gli altri articoli presenti nella nostra rubrica in collaborazione con AboutPharma

VAI ALLA RUBRICA