MDR-IVDR: le norme sulla manutenzione e assistenza di dispositivi e Ivd contrastano con il Gdpr

Un tema molto sottostimato (e di cui si parla pochissimo) è quello relativo al rapporto tra MDR e il Regolamento Ue 2016/679 (Gdpr) sulla protezione dei dati. Sembra quasi che siano due mondi separati, gestiti a volte – anche all’interno delle stesse aziende di medical device o di IVD – da dipartimenti diversi, che spesso comunicano con difficoltà. In realtà una corretta applicazione del MDR e dell’IVDR richiede il trattamento di moltissimi dati: ad esempio, per effettuare una corretta Valutazione Clinica per i dispositivi (articolo 61 MDR) e per la Valutazione delle Prestazioni ed Evidenze Cliniche per gli IVD (articolo 56 IVDR), dal momento che entrambe si fondano su dati clinici per dimostrare sicurezza ed l’efficacia clinica dei prodotti. Lo stesso vale per svolgere una corretta Sorveglianza post-commercializzazione (articolo 83 MDR) e/o un idoneo PMCF (articolo 74 MDR): entrambe le attività richiedono – post immissione sul mercato – la raccolta di dati per validare e/o migliorare sicurezza ed efficacia dei dm e Ivd.

Un’occasione persa

Anche il legislatore italiano sembrava aver colto la rilevanza della interconnessione delle due materie. Infatti, all’articolo 15 della legge 22 aprile 2021, numero 53 (legge delega per l’armonizzazione dell’ordinamento italiano al MDR) alla lettera g) ha stabilito che i decreti di armonizzazione avrebbero dovuto “adeguare i trattamenti di dati personali effettuati in applicazione del regolamento (UE) 2017/745 e del regolamento (UE) 2017/746 alle disposizioni del regolamento (UE) 2016/679 (…) e alla normativa vigente in materia di tutela dei dati personali e sensibili”.

Purtroppo però il dlgs 137/2022 sui dm e anche il dlgs 138/2022 sugli Ivd risultano – sotto questo aspetto – molto deludenti. Infatti i due decreti contengono un solo articolo sul tema (rispettivamente articolo 21 del dlgs 137 e l’articolo 26 del dlgs 138) di identica formulazione ed entrambi titolati “Riservatezza”.

I suddetti articoli poi, dopo un richiamo alla riservatezza come già disciplinata dagli articoli 109 e 102 dei rispettivi Regolamenti (comma 1) e un generico richiamo (comma 2) alla applicazione del Gdpr e del Codice Privacy (richiamo di cui non si comprende pienamente la ragione, data la loro natura di testi legislativi) così identicamente stabiliscono:

3. Qualora per il dispositivo medico siano previste dal fabbricante attività di taratura, calibrazione, manutenzione o assistenza, da svolgersi anche a distanza, il responsabile del trattamento ai sensi dell’articolo 28 del regolamento (UE) 2016/679 è il fabbricante del dispositivo medico.

Le risposte che mancano

Ora, non solo il legislatore ha perso l’occasione per dare risposte su temi ben più complessi (ad esempio le basi giuridiche della sorveglianza post- commercializzazione, il possibile secondary use dei dati raccolti tramite dm o Ivd da parte della pubblica amministrazione e/o del fabbricante per finalità diverse da diagnosi e cura, le possibili fonti di raccolta dati e la qualità degli stessi per la progettazione di software ecc.), ma soprattutto la statuizione del legislatore italiano appare in netto contrasto con lo stesso Regolamento Ue 2016/679 (Gdpr). I due articoli 21 e 26 del dlgs 137 e dlgs 138 stabiliscono infatti, entrambi al comma 3, che il fabbricante ex MDR e IVDR è nominato (ex lege) dal Titolare dei dati (ad esempio Ospedale) come Responsabile ex articolo 28 Gdpr nel caso di attività di taratura, calibrazione, manutenzione o assistenza del dm o Ivd.

La mancata congruenza

In altre parole si prevede che il ruolo di fabbricante ex MDR o IVDR comporti l’assunzione del ruolo di Responsabile ex Gdpr, indipendentemente da chi, effettivamente, tratta i dati. Ciò contrasta con le definizioni del Gdpr. L’articolo 4 punto 7 Gdpr stabilisce che acquista il ruolo di Titolare del trattamento la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali.
Il successivo articolo 8 Gdpr stabilisce che è Responsabile del trattamento la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento. In sostanza è Titolare il soggetto che nei fatti o per obbligo legislativo decide per “quali finalità” i dati vengono trattati e con “quali mezzi”, mentre il Responsabile è colui che svolge un trattamento “per conto” (cioè su incarico) del Titolare. Nel caso di “taratura, calibrazione, manutenzione o assistenza” appare chiaro che il Titolare del trattamento dei dati sarà il soggetto (es. ospedale) che utilizza il dm o Ivd e che decide di svolgere tali attività sui dispositivi ai fini di una corretta utilizzazione degli stessi (e di conseguenza di trattare i dati nell’ambito di tali processi).

Il caos è alle porte

L’incarico di svolgere le suddette attività potrebbe però non essere conferito al Fabbricante del dm o Ivd. Anzi, solitamente non viene affatto conferito al Fabbricante (che potrebbe non essere sul territorio nazionale o addirittura extra UE), ma viene invece conferito al fornitore dei dispositivi (che può essere il Distributore o Importatore degli stessi ex MDR o IVDR) oppure a un soggetto terzo che svolge tali attività, magari in qualità di aggiudicatario della gara per la manutenzione di tutto il parco dm o Ivd dell’ospedale. Quindi ci troveremo con un Titolare (ospedale) che dovrà nominare come Responsabile il Fabbricante (che potrebbe neppure sapere che si stanno svolgendo le attività di taratura, calibrazione, manutenzione o assistenza sul dispositivo), mentre il soggetto che effettivamente tratta i dati (cioè che svolge materialmente le attività di cui sopra) rimane senza nessun ruolo privacy oppure viene eventualmente nominato dal Fabbricante ex MDR/Responsabile ex Gdpr come sub-responsabile (articolo 28 comma 4 Gdpr): in entrambi i casi fuori dalla sfera di controllo giuridica dell’ospedale/Titolare dei dati. Onestamente, non è chiara la ratio di tale previsione legislativa. Chiaro invece il contrasto con il Gdpr e il conseguente caos che ne deriverà.