privacy-dispositivi-medici

Cosa sono i dispositivi medici?

Il concetto di dispositivo medico viene definito negli articoli 2, comma 1 del Regolamento (UE) 2017/745 (“MDR”) e del Regolamento (UE) 2017/746 (“IVDR”). In base a queste norme, esso può essere definito come uno strumento, apparecchio, impianto, sostanza o altro prodotto, compreso il software, usato da solo o in combinazione, e destinato dal fabbricante per:

  • La diagnosi, prevenzione, monitoraggio, previsione, prognosi, trattamento o attenuazione di una malattia;
  • La diagnosi, monitoraggio, trattamento, attenuazione o compensazione di una lesione o di una disabilità;
  • Lo studio, sostituzione o modifica dell’anatomia o di un processo fisiologico o patologico;
  • L’Intervento sul concepimento,

Il dispositivo, per definizione, non esercita l’azione principale nel o sul corpo umano cui è destinato tramite mezzi farmacologici, immunologici o metabolici, ma la sua funzione può essere coadiuvata da tali mezzi.

I dispositivi medici possono essere anche impiegati per diagnosi in vitro al fine di fornire “informazioni su un processo o uno stato fisiologico o patologico, su una disabilità fisica o intellettiva congenita; sulla predisposizione a una condizione clinica o a una malattia;  per determinare la sicurezza e la compatibilità con potenziali soggetti riceventi; per prevedere la risposta o le reazioni a un trattamento; nonché per definire o monitorare le misure terapeutiche” ex art. 2, comma 2 del IVDR.

Fuori del concetto legale, possiamo identificare un dispositivo medico come qualsiasi strumento, anche informatico, utilizzato per fini medici di prevenzione, diagnosi, monitoraggio, trattamento o cura.  Questo concetto è talmente ampio che comprende elementi quali siringhe, sedie a rotelle, test di gravidanza, ecografie, pacemaker cardiaci e soluzioni software per la salute digitale, ma anche altre tecnologie mediche (Digital Health Tech). Su questo argomento, il MDR chiarisce che tutti i software che hanno finalità di diagnosi e cura e altresì i software che  supportano l’operatore sanitario ad assumere una decisione terapeutica oppure aiutano l’erogazione della prestazione stessa devono farsi rientrare nella nozione di dispositivo medico (art. 2, lett. A e Allegato VIII regola 11). Questi software, di solito, vengono identificati come Software as Medical Device (“SAMD”).

È proprio su quest’ultimo argomento, Digital Health, che ci concentreremo al fine di analizzare le implicazioni e i rischi legati al trattamento dei dati personali da parte di questi dispositivi.

Cosa significa Digital Health?

La Salute Digitale o Digital Health consiste nell’utilizzo di dispositivi medici digitali, principalmente software, per raccogliere informazioni e dati fondamentali per la prevenzione, la diagnosi, il trattamento, il monitoraggio e la gestione della salute e dello stile di vita. I dati raccolti possono venire archiviati e consultati su cartelle cliniche elettroniche e dispositivi personali degli utenti, condivisi tra pazienti e operatori sanitari, aggregati ed elaborati con analisi avanzate dei dati. Alcuni esempi li troviamo in tecnologie che analizzano i campioni di DNA per conoscere gli origini di una persona, misurare il glucosio nel sangue o per conoscere la predisposizione del paziente a soffrire di alcune patologie.

Ma queste tecnologie sanitarie non solo consentono di monitorare i parametri vitali e le malattie, bensì possono anche essere integrate o combinate con altri dati generati dagli stessi al di fuori del contesto clinico o con dati provenienti da fonti attendibili, come le agenzie ambientali pubbliche, per fornire maggiori informazioni su circostanze che possono influire sul benessere dei pazienti (come, ad esempio, livelli di attività, alimentazione o condizioni meteorologiche) come è stato segnalato in 2021 dall’associazione europea delle società di dispositivi medici MedTech Europe.

Infatti, la rivoluzione tecnologica vissuta negli ultimi anni nell’ambito sanitario ha permesso che la Digital Health sia a portata di mano dei propri pazienti, permettendo un rapporto più immediato tra paziente e operatori sanitari e una conoscenza più profonda delle malattie. Difatti negli ultimi anni si inizia a parlare dell’Internet of Medical Things (“IoMT”) per definire i dispositivi medici collegati a una struttura o a un operatore sanitario, tramite Internet. Questa tecnologia offre tanti vantaggi agli utenti dal punto di vista sanitario (permettono una miglior gestione della malattia, permettono il monitoraggio remoto degli utenti, migliorano l’esperienza del paziente così come la diagnosi e trattamento della malattia, etc.) ma, come sicuramente avete percepito, l’utilizzo di IoMT  comporta la raccolta, analisi e trasmissione di una ingente quantità di dati personali e, in primis di dati particolari di natura sanitaria degli utenti attraverso Internet, con i conseguenti rischi per i diritti e le libertà dei pazienti che utilizzano questi device.

Quali sono le implicazioni privacy in ambito dispositivi medici

Come anticipato, e come si può evidenziare dal concetto di Dispositivo Medico , i principali dati trattati attraverso l’utilizzo degli stessi sono dati clinici o dati sanitari.

A prima vista, potremmo dire che i dati clinici sono dati particolari riguardanti la salute o dati genetici di cui l’articolo 9 comma 1 del GDPR. Tuttavia, la nozione di dato clinico presente nel MDR è più complessa (e completa). Infatti, l’art. 2, comma 48 definisce questo dato come “l’insieme di informazioni sulla sicurezza o sulle prestazioni ricavate dall’impiego di un dispositivo”. A tal proposito,  bisogna ricordare che costituiscono dati personali anche diverse informazioni che, raccolte insieme, possono portare all’identificazione di una determinata persona. Anche i dati personali che sono stati criptati o pseudonimizzati rimangono dati personali e rientrano nell’ambito di applicazione del GDPR poiché possono essere utilizzati per identificare nuovamente una persona.

Il trattamento di questi dati cosiddetti particolari richiede una maggiore attenzione sia a livello privacy sia a livello della sicurezza del proprio dato. Per questa ragione, il MDR e l’IVDR prevedono la necessità di adeguare l’applicazione in ogni stato membro di questi due regolamenti alle disposizioni del GDPR e alla normativa nazionale vigente in materia di tutela dei dati personali.

A tal proposito, si denota l’estrema importanza su uno dei passaggi fondamentali dei dispositivi medici, ovvero  la raccolta, la sicurezza e il trattamento dei dati sanitari effettuata dagli stessi.

Quali sono le misure di sicurezza richieste per i dispositivi medici?

I rischi collegati all’utilizzo dei Digital Health, ovvero i dispositivi medici contenenti un software, sono tanti: possono essere oggetto di intromissione da parte di terzi non autorizzati, possono subire blocchi, interruzioni, etc… vedendo compromessi i dati trattati da questi device.

In definitiva, i principali rischi che possono avvenire riguardano la cybersecurity e la privacy dei dati raccolti, analizzati e trasmessi da questi dispositivi.

In tale senso, il MDR riconosce nell’Allegato I alcuni requisiti di sicurezza  per i Digital Health, tra cui possiamo segnalare:

  1. Lo sviluppo e la fabbricazione conforme allo stato dell’arte e ai principi del ciclo di vita dello sviluppo, della gestione del rischio, compresa la sicurezza delle informazioni, della verifica e della convalida;
  2. La protezione contro l’accesso non autorizzato, così come altri rischi associati alla possibile interazione negativa tra il software e l’ambiente tecnologico in cui opera e interagisce;
  3. La dotazione di opportuni sistemi di allarme che segnalano all’utilizzatore eventuali situazioni che possono comportare la morte o un grave peggioramento dello stato di salute del paziente.

Continuando con i requisiti di sicurezza che devono essere compiuti dalla Digital Health, il Gruppo di coordinazione dei dispositivi medici della Commissione europea (Medical Device Coordination Group – “MDCG”) ha pubblicato le linee guida in materia Cybersecurity per i fabbricanti di dispositivi medici (“Guidance on Cybersecurity for medical devices”) dove si approfondisce il contenuto dell’Allegato I del MDR. In questo documento, l’autorità ricorda che per lo svolgimento e fabbricazione di questi dispositivi non solo dovrà seguirsi quanto previsto nel MDR, ma anche nel GDPR e altra normativa rilevante, tale come il Regolamento 2019/881 sulla cybersecurity (Cybersecurity Act), la normativa NIS e, in aggiunta, l’AI Act che tra poco tempo sarà in vigore; resta ovviamente imprescindibile un’impostazione di privacy by design, controllando i rischi dalla fase di progettazione e fabbricazione.

Seguendo quanto sopra, l’applicazione del GDPR si focalizza sull’adeguato trattamento dei dati raccolti attraverso questi dispositivi: il rispetto dei principi privacy tra i quali quelli di riservatezza, integrità e disponibilità dei dati nonché la necessità di misurazione del rischio mediante una valutazione dell’impatto dei trattamenti previsti sulla protezione dei dati personali (DPIA) conformemente a quanto disposto dall’art. 35 GDPR, dato che i trattamenti svolti da questi dispositivi potrebbero comportare un impatto sugli altri diritti fondamentali delle persona fisica.

L’applicazione a livello nazionale

Un ulteriore aspetto da tenere in considerazione, come avevamo anticipato, è che l’organizzazione dell’applicazione del MDR e IVDR al GDPR e alla normativa vigente in materia di tutela dei dati personali e sensibili, deve avvenire a livello nazionale. Per questa ragione in Italia è stato approvato il Decreto legislativo 5 agosto 2022.

In questo testo legislativo, vengono inseriti l’obbligo di rispettare la normativa privacy a tutti i soggetti coinvolti nella creazione e gestione dei dispositivi medici, incluse le istituzioni e gli organi pubblici implicati, nonché la necessità di nominare quale Responsabile del trattamento il fabbricante del dispositivo qualora svolga attività di taratura, calibrazione, manutenzione o assistenza.

Inoltre, attraverso due decreti approvati a giugno 2023, sono stati fissati i tempi di conservazione dei dati condivisi nelle procedure di vigilanza di incidenti con i dispositivi medici e dispositivi medico-diagnostici in vitro in due (2) anni dalla relativa segnalazione per i dati dei pazienti e cinque (5) anni per i dati degli operatori sanitari.

Conclusioni

Alla luce di quanto detto, dobbiamo focalizzarci su tre punti chiave per un adeguato trattamento privacy dei dati personali da parte dei Digital Health:

  1. Il dispositivo dovrà essere sicuro ed affidabile, trattando i dati con riservatezza e rispettando i tempi di conservazione strettamente necessari per la finalità per cui tali dati sono stati raccolti.

Ogni dispositivo avrà caratteristiche diverse che comporteranno una gestione adeguata. In questo senso, ricorda il MDCG che “oscurare” uno schermo potrebbe essere una misura di sicurezza appropriata per ridurre la divulgazione di dati personali, ma quando il dispositivo medico viene utilizzato per uso interventistico o per la visualizzazione di segni vitali, l’oscuramento dello schermo rappresenta un problema di sicurezza a livello medico e quindi non dovrebbe essere attuato.

  1. I dati trattati devono essere gestiti correttamente, rispettando i principi privacy (ad. esempio, fornendo ai pazienti le informazioni necessarie, mantenendo e controllando l’integrità e l’autenticità dei dati, etc.)

Ricordiamo che i dati sanitari personali – anche pseudonimizzati o criptati –  richiedono una protezione e una sicurezza elevate e che devono essere soggetti al controllo individuale. Questo ovviamente non è necessari se i dati vengono aggregati e anonimizzati.

  1. Infine, ma non meno importante, il software deve rispettare i principi etici delle sue funzionalità, e quindi il costruttore dovrà controllare l’utilizzo degli stessi per scopi diversi rispetto a quelli per cui lo strumento è stato prodotto.

 

 

Fonti

  • Regolamento (UE) 2017/745  EUR-Lex – 32017R0745 – EN – EUR-Lex (europa.eu)
  • Regolamento (UE) 2017/746
  • MedTech Europe  www.medtecheurope.org
  • Decreto legislativo 5 agosto 2022, n. 138
  • Decreto 26 giugno 2023 sui tempi di conservazione dei dati personali eventualmente forniti contestualmente alle comunicazioni di incidenti con i dispositivi medico-diagnostici in vitro
  • Decreto 9 giugno 2023 sui Tempi di conservazione dei dati personali eventualmente forniti contestualmente alle comunicazioni di incidenti con i dispositivi medico.
  • Guidance on Cybersecurity for medical devices md_cybersecurity_en.pdf (europa.eu)

Ti serve una consulenza privacy?

Il nostro team sarà felice di trovare la soluzione perfetta per te!