Il 23 febbraio 2022 la Commissione Europea ha pubblicato la sua proposta di Regolamento riguardante norme armonizzate sull’accesso equo ai dati e sul loro utilizzo (proposta di regolamento, o normativa sui dati o Data Act). La proposta di regolamento ha come oggetto la messa a disposizione dei dati generati dall’uso di un prodotto o di un servizio correlato all’utente di tale prodotto o servizio (cd. da impresa a consumatore o business-to-consumer); la messa a disposizione dei dati dai titolari dei dati ai destinatari dei dati (cd. da impresa a impresa, o business-to-business); e infine la messa a disposizione di dati da parte dei titolari dei dati agli enti pubblici o alle istituzioni, agenzie o organismi dell’Unione, a fronte di necessità eccezionali, per l’esecuzione di un compito svolto nell’interesse pubblico (cd. business-to-government). Esaminiamo la proposta di normativa sui dati nell’ambito dei dispositivi medici, affrontando i nodi che rimangono da sciogliere prima dell’adozione dell’atto normativo. Inoltre, analizziamo la rilevanza dei requisiti di cybersecurity della proposta di normativa sui dati nel campo dei dispositivi medici, dal punto di vista dei fabbricanti e pazienti.
La rilevanza dei dati per l’assistenza sanitaria
Già a partire dal 2018, l’Unione Europea (UE) ha evidenziato il potenziale dei dati per essere un fattore chiave per la trasformazione digitale nella salute. Come ha affermato la Commissione europea, “le decisioni abilitate dai dati possono supportare la giusta strategia terapeutica alle esigenze della persona giusta al momento giusto e/o determinare la predisposizione alla malattia e/o per fornire una prevenzione tempestiva e mirata”. Secondo la Commissione, i dati sono essenziali per supportare gli avanzamenti della medicina personalizzata, in quanto possono aumentare il benessere di milioni di cittadini e cambiare il modo in cui vengono forniti i servizi sanitari e assistenziali, compreso lo sviluppo accelerato di medicinali e dispositivi medici.
La rilevanza della normativa sui dati per i dispositivi medici
I dati sono di fondamentale importanza per i dispositivi medici. Ad esempio, i dispositivi medici che fanno uso di intelligenza artificiale possono supportare il processo decisionale o la diagnosi da parte delle figure professionali sanitarie. Altre applicazioni più recenti implicano la creazione di ‘pazienti digitali’ o ‘Digital Twin’ che possono supportare il personale di chirurgia nella loro formazione o pianificazione di interventi. O ancora, i cd. ‘real-world’ data prodotti dai dispositivi medici possono essere utilizzati per monitorare la sicurezza post-commercializzazione degli stessi.
Il Data Act mira a creare un quadro di governance dei dati intersettoriale e il relativo utilizzo, lasciando spazio a normative verticali per stabilire regole più dettagliate per il raggiungimento degli obiettivi normativi settoriali. Secondo il considerando 14 della proposta di normativa sui dati, i dispositivi medici sanitari sono inclusi nell’ambito di applicazione del regolamento.
I nodi da sciogliere
I titolari dei dati
Il primo nodo riguarda la definizione di titolare all’interno della proposta di regolamento. Nel contesto dei dispositivi medici, i fabbricanti di dispositivi medici possono essere titolari di dati relativi a un dispositivo utilizzato da un paziente. Tuttavia, differenti situazioni possono modificare la qualificazione degli attori, a seconda del caso in esame. Ad esempio, i fabbricanti potrebbero essere titolari verso degli ospedali, se questi ultimi possiedono determinati dispositivi medici di un determinato produttore.
La proposta di regolamento definisce il titolare come la “persona fisica o giuridica che ha il diritto o l’obbligo o, nel caso di dati non personali e attraverso il controllo della progettazione tecnica del prodotto e dei servizi correlati, la capacità di mettere a disposizione determinati dati” (art. 2 proposta di regolamento). Con riguardo alla messa a disposizione di dati non personali sorge un quesito. Cosa significa “attraverso il controllo della progettazione tecnica del prodotto e dei servizi correlati” (di cui all’art. 2 della proposta di regolamento) in pratica? Tale definizione rischia di non essere sufficientemente chiara e potrebbe comportare alcune incertezze interpretative.
Business-to-government data sharing: gli incidenti di cybersicurezza come emergenza pubblica
Il secondo nodo da esaminare riguarda la messa a disposizione di dati agli enti pubblici e di istituzioni, agenzie o organismi dell’Unione sulla base di necessità eccezionali (Capo V della proposta di regolamento). Secondo la proposta, una necessità eccezionale di utilizzare i dati si considera esistente, tra l’altro, laddove i dati richiesti siano necessari per rispondere a un’emergenza pubblica (art. 15(1)(a) della proposta di regolamento) o laddove la richiesta di dati sia necessaria per prevenirla o per contribuire alla ripresa dopo che si sia verificata (art. 15(1)(b) idem).
Una emergenza pubblica può riguardare anche la cybersecurity. Infatti, secondo il considerando 57 della proposta di legge sui dati, le emergenze pubbliche possono consistere, tra l’altro, in gravi incidenti di sicurezza informatica. Nel contesto dei dispositivi medici o sanitari, significa che i dati da essi generati (personali e non) potrebbero essere condivisi da un prestatore di assistenza sanitaria o da un produttore di dispositivi medici a un ente del settore pubblico per rispondere (o addirittura prevenire) ad un grave incidente di sicurezza informatica.
Esempio: incidente di cybersicurezza per un gruppo ospedaliero
Per agevolare l’illustrazione di questi requisiti ci serviremo di una ipotesi esemplificativa: Un gruppo ospedaliero viene preso di mira da un attacco informatico tramite ransomware all’interno di un’immagine di file DICOM di una scansione MRI. Rapidamente, il file DICOM infetta il computer del medico e quindi raggiunge il Picture Archiving and Communication System (PACS) dell’ospedale. Il ransomware si diffonde nell’intera rete ospedaliera interrompendo tutte le operazioni e causando l’indisponibilità di dati e servizi.
Il prestatore di assistenza sanitaria o il fabbricante dello scanner MRI potrebbe ora essere soggetto all’obbligo di mettere a disposizione i dati a un ente del settore pubblico, se lo richiede, per aiutare il recupero da questo incidente di sicurezza informatica o per evitare che ne accada ad un altro dispositivo medico di un altro ospedale.
Le criticità dal punto di vista dei fabbricanti
Dal punto di vista dei fabbricanti (che potenzialmente, in quanto imprese, potranno essere soggette all’obbligo di mettere a disposizione i dati) sorgono alcune domande. Anzitutto, cosa può essere considerato un ‘grave incidente di cybersicurezza’? Che cosa distingue un grave incidente da un incidente che non lo è? La proposta di regolamento non lo chiarisce. Esistono altri regolamenti e Direttive a livello europeo che trattano la materia della cybersicurezza (come la Direttiva NIS, oppure il Cybersecurity Act). Tuttavia non sembra che la proposta di regolamento sia allineata con quest’ultime. La Direttiva NIS, ad esempio, ha altri riferimenti (si parla di “impatto rilevante” o “sostanziale”), e la loro portata è stata specificata sia nel testo legislativo che tramite l’attività interpretativa del NIS Cooperation Group.
Sarebbe sbagliato pensare che si tratti di una questione soltanto teorica. Identificare la soglia tra ‘grave’ e ‘non grave’ per un incidente di cibersicurezza ha una portata pratica. Gli enti pubblici, istituzioni, agenzie e organismi dell’Unione quando faranno richiesta, dovranno dimostrare la necessità eccezionale per la messa a disposizione di dati (art. 17(1)(b) della proposta di regolamento). A loro volta, i titolari dei dati (nel caso in esame, i fabbricanti di dispositivi medici) per poterla rifiutare possono allegare come motivo che la richiesta ricevuta non dimostri la necessità eccezionale per ottenere la messa a disposizione dei dati (art. 18(2)(b) idem). Pertanto, se non c’è consenso sulla definizione di ‘grave incidente di sicurezza’ rimane il rischio di avere incertezza nell’applicazione di queste norme sia per fabbricanti che per enti pubblici.
Le criticità dal punto di vista di pazienti e individui
Dal punto di vista dei diritti fondamentali degli individui, potrebbero esserci punti di criticità con riguardo la definizione di “emergenza pubblica”. La definizione di emergenza pubblica, infatti, rischia di essere ampia. La proposta la definisce come “una situazione eccezionale che incide negativamente sulla popolazione dell’Unione, di uno Stato membro o di parte di esso, con il rischio di ripercussioni gravi e durature sulle condizioni di vita o sulla stabilità economica, o di un sostanziale degrado delle risorse economiche nell’Unione o nello Stato membro o negli Stati membri interessati” (art. 2 proposta di regolamento). Inoltre, un’emergenza pubblica può essere determinata “secondo le rispettive procedure nazionali degli Stati membri o dalle organizzazioni internazionali competenti” (considerando 57, idem).
Un’altra criticità risiede sul carattere preventivo dell’articolo 15(1)(b), in cui si afferma che una richiesta di dati può essere necessaria per prevenire un’emergenza pubblica”. Può essere difficile prevedere fino a che punto sia possibile prevenire un’emergenza pubblica.
A sostegno di queste tesi, vale la pena notare che anche il Garante e il Comitato europeo per la protezione dei dati hanno espresso “serie preoccupazioni”. Tra le numerose osservazioni, hanno sottolineato che gli enti pubblici nei settori della prevenzione, indagine, accertamento e perseguimento degli illeciti penali e amministrativi dovrebbero essere esplicitamente esclusi – mentre in questo momento permangono alcune incongruenze nel testo. La determinazione di confini chiari, anche nel caso di dati relativi a dispositivi medici o sanitari, può contribuire a rispettare i diritti fondamentali alla riservatezza e alla protezione dei dati in modo uniforme in tutta l’UE.
Conclusioni
La proposta del Data Act promette di avere il potenziale per migliorare la qualità della vita degli individui e della società. Tuttavia, come per ogni nuova proposta legislativa, sarà fondamentale che la ricerca e la società civile analizzino criticamente non solo i benefici ma anche le possibili sfide future. Per il campo dei dispositivi medici la massima cautela è fondamentale sia per garantire in futuro il rispetto dei diritti fondamentali degli individui e pazienti, che per favorire la certezza giuridica necessaria per i fabbricanti dei dispositivi medici.
* Le idee discusse in questo contributo si basano sulla ricerca effettuata nell’ambito dell’iniziativa coordinata da Charlotte Ducuing, dr. Luca Schirru, e prof. Thomas Margoni e il team di ricerca (CiTiP Data Act Blog Post Series e nel CiTiP White Paper on the Data Act proposal) del KU Leuven Centre for IT & IP Law. Il presente articolo in particolare illustra il caso d’uso relativo ai dispositivi medici del citato White Paper.
Elisabetta Biasin, Ricercatrice presso il KU Leuven Centre for IT & IP Law
Articolo originariamente pubblicato il 01 Mar 2023