Il 26 maggio 2021 è divenuto pienamente applicabile il Regolamento UE 2017/746 (MDR, dall’acronimo inglese Medical Device Regulation) che ha profondamente modificato la disciplina della produzione e commercializzazione dei dispositivi medici, con l’obiettivo di aumentarne il livello di sicurezza e di rivedere i ruoli e le responsabilità dei soggetti coinvolti nel sistema di produzione e distribuzione.
Il contesto normativo
La prima disciplina dei dispositivi medici risale agli anni ’90, quando vennero emanate tre direttive sul tema (Dir. 90/385/CEE, Dir. 93/42/CEE e Dir. 98/79/CEE) tutte puntualmente recepite nel nostro ordinamento.
La necessità di revisione di queste direttive ha portato all’emanazione del Reg. UE 2017/745 sui dispositivi medici e sui dispositivi impiantabili attivi e del Reg. 2017/746 sui dispositivi diagnostici in vitro. La data di piena applicazione del Reg. 2017/745 inizialmente prevista per il 26 maggio 2020 è stata poi prorogata a causa dell’emergenza sanitaria Covid-19 al 26 maggio 2021, data a partire dalla quale le sue norme sono divenute efficaci e obbligatorie per tutti gli stati membri.
Il nostro legislatore ha avviato il processo di adeguamento del quadro normativo nazionale in materia, inserendo all’interno della Legge di Delegazione Europea 2021, pubblicata in G.U il 23 aprile 2021, un intero articolo che fornisce al Governo principi e criteri direttivi per l’adeguamento della normativa italiana che avverrà mediante appositi decreti attuativi da emanare entro aprile 2022.
Le novità del Regolamento MDR in sintesi
Il Regolamento amplia innanzitutto la definizione di dispositivo medico, sino a includervi anche dispositivi che non hanno uno scopo medico previsto, come lenti a contatto colorate e dispositivi e materiali per impianti cosmetici. Sono inclusi nel campo di applicazione del regolamento anche i dispositivi progettati ai fini della “previsione e prognosi” di una malattia o di altre condizioni di salute.
Viene poi effettuata una nuova classificazione di alcuni dispositivi e introdotta la codifica UDI (identificazione univoca dei dispositivi) per consentirne una migliore tracciabilità e facilitare l’eventuale ritiro di dispositivi che presentino un rischio per la sicurezza.
Viene prevista una vigilanza più rigorosa da parte degli Organismi notificati, che dovranno peraltro anche ricevere una nuova notifica dalle Autorità competenti per poter proseguire l’attività di valutazione della conformità dei dispositivi secondo le nuove prescrizioni.
Viene ampliata la banca dati europea sui dispositivi medici (Eudamed) per fornire un accesso più efficiente alle informazioni sui dispositivi medici approvati. Tale piattaforma sarà composta da sei sezioni per la registrazione degli operatori economici, dei dispositivi medici, degli Organismi notificati, indagini cliniche e studi delle presentazioni, vigilanza e sorveglianza post-commercializzazione e sorveglianza del mercato. Al momento è attiva solo la sezione relativa agli operatori economici, quindi l’iscrizione in Eudamed ad oggi è solo volontaria e, fino a quando tale banca dati non sarà completamente operativa, permane per gli operatori l’obbligo di registrazione anche nella Banca dati nazionale, nel nostro paese quella del Ministero della Salute.
Il MDR introduce importanti novità anche per gli operatori economici coinvolti nel mercato dei dispositivi medici, definendo nuove responsabilità, ulteriori obblighi di approfondimento della documentazione tecnica e prevedendo un sistema più rigoroso non solo di valutazione clinica ma altresì di sorveglianza post-vendita.
Gli attori del sistema dei dispositivi medici
Fabbricante
Il MDR definisce innanzitutto il “fabbricante” come “la persona fisica o giuridica che fabbrica o rimette a nuovo un dispositivo oppure lo fa progettare, fabbricare o rimettere a nuovo, e lo commercializza apponendovi il suo nome o marchio commerciale” (art. 2 par. 30). Qualora il fornitore materialmente realizzi il dispositivo sarà chiamato Original Equipment Manufacturer (OEM), mentre il committente che appone in seguito il suo nome o marchio viene chiamato Virtual Manufacturer (VM). Entrambe le figure assumono la responsabilità giuridica del prodotto e sono tenuti a costituire il c.d. fascicolo tecnico del fabbricante, contenente tutti i documenti dettagliatamente definiti dall’allegato II del MDR. Il fabbricante deve inoltre garantire che i dispositivi da lui immessi in commercio siano conformi ai requisiti generali di prestazione e sicurezza definiti dal Regolamento, nonché effettuare la valutazione clinica prevista dall’art. 61 del Regolamento al fine di dimostrare il rispetto dei requisiti di sicurezza e prestazione del DM, la sua idoneità al raggiungimento della destinazione d’uso, la valutazione degli eventuali effetti collaterali.
Raccolti i dati clinici deve poi essere effettuata la valutazione di conformità: in autonomia dal fabbricante stesso per i dispositivi di classe I, attraverso un Organismo notificato che rilasci il pertinente certificato UE per i dispositivi di classe superiore.
Conclusa la fase di realizzazione a valutazione della conformità del dispositivo, il fabbricante dovrà redigere la documentazione tecnica, apporre il marchio CE, assegnare un codice UDI al prodotto, iscriverlo nella banca dati Eudamed e realizzare l’etichettatura.
Per quanto riguarda gli obblighi post-commercializzazione il fabbricante, al fine di garantire la massima tracciabilità del dispositivo, è tenuto a realizzare un piano di sorveglianza post-commercializzazione e ad adottare procedure interne per la segnalazione all’autorità competente tramite la banca dati Eudamed di qualsiasi incidente grave e/o azione correttiva di sicurezza.
Quando il fabbricante di un dispositivo medico ha sede in un territorio extra UE l’immissione in commercio avviene ad opera dell’”importatore”, figura non disciplinata dalla precedente normativa, così come quella del “distributore”. L’importatore è in questo caso colui che deve garantire che il dispositivo sia dotato di idonea marcatura CE.
Importatore e distributore
Su importatore e distributore grava l’obbligo di controllare la conformità del dispositivo al MDR ed un generale obbligo di cooperazione con le autorità competenti per qualsiasi azione volta ad eliminare o attenuare i rischi eventualmente presentati da dispositivi commercializzati.
Il Regolamento rafforza poi, rispetto alla previgente disciplina, la figura del “mandatario” ossia il soggetto nominato da un fabbricante extra-UE e da questi autorizzato ad agire sul territorio comunitario per suo conto mediante accordo scritto. Il MDR prevede che il mandatario è tenuto al controllo formale della documentazione comprovante la conformità del DM ed è obbligato alla registrazione in Eudamed oltre che al controllo dell’avvenuta registrazione del fabbricante e del dispositivo medico. Esso inoltre è responsabile in solido con il fabbricante per eventuali DM difettosi immessi in commercio.
Responsabile del rispetto della normativa
Il Regolamento introduce poi la nuova figura della “Persona responsabile del rispetto della normativa” (PRRN) che deve essere nominata dai fabbricanti e dai mandatari e ha il compito di svolgere un ruolo di controllo interno del rispetto della normativa da parte del fabbricante o del mandatario, con l’obbligo di segnalare agli stessi eventuali non conformità.
Coordinamento tra MDR e GDPR
È evidente che i moderni dispositivi medici, spesso connessi alla rete o costituiti da software o app, sono in grado di trattare importanti quantità di dati personali relativi alla salute e la corretta gestione di tali dati diventa allora un necessario requisito di sicurezza del dispositivo stesso. Ogni attore del sistema dei dispositivi medici, in base al tipo di dati raccolti, dovrà determinare proprie policy per raggiungere la compliance al GDPR che tengano conto dei diritti degli interessati, della necessità di utilizzare i dati solo per gli scopi per i quali siano stati raccolti, dell’implementazione di adeguate misure tecniche organizzative per la protezione dei dati e per assicurare idonee procedure per la rilevazione delle violazioni.
E infatti l’allegato I del MDR nell’elencare i requisiti di sicurezza e progettazione che devono essere rispettati da dispositivi che contengono un software o che siano essi stessi un software, prevede che siano sviluppati e fabbricati tenendo conto della sicurezza delle informazioni, che i fabbricanti indichino le caratteristiche delle reti informatiche e le misure di sicurezza informatica, compresa la protezione contro l’accesso non autorizzato necessari per far funzionare il dispositivo.
Le linee guida della Commissione Europea
Sul tema, il Medical Device Coordination Group della Commissione Europea ha pubblicato delle linee guida – Guidance on Cybersecurity for medical devices del gennaio 2020 – con le quali vengono fornite ai fabbricanti di dispositivi medici approfondimenti sui requisiti di sicurezza previsti dall’allegato I del MDR, prevedendo espressamente l’obbligo di rispetto delle normative nazionali ed europee, quindi in particolare del GDPR (Regolamento Europeo sulla Protezione dei Dati).
Peraltro, a livello nazionale, la legge di delegazione europea pubblicata lo scorso 23 aprile prevede tra i principi direttivi che dovranno essere seguiti dal Governo nell’emanazione dei decreti di adeguamento della nostra normativa interna, quello di adeguare i trattamenti di dati personali effettuati in applicazione del MDR alle disposizioni del GDPR e alla normativa vigente in materia di tutela dei dati personali.