Con la nuova proposta di Regolamento europeo sull’intelligenza artificiale si potrebbe aggiungere un nuovo tassello nella regolamentazione dei software dispositivi medici (MDSW) e altri dispositivi medici che includono software basati su algoritmi di intelligenza artificiale.
La nuova proposta di Regolamento recante regole armonizzate sull’intelligenza artificiale, infatti, adottata dalla Commissione europea il 21 aprile 2021 (COM (2021)206), presenta, tra i suoi punti di intersezione, proprio la normativa sui dispositivi medici, ossia i Regolamenti UE 745 e 746/2017 (il primo divenuto pienamente applicabile soltanto il mese scorso – 26 maggio 2021).
Regolare le big tech in Europa, luci e ombre del “pacchetto digitale” della Commissione ue
Qual è il rapporto tra le due normative
La nuova proposta di Regolamento mira a fornire un sistema orizzontale di regole che disciplinino l’intelligenza artificiale in modo trasversale, combinandosi quindi con le diverse normative di settore che già regolamentano i prodotti che possono incorporare o essere costituiti da sistemi di IA.
La proposta di Regolamento – che adotta un risk-based approach – non intende tanto disciplinare l’IA come tecnologia in sé, quanto piuttosto concentrarsi sulle situazioni che possono presentare maggiori rischi. Pertanto, la maggior parte degli adempimenti che stabilisce riguardano solo determinati sistemi di IA considerati “ad alto rischio”, ossia tecnologie che creano rischi elevati per la salute, la sicurezza o i diritti fondamentali.
Con specifico riferimento a sistemi di IA incorporati in dispositivi medici (o essi stessi dispositivi medici), non vi è dubbio che essi rientrino nella classificazione di sistemi ad alto rischio ai sensi dell’art. 6, par. 1 del Regolamento, in base al quale devono essere considerati ad alto rischio i sistemi di IA: (i) destinati a essere utilizzati come componenti di sicurezza di prodotti (o che costituiscono essi stessi un prodotto), laddove per componente di sicurezza si intende un componente che svolge una funzione di sicurezza o il cui malfunzionamento può metter in pericolo la vita o la sicurezza delle persone, e (ii) soggetti a valutazione di conformità da parte di un ente terzo, secondo quanto previsto da altre norme europee, elencate all’Allegato 2 (tra cui sono ricompresi, per l’appunto, i regolamenti sui dispositivi medici).
Questo riferimento alla valutazione da parte di un terzo deve intendersi fatto, in relazione ai dispositivi medici, all’attività svolta dagli organismi notificati ai fini dell’immissione in commercio dei prodotti. Sembrerebbe quindi che questa precisazione possa avere l’effetto di lasciar fuori dalla categoria dei sistemi ad alto rischio quelli incorporati in dispositivi medici (o essi stessi dispositivi medici) che rientrano nella classe I ai sensi del Regolamento 745/2017 (che quindi non richiedono l’intervento di un organismo notificato ai fini della marcatura CE). Vero altresì che la maggior parte dei software che prima ricadevano in classe I rientrano, ai sensi del Regolamento 745/2017 (Regola 11), in una classe di rischio superiore, soggetta all’intervento degli organismi notificati, per cui, di fatto, la quasi totalità dei dispositivi basati sull’IA ricadrà comunque nella definizione di sistemi ad alto rischio in base alla proposta di Regolamento.
Cosa cambierà nella valutazione dei dispositivi medici basati sull’IA
Nell’Explanatory Memorandum che accompagna la proposta di Regolamento è specificato che, per quanto riguarda i sistemi di IA ad alto rischio che sono componenti di sicurezza dei prodotti, la proposta sarà integrata nella legislazione settoriale esistente in materia di sicurezza, in modo da garantire la coerenza, evitare duplicazioni e ridurre al minimo gli oneri aggiuntivi per gli operatori.
In particolare, per quanto riguarda i dispositivi medici, il rispetto dei requisiti per i sistemi di IA stabiliti nella proposta di Regolamento sarà verificato nell’ambito delle procedure di valutazione della conformità esistenti ai sensi della normativa di settore. Queste ultime dovrebbero quindi avere a oggetto sia la valutazione dei rischi per la sicurezza specifici dei sistemi di IA previsti dalla proposta di Regolamento sia quelli più generali previsti dai regolamenti sui dispositivi medici, volti a garantire la sicurezza complessiva dei prodotti finali.
In altre parole, i medical devices basati su sistemi di IA continueranno a essere soggetti agli stessi meccanismi di valutazione di conformità ex ante ed ex post rispetto alla loro immissione in commercio. La differenza fondamentale è che tali meccanismi di valutazione dovranno garantire la conformità non solo ai requisiti stabiliti dalla normativa sui dispositivi medici, ma anche ai requisiti stabiliti dal Regolamento sull’IA. Così, ad esempio, nell’ambito del monitoraggio post-commercializzazione, il fabbricante del dispositivo dovrà raccogliere e valutare in modo proattivo l’esperienza acquisita anche dall’uso dei sistemi di IA sul mercato allo scopo di identificare qualsiasi necessità di applicare immediatamente azioni correttive o preventive.
Il ruolo degli organismi notificati
Questa considerazione fa sorgere un interrogativo circa le competenze degli organismi notificati, deputati alla valutazione di conformità dei dispositivi medici.
Se infatti l’obiettivo è quello di integrare le valutazioni relative alla sicurezza dei sistemi di IA nell’ambito della valutazione globale che un organismo notificato deve svolgere ai fini dell’immissione in commercio di un dispositivo medico, ciò comporterà che gli organismi notificati dovranno essere accreditati ai sensi di entrambe le normative (su IA e sui DM) per poter contestualmente effettuare tale duplice controllo.
In alternativa il fabbricante dovrà rivolgersi a due soggetti diversi per la certificazione del proprio prodotto, con un probabile incremento dei costi e tempi necessari.
Quali altri impatti per gli operatori del settore
Dalla lettura della proposta di Regolamento emerge chiaramente l’intenzione di evitare duplicazione di oneri e procedure. Tuttavia, non è specificato come, in pratica, tale obiettivo potrà essere conseguito, dato che viene comunque imposto il rispetto di entrambe le normative, che presentano elementi di sovrapposizione.
Ad esempio, in base alla proposta di Regolamento, i fabbricanti di dispositivi a base di IA, che rientrano nella definizione di sistemi ad alto rischio, saranno soggetti a obblighi come la dotazione di sistemi di gestione del rischio (articolo 9) e di modelli di governance e gestione dei dati (articolo 10), la predisposizione di documentazione tecnica, obblighi di trasparenza e informazione agli utenti (articolo 13) nonché di sicurezza informatica, etc., tutti simili a quanto richiesto dai regolamenti sui dispositivi medici.
Sarà quindi importante capire come questa documentazione dovrà essere predisposta tenendo conto della necessità di conformarsi a entrambe le normative, evitando duplicazioni e aggravamenti burocratici che non forniscono un reale valore aggiunto nel perseguimento degli obiettivi di sicurezza del prodotto.
Collaborazione istituzionale per assicurare la coerenza e il coordinamento tra le normative
In questo primo commento abbiamo ragionato come se la proposta diventasse Regolamento così come oggi formulata, ma non dimentichiamo che potrà essere soggetta a modifiche, anche significative, nel corso del suo iter di approvazione. In ogni caso, in un momento come questo, di grande fermento normativo nel settore dei dispositivi medici in cui ancora non si è consolidata l’applicazione del regolamento 745/2017, appena divenuto applicabile, un’ulteriore innovazione di questa portata può aumentare l’incertezza e destabilizzare gli operatori del settore in cerca di un quadro di regole chiare per poter immettere sul mercato i propri prodotti.
È quindi particolarmente auspicabile una stretta collaborazione tra gli organismi tecnico/scientifici a livello europeo e degli Stati membri affinché vengano adottati tutti gli opportuni correttivi, sia nella proposta di Regolamento che nei successivi regolamenti di esecuzione, chiamati a fornire indicazioni tecniche di dettaglio per l’implementazione delle norme (sia del futuro Regolamento sull’IA che dei regolamenti sui dispositivi medici). L’obiettivo è assicurare che l’ingranaggio funzioni, che la due normative siano coerenti e ben coordinate tra loro, a tutto vantaggio dello sviluppo di un settore che è sempre più vivace e promettente.
