normativa ue

L’impatto del Data Act sulla Sanità: obblighi e opportunità per le aziende

Home Sanità digitale
Indirizzo copiato

L’Europa avanza con la sua strategia dei dati, con il Data Act come colonna portante. La normativa mira a regolamentare la condivisione dei dati tra le varie entità e settori e presenta sfide delicate per il settore dell’Healthcare. Non mancheranno, però, anche le opportunità legate alla possibilità, per le aziende, di fruire di molti più dati

Pubblicato il 12 gen 2024
Silvia Stefanelli

Studio Legale Stefanelli & Stefanelli

Il nuovo programma nazionale dell'Health Technology Assessment (HTA)

In data 22 dicembre 2023 è stato pubblicato sulla Gazzetta Ufficiale dell’Unione Europea il Reg. Ue 2023/2854 riguardante norme armonizzate sull’accesso equo ai dati e sul loro utilizzo: il cosiddetto Data Act.

Il Regolamento si pone l’obiettivo di creare un ecosistema legislativo, uniforme a livello comunitario, per favorire e regolamentare la condivisione di dati tra privato e privato, nonché tra pubblico e privato.

European Health Data Space e uso secondario dei dati: le molte domande ancora senza risposta

Seppure la piena applicazione si avrà dal 12 settembre 2025 (art. 50 Data Act), si tratta di un Regolamento di estrema rilevanza ed impatto, specie per chi produce software ed in generale “prodotti connessi”: cioè beni che ottengono, generano o raccolgono dati (personali e non) nel corso del loro utilizzo e che comunicano tali dati tramite un servizio di comunicazione elettronica, una connessione fisica o l’accesso su dispositivo (art. 2 lett. 5).

Il Data Act è poi un tassello fondamentale della Strategia Europea dei dati.

Vediamo allora molto in sintesi il generale contesto di riferimento, per poi analizzare gli aspetti più rilevanti del Data ACT ed il suo impatto nel settore Healthcare.

La strategia europea dei dati e il data governance act

Agli inizi del 2020 la Commissione UE ha pubblicato la COM(2020) 66 del 19 febbraio 2020 – Strategia Europea dei dati con l’obiettivo di introdurre regole precise per agevolare la circolazione dei dati all’interno del mercato unico: la necessità di definire regole chiare su questo tema partiva poi dal presupposto che la circolazione dei dati è il motore per raggiungere importanti vantaggi economici e sociali, permettendo quindi alla UE di mirare alla leadership internazionale nella società dei dati.

Tralasciando in questa sede il DMA e DSA, appare strettamente collegato al Data Act il Regolamento UE 2022/868 relativo alla governance europea dei dati (c.d. Data Governance) che ha come obiettivo quello di accrescere la fiducia nella condivisione dei dati, rafforzando i meccanismi per aumentare la disponibilità dei dati e superando gli ostacoli tecnici al riutilizzo dei dati.

Più esattamente il Data Governance Act :

  • stabilisce regole per il riutilizzo dei dati detenuti dalle pubbliche amministrazioni (articoli dal 3 al 9)
  • istituisce i Servizi di Intermediazione dei dati, gestiti da appositi Fornitori notificati (articoli dal 10 al 15) che sono i “garanti” degli scambi bilaterali o multilaterali dei dati, nonché i possibili creatori di piattaforme o banche dati.
  • introduce il principio dell’altruismo dei dati, ed il relativo sistema di attuazione (articoli da 16 a 25), che chiama il cittadino a “donare” volontariamente i propri dati per un bene comune

Il Reg. Ue 2022/868 è poi entrato in vigore il 23 giugno 2022 ed diventato pienamente efficacie dal 24 settembre 2023.

Nell’ambito di questo contesto si inserisce il Data Act.

Analisi del data act

Anche il Data Act mira a potenziare la condivisione dei dati, ma rivolgendosi a chi progetta e realizza i “prodotti connessi” (come sopra definiti), nonché chi utilizza tale tipologia di prodotti ed altresì chi eroga servizi collegati ai “prodotti connessi”.

Gli attori

Infatti gli attori del Data Act sono:

  • Il Titolare dei dati (art. 2 lett. 13) cioè il soggetto che vanta una posizione di diritto sui dati e che ha l’obbligo (secondo lo stesso Data Act) mettere a disposizione i dati generati/raccolti dal “prodotto connesso” a favore dell’utente ( o di destinatario terzo indicato dall’Utente)

Il Titolare dal Data Act non necessariamente coincide l con il Titolare ex GDPR: più precisamente il titolare del GDPR è chi stabilisce mezzi e finalità; il Titolare del Data Act è chi si trova nella condizione di potere/dovere condividere i dati

  • l’Utente (art. 2 lett. 12) cioè il soggetto che possiede/utilizza un “prodotto connesso” e che ha il diritto di accesso sui dati
  • l’Interessato (art. 2 lett. 11) che coincide con l’interessato del GDPR
  • il Destinatario dei dati (art. 2 lett. 14) cioè chi riceve i dati dal Titolare (soggetto che può coincidere o meno con l’Utente)

Gli obblighi di condivisione

Il cuore del Data Act è nei primi articoli.

L’art. 3 stabilisce che i “prodotti connessi” sono progettati e fabbricati (ed altresì i servizi correlati sono progettati e forniti) in maniera tale che i dati (compresi i metadati) siano, per impostazione predefinita, “accessibili all’utente in modo facile, sicuro, gratuito, in un formato completo, strutturato, di uso comune e leggibile da dispositivo automatico e, ove pertinente e tecnicamente possibile, in modo diretto”.

In sostanza chi detiene il prodotto connesso per utilizzarlo (ospedale, casa di cura, medico singolo) devo potere – di default – accedere a tutti i dati (da intendersi in senso lato come “qualsiasi rappresentazione digitale di atti, fatti o informazioni e qualsiasi raccolta di tali atti, fatti o informazioni, anche sotto forma di registrazione sonora, visiva o audiovisiva” – quindi , dati personali e anche dati non personali)

In sostanza i “prodotti connessi” devono essere progettati e realizzati “accessibili by design e by default” .

Il successivo art. 4 stabilisce poi che qualora l’Utente non possa accedere ai dati direttamente attraverso il “prodotto connesso”, il Titolare ha l’obbligo di mettere a disposizione dell’Utente dati (e metadati) “senza indebito ritardo, con la stessa qualità di cui dispone il titolare dei dati, in modo facile, sicuro, gratuitamente, in un formato completo, strutturato, di uso comune e leggibile da dispositivo automatico e, ove pertinente e tecnicamente possibile, modo continuo e in tempo reale

In sostanza, incidendo in maniera rilevante sui contratti tra soggetti, si obbliga chi detiene i dati (il titolare) e metterli a disposizione di chi utilizza il prodotto connesso (l’utente).

L’art. 5 stabilisce poi che, ove l’Utente ne faccia richiesta, il Titolare è obbligato a mettere i dati a disposizione di un terzo indicato dall’utente, sempre “senza indebito ritardo, con la stessa qualità di cui dispone il titolare dei dati, in modo facile, sicuro, a titolo gratuito per l’utente, in un formato completo, strutturato, di uso comune e leggibile da dispositivo automatico e, ove pertinente e tecnicamente possibile, in modo continuo e in tempo reale”

Vi sono poi una serie di tutele per il Titolare dei dati: da una parte infatti il titolare stesso potrà non condividere i dati se sono violati i suoi segreti commerciali, dall’altra l’Utente (ed in generale il Destinatario se non coincide con l’Utente) non potrà utilizzare i dati per sviluppare altro “prodotto connesso” in concorrenza (art. 4 e 5).

Inoltre gli obblighi di cui sopra non applicano alle micro e piccole imprese.

I successivi articoli dall’8 al 12 stabiliscono poi le modalità di tale condivisione (come calcolare il prezzo, le tutele, le misure tecniche di protezione relative all’uso non autorizzato o alla divulgazione dei dati) nonché il divieto di clausole abusive (art. 13).

Molto sinteticamente poi le parti successive del Data Act regolano quanto segue

  • gli articoli dal 14 al 22 stabiliscono l’obbligo di condivisione con la PA, gratuitamente, in casi necessità eccezionali
  • gli articoli dal 23 al 31 mirano invece (cambiando focus) ad agevolare il passaggio da un fornitore di servizi di trattamento ad un altro fornitore
  • l’art. 32 fornisce linee guida per evitare di violare le leggi nazionali o dell’UE durante lo scambio di dati a livello internazionale.
  • gli articoli dal 33 al 36 stabiliscono i requisiti essenziali in materia di interoperabilità̀ dei dati, dei meccanismi e servizi di condivisione dei dati nonché degli spazi comuni europei di dati (quindi anche il futuro Health Data Space)
  • gli articoli dal 37 al 40 danno indicazioni agli Stati membri sulle modalità per dare attuazione al Data Act nonché sulle sanzioni (attenzione: sanzioni di portata analoga a quella del GDPR)

Impatto sul settore Healthcare

In primo luogo è del tutto pacifico che il Data Act si applichi al settore Healthcare ed ai dispositivi medici.

Lo afferma chiaramente il Considerando 14 che così stabilisce “I prodotti connessi sono presenti in tutti gli aspetti dell’economia e della società, tra cui infrastrutture private, civili o commerciali, veicoli, attrezzature sanitarie e legate allo stile di vita, navi, aeromobili, apparecchiature domestiche e beni di consumo, dispositivi medici e sanitari”

Che cosa occorre quindi fare e quali saranno i punti critici?

Sotto una prima analisi

Ripensare ai “prodotti connessi” in termini di accessibilità dei dati

Nel mondo dei medical device non è escluso che questo possa portare a modifiche progettuali che potrebbero configurare “modifiche significative” ex art. 120 Reg. Ue 2017/754 (MDR) e art. 110 Reg. Ue 2017/746 (IVDR) facendo venir meno il beneficio del periodo transitorio.

Aumentare la sicurezza informatica

l’obbligo infatti di rendere disponibili i dati anche a terzi autorizzati dall’utente aumenterà notevolmente i requisiti di sicurezza informatica che andranno quindi riparametrati

Analisi e gestione aumento dei costi

l’art. 4 del data Act prevede la fornitura gratuita dei dati: ciò vuol dire che i costi per tale accessibilità di scaricano necessariamente sul Titolare

Gestire l’aumento del rischio di concorrenza

L’art. 5 par. 5 vieta esplicitamente agli utenti di utilizzare i dati per lo sviluppo di prodotti concorrenti. Ma senza dubbio un aumento di circolazione dei dati – assolutamente positivo per l’economia europea specie in relazione alle libertà esistenti in USA – accresce il rischio di prodotti copiati: qui occorrerà lavorare bene anche in applicazione della dir 2016/943 sul know how industriale

Compliance al GDPR

L’obbligo d condivisione non fa venire meno il rispetto del GDPR.

Nel caso dunque di condivisione di dati personali e ove l’Utente (es. ospedale) non coincida con l’interessato il titolare dovrà valutare la sussistenza di una base giuridica ( sul punto si veda il Parere congiunto EDPB-GEPD 2/2022 sulla proposta del Parlamento europeo e del Consiglio riguardante norme armonizzate sull’accesso equo ai dati e sul loro utilizzo (normativa sui dati – 4 maggio 2022)

Restano poi aperti molti dubbi quando il prodotto connesso è utilizzato sia dal medico che dal paziente (cioè entrambi sono Utenti)

Modifica dei contratti

Prima del settembre 2025 occorrerà poi modificare tutti i contratti in essere: sia quelli con gli Utenti professionali (ospedali, case di cura, medici) che quelli con i consumatori (per i quali dovrà trovare applicazione anche il Codice del Consumo)

Definire con esattezza cosa condividere

L’art. 2 lett. 15 stabilisce che i «dati del prodotto» da condividere sono i “dati generati dall’uso di un prodotto connesso”

Questa definizione sarà foriera di grandi dubbi interpretativi ed applicativi: come dovremo interpretare infatti i dati dei modelli di machine learning per l’addestramento? E i dati la cui la cui raccolta e fornitura può mettere a rischio i pazienti in quanto diminuisce la durata della batteria?

Conclusioni

Il Data Act è un intervento di amplissima portata.

E l’obiettivo è senza dubbio quello di aiutare le aziende europee a poter fruire di molti più dati, perché siano in grado di fronteggiare l’espansione digitale dei paesi extraUe , all’interno però di un sistema regolato.

Non va quindi vissuto come l’ennesima “cosa da fare”, ma come una grande opportunità.

E settembre 2025 non è una data così lontana: occorre iniziare da subito.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Argomenti

Canali

EU Stories - La coesione innova l'Italia

Tutti
Analisi
Video
Iniziative
Social
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

  • l'indagine

    Allarme fake news, genitori impreparati: serve più formazione

    01 Nov 2024

    di Emanuele Giraldi

    Condividi

  • oltre la seo

    La rivincita dei contenuti utili: perché è meglio scrivere per gli umani e non per le macchine

    12 Nov 2024

    di Gabriele Gobbo

    Condividi

  • l'evoluzione

    Dal percettrone alle reti neurali profonde: l'incessante rincorsa dell'IA alle facoltà "umane"

    12 Giu 2024

    di Luigi Lella

    Condividi

Prossimo

Allarme fake news, genitori impreparati: serve più formazione

Articolo 1 di 4