Sembra che il tema delle terapie digitali o DTx, stia tornando con forza sulla scena della sanità digitale italiana.
Il 20 settembre, in occasione degli Stati Generali della Sanità Digitale svoltisi al Politecnico di Milano, l’onorevole Simona Loizzo ha comunicato infatti che la Proposta di Legge n. 1208 del 23 giugno 2023 (presentata dalla stessa Loizzo) andrà in discussione nei prossimi mesi.
La settimana dopo (il 24 settembre) è stato poi presentato a Roma il secondo DTx Monitoring Report, frutto del lavoro del “Digital Health Policy Lab” (società Indicon e Università degli Studi di Milano): dal documento (che analizza fatturati, normative nazionali ed europee e budget impact) emerge una Germania capofila in Europa (con 55 terapie rimborsate) seguita da Francia e Spagna, mentre l’Italia, carente di un quadro legislativo specifico sul rimborso delle DTx, appare decisamente indietro.
Vediamo allora cosa prevede il disegno di legge Loizzo e quali sono i profili giuridici da tenere in considerazione per le aziende che vogliono camminare nella direzione delle Terapie Digitali.
Analisi del disegno di legge Loizzo
Il disegno di legge risulta (oggi) articolato come di seguito.
Definizione di terapie digitali
L’articolo 1 stabilisce che sono definite terapie digitali “gli interventi terapeutici mediati da software, con una specifica indicazione terapeutica e progettati per prevenire, gestire o trattare un disturbo medico o una malattia, modificando il comportamento del paziente al fine di migliorarne gli esiti clinici”.
Seguendo poi una terminologia del mondo pharma, si afferma che nelle terapie digitali il “principio attivo digitale” (riconducibile ad un algoritmo terapeutico) è il principale responsabile del risultato clinico, mentre gli “eccipienti digitali” (l’assistente virtuale, servizi di promemoria e sistemi di ricompensa) hanno il compito di garantire la migliore esperienza del paziente allo scopo di consentire un uso a lungo termine della terapia.
Lo stesso art. 1 definisce poi i campi di intervento per i quali possono essere utilizzate le DTx: malattie cardio-metaboliche, endocrinologia, diabetologia, neuroscienze e salute mentale, malattie respiratorie, aree riabilitative e oncologia.
Rimborsabilità delle terapie digitali
L’articolo 2 entra nel cuore del problema e si occupa della rimborsabilità, prevedendo l’istituzione di un comitato di valutazione (10 membri), il cui compito sarà quello di fornire indicazioni preliminari e orientative sulle DTx, nell’ottica di una loro immissione nel percorso di valutazione rapida HTA-fast track per l’inserimento nei livelli essenziali di assistenza (LEA), mentre l’articolo 3 (strettamente collegato all’art. 2) dispone l’istituzione, da parte dell’AGENAS di un Osservatorio Permanente sulle DTx, al fine di monitorare e aggiornare tempestivamente gli sviluppi scientifici e tecnologici delle suddette terapie.
Le terapie digitali da inserire nei LEA
L’art. 4 stabilisce infine che Agenas provvede a svolgere gli adempimenti di sua competenza ai fini dell’individuazione delle terapie digitali da inserire nei LEA, nell’ambito di un percorso dedicato e accelerato per le medesime terapie digitali. Si precisa che ai fini del suo inserimento nei LEA, è necessario che una DTx sia stata oggetto di almeno due studi clinici con evidenze di alta qualità.
Il quadro normativo di riferimento
Il disegno di legge Loizzo ha l’importante obiettivo di stabilire un iter specifico ed accelerato per la rimborsabilità delle DTx, senza il quale (con tutta probabilità) tale tipologia di terapia non è in grado di decollare.
Progettare e produrre una DTX comporta infatti un iter lungo e costoso; ne deriva che in carenza di un quadro chiaro sulla rimborsabilità le aziende difficilmente decidono di investire in questo settore.
Il quadro giuridico da rispettare è infatti piuttosto articolato.
Il Regolamento Ue 2017/745 (MDR)
In primo luogo, una DTx è giuridicamente qualificata come un dispositivo medico (cosiddetto Software as Medical Device – Samd). Per essere immesso sul mercato dovrà quindi rispettare oggi il reg. Ue 2017/745, o MDR, che prevede l’apposizione della apposita marcatura CE.
In particolare, ai fini della apposizione della marcatura CE, la progettazione del DTx dovrà rispettare tutti i pertinenti Requisiti Generali di Sicurezza e Prestazione (cosiddetto RGSP) di cui Allegato I del MDR: sotto questo profilo avranno particolare rilevanza oltre ai requisiti di sicurezza dati e di cybersecurity (Allegato I punto 17), anche i requisiti di “usabilità” della DTx (Allegato I punto 14.6) che mirano a valutare i rischi da caratteristiche ergonomiche inadeguate (allegato I punto 14.2) allo scopo di eliminare o ridurre i rischi connessi agli errori d’uso (paragrafo 3 c): è innegabile infatti che la DTx è utilizzata direttamente dal paziente e che quindi la sua efficacia clinica non può prescindere da una facile e corretta utilizzazione della DTx stessa.
Il rispetto poi degli RGSP deve essere poi provata attraverso specifici test di sicurezza e clinici, la creazione di un fascicolo tecnico (allegato II MDR) e la redazione di una Valutazione Clinica (art. 61 MDR) basata su dati clinici (art. 2 lett. 48); nello specifico tali dati clinici possono essere tratti dalla letteratura scientifica o, in carenza, da indagini cliniche appositamente svolte.
Molto spesso poi l’azienda che intende commercializzare la DTx (ad esempio l’azienda farmaceutica) non ha le competenze interne per realizzare il software e quindi commissiona la stessa Dtx ad un soggetto terzo (es una software house).
Sotto questo profilo appare indispensabile che le parti decidano chi acquisterà il ruolo di “fabbricante” ex MDR: il regolamento stabilisce che il soggetto che si qualifica sul mercato come Fabbricante (indipendentemente dalla circostanza che abbia realizzato personalmente o meno il dm – art. 2 lett. 30 MDR) assume la responsabilità giuridica della compliance del dispositivo al MDR stesso (art. 10), svolgendo altresì tutti i compiti previsti dopo l’immissione sul mercato che ricomprendono non solo la manutenzione e gli eventuali upgrade, ma altresì la sorveglianza post commercializzazione (art. 83 MDR), comprensiva del post marketing follow up (allegato XIV parte B) nonchè la vigilanza sul dm (art. 92 MDR).
Il soggetto che acquista il ruolo di fabbricante deve essere non solo tecnicamente ma anche contrattualmente in grado di svolgere queste attività.
Il Regolamento Ue 2024/1689 (AI Act)
È poi possibile che la DTx, per le sue funzionalità, rientri nell’ambito della nozione di Intelligenza artificiale (art. 3 lett. 1 AI Act)
In questo caso occorrerà sin da ora porsi il problema di applicare – oltre al MDR – anche il nuovo AI ACT, che acquista piena efficacia per gli AI Samd dal 2 agosto 2027 (che considerata la complessità del nuovo AI ACT è un tempo brevissimo)
I dati di progettazione ed allenamento dell’algoritmo
Un aspetto spesso trascurato è l’importanza di utilizzare in maniera corretta dati sanitari per la progettazione ed i test iniziali delle DTx: questo profilo è cruciale, poiché dati ottenuti ed utilizzati in modo illegittimo possono compromettere l’intero processo di sviluppo dell’app (art. 2-diecies del Codice Privacy).
Sotto questo profilo se nella fase iniziale vengono utilizzati dati provenienti da database nazionali, europei o internazionali appare essenziale prestare attenzione ai termini di licenza d’suo dei dati stessi.
Secondo la normativa comunitaria infatti (Dir. 96/9/CE), l’autore del database detiene diritti esclusivi riguardanti la riproduzione, distribuzione e adattamento dell’opera, nonché la restrizione dell’estrazione e del riutilizzo di una parte sostanziale del database. Pertanto, l’accesso ai dati deve avvenire secondo le modalità stabilite nella licenza, che deve specificare l’uso consentito e le eventuali sanzioni in caso di violazione.
Capita poi che l’accesso avvenga tramite licenze gratuite per fini di ricerca scientifica (escludendo l’uso commerciale) in questo caso se si vogliono utilizzare i dati per l’addestramento e la validazione di algoritmi per la realizzazione di un DTx sarà necessario negoziare specifiche licenze con il titolare del database per includere i risultati ottenuti nel software commerciale.
La protezione dei dati (GDPR)
È chiaro poi che un DTx utilizzata dai pazienti tratta i loro dati: ciò deve avvenire in conformità al Reg. UE 2016/679 (GDPR).
Sotto questo profilo ci sono diversi aspetti da considerare.
In primo luogo i profili di sicurezza dei dati: prescrizioni in tale senso all’Allegato I del MDR, nella MDGC 2029-16 sulla cybersecurity del dm e all’art. 15 dell’AI ACT.
In secondo luogo, è importante adottare una visione più ampia già dalla fase di progettazione, considerando che la DTx sarà integrata in un processo clinico gestito dalla struttura sanitaria: è necessario quindi rispettare i principi di privacy by design e by default (art. 25 del GDPR), considerando che le scelte progettuali devono tener conto del ruolo del DTx nella cura medica. Appare inoltre opportuno predisporre un documento contenente un’analisi del rischio sul trattamento dei dati e le misure di protezione, da consegnare alla struttura sanitaria per supportare la stessa nella Valutazione d’Impatto (art. 35 GDPR) e nella Valutazione di Impatto sui diritti (ex arrt. 27 Ai Act , se del caso).
Tutela autoriale e brevettuale della DTx
La DTx può poi essere soggetta a protezione per la sua innovatività.
In Italia, la protezione della proprietà intellettuale può avvenire attraverso il diritto d’autore e/o la tutela brevettuale.
Secondo la legge 633/1941, i “programmi per elaboratore” sono considerati opere letterarie. L’autore del programma (la software house) detiene diritti morali (non cedibili, compreso il diritto alla paternità) e diritti patrimoniali (cedibili, consentendo lo sfruttamento economico dell’opera). È quindi fondamentale valutare se la creazione della DTx presenta caratteri di originalità e come suddividere eventuali diritti patrimoniali.
Per quanto attiene alla eventuale tutela brevettuale, l’articolo 45, comma 2, lettera b) del Codice della proprietà industriale italiano esclude i programmi per elaboratore dalla brevettabilità. Tuttavia, l’Ufficio Europeo Brevetti (EPO) ha recentemente aggiornato le linee guida per includere la brevettabilità delle invenzioni che coinvolgono l’IA, note come “computer-implemented inventions” (CII). Affinchè un software sia brevettabile, deve essere parte di un’invenzione che soddisfi determinati requisiti: novità, originalità e applicazione industriale. L’interpretazione della Convenzione europea sui brevetti consente quindi all’EPO di autorizzare la brevettabilità di tecnologie basate sull’IA in vari settori, compresi i dispositivi medici.
Il titolare del brevetto avrà diritti di proprietà industriale per 20 anni dalla data di deposito.
Questa apertura dell’EPO si applica quindi ai software di IA e potrebbe riguardare anche le DTx, che per la loro funzione specifica possono includere moduli software qualificabili come intelligenza artificiale secondo il futuro Regolamento sull’IA. Anche questo aspetto dovrà essere valutato dalle parti, considerandone le implicazioni economiche.
