Sanità digitale

Trattamento dei dati personali e dispositivi medici: cosa cambia con le indicazioni del Garante Privacy

Inibizione all’accesso ai dati anagrafici e anamnestici quando non indispensabile, tracciabilità di ogni operazione di trattamento dati e società produttrici responsabili del trattamento: il Garante Privacy si è espresso sul DL che adegua l’Italia al regolamento UE sui dispositivi medici. I dettagli

Pubblicato il 05 Ago 2022

Filomena Polito

Responsabile Protezione Dati in ambito sanitario - Valutatore Privacy

L'evoluzione della telemedicina: gli obiettivi del PNRR nel 2024

Il Garante Privacy ha adottato nei mesi scorsi con il Provvedimento 189 un proprio parere sullo schema di decreto legislativo contenente le disposizioni per l’adeguamento della normativa nazionale al Regolamento (UE) 2017/745 sui dispositivi medici.

Il parere, di estremo interesse per il mondo della sanità, dove vengono costantemente introdotti nuovi sistemi per consentire il trattamento automatizzato di dati personali, è stato rilasciato a seguito della specifica richiesta del Dipartimento per gli affari giuridici e legislativi della Presidenza del Consiglio dei ministri.

Il Dipartimento ha chiesto di valutare sotto il profilo della rispondenza alle norme vigenti in materia di protezione dei dati personali lo schema di decreto predisposto in attuazione della delega legislativa conferita al Governo dall’articolo 15 della legge n. 53 del 2021.

Telemedicina, quando un software può essere qualificato dispositivo medico? I paletti del TAR

Infatti, con la legge “Delega al Governo per il recepimento delle direttive europee e l’attuazione di altri atti dell’Unione europea – Legge di delegazione europea 2019-2020”, è stato dato mandato al Governo di aggiornare e adeguare la disciplina nazionale dei dispositivi medici, allineandola e conformandola a quanto previsto dal Regolamento (UE) n. 2017/745, che modifica la Direttiva 2001/83/CE, i Regolamenti (CE) 178/2002 e 1223/ 2009 e abroga le Direttive 90/385/CEE e 93/42/CEE.

Cosa sono e come si distinguono i dispositivi medici

Ma cosa si intende per dispositivo medico? La risposta è data dall’articolo 1 del Decreto Legislativo 24 febbraio 1997, n. 46 “Attuazione della direttiva 93/42/CEE concernente i dispositivi medici”, entrato in vigore nel lontano 21 marzo del 1997 e aggiornato, in ultimo, nel maggio del 2019.

La lettera a) del secondo paragrafo di tale articolo definisce quale dispositivo medico “…qualunque strumento, apparecchio, impianto, software, sostanza o altro prodotto, utilizzato da solo o in combinazione, compreso il software destinato dal fabbricante a essere impiegato specificamente con finalità diagnostiche o terapeutiche e necessario al corretto funzionamento del dispositivo, destinato dal fabbricante a essere impiegato sull’uomo a fini di:

  • diagnosi, prevenzione, controllo, terapia o attenuazione di una malattia;
  • diagnosi, controllo, terapia, attenuazione o compensazione di una ferita o di un handicap;
  • studio, sostituzione o modifica dell’anatomia o di un processo fisiologico;
  • intervento sul concepimento, il quale prodotto non eserciti l’azione principale, nel o sul corpo umano, cui è destinato, con mezzi farmacologici o immunologici né mediante processo metabolico ma la cui funzione possa essere coadiuvata da tali mezzi”.

La normativa vigente assegna al Ministero della Salute, a titolo di Autorità competente, il compito di coordinare la vigilanza e il monitoraggio sulla circolazione dei Dispositivi medici che, facendo seguito alle indicazioni della normativa comunitaria, sono distinti in tre categorie:

  1. i dispositivi medici in genere, regolati dalla Direttiva 93/42/CEE ed in ambito nazionale dal decreto legislativo 24 febbraio 1997, n. 46;
  2. i dispositivi medici impiantabili attivi, regolati dalla Direttiva 90/385/CEE ed in ambito nazionale dal decreto legislativo 14 dicembre 1992, n. 507;
  3. i dispositivi diagnostici in vitro, regolati dalla Direttiva 98/79/CE ed in ambito nazionale dal decreto legislativo 8 settembre 2000, n.332.

Il Ministero della Salute ha costituito quattro specifici uffici presso la Direzione generale dei farmaci e dispositivi medici, per assolvere a tale citato compito, di estrema rilevanza in particolare per quanto riguarda i dispositivi medici impiantabili attivi e diagnostici in vitro), a cui appartengono la maggior parte dei prodotti reperibili sul mercato.

Perché è stato chiesto il parere del Garante Privacy

Fra i dispositivi medici ce ne sono alcuni di maggiore criticità sotto il piano della protezione dei dati personali, come a titolo di mero esempio, i c.d. “dispositivi su misura”, che sono destinati ad essere utilizzati solo per un determinato paziente, o gli strumenti, software compresi, destinati a fornire informazioni riguardanti la diagnosi, anche precoce, il controllo o il trattamento di stati fisiologici o di stati di salute o a sostenere o modificare le funzioni o le strutture biologiche della persona.

Questi dispositivi, quindi, sono coinvolti in attività di trattamento che devono essere disciplinate ai sensi del Regolamento UE 2016/679.

Per tale motivo il Ministero della Salute ha chiesto all’Autorità Garante Privacy di formulare il parere, adottato ai sensi del paragrafo 4 (“Gli Stati membri consultano l’autorità di controllo durante l’elaborazione di una proposta di atto legislativo che deve essere adottato dai parlamenti nazionali o di misura regolamentare basata su detto atto legislativo”) dell’articolo 36.

In particolare, lo schema di decreto legislativo oggetto di parere è stato predisposto anche per disporre l’abrogazione (differita per alcune disposizioni) del decreto legislativo 502/92, e del decreto legislativo 46/97, recante attuazione della Direttiva 93/42/CEE, concernente i dispositivi medici e, tra l’altro per assicurare l’efficientamento dei procedimenti di acquisto dei dispositivi medici tramite articolazione e rafforzamento delle funzioni di Health Technology Assessment (HTA), e della disciplina sul trattamento di dati personali.

Tale adeguamento, in particolare, si è reso necessario visto che il Regolamento 2017/745 è stato adottato recando riferimenti alla sola Direttiva 95/46/CE, cioè senza aver recepito le misure del Regolamento 679 del 2016 relativamente alla tutela delle persone fisiche con riguardo al trattamento dei dati personali.

Come si è espresso il Garante Privacy

Lo schema di decreto legislativo esaminato non presenta, a parere dell’Autorità, particolari criticità né disposizioni disallineate sotto il profilo della protezione dati rispetto a quanto sancito dal Regolamento 2017/745, ma deve essere adeguato alla disciplina vigente in materia di protezione dei dati personali, e pertanto lo stesso Garante ha indicato le integrazioni da apportare per garantire la protezione dei dati personali.

In particolare, viene evidenziata l’opportunità di introdurre, all’interno del provvedimento, alcune misure ulteriori per la riservatezza dei pazienti che si avvalgono di dispositivi medici, tali da scongiurare o, quantomeno, minimizzare il rischio di accessi indebiti ai loro dati, secondo modalità che il Garante ha avuto modo di accertare nell’ambito di alcune attività di controllo svolte sul tema.

In tal senso, il criterio di delega di cui all’articolo 15, c.2, lett. g) della citata legge n. 53 del 2021

ha espressamente disposto che sia necessario “…adeguare i trattamenti di dati personali effettuati in applicazione del regolamento (UE) 2017/745 e del regolamento (UE) 2017/746 alle disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, e alla normativa vigente in materia di tutela dei dati personali e sensibili”.

Per tale ragione il Garante, che ha rilasciato parere positivo, ritiene altresì che sia necessario disporre per legge che, nell’ambito delle attività funzionali alla fornitura o manutenzione dei dispositivi medici:

debba essere inibito l’accesso ai dati anagrafici e anamnestici del paziente, salva che questo sia indispensabile per l’erogazione del servizio di manutenzione e telediagnosi/teleintervento;

-ogni operazione di trattamento dei dati personali sia oggetto di apposito tracciamento;

la società produttrice del dispositivo medico debba essere designata quale Responsabile del trattamento, ai sensi dell’articolo 28 del Regolamento 2016/679, relativamente alle attività di controllo della funzionalità dell’apparecchiatura anche a distanza svolta per conto del titolare, anche per le mere attività di manutenzione e assistenza tecnica.

Conclusioni

Una serie di accertamenti ha evidenziato il mancato corretto allineamento delle modalità di trattamento dei dati personali, svolte avvalendosi di dispositivi medici, con la relativa disciplina vigente.

L’Autorità ha quindi fornito al legislatore, ma già a tutti gli attori del sistema sanitario, una serie di indicazioni essenziali per assicurare il corretto uso di strumenti essenziali a supporto della salute degli interessati.

Indicazioni delle quali i Titolari del trattamento dovranno far tesoro, conformando al riguardo il proprio sistema aziendale privacy.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

EU Stories - La coesione innova l'Italia

Tutti
Analisi
Video
Iniziative
Social
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati