Il Garante Privacy ha adottato nei mesi scorsi con il Provvedimento 189 un proprio parere sullo schema di decreto legislativo contenente le disposizioni per l’adeguamento della normativa nazionale al Regolamento (UE) 2017/745 sui dispositivi medici.
Il parere, di estremo interesse per il mondo della sanità, dove vengono costantemente introdotti nuovi sistemi per consentire il trattamento automatizzato di dati personali, è stato rilasciato a seguito della specifica richiesta del Dipartimento per gli affari giuridici e legislativi della Presidenza del Consiglio dei ministri.
Il Dipartimento ha chiesto di valutare sotto il profilo della rispondenza alle norme vigenti in materia di protezione dei dati personali lo schema di decreto predisposto in attuazione della delega legislativa conferita al Governo dall’articolo 15 della legge n. 53 del 2021.
Telemedicina, quando un software può essere qualificato dispositivo medico? I paletti del TAR
Infatti, con la legge “Delega al Governo per il recepimento delle direttive europee e l’attuazione di altri atti dell’Unione europea – Legge di delegazione europea 2019-2020”, è stato dato mandato al Governo di aggiornare e adeguare la disciplina nazionale dei dispositivi medici, allineandola e conformandola a quanto previsto dal Regolamento (UE) n. 2017/745, che modifica la Direttiva 2001/83/CE, i Regolamenti (CE) 178/2002 e 1223/ 2009 e abroga le Direttive 90/385/CEE e 93/42/CEE.
Cosa sono e come si distinguono i dispositivi medici
Ma cosa si intende per dispositivo medico? La risposta è data dall’articolo 1 del Decreto Legislativo 24 febbraio 1997, n. 46 “Attuazione della direttiva 93/42/CEE concernente i dispositivi medici”, entrato in vigore nel lontano 21 marzo del 1997 e aggiornato, in ultimo, nel maggio del 2019.
La lettera a) del secondo paragrafo di tale articolo definisce quale dispositivo medico “…qualunque strumento, apparecchio, impianto, software, sostanza o altro prodotto, utilizzato da solo o in combinazione, compreso il software destinato dal fabbricante a essere impiegato specificamente con finalità diagnostiche o terapeutiche e necessario al corretto funzionamento del dispositivo, destinato dal fabbricante a essere impiegato sull’uomo a fini di:
- diagnosi, prevenzione, controllo, terapia o attenuazione di una malattia;
- diagnosi, controllo, terapia, attenuazione o compensazione di una ferita o di un handicap;
- studio, sostituzione o modifica dell’anatomia o di un processo fisiologico;
- intervento sul concepimento, il quale prodotto non eserciti l’azione principale, nel o sul corpo umano, cui è destinato, con mezzi farmacologici o immunologici né mediante processo metabolico ma la cui funzione possa essere coadiuvata da tali mezzi”.
La normativa vigente assegna al Ministero della Salute, a titolo di Autorità competente, il compito di coordinare la vigilanza e il monitoraggio sulla circolazione dei Dispositivi medici che, facendo seguito alle indicazioni della normativa comunitaria, sono distinti in tre categorie:
- i dispositivi medici in genere, regolati dalla Direttiva 93/42/CEE ed in ambito nazionale dal decreto legislativo 24 febbraio 1997, n. 46;
- i dispositivi medici impiantabili attivi, regolati dalla Direttiva 90/385/CEE ed in ambito nazionale dal decreto legislativo 14 dicembre 1992, n. 507;
- i dispositivi diagnostici in vitro, regolati dalla Direttiva 98/79/CE ed in ambito nazionale dal decreto legislativo 8 settembre 2000, n.332.
Il Ministero della Salute ha costituito quattro specifici uffici presso la Direzione generale dei farmaci e dispositivi medici, per assolvere a tale citato compito, di estrema rilevanza in particolare per quanto riguarda i dispositivi medici impiantabili attivi e diagnostici in vitro), a cui appartengono la maggior parte dei prodotti reperibili sul mercato.
Perché è stato chiesto il parere del Garante Privacy
Fra i dispositivi medici ce ne sono alcuni di maggiore criticità sotto il piano della protezione dei dati personali, come a titolo di mero esempio, i c.d. “dispositivi su misura”, che sono destinati ad essere utilizzati solo per un determinato paziente, o gli strumenti, software compresi, destinati a fornire informazioni riguardanti la diagnosi, anche precoce, il controllo o il trattamento di stati fisiologici o di stati di salute o a sostenere o modificare le funzioni o le strutture biologiche della persona.
Questi dispositivi, quindi, sono coinvolti in attività di trattamento che devono essere disciplinate ai sensi del Regolamento UE 2016/679.
Per tale motivo il Ministero della Salute ha chiesto all’Autorità Garante Privacy di formulare il parere, adottato ai sensi del paragrafo 4 (“Gli Stati membri consultano l’autorità di controllo durante l’elaborazione di una proposta di atto legislativo che deve essere adottato dai parlamenti nazionali o di misura regolamentare basata su detto atto legislativo”) dell’articolo 36.
In particolare, lo schema di decreto legislativo oggetto di parere è stato predisposto anche per disporre l’abrogazione (differita per alcune disposizioni) del decreto legislativo 502/92, e del decreto legislativo 46/97, recante attuazione della Direttiva 93/42/CEE, concernente i dispositivi medici e, tra l’altro per assicurare l’efficientamento dei procedimenti di acquisto dei dispositivi medici tramite articolazione e rafforzamento delle funzioni di Health Technology Assessment (HTA), e della disciplina sul trattamento di dati personali.
Tale adeguamento, in particolare, si è reso necessario visto che il Regolamento 2017/745 è stato adottato recando riferimenti alla sola Direttiva 95/46/CE, cioè senza aver recepito le misure del Regolamento 679 del 2016 relativamente alla tutela delle persone fisiche con riguardo al trattamento dei dati personali.
Come si è espresso il Garante Privacy
Lo schema di decreto legislativo esaminato non presenta, a parere dell’Autorità, particolari criticità né disposizioni disallineate sotto il profilo della protezione dati rispetto a quanto sancito dal Regolamento 2017/745, ma deve essere adeguato alla disciplina vigente in materia di protezione dei dati personali, e pertanto lo stesso Garante ha indicato le integrazioni da apportare per garantire la protezione dei dati personali.
In particolare, viene evidenziata l’opportunità di introdurre, all’interno del provvedimento, alcune misure ulteriori per la riservatezza dei pazienti che si avvalgono di dispositivi medici, tali da scongiurare o, quantomeno, minimizzare il rischio di accessi indebiti ai loro dati, secondo modalità che il Garante ha avuto modo di accertare nell’ambito di alcune attività di controllo svolte sul tema.
In tal senso, il criterio di delega di cui all’articolo 15, c.2, lett. g) della citata legge n. 53 del 2021
ha espressamente disposto che sia necessario “…adeguare i trattamenti di dati personali effettuati in applicazione del regolamento (UE) 2017/745 e del regolamento (UE) 2017/746 alle disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, e alla normativa vigente in materia di tutela dei dati personali e sensibili”.
Per tale ragione il Garante, che ha rilasciato parere positivo, ritiene altresì che sia necessario disporre per legge che, nell’ambito delle attività funzionali alla fornitura o manutenzione dei dispositivi medici:
–debba essere inibito l’accesso ai dati anagrafici e anamnestici del paziente, salva che questo sia indispensabile per l’erogazione del servizio di manutenzione e telediagnosi/teleintervento;
-ogni operazione di trattamento dei dati personali sia oggetto di apposito tracciamento;
– la società produttrice del dispositivo medico debba essere designata quale Responsabile del trattamento, ai sensi dell’articolo 28 del Regolamento 2016/679, relativamente alle attività di controllo della funzionalità dell’apparecchiatura anche a distanza svolta per conto del titolare, anche per le mere attività di manutenzione e assistenza tecnica.
Conclusioni
Una serie di accertamenti ha evidenziato il mancato corretto allineamento delle modalità di trattamento dei dati personali, svolte avvalendosi di dispositivi medici, con la relativa disciplina vigente.
L’Autorità ha quindi fornito al legislatore, ma già a tutti gli attori del sistema sanitario, una serie di indicazioni essenziali per assicurare il corretto uso di strumenti essenziali a supporto della salute degli interessati.
Indicazioni delle quali i Titolari del trattamento dovranno far tesoro, conformando al riguardo il proprio sistema aziendale privacy.
