Al via il Data Act, nuove regole sui dati e implicazioni per il settore sanitario

Lo scorso 12 settembre, il Regolamento (UE) 2023/2854 – meglio noto come Data Act – è divenuto applicabile in tutta l’Unione Europea, con l’eccezione di un numero limitato di disposizioni che produrranno effetti successivamente.

Il Regolamento rappresenta uno dei pilastri della European Data Strategy con cui l’UE intende promuovere l’innovazione e rafforzare il mercato dei dati, rendendolo più competitivo e affermando la propria leadership nell’attuale scenario socio-economico incentrato sui dati.

Tali obiettivi sono perseguiti favorendo la disponibilità dei dati. Vengono rafforzati i diritti degli utenti, siano essi consumatori o imprese, garantendo loro un maggiore controllo sui dati generati dai dispositivi connessi (i cosiddetti Internet of Things) e consentendo un passaggio più agevole tra diversi fornitori di servizi cloud.

Pur imponendo nuovi obblighi, il Data Act rappresenta una grande opportunità per le imprese, a cui permette di utilizzare dati messi a disposizione da altre aziende – anche concorrenti – per sviluppare nuovi prodotti e servizi.

Sebbene si tratti di una normativa trasversale, alcuni settori – caratterizzati da un’ampia diffusione di dispositivi connessi – saranno particolarmente impattati dalle novità introdotte. Ci si riferisce soprattutto ai settori dell’automotive, dei macchinari industriali, degli elettrodomestici intelligenti, dei dispositivi medici e dei wearable device nonché al mercato del cloud e dei servizi digitali.

In questo articolo ci concentreremo sulle implicazioni che il nuovo Regolamento avrà sul settore sanitario, in particolare quello dei dispositivi medici connessi.

Il cuore del Data Act riguarda l’obbligo di mettere i dati generati o raccolti dai dispositivi connessi a disposizione degli utenti e dei terzi da loro scelti. Di norma, tale obbligo grava sul fabbricante del dispositivo ma non sempre è così, ricadendo sul “data holder” ossia il soggetto che detiene il controllo sull’accesso ai dati prontamente disponibili del dispositivo.

Quest’obbligo comporta un importante cambio di paradigma per il settore sanitario. I dispositivi medici digitali generano quotidianamente enormi quantità di dati, spesso cruciali per monitorare le terapie e migliorare la qualità dell’assistenza. Con il Data Act, queste informazioni non restano più confinate nei sistemi proprietari di fabbricanti o fornitori di servizi ma vengono rese accessibili ai pazienti e, su loro richiesta, al personale sanitario, ad aziende che forniscono servizi connessi o ad altri soggetti designati dai pazienti. Si apre perciò la possibilità di ottenere un accesso più diretto e strutturato ai dati dei pazienti, favorendo l’integrazione delle informazioni provenienti da diversi dispositivi e l’evoluzione di servizi di telemedicina e assistenza domiciliare più efficienti.

D’altra parte, alcuni operatori del settore evidenziano preoccupazioni rispetto ai possibili rischi che i pazienti potrebbero correre accedendo a dati che non sono in grado di interpretare (ad esempio, i dati in forma grezza sui propri paramenti vitali) o che non sono definitivi e accurati e in base a cui potrebbero prendere decisioni mediche errate.

Le ricadute pratiche sono molteplici. In primo luogo, i produttori di dispositivi medici digitali e di altri dispositivi connessi dovranno garantire che i prodotti immessi sul mercato europeo siano progettati per consentire la condivisione dei dati con gli utenti e con terzi da essi designati.

Il Data Act lascia una certa flessibilità sulle modalità di accesso poiché i dati non devono necessariamente essere resi disponibili in modo diretto. L’accesso da parte degli utenti deve comunque essere gratuito, mentre ai terzi potrà essere richiesto un corrispettivo purché equo, ragionevole e non discriminatorio.

Bisogna considerare che le misure adottate per consentire l’accesso ai dati potrebbero comportare una “modifica significativa” ai sensi del Regolamento europeo sui dispositivi medici e la conseguente necessità di una nuova valutazione della conformità e certificazione del dispositivo, con notevoli costi aggiuntivi.

Inoltre, il Regolamento stabilisce regole precise sui rapporti con utenti e imprese, imponendo che i contratti di condivisione dei dati contengano clausole minime e dichiarando vessatorie alcune previsioni contrattuali per proteggere da possibili abusi degli operatori con forte potere di mercato. Le imprese sono dunque chiamate ad aggiornare i contratti per disciplinare i diritti e gli obblighi introdotti dal Data Act.

Il Data Act prevede alcune limitate eccezioni agli obblighi di condivisione dei dati, una delle quali riguarda i segreti commerciali. Pur non escludendone l’obbligo di condivisione, il Regolamento garantisce che la tutela conferita a tali informazioni sia preservata.

Il Data Act non introduce una definizione autonoma di “segreto commerciale” ma rimanda a quella già contenuta nella normativa vigente: un’informazione che i) è segreta nel senso che non è, nel suo insieme o nella precisa configurazione e combinazione dei suoi elementi, generalmente nota o facilmente accessibile a persone che normalmente si occupano di quel tipo di informazioni; ii) ha un valore commerciale in quanto segreta; e iii) è stata sottoposta a misure ragionevoli finalizzate a mantenerla segreta.

Il Regolamento richiede che, prima della condivisione, i segreti commerciali siano identificati e vengano adottate misure per tutelarne la riservatezza (rigorosi protocolli di accesso alle informazioni, standard tecnici adeguati, accordi di riservatezza, ecc.). Il data holder può evitare la condivisione dei segreti commerciali in caso di mancato accordo, col soggetto che deve riceverli, sulle misure necessarie a garantirne la segretezza o ove tali misure non siano attuate. Tale decisione dovrà essere comunicata all’utente e all’autorità competente.

Inoltre, in “circostanze eccezionali”, il data holder può rifiutare una richiesta di condivisione di dati che contengano segreti commerciali, purché dimostri che, malgrado le misure tecniche e organizzative adottate dall’utente, è altamente probabile che la divulgazione dei segreti commerciali determini un grave danno economico, ossia “perdite economiche gravi e irreparabili”. Anche in tal caso, il rifiuto deve essere debitamente motivato in base a elementi oggettivi e comunicato all’utente e all’autorità competente.

La precondizione per invocare il regime di protezione sopra descritto è dunque l’identificazione preventiva dei dati classificabili come segreti commerciali.

Restano da chiarire alcuni aspetti cruciali come la designazione dell’autorità competente da parte di ciascuno stato membro e la definizione del quadro sanzionatorio in caso di violazione degli obblighi del Data Act.

Per adeguarsi, le imprese devono adottare un approccio proattivo e strutturato alla gestione dei dati, valutando con attenzione l’impatto della nuova disciplina sui processi interni e sul modello di business. È necessario coniugare conformità normativa e protezione della proprietà intellettuale, evitando che l’obbligo di condivisione si traduca in una perdita di vantaggio competitivo. Un passo cruciale è rappresentato dall’implementazione di un solido sistema di data governance, capace di distinguere tra dati esclusi dagli obblighi e dati soggetti a condivisione, nonché di individuare modalità e strumenti adeguati per renderli accessibili. Occorre inoltre predisporre misure tecniche e organizzative idonee a salvaguardare i segreti commerciali, vincolando a tali standard anche i destinatari dei dati.

Per il settore dei dispositivi medici connessi e per quello sanitario in generale le opportunità e le sfide sono ancor più importanti: il paziente assume un ruolo centrale, avendo la possibilità di gestire l’accesso ai dati generati dai propri dispositivi. Ciò potrebbe accelerare l’innovazione e migliorare la qualità delle cure ma richiede anche investimenti tecnologici e nella cybersicurezza, adeguamenti contrattuali e un modello di data governance solido, che tenga anche conto dei rischi che i pazienti gestiscano autonomamente dati che potrebbero non essere in grado di interpretare.

_______

*Cristina Criscuoli e Chiara D’Onofrio, DLA Piper

Se questo articolo è stato di tuo interesse ma non sei ancora abbonato a NT+ Diritto approfittane subito,prova 1 mese da € 4,90!Scopri di più