App sanitarie: l’UE stabilisce regole chiare per maggiore sicurezza e trasparenza

In un mondo sempre più digitalizzato, anche il settore della salute va di pari passo con l’innovazione tecnologica. Attraverso l’utilizzo di un semplice smartphone, i servizi sanitari e i dati personali possono essere monitorati e gestiti, offrendo agli utenti un controllo diretto e costante sul proprio benessere fisico. Questo fenomeno è trainato dalle app sanitarie – nel lessico specialistico mHealth (mobile health) – un segmento di mercato che sta crescendo in modo esponenziale. I dati parlano chiaro: il mercato delle app mHealth in Europa dovrebbe raggiungere un fatturato previsto di 24.396,8 milioni di dollari USA entro il 2030, con un tasso di crescita annuale composto del 15,2% dal 2025 al 2030.

Queste app coprono una vasta gamma di servizi: dalla consultazione medica a distanza al monitoraggio di parametri vitali, fino alla gestione delle patologie croniche. A tal proposito, lo studio Public perceptions and engagement in mHealth: a European survey on attitudes toward health apps use and data sharing rivela un quadro complesso di opportunità e rischi. L’indagine, che ha coinvolto un vasto campione europeo, delinea un crescente interesse verso queste tecnologie: il 21.87% dei rispondenti utilizza correntemente app sanitarie, mentre un ulteriore 42.71% si dichiara interessato a un eventuale utilizzo futuro. La disponibilità alla condivisione dei dati è significativa, con il 52.82% degli intervistati pronto a condividere informazioni sul proprio stato di salute direttamente con i fornitori di servizi sanitari e il 25.48% con istituzioni di ricerca pubbliche e private. Al tempo stesso, l’indagine evidenzia profonde criticità: il 72.34% dei partecipanti teme un uso improprio dei dati personali, e il63.68% esprime allarme per il rischio di hacking. È proprio su questi dubbi e interrogativi che l’Unione Europea sta intervenendo dal punto di vista normativo con tutta una serie di provvedimenti legislativi, ponendosi quale garante della salute e della sicurezza dei cittadini europei.

Un pilastro fondamentale in questo senso è rappresentato dal Regolamento comunitario sui Dispositivi Medici (MDR – UE 2017/745) . In vigore dal 26 maggio 2017 e normativamente operativo a partire dal 26 maggio 2021, il MDR – direttamente applicabile in tutti gli Stati membri senza la necessità di un recepimento nel diritto interno tramite atti legislativi nazionali – ha abrogato sia le precedenti direttive europee in materia sia i Decreti legislativi n. 507/92 e n. 46/97.

L’obiettivo generale del regolamento consiste nel disciplinare il sistema dei dispositivi medici, prendendo in considerazione gli sviluppi del settore negli ultimi vent’anni, con l’obiettivo di garantire, afferma la stessa direttiva, “un quadro normativo solido, sostenibile, con procedure trasparenti e idoneo a mantenere un elevato livello di sicurezza, favorendo allo stesso tempo l’innovazione”. 

La necessità di aggiornare la normativa di settore deriva dall’esigenza di assicurare, attraverso un’armonizzazione legislativa, il buon funzionamento del mercato interno dell’Unione, aumentando sia gli standard di qualità che, soprattutto, quelli relativi alla sicurezza. Difatti, molte applicazioni che svolgono una funzione medica, come quelle che offrono diagnosi o monitorano parametri vitali, sono ora classificate come dispositivi medici. Di conseguenza, prima di essere immesse e commercializzate sul mercato, devono essere sottoposte a valutazioni di conformità che, come nel caso dei dispositivi medici tradizionali, ne attestino e garantiscano con certezza la validità clinica e la sicurezza. In sintesi, questo regolamento è stato ideato al fine di garantire che l’efficacia e l’affidabilità di queste app siano conformi ai parametri scientifici, tutelando direttamente la salute dei consumatori.

Il retroterra normativo di questo provvedimento fa riferimento ad un’altra pietra angolare in materia di protezione dei dati riguardanti la salute pubblica: lo Spazio Europeo dei Dati Sanitari (EHDS) , che rappresenta il primo spazio comune dei dati dedicato ad un settore specifico nell’ambito della strategia europea per i dati. Pubblicato nella Gazzetta Ufficiale il 5 Marzo 2025 ed entrato in vigore il 26 marzo dello stesso anno, il regolamento crea un ecosistema unico a livello continentale finalizzato all’uso e alla condivisione dei dati sanitari elettronici in tutta l’Unione Europea, con due obiettivi fondamentali. Il primo intende democratizzare il controllo dei dati digitali, dando ai cittadini europei la possibilità di accedere, verificare e condividere i propri dati digitali con i professionisti sanitari in qualsiasi Stato membro dell’UE. In questo modo, si promuoverebbero politiche improntate all’equità, facilitando la continuità delle cure. Il secondo obiettivo consiste nel riutilizzo sicuro dei dati per fini di ricerca scientifica e innovazione, utilizzando informazioni anonimizzate o pseudo-anonimizzate per lo sviluppo di nuove terapie e, quindi, per il progresso della ricerca scientifica. Inoltre, il regolamento istituisce un quadro giuridico e tecnico armonizzato per i sistemi di cartelle cliniche elettroniche, stimolando l’interoperabilità tra i diversi Stati e garantendo il buon funzionamento del mercato interno.

Lo Spazio Europeo dei Dati Sanitari va ad integrare un sistema di regolamenti già esistenti, creando una rete multilivello a tutela dei diritti riguardanti la salute pubblica. In questo senso, il Regolamento generale sulla protezione dei dati (GDPR – UE 2016/679) , parte della riforma della protezione dei dati dell’Unione Europea e in vigore dal 2018, si impone come la norma gerarchicamente primaria in termini di fonti del diritto per il trattamento dei dati personali. In ottemperanza a questo regolamento, le app sanitarie come mHealth devono rispettare i principi di privacy by design, ovvero l’integrazione della protezione dei dati fin dalla progettazione, e richiedere un consenso esplicito e informato per il trattamento dei dati sensibili, garantendo che gli utenti sappiano sempre come e per quali fini le loro informazioni vengono utilizzate.

A ciò si aggiunge la recente approvazione da parte del Parlamento Europeo dell’AI Act (Regolamento UE 2024/1689), in vigore dal 13 marzo 2024 e parte di un pacchetto più ampio di provvedimenti che si muovono nella direzione di un’intelligenza artificiale affidabile ed improntata al principio human-in-the-loop. Difatti, l’AI Act stabilisce norme etiche per un utilizzo antropocentrico dell’intelligenza artificiale, in particolare in contesti ad alto rischio come quello medico. Considerato il primo quadro giuridico a livello mondiale in materia di intelligenza artificiale, il regolamento stabilisce una serie di norme basate sul criterio del rischio – classificato in minimo o nullo, limitato, elevato e inaccettabile – per gli sviluppatori e i deployer di IA per quanto riguarda gli usi specifici della stessa. Nello specifico, i sistemi di intelligenza artificiale in ambito medico vengono classificati come ad “alto rischio”. Per esempio, un’applicazione che usa l’IA per fare una diagnosi sulla base di un’analisi di sintomi rientrerebbe in questa categoria. Da qui gli obblighi stringenti imposti agli sviluppatori in termini di trasparenza e controllo umano, per assicurare che le decisioni automatizzate non mettano a rischio la salute dei pazienti.

In conclusione, l’era della sanità digitale, guidata dalla diffusione esponenziale di applicazioni mHealth, segna una tappa decisiva nel modo in cui i cittadini interagiscono con il proprio benessere fisico e mentale. Questo cambiamento, sebbene offra opportunità senza precedenti per l’auto monitoraggio della propria salute, la consultazione a distanza e la gestione delle patologie croniche, solleva anche interrogativi complessi, in particolare riguardo alla sicurezza dei dati e all’affidabilità delle tecnologie. Ogni nuova app, ogni dispositivo connesso, ogni flusso di dati condivisi rappresenta infatti un potenziale punto di ingresso per minacce cyber sempre più sofisticate. I dati sanitari, per loro natura estremamente sensibili e di valore elevato nel mercato nero digitale, diventano obiettivi privilegiati per cybercriminali, ransomware e attacchi di ingegneria sociale.

Il panorama normativo che l’Unione Europea sta costruendo non rappresenta quindi solo una risposta alle opportunità dell’innovazione, ma soprattutto una necessaria protezione contro rischi emergenti che evolvono parallelamente al progresso tecnologico. La regolamentazione diventa così lo strumento chiave per bilanciare innovazione e sicurezza, stabilendo standard minimi di protezione che fungano da barriera contro le minacce cyber. In questo contesto, la consapevolezza del rischio non può più essere considerata un aspetto marginale, ma deve diventare parte integrante della strategia di ogni organizzazione che opera nell’ecosistema sanitario digitale.

Se questo articolo è stato di tuo interesse ma non sei ancora abbonato a NT+ Diritto approfittane subito,prova 1 mese da € 4,90!Scopri di più