App mediche e normativa – Una difficile relazione, soprattutto in Italia

A cura di:Redazione Ore

Le App che si scaricano su smartphone o tablet possono essere di natura medica. Quale legislazione si Applica a questi strumenti, il cui mercato è in continua crescita? Anzitutto, occorre tener conto della normativa privacy, che si Applica anche ai dati processati tramite App. Inoltre, se le App effettuano determinate funzioni, possono essere ritenute un dispositivo medico e richiedono il marchio “CE”

LE APP MEDICHE SONO ENTRATE STABILMENTE NELLA VITA DI MEDICI E PAZIENTI

Un mercato in crescita

L’idea di gestire su un dispositivo mobile un software con funzione medica non è nuova e, anzi, se ne parla fin dal 1996. Il fenomeno ha, tuttavia, assunto proporzioni esplosive negli ultimi anni grazie all’enorme diffusione delle App su smartphone e tablet, sia fra operatori sanitari che fra pazienti. non è agevole individuare il perimetro delle App mediche, poiché vi rientra una considerevole varietà di tipologie di software e Applicativi, utilizzabili o meno con dispositivi hardware (quali sensori e rilevatori di parametri corporei), che – pur con modalità diverse – hanno funzioni mediche, sanitarie, o più semplicemente relative al benessere psico-fisico della persona. Il dato certo è che la diffusione di questo tipo di App è assai considerevole, come confermano le circa 97.000 App mediche in vendita in 62 App stores in tutto il mondo, che paiono destinate ad aumentare ulteriormente nei prossimi anni. E i produttori di hardware non si tirano indietro: basti pensare che il nuovo smartphone Gear 2 neo by Samsung, lanciato sul mercato l’11 aprile 2014 da Samsung in 125 paesi, incorpora un sensore di rilevazione del battito cardiaco.

Un rapporto difficile con la normativa esistente

Le App mediche devono confrontarsi con una normativa di settore particolarmente restrittiva e spesso non aggiornata agli ultimi sviluppi tecnologici. Le maggiori criticità delle App si rinvengono in particolare nei rapporti con la legislazione in materia di protezione dei dati personali e quella in materia di dispositivi medici. Il dato di maggior rilievo non è tuttavia un quadro normativo particolarmente complicato, ma piuttosto la scarsa consapevolezza dell’esistenza di tale quadro normativo e dei requisiti regolamentari Applicabili alle App da parte di molti operatori del settore, inclusi gli sviluppatori delle App, i pazienti ed i medici che le utilizzano.

La posizione delle Autorità

Che cosa pensano le autorità di questo fenomeno? Secondo la Commissione Europea, le App mediche hanno un enorme potenziale positivo, ma nella realtà offrono poca trasparenza. La Commissione Europea ha espresso commenti fortemente positivi sulle App mediche, che potrebbero contribuire a creare “servizi sanitari più intelligenti, sicuri e incentrati sul paziente”, ma anche a consentire agli Stati Membri qualche margine di risparmio sui loro bilanci nel settore della sanità. Il forte empowerment del paziente che le App consentono è visto con favore poiché è in grado di mettere il paziente in condizione di gestire consapevolmente la propria salute e il proprio benessere (“putting patients in the driving seat”), ma purtroppo la realtà del mercato delle App non offre al paziente un livello di trasparenza adeguato. Di recente, la Commissione ha, infatti, rilevato come esistano gravi rischi connessi alle App: l’informazione rivolta ai consumatori non è chiara, i contatti del fornitore non sono facilmente rintracciabili, l’uso del termine “free” è spesso fuorviante. Anche l’Autorità Garante della Concorrenza e del Mercato italiana nel maggio 2014 ha aperto un’istruttoria nei confronti di due società del gruppo Google, di Itunes, la filiale di Apple che gestisce gli iTunes store in Europa, di Amazon e Gameloft, società che sviluppa e pubblica videogiochi scaricabili da Internet, in merito alle App che Appaiono gratuite ai consumatori e che invece richiedono acquisti successivi per poter continuare a giocare.

LA NORMATIVA PRIVACY

Preoccupazioni espresse dalle Autorità garanti della protezione dei dati

Le App mediche trattano dati personali o dati anonimi? La risposta a questa domanda dipende dalla specifica App e dalla sua capacità di processare informazioni personali attraverso le API (“Application Programming Interfaces”), i sensori e gli altri network connessi con il telefono cellulare. Secondo il Parere dell’“Article 29 Data Protection Working Party”, il gruppo consultivo dei Garanti europei, esistono gravi rischi privacy derivanti dall’uso delle App, resi ancora più gravi dal fatto che, a causa della stretta interazione con i sistemi operativi, le App sono in grado di raccogliere molti più dati di quelli raccolti tramite un browser internet tradizionale (quali, per esempio, dati di localizzazione, dati provenienti da sensori diversi, dati salvati dall’utente sul dispositivo). Il Parere inoltre rileva come la situazione sia resa complicata dalla frammentazione degli operatori del settore (sviluppatori di App, titolari di App, venditori di App, produttori di sistemi operativi, produttori di smartphone, ecc.).

I principali problemi individuati sono:

  • mancanza di trasparenza: l’utente finale non riceve informazioni sufficienti relativamente a quali dati siano stati elaborati e da chi (il medesimo Parere indica che solo il 61,3% delle 150 App più scaricate dispone di una privacy policy);
  • mancanza di libero consenso informato: l’utente non è messo nella condizione di acconsentire in maniera libera ed informata al trattamento dei propri dati personali tramite la App;
  • carenti misure di sicurezza: i dati personali raccolti tramite la App spesso non sono trattati e conservati secondo adeguati standard di sicurezza;
  • violazione del principio di limitazione delle finalità: i dati personali spesso vengono utilizzati al di là degli scopi specifici per cui sono stati raccolti.

Il Parere include parecchie raccomandazioni rivolte agli sviluppatori di App, agli App stores, ai produttori di sistemi operativi e di dispositivi allo scopo di garantire conformità con la normativa europea.

CONSENSO PER ISCRITTO: UN REQUISITO PECULIARE PREVISTO DALLA LEGGE ITALIANA

Occorre menzionare, poi, che la legislazione italiana prevede un requisito che sembra ignorato dalla grande maggioranza delle App mediche presenti sul mercato. oltre ad una specifica autorizzazione del Garante, in genere sostituita da una autorizzazione generale, l’articolo 23 del Codice per la Protezione dei dati personali richiede che il consenso per la trattazione dei dati sensibili, come i dati personali riguardanti la salute, debba avere forma scritta, requisito che non può essere soddisfatto attraverso un mero “click” sullo smartphone, ma soltanto attraverso l’utilizzo della firma digitale o della firma elettronica “avanzata”, in conformità a quanto previsto dalla legislazione italiana. Questo ostacolo potrebbe essere superato soltanto quando (e se) la proposta di regolamento uE per la protezione dei dati personali entrasse in vigore e sostituisse il Codice Italiano per la Protezione dei Dati Personali: secondo il regolamento, infatti, il consenso alla trattazione dei dati sensibili dovrà essere “dato liberamente, specifico, informato ed esplicito” e il titolare dovrà sostenere l’onere della prova di tale consenso (ma il consenso in forma scritta non sarà più richiesto).

LA NORMATIVA SUI DISPOSITIVI MEDICI

Spesso non si considera che il software e le App (anche se standalone, ossia non incorporati in alcun dispositivo) possono essere ritenuti dispositivi medici a tutti gli effetti, ed essere quindi essere soggetti alla relativa normativa. Probabilmente occorre meno tempo a scaricare un’App medica sullo smartphone che a determinare se la stessa rientri nella definizione di “dispositivo medico”. Dove cercare indicazioni in proposito?

  • Linee Guida della Commissione Europea. Il primo tentativo di chiarire quando un software possa essere considerato un dispositivo medico, e conseguentemente sottoposto alla relativa normativa, è rappresentato dalle Linee Guida della Commissione Europea del gennaio 2012 (MEDDEV 2.1/6), documento attualmente in fase di revisione. Le Linee Guida offrono anche un diagramma di flusso a 6 step come ausilio per decidere se un’Applicazione medica possa essere considerata come dispositivo medico. Se l’App medica rientra nella definizione di dispositivo medico, allora è richiesto una verifica di conformità alla normativa e l’App deve riportare il marchio CE.
  • Posizione dell’FDA. In data 23 settembre 2013, l’autorità statunitense Food and Drug Administration (FDA) ha affrontato lo stesso problema ed ha stabilito delle linee guida in un documento orientativo con cui si specifica a quali App mediche si Applica la definizione di dispositivo medico, che – in quanto tali – sono soggette alle verifiche di sicurezza dell’FDA.
  • Indicazioni dal Regno Unito. Il 21 marzo 2014 anche la United Kingdom Medicines and Healthcare Products Regulatory Agency (MHRA) ha stabilito linee guida per aiutare a individuare il software che richiede la marcatura CE in quanto costituisce un dispositivo medico. La MHrA ha stabilito che alcune funzioni software (quali, per esempio, l’analisi, la segnalazione d’allarme, il calcolo, il controllo, la conversione, la diagnosi, la misurazione e il monitoraggio) sono fattori che possono portare l’App ad essere considerata un dispositivo medico.
  • La realtà delle App è lontana dalla normativa! Lo scopo della Commissione Europea, della FDA e della MHrA di chiarire il quadro normativo è encomiabile e le linee guida abbondano, ma attualmente quante App mediche mobili riportano il marchio CE? Quanti sviluppatori di App, App stores e utenti di App sono a conoscenza di questi requisiti? Sono stata testimone di premi conferiti ad App e a progetti di e-Health dove la consapevolezza degli aspetti normativi e regolamentari risultava pari a zero. Alcune autorità regolatorie (per esempio quelle olandesi) hanno annunciato di voler incominciare ad Applicare le regole e sanzionare i trasgressori, anche nel settore App. Che cosa è successo in Italia? Mentre il Ministero della Salute propone le proprie App, il suo Direttore Generale, dott.ssa Marletta, nel dicembre 2013 ha annunciato che l’uso delle App mediche è un settore che suscita preoccupazione, specialmente con riguardo ai rischi e alle responsabilità, che verranno monitorate con attenzione in futuro.
  • Proposta di Regolamento Europeo in materia di dispositivi medici: cosa succederà. Se il Progetto di regolamento europeo sostituisse l’attuale Direttiva sui Dispositivi Medici (il dialogo a tre tra Parlamento, Consiglio e Commissione non si è ancora concluso), il software stand-alone verrà espressamente regolato e determinati requisiti qualitativi saranno obbligatori.
  • Istruzioni d’uso delle App mediche: in quale forma? Da ultimo, occorre notare che secondo la regolamentazione sull’etichettatura elettronica dei prodotti (regolamento n. 207/2012), entrata in vigore il 30 marzo 2013, il software considerato come dispositivo medico può essere provvisto di istruzioni d’uso in forma elettronica solo se finalizzato ad un uso esclusivo da parte di utenti professionisti (e se l’uso da parte di altri non sia ragionevolmente prevedibile). Al contrario, se l’App è un dispositivo medico creato a favore di un paziente, le istruzioni d’uso dovranno essere previste su carta (un requisito che mi pare, francamente, poco ragionevole).

CHI È RESPONSABILE IN CASO DI MALFUNZIONAMENTO DI APP?

Man mano che l’uso delle App mediche dilaga, cresce anche la possibilità che esse provochino danni a pazienti e generino quindi responsabilità per tali danni. In pratica, gli scenari possibili sono tre:

  • responsabilità da prodotto: se i danni al paziente sono attribuibili direttamente ad un difetto dell’App, il produttore dell’App sarà responsabile ai sensi della normativa sulla product liability;
  • responsabilità medica: se un’App medica, che causa danni ad un paziente, è stata utilizzata da un medico, la responsabilità del produttore dell’App si intreccia con la responsabilità professionale del medico;
  • responsabilità contrattuale: il compratore di un’App può anche agire contro il venditore in base al contratto di compravendita se l’App non è conforme a quanto contrattualmente garantito.

Inoltre, considerato che le App sono spesso sviluppate nello Stato A, vendute nello Stato B e utilizzate nello Stato B o C, si possono porre questioni di giurisdizione e legge Applicabile. L’attuale normativa, d’altra parte, già prevede un quadro utile a risolvere tali questioni (per esempio, regolamenti Roma I e Roma II sull’Applicabilità della Legge e il regolamento del Consiglio n. 44/2001 sulla giurisdizione).

CONCLUSIONI

Le App mediche potrebbero davvero rivoluzionare la fruizione dei servizi sanitari e la cura del paziente. La scarsa consapevolezza del quadro normativo Applicabile, tuttavia, comporta rischi sia per i pazienti/utilizzatori, sia per i medici, sia per gli sviluppatori e i produttori di hardware. Inoltre, allo stato attuale risulta a volte difficile distinguere App di elevata qualità, conformi alla normativa, da altre che vengono immesse sul mercato in maniera meno attenta. non possono, in ogni caso, essere disApplicate le normative sulla protezione dei dati personali e sulla regolamentazione dei dispositivi medici, che si Applicano off-line così come al mondo software e on-line.

A cura di Paola Sangiovanni, Socio dello Studio Legale ITALY LEGAL FOCUS

Articolo pubblicato sulla rivista ICT Security – Ottobre 2014

Condividi sui Social Network:

Articoli simili

12 Maggio 2016, Stadio Olimpico di Roma “SCENDE IN CAMPO” L’RSA SUMMIT

12 Maggio 2016, Stadio Olimpico di Roma “SCENDE IN CAMPO” L’RSA SUMMIT

A cura di:Redazione Ore Pubblicato il

Di fronte a minacce informatiche sempre più evolute, il fallimento non è contemplabile! Al via anche quest’anno, RSA Summit – 12 maggio 2016 – Roma Stadio Olimpico -, l’evento di RSA – la divisione di sicurezza di EMC – per condividere informazioni con i massimi esperti in ambito security e toccare con mano le soluzioni…

Intelligenza Artificiale e Machine Learning – Intervista ad Andrea Zapparoli Manzoni

Intelligenza Artificiale e Machine Learning – Intervista ad Andrea Zapparoli Manzoni

A cura di:Redazione Ore Pubblicato il

Intervista ad Andrea Zapparoli Manzoni, esperto di cyber security Per quanto l’espressione ‘intelligenza artificiale’ sia ormai di uso comune, si tratta di una tecnologia relativamente giovane: se già nel 1943 i ricercatori Warren McCulloch e Walter Pitts propongono un modello di neurone artificiale, solo a partire dagli ultimi due decenni si sono avute esperienze significative…

Security Service Edge: quattro principi fondamentali per il tuo percorso SASE

Security Service Edge: quattro principi fondamentali per il tuo percorso SASE

A cura di:Redazione Ore Pubblicato il

Security Service Edge (SSE) è un concetto importante per comprendere il viaggio verso un’architettura Secure Access Service Edge (SASE). SSE è un termine introdotto da Gartner in riferimento allo stack di sicurezza in evoluzione necessario per raggiungere con successo una convergenza SASE, che include funzionalità tecnologiche come Cloud Access Security Broker (CASB), Secure Web Gateway…

Diffusi i dati della gang ransomware Conti schierata a favore di Putin

Diffusi i dati della gang ransomware Conti schierata a favore di Putin

A cura di:Redazione Ore Pubblicato il

Il conflitto tra Russia e Ucraina divide anche la comunità di hacker: la cybergang Conti ha subito un grave cyber attacco da parte di un ricercatore ucraino, che ha rilasciato decine di migliaia di conversazioni interne del gruppo, causando la temporanea chiusura del portale utilizzato dagli hacker per riscuotere i pagamenti derivanti dai ransomware. Il…

GDPR e D.Lgs. 101/2018: I diritti sul trattamento dei dati personali riguardanti le persone decedute

GDPR e D.Lgs. 101/2018: I diritti sul trattamento dei dati personali riguardanti le persone decedute

A cura di:Ginevra Scalcione Ore Pubblicato il

Il Nuovo Regolamento europeo 679/2016 (di seguito “GDPR”) riconosce in capo ai soggetti interessati, ai sensi e per gli effetti di cui agli artt. da 15 a 22, una pluralità di diritti che vengono annoverati nell’alveo di quel più ampio diritto all’autodeterminazione informativa che esprime il potere di governare il flusso delle proprie informazioni e…

L’ingegneria Sociale: Il Fulcro è la Relazione

L’ingegneria Sociale: Il Fulcro è la Relazione

A cura di:Redazione Ore Pubblicato il

C’è ormai un’assoluta concordanza sull’odierno valore strategico delle informazioni, di qualunque tipo, dai dati personali a quelli aziendali, dal momento che tutto, perfino le abitudini e le preferenze personali, può essere tramutato in un valore economico o strumentale. Le credenziali di accesso ai nostri vari account, ad esempio, possono essere sottratte e utilizzate per compiere…