Le App che si scaricano su smartphone o tablet possono essere di natura medica. Quale legislazione si Applica a questi strumenti, il cui mercato è in continua crescita? Anzitutto, occorre tener conto della normativa privacy, che si Applica anche ai dati processati tramite App. Inoltre, se le App effettuano determinate funzioni, possono essere ritenute un dispositivo medico e richiedono il marchio “CE”
Un mercato in crescita
L’idea di gestire su un dispositivo mobile un software con funzione medica non è nuova e, anzi, se ne parla fin dal 1996. Il fenomeno ha, tuttavia, assunto proporzioni esplosive negli ultimi anni grazie all’enorme diffusione delle App su smartphone e tablet, sia fra operatori sanitari che fra pazienti. non è agevole individuare il perimetro delle App mediche, poiché vi rientra una considerevole varietà di tipologie di software e Applicativi, utilizzabili o meno con dispositivi hardware (quali sensori e rilevatori di parametri corporei), che – pur con modalità diverse – hanno funzioni mediche, sanitarie, o più semplicemente relative al benessere psico-fisico della persona. Il dato certo è che la diffusione di questo tipo di App è assai considerevole, come confermano le circa 97.000 App mediche in vendita in 62 App stores in tutto il mondo, che paiono destinate ad aumentare ulteriormente nei prossimi anni. E i produttori di hardware non si tirano indietro: basti pensare che il nuovo smartphone Gear 2 neo by Samsung, lanciato sul mercato l’11 aprile 2014 da Samsung in 125 paesi, incorpora un sensore di rilevazione del battito cardiaco.
Un rapporto difficile con la normativa esistente
Le App mediche devono confrontarsi con una normativa di settore particolarmente restrittiva e spesso non aggiornata agli ultimi sviluppi tecnologici. Le maggiori criticità delle App si rinvengono in particolare nei rapporti con la legislazione in materia di protezione dei dati personali e quella in materia di dispositivi medici. Il dato di maggior rilievo non è tuttavia un quadro normativo particolarmente complicato, ma piuttosto la scarsa consapevolezza dell’esistenza di tale quadro normativo e dei requisiti regolamentari Applicabili alle App da parte di molti operatori del settore, inclusi gli sviluppatori delle App, i pazienti ed i medici che le utilizzano.
La posizione delle Autorità
Che cosa pensano le autorità di questo fenomeno? Secondo la Commissione Europea, le App mediche hanno un enorme potenziale positivo, ma nella realtà offrono poca trasparenza. La Commissione Europea ha espresso commenti fortemente positivi sulle App mediche, che potrebbero contribuire a creare “servizi sanitari più intelligenti, sicuri e incentrati sul paziente”, ma anche a consentire agli Stati Membri qualche margine di risparmio sui loro bilanci nel settore della sanità. Il forte empowerment del paziente che le App consentono è visto con favore poiché è in grado di mettere il paziente in condizione di gestire consapevolmente la propria salute e il proprio benessere (“putting patients in the driving seat”), ma purtroppo la realtà del mercato delle App non offre al paziente un livello di trasparenza adeguato. Di recente, la Commissione ha, infatti, rilevato come esistano gravi rischi connessi alle App: l’informazione rivolta ai consumatori non è chiara, i contatti del fornitore non sono facilmente rintracciabili, l’uso del termine “free” è spesso fuorviante. Anche l’Autorità Garante della Concorrenza e del Mercato italiana nel maggio 2014 ha aperto un’istruttoria nei confronti di due società del gruppo Google, di Itunes, la filiale di Apple che gestisce gli iTunes store in Europa, di Amazon e Gameloft, società che sviluppa e pubblica videogiochi scaricabili da Internet, in merito alle App che Appaiono gratuite ai consumatori e che invece richiedono acquisti successivi per poter continuare a giocare.
Preoccupazioni espresse dalle Autorità garanti della protezione dei dati
Le App mediche trattano dati personali o dati anonimi? La risposta a questa domanda dipende dalla specifica App e dalla sua capacità di processare informazioni personali attraverso le API (“Application Programming Interfaces”), i sensori e gli altri network connessi con il telefono cellulare. Secondo il Parere dell’“Article 29 Data Protection Working Party”, il gruppo consultivo dei Garanti europei, esistono gravi rischi privacy derivanti dall’uso delle App, resi ancora più gravi dal fatto che, a causa della stretta interazione con i sistemi operativi, le App sono in grado di raccogliere molti più dati di quelli raccolti tramite un browser internet tradizionale (quali, per esempio, dati di localizzazione, dati provenienti da sensori diversi, dati salvati dall’utente sul dispositivo). Il Parere inoltre rileva come la situazione sia resa complicata dalla frammentazione degli operatori del settore (sviluppatori di App, titolari di App, venditori di App, produttori di sistemi operativi, produttori di smartphone, ecc.).
I principali problemi individuati sono:
Il Parere include parecchie raccomandazioni rivolte agli sviluppatori di App, agli App stores, ai produttori di sistemi operativi e di dispositivi allo scopo di garantire conformità con la normativa europea.
Occorre menzionare, poi, che la legislazione italiana prevede un requisito che sembra ignorato dalla grande maggioranza delle App mediche presenti sul mercato. oltre ad una specifica autorizzazione del Garante, in genere sostituita da una autorizzazione generale, l’articolo 23 del Codice per la Protezione dei dati personali richiede che il consenso per la trattazione dei dati sensibili, come i dati personali riguardanti la salute, debba avere forma scritta, requisito che non può essere soddisfatto attraverso un mero “click” sullo smartphone, ma soltanto attraverso l’utilizzo della firma digitale o della firma elettronica “avanzata”, in conformità a quanto previsto dalla legislazione italiana. Questo ostacolo potrebbe essere superato soltanto quando (e se) la proposta di regolamento uE per la protezione dei dati personali entrasse in vigore e sostituisse il Codice Italiano per la Protezione dei Dati Personali: secondo il regolamento, infatti, il consenso alla trattazione dei dati sensibili dovrà essere “dato liberamente, specifico, informato ed esplicito” e il titolare dovrà sostenere l’onere della prova di tale consenso (ma il consenso in forma scritta non sarà più richiesto).
Spesso non si considera che il software e le App (anche se standalone, ossia non incorporati in alcun dispositivo) possono essere ritenuti dispositivi medici a tutti gli effetti, ed essere quindi essere soggetti alla relativa normativa. Probabilmente occorre meno tempo a scaricare un’App medica sullo smartphone che a determinare se la stessa rientri nella definizione di “dispositivo medico”. Dove cercare indicazioni in proposito?
Man mano che l’uso delle App mediche dilaga, cresce anche la possibilità che esse provochino danni a pazienti e generino quindi responsabilità per tali danni. In pratica, gli scenari possibili sono tre:
Inoltre, considerato che le App sono spesso sviluppate nello Stato A, vendute nello Stato B e utilizzate nello Stato B o C, si possono porre questioni di giurisdizione e legge Applicabile. L’attuale normativa, d’altra parte, già prevede un quadro utile a risolvere tali questioni (per esempio, regolamenti Roma I e Roma II sull’Applicabilità della Legge e il regolamento del Consiglio n. 44/2001 sulla giurisdizione).
Le App mediche potrebbero davvero rivoluzionare la fruizione dei servizi sanitari e la cura del paziente. La scarsa consapevolezza del quadro normativo Applicabile, tuttavia, comporta rischi sia per i pazienti/utilizzatori, sia per i medici, sia per gli sviluppatori e i produttori di hardware. Inoltre, allo stato attuale risulta a volte difficile distinguere App di elevata qualità, conformi alla normativa, da altre che vengono immesse sul mercato in maniera meno attenta. non possono, in ogni caso, essere disApplicate le normative sulla protezione dei dati personali e sulla regolamentazione dei dispositivi medici, che si Applicano off-line così come al mondo software e on-line.
A cura di Paola Sangiovanni, Socio dello Studio Legale ITALY LEGAL FOCUS
Articolo pubblicato sulla rivista ICT Security – Ottobre 2014
Nel panorama odierno della sicurezza informatica, la protezione degli endpoint rappresenta un obiettivo imprescindibile per…
I numeri dell’evento Oltre 1000 ospiti, 42 relatori, 20 interventi tematici e 5 Tavole Rotonde:…
Group-IB è un fornitore, con sede a Singapore, di sistemi ad elevata attendibilità per il…
Le interazioni di natura digitale, su rete pubblica o all’interno di reti private, hanno assunto…
La Commissione Europea ha di recente ricordato come “Artificial intelligence (AI) is not science fiction;…
Di seguito il programma della Cyber Crime Conference 2024, che avrà luogo a Roma nei…