Lo scorso 12 settembre è divenuto applicabile il Regolamento (UE) 2023/2854, meglio conosciuto come Data Act. Alcune disposizioni diventeranno operative nel corso dei prossimi anni, ma l’impianto normativo generale è già in vigore.
Il Data Act si inserisce nella più ampia Strategia europea sui dati, che mira a promuovere l’innovazione e rafforzare il mercato dei dati, rendendolo più competitivo e affermando la propria leadership nell’attuale scenario socio-economico incentrato sui dati.
Il Legislatore europeo persegue questi obiettivi favorendo la disponibilità dei dati, in particolare di quelli industriali. Vengono rafforzati i diritti degli utenti, sia consumatori che imprese, garantendo loro un maggiore controllo sui dati generati dai dispositivi connessi (i cosiddetti Internet of Things) e agevolando il passaggio tra diversi provider di servizi cloud.
Sebbene si tratti di una normativa di natura trasversale, l’impatto sarà particolarmente forte nei settori caratterizzati dall’ampia diffusione dei dispositivi connessi, fra i quali rientra quello dei dispositivi medici digitali.
Indice degli argomenti
Principali obblighi del Data Act: opportunità e sfide per gli operatori del settore
Il punto centrale del Data Act consiste nell’obbligo di rendere disponibili agli utenti e ai terzi da loro designati i dati generati o raccolti dai dispositivi connessi. L’obbligo è posto in capo al ‘data holder’, che di norma è il fabbricante del dispositivo medico o del device. Tuttavia, le due figure non necessariamente coincidono poiché il ‘data holder’ è il soggetto che detiene di fatto il controllo sull’accesso ai dati prontamente disponibili del device.
Per il settore dei dispositivi medici, l’obbligo in questione può comportare un cambiamento radicale se si considera che i dati sullo stato di salute degli utenti, generati o raccolti dagli apparecchi digitali, fino ad oggi restavano spesso confinati nei sistemi proprietari dei fabbricanti.
Grazie al Data Act, tali dati potranno essere accessibili direttamente ai pazienti e, su loro richiesta, al personale medico e sanitario o ad altri fornitori di servizi.
Questa apertura ha un potenziale enorme: permettere ai pazienti di ottenere l’accesso diretto e strutturato ai dati che potrebbero favorire la telemedicina, il miglioramento dell’assistenza domiciliare nonché l’integrazione delle informazioni provenienti da diversi dispositivi.
Al tempo stesso, emergono delle possibili criticità che gli operatori del settore devono valutare con attenzione: i pazienti potrebbero male interpretare dati non definitivi e accurati (ad esempio, informazioni in forma grezza sui propri paramenti vitali), con il rischio di prendere decisioni mediche errate. Questo rischio deve essere considerato dagli operatori del settore e, se del caso, mitigato in maniera adeguata.
Gli impatti del Data Act sui fabbricanti dei dispositivi medici
Per le aziende che producono dispositivi medici connessi, il Data Act comporta conseguenze pratiche rilevanti. In primo luogo, i dispositivi dovranno essere progettati in modo da permettere la condivisione dei dati con utenti e terzi.
Tali modifiche tecniche potrebbero avere implicazioni sotto il profilo regolatorio poiché potrebbero costituire una “modifica significativa” ai sensi del Regolamento europeo sui dispositivi medici. In tal caso, sarà necessario ottenere una nuova valutazione della conformità e certificazione del dispositivo, con notevoli costi aggiuntivi.
È inoltre importante considerare che, per gli utenti, l’accesso ai dati deve essere sempre gratuito, mentre ai terzi potrà essere richiesto un compenso, purché equo, ragionevole e non discriminatorio, alla luce di alcuni parametri individuati nel Regolamento, che dovranno essere ulteriormente precisati dalla Commissione europea. È comunque consentita alle aziende una certa flessibilità nell’individuazione delle concrete modalità di accesso ai dati, che non devono necessariamente essere resi disponibili in modo diretto.
Il Data Act stabilisce anche regole sulla disciplina dei rapporti fra utenti e imprese, imponendo che i contratti di condivisione dei dati contengano clausole minime e qualificando come abusive alcune previsioni, per proteggere da possibili abusi degli operatori con forte potere di mercato. Tali norme impongono alle aziende di aggiornare i propri contratti per disciplinare i diritti e gli obblighi introdotti dal Data Act.
Data Act e segreti commerciali: un’eccezione alla condivisione dei dati
Gli obblighi di condivisione dei dati che rientrano nell’ambito di applicazione del Data Act sono limitati esclusivamente dalle eccezioni previste dal Regolamento. In particolare, secondo quanto previsto dal Considerando 31 del Data Act, nel caso in cui i dati oggetto di condivisione sono protetti come segreti commerciali, la tutela conferita a tale categoria di informazioni deve essere preservata.
Secondo la definizione già contenuta nella normativa europea, a cui il Data Act rinvia espressamente, un’informazione è qualificabile come segreto commerciale quando non è generalmente conosciuta né facilmente accessibile agli operatori del settore e ha valore economico proprio in virtù della natura riservata. L’informazione deve essere anche oggetto di misure adeguate, da parte del titolare, per garantirne la segretezza.
Affinché il data holder possa invocare la protezione dei segreti commerciali, questi devono essere identificati come tali. Infatti, il Data Act prevede che i segreti commerciali possono essere comunicati solamente a condizione che, prima della condivisione, questi siano stati chiaramente individuati e il data holder e l’utente abbiano adottato misure necessarie a garantirne la riservatezza, quali, ad esempio accordi di riservatezza, misure tecniche e organizzative per limitare l’accesso.
Nel caso in cui il data holder non raggiunga un accordo sulle misure necessarie per garantire la segretezza dei dati con il destinatario o nel caso in cui le misure concordate non siano attuate, la condivisione dei dati può essere bloccata o sospesa, comunicando tempestivamente la decisione all’utente per iscritto e notificando l’autorità competente.
Infine, il Data Act riconosce al data holder la possibilità di opporsi alla condivisione dei dati quando siano coinvolti segreti commerciali. Tale prerogativa può, però, essere esercitata esclusivamente in via eccezionale: il rifiuto è ammesso solo quando la diffusione dei dati, nonostante le misure di protezione adottate dal destinatario, comporterebbe un rischio concreto di danno economico grave e irreparabile. Il data holder deve motivare il rifiuto della condivisione dei dati sulla base di elementi oggettivi e comunicarlo per iscritto all’utente, oltre che all’autorità competente.
Prospettive per il settore
Sebbene il Data Act sia già entrato in vigore, il quadro normativo non è ancora completo: i singoli Stati membri devono individuare le autorità competenti e predisporre il regime sanzionatorio in caso di violazioni degli obblighi previsti dal Regolamento.
Nell’attesa dell’intervento dei legislatori nazionali, le aziende sono, in ogni caso, chiamate a conformarsi subito con i nuovi obblighi introdotti. In particolare, la gestione dei dati aziendali dovrà essere riorganizzata, anche adottando un approccio proattivo e strutturato, finalizzato alla valutazione dell’impatto del Data Act sul modello di business e sui processi interni.
Diviene, pertanto, fondamentale l’implementazione di una solida strategia di data governance, che consenta di distinguere chiaramente tra informazioni da condividere e dati esclusi dall’obbligo di accesso.
Un altro aspetto delicato riguarda la necessità di bilanciare la compliance alla nuova normativa con la tutela della proprietà intellettuale, evitando che l’obbligo di condivisione dei dati determini una perdita di vantaggio competitivo. Pertanto, le aziende dovranno predisporre misure efficaci a protezione dei segreti commerciali e assicurarsi che anche i destinatari dei dati rispettino gli stessi standard di riservatezza.
Per il settore dei dispositivi medici connessi le sfide sono ancor più rilevanti: il paziente assume un ruolo centrale, avendo la possibilità di gestire l’accesso ai dati generati dai propri dispositivi. Ciò potrebbe accelerare l’innovazione e migliorare la qualità delle cure, ma richiede anche investimenti tecnologici e nella cybersicurezza, adeguamenti contrattuali e un modello di data governance solido, che tenga anche conto dei rischi che i pazienti gestiscano autonomamente dati che potrebbero non essere in grado di interpretare.
Non si deve però trascurare che il Data Act rappresenta anche un’opportunità di crescita per gli operatori del settore che, se ben organizzati, potranno sfruttare i dati messi a disposizione da altre aziende per sviluppare nuovi prodotti e servizi.
