In sanità, l’intersezione tra dispositivi IoT e regolamentazione dei dati presenta opportunità rilevanti ma anche sfide di natura tecnica, organizzativa e normativa. Il Data Act dell’Unione Europea, divenuto applicabile nel settembre 2025, introduce un nuovo quadro regolatorio per la gestione, la condivisione e la protezione dei dati generati dai dispositivi IoT all’interno dell’Unione.
Indice degli argomenti
Il Data Act UE e l’impatto strategico sul settore sanitario IoT
Per i produttori di dispositivi IoT e per le organizzazioni che implementano soluzioni sanitarie digitali, comprendere e anticipare gli effetti del Data Act dell’UE rappresenta una priorità strategica. La normativa rafforza i diritti degli utenti in relazione all’accesso e alla condivisione dei dati generati dall’utilizzo di prodotti connessi, incidendo in modo significativo sui modelli di governance dei dati adottati nelle soluzioni IoT in ambito sanitario.
Il presente documento analizza l’impatto della Legge sui Dati dell’UE nel contesto dell’assistenza sanitaria basata su IoT. Poiché le organizzazioni sanitarie devono bilanciare l’accessibilità dei dati con la tutela della riservatezza e della sicurezza dei pazienti, vengono esaminati approcci architetturali e organizzativi utili ad affrontare tali requisiti.
Utilizzando come esempio la gestione dei dati dei dispositivi a ultrasuoni verranno mostrati come alcuni servizi, tra cui quelli di AWS, al fine di dimostrare come determinate capacità tecnologiche possano supportare la conformità normativa.
Saranno inoltre esaminati i requisiti fondamentali della Legge sui Dati dell’UE e presentati esempi di architetture che possono supportare l’allineamento normativo. Indipendentemente dal ruolo ricoperto — produttore di dispositivi, fornitore di soluzioni digitali o organizzazione sanitaria operante nell’UE — è essenziale disporre di una comprensione completa del nuovo quadro regolatorio per garantire conformità, continuità operativa e protezione dei dati.
Trasformare i requisiti normativi in opportunità per una cura dei pazienti più efficace, una governance dei dati più matura e un progresso tecnologico responsabile nel panorama dell’assistenza sanitaria IoT rappresenta un obiettivo chiave per lo sviluppo di un ecosistema sanitario connesso, sicuro e sostenibile.
La Legge sui Dati dell’UE: struttura normativa e obblighi per i prodotti connessi
La Legge sui Dati dell’Unione Europea è entrata in vigore l’11 gennaio 2024, con applicazione diretta a partire dal 12 settembre 2025, introducendo un cambiamento strutturale nel modello di governance dei dati generati da prodotti connessi.
La normativa mira a favorire l’innovazione e la concorrenza attraverso un maggiore accesso e riutilizzo dei dati generati da prodotti e servizi connessi. Per il settore sanitario e per i produttori di dispositivi medici, la conformità alla legge assume particolare rilevanza, soprattutto in relazione all’interazione con il Regolamento Generale sulla Protezione dei Dati (GDPR) e con le normative specifiche sui dati sanitari.
GDPR e Data Act a confronto: come integrare le due normative in sanità
Il Data Act si applica ai “prodotti connessi“, ovvero dispositivi IoT fisici (hardware) in grado di raccogliere, generare e trasmettere dati elettronicamente. In ambito sanitario, i dati personali, clinici e telemetrici generati dai dispositivi non sono sempre chiaramente separati o classificati, in particolare nei sistemi legacy. Di conseguenza, una mappatura accurata delle tipologie di dati raccolti, dei flussi informativi e delle finalità di trattamento rappresenta un requisito fondamentale.
Mentre il GDPR disciplina principalmente il trattamento dei dati personali, il Data Act introduce obblighi specifici in materia di accesso, portabilità e condivisione dei dati non personali e dei dati dei dispositivi IoT. Le strategie di conformità devono quindi integrare entrambe le normative, garantendo la condivisione dei dati nel rispetto dei principi di sicurezza, minimizzazione e protezione della privacy. Ciò richiede l’adozione di controlli tecnici, di sicurezza e organizzativi adeguati, in particolare quando i dispositivi medici trattano Informazioni Personali Identificabili (PII) o Informazioni Sanitarie Protette (PHI).
La normativa prevede inoltre disposizioni per l’accesso ai dati da parte delle autorità pubbliche in circostanze eccezionali, come le emergenze di sanità pubblica. Le organizzazioni devono pertanto definire procedure chiare per la gestione delle richieste di accesso ai dati da parte del settore pubblico, assicurando al contempo il rispetto degli obblighi di protezione dei dati e dei diritti degli interessati.
Dispositivi medici IoT e obblighi di trasparenza
Nel contesto sanitario, il Data Act è particolarmente rilevante per dispositivi medici IoT quali dispositivi indossabili, impiantabili e apparecchiature diagnostiche come gli ecografi. Le organizzazioni devono valutare attentamente l’interazione tra questi nuovi requisiti e le normative sanitarie esistenti, assicurando l’integrità, la disponibilità e l’accessibilità dei dati clinici. Inoltre, gli obblighi di trasparenza pre-vendita relativi alle tipologie di dati raccolti introducono ulteriori complessità operative.
Le organizzazioni sanitarie che producono prodotti connessi o forniscono servizi correlati ai sensi della Legge sui Dati dell’UE devono implementare sistemi idonei a consentire agli utenti l’accesso ai dati di utilizzo. Tali sistemi devono essere progettati in modo da soddisfare i requisiti normativi senza compromettere gli elevati standard di sicurezza e riservatezza richiesti in ambito sanitario.
Caso d’uso: la gestione dei dati DICOM negli scanner a ultrasuoni
Un esempio sono i moderni dispositivi a ultrasuoni che generano dati in formato Digital Imaging and Communications in Medicine (DICOM), inclusi immagini mediche ad alta risoluzione, metadati, dati demografici dei pazienti, misurazioni cliniche, timestamp, informazioni di localizzazione, log e annotazioni cliniche. Questi dati possono contenere PII e PHI e richiedono pertanto misure rigorose di sicurezza, integrità e conservazione. In un tipico contesto sanitario, le immagini in formato DICOM devono essere acquisiate, elaborate, archiviate e rese accessibili agli operatori sanitari nel rispetto dei requisiti normativi applicabili e delle politiche di governance dei dati dell’organizzazione.
Il diagramma di flusso dei dati: attori, sistemi e confini di fiducia
Il diagramma di flusso dei dati descrive gli attori, i dispositivi e i sistemi coinvolti nella gestione dei dati generati dagli scanner a ultrasuoni. Tali diagrammi consentono di rappresentare in modo semplificato i flussi informativi e di individuare i punti critici in cui i dati attraversano confini di fiducia tra sistemi o organizzazioni diverse, consentendo di focalizzarsi sui punti in cui i dati vengono elaborati e trasferiti.
Figura 1 – Diagramma del flusso dei dati a ultrasuoni
Nel flusso dati 1, il personale ospedaliero utilizza lo scanner a ultrasuoni tramite un’applicazione locale, dotata di storage dati e client per AWS IoT Core e Amazon Simple Storage Service (S3). Nel flusso dati 3, questi client consentono allo scanner di trasmettere i dati verso il cloud AWS. Durante il trasferimento, i dati attraversano confini di fiducia, rappresentati da linee tratteggiate, che indicano i punti in cui la responsabilità dei dati cambia e dove è più probabile l’insorgere di rischi per la riservatezza, l’integrità e la disponibilità del sistema.
Altri flussi includono il flusso dati 2, relativo agli ingegneri di supporto in loco, e il flusso dati 8, che rappresenta il caricamento dei dati del paziente durante la scansione. Il flusso dati 9 consente al personale ospedaliero di consultare i dati di tutte le macchine tramite un’applicazione web e di delegare l’accesso a terze parti fidate, come indicato nel flusso dati 7. Il flusso dati 6 rappresenta invece l’accesso da parte delle autorità sanitarie pubbliche dell’UE in circostanze eccezionali, ad esempio durante una crisi sanitaria nazionale come il COVID-19.
Accesso degli operatori sanitari e ruolo delle autorità pubbliche
Gli operatori sanitari possono accedere alle immagini elaborate tramite interfacce web sicure, mentre gli amministratori di sistema hanno a disposizione dashboard Amazon CloudWatch personalizzate per il monitoraggio delle prestazioni e dei pattern di utilizzo.
Dal lato del fornitore, l’API dei dati degli ultrasuoni funge da controller per l’accesso allo storage dei dati grezzi. Il flusso dati 4 è utilizzato dal personale del fornitore, inclusi amministratori di sistema e supporto remoto. Sebbene il diagramma non mostri il provider di identità, si presuppone la presenza di un sistema di gestione delle identità e di controlli di accesso basati su ruoli (RBAC).
Pipeline di ingestione dei dati: architettura cloud per la conformità normativa
Dal punto di vista architetturale, la soluzione AWS di esempio prevede una pipeline di ingestione dei dati che consente la trasmissione sicura delle informazioni dai dispositivi IoT ai sistemi di elaborazione e archiviazione. In un’implementazione di riferimento, basata su servizi cloud comunemente adottati nel settore, i dispositivi si autenticano in modo sicuro e trasmettono dati telemetrici e file di imaging attraverso canali cifrati.
I dati grezzi vengono archiviati in sistemi di storage protetti da meccanismi di crittografia e controlli di accesso, mentre pipeline di elaborazione automatizzate gestiscono la validazione, l’estrazione dei metadati e l’ottimizzazione delle immagini. I dati elaborati sono resi disponibili tramite interfacce applicative sicure per l’integrazione con i sistemi informativi sanitari esistenti.
I servizi offerti da AWS supportano questi modelli architetturali attraverso funzionalità di gestione delle identità, crittografia, monitoraggio e audit.
Conformità al Data Act UE come leva per l’innovazione sanitaria responsabile
La Legge sui Dati dell’UE rappresenta un’evoluzione significativa nel modo in cui le organizzazioni sanitarie e i produttori di dispositivi IoT devono affrontare la gestione, l’accesso e la condivisione dei dati. L’interazione tra i nuovi requisiti del Data Act e le normative sanitarie sulla protezione dei dati esistenti crea un contesto regolatorio complesso che richiede un approccio integrato, basato su solide pratiche di governance dei dati e su soluzioni tecniche adeguate. L’architettura descritta dimostra come sia possibile progettare sistemi in grado di supportare la conformità normativa, preservando al contempo la sicurezza, la riservatezza e l’affidabilità dei dati sanitari. Un approccio strutturato e proattivo consente alle organizzazioni di trasformare gli obblighi normativi in un fattore abilitante per l’innovazione responsabile e per il miglioramento della qualità dell’assistenza sanitaria.
