Sanità digitale

Trattamento dei dati personali e dispositivi medici: cosa cambia con le indicazioni del Garante Privacy

Inibizione all’accesso ai dati anagrafici e anamnestici quando non indispensabile, tracciabilità di ogni operazione di trattamento dati e società produttrici responsabili del trattamento: il Garante Privacy si è espresso sul DL che adegua l’Italia al regolamento UE sui dispositivi medici. I dettagli

05 Ago 2022
Filomena Polito

Responsabile Protezione Dati in ambito sanitario - Valutatore Privacy

telemedicina - cartella clinica digitale - corehealth - dispositivi medici

Il Garante Privacy ha adottato nei mesi scorsi con il Provvedimento 189 un proprio parere sullo schema di decreto legislativo contenente le disposizioni per l’adeguamento della normativa nazionale al Regolamento (UE) 2017/745 sui dispositivi medici.

Il parere, di estremo interesse per il mondo della sanità, dove vengono costantemente introdotti nuovi sistemi per consentire il trattamento automatizzato di dati personali, è stato rilasciato a seguito della specifica richiesta del Dipartimento per gli affari giuridici e legislativi della Presidenza del Consiglio dei ministri.

Il Dipartimento ha chiesto di valutare sotto il profilo della rispondenza alle norme vigenti in materia di protezione dei dati personali lo schema di decreto predisposto in attuazione della delega legislativa conferita al Governo dall’articolo 15 della legge n. 53 del 2021.

Telemedicina, quando un software può essere qualificato dispositivo medico? I paletti del TAR

Infatti, con la legge “Delega al Governo per il recepimento delle direttive europee e l’attuazione di altri atti dell’Unione europea – Legge di delegazione europea 2019-2020”, è stato dato mandato al Governo di aggiornare e adeguare la disciplina nazionale dei dispositivi medici, allineandola e conformandola a quanto previsto dal Regolamento (UE) n. 2017/745, che modifica la Direttiva 2001/83/CE, i Regolamenti (CE) 178/2002 e 1223/ 2009 e abroga le Direttive 90/385/CEE e 93/42/CEE.

Cosa sono e come si distinguono i dispositivi medici

Ma cosa si intende per dispositivo medico? La risposta è data dall’articolo 1 del Decreto Legislativo 24 febbraio 1997, n. 46 “Attuazione della direttiva 93/42/CEE concernente i dispositivi medici”, entrato in vigore nel lontano 21 marzo del 1997 e aggiornato, in ultimo, nel maggio del 2019.

WHITEPAPER
GUIDA PRATICA contro il Phishing: scopri come tutelare la tua azienda!
CIO
Sicurezza

La lettera a) del secondo paragrafo di tale articolo definisce quale dispositivo medico “…qualunque strumento, apparecchio, impianto, software, sostanza o altro prodotto, utilizzato da solo o in combinazione, compreso il software destinato dal fabbricante a essere impiegato specificamente con finalità diagnostiche o terapeutiche e necessario al corretto funzionamento del dispositivo, destinato dal fabbricante a essere impiegato sull’uomo a fini di:

  • diagnosi, prevenzione, controllo, terapia o attenuazione di una malattia;
  • diagnosi, controllo, terapia, attenuazione o compensazione di una ferita o di un handicap;
  • studio, sostituzione o modifica dell’anatomia o di un processo fisiologico;
  • intervento sul concepimento, il quale prodotto non eserciti l’azione principale, nel o sul corpo umano, cui è destinato, con mezzi farmacologici o immunologici né mediante processo metabolico ma la cui funzione possa essere coadiuvata da tali mezzi”.

La normativa vigente assegna al Ministero della Salute, a titolo di Autorità competente, il compito di coordinare la vigilanza e il monitoraggio sulla circolazione dei Dispositivi medici che, facendo seguito alle indicazioni della normativa comunitaria, sono distinti in tre categorie:

  1. i dispositivi medici in genere, regolati dalla Direttiva 93/42/CEE ed in ambito nazionale dal decreto legislativo 24 febbraio 1997, n. 46;
  2. i dispositivi medici impiantabili attivi, regolati dalla Direttiva 90/385/CEE ed in ambito nazionale dal decreto legislativo 14 dicembre 1992, n. 507;
  3. i dispositivi diagnostici in vitro, regolati dalla Direttiva 98/79/CE ed in ambito nazionale dal decreto legislativo 8 settembre 2000, n.332.

Il Ministero della Salute ha costituito quattro specifici uffici presso la Direzione generale dei farmaci e dispositivi medici, per assolvere a tale citato compito, di estrema rilevanza in particolare per quanto riguarda i dispositivi medici impiantabili attivi e diagnostici in vitro), a cui appartengono la maggior parte dei prodotti reperibili sul mercato.

Perché è stato chiesto il parere del Garante Privacy

Fra i dispositivi medici ce ne sono alcuni di maggiore criticità sotto il piano della protezione dei dati personali, come a titolo di mero esempio, i c.d. “dispositivi su misura”, che sono destinati ad essere utilizzati solo per un determinato paziente, o gli strumenti, software compresi, destinati a fornire informazioni riguardanti la diagnosi, anche precoce, il controllo o il trattamento di stati fisiologici o di stati di salute o a sostenere o modificare le funzioni o le strutture biologiche della persona.

Questi dispositivi, quindi, sono coinvolti in attività di trattamento che devono essere disciplinate ai sensi del Regolamento UE 2016/679.

Per tale motivo il Ministero della Salute ha chiesto all’Autorità Garante Privacy di formulare il parere, adottato ai sensi del paragrafo 4 (“Gli Stati membri consultano l’autorità di controllo durante l’elaborazione di una proposta di atto legislativo che deve essere adottato dai parlamenti nazionali o di misura regolamentare basata su detto atto legislativo”) dell’articolo 36.

In particolare, lo schema di decreto legislativo oggetto di parere è stato predisposto anche per disporre l’abrogazione (differita per alcune disposizioni) del decreto legislativo 502/92, e del decreto legislativo 46/97, recante attuazione della Direttiva 93/42/CEE, concernente i dispositivi medici e, tra l’altro per assicurare l’efficientamento dei procedimenti di acquisto dei dispositivi medici tramite articolazione e rafforzamento delle funzioni di Health Technology Assessment (HTA), e della disciplina sul trattamento di dati personali.

Tale adeguamento, in particolare, si è reso necessario visto che il Regolamento 2017/745 è stato adottato recando riferimenti alla sola Direttiva 95/46/CE, cioè senza aver recepito le misure del Regolamento 679 del 2016 relativamente alla tutela delle persone fisiche con riguardo al trattamento dei dati personali.

Come si è espresso il Garante Privacy

Lo schema di decreto legislativo esaminato non presenta, a parere dell’Autorità, particolari criticità né disposizioni disallineate sotto il profilo della protezione dati rispetto a quanto sancito dal Regolamento 2017/745, ma deve essere adeguato alla disciplina vigente in materia di protezione dei dati personali, e pertanto lo stesso Garante ha indicato le integrazioni da apportare per garantire la protezione dei dati personali.

In particolare, viene evidenziata l’opportunità di introdurre, all’interno del provvedimento, alcune misure ulteriori per la riservatezza dei pazienti che si avvalgono di dispositivi medici, tali da scongiurare o, quantomeno, minimizzare il rischio di accessi indebiti ai loro dati, secondo modalità che il Garante ha avuto modo di accertare nell’ambito di alcune attività di controllo svolte sul tema.

In tal senso, il criterio di delega di cui all’articolo 15, c.2, lett. g) della citata legge n. 53 del 2021

ha espressamente disposto che sia necessario “…adeguare i trattamenti di dati personali effettuati in applicazione del regolamento (UE) 2017/745 e del regolamento (UE) 2017/746 alle disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, e alla normativa vigente in materia di tutela dei dati personali e sensibili”.

Per tale ragione il Garante, che ha rilasciato parere positivo, ritiene altresì che sia necessario disporre per legge che, nell’ambito delle attività funzionali alla fornitura o manutenzione dei dispositivi medici:

debba essere inibito l’accesso ai dati anagrafici e anamnestici del paziente, salva che questo sia indispensabile per l’erogazione del servizio di manutenzione e telediagnosi/teleintervento;

-ogni operazione di trattamento dei dati personali sia oggetto di apposito tracciamento;

la società produttrice del dispositivo medico debba essere designata quale Responsabile del trattamento, ai sensi dell’articolo 28 del Regolamento 2016/679, relativamente alle attività di controllo della funzionalità dell’apparecchiatura anche a distanza svolta per conto del titolare, anche per le mere attività di manutenzione e assistenza tecnica.

Conclusioni

Una serie di accertamenti ha evidenziato il mancato corretto allineamento delle modalità di trattamento dei dati personali, svolte avvalendosi di dispositivi medici, con la relativa disciplina vigente.

L’Autorità ha quindi fornito al legislatore, ma già a tutti gli attori del sistema sanitario, una serie di indicazioni essenziali per assicurare il corretto uso di strumenti essenziali a supporto della salute degli interessati.

Indicazioni delle quali i Titolari del trattamento dovranno far tesoro, conformando al riguardo il proprio sistema aziendale privacy.

WEBINAR
20 Settembre 2022 - 12:00
Principali minacce digitali: quali sono e come proteggerci per il nuovo anno 2023
Sicurezza
Storage
@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Analisi
PA
Salute digitale
News
Fondi
Formazione
Ecologia
Digital Economy
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Incentivi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Incentivi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr

Articolo 1 di 4