Normative europee

Medical Devices Regulation (MDR) e GDPR: un connubio inscindibile

Il nuovo Regolamento Ue 2017/745 in materia di dispositivi medici è divenuto pienamente efficace lo scorso 26 maggio 2021. Impatta in maniera importante sull’intero settore e incrocia in maniera rilevante la normativa europea sulla protezione dei dati personali

28 Mar 2022

Silvia Stefanelli

avvocato, studio legale Stefanelli&Stefanelli

Il nuovo Regolamento Ue 2017/745 (c.d. MDR, Medical Devices Regulation) in materia di dispositivi medici è divenuto pienamente efficace lo scorso 26 maggio 2021. Si tratta di una nuova disciplina che impatta in maniera importante sull’intero settore.

MDR, i medical device dal punto di vista giuridico

I medical device sono nati – dal punto di vista strettamente giuridico – con la direttiva 93/42/CE: l’architettura giuridica della disciplina prevedeva che il fabbricante potesse commercializzare il dispositivo medico solo previa apposizione della marcatura CE, consentita a seguito della dimostrazione del rispetto di Requisiti Essenziali di Sicurezza (Allegato I dir 93/427 CEE); tale rispetto poi veniva accertato (per la più parte dei dispositivi medici) di un ente accreditato, chiamato Organismo Notificato, che rilasciava un documento chiamato Certificazione CE.

WHITEPAPER
Certificazioni GDPR: tutti i vantaggi per le organizzazioni che vi aderiscono
Legal
Privacy

Con il Reg.Ue 2017/745 l’architettura giuridica non cambia: l’immissione in commercio avviene sempre previa marcatura CE e previo accertamento da parte di un Organismo Notificato del rispetto di requisiti determinati oggi dal MDR.

Quello che però cambia in maniera sostanziale è che i requisiti oggi da rispettare non sono più di sola “sicurezza” ma anche di “prestazione” (Allegati I – Requisiti Essenziali di Sicurezza e Prestazione) e altresì il “modo” attraverso il quale dimostrare il rispetto degli stessi.

Oggi infatti i dispositivi medici, oltre a essere sicuri devono anche produrre un beneficio clinico per il paziente e altresì presentare un rapporto rischi-benefici considerato accettabile (Allegato I); tale dimostrazione poi deve avvenire attraverso la redazione di un documento specifico chiamato Valutazione Clinica.

NDR

MDR e GDPR

E qui il MDR incrocia in maniera molto rilevante il GDPR. L’art. 61 comma 1 MDR, titolato Valutazione Clinica, stabilisce infatti che “ 1. La conferma del rispetto dei pertinenti requisiti generali di sicurezza e prestazione di cui all’allegato I nelle normali condizioni della destinazione d’uso del dispositivo, nonché la valutazione degli effetti collaterali indesiderati e dell’accettabilità del rapporto benefici-rischi di cui all’allegato I, punti 1 e 8, si basano su dati clinici che forniscano evidenze cliniche sufficienti, compresi, se del caso, i dati pertinenti di cui all’allegato III.”

In altre parole: i fabbricanti di dm sono chiamati a rispettare i Requisiti Essenziali di Sicurezza e Prestazione e tale dimostrazione avviene attraverso una Valutazione Clinica, la quale deve essere redatta basandosi su “dati clinici”

Ma cosa sono i “dati clinici”? Il “dato clinico” ex MDR non coincide esattamente con il “dato personale” o “dato relativo alla salute” ex GDPR: però senza dubbio all’interno della più ampia nozione di dati clinico possono essere ricomprese molte fattispecie di trattamento di dati personali o relativi alla salute.

L’art. 2 lett. 48 stabilisce infatti che

48)   «dati clinici»: informazioni sulla sicurezza o sulle prestazioni ricavate dall’impiego di un dispositivo e che provengono

— dalle indagini cliniche relative al dispositivo in questione,
— dalle indagini cliniche o da altri studi pubblicati nella letteratura scientifica relativi a un dispositivo di cui è dimostrabile l’equivalenza al dispositivo in questione,
— da relazioni pubblicate nella letteratura scientifica sottoposta a valutazione inter pares su altre esperienze cliniche relative al dispositivo in questione o a un dispositivo di cui è dimostrabile l’equivalenza al dispositivo in questione,
— da informazioni clinicamente rilevanti risultanti dalla sorveglianza post-commercializzazione, in particolare il follow-up clinico post-commercializzazione,

Tralasciando le lettere b) e c) che non ci interessano, la lettera a) sulle “indagini cliniche” e la lettera d) sulle “informazioni clinicamente rilevanti” coinvolgono senza dubbio il trattamento di dati relativi alla salute ai sensi del GDPR.

Analizziamo separatamente i due casi.

Indagini cliniche

L’indagine clinica ex MDR è “qualsiasi indagine sistematica cui partecipano uno o più soggetti umani, volta a valutare la sicurezza o le prestazioni di un dispositivo” (art. 2 lett 45); la disciplina specifica è poi contenuta negli articoli dal 62 all’81 e nell’Allegato XV del MDR.

Senza entrare in una analisi dettagliata dell’istituto, basterà segnalare che si tratta di un “cugino stretto” della sperimentazione del farmaco: pertanto per quanto attiene al trattamento dei dati si incontreranno le stesse problematiche della sperimentazione del farmaco, in particolare il discusso tema della base giuridica da utilizzare.

Seppure infatti l’art. 110 del nostro Codice Privacy e la prassi applicativa spingano (sempre e comunque) nella direzione del “consenso” (art. 9 lett. a) GDPR) come base giuridica del trattamento dei dati nella sperimentazione, da più parti sono stati sollevati dubbi sulla idoneità dell’utilizzo di tale base giuridica: si veda in particolare sul punto Opinion 3/2019 concerning the Questions and Answers on the interplay between the Clinical Trials Regulation (CTR) and the General Data Protection regulation (GDPR) (art. 70.1.b))

Inoltre, esattamente come avviene per le sperimentazioni cliniche, il fabbricante (o lo sponsor) che promuove una indagine clinica dovrà implementare e gestire l’intero processo di trattamento dei dati, definendo altresì modalità e ruoli privacy.

Informazioni clinicamente rilevanti

La valutazione clinica poi può basarsi – come sopra evidenziato – anche su informazioni clinicamente rilevanti “che derivano dalla sorveglianza post commercializzazione e, in particolare, dal post marketing clinical follow up”.

Si tratta di due istituti del settore medical device che, seppur non nuovi sulla carta, lo sono certamente nella loro disciplina e nella loro portata.

Più esattamente la sorveglianza post commercializzazione ricomprende “tutte le attività svolte da fabbricanti .volte a istituire e tenere aggiornata una procedura sistematica per raccogliere e analizzare in modo proattivo l’esperienza acquisita sui dispositivi che immettono sul mercato, … al fine di identificare eventuali necessità di procedere immediatamente a eventuali azioni correttive o preventive” (art. 2 lett 60); mentre il follow-up Clinico Post Commercializzazione (chiamato anche Post Marketing Clinical follow up – PMCF) è “un processo continuo che aggiorna la valutazione clinica di cui all’articolo 61.. Nel realizzare il PMCF, il fabbricante raccoglie e valuta in modo proattivo i dati clinici relativi all’uso negli o sugli esseri umani di un dispositivo che reca la marcatura CE ed è immesso sul mercato” (allegato XV parte B MDR).

In sostanza si tratta di tutte le informazioni acquisite sul mercato dopo l’immissione in commercio del dispositivo medico già marcato CE, con la differenza che la sorveglianza post commercializzazione valuta le performance tecniche e cliniche del dispositivo medico raccogliendo principalmente dati sui rischi effettivi, mentre il PMCF è specificamente mirato a valutare e/o confermare il beneficio clinico.

In entrambi i casi sono attività che – quasi sempre – comportano l’implementazione da parte del fabbricante di processi per lo più nuovi all’interno dell’azienda, che oltre a essere analizzati ai fini di una corretta valutazione clinica dovranno anche essere esaminati (rectius costruiti) sotto il profilo del corretto trattamento di dati personali che coinvolgono (quali, ad esempio, quelli dei medici, dei pazienti, dei fornitori ecc.).

Ne deriva che il fabbricante dovrà valutare tutti gli aspetti di trattamento dei dati di tali processi, valutando tutti i profili di privacy by design e by default ex art. 25 GDPR.

Conclusioni

Oggi i dispositivi medici di Classe I vengono già immessi in commercio ex MDR, perché non godono di alcun periodo transitorio.

Al contrario i dispositivi medici di Classe IIa, IIb e III possono, invece, ex art. 120 MDR, continuare a essere immessi sul mercato in forza di un Certificato CE rilasciato ex dir 93/42/CEE fino a scadenza del Certificato stesso (massimo fino a maggio 2024): sono i c.d. “legacy” e sono oggi ancora la maggior parte dei dispositivi medici.

Tale periodo transitorio però non sposta le considerazioni sopra esposte sulla sorveglianza post commercializzazione e PMCF: infatti, tali attività infatti devono essere poste in essere già da ora per tutti i dispositivi medici, anche per i legacy (art. 120 comma 3).

Anzi, a ben vedere, i fabbricanti di legacy hanno un “estremo bisogno” di dati clinici, proprio perché devono passare da un certificato CE ex dir 93/427CEE a un certificato Ce ex MDR. Quindi hanno un estremo bisogno di conoscere il GDPR e sapere come implementare in maniera corretta i nuovi processi di raccolta dati per rafforzare i loro fascicolo tecnici e ottenere il nuovo Certificato CE che li traghetterà pienamente nel mondo MDR.

Tenendo presente che, ai sensi dell’art. 2 -decies del nostro Codice privacy, “ I dati personali trattati in violazione della disciplina rilevante in materia di trattamento dei dati personali non possono essere utilizzati”.

Digital event
Torna il Cybersecurity 360 Summit strategia nazionale di cybersicurezza. Online, 27 ottobre
Sicurezza
Sicurezza dei dati
@RIPRODUZIONE RISERVATA
S
Silvia Stefanelli
avvocato, studio legale Stefanelli&Stefanelli
Argomenti trattati

Approfondimenti

G
GDPR
P
privacy
S
sanità

Articolo 1 di 2