[doc. web n. 9782450]

Parere sullo schema di decreto legislativo, recante disposizioni per l’adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2017/745, relativo ai dispositivi medici - 26 maggio 2022

Registro dei provvedimenti
n. 189 del 26 maggio 2022

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vice presidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, e il dott. Claudio Filippi, vice segretario generale;

Vista la richiesta di parere della Presidenza del Consiglio dei ministri-Dipartimento per gli affari giuridici e legislativi;

Visto il Regolamento (UE) 2016/679, del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito: “Regolamento”) e, in particolare, l’articolo 36, paragrafo 4;

Visto il Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (decreto legislativo n. 196 del 2003, come modificato dal decreto legislativo 10 agosto 2018, n. 101, di seguito Codice) e, in particolare, l’articolo 154, comma 5;

Vista la documentazione in atti;

Viste le osservazioni del segretario generale, rese ai sensi dell’articolo 15 del regolamento del Garante n. 1/2000;

Relatore il prof. Pasquale Stanzione;

PREMESSO

La Presidenza del Consiglio dei Ministri- Dipartimento per gli affari giuridici e legislativi ha richiesto il parere del Garante su di uno schema di decreto legislativo, recante disposizioni per l’adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2017/745, relativo ai dispositivi medici, che modifica la direttiva 2001/83/CE, il regolamento (CE) n. 178/2002 e il regolamento (CE) n. 1223/ 2009 e che abroga le direttive 90/385/CEE e 93/42/CEE.

In particolare, lo schema di decreto legislativo è stato predisposto in attuazione della delega legislativa conferita al Governo dall’articolo 15 della legge n. 53 del 2021 (“Delega al Governo per il recepimento delle direttive europee e l’attuazione di altri atti dell’Unione europea – Legge di delegazione europea 2019-2020”) e, in linea con i principi e criteri direttivi ivi sanciti, aggiorna e adegua la disciplina interna dei dispositivi medici, allineandola e conformandola a quanto previsto dal Regolamento (UE) n. 2017/745 (infra: “regolamento 2017/745”).

Il provvedimento, inoltre, dispone l’abrogazione (differita per alcune disposizioni) del decreto legislativo 30 dicembre 1992, n. 502, recante riordino della disciplina in materia sanitaria, a norma dell'articolo 1 della legge 23 ottobre 1992, n. 421 e del decreto legislativo 24 febbraio 1997, n. 46, recante attuazione della direttiva 93/42/CEE, del Consiglio, concernente i dispositivi medici.

L’oggetto della delega legislativa (che il citato articolo 15 estende all’adeguamento dell’ordinamento interno alle disposizioni del regolamento (UE) 2017/746, relativo ai  dispositivi   medico-diagnostici in vitro), concerne la disciplina di contenuti, tempistiche e modalità di registrazione delle informazioni che fabbricanti e distributori ed utilizzatori sono tenuti a comunicare al Ministero della salute; il riordino del meccanismo di definizione dei tetti di spesa; il sistema sanzionatorio; l’individuazione di modalità di tracciabilità dei dispositivi medici attraverso il riordino e la connessione delle banche dati esistenti in conformità al Sistema unico di identificazione del dispositivo (sistema UDI); l’efficientamento dei procedimenti di acquisto tramite articolazione e rafforzamento delle funzioni di Health Technology Assessment (HTA), l’adeguamento delle attività dell’Osservatorio dei prezzi di acquisto dei dispositivi, nonché della disciplina dei trattamenti  di  dati  personali  effettuati  in applicazione dei due regolamenti alle disposizioni del Regolamento e alla “normativa  vigente  in  materia  di  tutela  dei  dati  personali   e sensibili”.

Tale adeguamento, in particolare, si rende necessario dal momento che il regolamento 2017/745 è stato adottato prima dell’entrata in vigore del nuovo quadro giuridico europeo e, dunque, reca riferimenti alla sola direttiva 95/46/CE, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati.

RILEVATO

Lo schema di decreto legislativo, in linea generale, introduce alcune disposizioni necessarie alla disciplina della governance delle attività funzionali all’immissione sul mercato, alla messa a disposizione e in servizio dei dispositivi e all’adempimento, da parte degli operatori economici, degli obblighi sanciti nei loro confronti dalla normativa unionale.

Di particolare interesse risulta l’articolo 7, in materia di dispositivi su misura che - fermo restando quanto previsto dagli articoli 21, paragrafo 2, 52, paragrafo 8 e dall’allegato XIII del regolamento 2017/745 – impone, al il fabbricante dei dispositivi distribuiti sul territorio nazionale, di comunicare al Ministero della salute i propri dati identificativi e l’elenco dei dispositivi, oltre al dato relativo alla cessazione dell’attività e ogni aggiornamento di tali informazioni.

Il medesimo articolo, ai commi 4 e 5, attribuisce, inoltre, al Ministro della salute la facoltà di introdurre -con uno o più decreti- specifiche disposizioni relative, rispettivamente, alle modalità di conferimento delle informazioni identificative sopra indicate, da parte dei fabbricanti che mettono a disposizione nel territorio nazionale dispositivi su misura e ai soggetti che montano o adattano per un paziente specifico un dispositivo già presente sul mercato, senza modificarne la destinazione d’uso (artt. 21, par. 2, secondo capoverso e 16, par. 1, ultimo periodo, del regolamento (UE)).

L’articolo 8 è invece dedicato alla tessera per il portatore di impianto e alle informazioni (di cui all’art. 18 del regolamento (UE) suscettibili di essere fornite assieme al dispositivo.

L’articolo 10 reca disposizioni relative alla vigilanza sugli incidenti verificatisi dopo l’immissione in commercio dei dispositivi, in particolare imponendo ai fabbricanti di segnalare al Ministero della salute gli incidenti gravi, ivi inclusi gli effetti collaterali indesiderati inattesi e le azioni correttive di sicurezza, secondo le tempistiche e le modalità previste dall’articolo 87 del regolamento 2017/745.

Il medesimo articolo prevede che anche gli operatori sanitari pubblici o privati, gli “utilizzatori profani” e i pazienti, qualora rilevino un incidente, possano - nei termini e con le modalità stabilite da uno o più decreti del Ministro della salute- darne comunicazione al medesimo Dicastero, che provvederà alla relativa registrazione, con modalità centralizzata a livello nazionale.

Ai sensi del comma 8 dell’articolo 10, infine, a seguito alla segnalazione di un incidente, il fabbricante sarà tenuto a svolgere le indagini necessarie cooperando con il Ministero della salute, al quale ultimo spetterà valutare i rischi derivanti dalle segnalazioni ricevute e i contenuti dell’avviso di sicurezza proposto dal fabbricante, eventualmente richiedendo, ove se ne ravvisi la necessità, adeguamenti, misure integrative e ulteriori provvedimenti al fine di preservare la tutela della salute e la sicurezza di operatori sanitari, utilizzatori e pazienti.

In relazione alla registrazione in Eudamed da parte degli operatori economici prima dell’immissione sul mercato del dispositivo (diverso da un dispositivo su misura), l’articolo 12 rinvia all’art. 31 del regolamento 745, il cui paragrafo 1 disciplina il contenuto delle informazioni da fornire a tal fine e le relative modalità e tempistiche, che tengono conto della eventualità che la procedura di valutazione della conformità richieda l’intervento di un organismo notificato. Per gli aspetti procedurali della registrazione, si rinvia anche all’articolo 30, commi 1 e 3, del regolamento 745.

Si disciplinano, peraltro, i poteri di verifica del Ministero della salute e le facoltà di utilizzazione dei dati di cui all’articolo 31 del regolamento 745 per introdurre, con decreto, una tariffa a carico del fabbricante, del mandatario e dell’importatore.

L’articolo 13 individua nel Ministero della salute, negli organismi notificati, negli operatori economici e negli sponsor i soggetti tenuti all’inserimento dei dati nella Banca dati dei dispositivi medici (Eudamed) predisposta dalla Commissione, rinviando, quanto al contenuto, alle disposizioni che disciplinano i vari sistemi informativi di settore. Si sancisce inoltre, in capo al Ministero della salute, l’onere di garantire l’adozione di misure informatiche finalizzate a favorire la connessione dei descritti sistemi informativi con la Banca Dati Eudamed.

L’articolo 14 impone, poi, al distributore sul territorio italiano dei dispositivi medici diversi dai dispositivi su misura, di registrarsi nella banca dati nazionale, conferendo i propri dati e quelli identificativi dei dispositivi presenti in Eudamed, in conformità al Sistema di identificazione unica.

Il medesimo articolo stabilisce, peraltro, che i distributori e gli importatori di dispositivi medici conferiscano al Ministero della salute le informazioni e la documentazione relative ai dispositivi rietichettati e riconfezionati. Si demanda, inoltre, al Ministero della salute la previsione di disposizioni relative alle modalità di conferimento e aggiornamento delle suddette informazioni.

L’articolo 15 prescrive che, per garantire l’identificazione e la tracciabilità dei dispositivi, gli operatori economici osservino le prescrizioni contenute nell’art. 25 del regolamento 745 ed i fabbricanti anche quelle relative al Sistema di identificazione unica del dispositivo (UDI) di cui all’articolo 27 del regolamento 745. Si onerano le istituzioni sanitarie e, se del caso, gli operatori sanitari dell’obbligo di registrare e conservare l’identificativo unico del dispositivo (UDI) ricevuto.

Particolare interesse, infine, assume l’articolo 21, relativo alle garanzie di riservatezza dei dati e delle informazioni acquisiti nell’attuazione del provvedimento. . La disposizione, oltre a rinviare alla norma (art. 109) del regolamento 745 sulle garanzie di riservatezza da accordare alle informazioni e ai dati ottenuti nell’ambito delle attività disciplinate dal decreto stesso, impone – al trattamento dei dati personali detenuti o ottenuti in tale contesto - l’applicazione delle norme del regolamento 745, del Regolamento, del Codice (alla cui indicazione come “decreto legislativo 30 giugno 2003, n. 196” è tuttavia necessario aggiungere la dizione “e successive modificazioni ed integrazioni”) ed al regolamento (UE) 2018/1725, con riguardo al trattamento dei dati personali effettuato da istituzioni, organi, uffici e agenzie dell’Unione.

La clausola di salvaguardia è necessaria – come del resto disposto dalla stessa legge di delegazione – essenzialmente in ragione dell’esigenza di adeguare il riferimento alla direttiva 95/46 (contenuto nel regolamento 2017/745) alla disciplina medio tempore sopravvenuta.

RITENUTO

Lo schema di decreto legislativo non presenta particolari criticità né, del resto, disposizioni disallineate (almeno sotto il profilo della protezione dati) rispetto a quanto sancito dal regolamento 2017/745. Opportuno è, peraltro, il rinvio alla disciplina vigente in materia di protezione dei dati personali, mutata rispetto al quadro normativo considerato al momento dell’adozione del regolamento 2017/745.

Il provvedimento è, tuttavia, suscettibile di limitate integrazioni (alcune delle quali da apportare, eventualmente, in sede attuativa) volte a garantire un più elevato livello di garanzia dei dati personali coinvolti nell’applicazione della disciplina di settore.

In particolare, si può valutare l’opportunità di introdurre, all’interno del provvedimento, alcune garanzie ulteriori per la riservatezza dei pazienti i quali si avvalgano di dispositivi medici, tali da scongiurare o, quantomeno, minimizzare il rischio di accessi indebiti ai loro dati, secondo modalità che il Garante ha avuto modo di accertare nell’ambito di alcune attività di controllo svolte sul tema.

In tal senso, il criterio di delega di cui all’articolo 15, c.2, lett. g) della legge n. 53 del 2021 pare poter fondare anche un’ulteriore disposizione sulla protezione dei dati personali trattati nell’ambito delle attività funzionali alla fornitura o manutenzione dei dispositivi, tale da:

- inibire l’accesso ai dati anagrafici e anamnestici del paziente, salva l’indispensabilità ai fini dell’erogazione del servizio di manutenzione e telediagnosi/teleintervento, rendendo comunque tracciabile ogni operazione di intervento/accesso;

- inquadrare quale responsabile del trattamento, ai sensi dell’articolo 28 del Regolamento, la società produttrice del dispositivo medico, per le attività di controllo della funzionalità dell’apparecchiatura anche a distanza svolta per conto del titolare (c.d. servizi di manutenzione e di assistenza);

Si valuti, inoltre, di apportare alcune integrazioni specifiche, anche in sede di provvedimenti attuativi cui già lo schema di decreto legislativo rinvia e su cui sarà opportuno acquisire il parere del Garante (così anche per le disposizioni attuative di cui all’articolo 14, c.6).

Si tratta, in particolare:

- dell’indicazione dei tempi di conservazione dei dati del fabbricante di dispositivi su misura ai sensi dell’articolo 7;

- dell’indicazione dei tempi di conservazione dei dati personali eventualmente forniti contestualmente alle comunicazioni di incidenti verificatisi dopo l’immissione in commercio di un dispositivo medico, ai sensi dell’articolo 10, c. 8.

IL GARANTE

ai sensi dell’articolo 36, paragrafo 4, del Regolamento, esprime parere favorevole sul proposto schema di decreto legislativo, recante disposizioni per l’adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2017/745, relativo ai dispositivi medici, con le seguenti condizioni, esposte nel “Ritenuto”, volte a suggerire l’opportunità di:

a) introdurre una specifica disposizione sulla protezione dei dati personali trattati nell’ambito delle attività funzionali alla fornitura o manutenzione dei dispositivi, tale da:

- inibire l’accesso ai dati anagrafici e anamnestici del paziente, salva l’indispensabilità ai fini dell’erogazione del servizio di manutenzione e telediagnosi/teleintervento, rendendo comunque tracciabile ogni operazione di intervento/accesso;

- inquadrare quale responsabile del trattamento, ai sensi dell’articolo 28 del Regolamento, la società produttrice del dispositivo medico, per le attività di controllo della funzionalità dell’apparecchiatura anche a distanza svolta per conto del titolare (c.d. servizi di manutenzione e di assistenza);

b) disciplinare, anche nell’ambito dei provvedimenti attuativi cui già lo schema di decreto legislativo rinvia e su cui sarà opportuno acquisire il parere del Garante:

- i tempi di conservazione dei dati personali del fabbricante di dispositivi su misura ai sensi dell’articolo 7;

- i tempi di conservazione dei dati personali eventualmente forniti contestualmente alle comunicazioni di incidenti verificatisi dopo l’immissione in commercio di un dispositivo medico, ai sensi dell’articolo 10, c. 8

Roma, 26 maggio 2022

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL VICE SEGRETARIO GENERALE
Filippi