Oggi, venerdì 12 settembre 2025, entra in vigore il Regolamento (UE) 2023/2854, noto come Data Act, o la “normativa sui dati”: rappresenta una svolta normativa significativa per i fabbricanti di tecnologie basate sui dati ormai impiegate in tutti i settori.
Il Data Act disciplina l'accesso equo, sicuro e gratuito ai dati prodotti dai cosiddetti "prodotti connessi a internet", categoria in cui rientrano molti dei dispositivi medici odierni che possono raccogliere, elaborare e trasmettere dati sanitari, dati relativi all’uso dei servizi e metadati.
La normativa sui dati punta a rivoluzionare l'economia digitale eliminando le barriere all'uso dei dati. Definisce con chiarezza chi può utilizzarli, come e a quali condizioni. L’obiettivo è abbattere le barriere nel mercato unico europeo dei dati, favorendo trasparenza, competitività e innovazione.
Quali sono i nuovi obblighi per i fabbricanti?
In primo luogo, è necessario capire quali dispositivi rientrano nella definizione di prodotto connesso, con il conseguente bisogno di riprogettare l’architettura software per garantire l’accessibilità dei dati “by design e by default". Questo implica implementare API, interfacce di esportazione dei dati e sistemi di autenticazione per un accesso sicuro, semplificato e in formati standard, facilmente integrabili con i sistemi informativi comunemente usati nel settore sanitario.
Inoltre, dovrebbero essere garantiti obblighi specifici di trasparenza contrattuale verso gli utenti, fornendo informazioni dettagliate sul tipo di dati raccolti, le modalità di aggiornamento e accesso ai dati e le limitazioni, se presenti. I fabbricanti di DM devono garantire la fornitura continua e gratuita dei dati agli utenti senza imputargli costi aggiuntivi, il che prevede un investimento significativo in termini di infrastruttura per la gestione del dato e della sicurezza informatica.
Quali sono i nuovi diritti e le nuove responsabilità?
Il Data Act riconosce nuovi diritti agli utenti dei dispositivi medici, che possono essere molteplici (pazienti, strutture ospedaliere, medici) e prevedono:
- il diritto di accesso completo ai dati generati,
- il diritto alla trasparenza sulle modalità di raccolta e utilizzo dei dati,
- il diritto a trasferire i dati a terzi autorizzati,
- il diritto all’interoperabilità dei dati attraverso standard europei.
Questi nuovi diritti richiedono un completo riesame dei processi produttivi dei fabbricanti nonché dei processi di gestione del dato implementati dai titolari del trattamento. Essi potrebbero implicare una revisione o un aggiornamento per quanto riguarda la protezione dei propri segreti industriali e la rinegoziazione dei contratti per evitare clausole non negoziabili ("take-it-or-leave-it") e abusive relative alla condivisione dei dati imposte da soggetti più forti.
In particolare, il Data Act introduce tutele specifiche contro clausole abusive nei contratti tra imprese, soprattutto a tutela delle PMI che devono poter accedere ai dati in condizioni non discriminatorie. Le Clausole Contrattuali Standard (SCC), sviluppate e condivise dalla Commissione Europea con l’EDPB (European Data Protection Board), sono modelli di clausole contrattuali che favoriscono la trasparenza, la responsabilità, la conformità normativa e l’armonizzazione degli accordi, anche nei trasferimenti transfrontalieri di dati.
Le SCC mirano a prevenire clausole vessatorie o unilateralmente restrittive che potrebbero ostacolare i diritti di accesso e uso dei dati previsti dal Normativa sui dati, bilanciando il rapporto di forza tra le parti e facilitando l’interoperabilità tecnica e legale delle piattaforme SaaS, IoT e servizi digitali. In sostanza, esse sono uno strumento chiave per tradurre i principi normativi del Data Act in pratiche contrattuali efficaci e standardizzate nel mercato europeo dei dati.
Tali clausole contrattuali standard (non vincolanti) rimangono tuttavia da finalizzare entro l'autunno 2025 per assicurare un quadro giuridico armonizzato a supporto dell’interoperabilità e della conformità sia contrattuale che infrastrutturale nelle organizzazioni coinvolte, con un impatto rilevante sui modelli di business legati all’IoT e ai servizi cloud.
Quali sono le implicazioni concrete per il settore sanitario?
Il Data Act introduce obblighi stringenti in tema di accesso, condivisione e portabilità dei dati generati da prodotti connessi e servizi digitali, ridefinendo i contratti e le modalità operative per produttori e fornitori di servizi.
Il Data Act completa l’atto sulla governance dei dati (Data Governance Act) e si iscrive nell’ambito della strategia europea per i dati (European Strategy for Data). Quest’ulteriore Regolamento richiede inoltre un’integrazione con la legislazione vigente in ambito Medical Device, come l’MDR e l’IVDR, e può rivelarsi gravoso a livello di progettazione e conformità normativa. Questo comporterà un impatto economico sulle case produttrici che stiano producendo dispositivi digitali. Avere i dati in sicurezza e accessibili ai singoli utenti implica attenzione e un maggiore aggiornamento.
Per aiutare le imprese a orientarsi in queste nuove norme, la Commissione europea ha anche pubblicato una “Fact Page” sul proprio sito web nonché un FAQ fornendo una panoramica completa dei suoi obiettivi e del suo funzionamento nella pratica.
In conclusione, il Data Act introduce un quadro armonizzato di governance dei dati, il che, nonostante sia una sfida regolamentare e tecnica, rappresenta un’opportunità per potenziare i dispositivi medici e migliorare la gestione e l’utilizzo dei dati sanitari a beneficio degli utenti e dell’intero mondo Life Sciences.