Il nuovo regolamento europeo per la certificazione dei dispositivi medici (MDR) che dopo un’ulteriore deroga causa Covid entrerà in vigore nel maggio 2021, rischia di essere una bomba a orologeria per le aziende sanitarie italiane.
Perché la normativa introdotta per garantire maggiore sicurezza ai pazienti e favorire l’innovazione, interviene anche sui software gestionali e “in molti casi c’è una situazione già pesantemente non conforme alla normativa precedente e ci si troverà ad avere a che fare con un regolamento che pretende molto di più in fatto di sicurezza del software“. Questa inadempienza in termini di sicurezza del paziente significa “rischi gravissimi” sia sul piano della privacy che su quello della tutela della salute. Ma c’è anche un aspetto legale, perché chi si troverà a subire un danno potrà rivalersi sugli istituti sanitari facendo proprio leva sulla mancata compliance di sistemi e dispositivi medici.
A lanciare l’allarme sono il professor Antonio Bartolozzi, esperto in dispositivi medici, safety, cybersecurity e progettazione, nuovo componente del Team di Studio Legale Lisi assieme all’esperto di diritto applicato all’informatica e presidente di Anorc Professioni, avvocato Andrea Lisi, in un’intervista all’Agenzia Dire.
Come spiega il professor Bartolozzi, per far scattare l’inadempienza “basterà che una azienda sanitaria effettui una modifica al software, per esempio aggiungendo una colonna o un database. A quel punto l’intero software si troverà proiettato all’interno del nuovo regolamento, così come stabiliscono le regole europee. Quindi quel software dovrà essere certificato secondo i nuovi requisiti“. L’effetto immediato, è che “il percorso del paziente, già gestito in malo modo attualmente, diventerà ancora più irregolare. La sicurezza del paziente rappresenterà un’ulteriore difficoltà“.
Eppure, per adeguarsi all’MDR, le aziende sanitarie hanno avuto quasi 4 anni.
Secondo Lisi, “non riusciamo a fare tesoro delle regole, che rimangono carta“. Perché “il Paese è in ritardo su tutta la digitalizzazione, pur avendo sempre avuto delle normative di frontiera e innovative, come il Codice dell’Amministrazione Digitale, il Codice della Protezione dei dati personali, che già in parte riassumeva i principi del GDPR, e le tante regole tecniche che in Europa ci invidiavano. Si punta invece al soluzionismo tecnologico, trascurando le procedure di privacy by design e privacy by default, evitando le dovute analisi di rischio e le valutazioni di impatto.”
Il problema, secondo Bartolozzi, è che “la conformità viene vista come un ostacolo e non come un vantaggio. Mentre per il software, a differenza di molte altre realtà, la conformità ha un costo negativo“. Farlo bene, insomma, fa risparmiare. L’esempio più attuale è l’App Immuni: “in mancanza di un’analisi dei rischi, oggi produce un numero enorme di falsi positivi, quindi probabilmente fa danni e non porta vantaggi“. Ma c’è anche un altro aspetto che l’esperto dell’Università di Trieste ha sottolineato. Cioè che “le gare create per acquistare i software vengono fatte da chi si occupa di sistemi informativi, che conoscono l’informatica, ma non sanno niente di dispositivi medici. Mentre il software può coincidere con il dispositivo medico. Chi si occupa delle gare, emette bandi che sono estremamente carenti dal punto di vista del paziente, ma estremamente dettagliati su aspetti che poi non servono a niente“.
Un esempio è l’adattabilità ai programmi di navigazione più comuni, come Chrome, Safari o Firefox. “Si sprecano soldi pubblici per la compatibilità– dice Bartolozzi- quando si trascurano altri dettagli. Dovrebbe esserci l’intervento della Corte dei Conti”. Oltre al fatto che “i browser sono oggetti consumer. Nel momento in cui mettiamo un dato sanitario in un contenitore non fatto per i dispositivi medici si aumenta il rischio, infatti i browser sono i software più attaccati dai virus“.
Secondo Lisi, questo avviene perché “si travisano le direttive principali del Codice dell’Amministrazione Digitale che sono ambigue sulla materia. Occorre evitare l’immissione in rete soprattutto di dati così delicati. Su questo si medita pochissimo“. Come, secondo l’esperto, si riflette poco sulle competenze di chi deve svolgere certi compiti: “bisognerebbe qualificare questi fornitori. Non tutti possono fare tutto“.
Anche qui l’esempio è l’App Immuni: “Bending Spoons è un’ottima società di cui siamo orgogliosi però specializzata in tutt’altro che dispositivi medici. Non possiamo chiedere a una società specializzata in app ludiche di occuparsi di dispositivi medici: bisogna fare i conti con altri processi. Ci vuole un approccio interdisciplinare. Ci devono lavorare medici, giuristi, manager dell’informazione in sanità“.
Secondo Bartolozzi devono cambiare i criteri di selezione stabiliti nelle gare pubbliche. “Le competenze che vengono richieste attualmente nelle gare – spiega il Professore – non sono specifiche del settore, come può essere un Curriculum nello sviluppo di applicazioni della sanità. Viene invece richiesto il fatturato specifico, come se questo determinasse la competenza. Quando ci sono piccole aziende che fanno capaci di progettare dispositivi di altissimo livello“. Questo ‘cambio di mentalità’, sono d’accordo gli esperti, deve essere motivato dalla consapevolezza delle possibili gravi conseguenze per i pazienti e per le aziende stesse. “Immaginate la consegna di una diagnosi sbagliata– spiega Lisi– o della prescrizione medica di un altro paziente ignaro dello scambio, o dell’indicazione di dosi sbagliate di un farmaco da parte di un software. Per non parlare dei data breach e di attacchi hacker. È insomma qualcosa di gravissimo se non si sviluppano i sistemi con criteri rigorosissimi anche nella scelta dei fornitori“.
L’impatto, anche secondo Bartolozzi, è diretto sulla salute del paziente. Ma ciò nonostante è raro che si vadano a punire i responsabili dei malfunzionamenti. “I medici hanno paura di denunciare – sostiene il Professore – perché temono di essere chiamati in causa come responsabili. Malgrado si abbia la coscienza che il problema è grave“. Il suo appello è rivolto a chi “è stato danneggiato dalla Sanità” al quale consiglia di “verificare se il software non abbia avuto un ruolo in quel danno. Molto spesso è così”. Tanto più che da maggio 2021 con l’MDR le presunte vittime di episodi di malasanità avranno uno strumento in più. ”
“A livello giuridico– conclude Lisi– c’è il rischio di contenziosi basati sul risarcimento danni dei pazienti che hanno subito, a causa del malfunzionamento di queste soluzioni, dei danni gravi o gravissimi. Questo dovrebbe fare paura. Perché se c’è una normativa che comincia ad essere riconosciuta sarà la prima cosa che i miei colleghi processualisti utilizzeranno per irrobustire un eventuale contenzioso basato su una richiesta di risarcimento danni“.