Gentile Direttore,
una nuova dirompente normativa viene a interessare, tra gli altri, il settore sanitario. È il Data Act (Reg. UE n. 2023/2854), Regolamento Europeo direttamente applicabile dal 12 settembre 2025, che stabilisce nuove regole per quanto riguarda l’accesso, la condivisione e il riutilizzo dei dati, personali e non personali – generati da prodotti connessi e servizi correlati, cioè da dispositivi in grado di generare, ottenere o raccogliere dati sull’uso, sulle prestazioni o l’ambiente in cui vengono utilizzati.
Tra questi, rientrano con evidenza i dispositivi medici e strumenti IoT di natura sanitaria (si pensi ad esempio ai dispositivi cardiaci).
Quando tuttavia i prodotti connessi trattino dati personali, gli operatori non possono limitarsi ad applicare il Data Act, ma devono ricordarsi di rispettare anche le regole del Regolamento Generale sulla Protezione dei Dati (GDPR, Regolamento UE 2016/679).
Occorre quindi comprendere in che termini il Data Act integri il GDPR (e viceversa) e quali misure gli operatori del settore sanitario (in particolare: i produttori, i detentori e gli utilizzatori dei dispositivi e IoT menzionati) debbano adottare in aggiunta a quelle privacy.
Le regole in sintesi
Il Data Act identifica nuovi ruoli e responsabilità per quanto riguarda la gestione dei dati generati da prodotti connessi. In particolare, il Regolamento individua tre ruoli principali:
Utente: ai sensi del Data Act, l’utente (user) è ogni persona fisica o giuridica che possiede o ha diritti legali su un prodotto connesso, come ad esempio il proprietario o il conduttore. Ove i dispositivi e IoT raccolgano dati personali, se lo user è il soggetto a cui si riferiscono i dati, questi riveste anche il ruolo privacy di interessato del trattamento; se invece lo user riceve dati personali di altri soggetti, opera come un titolare del trattamento di tali dati personali.
Detentore dei dati: si qualificano come detentori dei dati (data holder) quei soggetti che controllano l’accesso ai dati prontamente disponibili (readily available data).
I detentori dei dati possono includere sia il produttore originale del prodotto connesso, sia le aziende produttrici di software, sia i fornitori di sensori e di altre apparecchiature elettroniche, nella misura in cui ciascuno di essi ha accesso ai dati. La determinazione del data holder dipende non da chi ha prodotto l’hardware o il software, ma da chi controlla l’accesso ai dati prontamente disponibili.
Ove i dispositivi e IoT raccolgano dati personali e il data holder li conservi, riceva, condivida, questi opererà come un titolare del trattamento di tali dati personali.
Terze parti: si intende come terza parte (third party) quel soggetto che, previa richiesta di un utente, può ricevere i dati da parte di un detentore dei dati. Tuttavia, l’accesso ai dati è consentito solo alle terze parti che “si trovano nell’Unione”. Infatti, secondo la Commissione, gli operatori che “non sono presenti nell’UE” non dovrebbero avere accesso ai dati generati all’interno dell’UE.
Ove i dispositivi e IoT raccolgano dati personali e la terza parte li conservi, riceva, condivida, questi opererà come un titolare del trattamento di tali dati personali, ovvero come responsabile del trattamento se fatto per conto terzi.
Dal concetto di prodotti connessi sono esclusi i dispositivi che fungono principalmente da infrastruttura per attività di memorizzazione o trasmissione di dati (es. server e router), salvo che non siano acquistati o comunque concessi in affitto all’utente.
Inoltre, un prodotto connesso rientra nell’ambito di applicazione del Data Act solo se è stato prima immesso sul mercato dell’Unione (Placing on the market), ossia se si è preventivamente verificato un trasferimento della proprietà tra due soggetti economici dopo la fase di produzione del prodotto medesimo.
Pertanto, ai dispositivi e IoT che raccolgano dati personali e non siano ancora stati immessi sul mercato, troverà applicazione solo il GDPR, a cui si aggiungerà anche il Data Act in caso di placing on the market.
- Accesso ai dati da parte dell’utente
A seconda delle misure tecniche adottate by design e by default nella fase di progettazione del prodotto, lo user può accedere ai dati generati da un prodotto connesso con diverse modalità: tramite accesso diretto (senza dover richiedere al detentore dei dati di farlo), oppure tramite accesso indiretto (chiedendo al titolare dei dati l’accesso).
Il Data Act, adottando un approccio restrittivo, precisa che gli utenti hanno il diritto di accedere solamente ai dati generati da un prodotto connesso (ad esempio, un dispositivo mobile) e non anche ai dati generati dall’infrastruttura su cui si muove il prodotto.
Secondo il GDPR, che invece ha preferito stabilire una disciplina più estensiva a cautela degli interessati, ove i dispositivi e IoT raccolgano anche dati personali, l’interessato potrà accedere a tutti i dati personali che lo riguardino e non solo ai dati generati dal prodotto connesso.
- Portabilità dei dati da parte dell’utente
Il Data Act prevede che lo user possa esercitare il proprio diritto di portabilità con riguardo ai dati generati dall’uso di un prodotto connesso, domandando al data holder di condividerli con terze parti.
Il diritto alla portabilità previsto dal Data Act è, in questo caso, più ampio rispetto a quello previsto dal GDPR.
Mentre infatti secondo il Data Act la portabilità può avere ad oggetto dati anche non personali, può essere esercitata da user che non siano anche interessati e soprattutto può essere esercitata senza particolari limiti, il diritto alla portabilità previsto dal GDPR è più restrittivo.
A tutela degli interessati, infatti, il GDPR prevede che la portabilità operi solo se esercitata dall’interessato e se siano soddisfatte alcune condizioni (ad esempio, il trattamento dei dati personali deve essere stato effettuato sulla base del consenso o di un rapporto contrattuale).
Raccomandazioni operative per il settore sanitario
Sulla base delle regole rilevate, gli operatori del settore debbono seguire una serie di raccomandazioni pratiche volte a rafforzare la protezione dei dati personali in ambito sanitario.
- Screening di applicabilità
Gli operatori devono anzitutto verificare se siano soggetti sia al Data Act che al GDPR. Ciò con un assessment puntuale che andrà documentato.
- Definizione di ruoli e responsabilità
Gli operatori devono definire chiaramente i ruoli e le responsabilità, attribuendo sia i ruoli Data Act (user, data owner, third party) che quelli privacy (interessato, titolare del trattamento, responsabile del trattamento) e disciplinandoli in termini sia contrattuali (ad esempio con contratti di cessione dati), che di processo (ad esempio con procedure di gestione e controllo della terza parte).
- Adozione di misure organizzative avanzate
Gli operatori devono informare sia gli user che gli interessati in merito alla condivisione di dati con terzi soggetti, alle finalità, alle basi giuridiche (ad esempio la base contrattuale, ovvero il consenso), alla data retention, ai diritti (che vanno disciplinati sia in termini di processo – ad esempio con procedure di gestione dei diritti degli user e degli interessati – che con specifiche misure tecniche esaminate nel seguito).
Devono inoltre adottare misure quali, tra gli altri, i registri del trattamento, le valutazioni di impatto, le procedure di privacy by design, retention e management delle terze parti.
- Adozione di misure tecniche avanzate
Gli operatori devono implementare sistemi di autenticazione multifattoriale, segmentazione delle reti, controllo degli accessi privilegiati, sistemi di monitoraggio e rilevamento delle intrusioni, aggiornamenti tempestivi dei software e piani di backup testati periodicamente.
Non solo, per la specifica questione della gestione dei diritti devono adottare by design e by default nella fase di progettazione del prodotto, misure che permettano o meno allo user e all’interessato di accedere ai dati generati da un prodotto connesso tramite accesso diretto o indiretto. Devono altresì creare, nel rispetto del principio di minimizzazione, un data model integrato dei dati sub Data Act e di quelli GDPR per agevolare l’esercizio del diritto di accesso e di quello di portabilità.
Con riguardo alla portabilità, gli operatori dovrebbero inoltre adottare misure tecniche capaci di differenziare la gestione più ampia dei dati sub Data Act e quella più ristretta dei dati sub GDPR. Ovvero applicare la normativa più restrittiva, e quindi il GDPR.
- Formazione e sensibilizzazione del personale
La formazione continua degli operatori rappresenta uno strumento essenziale per prevenire comportamenti scorretti o negligenti. È raccomandata l’adozione di programmi annuali di aggiornamento in materia di privacy
- Progettazione
I prodotti connessi devono essere progettati secondo i principi di privacy by design e by default, includendo le valutazioni di rischio e impatto (DPIA) (art. 25 e 35 GDPR).
Conclusioni
Il Data Act introduce importanti novità per il settore sanitario, che si aggiungono ed integrano le regole previste dal GDPR quando i prodotti connessi trattano dati personali, richiedendo un aggiornamento delle proprie misure di sicurezza sia in fase di progettazione che in fase di gestione dei diritti, dei materiali informativi e della governance aziendale.
Occorre dunque dedicare tempo, sforzi e investimenti in informazione, formazione delle risorse, misure di sicurezza, governance responsabile.
Solo così sarà possibile coniugare la libera condivisione di dati promossa dal Data Act con la garanzia dei diritti privacy e data protection scopo del GDPR. Il tutto, per un maggior ma consapevole progresso tecnologico, che tenga sempre al centro la figura del paziente.
Avv. Nadia Martini
(Head of Data protection, Cybersecurity & Innovation – Rödl & Partner)
