Sommario: 1. Profili introduttivi. 2. Cartelle cliniche elettroniche e componenti software armonizzati. 3. Tecnologia standard, conformità e responsabilità. 4. L’ immissione sul mercato e messa in servizio. 5. Immissione sul mercato e messa in servizio in relazione alla responsabilità del produttore ed al concetto di conformità. 6. L’immissione sul mercato e la messa in servizio ed interazioni con il diritto dell’Unione in materia di dispositivi medici, dispositivi medico-diagnostici in vitro e sistemi di IA. 7. Dispositivi medici e dispositivi medici diagnostici in vitro, nella normativa comunitaria attualmente vigente. Gli ulteriori criteri di conformità. 8. L’intelligenza artificiale e sistemi di cartelle cliniche elettroniche.
1. Profili introduttivi.
Il Regolamento EHDS (European Health Data Space), avente una doppia base giuridica rinvenibile negli artt. 16 e 114 del T.U.F.[1] si innesta ampiamente in un quadro normativo comunitario che, partendo dall’oramai noto G.D.P.R., per passare ai più recenti Data Act[2] e Data Governance Act[3], sino a giungere al più recente A.I. Act[4], dimostra la volontà di creare uno spazio europeo di dati, sulla base di comuni principi cardine sottostanti ai citati testi normativi, quali la “condivisione ed accessibilità”[5], il “riutilizzo ed altruismo[6]”, la “fiducia ed affidabilità”[7] e la “sicurezza e controllo”[8].
Ed infatti, come recentemente evidenziato, il regolamento nasce con il duplice scopo di garantire la tutela dei diritti fondamentali della persona e di favorire la libera circolazione dei dati quale presupposto essenziale per lo sviluppo dell’economia digitale europea, ove il dato personale assume la valenza di proiezione della persona e della sua sfera privata ma anche risorsa economica, capace di generare valore all’interno dei mercati digitali attraverso attività di raccolta, elaborazione e analisi[9].
Ci troviamo dunque dinanzi ad un contesto normativo funzionale sia allo sviluppo di strumenti innovativi tecnologici ed infrastrutture volte a migliorare non solo la cooperazione tra Stati membri e lo sviluppo di relazioni (anche economiche e commerciali) tra privati e P.A. sia a tutelare più ampiamente i diritti dei consumatori e, più in particolare (per il Regolamento EHDS), potenziare l’assistenza sanitaria trans-frontaliera.
Già dall’analisi dei considerando del Regolamento EHDS si espongono gli scopi della nuova normativa, quali il miglioramento dell’accesso delle persone fisiche ai loro dati sanitari elettronici personali, del loro controllo, ma anche dello sviluppo e commercializzazione ed uso di sistemi di cartelle cliniche elettroniche, in un contesto di necessaria condivisione di “dati sanitari elettronici” che, appunto, “…siano reperibili, accessibili, interoperabili e riutilizzabili (Considerando 4))”.
In tale contesto vi è una stretta correlazione tra dato e strumento di gestione del medesimo, ovvero tra dato sanitario elettronico e cartella clinica elettronica, nonché tra quest’ultima, i prestatori di assistenza sanitaria, le persone fisiche a cui i dati si riferiscono e, non da ultimo, i produttori e/o fabbricanti di software funzionali a garantire non solo l’accesso ai dati bensì anche la loro interoperabilità a livello comunitario.
Dunque la creazione di un sistema di interoperabilità di cartelle cliniche elettroniche diviene un aspetto non solo a rilevanza giuridica ma anche tecnologica, ove dunque la tecnologia diviene essenziale per la disciplina in commento, con ampia rilevanza sotto i profili più strettamente giuridici.
2. Cartelle cliniche elettroniche e componenti software armonizzati.
Se ai sensi dell’articolo 1 del regolamento si esprime l’intendimento di stabilire norme comuni per i sistemi di cartelle cliniche elettroniche, ai sensi dell’art. 25 le cartelle cliniche elettroniche (CCE) che vengano strutturate in maniera omogenea a livello comunitario devono essere caratterizzate da un componente software europeo di interoperabilità dei sistemi di cartelle cliniche elettroniche e un componente software europeo di registrazione europea dei sistemi di cartelle cliniche elettroniche[10].
Dunque la creazione di un sistema di cartelle cliniche elettroniche[11] richiede, a livello tecnologico, componenti software armonizzati per garantire interoperabilità e standardizzazione, consentendo lo scambio di dati sanitari tra diversi sistemi e facilitando la gestione della salute dei pazienti.
Questi componenti, obbligatori secondo il regolamento UE, includono il “componente software europeo di interoperabilità” e il “componente software europeo di registrazione”, così da consentire ai diversi sistemi CCE di comunicare e scambiare dati in modo sicuro ed efficace nonché di procedere alla loro registrazione, supportando la gestione dei dati personali sanitari e la loro accessibilità ai professionisti sanitari autorizzati, includendo funzioni per la registrazione, l’aggiornamento, l’archiviazione e l’accesso ai dati sanitari e permettendo di generare report e analisi sui dati medesimi, utili per la ricerca e la pianificazione delle politiche sanitarie.
Più in particolare, un componente software europeo di interoperabilità per i sistemi di cartelle cliniche elettroniche è definibile come uno standard di interoperabilità volto a facilitare la comunicazione tra i diversi sistemi a livello transfrontaliero, permettendo lo scambio sicuro e standardizzato di dati sanitari tra i vari paesi membri.
Esso risulta dunque essere il componente software chiave per garantire l’interoperabilità tra i sistemi di CCE europei, con l’obiettivo di consentire ai professionisti sanitari e ai pazienti di accedere ai dati sanitari in modo sicuro ed efficiente, indipendentemente dalla nazione in cui sono conservati, permettendo di migliorare la qualità delle cure, riducendo il rischio di errori e consentendo ai pazienti di accedere alle informazioni mediche ovunque si trovino.
Ci troviamo dunque dinanzi non ad una singola tecnologia ma piuttosto una serie di standard e strumenti che consentono la comunicazione tra sistemi diversi, sulla base di standard comuni di conformità, come evidenziati nell’allegato II del Regolamento in commento[12].
Tuttavia, sino ad oggi, non esisteva un “componente software europeo di registrazione europea dei sistemi di cartelle cliniche elettroniche” nel senso di un database centralizzato o un registro unico. Dunque l’implementazione e la gestione delle cartelle cliniche elettroniche (CCE) sino ad oggi variavano notevolmente da Stato a Stato.
L’introduzione di un componente di registrazione porta dunque ad una standardizzazione di sicurezza per la funzionalità, a titolo di esempio, di inserimento di dati, di creazione di report, di controllo degli accessi e la gestione dei documenti, con stretta connessione con la normativa di cui al G.D.P.R., sulla corretta conservazione dei dati, la loro anonimizzazione e la loro cancellazione.
3. Tecnologia standard, conformità e responsabilità.
La citata standardizzazione tecnologica deve essere collegata al concetto di conformità: ed infatti, l’articolo in commento testualmente afferma che “I sistemi di cartelle cliniche elettroniche comprendono un componente software europeo di interoperabilità dei sistemi di cartelle cliniche elettroniche e un componente software europeo di registrazione europea dei sistemi di cartelle cliniche elettroniche (“componenti software armonizzati di sistemi di cartelle cliniche elettroniche”), conformemente alle disposizioni del presente capo”.
Ed il concetto di conformità, visti gli scopi prefissati nel Regolamento EHDS, deve ricollegarsi in primo luogo alla tutela dei pazienti, nella loro classificazione giuridica di consumatori, mediante un chiaro riferimento anche al Codice del Consumo italiano.
Si ricorda infatti come già l’art. 129 del Codice del consumo nella sua prima versione aveva introdotto un concetto ampio ed onnicomprensivo di difetto di conformità[13], riconducendo ad unitatem i mezzi offerti al consumatore-acquirente al fine di ottenere tutela verso il venditore del bene di consumo così andando ad assorbire le categorie di “vizio”, di “mancanza di qualità essenziali o promesse” e di vendita “aliud pro alio” civilistiche.
Se dunque con il recepimento della direttiva 99/44/CE si era introdotta nel nostro ordinamento la nuova categoria del c.d. difetto di conformità applicabile ad ogni contratto di vendita di beni di consumo (più ampia ed onnicomprensiva delle categorie di vizio sino ad allora utilizzate dal consumatore acquirente per tutelare i propri diritti), l’attuale formulazione dell’art. 129, che ora contempla requisiti soggettivi[14] ed oggettivi[15], fa emergere uno spostamento dell’asse di attenzione dalla mera conformità materiale del bene al valore dell’informazione (concetto non a caso poi citato nell’art. 28 del Regolamento EHDS) ove il legislatore valorizza un principio cardine nella tutela del consumatore, cioè quello dell’affidamento in buona fede sia alla corretta utilizzabilità dei contenuti digitali o digitalizzati di un servizio tecnologico sia alla corretta informazione.
Se si traslano tali concetti, che chiaramente si riferiscono ad una relazione contrattuale business to consumers, all’ambito applicativo della norma in commento, una CCE diviene un prodotto o un servizio digitale, in relazione al quale, i criteri di standardizzazione tecnologica previsti nel citato Allegato II, divengono criteri di “non conformità”, al pari di quanto stabilito nel Codice del consumo in tema di corretta accessibilità, sicurezza, requisiti tecnici del servizio digitale ed appunto chiarezza nell’informazione, con contestuale ipotesi, in caso di violazione dei citati standard, di responsabilità non solo extracontrattuale bensì anche contrattuale.
Tale ultima ipotesi, potrebbe anche ricondursi alla categoria della responsabilità da contatto sociale, notoriamente intesa come forma particolare di responsabilità contrattuale che nasce tuttavia non da un “contratto” bensì da un “contatto sociale”[16], ovvero da un rapporto che si instaura tra due soggetti in virtù (non di un accordo tra le parti) ma di un obbligo legale, quale è quello in analisi e che, secondo la dottrina civilistica italiana, sovente si colloca che in una “zona grigia” tra responsabilità contrattuale ed extracontrattuale[17].
La responsabilità da contatto sociale, che non trova dunque fondamento in un contratto ma piuttosto in un contatto sociale giuridicamente qualificato dall’ordinamento giuridico e produttivo di obblighi di protezione (e che non a caso trova uno dei campi di maggiore applicazione nella responsabilità del medico dipendente dalla struttura sanitaria), sarebbe riconducibile alla categoria delle obbligazioni senza prestazione già citate in passato dalla dottrina[18], e che potrebbe trovare applicazione alla disciplina in commento.
Ma il concetto di “non conformità” rileva anche nei confronti dei fruitori professionisti delle CCE: non si deve infatti escludere come una non conformità alle regole tecniche testé citate, possa in ipotesi realizzare, nei confronti di essi ed a loro favore, una forma di responsabilità contrattuale da inadempimento, ove il carattere dell’inadempimento sarà parametrato alla eventuale assenza di conformità tecnologica come richiesta dal Regolamento EHDS.
4. L’ immissione sul mercato e messa in servizio.
Conformemente a quanto rilevato dall’analisi contenutistica dell’articolo 25, anche l’articolo 26 cita nuovamente il concetto di conformità, questa volta collegandolo soggettivamente ai fabbricanti e, dunque, ai produttori di CCE, ed oggettivamente ad un duplice dato temporale relativo alla immissione sul mercato ed alla messa in servizio, ed ove la conformità ai contenuti tecnici dell’EHDS diviene autorizzazione legale, per i singoli Stati membri, a (dizione in negativo) non vietare o limitare “l’immissione sul mercato dei sistemi di cartelle cliniche elettroniche conformi al presente regolamento per considerazioni relative ad aspetti concernenti i componenti software armonizzati dei sistemi di cartelle cliniche elettroniche disciplinati dal presente regolamento”.
Sempre da un punto di vista oggettivo, questa volta riconducibile in particolare alla corretta individuazione dei sistemi di cartelle cliniche elettroniche, risulta di interesse il richiamo effettuato alla direttiva (UE) 2015/1535 che ha avuto come scopo principale quello di istituire una procedura di informazione nel settore delle regolamentazioni tecniche e delle regole relative ai servizi della società dell’informazione, mirando a prevenire la creazione di nuove barriere al mercato interno, permettendo agli Stati membri di informare la Commissione Europea e gli altri Stati membri su nuovi progetti di regolamentazioni tecniche prima che vengano adottati, evitando così ostacoli alla libera circolazione delle merci e dei servizi.
Se il primo dato di interesse è quello di considerare una CCE non solo un bene materialmente valutabile bensì anche come servizio, l’interconnessione tra l’articolo 26 e la direttiva (UE) 2015/1535 attribuisce maggiore importanza giuridica al concetto di conformità, che riteniamo abbia come destinatari, a fini di tutela, non solo i pazienti consumatori bensì anche i fruitori professionali delle CCE e dei relativi contenuti, e cioè medici, strutture sanitarie ecc…, a cui potrebbe in ipotesi essere contestata una forma di responsabilità che, a “cascata”, potrebbe essere non riconducibile a fatti o ad azioni dirette bensì a fatti o azioni produttive di un danno a carico del paziente, ma derivanti da non conformità del prodotto o servizio “CCE” messo a loro disposizione da parte del produttore o fornitore delle medesime, in violazione appunto delle citate regole di conformità.
Si ricorda infatti, come l’articolo 1, paragrafo 1, lettera b) della direttiva (UE) 2015/1535 definisce “regola tecnica”, un documento che specifica i requisiti relativi a un prodotto o servizio della società dell’informazione, inclusi i processi e i metodi di produzione, o ai metodi e processi di produzione, o ai metodi e processi di erogazione del servizio.
Questi requisiti possono essere espressi in termini di prestazioni, qualità, sicurezza, dimensioni, etichettatura, marcatura o conformità, e possono essere obbligatori o volontari.
In dettaglio, la lettera b) dell’articolo 1, paragrafo 1, della direttiva 2015/1535 specifica che una regola tecnica comprende: specifiche tecniche, ovvero documenti che definiscono le caratteristiche di un prodotto o servizio, come dimensioni, forma, design, prestazioni, ecc…; requisiti, ovvero le condizioni che un prodotto o servizio deve soddisfare per essere conforme a una determinata norma; metodi e processi di produzione, ovvero le istruzioni e le procedure che devono essere seguite per fabbricare un prodotto o erogare un servizio; metodi e processi di erogazione del servizio, ovvero le modalità con cui un servizio viene fornito, inclusi i passaggi e le procedure coinvolte; etichettatura e marcatura, ovvero le informazioni che devono essere presenti sui prodotti, come ad esempio le istruzioni per l’uso o le avvertenze di sicurezza; requisiti di conformità, ovvero le condizioni che devono essere soddisfatte per dimostrare che un prodotto o servizio è conforme a una determinata regola tecnica.
Il combinato disposto di tali norme, riteniamo possa essere utilizzato anche come parametro interpretativo volto ad affermare, in ipotesi di danno, l’applicabilità della disciplina comunitaria e nazionale, in tema di responsabilità del produttore da prodotto difettoso.
Orbene, come rilevato, l’articolo 26 fa un riferimento oggettivo a due momenti temporali specifici in relazione ai sistemi di CCE, ovvero il momento dell’immissione sul mercato e della messa in servizio.
Se da un lato la norma in commento non collega precisi effetti distintivi, in relazione ai due momenti, si evidenzia come la distinzione tra immissione sul mercato e messa in servizio sia fondamentale nel diritto europeo e nazionale, soprattutto in materia di sicurezza dei prodotti e responsabilità del produttore.
I due concetti sono ontologicamente distinti sia giuridicamente che funzionalmente, soprattutto nei settori afferenti macchinari, dispositivi medici, prodotti industriali o elettronici.
Da un lato infatti, l’immissione sul mercato è identificabile come l’atto di rendere disponibile un prodotto per la prima volta, a titolo oneroso o gratuito, per la distribuzione, il consumo o l’uso sul mercato dell’UE, ed è atto eminentemente di natura commerciale (vendita, dono, distribuzione) che avviene prima che il prodotto venga effettivamente utilizzato e che può coincidere con l’importazione, la spedizione o la consegna a un distributore: riteniamo che, da tale momento potrebbe scattare la responsabilità del produttore.
Viceversa, la messa in servizio è definibile come l’atto con cui un prodotto è effettivamente installato, attivato o utilizzato per la prima volta dall’utilizzatore finale, in condizioni di normale esercizio[19] e, a differenza dell’immissione, non è un atto commerciale, ma tecnico-operativo, che presuppone che il prodotto sia già stato immesso sul mercato: riteniamo che tale momento sia rilevante per stabilire la conformità all’uso previsto e il rispetto di requisiti di sicurezza[20] e, in taluni settori (es. medicale), richiede collaudi, registrazioni o autorizzazioni[21].
Se la norma dunque collega i due concetti al requisito della conformità, vietando la realizzazione dei due momenti ove non risulti la conformità al dettato del Capo III, sezione I, considerando altresì la conformità come condicio sine qua non condizionante la realizzazione dei rispettivi momenti, riteniamo che essa non proceda ad una loro differenziazione in relazione al rispettivo ambito giuridico di applicazione.
5. Immissione sul mercato e messa in servizio in relazione alla responsabilità del produttore ed al concetto di conformità.
Pur in assenza di una chiara differenziazione tra i due momenti caratterizzanti l’uso delle CCE, riteniamo sia necessario procedere a taluni chiarimenti.
Dato per accertato che i due momenti abbiano ambiti operativi differenti, in via di interpretazione si può ragionevolmente affermare che la messa in servizio sia momento determinante per valutare la conformità tecnica delle CCE ai canoni tecnologici (già evidenziati e richiamati dall’articolo 25), mentre per la responsabilità del produttore, il momento rilevante sarebbe l’immissione sul mercato.
Tuttavia si noti come l’articolo 26 nell’affermare che “I sistemi di cartelle cliniche elettroniche fabbricati e impiegati nelle istituzioni sanitarie stabilite nell’Unione nonché i sistemi di cartelle cliniche elettroniche offerti come servizi quali definiti all’articolo 1, paragrafo 1, lettera b), della direttiva (UE) 2015/1535 … a una persona fisica o giuridica stabilita nell’Unione sono considerati messi in servizio”, mediante una sorta di fictio iuris, anticipa il concetto di “messa in servizio” anche alla mera fabbricazione e non solo all’impiego effettivo, andando così, in un certo senso, a sfumare le evidenziate differenze.
Circa invece la immissione sul mercato, chiare sono le connessioni con la disciplina sulla responsabilità del produttore per danno da prodotto difettoso.
Nel contesto del mercato globalizzato e dell’evoluzione tecnologica, il rapporto tra produttore e consumatore assume un’importanza sempre più centrale.
In particolare la responsabilità del produttore per i danni causati da prodotti difettosi rappresenta un cardine del diritto della concorrenza e della tutela dei diritti individuali.
L’atto dell’immissione sul mercato di un prodotto non è un gesto neutro, ma implica precisi obblighi e responsabilità specialmente sul piano civilistico.
In tale ambito, si pensi in generale all’ipotesi di utilizzo di un dispositivo medico difettoso, qualora non siano stati adottati tutti gli accorgimenti necessari ad accertare il regolare funzionamento del prodotto, ovvero, in particolare, quando la difettosità del dispositivo -da cui tragga origine il danno- fosse riconoscibile a causa di evidenti alterazioni di tipo strutturale o quando non abbia effettuato un’adeguata attività di manutenzione.
Quanto richiamato in tema di dispositivo medico, in via di interpretazione può chiaramente essere collegato ad una ipotesi di danno causato da non conformità tecnologica alle disposizioni dell’EHDS, in relazione proprio al concetto di immissione sul mercato delle CCE.
L’immissione sul mercato diviene dunque giuridicamente un momento chiave, essendo il momento in cui il prodotto viene per la prima volta reso disponibile a terzi, sia a titolo oneroso che gratuito[22].
È un concetto fondamentale, in quanto segna il punto in cui nasce la responsabilità del produttore e da cui decorrono i termini di prescrizione e decadenza previsti dalla legge.
Ricordiamo infatti come ai sensi della Direttiva (UE) 2024/2853 del Parlamento Europeo e del Consiglio del 23 ottobre 2024 sulla responsabilità per danno da prodotti difettosi (che abroga la direttiva 85/374/CEE del Consiglio) all’art. 7 (relativo alla difettosità del prodotto) si afferma che nel valutare il carattere difettoso di un prodotto sono prese in considerazione tutte le circostanze, tra cui “…. e) il momento in cui il prodotto è stato immesso sul mercato o messo in servizio oppure, qualora il fabbricante mantenga il controllo sul prodotto dopo tale momento, il momento in cui il prodotto è uscito dal controllo del fabbricante”, in relazione al dettato di cui all’art.11, secondo cui un operatore economico non è responsabile del danno causato da un prodotto difettoso se prova “… c) che è probabile che il difetto che ha causato il danno non esistesse al momento in cui il prodotto è stato immesso sul mercato, messo in servizio o, nel caso di un distributore, messo a disposizione sul mercato, o che tale difetto è sopravvenuto dopo tale momento; e) che lo stato oggettivo delle conoscenze scientifiche e tecniche al momento dell’immissione del prodotto sul mercato o della sua messa in servizio oppure durante il periodo in cui il prodotto è stato sotto il controllo del fabbricante non permetteva di scoprire l’esistenza del difetto”[23].
6. L’immissione sul mercato e la messa in servizio ed interazioni con il diritto dell’Unione in materia di dispositivi medici, dispositivi medico-diagnostici in vitro e sistemi di IA.
Ai sensi dell’articolo 27 del regolamento, i fabbricanti di dispositivi medici o dispositivi medico-diagnostici in vitro, che dichiarano l’interoperabilità di tali dispositivi medici o dispositivi medico-diagnostici in vitro con i componenti software armonizzati dei sistemi di cartelle cliniche elettroniche devono dimostrare la conformità alle prescrizioni essenziali relative al componente software europeo di interoperabilità dei sistemi di cartelle cliniche elettroniche e al componente software europeo di registrazione dei sistemi di cartelle cliniche elettroniche; altresì si prescrive che i fornitori di sistemi di IA considerati ad alto e non rientranti nell’ambito di applicazione del regolamento (UE) 2017/745 o (UE) 2017/746 che dichiarano l’interoperabilità di tali sistemi di IA ad alto rischio con i componenti software armonizzati dei sistemi di cartelle cliniche elettroniche devono dimostrare la conformità alle prescrizioni essenziali relative al componente software europeo di interoperabilità per i sistemi di cartelle cliniche elettroniche e al componente software europeo di registrazione per i sistemi di cartelle cliniche elettroniche.
Tale disposizione, chiaramente correlata a quanto richiamato in precedenza, sembrerebbe essere una norma di natura apparentemente ed eminentemente tecnica, invece procede a mettere in relazione, a livello normativo, due specifiche normative comunitarie di grande impatto interpretativo ed applicativo.
Il riferimento è al Regolamento UE 2017/745[24], noto anche come MDR (Medical Device Regulation), che disciplina l’immissione in commercio e la messa in servizio dei dispositivi medici nell’Unione Europea, con l’obiettivo di garantire elevati standard di sicurezza e protezione della salute per i pazienti, al Regolamento 2017/746[25] sui Dispositivi Medico-Diagnostici in Vitro (IVDR) che disciplina l’immissione sul mercato e la messa in servizio di questi dispositivi nell’Unione Europea, stabilendo le regole per la fabbricazione, la commercializzazione e la sorveglianza dei dispositivi medico-diagnostici in vitro, come reagenti, kit di test e software utilizzati per la diagnosi di malattie e, da ultimo, al più volte citato A.I. Act.
Come si avrà modo di approfondire, la nuova disciplina sembra da un lato procedere ad una integrazione con la disciplina relativa ai dispositivi medico diagnostici in vitro e dispositivi medico diagnostici, in funzione della rilevazione e prova della conformità dei medesimi; da altro punto di vista, procede ad effettuare un collegamento tra tali disposizioni a sistemi di A.I. connessi a tal dispositivi, ma che non rientrino nell’ambito di applicazione diretto dei su citati Regolamenti, con particolare riferimento ai fornitori di sistemi di A.I. considerati ad alto rischio.
7. Dispositivi medici e dispositivi medici diagnostici in vitro, nella normativa comunitaria attualmente vigente. Gli ulteriori criteri di conformità.
L’articolo 27 richiama innanzitutto il Regolamento (UE) 2017/745 sui dispositivi medici (MDR – Medical Device Regulation), in vigore dal 26 maggio 2021, che ha sostituito la Direttiva 93/42/CEE (MDD) e la Direttiva 90/385/CEE (AIMDD), con lo scopo di garantire un livello più elevato di sicurezza e performance dei dispositivi medici immessi sul mercato dell’Unione Europea.
Ai sensi del citato Regolamento (art.2) per dispositivo medico si intende “Qualsiasi strumento, apparecchio, impianto, software, materiale o altro articolo, destinato dal fabbricante a essere utilizzato, da solo o in combinazione, sull’uomo, per una o più delle seguenti finalità mediche specifiche…”, quali diagnosi, prevenzione, monitoraggio, previsione, prognosi, trattamento o attenuazione di una malattia; diagnosi, monitoraggio, trattamento, attenuazione o compensazione di una lesione o di una disabilità; studio, sostituzione o modifica dell’anatomia o di un processo fisiologico o patologico e fornitura di informazioni tramite esami in vitro derivati da campioni del corpo umano.
Non a caso tale regolamento è collegato, ai sensi del II comma dell’articolo 26 ai sistemi di A.I. ad alto rischio, in quanto anche per detto Regolamento vige una classificazione dei dispositivi medici fondata sul criterio risk based: al suo allegato II, i dispositivi medici citati sono infatti classificati in base al rischio associato, secondo le regole di classificazione[26].
Il dettato del citato Regolamento si innesta, in funzione di una declaratoria di conformità, con i contenuti dell’articolo 25 dell’EHDS, nel momento in cui si evidenzi una interoperatività con i componenti software armonizzati dei sistemi di cartelle cliniche elettroniche.
Si realizza così un complesso sistema di conformità che, in aggiunta a quanto già evidenziato dall’EHDS, sarà anche caratterizzato da quanto già previsto dal Reg. 2017/745 secondo cui, per essere immesso sul mercato europeo, un dispositivo medico deve essere conforme ai requisiti essenziali di sicurezza e prestazione (Art. 5 e Allegato I).
Il secondo richiamo è alla disciplina sui dispositivi medico-diagnostici in vitro (IVDR): il 26 maggio 2022 è entrato infatti in vigore il Regolamento UE n. 2017/746 sui dispositivi medico-diagnostici in vitro (In Vitro Diagnostic Medical Device Regulation, “IVDR”), che sostituisce la dalla Direttiva 98/79/CE.
L’IVDR ha introdotto numerose novità, in un settore che riveste in ambito europeo una grande importanza nell’assistenza sanitaria, contribuendo in modo rilevante al miglioramento del livello di protezione della salute attraverso lo sviluppo di soluzioni innovative per la diagnosi, la prevenzione, le cure e la riabilitazione.
Il Regolamento è stato emanato proprio al fine di garantire un livello elevato di sicurezza e di salute pubblica, che appianasse le divergenze interpretative tra gli Stati Membri, continuando a salvaguardare la libera circolazione dei prodotti in tutta l’UE e sostenendo, al tempo stesso, i significativi sviluppi scientifici e tecnologici che hanno fortemente caratterizzato gli ultimi decenni, andando a modificare le norme che disciplinano il sistema degli IVD, tenendo conto degli sviluppi del settore negli ultimi vent’anni, con l’obiettivo di garantire un quadro normativo solido, sostenibile, con procedure trasparenti e idoneo a mantenere un elevato livello di sicurezza, favorendo allo stesso tempo l’innovazione[27].
Conformemente a quanto rilevato per il Regolamento 2017/745, anche l’IVDR si fonda su un criterio regolatorio risk based, in funzione di una garanzia di conformità normativa.
L’IVDR ha infatti introdotto un nuovo sistema di classificazione degli IVD, che sostituisce quello basato su “liste” della Direttiva 98/79/CE, ed ove gli IVD sono infatti classificati secondo specifiche regole, in base alla loro destinazione d’uso e al loro potenziale rischio[28], ed ove altresì la classificazione di un dispositivo è in primo luogo responsabilità del fabbricante.
Conformemente dunque alla sistematica dell’EHDS, anche l’IVDR ha cambiato in modo significativo la procedura di rilascio della marcatura CE degli IVD, definita come appunto come “valutazione della conformità”: all’aumentare della classe di rischio, aumenta la complessità dei requisiti richiesti per ottenere la marcatura CE, poiché l’approccio dell’IDVR è basato sul concetto di rischio legato all’uso del dispositivo.
Con l’entrata in vigore dell’EHDS, tale valutazione di conformità subirà una necessaria implementazione secondo il dettato dell’articolo 25, restando applicabile, anche per i fabbricanti di IDV, l’applicazione della disciplina sulla responsabilità del produttore[29].
8. L’intelligenza artificiale e sistemi di cartelle cliniche elettroniche.
Specialmente a seguito della pubblicazione dell’A.I. Act, assistiamo ad una sempre più stretta correlazione tra intelligenza artificiale e software connessi all’utilizzo delle CCE, oggetto di un frenetico percorso di trasformazione digitale in sanità, in un passaggio da un formato cartaceo ad uno elettronico per giungere ad un dato strutturato accessibile anche a livello transfrontaliero. Come infatti si legge in dottrina “… l’adeguamento dell’ordinamento interno all’Ai Act, oltre che al Regolamento sullo spazio europeo dei dati sanitari, rappresenta un’occasione importante di innovazione, dal punto di vista regolatorio, del rapporto tra sanità, ricerca in ambito sanitario e tutela dei dati personali”[30].
Se in tale ambito il valore dell’intelligenza artificiale apporterà sicuri benefici, quali l’abbattimento degli errori clinici o l’automazione delle procedure manuali o l’accelerazione dei flussi amministrativi, assistiamo anche ad un ulteriore elemento su cui riflettere: il valore del dato e le tutele da assicurare specialmente per sistemi di A.I ad alto rischio, ancor più in particolare ove l’A.I sarà utilizzata per gestire una importante mole di dati destrutturati che oggi compone le cartelle cliniche.
È chiaro dunque il motivo per il quale l’EHDS si rivolga anche a tali sistemi di A.I ove si evidenzi, anche in tal caso, l’interoperabilità con i componenti software armonizzati dei sistemi di cartelle cliniche elettroniche.
Se poi si riflette sulle possibili applicazioni dell’A.I. alla disciplina EHDS, quali ad esempio l’estrazione di dati non strutturati (Data Extraction) sulla base di varianti, acronimi, sigle, abbreviazioni ed espressioni personalizzate, l’anamnesi, l’interpretazione di un quesito diagnostico, la “popolazione” automatica di cartelle cliniche partendo da dialoghi in tempo reale (in sede di visita, ad esempio) o da registrazioni vocali, o ancora fornire raccomandazioni personalizzate su percorsi terapeutici o iter diagnostici da percorrere, l’utilizzo di software connessi in generale a dispositivi medici e, in particolare alle CCE, diviene argomento attuale anche in funzione di possibili responsabilità, non solo di natura contrattuale bensì di natura extracontrattuale nei confronti dei pazienti.
Se l’utilizzo di software come componenti di dispositivi medici era contemplato e disciplinato dalla normativa europea ancor prima dell’A.I. Act, ed in particolare nel citato Regolamento UE 2017/745 (che già prevedeva una disciplina specifica per i “software as medical device”, ed in base al quale un software è qualificabile come dispositivo medico e soggetto alla relativa disciplina quando è in grado di modificare i dati ricevuti per fornire informazioni mediche nuove e diverse, nonché quando svolge attività in ambito diagnostico, terapeutico e di controllo di una patologia (anche a supporto di dispositivi medici fisici)), a ciò si aggiunge ora l’articolo 3 dell’A.I. Act che offre una definizione di intelligenza artificiale piuttosto ampia, anche al fine di rendere la disciplina flessibile e aperta a futuri sviluppi tecnologici oggi non prevedibili, comprendendo, in particolare, qualsiasi software (sistema automatizzato) che ha capacità di apprendimento, che è progettato per operare in autonomia e che, perseguendo scopi impliciti o espliciti, genera output che variano da livelli estremi di autonomia (decisioni), a livelli minori di autonomia (raccomandazioni o previsioni).
Conformemente al già rilevato approccio “risk-based” anche l’A.I. Act ha previsto una disciplina graduata in base al relativo livello di rischio prevedendosi sistemi di “rischio inaccettabile” e come tali vietati, sistemi “ad alto rischio” soggetti a specifici obblighi di compliance e, infine, i sistemi “a basso rischio”, soggetti a requisiti minimi di trasparenza e documentazione.
In base a quanto previsto nell’articolo 6 dell’A.I. Act, sono qualificabili “ad alto rischio” i sistemi che sono soggetti a una valutazione di conformità da parte di soggetti terzi e che sono destinati a essere utilizzati come componente di sicurezza o come prodotti disciplinati da una delle normative elencate nell’Allegato I dell’A.I. Act, ove sono menzionati i Regolamenti sui Dispositivi Medici.
Con il richiamo all’A.I. Act, la disciplina EHDS va ad implementare i criteri di conformità già previsti dal testo comunitario, in particolare all’articolo 10 (A.I. Act) che impone l’adozione di misure di c.d. “governance dei dati” ed ove i fabbricanti dovranno, ad esempio, garantire che i dati utilizzati per l’addestramento, convalida e prova dei sistemi di A.I. siano sufficientemente rappresentativi ed esenti da errori e dovranno valutare preventivamente possibili distorsioni suscettibili di incidere sulla salute e sicurezza delle persone[31].
[1] In tal senso, RICCIUTO V., Base giuridica del trattamento del dato sanitario nel contesto dell’EHDS, in Sanità digitale, Regolamento “EHDS” (UE 2025/327) sullo spazio europeo dei dati sanitari, I, (a cura di MORACE PINELLI A.) Pisa, 10 e ss., secondo cui “…l’art. 114 TFUE è volto a migliorare il funzionamento del mercato interno attraverso misure per il ravvicinamento delle norme nazionali, costituendo la chiave di accesso del nostro ordinamento affinché sia il legislatore europeo ad occuparsi di taluni settori per i quali, viceversa, non avrebbe alcuna legittimazione. Tale norma, del resto, dispone, fra l’altro, che nel realizzare l’armonizzazione delle disposizioni legislative, regolamentari ed amministrative degli Stati membri in materia di sanità, sicurezza, protezione dell’ambiente e protezione dei consumatori, sia garantito un livello di protezione elevato, tenuto conto, in particolare, degli eventuali nuovi sviluppi fondati su riscontri scientifici. … Quanto alla seconda base giuridica, invece, viene in rilievo l’art.16 TFUE, secondo cui “ogni persona ha diritto alla protezione dei dati di carattere personale che la riguardano”. I dati sanitari elettronici, ovviamente, sono dati personali “sensibili” o, nell’accezione del GDPR “particolari”, sicché gli aspetti del Regolamento che concernono il trattamento di quei dati ricadono nell’ambito di applicazione della legislazione UE in materia di protezione dei dati. E, tuttavia, l’art. 9 GDPR in via di principio limita il trattamento di tali dati, consentendolo, per esempio, sulla base del consenso esplicito dell’interessato ovvero nelle altre ipotesi ivi previste, alcune delle quali sicuramente rilevanti in ambito sanitario (penso all’ipotesi di cui alle lett. h; i; c dell’art. 9, par. 1, GDPR). Il nuovo Regolamento sui dati sanitari, allora, mira ad ampliare l’uso ed il trattamento di quei particolari dati costituiti dai dati sanitari elettronici”.
[2] Il Data Act (Regolamento (UE) 2023/2854) mira a creare un quadro normativo per la gestione dei dati nell’Unione Europea, con l’obiettivo di favorire la condivisione e l’utilizzo dei dati, in particolare quelli generati dai dispositivi connessi, per promuovere l’innovazione e la competitività, e rafforzare i diritti dei consumatori.
[3] L’atto sulla governance dei dati (Regolamento (UE) 2022/868 del Parlamento europeo e del Consiglio, del 30 maggio 2022, relativo alla governance europea dei dati, che modifica il regolamento (UE) 2018/1724 e recepito dal D. Lgs. 7 ottobre 2024, n. 144 con norme di adeguamento della normativa nazionale) fornisce un quadro per rafforzare la fiducia nella condivisione volontaria dei dati a vantaggio delle imprese e dei cittadini: esso è uno strumento intersettoriale che mira a regolamentare il riutilizzo dei dati pubblici detenuti e protetti, promuovendo la condivisione dei dati attraverso la regolamentazione di nuovi intermediari di dati e incoraggiando la condivisione dei dati a fini altruistici.
[4] Lo scopo del Regolamento sull’Intelligenza Artificiale (Regolamento (UE) del Parlamento europeo e del Consiglio che stabilisce regole armonizzate sull’intelligenza artificiale e modifica i regolamenti (CE) n. 300/2008, (UE) n. 167/2013, (UE) n. 168/2013, (UE) n. 2018/858, (UE) n. 2018/1139 e (UE) n. 2019/2144 e le direttive n. 2014/90/UE, (UE) n. 2016/797 e (UE) n. 2020/1828, c.d. “legge sull’intelligenza artificiale”) è creare un quadro normativo armonizzato per lo sviluppo, l’immissione sul mercato e l’uso di sistemi di intelligenza artificiale (I.A.) nell’Unione Europea.
[5] Sul concetto di condivisione, cfr. GRISAFI R., Il diritto di opporsi ed escludere il trattamento dei dati personali sanitari per uso secondario, in Sanità digitale, Regolamento “EHDS” (UE 2025/327) sullo spazio europeo dei dati sanitari, I, cit., 295 e ss, in spec. 308, nonché PICARO R., Le identità consumeristiche nella società della connettività e della condivisione, Napoli, 2019, 102.
[6] Secondo BRAVO F., Intermediazione dei dati sanitari e diritto alla portabilità, in Sanità digitale, Regolamento “EHDS” (UE 2025/327) sullo spazio europeo dei dati sanitari, I, cit., 45, il concetto “… si indirizza al soddisfacimento di obiettivi di interesse generale, inclusa l’assistenza sanitaria. È una declinazione in senso solidaristico23 dell’attività di intermediazione commerciale sui dati, la quale ultima, tuttavia, può emergere anche in tale settore qualora le organizzazioni per l’altruismo di dati perseguano, unitamente ad un intento altruistico-solidaristico – che dunque non è esclusivo – anche un concomitante scopo lucrativo (puntando a stabilire anche relazioni commerciali tra data users e un numero indeterminato di interessati e data holders)”. Sul medesimo aspetto, cfr. anche VARI F, Lo spazio europeo dei dati sanitari, l’altruismo dei dati e la salus rei publicae, ibidem, 283, secondo cui “L’altruismo dei dati si colloca, dunque, a fianco del riutilizzo dei dati pubblici e della intermediazione dei dati, come strumento per raggiungere lo scopo di “incentivare il mercato dei dati, attraverso la loro condivisione, e di favorire una «sovranità tecnologica europea», nel rispetto dei valori della persona”.
[7] Sul concetto di “fiducia” si veda quanto rilevato da RUGGIERI A., EHDS – EDS: Il ruolo del FSE 2.0 per l’interoperabilità e la condivisione dei dati sanitari, in Sanità digitale, Regolamento “EHDS” (UE 2025/327) sullo spazio europeo dei dati sanitari, I, cit., 484, secondo cui “L’interoperabilità reale, il riuso sicuro dei dati, la protezione dei diritti delle persone e la valorizzazione della conoscenza collettiva non si improvvisano: si costruiscono nel tempo, passo dopo passo, misurando gli impatti, correggendo gli errori, e scalando solo ciò che ha dimostrato di produrre valore reale. In questo senso, più che una conclusione, si impone una presa d’atto della complessità in gioco: il tema è nuovo, esplorativo, e come tale richiede metodo, visione e responsabilità. Solo se si sapranno affrontare per tempo e in maniera coordinata e strutturata i molti nodi ancora da sciogliere, sarà possibile tradurre il potenziale trasformativo dell’EHDS e dell’EDS in un’effettiva opportunità di innovazione sostenibile e di rafforzamento del patto di fiducia tra cittadino, sistema sanitario e istituzioni pubbliche”.
[8] Secondo NATALE G., La sanità digitale. Il Regolamento sullo spazio europeo dei dati sanitari e fonti interne, in Sanità digitale, Regolamento “EHDS” (UE 2025/327) sullo spazio europeo dei dati sanitari, I, cit., 499, “Con l’approvazione del Regolamento sullo spazio europeo dei dati sanitari, le Istituzioni europee intendono esattamente potenziare il controllo delle persone fisiche, favorendone l’accessibilità (c.d. uso primario) nonché promuovendone il riutilizzo per finalità di rilevante interesse pubblico (c.d. uso secondario), in particolare per sostenere la ricerca scientifica e per orientare l’elaborazione di politiche sanitarie su base unionale”.
Lo Spazio Europeo dei Dati sanitari dovrà dunque garantire ai pazienti la possibilità di accedere, in maniera agevole e sicura, ai propri dati sanitari ovunque si trovino nel territorio dell’Unione, ponendo altresì a disposizione della comunità scientifica una base dati affidabile per finalità di interesse pubblico”.
[9] MORACE PINELLI A., Riflessioni introduttive sul regolamento c.d. EHDS, in Sanità digitale, Regolamento “EHDS” (UE 2025/327) sullo spazio europeo dei dati sanitari, cit., XVII e ss., secondo cui “Questa duplice dimensione evidenzia il carattere “bifronte” del dato personale: elemento della personalità e, contemporaneamente, fattore produttivo dell’economia digitale. La crescente digitalizzazione della società e l’utilizzo diffuso delle piattaforme online hanno determinato la produzione di enormi quantità di informazioni, comunemente definite big data. Tali dati acquisiscono valore economico grazie alle tecniche di analisi e di elaborazione algoritmica che permettono di individuare correlazioni, modelli comportamentali e informazioni utili per scopi commerciali, scientifici o organizzativi. Il regolamento EHDS si inserisce dunque nella strategia europea per la creazione di un ecosistema dei dati, che comprende anche altri interventi normativi come il Digital Services Act, il Digital Markets Act, il Data Governance Act e il Data Act. L’obiettivo complessivo è favorire la creazione di spazi europei di condivisione dei dati, garantendo allo stesso tempo elevati livelli di protezione per i cittadini e maggiore competitività per l’economia europea”.
[10] Secondo RICCIUTO V., ult. op. cit., 11, “…nell’EHDS emerge … il tema delle cartelle cliniche elettroniche, consentendo al legislatore europeo di disciplinare ed uniformare le regole del sistema (rendendole direttamente applicabili nei singoli Stati membri) in ottica di mercato, di tutela della concorrenza, di circolazione di questi particolari beni. Ciò giustifica e legittima l’intervento normativo europeo negli ordinamenti nazionali, i quali, laddove non fosse emersa una prospettiva di mercato, avrebbero avuto una competenza esclusiva in materia sanitaria”.
[11] BRAVO F., op. cit., 77, si sofferma su tale concetto, rilevando che “…sistema di cartelle cliniche elettroniche, intesa come «qualsiasi sistema in cui il software oppure la combinazione tra l’hardware e il software del sistema consente ai dati sanitari elettronici personali rientranti nelle categorie prioritarie di dati sanitari elettronici personali stabilite a norma del presente regolamento di essere conservati, intermediati, esportati, importati, convertiti, modificati o visualizzati e destinato dal fabbricante a essere utilizzato dai prestatori di assistenza sanitaria nel fornire cure assistenziali ai pazienti o dai pazienti nell’accedere ai loro dati sanitari elettronici”».
[12] L’allegato II contiene prescrizioni essenziali per i componenti armonizzati dei sistemi di cartelle cliniche elettroniche e per i prodotti per i quali è stata dichiarata l’interoperabilità con tali sistemi, che si applicano, mutatis mutandis, ai dispositivi medici, ai dispositivi medico-diagnostici in vitro, ai sistemi di I.A. e alle applicazioni per il benessere che dichiarano l’interoperabilità con i sistemi di cartelle cliniche elettroniche.
Di seguito le prescrizioni generali: 1.1. I componenti software armonizzati di un sistema di cartelle cliniche elettroniche devono garantire le prestazioni previste dal fabbricante ed essere progettato e fabbricato in modo che, in condizioni di utilizzo normali, siano adatte alla loro destinazione d’uso e il loro utilizzo non metta a rischio la sicurezza dei pazienti. 1.2. I componenti software armonizzati di un sistema di cartelle cliniche elettroniche devono essere progettati e sviluppati in modo che il sistema di cartelle cliniche elettroniche possa essere fornito e installato, tenendo conto delle istruzioni e delle informazioni fornite dal fabbricante, senza alterarne le caratteristiche e le prestazioni durante l’uso previsto. 1.3. Un sistema di cartelle cliniche elettroniche deve essere progettato e sviluppato in modo che le sue caratteristiche di interoperabilità e di sicurezza tutelino i diritti delle persone fisiche, in linea con la destinazione d’uso del sistema, secondo quanto stabilito al capo II. 1.4. I componenti software armonizzati di un sistema di cartelle cliniche elettroniche destinato a funzionare insieme ad altri prodotti, compresi i dispositivi medici, devono essere progettati e fabbricati in modo tale da garantire l’affidabilità e la sicurezza dell’interoperabilità e della compatibilità e la possibilità di condividere dati sanitari elettronici personali tra il dispositivo e il sistema stesso in relazione a tali componenti armonizzati. 2. Prescrizioni in materia di interoperabilità. 2.1. Un sistema di cartelle cliniche elettroniche che sia progettato per conservare o mediare dati sanitari elettronici personali deve offrire un’interfaccia che permette di accedere ai dati sanitari elettronici personali da esso trattati nel formato europeo di scambio delle cartelle cliniche elettroniche, mediante il componente software europeo di interoperabilità dei sistemi di cartelle cliniche elettroniche.
2.2. Un sistema di cartelle cliniche elettroniche che sia progettato per conservare o mediare dati sanitari elettronici personali deve essere in grado di ricevere dati sanitari elettronici personali nel formato europeo di scambio delle cartelle cliniche elettroniche mediante il componente software europeo di interoperabilità dei sistemi di cartelle cliniche elettroniche. 2.3. Un sistema di cartelle cliniche elettroniche che sia progettato per dare accesso ai dati sanitari elettronici personali deve essere in grado di ricevere dati sanitari elettronici personali nel formato europeo di scambio delle cartelle cliniche elettroniche mediante il componente software europeo di interoperabilità dei sistemi di cartelle cliniche elettroniche. 2.4. Un sistema di cartelle cliniche elettroniche che offra una funzionalità per l’inserimento di dati sanitari elettronici personali strutturati deve consentire l’inserimento di dati con un livello di dettaglio sufficiente a consentire la fornitura di dati sanitari elettronici personali nel formato europeo di scambio delle cartelle cliniche elettroniche. 2.5. I componenti software armonizzati di un sistema di cartelle cliniche elettroniche non devono presentare caratteristiche che vietino, limitino o rendano indebitamente gravosi l’accesso autorizzato, la condivisione di dati sanitari personali elettronici o l’uso di dati sanitari elettronici personali per finalità consentite.
2.6. I componenti software armonizzati di un sistema di cartelle cliniche elettroniche non devono presentare caratteristiche che vietino, limitino o rendano indebitamente gravosa l’esportazione autorizzata di dati sanitari elettronici personali al fine di sostituire il sistema di cartelle cliniche elettroniche con un altro prodotto.
3.Prescrizioni in materia di sicurezza e di registrazione. 3.1. Un sistema di cartelle cliniche elettroniche concepito per essere utilizzato da professionisti sanitari deve offrire meccanismi affidabili per l’identificazione e l’autenticazione degli stessi. 3.2. Il componente software europeo di registrazione dei sistemi di cartelle cliniche elettroniche progettato per consentire ai prestatori di assistenza sanitaria o ad altri soggetti di accedere ai dati sanitari elettronici personali deve fornire meccanismi di registrazione adeguati che registrino, per ogni evento o gruppo di eventi di accesso, almeno le informazioni seguenti: a) identificazione del prestatore di assistenza sanitaria o altro soggetto che ha avuto accesso ai dati sanitari elettronici personali; b) identificazione della persona fisica specifica o delle persone fisiche specifiche che hanno avuto accesso ai dati sanitari elettronici personali; c) le categorie dei dati consultati; d) l’ora e la data dell’accesso; e) l’origine o origini dei dati. 3.3. I componenti software armonizzati di un sistema di cartelle cliniche elettroniche devono comprendere strumenti o meccanismi per esaminare e analizzare i dati delle registrazioni o supportare il collegamento e l’uso di software esterni per le medesime finalità. 3.4. I componenti software armonizzati di un sistema di cartelle cliniche elettroniche che archiviano dati sanitari elettronici personali devono supportare periodi di conservazione e diritti di accesso diversi che tengano conto delle origini e delle categorie dei dati sanitari elettronici.
[13] Il concetto di conformità espresso nella direttiva 99/44/CE, esprimeva il tentativo del legislatore comunitario di costituire una base comune alle varie tradizioni giuridiche degli Stati membri introducendo l’ampia categoria di “bene conforme”, ispirandosi all’art.35 della Convenzione di Vienna del 1980, e ricorrente nel caso in cui il bene ricevuto non presenti le caratteristiche, qualità e requisiti necessari per poter essere considerato conforme al contratto, quale che sia la tipologia e la gravità del vizio, ed indipendentemente dal dolo o dalla colpa del venditore.
[14] Ai sensi del novellato art. 129 Cod. Cons. il bene deve avere i seguenti requisiti soggettivi: a) la corrispondenza alla descrizione, al tipo, alla quantità e alla qualità contrattuali; inoltre, la funzionalità, la compatibilità, l’interoperabilità e le altre caratteristiche previste dal contratto di vendita; b) l’idoneità ad ogni utilizzo particolare voluto dal consumatore, che sia stato da questi portato a conoscenza del venditore al più tardi al momento della conclusione del contratto di vendita e che il venditore abbia accettato; c) la completezza, ossia deve essere fornito assieme a tutti gli accessori, alle istruzioni, anche inerenti all’installazione, previsti dal contratto di vendita; d) l’aggiornamento come previsto dal contratto di vendita.
[15] Il bene deve avere anche i seguenti requisiti oggettivi: a) l’idoneità agli scopi per i quali si usano beni di quel tipo, tenendo conto di quanto disposto dalla normativa nazionale ed europea, delle norme tecniche o, in difetto, dei codici di condotta dell’industria applicabili allo specifico settore; b) la qualità e la corrispondenza alla descrizione del campione o modello che il venditore ha messo a disposizione del consumatore prima della conclusione del contratto; c) la completezza, ossia deve essere consegnato assieme agli accessori, compresi imballaggio, istruzioni per l’installazione o altre istruzioni; d) essere della quantità e possedere le qualità e altre caratteristiche, anche in termini di durabilità, funzionalità, compatibilità e sicurezza, ordinariamente presenti in un bene del medesimo tipo e che il consumatore può ragionevolmente aspettarsi, in base alle dichiarazioni pubbliche rese dal venditore, o da altri, compreso il produttore, in particolare nella pubblicità o nell’etichetta.
[16] L’espressione contatto sociale qualificato viene utilizzata con riferimento a quei casi in cui si ravvisa l’esistenza di un rapporto particolare, una “relazione” tra le parti, creatasi prima del verificarsi dell’evento pregiudizievole e connotata dall’affidamento riposto dall’una nei confronti dell’altra, in ragione delle sue particolari qualità (del suo status). In tutte queste ipotesi, sebbene manchi una specifica obbligazione scaturente da un contratto precedentemente stipulato, si ritiene che, in ragione della particolare relazione venutasi a formare tra soggetti determinati, si perda l’elemento dell’estraneità che costituisce il proprium della responsabilità aquiliana.
[17] CASTRONOVO C., La nuova responsabilità civile, Milano, 2006, 443 ss.; Id., La relazione come categoria essenziale dell’obbligazione e della responsabilità contrattuale, in Eur. dir. priv., 2011, 72. Sul tema, in dottrina si è evidenziato (AA.VV. Gli organi nel vigente codice della crisi di impresa, MONTELEONE M. (a cura di), Milano, 2023, 120) che tale tipo di responsabilità non si fonda su un precedente vincolo negoziale, bensì origina da un piano fattuale per effetto dell’intrusione volontaria nella sfera giuridica di un soggetto da parte dell’attività svolta da parte di un operatore giuridico, cui ci si affida in ragione delle sue qualità professionali.
La relazione giuridica qualificata che ne scaturisce, il c.d. “contatto sociale”, nel modo chiarito da DI MAIO A. (Obbligazioni e tutele, Torino, 2019, 58), fa si che sorga tra le parti un rapporto obbligatorio che impegna il soggetto agente a portare a compimento l’attività intrapresa, impiegando la correttezza, diligenza e professionalità necessarie ad evitare il prodursi di pregiudizi in capo all’altra parte.
Detta relazione giuridica è quindi priva di obblighi di prestazione ma comporta degli obblighi di protezione che vanno oltre il generico del neminem ledere: assumendo un contenuto, oltreché negativo, anche positivo. Come spiegato da SANTORO A. (La responsabilità da contatto sociale, Milano, 2012, 2), il dibattito intorno a questa categoria è stato ovviamente incentrato sulla demarcazione del confine tra responsabilità extracontrattuale e responsabilità contrattuale: il tema della responsabilità e il problema della sua unità strutturale ha visto in campo essenzialmente la posizione di coloro i quali valorizzano le convergenze tra le due forme di responsabilità conosciute nel nostro ordinamento propugnando de iure condendo un superamento della distinzione anche sotto il profilo della disciplina, attesa la riductio ad unum delle diverse forme di responsabilità sotto il profilo strutturale (sul tema cfr. BUSNELLI F.D., Verso un possibile riavvicinamento tra responsabilità contrattuale ed extracontrattuale, in Resp. civ. prev., 1977, 784 ss.; GIARDINA F., Responsabilità contrattuale ed extracontrattuale: una distinzione attuale?, in Riv. crit. dir. priv., 1987, 79 ss.; RESCIGNO P., Obbligazioni, (diritto privato). Nozioni generali, voce Enc dir., XXIX, Milano, 1979, 206; ALPA G., Responsabilità civile e danno, Bologna, 1991 17 e ss.; VISINTINI G., Responsabilità contrattuale ed extracontrattuale, voce Enc. giur. Treccani, XXVI, Roma, 1990; ID., Responsabilità contrattuale ed extracontrattuale (Una distinzione in crisi?), in Rass. dir. civ., 1983, 1081 ss.
Dall’altro lato coloro i quali, partendo dal dato positivo incontrovertibile della diversa disciplina prevista de iure condito, rimangono agganciati alla tradizione continuando a ritenere strutturalmente divergenti l’illecito aquiliano rispetto al danno contrattuale (così CASTRONOVO C., op. cit.).
Anche sulla spinta della nuova normativa di stampo comunitario in tema di tutela del contraente consumatore ed ancora più in particolare in tema di pratiche commerciali scorrette, l’evoluzione giurisprudenziale ha portato alla ricostruzione contrattuale di tale forma di responsabilità derivante dal contatto sociale che avviene, come detto, nella fase delle negoziazioni, ove le parti, non più estranee, vengono a contatto con le rispettive sfere giuridiche, contatto da cui deriverebbe l’obbligo di non causare conseguenze negative e deteriorare la sfera giuridica di controparte. In tal senso, Cassazione civile, sez. I, sentenza 12 luglio 2016, n. 14188, in Giur. it., 2016, 2568, con nota di DI MAJO A., La culpa in contrahendo tra contratto e torto. Il contatto sociale sarebbe, nelle parole della Corte, la situazione nella quale, per effetto del rapporto che si è venuto a creare tra le parti e del conseguente affidamento che ciascuna di esse ripone nella buona fede, nella correttezza e nella professionalità dell’altra, si generano tra le stesse obblighi di protezione che precedono e si aggiungono agli obblighi di prestazione scaturenti dal contatto. Da questa premessa, la Corte suprema configura il rapporto tra due parti, che non hanno ancora concluso un contratto ma tra cui esiste una relazione qualificata (connotata dall’affidamento), come rapporto obbligatorio senza obbligo di prestazione. In breve, il contatto sociale qualificato genera, sulla base dell’affidamento, obblighi di protezione e informazione che le parti devono osservare anche in assenza di un vincolo contrattuale; l’inosservanza di questi obblighi, che cagioni una lesione a una parte, ingenera una responsabilità di tipo contrattuale a carico della controparte. Non si chiaramente può omettere di citare la storica sentenza in materia che ha suggellato definitivamente la natura contrattuale della responsabilità del medico alla luce della teoria del contatto sociale, pronunciata da Cass., Sez. Un., 11 gennaio 2008, n. 577, in Danno e resp., 2008, 871 ss., con nota di NICOLUSSI A.
[18] MANNA L., Le obbligazioni senza prestazione. Applicazioni pratiche, in Tratt. obbl., GAROFALO e TALAMANCA (a cura di), vol. I, Tomo III, Padova, 2010, 3.
[19] Tipica per prodotti complessi o destinati a usi industriali, es. macchine, ascensori, dispositivi medici.
[20] Secondo Cass. Civile, Sez. III, 7 marzo 2019, n. 6587, in Foroeuropeo.it, “Ai fini della prova liberatoria, idonea ad escludere la responsabilità ex art. 2050 c.c. per i danni conseguenti alla produzione e immissione in commercio di farmaci, l’impresa farmaceutica è tenuta a dimostrare di avere osservato, prima della produzione e immissione sul mercato del farmaco, i protocolli di sperimentazione previsti dalla legge, e di avere fornito un’adeguata informazione circa i possibili effetti indesiderati dello stesso, aggiornandola – se necessario – in relazione all’evoluzione della ricerca. (Nella specie, la S.C. ha cassato la sentenza che, con riguardo all’effetto indesiderato di un farmaco del quale non si conosceva la causa, riscontrabile con una percentuale di uno su un milione, aveva ritenuto non raggiunta la prova liberatoria nonostante la relativa segnalazione nel foglietto illustrativo)”.
[21] Secondo Cass. Civile, Sez. III, 10 maggio 2021, n. 12225, in Foroeuropeo.it, “Ai sensi dell’art. 117 del d.lgs. n. 206 del 2005 (cd. codice del consumo), come già previsto dall’art. 5 d.P.R. n. 224 del 1988, il livello di sicurezza al di sotto del quale il prodotto deve ritenersi difettoso non corrisponde a quello della sua innocuità, dovendo piuttosto farsi riferimento ai requisiti di sicurezza generalmente richiesti dall’utenza in relazione alle circostanze tipizzate dalla suddetta norma, o ad altri elementi valutabili ed in concreto valutati dal giudice di merito, nell’ambito dei quali rientrano anche gli standard di sicurezza eventualmente imposti da normative di settore. In particolare, la responsabilità del produttore non è esclusa dalla prova di avere fornito, tramite il foglietto illustrativo (cd.bugiardino), un’informazione che si sostanzi in una mera avvertenza generica circa la non sicurezza del prodotto, dovendo piuttosto tale avvertenza consentire al consumatore di effettuare una corretta valutazione dei rischi e dei benefici e di adottare tutte le necessarie precauzioni volte ad evitare l’insorgenza del danno, in modo da esporsi al rischio in maniera volontaria e consapevole. (Nella specie, la S.C. ha confermato la decisione di merito che aveva riconosciuto la responsabilità di una casa farmaceutica per una miopatia dei cingoli causata da un farmaco – il Lipobay 0,2 – considerando non idonee ad escludere detta responsabilità le indicazioni contenute nello specifico foglietto illustrativo)”. Dunque, secondo la Cassazione, l’autorizzazione all’immissione in commercio e le avvertenze di base non esonerano il produttore. Serve un’informazione completa e adeguata affinché il consumatore valuti saldo il rapporto rischio/beneficio, riaffermando il principio secondo cui il difetto si giudica in base “alla sicurezza legittimamente attesa al momento dell’immissione”.
[22] Secondo Cass. Civile, Sez. III, ord. 28 marzo 2025, n. 8224, in doctrine.it, “In tema di responsabilità del produttore per danno da prodotto difettoso, la nozione di “non difettosità”, evincibile dall’art. 117 del d.lgs. n. 206 del 2005, va intesa nelle due accezioni complementari di conformità del prodotto agli standard tecnici e di rispondenza alle legittime aspettative del consumatore, con la conseguenza che affinché un prodotto possa considerarsi non difettoso è necessario non solo che sia formalmente “innocuo”, in ragione della sua conformità agli standard richiesti per la sua immissione in commercio dalla normativa di settore, ma anche che sia sicuro rispetto all’uso che si può ragionevolmente prevedere dello stesso”. La Suprema Corte altresì afferma che “Nella responsabilità per attività pericolosa – la cui natura oggettiva postula che, per fornire la prova liberatoria, l’esercente dimostri di aver fatto tutto il possibile per evitare il danno, non essendo sufficiente provare di aver rispettato la normativa vigente nell’esercizio dell’attività o di non aver commesso alcuna negligenza -, il cd. rischio da sviluppo grava sul danneggiante, il quale è tenuto ad aggiornarsi costantemente sulle misure idonee a prevenire il danno, in ossequio a un onere di diligente attivazione che non si arresta al momento dell’immissione in commercio del bene originato dall’attività stessa; diversamente, nella responsabilità da prodotto difettoso tale rischio non si ripercuote sul produttore poiché, come si evince dal combinato disposto di cui agli artt. 117, comma 1, lett. c) e 118, comma 1, lett. e), cod. cons., l’accertamento della pericolosità si cristallizza al momento dell’immissione in commercio del prodotto”.
[23] Sul tema anche SALANITRO U., La tutela risarcitoria tra GDPR e EHDS: appunti per una ricerca, in Sanità digitale, Regolamento “EHDS” (UE 2025/327) sullo spazio europeo dei dati sanitari, I, cit., 381 e ss. in spec. 389.
[24] Regolamento (UE) 2017/745 del Parlamento europeo e del Consiglio, del 5 aprile 2017, relativo ai dispositivi medici, che modifica la direttiva 2001/83/CE, il regolamento (CE) n. 178/2002 e il regolamento (CE) n. 1223/2009 e che abroga le direttive 90/385/CEE e 93/42/CEE del Consiglio.
[25] Regolamento (UE) 2017/746 del Parlamento europeo e del Consiglio, del 5 aprile 2017, relativo ai dispositivi medico-diagnostici in vitro e che abroga la direttiva 98/79/CE e la decisione 2010/227/UE della Commissione.
[26] Le classi principali sono: Classe I: basso rischio (es. bende, occhiali da lettura); Classe IIa: rischio moderato (es. siringhe, apparecchi diagnostici); Classe IIb: rischio più elevato (es. ventilatori, pompe per infusione); Classe III: alto rischio (es. valvole cardiache, impianti attivi).
[27] La necessità di modificare la normativa di settore nasceva dall’esigenza (comune ai fini dell’EHDS) di assicurare, anche mediante una sempre maggiore armonizzazione, il buon funzionamento del mercato interno all’Unione Europea, innalzando al contempo gli standard di qualità e sicurezza dei dispositivi medici. Ciò nel contesto di un quadro legislativo che pone l’UE quale garante della salute pubblica e della sicurezza dei pazienti.
[28] Gli IVD devono essere riclassificati dal fabbricante secondo una nuova classificazione, che comprende 4 diverse classi, sulla base del rischio associato all’uso del dispositivo: Classe A: è la classe di dispositivi col rischio più baso, che include analizzatori, soluzioni di lavaggio, cunette o altri accessori; Classe B: è la classe di dispositivi con un rischio moderati per il paziente e che include numerosi test utilizzati ad esempio in chimica clinica, autoimmunità, coagulazione etc.; Classe C: include i dispositivi che hanno notevole impatto sullo stato di salute del paziente, come ad esempio i test utilizzati in emergenza o per la rilevazione di parametri vitali, alcuni test di coagulazione, test per lo screening pre-natale, markers cardiaci, markers tumorali, test self-testing per la glicemia, test per la rilevazione di alcuni virus, etc.; Classe D: è la classe di dispositivi con il rischio più alto, che include test che possono avere serio impatto sulla stato della salute di più persone, come ad esempio i test utilizzati prima di una trasfusione o di un trapianto per la determinazione del gruppo sanguigno o di virus come HIV o Epatite B/C/D, e i test per la rilevazione di virus come il SARS-CoV-2.
In aggiunta al sottogruppo di dispositivi diagnostici in vitro per autodiagnosi, o “self-testing”, già presente nella Direttiva IVDD 98/79/CE, l’IVDR ha definito un nuovo sottogruppo di dispositivi medici, definiti come “near-patient testing” (dispositivi per analisi decentrate), che si applica ai dispositivi diagnostici destinati ad essere utilizzati dagli operatori sanitari al di fuori del laboratorio d’analisi, vicino o accanto al paziente. Rientrano ad esempio in questa definizione i dispositivi utilizzati in pronto soccorso, in terapia intensiva o nelle ambulanze.
Tali dispositivi riportano sull’etichetta un nuovo simbolo, che indica l’uso per analisi decentrata (near-patient testing). A questi dispositivi si applicano le stesse regole di classificazione (classi A, B, C, D) incluse nell’IVDR, in base al rischio associato all’uso del dispositivo. Per i dispositivi near-patient testing, l’IVDR richiede requisiti maggiori per quanto riguarda le informazioni fornite dal fabbricante del dispositivo (le istruzioni per l’uso) che devono essere interpretate in modo corretto da tutti i possibili utilizzatori al di fuori del laboratorio e specificare la qualifica richiesta per l’utilizzatore stesso.
[29] Ed infatti, al pari dell’impostazione della disciplina sulla responsabilità del produttore per danno da prodotto difettoso, anche l’IDVR attribuisce rilevanza alla filiera della produzione e della distribuzione, prevedendo non solo per i fabbricanti, ma anche per gli importatori e i distributori dei dispositivi, nuove responsabilità e obblighi. Infatti, in base all’IDVR i distributori prima di immettere un IVD sul mercato europeo devono verificare la corretta marcatura CE ed etichettatura del prodotto, rimanere a disposizione e cooperare in caso di qualsiasi domanda da parte delle autorità competenti europee (come il Ministero della Salute) e collaborare col fabbricante in caso di reclami da parte del cliente o di azioni di sicurezza o di richiami del prodotto dopo la commercializzazione.
Ai sensi dell’art. 10 IVDR, i fabbricanti devono disporre di sistemi per la gestione del rischio e la gestione della qualità; effettuare valutazioni delle prestazioni; redigere e tenere aggiornata la documentazione tecnica; applicare una procedura di valutazione della conformità.
I fabbricanti sono altresì responsabili dei propri dispositivi una volta che questi sono stati immessi sul mercato; essi devono infatti adottare le opportune azioni correttive, registrare e segnalare incidenti nonché fornire alle autorità adeguate prove di conformità e devono disporre di sistemi atti a coprire la loro responsabilità finanziaria per i danni causati da dispositivi difettosi.
[30] STANZIONE P., Intelligenza artificiale, dati sanitari e FSE nel quadro sanitario dell’Unione europea, in Sanità digitale, Regolamento “EHDS” (UE 2025/327) sullo spazio europeo dei dati sanitari, cit., 5, ove l’A. altresì rileva “L’Ai Act, in particolare, sottende un ragionevole e condivisibile favor per la ricerca in ambito sanitario, sempre più data intensive. Se, infatti, si riconducono alla fascia di alto rischio i sistemi di i.a. correlati a prestazioni sanitarie, tuttavia la sanità costituisce uno degli obiettivi di interesse pubblico che, nel regolamento, legittima l’ulteriore trattamento dei dati personali nello spazio di sperimentazione normativa per l’i.a., con le garanzie necessarie ad evitare un uso distorsivo degli algoritmi, tanto più pericoloso in quest’ambito”. Sempre in tema di I.A., si legga quanto evidenziato da BATTELLI E., Neurodati, IA e dispositivi medici, ibidem, 202 e 218, secondo cui “Per certo l’accesso universale all’IA in campo medico e un accesso equo e paritario all’assistenza sanitaria che utilizzi l’IA rappresentano un obiettivo futuro importante e all’oggi un discrimine estremamente rilevante, considerando che la messa in commercio di un numero crescente di dispositivi che utilizzano tali funzioni in diversi campi della medicina risulta confermata anche di recente proprio nello “Spazio Europeo”.
[31] Gli obblighi di conformità e prevenzione dei rischi previsti dall’A.I. Act dovranno essere inoltre rispettati non solo dai fabbricanti ma da tutti gli operatori della catena del valore dell’A.I., come fornitori, utilizzatori, importatori, distributori e rappresentanti autorizzati.
#Adessonews seleziona nella rete articoli di particolare interesse.
Se vuoi leggere l’articolo completo clicca sul seguente link
paolalicci
Source link
