Il Regolamento UE 2023/2854, noto come Data Act, pubblicato il 22 dicembre 2023, promuove un approccio armonizzato all’accesso e all’uso dei dati generati da prodotti connessi in tutta l’Unione Europea. Dopo l’entrata in vigore dell’11 gennaio 2024, la piena applicazione del regolamento è prevista per il 12 settembre 2025, con requisiti di progettazione integrata (data‑by‑design) in vigore dal 12 settembre 2026.
Ambito di applicazione: i dispositivi medici connessi
Il Data Act si rivolge a tutti i prodotti connessi che generano o trasmettono dati – dispositivi medici inclusi – come monitor, pompe infusioni, dispositivi impiantabili, scanner, wearable, sensori ingestibili, e applicazioni correlate.
Obblighi per i “Data Holders” nel settore medicale
I Data Holders (es. fabbricanti o fornitori di servizi connessi) devono:
- Fornire informazioni chiare e dettagliate sui dati generati (tipo, formato, frequenza, modalità di accesso, potenziali limiti) già in fase pre‑contrattuale.
- Riprogettare i dispositivi per garantire accesso facile, sicuro e interoperabile ai dati, utilizzando formati standard (JSON, XML, CSV) e API ad hoc.
- Consentire agli utenti o soggetti da loro designati di accedere ai dati in tempo reale, senza ingiustificati ritardi o costi eccessivi.
- Concedere accesso a parti terze business, in modo equo, trasparente e non discriminatorio.
- In situazioni di necessità pubblica straordinaria (es. emergenze sanitarie), poter condividere i dati anche con enti pubblici.
- Se non stabiliti nell’UE, designare un rappresentante legale nell’UE.
Intersezione con il GDPR e il MDR
Il Data Act non sovverte il GDPR: in caso di dati personali condivisi con utenti (es. ospedali) che non siano gli interessati, è fondamentale individuare una base giuridica appropriata, tenendo conto delle indicazioni dell’EDPB-GEPD. Inoltre, questo regolamento si aggiunge al complesso quadro normativo già vigente nel settore medicale, come il Regolamento UE 2017/745 (MDR).
Tempistiche chiave da ricordare
| Data | Evento |
|---|---|
| 11 gennaio 2024 | Entrata in vigore del Data Act |
| 12 settembre 2025 | Piena applicazione del Data Act |
| 12 settembre 2026 | Obblighi di progettazione “data‑by‑design” |
| Entro settembre 2028 | Valutazione della Commissione UE sull’impatto del regolamento EUR-Lexwilmerhale.com |
Implicazioni e raccomandazioni per le imprese di dispositivi medici
- Rivalutare lo stato attuale: verificare se i propri prodotti rientrano nella categoria di “prodotti connessi” e chi è il vero titolare dei dati.
- Implementare una strategia di compliance che includa: revisione tecnologie, architetture dati, contratti, formazione interna e processi di accesso.
- Integrare il rispetto del GDPR, del controllo delle misure di sicurezza e dell’architettura orientata all’utente.
- Prepararsi a fornire dati accessibili e interoperabili in modo efficace e sicuro.
- Monitorare la designazione di un’autorità di controllo nazionale, attesa entro settembre 2025, che definirà sanzioni e modalità applicative.
Concludendo
Il Data Act introduce una trasformazione strategica nella gestione dei dati generati dai dispositivi medici connessi. Spinge verso una maggiore trasparenza, interoperabilità e tutela dei diritti degli utenti — fondamentali nel contesto B2B sanitario. Per le aziende, attivarsi subito è essenziale: sia per rispettare i tempi di compliance, sia per posizionarsi proattivamente come player affidabili e conformi nel futuro ecosistema della data economy europea.
✅ Vuoi prepararti al Data Act con il piede giusto?
Se la tua azienda sviluppa o utilizza dispositivi medici connessi, questo è il momento giusto per valutare l’impatto del nuovo regolamento.
Contattaci per una consulenza personalizzata: analizzeremo insieme il tuo livello di conformità e ti aiuteremo a integrare i requisiti del Data Act nei tuoi processi e prodotti.