La legge sulla protezione dei dati personali digitali (DPDP Act) del 2023 e il suo impatto sul settore indiano dei dispositivi medici

Mentre il settore sanitario prosegue la sua rapida trasformazione digitale grazie a dispositivi medici connessi, piattaforme di telemedicina, dispositivi indossabili e Software as a Medical Device (SaMD), la protezione dei dati dei pazienti è diventata una priorità fondamentale. Al di là della conformità normativa, la privacy dei dati svolge ora un ruolo centrale nel costruire la fiducia dei pazienti e nel garantire un'erogazione etica dell'assistenza sanitaria. La legge indiana sulla protezione dei dati personali digitali (DPDP) del 2023 stabilisce un quadro completo per la salvaguardia dei dati digitali personali. Per produttori di dispositivi medici produttori le aziende di sanità digitale, la legge segna un cambiamento significativo nel modo in cui i dati dei pazienti devono essere raccolti, trattati, conservati e protetti durante l'intero ciclo di vita del prodotto.

Perché la legge DPDP è importante per produttori di dispositivi medici

I dati sanitari sono tra le forme più sensibili di informazioni personali. I moderni dispositivi medici e le soluzioni sanitarie digitali acquisiscono regolarmente dati altamente granulari — quali segnali cardiaci, valori glicemici, dati di imaging e metriche comportamentali relative alla salute — in grado di rivelare informazioni profondamente personali sugli individui. Sebbene le normative esistenti , quali le Medical Device Rules (MDR) del 2017 e l’Information Technology Act del 2000, affrontino in una certa misura la sicurezza dei dispositivi e la sicurezza informatica, il DPDP Act rafforza la responsabilità e introduce un approccio incentrato sul paziente alla governance dei dati.

Per produttori di dispositivi medici produttori i fornitori di software per il settore sanitario, la conformità al DPDP richiede:

• Implementazione di solidi meccanismi di protezione dei dati e di sicurezza informatica
• Ottenere il consenso esplicito e informato del paziente al trattamento dei dati
• Dimostrare l’integrazione della privacy fin dalla progettazione nelle fasi di sviluppo, implementazione e attività post-commercializzazione dei dispositivi

Ambito di applicazione della legge DPDP nel settore sanitario

La legge DPDP si applica a tutti i dati personali digitali, sia che siano stati raccolti direttamente in formato digitale sia che siano stati digitalizzati in un secondo momento. Nel settore sanitario e dei dispositivi medici, ciò comprende:

• Dati dei pazienti raccolti da dispositivi diagnostici o di monitoraggio collegati
• Informazioni sanitarie trasmesse tramite dispositivi medici connessi al cloud
• Dati archiviati nelle piattaforme di telemedicina o nei sistemi informativi ospedalieri
• Dati personali trattati da software medici basati sull'intelligenza artificiale e da applicazioni mobili per la salute

In particolare, la legge si applica sia alle entità indiane che a quelle straniere che offrono prodotti o servizi sanitari a persone fisiche in India, estendendo reach proprio reach attività globali nel settore delle tecnologie mediche.

Ruoli chiave definiti ai sensi della legge DPDP

La legge definisce chiaramente le responsabilità all'interno dell'ecosistema dei dati:

• Titolare del trattamento: la persona fisica (paziente o utente) i cui dati personali sono oggetto del trattamento
• Titolare del trattamento: il soggetto che determina le finalità e le modalità del trattamento dei dati (ad esempio, produttori di dispositivi medici, ospedali, operatori sanitari)
• Responsabile del trattamento: soggetti terzi, quali fornitori di servizi cloud o fornitori di soluzioni IT, che trattano i dati per conto di un fiduciario
• Responsabile del trattamento di dati sensibili (SDF): organizzazioni che gestiscono grandi volumi di dati personali sensibili, tra cui spesso figurano aziende operanti nei settori della tecnologia medica, SaMD) e della sanità digitale

Obblighi fondamentali per le aziende produttrici di dispositivi medici

Consenso e trasparenza

Prima di raccogliere o trattare dati personali, il consenso deve essere libero, informato, specifico e inequivocabile. L'informativa fornita ai pazienti dovrebbe spiegare chiaramente:

• Il tipo di dati raccolti
• Finalità del trattamento (ad es. diagnosi, monitoraggio, ricerca clinica)
• Periodi di conservazione dei dati
• Qualsiasi condivisione o trasferimento transfrontaliero di dati

I pazienti devono inoltre poter revocare facilmente il proprio consenso in qualsiasi momento.

Riduzione al minimo dei dati e limitazione delle finalità

Le aziende produttrici di dispositivi medici dovrebbero raccogliere solo i dati necessari ai fini medici o normativi previsti per il dispositivo. Ad esempio, un'applicazione diagnostica non dovrebbe richiedere dati personali non pertinenti, a meno che non sussista una necessità legittima e giustificata.

Archiviazione e conservazione sicura dei dati

I dati personali devono essere protetti mediante adeguate misure tecniche e organizzative. I dati devono essere conservati solo per il tempo necessario a fini clinici, normativi o legali e devono essere cancellati in modo sicuro una volta raggiunti tali scopi, a meno che la conservazione non sia prevista dalla legge.

Prevenzione e notifica delle violazioni

produttori adottare rigorose misure di sicurezza quali la crittografia, la gestione degli accessi e il monitoraggio continuo. In caso di violazione dei dati, è necessario informare tempestivamente sia il Data Protection Board of India (DPBI) sia le persone interessate.

Protezione dei dati dei minori

I dispositivi e le applicazioni destinati ai minori richiedono il consenso verificabile dei genitori e devono evitare il tracciamento, la profilazione o le analisi mirate che coinvolgano i bambini.

Diritti dei pazienti e degli utenti

La legge DPDP conferisce ai pazienti un maggiore controllo sui propri dati personali, compreso il diritto di:

• Accedere alle informazioni relative al trattamento dei propri dati
• Richiedere la rettifica o la cancellazione di dati inesatti o non più aggiornati
• È possibile revocare il consenso in qualsiasi momento
• Designare un rappresentante in caso di decesso o incapacità

Per garantire il rispetto di tali diritti, produttori di dispositivi medici produttori dotarsi di interfacce digitali di facile utilizzo, meccanismi di risoluzione dei reclami o servizi di assistenza dedicati.

Approfondimento: Il software come dispositivo medico (SaMD)

Per quanto riguarda le soluzioni di sanità digitale basate su SaMD sull'intelligenza artificiale, la conformità al DPDP va oltre la semplice protezione dei dati e comprende l'uso responsabile dei dati e la trasparenza algoritmica. Tra gli aspetti chiave da considerare figurano:

• Garantire la tracciabilità e la documentazione dei dati utilizzati nello sviluppo di software e nell'addestramento dei modelli di intelligenza artificiale
• Utilizzare, ove possibile, set di dati anonimizzati o pseudonimizzati
• Garantire che il consenso copra qualsiasi utilizzo secondario dei dati dei pazienti
• Integrazione dei principi di protezione della privacy nei processi del ciclo di vita del software, in conformità con la norma IEC 62304 e i quadri normativi in materia di sicurezza informatica

Applicazione e sanzioni

La legge DPDP autorizza l'Autorità indiana per la protezione dei dati a vigilare sul rispetto delle norme, indagare sulle violazioni e infliggere sanzioni. La mancata osservanza delle norme può comportare multe fino a 2,5 miliardi di rupie, a seconda della gravità e della natura della violazione.

Per produttori di dispositivi medici, ciò evidenzia l'importanza di integrare le misure di protezione dei dati nei sistemi di gestione della qualità (SGQ), nei controlli di progettazione e nei processi di gestione dei rischi.

L'integrazione della conformità al DPDP nell'ecosistema normativo dei dispositivi medici

I requisiti del DPDP sono strettamente in linea con gli standard esistenti in materia di dispositivi medici e di qualità, tra cui:

• Regolamento sui dispositivi medici (MDR), 2017 – sicurezza, prestazioni e sorveglianza post-commercializzazione
• ISO 13485 – sistemi di gestione della qualità per i dispositivi medici
• IEC 62304 – Processi relativi al ciclo di vita del software dei dispositivi medici
• ISO 14971 – Gestione dei rischi per i dispositivi medici

Integrando la conformità al DPDP in questi sistemi, produttori garantire un allineamento normativo completo, rafforzare la preparazione alle verifiche e ridurre i rischi di non conformità.

Noi di Freyr Solutions aiutiamo le aziende del settore dei dispositivi medici e della sanità digitale ad adeguarsi alla legge sulla protezione dei dati personali digitali (DPDP Act) del 2023, garantendo al contempo una perfetta integrazione con le normative vigenti in materia di dispositivi medici e con i quadri normativi globali sulla protezione dei dati.