A Lei de Proteção de Dados Pessoais Digitais (Lei DPDP) de 2023 e o seu impacto na indústria indiana de dispositivos médicos

À medida que o setor da saúde prossegue a sua rápida transformação digital com dispositivos médicos conectados, plataformas de telemedicina, dispositivos vestíveis e Software como Dispositivo Médico (SaMD), a proteção dos dados dos pacientes tornou-se uma prioridade fundamental. Para além da conformidade regulamentar, a privacidade dos dados desempenha agora um papel central na construção da confiança dos pacientes e na garantia de uma prestação de cuidados de saúde ética. A Lei de Proteção de Dados Pessoais Digitais (DPDP) da Índia , de 2023, estabelece um quadro abrangente para a salvaguarda dos dados pessoais digitais. Para os fabricantes de dispositivos médicos e as empresas de saúde digital, a lei marca uma mudança significativa na forma como os dados dos pacientes devem ser recolhidos, processados, armazenados e protegidos ao longo do ciclo de vida do produto.

Por que a Lei DPDP é importante para os fabricantes de dispositivos médicos

Os dados de saúde estão entre as formas mais sensíveis de informação pessoal. Os dispositivos médicos modernos e as soluções digitais de saúde recolhem regularmente dados altamente detalhados — tais como sinais cardíacos, leituras de glicose, dados de imagiologia e métricas de saúde comportamental — que podem revelar informações profundamente pessoais sobre os indivíduos. Embora regulamentos existentes , como as Regras sobre Dispositivos Médicos (MDR) de 2017 e a Lei de Tecnologia da Informação de 2000, abordem, em certa medida, a segurança dos dispositivos e a cibersegurança, a Lei DPDP reforça a responsabilização e introduz uma abordagem centrada no paciente à governança de dados.

Para os fabricantes de dispositivos médicos e os fornecedores de software para o setor da saúde, a conformidade com a DPDP exige:

• Implementação de mecanismos robustos de proteção de dados e cibersegurança
• Obtenção do consentimento explícito e informado do paciente para o tratamento de dados
• Demonstrar a integração da privacidade desde a conceção ao longo do desenvolvimento, implementação e atividades pós-comercialização dos dispositivos

Âmbito de aplicação da Lei DPDP no setor da saúde

A Lei DPDP aplica-se a todos os dados pessoais digitais, quer sejam recolhidos diretamente em formato digital, quer sejam digitalizados numa fase posterior. No contexto dos cuidados de saúde e dos dispositivos médicos, isto inclui:

• Dados dos pacientes recolhidos por dispositivos de diagnóstico ou monitorização conectados
• Informações de saúde transmitidas através de dispositivos médicos ligados à nuvem
• Dados armazenados em plataformas de telemedicina ou em sistemas de informação hospitalares
• Dados pessoais tratados por software médico com inteligência artificial e aplicações móveis de saúde

É de salientar que a lei se aplica tanto a entidades indianas como estrangeiras que ofereçam produtos ou serviços de saúde a particulares na Índia, alargando o seu reach operações globais no setor das tecnologias médicas.

Funções-chave definidas ao abrigo da Lei DPDP

A lei define claramente as responsabilidades em todo o ecossistema de dados:

• Titular dos dados: A pessoa (paciente ou utilizador) cujos dados pessoais estão a ser tratados
• Responsável pelo tratamento de dados: A entidade que determina a finalidade e os meios do tratamento de dados (por exemplo, fabricantes de dispositivos médicos, hospitais, prestadores de cuidados de saúde)
• Subcontratante: Terceiros, tais como prestadores de serviços na nuvem ou fornecedores de TI, que tratam dados em nome de um fiduciário
• Responsável por Dados Significativos (SDF): Organizações que tratam de grandes volumes de dados pessoais sensíveis — incluindo, frequentemente, empresas de tecnologia médica, SaMD e de saúde digital

Obrigações fundamentais para as empresas de dispositivos médicos

Consentimento e transparência

Antes de recolher ou tratar dados pessoais, o consentimento deve ser livre, informado, específico e inequívoco. O aviso fornecido aos pacientes deve explicar claramente:

• O tipo de dados recolhidos
• Finalidade do tratamento (por exemplo, diagnóstico, acompanhamento, investigação clínica)
• Prazos de retenção de dados
• Qualquer partilha ou transferência transfronteiriça de dados

Os doentes devem também poder retirar o seu consentimento facilmente em qualquer fase.

Minimização de dados e limitação da finalidade

As empresas de dispositivos médicos devem recolher apenas os dados necessários para os fins médicos ou regulamentares a que o dispositivo se destina. Por exemplo, um submissão de um dispositivo de diagnóstico não submissão solicitar dados pessoais não relacionados, a menos que exista uma necessidade legítima e justificada.

Armazenamento e retenção seguros de dados

Os dados pessoais devem ser protegidos através de medidas de segurança técnicas e organizacionais adequadas. Os dados devem ser conservados apenas durante o tempo necessário para fins clínicos, regulamentares ou legais e eliminados de forma segura assim que esses fins forem cumpridos, a menos que a conservação seja exigida por lei.

Prevenção e notificação de violações

Os fabricantes devem implementar controlos de segurança rigorosos, tais como encriptação, gestão de acessos e monitorização contínua. Em caso de violação de dados, tanto a Comissão de Proteção de Dados da Índia (DPBI) como as pessoas afetadas devem ser notificadas imediatamente.

Proteção dos dados das crianças

Os dispositivos e aplicações concebidos para menores exigem o consentimento parental comprovável e devem evitar o rastreio, a criação de perfis ou análises direcionadas que envolvam crianças.

Direitos dos doentes e dos utentes

A Lei DPDP confere aos doentes um maior controlo sobre os seus dados pessoais, incluindo o direito de:

• Aceder a informações sobre a forma como os seus dados são tratados
• Solicitar a correção ou a supressão de dados incorretos ou desatualizados
• Retirar o consentimento a qualquer momento
• Nomear um representante em caso de falecimento ou incapacidade

Para garantir estes direitos, os fabricantes de dispositivos médicos devem implementar interfaces digitais de fácil utilização, mecanismos de resolução de reclamações ou serviços de apoio ao utilizador específicos.

Foco especial: Software como dispositivo médico (SaMD)

No que diz respeito às soluções de saúde digital baseadas em SaMD IA, a conformidade com o DPDP vai além da proteção básica de dados, abrangendo a utilização responsável dos dados e a transparência algorítmica. As principais considerações incluem:

• Manter a rastreabilidade e a documentação dos dados utilizados no desenvolvimento de software e na formação de modelos de IA
• Utilizar conjuntos de dados anonimizados ou pseudonimizados sempre que possível
• Garantir que o consentimento abranja qualquer utilização secundária dos dados dos doentes
• Incorporar princípios de privacidade nos processos do ciclo de vida do software, em conformidade com a norma IEC 62304 e os quadros de cibersegurança

Aplicação e sanções

A Lei DPDP autoriza a Comissão de Proteção de Dados da Índia a monitorizar o cumprimento da lei, investigar violações e aplicar sanções. O incumprimento pode implicar multas até 2,5 mil milhões de rupias, dependendo da gravidade e da natureza da violação.

Para os fabricantes de dispositivos médicos, isto realça a importância de integrar medidas de proteção de dados nos Sistemas de Gestão da Qualidade (SGQ), nos controlos de conceção e nos processos de gestão de riscos.

Integração da conformidade com a DPDP no ecossistema regulatório dos dispositivos médicos

Os requisitos do DPDP estão em estreita consonância com as normas existentes relativas aos dispositivos médicos e à qualidade, incluindo:

• Regulamento relativo aos dispositivos médicos (MDR), de 2017 – segurança, desempenho e vigilância pós-comercialização
• ISO 13485 – sistemas de gestão da qualidade para dispositivos médicos
• IEC 62304 – Processos do ciclo de vida do software de dispositivos médicos
• ISO 14971 – gestão de riscos para dispositivos médicos

Ao integrar a conformidade com a DPDP nestas estruturas, os fabricantes podem alcançar um alinhamento regulamentar abrangente, reforçar a preparação para auditorias e reduzir os riscos de conformidade.

Na Freyr Solutions, ajudamos as empresas de dispositivos médicos e de saúde digital a cumprir a Lei de Proteção de Dados Pessoais Digitais (Lei DPDP) de 2023, garantindo simultaneamente uma integração harmoniosa com a regulamentação existente em matéria de dispositivos médicos e com os quadros globais de proteção de dados.