Sintesi del parere del Garante europeo della protezione dei dati sulle proposte della Commissione relative a un regolamento sui dispositivi medici e recante modifica della direttiva 2001/83/CE, del regolamento (CE) n. 178/2002 e del regolamento (CE) n. 1223/2009 nonché relative a un regolamento sui dispositivi medico-diagnostici in vitro

Sintesidel parere del Garante europeo della protezione dei dati sulle proposte dellaCommissione relative a un regolamento sui dispositivi medici e recante modificadella direttiva 2001/83/CE, del regolamento (CE) n. 178/2002 e del regolamento(CE) n. 1223/2009 nonché relative a un regolamento sui dispositivimedico-diagnostici in vitro

(Pubblicato sulla GUUE n. C 358 del 7/12/2013)

1. Introduzione

1.1. Consultazionedel GEPD

1. Il 26settembre 2012 la Commissione ha adottato due proposte di regolamento suidispositivi medici (´la proposta di regolamento sui MDª) ( 1 ) e di regolamento relativo aidispositivi medico-diagnostici in vitro (´la proposta di regolamento sugliIVDª) ( 2 ). Taliproposte sono state trasmesse al GEPD per consultazione il 2 ottobre 2012.

2. Il GEPD sicompiace di essere stato consultato dalla Commissione e raccomanda che vengainserito un riferimento alla consultazione nei preamboli delle proposte diregolamento.

1.2. Obiettivie ambito di applicazione della proposta di regolamento

3. Le propostedi regolamento mirano a garantire la sicurezza dei dispositivi medici (´MDª) ( 3 ) e dei dispositivimedico-diagnostici in vitro (´IVDª) ( 4 ) nonché la loro libera circolazione nel mercato interno,modificando e chiarendo l'ambito di applicazione della normativa esistente inmodo da tenere conto dei progressi scientifici e tecnologici. Tali propostecontengono quadri giuridici concernenti l'utilizzo della banca dati elettronicadei dispositivi medici (Eudamed) ( 5 ) a livello di UE, con l'intento di favorire il coordinamento traautorità per assicurare risposte rapide e coerenti alle questioni sullasicurezza, aumentare la tracciabilità dei dispositivi lungo tutta la catena difornitura e chiarire gli obblighi e le responsabilità di fabbricanti,importatori e distributori. Dette proposte, inoltre, rafforzano i vari livellidi sorveglianza illustrando e migliorando la posizione e i poteri delleautorità pubbliche nei confronti degli operatori economici.

1.3. Scopodel parere del GEPD

4. Le propostedi regolamento riguardano i diritti delle persone connessi al trattamento deiloro dati personali e affrontano, tra l'altro, la questione legata altrattamento di dati sensibili (riguardanti la salute) e alla presenza di unabanca dati centrale a livello di Unione che include dati personali,sorveglianza del mercato ( 6 ) e registrazione dei dati.

5. Il GEPDaccoglie con favore il fatto che la Commissione si sia impegnata a garantire lacorretta applicazione delle norme UE concernenti la tutela dei dati personalinelle proposte di regolamento. Tuttavia, il Garante avverte la necessità dialcuni chiarimenti, in particolare per quanto riguarda i dati sensibili,soprattutto quando questa categoria di dati personali è soggetta a trattamentoe archiviazione nella banca dati di cui alle proposte. Il GEPD, infatti, harilevato alcune ambiguità e incoerenze nelle modalità in cui le proposte diregolamento affrontano la questione relativa al trattamento o non trattamentodei dati personali e a quali categorie di dati personali tale trattamento siapplichi, specialmente nei casi in cui possano essere trattati e archiviati idati sensibili sulla salute.

3. Conclusioni

40. Il GEPD accogliecon favore l'attenzione rivolta specificamente alla protezione dei dati nelleproposte di regolamento, ma ha individuato un certo margine per ulteriorimiglioramenti.

41. Il Garanteraccomanda:

— chel'articolo 85 della proposta di regolamento sui MD e l'articolo 81 dellaproposta di regolamento sugli IVD chiariscano il riferimento alla direttiva95/46/CE, specificando che le disposizioni si applicheranno in conformità allenorme nazionali di attuazione della direttiva 95/46/CE,

— diinserire all'articolo 85 della proposta di regolamento sui MD e all'articolo 81della proposta di regolamento sugli IVD un riferimento esplicito all'articolo 8della direttiva 95/46/CE e all'articolo 10 del regolamento (CE) n. 45/2001,

— diintrodurre nell'articolo 25 della proposta di regolamento sugli IVD paragrafisimili sulle finalità del trattamento dei dati, sui diritti degli interessati esui periodi di conservazione dei dati, di cui all'articolo 27 della proposta diregolamento sui MD, fatte salve le modifiche suggerite nel presente parere,

— diintegrare una definizione del termine ´soggettoª nelle proposte di regolamento,

— diimpedire inequivocabilmente l'inclusione di tutti i dati sanitari dei pazientinel modulo di indagini cliniche della banca dati Eudamed,

— diinserire disposizioni nelle proposte di regolamento sui MD e sugli IVD atte adefinire in modo chiaro le situazioni in cui e in base a quali garanzie leinformazioni contenenti dati sanitari dei pazienti saranno trattate earchiviate nella banca dati Eudamed relativa alla vigilanza e alla sorveglianzapost-commercializzazione. In particolare, è necessario che la proposta diregolamento preveda l'esecuzione di una valutazione dei rischi da parte dellaCommissione anteriormente al trattamento e all'archiviazione di dati sanitaridi pazienti nella banca dati Eudamed,

— diprecisare in un considerando di entrambe le proposte di regolamento cheeventuali misure di attuazione da adottare ai sensi di dette proposte devonospecificare in dettaglio le implicazioni per i dati personali determinate dallecaratteristiche funzionali e tecniche della banca dati Eudamed e la necessitàdi consultare il GEPD,

— dimenzionare esplicitamente che le relazioni periodiche di cui all'articolo 61della proposta di regolamento sui MD e all'articolo 59 della proposta diregolamento sugli IVD devono avvalersi esclusivamente di dati anonimi,

— diaggiungere la seguente frase all'articolo 8, paragrafo 6, di entrambe leproposte di regolamento: ´Prima di qualsiasi trattamento dei dati relativi allasalute dei pazienti, i fabbricanti ottengono il consenso esplicito dei soggettiinteressati conformemente all'articolo 8, paragrafo 2, lettera a), delladirettiva 95/46/CEª,

— diaggiungere disposizioni che disciplinano la gestione dei dati personali perquanto riguarda la sorveglianza da parte delle autorità competenti nelleproposte di regolamento,IT 7.12.2013 Gazzetta ufficiale dell'Unione europea C 358/11

— diintrodurre un periodo massimo di conservazione per i dati personali ai sensidelle proposte di regolamento. Il periodo scelto dovrebbe essere quellonecessario per gli scopi di raccolta e trattamento dei dati personali e inproporzione a detti scopi,

— diconsultare il GEPD per qualsiasi atto delegato o di esecuzione adottato a normadelle proposte di regolamento che potrebbe influire sul trattamento dei datipersonali.

Fatto aBruxelles, l'8 febbraio 2013

GiovanniBUTTARELLI

Garante europeo aggiunto della protezione dei dati

NOTE

( 1 )COM(2012) 542 final.

( 2 )COM(2012) 541 final.

( 3 ) Idispositivi medici comprendono prodotti come cerotti, lenti a contatto,materiali per otturazioni dentarie, apparecchi a raggi x, pacemaker, protesimammarie o protesi dell'anca.

( 4 ) Idispositivi medico-diagnostici in vitro comprendono prodotti impiegati pergarantire la sicurezza delle trasfusioni sanguigne (ad esempio gruppaggioematico), rilevare malattie infettive (come l'HIV), monitorare determinatemalattie (ad esempio il diabete) ed eseguire analisi ematologiche (comemisurare il tasso di colesterolo).

( 5 )Istituita dalla decisione 2010/227/UE della Commissione (GU L 102 del23.4.2010, pag. 45).

( 6 ) Adesempio, in merito al piano di sorveglianza del mercato, in cui i fabbricantisono tenuti a istituire e tenere aggiornata una procedura sistematica per laraccolta e l'analisi dell'esperienza acquisita sui dispositivi immessi sulmercato. Questo implicherebbe la raccolta, la registrazione e l'analisi deireclami e delle segnalazioni di operatori sanitari, pazienti o utilizzatori inmerito a presunti incidenti relativi a determinati dispositivi.