Filo rosso della nostra era è senza alcun dubbio il digitale. In ambito sanitario l’applicazione delle tecnologie digitali alle prestazioni mediche supporta e irrobustisce le diagnosi, permettendo ai medici di effettuare attività sempre più complesse.

In questo senso, i c.d. software as medical device (SaMD) divengono protagonisti. Si tratta, nella specie, di software destinati dal fabbricante ad essere impiegati sull’uomo, da soli o in combinazione, per una o più delle destinazioni d’uso mediche espressamente specificate dal regolamento (UE) 2017/745 (c.d. MDR – Medical Device Regulation), all’art. 2, n. 1). Si tratta, cioè, di software che possono essere impiegati, ad esempio, per simulazioni mediche, per migliorare i risultati delle diagnosi garantire un monitoraggio del paziente più preciso.

I SaMD devono presentare tutta una serie di requisiti minimi di sicurezza (per i pazienti e per gli utilizzatori) stabiliti dal regolamento europeo affinché possano essere immessi ed utilizzati all’interno del mercato interno.

Per garantire un adeguato livello di sicurezza, il MDR richiede al fabbricante di adottare in sede di progettazione apposite misure di controllo del rischio, meglio specificati nell’allegato I (Requisiti generali di sicurezza e prestazione).

In particolare, è richiesto al fabbricante anzitutto di predisporre la documentazione tecnica del prodotto, contenente le informazioni sul progetto, sulla fabbricazione e sul funzionamento, nonché tutte le altre informazioni necessarie per dimostrare che il dispositivo è conforme ai requisiti previsti.

Inoltre, il fabbricante dovrà definire un piano di gestione del rischio per ciascun dispositivo, individuare e analizzare i pericoli noti e prevedibili che potrebbero verificarsi durante sia in sede di uso “corretto” che “scorretto”, cercando così di eliminarli o controllarli, mantenere monitorata la sorveglianza in sede di post-commercializzazione sì da provvedere ad introdurre le opportune modifiche ove necessario (cfr. Allegato III).

Per poter, infine, immettere il dispositivo sul mercato il fabbricante dovrà sottoscrivere la dichiarazione di conformità CE, ossia quel documento con cui viene dichiarato che il proprio prodotto è conforme al regolamento europeo, così assumendosene la responsabilità ai sensi e per gli effetti del diritto europeo.

Classificazione dei SaMD e il ruolo degli organismi notificati

Tuttavia, non tutti i dispositivi seguono questo iter “semplificato”. Infatti, a seconda della specifica destinazione d’uso e della tipologia di rischi che comportano (cfr. Allegato VIII), il regolamento classifica i dispositivi secondo quattro diverse classi (in ordine crescente di rischio: I, IIa, IIb e III).

Per l’immissione sul mercato dei dispositivi di classe  I sterili, con funzioni di misura o che siano strumenti di misura riutilizzabili, nonché di classe IIa, classe IIb e classe III, il regolamento richiede l’intervento di un organismo notificato (ON).

In questi casi, cioè, il fabbricante deve presentare la domanda di certificazione ad un ON che procederà a valutare la conformità del dispositivo attraverso le procedure indicate dall’art. 52.

All’interno di questo particolare – e già assai complesso – panorama tecnico-normativo, come impatterà l’intelligenza artificiale?

Software as Medical Device (SAMD) e Intelligenza Artificiale: i rapporti tra le discipline europee

L’utilizzo dell’intelligenza artificiale in campo medico appare, per certi versi, un’evoluzione dell’applicazione dei software. Si pensi, ad esempio, la combinazione di software diagnostici o di monitoraggio con il machine-learning, che permetterebbero di rendere maggiormente “adattative” le prestazioni mediche al variare dei dati registrati.

In questi casi, il dispositivo SaMD verrebbe di regola classificato come un’IA “ad alto rischio”, con conseguente applicazione della relativa disciplina.

Dietro alle grandi opportunità offerte dall’IA in ambito medico, si possono celare tuttavia delle insidie. Cosa succederebbe, infatti, se il sistema di IA dovesse interpretare scorrettamente dei dati e basare il proprio apprendimento su tali errori? Come ridurre tale rischio?

La risposta in termini regolatori è data dalla (non semplice) integrazione tra il MDR e il nuovo AI Act: ma qual è il rapporto tra le due normative? Sono tra loro indipendenti o vi sono spazi di sovrapposizione o duplicazione? La questione è importante.

È innegabile che, per certi versi, il MDR e l’AI Act presentano elementi di somiglianza.

Entrambi i regolamenti prevedono una classificazione dei prodotti a seconda del loro livello di rischio, vietando o subordinando a determinati controlli la messa a disposizione del prodotto. Entrambi, inoltre, prevedono che vengano eseguite valutazioni di rischio e monitoraggi continuativi post-vendita, con particolare attenzione a che i dispositivi non pregiudichino i diritti fondamentali degli interessati.

La stretta interconnessione tra i due mondi è, inoltre, espressamente riconosciuta dallo stesso AI Act all’art. 8(2), in base al quale se un prodotto a cui si applicano le norme armonizzate elencate nell’Allegato I, Sezione A (tra cui, appunto, il MDR), allora si applicano sia i requisiti dell’AI Act sia quelli della normativa armonizzata.

In particolare, continua la disposizione, “Nel garantire la conformità dei sistemi di IA ad alto rischio […] e al fine di garantire la coerenza, evitare duplicazioni e ridurre al minimo gli oneri aggiuntivi, i fornitori possono scegliere di integrare, se del caso, i necessari processi di prova e di comunicazione nonché le informazioni e la documentazione che forniscono relativamente al loro prodotto nella documentazione e nelle procedure esistenti e richieste in conformità della normativa di armonizzazione dell'Unione elencata nell'allegato I, sezione A”.

Come si dovrebbe, allora, manifestare questa ricerca di “razionalità” e di non duplicazione così affermata? In che modo i fornitori “possono scegliere di integrare” tra loro i suddetti adempimenti? Detto diversamente: la possibilità di integrazione così prevista implica anche che esistono margini di duplicazione dei medesimi adempimenti?

MDR e AI Act: quali differenze e come si integrano?

Nonostante le due discipline presentino diversi tratti comuni, esse in realtà viaggiano su binari tra loro separati. La “corrispondenza” tra le due discipline, infatti, si apprezza soltanto dal punto di vista della strategia normativa scelta dal legislatore per regolare l’immissione sicura di prodotti all’interno del mercato unico (il c.d. risk-based approach), ma non anche dal punto di vista degli adempimenti.

Del resto, seppur vettore orientativo dei due regolamenti è sempre la “sicurezza del prodotto”, essi perseguono finalità tra loro diverse: da un lato, vi è la tutela della salute di medici e pazienti perseguita dal MDR; dall’altro, vi è l’interesse a che le intelligenze artificiali non vengano applicate in modo discriminatorio nei confronti di determinate categorie di soggetti.

Poiché queste due finalità sono tra loro essenzialmente diverse, risponderanno a sistemi di classificazione del rischio, di valutazione e conformità, di monitoraggio e controllo tra loro diversi e, nei fatti, non sovrapponibili.

Ne deriva che, l’“integrazione” di cui all’art. 8(2) cit. non si apprezza in termini di complementarietà o di esclusione degli adempimenti, misure di sicurezza, controlli ecc. richiesti, quasi come se l’AI Act fosse una disciplina speciale rispetto il MDR, perché, in ogni caso, nei due regolamenti è diverso il diritto fondamentale tutelato che costituisce lo scopo della relativa disciplina. Sicché saranno necessariamente diversi dal punto di vista operativo i criteri di classificazione dei rischi, delle modalità di valutazione della conformità, degli obblighi di controllo richiesti dal produttore e così via.

Se così è, allora,  di “integrazione” si può parlare soltanto in termini spazio-temporali, nel senso che è possibile richiedere con un’unica domanda ad un Organismo Notificato, ai sensi dell’art. 52 MDR, di effettuare le dovute valutazioni e audit rispetto ad un SaMD con IA.

L’art. 8(2) mira, dunque, a ricercare una razionalità tra le due discipline solo sul versante della semplificazione procedimentale, che diviene così essenzialmente un procedimento “complesso” in cui confluiscono in un unico momento e in un unico spazio diverse valutazioni.

Come assicurare la conformità normativa per SaMD e IA

Ciò impone nuove sfide ai protagonisti del settore dei SaMD. Anzitutto, in capo ai produttori aumenteranno gli adempimenti circa la corretta gestione del rischio da utilizzo del dispositivo in quanto dovranno dimostrare che lo stesso è conforme tanto al MDR quanto all’AI Act.

In secondo luogo, sarà richiesto agli Organismi Notificati di specializzarsi ulteriormente al fine di poter garantire l’effettiva ed efficace integrazione delle procedure di valutazione della conformità.

Data la complessità dei temi è auspicabile un ulteriore intervento da parte delle Istituzioni europee, anche mediante strumenti di soft law, quali sono ad esempio le linee guida, sicché sia facilitato ai professionisti il navigare entro questo nuovo panorama tecnico-normativo e, allo stesso tempo, sia possibile garantire quel livello ulteriore di certezza idoneo a sostenere lo sviluppo e l’implementazione delle nuove tecnologie in Europa.

Sino ad allora, l’approccio valutativo e preparatorio dei vari adempimenti deve essere condotto con puntuale attenzione e, soprattutto, predisposizione all’interdisciplinarietà.

Hai bisogno di assistenza per la conformità dei tuoi dispositivi medici con intelligenza artificiale?

Il nostro team di esperti in Medical Device Regulation e AI Act può guidarti attraverso il complesso panorama normativo europeo.

Specialisti nella regolamentazione di software medicali SaMD (Software as Medical Device), offriamo consulenza legale per:

Contattaci per una consulenza personalizzata e assicurati che il tuo dispositivo medico con IA rispetti tutti i requisiti normativi.