Titolo

Fascicoli

2018

2017

2016

2015

2014

2013

2012

2011

Annate arretrate

Rivista Italiana di Medicina Legale e del Diritto in campo sanitario

Rivista: Rivista Italiana di Medicina Legale (e del Diritto in campo sanitario)
Anno: 2019
Fascicolo: n. 1
Editore: Giuffrè Francis Lefebvre
ISSN: 1124-3376
Autori: Bartolini Cesare, Lenzini Gabriele
Titolo: SISTEMI MEDICI E CONFORMITÀ LEGALE
Pagine: pp. 227-242
Keywords: chiave conformità, dispositivi medici, GDPR

Il presente documento affronta il tema della conformità legale, principalmente in riferimento alla legislazione europea, dei sistemi medici, ossia di tutti questi dispositivi hardware e software usati in ambito medico sull’uomo per test, diagnosi, studio e simili finalità. Dopo un excursus sulle normative e sui regolamenti applicabili e una discussione sulla rilevanza per i sistemi medici di concetti come quello della protezione dei dati e della trasparenza che si ritrovano, anche se introdotti per un contesto più generale, nel Regolamento generale per la protezione dei dati personali n. 2016/679 (General Data Protection Regulation o GDPR), il documento discute cosa significhi, in pratica, per un sistema medico e per il software che ne definisce il comportamento, l’essere legalmente conforme. Premesso che ogni decisione di legalità è compito dell’autorità giudiziaria, il documento conclude indicando quali strumenti, tra cui verifiche di conformità ufficiali, standard, ma anche linee guida per ottenere conformità in fase di sviluppo, sono a disposizione oggigiorno per sviluppare, con un certo margine di sicurezza, un sistema medico legalmente conforme, o per verificare che lo sia.

SISTEMI MEDICI E CONFORMITÀ LEGALE


1) The term "device" (except when used in paragraph (n) of this section and in sections 331(i), 343(f), 352(c), and 362(c) of this title) means an instrument, apparatus, implement, machine, contrivance, implant, in vitro reagent, or other similar or related article, including any component, part, or accessory, which is-(1) recognized in the official National Formulary, or the United States Pharmacopeia, or any supplement to them,(2) intended for use in the diagnosis of disease or other conditions, or in the cure, mitigation, treatment, or prevention of disease, in man or other animals, or(3) intended to affect the structure or any function of the body of man or other animals, andwhich does not achieve its primary intended purposes through chemical action within or on the body of man or other animals and which is not dependent upon being metabolized for the achievement of its primary intended purposes. The term "device" does not include software functions excluded pursuant to section 360j(o) of this title.
2) « [D]ispositivo medico »: qualunque strumento, apparecchio, apparecchiatura, software, impianto, reagente, materiale o altro articolo, destinato dal fabbricante a essere impiegato sull’uomo, da solo o in combinazione, per una o più delle seguenti destinazioni d’uso mediche specifiche:– diagnosi, prevenzione, monitoraggio, previsione, prognosi, trattamento o attenuazione di malattie,– diagnosi, monitoraggio, trattamento, attenuazione o compensazione di una lesione o di una disabilità,– studio, sostituzione o modifica dell’anatomia oppure di un processo o stato fisiologico o patologico,– fornire informazioni attraverso l’esame in vitro di campioni provenienti dal corpo umano, inclusi sangue e tessuti donati,e che non esercita nel o sul corpo umano l’azione principale cui è destinato mediante mezzi farmacologici, immunologici o metabolici, ma la cui funzione può essere coadiuvata da tali mezzi.Si considerano dispositivi medici anche i seguenti prodotti:– dispositivi per il controllo del concepimento o il supporto al concepimento,– i prodotti specificamente destinati alla pulizia, disinfezione o sterilizzazione dei dispositivi di cui all’articolo 1, paragrafo 4, e di quelli di cui al primo comma del presente punto;
3) Il modello della suddivisione in classi di rischio è ricorrente nella legislazione relativa ai dispositivi medici, sebbene i criteri e la disciplina applicabile possano variare da paese a paese. Così, come si vedrà oltre nel testo, una suddivisione in classi si può riscontrare anche nella legislazione statunitense, ma anche ad esempio in quella canadese o australiana.
4) Per un approfondimento sulle caratteristiche della legislazione ante 2017, nonché una sommaria descrizione delle procedure di immissione sul mercato e di verifica sui dispositivi medici, si veda Nassim Parvizi and Kent Woods, “Regulation of Medicines and Medical Devices: Contrasts and Similarities,” Clinical Medicine 14, no. 1 (February 1, 2014): 6–12, https://doi.org/10.7861/clinmedicine.14-1-6.
5) L’episodio è ben noto alle corti francesi, fino al più alto grado di giudizio: si veda, ad esempio, Arrêt n° 610 du 10 octobre 2018 (15-26.093) - Cour de cassation - Première chambre civile - ECLI:FR:CCASS:2018:C100610 (Cour de Cassation October 10, 2018). Il caso di specie presenta un profilo particolarmente interessante, in quanto i giudici francesi si sono trovati a decidere non soltanto sulla responsabilità della società che operava nell’ambito delle protesi mammarie, ma anche su quella della società tedesca che aveva certificato tali protesi come rispondenti agli standard di qualità previsti dalla normativa. Nello specifico, viene negata ogni responsabilità diretta della società certificatrice nei confronti delle persone offese, anche sulla scorta del rinvio pregiudiziale alla Corte di Giustizia sul caso Elisabeth Schmitt v TÜV Rheinland LGA Products GmbH: C-219/15, ECLI:EU:C:2017:128 (Court of Justice of the European Union February 16, 2017). Si veda anche il comunicato stampa della società certificatrice: “PIP Breast Implants Case: The French Supreme Court Refers a Case Back to the Paris Court of Appeal” (France: TÜV Rheinland, October 10, 2018), https://www.tuv.com/en/corporate/about_us_1/press/news_2/newscontent_cw_405826.html.
6) La vicenda è ampiamente documentata, dal punto di vista clinico, sociale e giuridico: si vedano, inter alia, Shaheel Chummun and Neil R. McLean, “Poly Implant Prothèse (PIP) Breast Implants: Our Experience,” The Surgeon 11, no. 5 (October 2013): 241–45, https://doi.org/10.1016/j.surge.2013.02.006; Florian M. Lampert et al., “The ‘PIP scandal’ - Complications in Breast Implants of Inferior Quality: State of Knowledge, Official Recommendations and Case Report,” Geburtshilfe und Frauenheilkunde 72, no. 3 (March 2012): 243–46, https://doi.org/10.1055/s-0031-1298323; Adrian O’Dowd, “UK Launches Inquiry into Safety of PIP Breast Implants,” BMJ 344, no. 7838 (January 13, 2012): e11, https://doi.org/10.1136/bmj.e11; Carl Heneghan, “The Saga of Poly Implant Prosthese Breast Implants: Urgent Review of the Regulation and Postmarketing Evidence Requirements Is Needed,” BMJ 344, no. 7839 (January 11, 2012): e306, https://doi.org/10.1136/bmj.e306.
7) L’impatto del caso PIP ha avuto riscontro sia nella letteratura specializzata che in cronaca: si veda, ad esempio, Michaela Eikermann et al., “Commentary: Europe Needs a Central, Transparent, and Evidence Based Regulation Process for Devices,” BMJ 346, no. may07 3 (May 7, 2013): f2771, https://doi.org/10.1136/bmj.f2771; Fergus Walsh, “PIP Breast Implants: ‘Serious Lessons Must Be Learned,’” BBC, May 14, 2012, https://www.bbc.com/news/health-18057761. Le fonti concordano sulla necessità di una revisione delle normative, esigenza raccolta anche dalle istituzioni.
8) Un comunicato ufficiale dell’Unione Europea (“New EU Rules to Ensure Safety of Medical Devices,” Fact Sheet (European Commission, April 5, 2017), http://europa.eu/rapid/press-release_MEMO-17-848_en.htm), nel quale viene fatta anche una fugace menzione alla vicenda di PIP, presenta un breve excursus sulle caratteristiche della nuova legislazione e sul suo ambito di applicazione.
9) L’elenco ufficiale delle leggi degli Stati Membri riguardanti la cartella clinica elettronica è contenuto all’indirizzo https://ec.europa.eu/health/ehealth/projects/nationallaws_electronichealthrecords_en.
10) Per l’Italia la normativa di riferimento è contenuta all’art. 12 d.l. 179/2012 (decreto crescita). In particolare, il primo comma statuisce che “[i]l fascicolo sanitario elettronico (FSE) è l’insieme dei dati e documenti digitali di tipo sanitario e sociosanitario generati da eventi clinici presenti e trascorsi, riguardanti l’assistito.” All’indirizzo https://www.fascicolosanitario.gov.it/normativa-di-riferimento è consultabile l’elenco completo delle fonti che hanno ad oggetto il FSE.
11) GDPR, Art. 9.
12) Si veda GDPR, Art. 82, e in particolare il combinato disposto tra il par. 2, punto (a) e l’Art. 9.
13) GDPR, Artt. 4.2(f) e 5(d).
14) L’attuale testo della proposta, risalente al gennaio 2017, è consultabile all’indirizzo https://eur-lex.europa.eu/legal-content/IT/TXT/PDF/?uri=CELEX:52017PC0010&from=EN.
15) Il principio è direttamente menzionato nei considerando 39, 58, 60, 71, 78, 100 e 121, e indirettamente in 61-62 e 73 del GDPR.
16) GDPR, Art. 5, e Artt. 12-14.
17) GDPR, considerando 1, 4, 43-44, 53, 74, 88 e Artt. 28, 33 e 34.
18) Cfr. GDPR, Art. 28.3: “[i] dati di base da fornire alla banca dati UDI, di cui all’allegato VI, parte B, sono accessibili al pubblico gratui­tamente”.
19) Sul concetto di trasparenza, con particolare riferimento all’ambito medico, si veda Dayana Spagnuelo, Cesare Bartolini, and Gabriele Lenzini, “Modelling Metrics for Transparency in Medical Systems,” in Trust, Privacy and Security in Digital Business, ed. Javier Lopez, Simone Fischer-Hübner, and Costas Lambrinoudakis, vol. 10442 (Cham: Springer International Publishing, 2017), 81–95, https://doi.org/10.1007/978-3-319-64483-7_6.
20) GDPR, Art. 20.
21) Cfr. GDPR, considerando 60: “tali informazioni possono essere fornite in combinazione con icone standardizzate per dare, in modo facilmente visibile, intelligibile e chiaramente leggibile, un quadro d’insieme del trattamento previsto.”
22) Sergio Sbrenni et al., “Tracciabilità Dei Dispositivi Medici in Ambito Ospedaliero,” Rapporti ISTISAN 18, no. 1 (January 21, 2018), http://old.iss.it/publ/?lang=1&id=3113&tipo=5.
23) Paul N. Otto and Annie I. Anton, “Addressing Legal Requirements in Requirements Engineering,” in 15th IEEE International Requirements Engineering Conference (RE 2007) (15th IEEE International Requirements Engineering Conference (RE 2007), Delhi, India: IEEE, 2007), 5–14, https://doi.org/10.1109/RE.2007.65.
24) Ibid.
25) Invero non mancano esempi di tentati approcci di natura tecnica che mirano alla conformità legale in campo medico. Limitatamente alla normativa HIPAA, si veda Aaron K. Massey et al., “Evaluating Existing Security and Privacy Requirements for Legal Compliance,” Requirements Engineering 15, no. 1 (March 2010): 119–37, https://doi.org/10.1007/s00766-009-0089-5. Gli stessi autori riconoscono la limitatezza dell’approccio, il quale tuttavia è funzionalizzato non a decidere sulla conformità ma a fornire un supporto. Una proposta analoga è quella avanzata in Vicky Liu, William Caelli, and Lauren May, “Strengthening Legal Compliance for Privacy in Electronic Health Information Systems: A Review and Analysis,” in Proceedings of the National E-Health Privacy and Security Symposium (National e-Health Privacy and Security Symposium (ehPASS), Brisbane, Qld., Australia, 2006), 51-66. Gli autori di questo lavoro si muovono nel contesto australiano, ma prendono a riferimento anche la normativa HIPAA, il tutto con esclusivo riferimento agli obblighi di riservatezza. Di più ampio respiro è invece la metodologia introdotta da Hanene Boussi Rahmouni et al., “Privacy Compliance in European Healthgrid Domains: An Ontology-Based Approach,” in 2009 22nd IEEE International Symposium on Computer-Based Medical Systems (2009 22nd IEEE International Symposium on Computer-Based Medical Systems (CBMS), Albuquerque, NM, USA: IEEE, 2009), 1–8, https://doi.org/10.1109/CBMS.2009.5255423. Essa propone un approccio generale di tipo semantico per la valutazione dei requisiti di conformità legale relativi alla riservatezza delle informazioni mediche, non vincolato ad una specifica normativa, ma con la possibilità di definire i requisiti di legge. L’approccio proposto viene poi applicato alla normativa europea sui dati personali (precedente al GDPR) in Hanene Boussi Rahmouni et al., “Privacy Compliance and Enforcement on European Healthgrids: An Approach through Ontology,” Philosophical Transactions of the Royal Society A: Mathematical, Physical and Engineering Sciences 368, no. 1926 (September 13, 2010): 4057–72, https://doi.org/10.1098/rsta.2010.0169.
26) Si veda supra alla sezione 1.
27) In seguito adottato anche dall’organizzazione ISO e oggi trasfuso nell’ISO 13606-5:2010. Per un’analisi più approfondita di tale schema si veda anche D. Kalra, “Electronic Health Record Standards,” Yearbook of Medical Informatics 15, no. 01 (August 2006): 136-44, https://doi.org/10.1055/s-0038-1638463.
28) È opportuno precisare che le tematiche fondamentali relative agli standard, alla certificazione ed all’accreditamento non trovano ampio riscontro in ambito accademico. Un’interessante, benché datata, panoramica sull’argomento si può trovare in Lal C. Verman, Standardization: A New Discipline, Archon Books (Hamden/Conn: Shoe String Press, 1973). Tale trattazione è stata in tempi più recenti ripresa in Henk J. de Vries, “Standardization-a New Discipline?,” in Proceedings from the 2nd IEEE Conference on Standardization and Innovation in Information Technology (Cat. No.01EX530) (2nd IEEE Conference on Standardization and Innovation in Information Technology. Proceedings, Boulder, CO, USA: IEEE, 2001), 91–105, https://doi.org/10.1109/SIIT.2001.968558. Una prospettiva più incentrata sullo specifico argomento dell’accreditamento è invece data da Gene Shackman, “Accreditation, Certification, Credentialing: Does It Help?,” New Directions for Evaluation 2015, no. 145 (March 2015): 103–13, https://doi.org/10.1002/ev.20114. Più in generale, si veda Henk J. de Vries, Standardization: A Business Approach to the Role of National Standardization Organizations (Boston, MA: Springer US, 1999), https://doi.org/10.1007/978-1-4757-3042-5.
29) Il problema è noto da lungo tempo: vedasi ad es. John E. Calfee and Richard Craswell, “Some Effects of Uncertainty on Compliance with Legal Standards,” Virginia Law Review 70, no. 5 (June 1984): 965, https://doi.org/10.2307/1072946. Un possibile approccio per facilitare la conformità legale (relativamente al trattamento dei dati personali) attraverso l’uso di standard è stato proposto in passato dagli autori del presente articolo: si veda, inter alia, Cesare Bartolini et al., “Towards Legal Compliance by Correlating Standards and Laws with a Semi-Automated Methodology”, in BNAIC 2016: Modern Trends in Artificial Intelligence, ed. Tibor Bosse and Bert Bredeweg (Springer, 2017).
30) In particolar modo si tende ad evitare l’utilizzo di standard obbligatori nell’Unione Europea per evitare di creare un ostacolo alla concorrenza, a meno che non si tratti di standard approvati dagli organi a ciò appositamente preposti nell’Unione Europea (CEN/CENELEC).
1) The term "device" (except when used in paragraph (n) of this section and in sections 331(i), 343(f), 352(c), and 362(c) of this title) means an instrument, apparatus, implement, machine, contrivance, implant, in vitro reagent, or other similar or related article, including any component, part, or accessory, which is-(1) recognized in the official National Formulary, or the United States Pharmacopeia, or any supplement to them,(2) intended for use in the diagnosis of disease or other conditions, or in the cure, mitigation, treatment, or prevention of disease, in man or other animals, or(3) intended to affect the structure or any function of the body of man or other animals, andwhich does not achieve its primary intended purposes through chemical action within or on the body of man or other animals and which is not dependent upon being metabolized for the achievement of its primary intended purposes. The term "device" does not include software functions excluded pursuant to section 360j(o) of this title.
2) « [D]ispositivo medico »: qualunque strumento, apparecchio, apparecchiatura, software, impianto, reagente, materiale o altro articolo, destinato dal fabbricante a essere impiegato sull’uomo, da solo o in combinazione, per una o più delle seguenti destinazioni d’uso mediche specifiche:– diagnosi, prevenzione, monitoraggio, previsione, prognosi, trattamento o attenuazione di malattie,– diagnosi, monitoraggio, trattamento, attenuazione o compensazione di una lesione o di una disabilità,– studio, sostituzione o modifica dell’anatomia oppure di un processo o stato fisiologico o patologico,– fornire informazioni attraverso l’esame in vitro di campioni provenienti dal corpo umano, inclusi sangue e tessuti donati,e che non esercita nel o sul corpo umano l’azione principale cui è destinato mediante mezzi farmacologici, immunologici o metabolici, ma la cui funzione può essere coadiuvata da tali mezzi.Si considerano dispositivi medici anche i seguenti prodotti:– dispositivi per il controllo del concepimento o il supporto al concepimento,– i prodotti specificamente destinati alla pulizia, disinfezione o sterilizzazione dei dispositivi di cui all’articolo 1, paragrafo 4, e di quelli di cui al primo comma del presente punto;
3) Il modello della suddivisione in classi di rischio è ricorrente nella legislazione relativa ai dispositivi medici, sebbene i criteri e la disciplina applicabile possano variare da paese a paese. Così, come si vedrà oltre nel testo, una suddivisione in classi si può riscontrare anche nella legislazione statunitense, ma anche ad esempio in quella canadese o australiana.
4) Per un approfondimento sulle caratteristiche della legislazione ante 2017, nonché una sommaria descrizione delle procedure di immissione sul mercato e di verifica sui dispositivi medici, si veda Nassim Parvizi and Kent Woods, “Regulation of Medicines and Medical Devices: Contrasts and Similarities,” Clinical Medicine 14, no. 1 (February 1, 2014): 6–12, https://doi.org/10.7861/clinmedicine.14-1-6.
5) L’episodio è ben noto alle corti francesi, fino al più alto grado di giudizio: si veda, ad esempio, Arrêt n° 610 du 10 octobre 2018 (15-26.093) - Cour de cassation - Première chambre civile - ECLI:FR:CCASS:2018:C100610 (Cour de Cassation October 10, 2018). Il caso di specie presenta un profilo particolarmente interessante, in quanto i giudici francesi si sono trovati a decidere non soltanto sulla responsabilità della società che operava nell’ambito delle protesi mammarie, ma anche su quella della società tedesca che aveva certificato tali protesi come rispondenti agli standard di qualità previsti dalla normativa. Nello specifico, viene negata ogni responsabilità diretta della società certificatrice nei confronti delle persone offese, anche sulla scorta del rinvio pregiudiziale alla Corte di Giustizia sul caso Elisabeth Schmitt v TÜV Rheinland LGA Products GmbH: C-219/15, ECLI:EU:C:2017:128 (Court of Justice of the European Union February 16, 2017). Si veda anche il comunicato stampa della società certificatrice: “PIP Breast Implants Case: The French Supreme Court Refers a Case Back to the Paris Court of Appeal” (France: TÜV Rheinland, October 10, 2018), https://www.tuv.com/en/corporate/about_us_1/press/news_2/newscontent_cw_405826.html.
6) La vicenda è ampiamente documentata, dal punto di vista clinico, sociale e giuridico: si vedano, inter alia, Shaheel Chummun and Neil R. McLean, “Poly Implant Prothèse (PIP) Breast Implants: Our Experience,” The Surgeon 11, no. 5 (October 2013): 241–45, https://doi.org/10.1016/j.surge.2013.02.006; Florian M. Lampert et al., “The ‘PIP scandal’ - Complications in Breast Implants of Inferior Quality: State of Knowledge, Official Recommendations and Case Report,” Geburtshilfe und Frauenheilkunde 72, no. 3 (March 2012): 243–46, https://doi.org/10.1055/s-0031-1298323; Adrian O’Dowd, “UK Launches Inquiry into Safety of PIP Breast Implants,” BMJ 344, no. 7838 (January 13, 2012): e11, https://doi.org/10.1136/bmj.e11; Carl Heneghan, “The Saga of Poly Implant Prosthese Breast Implants: Urgent Review of the Regulation and Postmarketing Evidence Requirements Is Needed,” BMJ 344, no. 7839 (January 11, 2012): e306, https://doi.org/10.1136/bmj.e306.
7) L’impatto del caso PIP ha avuto riscontro sia nella letteratura specializzata che in cronaca: si veda, ad esempio, Michaela Eikermann et al., “Commentary: Europe Needs a Central, Transparent, and Evidence Based Regulation Process for Devices,” BMJ 346, no. may07 3 (May 7, 2013): f2771, https://doi.org/10.1136/bmj.f2771; Fergus Walsh, “PIP Breast Implants: ‘Serious Lessons Must Be Learned,’” BBC, May 14, 2012, https://www.bbc.com/news/health-18057761. Le fonti concordano sulla necessità di una revisione delle normative, esigenza raccolta anche dalle istituzioni.
8) Un comunicato ufficiale dell’Unione Europea (“New EU Rules to Ensure Safety of Medical Devices,” Fact Sheet (European Commission, April 5, 2017), http://europa.eu/rapid/press-release_MEMO-17-848_en.htm), nel quale viene fatta anche una fugace menzione alla vicenda di PIP, presenta un breve excursus sulle caratteristiche della nuova legislazione e sul suo ambito di applicazione.
9) L’elenco ufficiale delle leggi degli Stati Membri riguardanti la cartella clinica elettronica è contenuto all’indirizzo https://ec.europa.eu/health/ehealth/projects/nationallaws_electronichealthrecords_en.
10) Per l’Italia la normativa di riferimento è contenuta all’art. 12 d.l. 179/2012 (decreto crescita). In particolare, il primo comma statuisce che “[i]l fascicolo sanitario elettronico (FSE) è l’insieme dei dati e documenti digitali di tipo sanitario e sociosanitario generati da eventi clinici presenti e trascorsi, riguardanti l’assistito.” All’indirizzo https://www.fascicolosanitario.gov.it/normativa-di-riferimento è consultabile l’elenco completo delle fonti che hanno ad oggetto il FSE.
11) GDPR, Art. 9.
12) Si veda GDPR, Art. 82, e in particolare il combinato disposto tra il par. 2, punto (a) e l’Art. 9.
13) GDPR, Artt. 4.2(f) e 5(d).
14) L’attuale testo della proposta, risalente al gennaio 2017, è consultabile all’indirizzo https://eur-lex.europa.eu/legal-content/IT/TXT/PDF/?uri=CELEX:52017PC0010&from=EN.
15) Il principio è direttamente menzionato nei considerando 39, 58, 60, 71, 78, 100 e 121, e indirettamente in 61-62 e 73 del GDPR.
16) GDPR, Art. 5, e Artt. 12-14.
17) GDPR, considerando 1, 4, 43-44, 53, 74, 88 e Artt. 28, 33 e 34.
18) Cfr. GDPR, Art. 28.3: “[i] dati di base da fornire alla banca dati UDI, di cui all’allegato VI, parte B, sono accessibili al pubblico gratui­tamente”.
19) Sul concetto di trasparenza, con particolare riferimento all’ambito medico, si veda Dayana Spagnuelo, Cesare Bartolini, and Gabriele Lenzini, “Modelling Metrics for Transparency in Medical Systems,” in Trust, Privacy and Security in Digital Business, ed. Javier Lopez, Simone Fischer-Hübner, and Costas Lambrinoudakis, vol. 10442 (Cham: Springer International Publishing, 2017), 81–95, https://doi.org/10.1007/978-3-319-64483-7_6.
20) GDPR, Art. 20.
21) Cfr. GDPR, considerando 60: “tali informazioni possono essere fornite in combinazione con icone standardizzate per dare, in modo facilmente visibile, intelligibile e chiaramente leggibile, un quadro d’insieme del trattamento previsto.”
22) Sergio Sbrenni et al., “Tracciabilità Dei Dispositivi Medici in Ambito Ospedaliero,” Rapporti ISTISAN 18, no. 1 (January 21, 2018), http://old.iss.it/publ/?lang=1&id=3113&tipo=5.
23) Paul N. Otto and Annie I. Anton, “Addressing Legal Requirements in Requirements Engineering,” in 15th IEEE International Requirements Engineering Conference (RE 2007) (15th IEEE International Requirements Engineering Conference (RE 2007), Delhi, India: IEEE, 2007), 5–14, https://doi.org/10.1109/RE.2007.65.
24) Ibid.
25) Invero non mancano esempi di tentati approcci di natura tecnica che mirano alla conformità legale in campo medico. Limitatamente alla normativa HIPAA, si veda Aaron K. Massey et al., “Evaluating Existing Security and Privacy Requirements for Legal Compliance,” Requirements Engineering 15, no. 1 (March 2010): 119–37, https://doi.org/10.1007/s00766-009-0089-5. Gli stessi autori riconoscono la limitatezza dell’approccio, il quale tuttavia è funzionalizzato non a decidere sulla conformità ma a fornire un supporto. Una proposta analoga è quella avanzata in Vicky Liu, William Caelli, and Lauren May, “Strengthening Legal Compliance for Privacy in Electronic Health Information Systems: A Review and Analysis,” in Proceedings of the National E-Health Privacy and Security Symposium (National e-Health Privacy and Security Symposium (ehPASS), Brisbane, Qld., Australia, 2006), 51-66. Gli autori di questo lavoro si muovono nel contesto australiano, ma prendono a riferimento anche la normativa HIPAA, il tutto con esclusivo riferimento agli obblighi di riservatezza. Di più ampio respiro è invece la metodologia introdotta da Hanene Boussi Rahmouni et al., “Privacy Compliance in European Healthgrid Domains: An Ontology-Based Approach,” in 2009 22nd IEEE International Symposium on Computer-Based Medical Systems (2009 22nd IEEE International Symposium on Computer-Based Medical Systems (CBMS), Albuquerque, NM, USA: IEEE, 2009), 1–8, https://doi.org/10.1109/CBMS.2009.5255423. Essa propone un approccio generale di tipo semantico per la valutazione dei requisiti di conformità legale relativi alla riservatezza delle informazioni mediche, non vincolato ad una specifica normativa, ma con la possibilità di definire i requisiti di legge. L’approccio proposto viene poi applicato alla normativa europea sui dati personali (precedente al GDPR) in Hanene Boussi Rahmouni et al., “Privacy Compliance and Enforcement on European Healthgrids: An Approach through Ontology,” Philosophical Transactions of the Royal Society A: Mathematical, Physical and Engineering Sciences 368, no. 1926 (September 13, 2010): 4057–72, https://doi.org/10.1098/rsta.2010.0169.
26) Si veda supra alla sezione 1.
27) In seguito adottato anche dall’organizzazione ISO e oggi trasfuso nell’ISO 13606-5:2010. Per un’analisi più approfondita di tale schema si veda anche D. Kalra, “Electronic Health Record Standards,” Yearbook of Medical Informatics 15, no. 01 (August 2006): 136-44, https://doi.org/10.1055/s-0038-1638463.
28) È opportuno precisare che le tematiche fondamentali relative agli standard, alla certificazione ed all’accreditamento non trovano ampio riscontro in ambito accademico. Un’interessante, benché datata, panoramica sull’argomento si può trovare in Lal C. Verman, Standardization: A New Discipline, Archon Books (Hamden/Conn: Shoe String Press, 1973). Tale trattazione è stata in tempi più recenti ripresa in Henk J. de Vries, “Standardization-a New Discipline?,” in Proceedings from the 2nd IEEE Conference on Standardization and Innovation in Information Technology (Cat. No.01EX530) (2nd IEEE Conference on Standardization and Innovation in Information Technology. Proceedings, Boulder, CO, USA: IEEE, 2001), 91–105, https://doi.org/10.1109/SIIT.2001.968558. Una prospettiva più incentrata sullo specifico argomento dell’accreditamento è invece data da Gene Shackman, “Accreditation, Certification, Credentialing: Does It Help?,” New Directions for Evaluation 2015, no. 145 (March 2015): 103–13, https://doi.org/10.1002/ev.20114. Più in generale, si veda Henk J. de Vries, Standardization: A Business Approach to the Role of National Standardization Organizations (Boston, MA: Springer US, 1999), https://doi.org/10.1007/978-1-4757-3042-5.
29) Il problema è noto da lungo tempo: vedasi ad es. John E. Calfee and Richard Craswell, “Some Effects of Uncertainty on Compliance with Legal Standards,” Virginia Law Review 70, no. 5 (June 1984): 965, https://doi.org/10.2307/1072946. Un possibile approccio per facilitare la conformità legale (relativamente al trattamento dei dati personali) attraverso l’uso di standard è stato proposto in passato dagli autori del presente articolo: si veda, inter alia, Cesare Bartolini et al., “Towards Legal Compliance by Correlating Standards and Laws with a Semi-Automated Methodology”, in BNAIC 2016: Modern Trends in Artificial Intelligence, ed. Tibor Bosse and Bert Bredeweg (Springer, 2017).
30) In particolar modo si tende ad evitare l’utilizzo di standard obbligatori nell’Unione Europea per evitare di creare un ostacolo alla concorrenza, a meno che non si tratti di standard approvati dagli organi a ciò appositamente preposti nell’Unione Europea (CEN/CENELEC).
please wait

Caricamento in corso...