Quanto sono sicuri i dispositivi tecnologici che monitorano la nostra salute?

Qualche settimana fa la Apple ha presentato i suoi ultimi prodotti tecnologici. Tra questi spicca lo smartwatch che vede incrementate le funzioni relative alla salute, in particolare il monitoraggio della fertilità femminile, un sensore per la temperatura (per migliorare, tra le altre cose, il tracciamento del sonno) e la funzione che permette, in caso di incidente (come per esempio una caduta), di far partire in automatico una chiamata verso un numero di emergenza.

Funzionalità che si aggiungono alle tante già presenti nelle precedenti versioni e in molti degli orologi intelligenti che portiamo al polso e che oltre a tracciare la nostra attività fisica si preoccupano anche di monitorare i nostri parametri vitali. Tutto questo spesso senza essere dei dispositivi medici. Ma quali sono le differenze tra strumenti commerciali smart e medical device?

“Il problema di molti di questi strumenti e applicazioni è che non sono approvati e validati da un ente regolatore – ricorda Eugenio Santoro, responsabile del Laboratorio di Informatica medica dell’Istituto di Ricerche farmacologiche Mario Negri di Milano – Sebbene si cerchi di far passare in maniera subdola che sono degli strumenti clinici, che possono dunque essere inseriti in un percorso assistenziale e che possono monitorare in maniera efficace la nostra salute, questo non è vero: mancano infatti le prove”.

L’iter per ottenere la certificazione di medical device, infatti, è tutt’altro che banale e comporta l’investimento di tempo e risorse per sottoporre i propri strumenti a un percorso di validazione clinica, l’unico in grado di assicurare l’affidabilità del dispositivo e la sicurezza per chi lo utilizza.

Eugenio Santoro“In questo momento c’è molta confusione – afferma Santoro – Da una parte abbiamo un problema di tassonomia: chiamiamo con lo stesso nome cose diverse; dall’altra la regolamentazione italiana è un po’ in ritardo rispetto al resto d’Europa e questo non facilita la comprensione di questi meccanismi”.

Un consumatore che voglia acquistare un dispositivo medico deve trovare l’apposita dicitura sulla confezione. Se non c’è, lo strumento può essere utile per tracciare i nostri miglioramenti sportivi o per sapere quanti passi compiamo al giorno, ma non per misurare i nostri parametri vitali.

Da una parte abbiamo un problema di tassonomia: chiamiamo con lo stesso nome cose diverse; dall’altra la regolamentazione italiana è un po’ in ritardo rispetto al resto d’Europa

“In assenza di prove è difficile che un medico si assuma la responsabilità di agire sulla base dei risultati forniti da queste applicazioni e strumenti”, nota l’esperto.

I fronti su cui occorrerebbe agire sono due: fornire una maggiore consapevolezza all’utente, informandolo sui rischi cui va incontro se utilizza questi strumenti e chiedere con maggiore insistenza a chi produce questi dispositivi di sottoporli all’approvazione come dispositivi medici.

L’importanza delle linee guida

In Italia è possibile registrare uno strumento o un’applicazione come dispositivo medico, mentre siamo un po’ in ritardo – rispetto agli Stati Uniti e al resto d’Europa – sulla normativa per le terapie digitali. Le digital therapeutics servono per trattare il paziente (e non solo per monitorare i suoi parametri): si tratta di vere e proprie terapie validate scientificamente che, in quanto tali, devono essere rimborsate dal Servizio sanitario nazionale e poi effettivamente prescritte dai clinici, che devono quindi essere formati e aggiornati.

“In questo momento il livello di consapevolezza della classe medica sulla digital medicine in generale è molto basso – afferma Santoro – Nella categoria prevale molta confusione e una certa reticenza nell’utilizzarla. Sono tante le ragioni alla base di questa paura: dal perdere autonomia decisionale a una scarsa dimestichezza con la Digital Health. Inoltre, gli strumenti digitali non sono inseriti all’interno delle linee guida delle società scientifiche o delle istituzioni sanitarie nazionali”. Questo ultimo punto è dirimente: esserlo innescherebbe un “effetto trascinamento” sull’esempio di quanto avvenuto con il National Institute for Health and Care Excellence (Nice) in Inghilterra. L’istituto 2 mesi fa ha infatti introdotto l’App SleepIo tra gli strumenti da utilizzare per combattere l’insonnia, preferendola ai farmaci che si usano in questi casi. In assenza di linee guida come queste, è difficile per i clinici capire come muoversi in quella che appare una giungla.

La privacy

A fine giugno la Corte Suprema statunitense ha abolito la sentenza Roe versus Wade, che dal 1973 garantiva alle donne il diritto di interrompere la gravidanza a livello federale. Da quel momento, ciascuno Stato può decidere come comportarsi per quanto riguarda l’aborto.

Nei giorni successivi al pronunciamento, in molte si sono interrogate sul diritto alla privacy del proprio stato riproduttivo e su quanto le applicazioni che monitorano il ciclo mestruale fossero sicure. “Gli Stati Uniti hanno una normativa meno tutelante nei confronti della riservatezza dei propri cittadini e purtroppo in questo caso la sostanza non cambia tra semplici applicazioni benessere e dispositivi medici validati dall’Fda – afferma Santoro –: le autorità potrebbero chiedere l’accesso ai dati qualora pensassero che sia in gioco la sicurezza nazionale o per affrontare alcuni casi giudiziari, proprio come farebbero con aziende come Google o Meta”. Nessuna garanzia in più, dunque. Anche se, come ricorda l’esperto, “un device approvato come dispositivo medico non risolve il problema della privacy, ma il fatto che non lo sia aumenta il rischio di violazione”. Il risultato di questa intricata vicenda è che molte persone hanno smesso di utilizzare questi strumenti, anche dove questi si siano dimostrati efficaci.Silvia Stefanelli

Il fatto che in termini di protezione dei dati non ci sia una differenza significativa tra dispositivi medici e non è confermato anche da Silvia Stefanelli, avvocata specializzata in diritto sanitario: “Indubbiamente negli Stati Uniti è molto più facile, per il Governo e per la Pubblica amministrazione, accedere alle informazioni sui cittadini rispetto all’Europa. Qui da noi il livello di tutela della privacy dei dati che si riferiscono ai cittadini è molto più alto. L’Europa, dopo il Gdpr, è considerata il continente che meglio tutela il diritto alla riservatezza dei propri cittadini”.

Differenze di trattamento

Il Gdpr prevede infatti che il trattamento dei dati differisca in base alla cittadinanza dell’utente e non alla finalità del dispositivo. “In teoria un’azienda che raccoglie dati in tutto il pianeta dovrebbe trattare le informazioni degli europei in modo diverso rispetto a quanto fa con quelle del resto del mondo. Nella pratica questo è molto difficile da controllare”, rileva Stefanelli.

Nel 2013 Maximilian Schrems, un attivista per la privacy austriaco, ha fatto causa a Facebook: secondo l’esperto, l’azienda non avrebbe protetto a sufficienza i dati dei suoi utenti europei.

“Il caso è interessante perché ha portato allo scioglimento da parte della Corte di Giustizia dell’Unione europea dell’accordo Safe Harbor che permetteva lo scambio di dati tra i due continenti presupponendo che la tutela fosse quella richiesta dallo standard europeo anche se le informazioni erano su server americani”, sintetizza l’avvocata.

Oggi gli scambi di dati tra Europa e Usa sono possibili grazie a clausole contrattuali specifiche, che sono molto onerose per piccole e medie imprese

L’attivista ha successivamente intentato una nuova causa denunciando anche il nuovo strumento disponibile (il Privacy Shield) e vincendola. Oggi gli scambi di dati tra Europa e Usa sono possibili grazie all’uso di clausole contrattuali specifiche, che sono però molto onerose per le piccole e medie imprese.

“Tornando ai dati sanitari, se questi sono custoditi da un’autorità pubblica con sede in Europa, credo di poter dire che sono abbastanza al sicuro – afferma Stefanelli – Certo, quello che andrà fatto in futuro è lavorare sulla consapevolezza dei cittadini, che non sempre si rendono conto del valore delle informazioni che condividono volontariamente”.

Dal Gdpr in poi, le applicazioni dovrebbero avere la privacy by default, dovrebbero cioè avere la condivisione automatica disabilitata: “Questo implica che chi vuole mostrare i propri dati ai suoi contatti debba fare uno sforzo in più, sbloccando questa opzione”.

Prima, invece, funzionava al contrario: chi voleva nascondere le proprie informazioni doveva modificare manualmente le impostazioni. “È indubbiamente un passo avanti significativo”, conclude Stefanelli.