SaMD: uno sguardo al framework regolatorio

Gli adempimenti previsti dal regolatorio e dalle norme tecniche rendono necessaria una profonda conoscenza del SaMD e l'adozione di procedure che ottemperino a esigenze di ripetibilità e di adattabilità alle modifiche del software e della normativa

0
1004
SaMD

Le terapie digitali sono al centro di molti dei dibattiti sull’innovazione in Sanità e rappresentano un settore tecnologico in grande fermento.

Ma quali sono i ruoli e le responsabilità dei fabbricanti?

Ne parla Alice Ravizza, founder USE-ME-D, nel corso della prima giornata dei Digital for Clinical Days organizzati da Advice Pharma presso il Politecnico di Milano.

Sicurezza, beneficio clinico dimostrabile e qualità costante

I dispositivi medici messi in commercio devono essere sicuri, avere una qualità costante nel tempo e devono produrre un beneficio clinico.

Perché questo quadro sia realizzato, deve essere effettuata un’analisi dei rischi connessi all’uso del dispositivo medico, rispettate le buone pratiche di progettazione, deve essere effettuata una distribuzione controllata e applicati sistemi adeguati di controllo per verificare che la qualità sia costante nel tempo.

Come prevedibile, i dispositivi medici di classe bassa o intermedia richiedono uno sforzo minore per il mantenimento della qualità, rispetto a quelli di classe alta.

Gli strumenti: regolatorio e norme tecniche

I dispositivi medici sono oggetto di un regolatorio complesso, che comprende il Regolamento (UE) 745/2017, la normativa GDPR e il Regolamento Europeo che gestisce la messa in sicurezza tecnica dei dati dal punto di vista della cyber security.

Dall’altro lato, gli adempimenti tecnici sono descritti nelle norme ISO.

La normativa dei dispositivi medici definisce le aziende fabbricanti. Questo significa che l’azienda è proprietaria dell’idea concettuale, cioè che ha ottenuto la certificazione CE del prodotto e detiene la responsabilità della messa a disposizione della tecnologia verso gli utilizzatori.

L’utilizzo del termine fabbricanti non implica tuttavia che chi detiene la certificazione del prodotto coincida con chi materialmente lo fabbrica.

Gli obblighi generali dei fabbricanti

L’articolo 10 del Regolamento (UE) 745/2017 prevede che il fabbricante:

  • istituisca, documenti, attui e mantenga un sistema per la gestione del rischio (in ossequio all’allegato I, punto 3 della MDR), allo scopo di rendere disponibile nel mercato una tecnologia sicura
  • effettui una valutazione clinica (nel rispetto dei requisiti definiti nell’art. 61 e nell’allegato XIV) e un Follow-up Clinico Post Marketing (PMCF): il prodotto non deve solo essere tecnicamente sicuro, ma deve anche generare un beneficio clinico nell’ambito del PDTA
  • rediga e tenga aggiornata una documentazione tecnica relativa al dispositivo, tale da consentire che la sua conformità alla MDR possa essere valutata: non basta che il prodotto sia costruito, ma occorre anche descriverlo, in termini di rischio e di beneficio.

Il sistema di gestione della qualità

I fabbricanti sono responsabili delle procedure necessarie a fare in modo che la produzione in serie continui a essere conforme alle prescrizioni incluse nella MDR.

I cambiamenti che possono sopraggiungere nel tempo non riguardano solo le caratteristiche del prodotto, ma anche eventuali modifiche della normativa.

I fabbricanti sono responsabili dell’implementazione di un sistema di gestione della qualità che garantisca la conformità al Regolamento nella maniera più efficace e in modo proporzionato alla classe di rischio e alla tipologia di dispositivo.

In quest’ottica, le aziende devono abituarsi a lavorare in maniera ripetibile, per reagire prontamente alle evoluzioni del software e del contesto regolatorio e perché è anche necessario che la produzione del dispositivo sia perfezionata nel tempo.

La produzione in serie di un SaMD

Il sistema per la gestione di qualità deve garantire la capacità di mettere a disposizione prodotti adattabili a diversi contesti.

I dispositivi devono essere personalizzabili.

Mantenendo sempre uguale il software dal punto di vista della qualità, questo deve essere adeguato alle diverse esigenze delle strutture sanitarie nelle quali verrà impiegato.

I requisiti minimi

I requisiti minimi previsti per i dispositivi medici sono sempre gli stessi e, di conseguenza, anche le procedure tecniche non cambiano.

Il concetto di sicurezza ed efficacia è inteso come quello associato allo stato dell’arte disponibile in quel momento. La norma ISO 14971 parte dal presupposto che non esista un rischio zero, ma impone che i rischi clinici debbano essere tutti identificati e portati al minimo.

Il sistema, nel suo complesso, è chiamato a mitigare il rischio in tutte le fasi di cui si compone. Le norme tecniche richiedono che l’approccio alla progettazione includa la lista chiara dei requisiti necessari per minimizzare i rischi.

Inoltre, impongono di agire anche sulla verifica che attesti che il prodotto sia effettivamente disponibile per il corretto funzionamento tecnico e che, nel caso sia previsto, si possa collegare ad altri device.

La sorveglianza post marketing

Nel contesto dell’attività post marcatura, i fabbricanti di tutti i dispositivi medici devono tenere sotto controllo la tecnologia dopo che questa è stata messa a disposizione degli utilizzatori in modo proporzionato alla classe di rischio e adeguato alla tipologia di dispositivo, in base all’art. 83 MDR.

Sono tenuti alla raccolta dei dati e dei metadati ai fini della Post Marketing Surveillance (PMS).

Uno degli aspetti cruciali in questa fase è costituito dalla necessità di bilanciare l’esigenza tecnica di raccogliere un numero più alto possibile di dati e l’obbligo di ridurre al minimo questa quantità imposto dal GDPR. Allo scopo di raggiungere l’equilibrio opportuno, occorre individuare le informazioni più strategiche da raccogliere, in termini di qualità, sicurezza e prestazioni del dispositivo medico.

Gli obblighi delle persone

Finora sono stati approfonditi gli obblighi previsti per le aziende e le persone giuridiche, ma la normativa impone adempimenti anche alle persone. Nello specifico, la figura in questione è quella della Persona Responsabile del rispetto della normativa, analoga alla Qualified Person (QP) che opera nell’ambiente farmaceutico.

L’art. 15 MDR le impone un ruolo di garanzia e supervisione, forti competenze in ambito biomedicale ed esperienza aziendale.

La PR ha il compito di assicurarsi della conformità dei dispositivi alla normativa, della corretta compilazione della documentazione tecnica, dell’adempimento agli obblighi di sorveglianza post-commercializzazione e di segnalazione degli incidenti e della compliance dei trial clinici (laddove previsti) al Regolamento.

Gli accordi di sviluppo e gestione

In occasione dei Digital for Clinical Days, affronta questo argomento Silvia Stefanelli, fondatore e titolare dello studio legale Stefanelli&Stefanelli.

Gli accordi di sviluppo e gestione sono contratti che contengono vari elementi, non solo civilistici ma anche specifici dell’MDR. Riguardano le fasi di progettazione, di realizzazione e di commercializzazione dei dispositivi medici.

Le parti coinvolte sono il committente ossia il soggetto interessato alla realizzazione di un software) e il fornitore (colui che possiede la competenza tecnica e che realizza il prodotto).

Il nuovo Regolamento ha esteso nozione di SaMD: dunque molti prodotti prima non considerati dispositivi medici ora lo sono diventati.

Dal punto di vista delle modalità di stesura dei contratti, inoltre, è diventato più rilevante il ruolo dei vari soggetti. Occorre stabilire chi fa cosa: se il committente è anche fabbricante o anche distributore, se il fornitore è solo fornitore o anche fabbricante e distributore.

I contenuti del contratto

Innanzitutto, il contratto deve stabilire la remunerazione dello sviluppatore: il soggetto che sviluppa il software, infatti, mette a disposizione un’attività intellettuale, un know-how.

A seconda degli interessi in gioco, il finanziatore può riconoscere allo sviluppatore:

  • un corrispettivo predeterminato
  • un canone di locazione per la licenza d’uso
  • le royalty
  • un’altra utilità di natura contrattuale.

Alla modalità di remunerazione consegue la distinzione fra licenza d’uso del software e cessione del software e quindi la relativa disciplina contrattuale.

Si tratta, infatti, di due contratti diversi. Mentre la licenza d’uso è un contratto di servizi (nel quale dunque occorre determinare le modalità di manutenzione e di intervento sul software da parte dello sviluppatore), la cessione è una vera e propria compravendita (e quindi il contratto deve stabilire, fra gli altri aspetti, anche le modalità di passaggio dei codici sorgente).

Il titolare dei diritti di sfruttamento economico

A questo proposito il Regolamento (UE) 745/2017 (MDR) non è l’unico ad essere applicato. La determinazione del titolare dei diritti di sfruttamento economico coinvolge altre discipline, fra cui quella sul diritto d’autore (Legge 633/1941 art. 2).

Se le parti non desiderano che il diritto d’autore finisca allo sviluppatore ma vogliono che sia in capo al committente, devono definire questi aspetti nell’accordo. In caso contrario, viene applicata la disciplina generale.

Per quanto riguarda il know-how, ci possono essere elementi che costituiscono il segreto industriale dello sviluppatore. In questo senso, la Direttiva UE 2016/943 tutela tutti quegli elementi che non possono essere brevettati.

Stabilire chi fabbrica e chi distribuisce

Anche qui, occorre individuare chi fa cosa, in particolare chi fabbrica e chi distribuisce.

Se, nella prima fase, i ruoli dovevano essere chiari al fine della stesura delle opportune clausole contrattuali, in questa seconda fase è lo stesso Regolamento 745/2017, che prevede adempimenti diversi in funzione delle diverse figure, ad impormi questo obbligo.

È conveniente che il soggetto che andrà a ricoprire la qualifica di fabbricante (che si assume una serie importante di obblighi) ai sensi del MDR detenga anche tutti i diritti di sfruttamento economico del prodotto.

La pubblicità dei dispositivi medici: un dibattito ancora aperto

I diritti di esclusiva possono essere sottoposti a vincoli territoriali (per esempio con riferimento solo ad alcuni Stati) e temporali (per esempio per un determinato periodo di tempo).

Se il finanziatore o lo sviluppatore vogliono trarre utilità economica indiretta attraverso la conoscenza presso il pubblico del contributo prestato per la realizzazione del dispositivo medico in questione, il contratto deve regolare la modalità con cui si svolgeranno le campagne informative e promozionali.

La pubblicità dei dispositivi medici, com’è noto, è ancora un tema aperto e in discussione. Il Decreto 46/97 imponeva un regime autorizzativo, ma questi limiti non sono più presenti all’interno del Regolamento 745/2017.

Malgrado ciò, il Ministero della Salute ha espresso la sua posizione nella Circolare del 12 novembre 2021, stabilendo che la disciplina precedentemente in vigore debba continuare, da questo punto di vista, ad essere applicata.

La protezione dei dati

Occorre che il software sia progettato per garantire un trattamento dei dati sicuro e compliant alla MDCG 2019-16 Guidance on Cybersecurity for medical device.

Inoltre, occorre avere chiaro (e definire) quali dati verranno trattati, per quali finalità e chi li tratterà.