Fitness tracker: tutela dei dati personali, obblighi di cybersecurity e implicazioni relative al loro utilizzo su prescrizione medica. Per approfondire i temi dell’intelligenza artificiale, abbiamo organizzato il “Master in Intelligenza artificiale per avvocati e imprese – Come utilizzare l’AI generativa per un vantaggio competitivo nel settore legale”.
Indice
1. L’utilizzo dei fitness tracker
È sempre più vasta la diffusione di dispositivi indossabili, come smartwatch e fasce cardiache, che svolgono la funzione di fitness tracking.
Trattasi di dispositivi indossabili che – attraverso sensori e software collegati – consentono agli utenti di monitorare in tempo reale parametri come frequenza cardiaca, pressione sanguigna, livello di ossigeno nel sangue, ciclo del sonno.
L’impiego di questi wearable device è talvolta caldeggiato (o prescritto) dagli stessi sanitari.
I fitness tracker possono infatti fornire ai professionisti del settore medico dati più accurati rispetto alle autosegnalazioni dei pazienti, permettendo una valutazione clinica più precisa.
Sono poi gli stessi utenti a poter migliore, attraverso l’autonoma analisi dei dati registrati dai device, le proprie abitudini di vita, con conseguente riduzione dei costi sanitari.
Da un lato, il largo utilizzo di wearable devices determina dunque una maggiore proattività nell’affrontare le sfide dell’assistenza sanitaria e, più in generale, della cura della salute degli individui.
Dall’altro lato, la delicatezza delle informazioni raccolte e conservate attraverso l’utilizzo di tali dispositivi impone una riflessione sulla tutela della sfera di riservatezza degli utenti, nonché sull’adeguatezza delle misure tecniche volte a garantirne la sicurezza.
Il tema riguarda, in particolare, la potenziale capacità dei wearable devices di rilevare, mediante l’utilizzo dei dati raccolti, stili di vita, patologie, vulnerabilità e dipendenze[1].
Un loro utilizzo massivo può determinare il tracciamento delle attività quotidiane dell’utente.
Nello specifico, la raccolta di parametri quali velocità di camminata, schemi di movimento e lunghezza del passo, possono astrattamente essere utilizzati per risalire all’identità dell’individuo che utilizza il device attraverso la misurazione delle modalità con cui l’individuo stesso “utilizza” il proprio corpo[2].
La maggioranza degli utenti non ha peraltro effettiva contezza della raccolta costante (e della successiva conservazione) di dati personali di diversa tipologia[3], né dei rischi legati ad un loro utilizzo non propriamente health-focused
Talvolta sono gli stessi utilizzatori a determinare una circolazione di dati più ampia di quella necessaria ai fini di tutela della propria salute.
Il richiamo è al fenomeno del c.d. life-logging, consistente nella registrazione, nella successiva archiviazione, nonché nella possibile diffusione via social network, di tutto ciò che l’utente fa ogni giorno, compresi il regime alimentare seguito, i risultati delle sessioni di allenamento ecc…[4].
Potrebbero interessarti anche:
2. Fitness tracker e tutela dei dati personali
È evidente che l’utilizzo di activity tracker e, in particolare, delle app e dei software connessi, determini il trattamento di un buon numero di dati personali dell’utilizzatore.
La raccolta riguarda anche dati di natura sensibile in quanto riferiti allo stato psicofisico e di salute[5], che possono essere trasmessi a terzi per finalità non sempre conosciute[6].
Nella macro-categoria dei dati particolari (o sensibili, per usare la dicitura ancora oggi maggiormente diffusa), rientra infatti, secondo le intenzioni del Legislatore europeo, “(….) qualsiasi informazione riguardante, (…) lo stato fisiologico o biomedico dell’interessato, indipendentemente dalla fonte”[7].
Oltre a ciò, le app e i dispositivi wearable hanno funzioni di geolocalizzazione che consentono di tracciare la posizione e gli spostamenti dell’utente in un preciso momento e nel tempo.
Va poi osservato come i dati raccolti dai dispositivi in questione non rimangano “all’interno” dei dispositivi stessi, o comunque nella disponibilità del fornitore dei wearable devices (e dei relativi servizi quali la relativa app scaricabile), ma possono sovente entrare nella disponibilità di soggetti terzi.
Sul punto, proprio al fine di minimizzare il rischio di accessi indebiti, l’Autorità Garante ha imposto l’adozione di particolari cautele in relazione alle attività funzionali alla fornitura e all’assistenza/manutenzione dei dispositivi in questione[8].
All’interno dello stesso Fascicolo Sanitario Elettronico (FSE) è peraltro presente un taccuino personale che può essere alimentato dai dati raccolti e generati da dispositivi medici e/o wearable[9].
In ragione della pervasività dei trattamenti di dati personali sopra descritti, il Garante ha evidenziato la centrale rilevanza del consenso degli utenti in relazione al sempre più frequente impiego di oggetti connessi, tra i quali vengono espressamente richiamati i wearable devices[10].
Anche all’utilizzo dei fitness tracker si attaglia quindi il c.d. diritto all’autodeterminazione informativa[11], da tempo affiancatosi al tradizionale concetto di privacy.
Tale evoluzione prende le mosse dalla crescente pervasività dei flussi informativi nella quotidianità degli individui e alla sempre maggiore dipendenza della identità di una persona dal modo in cui viene considerato l’insieme dei dati che la riguardano[12].
3. I fitness trackers sono dispositivi medici?
Non tutti gli strumenti indossabili che consentono di monitorare parametri vitali sono qualificabili come dispositivi medici in senso stretto[13].
Anche il più “banale” dei fitness tracker consente la rilevazione (e dunque lo studio) di uno stato fisiologico quale, ad esempio, la frequenza cardiaca.
In ragione di ciò, sarebbe astrattamente possibile ricondurre tutti gli activity tracker in commercio alla categoria dei dispositivi medici in senso stretto.
È tuttavia dirimente, ai fini della qualificazione di un prodotto come dispositivo medico, la destinazione d’uso determinata a monte dal fabbricante del dispositivo stesso.
Ciò, in particolare, con riguardo all’applicabilità del Regolamento europeo relativo ai Dispostivi Medici (MDR).
I fitness tracker di più ampia diffusione vengono infatti venduti non come dispositivi funzionali al monitoraggio o alla prevenzione, bensì come prodotti esclusivamente volti al miglioramento del benessere dell’utente.
Appositi disclaimer in tal senso sono pubblicati, dai produttori di tali dispositivi, nei siti web e nelle schede tecniche relative ai prodotti commercializzati.
Nel tentativo di tracciare una linea di demarcazione tra un software destinato all’incremento del benessere e un software qualificabile come dispositivo medico (SaMD: Software as Medical Device), è stato precisato che un software collegato ad uno smartwatch può essere considerato dispositivo medico solo qualora risulti destinato uno scopo medico preciso.
Il caso può essere quello di un’applicazione progettata per inviare notifiche di allarme all’utente e/o al medico quando riconosce battiti cardiaci irregolari allo scopo di rilevare l’aritmia cardiaca[14].
Non v’è dubbio che tale applicazione vada qualificata come dispositivo medico, anche ai sensi del Regolamento MDR.
Chiaramente diversa è l’ipotesi dello smartwatch, progettato e commercializzato per tracciare i dati relativi alle sessioni di allenamento dell’utente, tra i quali ritroviamo anche la frequenza cardiaca.
4. Applicazione della normativa in materia di cybersecurity
A prescindere dall’inquadramento come dispositivo medico, vista la delicatezza dei dati trattati, l’utilizzo di fitness tracker impone una riflessione anche in tema di cybersecurity[15].
I wearable device in esame vengano prevalentemente utilizzati di concerto con specifiche applicazioni, che registrato i dati raccolti nel corso della giornata (o in occasione delle sessioni di allenamento).
Tali dati possono essere successivamente condivisi dall’utente su piattaforme dedicate e/o attraverso i social media.
Su questo fronte, la sempre maggiore interdipendenza dei sistemi informativi, e i crescenti rischi in tema di sicurezza ad essa conseguenti, rendono necessario – anche in relazione ai dispositivi in esame – un generale innalzamento del livello di guardia[16].
Già il GDPR, pur disciplinando più in generale la tutela dei dati personali, aveva imposto l’adozione di misure tecniche e organizzative atte a garantire un livello di sicurezza adeguato al rischio[17], quali – ad esempio – misure di anonimizzazione ed utilizzo di ID non immediatamente riconducibili ai dati anagrafici dell’utente.
Sul punto, deve segnalarsi la recente introduzione – nell’ordinamento italiano – del Decreto Legislativo n. 138 del 2024, che ha recepito la Direttiva europea conosciuta come NIS2.
Trattasi di una normativa specificamente volta a garantire un livello comune ancor più elevato di protezione contro gli attacchi informatici, introducendo obblighi di vigilanza, di segnalazione e in materia di gestione dei rischi di cybersecurity[18].
Tornando ai dispositivi oggetto di disamina, appare utile rilevare come l’applicazione della normativa sia circoscritta a quei soggetti rientranti nelle tipologie indicate negli Allegati I e II della Direttiva.
Nell’Allegato II, tra gli “Altri settori critici”, sono espressamente annoverati coloro che fabbricano dispositivi medici, da intendersi in senso stretto (e dunque nei limiti di quanto già chiarito nel precedente paragrafo).
Sono però considerati produttori operanti in “settori critici” anche coloro che fabbricano “elettronica di consumo, apparecchiature di misurazione, apparecchiature di irradiazione, elettromedicali ed elettroterapeutiche”[19].
I produttori di fitness tracker ricadono dunque all’interno di un’area grigia, non essendo certa la loro riconducibilità alle categorie di produttori che la Direttiva NIS2 ritiene operanti in settori critici.
In ogni caso, stante la delicatezza e la pervasività dei trattamenti che tali dispositivi realizzano, appare ragionevole un’interpretazione estensiva della normativa in materia di cybersecurity, con conseguente applicazione degli obblighi imposti dalla Direttiva NIS2.
5. L’utilizzo di fitness tracker su prescrizione medica. Profili di responsabilità
Il largo utilizzo dei dispositivi in esame induce a riflettere sulle possibili conseguenze (e correlate responsabilità) determinate da un loro malfunzionamento.
Tale riflessione può essere peraltro estesa alle conseguenze della scarsa attendibilità e precisione dei parametri registrati dai dispositivi genericamente destinati all’incremento del benessere degli utilizzatori.
Un’anomalia del prodotto potrebbe impedire all’utente di rilevare correttamente uno stato patologico (es. una tachicardia ventricolare, associata ad una frequenza cardiaca estremamente rapida), con possibili pregiudizi per la salute dell’utente stesso.
L’utilizzatore, che si affida unicamente a parametri registrati dal proprio fitness tracker, può essere convinto di monitorare adeguatamente lo stato di salute del proprio apparato cardiaco.
In una siffatta ipotesi, quanto all’utilizzo di prodotti funzionali al miglioramento del benessere, il loro malfunzionamento (o comunque la loro carenza di affidabilità)[20], non può generare una responsabilità da prodotto difettoso in capo al fabbricante ai sensi del Regolamento MDR[21].
Nei casi sopra ipotizzati si può ritenere esclusa anche la responsabilità da prodotto difettoso come disciplinata dalla normativa consumeristica vigente.
In particolare, l’art. 117 del Codice del consumo, considera difettoso un prodotto che non offre la sicurezza che ci si può legittimamente attendere, “tenuto conto di tutte le circostanze, tra cui: a) il modo in cui il prodotto è stato messo in circolazione, la sua presentazione, le sue caratteristiche palesi, le istruzioni e le avvertenze fornite; b) l’uso al quale il prodotto può essere ragionevolmente destinato e i comportamenti che, in relazione ad esso, si possono ragionevolmente prevedere”.
I chiari disclaimer pubblicati dai produttori, già sopra richiamati, rispondono proprio alla finalità di ricordare all’utente le caratteristiche e la destinazione d’utilizzo del prodotto (sulla base dei quali dovrà essere valutata la loro eventuale pericolosità).
Un’ulteriore considerazione merita il diverso caso in cui il fitness tracker venga utilizzato su prescrizione medica al fine di monitorare la frequenza cardiaca di un paziente.
In questa ipotesi, il paziente utilizza il device condividendo con il proprio medico curante i dati registrati dal dispositivo.
Il prodotto acquistato dal paziente (come dispositivo funzionale al solo miglioramento del benessere) viene quindi utilizzato a fini diagnostici su prescrizione del medico curante.
Nel caso di malfunzionamento del prodotto, e conseguente mancata rilevazione della patologia cardiaca, la condotta del professionista – tenuto ad una diligenza maggiormente qualificata rispetto a quella del consumatore[22] – potrebbe generare una responsabilità professionale di quest’ultimo.
Esclusa la responsabilità del fabbricante per immissione in commercio di un prodotto difettoso, potrebbe infatti emergere la responsabilità professionale del medico che, con condotta imprudente e imperita, abbiamo prescritto l’utilizzo di un prodotto non progettato per scopi medici.
Trattasi infatti, nella sostanza, di fattispecie non dissimile rispetto ai più diffusi casi di errata diagnosi e/o di errata prescrizione farmacologia.
Formazione in materia
Per approfondire i temi dell’intelligenza artificiale, abbiamo organizzato il “Master in Intelligenza artificiale per avvocati e imprese – Come utilizzare l’AI generativa per un vantaggio competitivo nel settore legale”
Il Master in Intelligenza Artificiale per Avvocati e Imprese è un percorso formativo avanzato, progettato per fornire a professionisti del settore legale e imprese le conoscenze e le competenze necessarie per orientarsi e utilizzare al meglio le potenzialità dell’AI generativa. Attraverso un approccio pratico, il corso illustrerà i principali tool di AI in uso e mostrerà ai partecipanti come integrare l’AI nei processi lavorativi, migliorando l’efficienza, riducendo i costi e innovando i servizi offerti.Il corso ha una durata totale di 21 ore, articolate in sette incontri da tre ore ciascuno, e include dimostrazioni pratiche in cui verranno illustrate tecniche per la creazione di Prompt efficaci e un framework per la creazione di un GPT personalizzato, focalizzato sulle esigenze del settore legale.
>>>Per info ed iscrizioni<<<
Note
[1] R. CORCELLA, Dispositivi indossabili: rischi per la privacy. Che fine fanno le informazioni raccolte? – Intervista a Pasquale Stanzione, in Corriere Salute, 4 marzo 2021
[2] S. A. ELKADER, M. BARLOW, AND E. LAKSHIKA, Wearable sensors for recognizing individuals undertaking daily activities, in Proceedings of the 2018 ACM International Symposium on Wearable Computers, ser. ISWC ’18. New York, NY, USA: ACM, 2018, pp. 64–67, consultabile al link: http://doi.acm.org/10.1145/3267242.3267245
[3] B. LOWENS, V. MOTTI, K. CAINE, Wearable privacy: Skeletons in the data closet, Proceedings of the 2017 International Conference on Healthcare Informatics, 2017, consultabile al link: https://www.researchgate.net/publication/319867701_Wearable_Privacy_Skeletons_in_The_Data_Closet
[4] Sul rapporto tra wearable devices e lifelogging, cfr. P. DATTA, A. SIAMI NAMIN, M. CHATTERJEE, A Survey of Privacy Concerns in Wearable Devices, 2018 IEEE International Conference on Big Data (Big Data), consultabile al link: https://par.nsf.gov/servlets/purl/10186799
[5] Il dato relativo alla salute (come può essere la frequenza cardiaca rilevata) è annoverato tra le categorie di dati particolari, che sono oggetto di tutela rafforzata (cfr. Reg. UE 2016/679, art. 9).
[6] GARANTE PRIVACY, App e dispositivi fitness tracker e protezione dei dati personali. I suggerimenti del Garante, scaricabile al seguente link: https://www.garanteprivacy.it/documents/10160/0/App+e+dispositivi+fitness+tracker+e+protezione+dei+dati+personali.pdf/9c010550-a8cd-7b95-9f95-99e49780d34b?version=15.0
[7] Reg. (UE) n. 2016/679 – GDPR, considerando n. 35
[8] GARANTE PRIVACY, Parere sullo schema di decreto legislativo, recante disposizioni per l’adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2017/745, relativo ai dispositivi medici, Registro dei provvedimenti n. 189 del 26 maggio 2022, [doc. web n. 9782450]. Il Parere del Garante si riferisce ai dispositivi medici, ma può ipotizzarsene l’estensione applicativa anche ai fitness tracker per le ragioni esposte al successivo paragrafo 3.
[9] GARANTE PRIVACY, Fascicolo sanitario elettronico (FSE), edizione luglio 2024
[10] GARANTE PRIVACY, Inizio moduloFine moduloCommissione parlamentare d’inchiesta sulla tutela dei consumatori e degli utenti, Audizione del Presidente del Garante per la protezione dei dati personali, Prof. Pasquale Stanzione, 16 febbraio 2022, Doc-Web 9745988: “L’autodeterminazione effettiva e, dunque, anche la reale consapevolezza delle implicazioni di ogni nostro assenso è del resto determinante anche rispetto all’internet of things e, dunque, all’utilizzo sempre più frequente di oggetti connessi (dai wearable devices agli assistenti vocali). Per un verso, infatti, rispetto ai rischi di esfiltrazione, accesso indebito, hackeraggio dei dispositivi sono essenziali le tutele preventive accordate dalla disciplina della privacy, con particolare riguardo alle misure di sicurezza e di privacy by design e by default. Per altro verso, tuttavia, il maggiore argine rispetto al rischio di un uso secondario dei dati (per fini dunque ultronei rispetto a quelli strettamente funzionali al servizio reso) è proprio il consenso: strumento importante di autodeterminazione informativa con cui è il consumatore a definire il perimetro del trattamento, vietando ex ante forme d’indebito sfruttamento dei propri dati”
[11] Traduzione dell’espressione impiegata dalla giurisprudenza costituzionale tedesca, in particolare Bundesverfassungsgericht ,15 dicembre 1983; sul punto: S. RODOTÀ, Tecnologie e diritti, Il Mulino, Bologna,1995, 44-45
[12] S. RODOTÀ, Il diritto di avere diritti, Laterza, 2012, 159
[13] Sul definizione di dispositivo medico: cfr. Reg. (UE) n. 2017/745 – MDR (Medical Device Regulation):“ Ai fini del presente regolamento si applicano le seguenti definizioni: 1) «dispositivo medico»: qualunque strumento, apparecchio, apparecchiatura, software, impianto, reagente, materiale o altro articolo, destinato dal fabbricante a essere impiegato sull’uomo, da solo o in combinazione, per una o più delle seguenti destinazioni d’uso mediche specifiche: — diagnosi, prevenzione, monitoraggio, previsione, prognosi, trattamento o attenuazione di malattie, — diagnosi, monitoraggio, trattamento, attenuazione o compensazione di una lesione o di una disabilità, — studio, Il software per dispositivi medici è un software destinato a essere utilizzato, da solo o in combinazione, per uno scopo
scopo, come specificato nella definizione di “dispositivo medico” nella MDRsostituzione o modifica dell’anatomia oppure di un processo o stato fisiologico o patologico, (…)”.
[14] MEDICAL DEVICE COORDINATION GROUP – MDCG 2019-11, Guidance on Qualification and Classification of Software in Regulation (EU) 2017/745 – MDR and Regulation (EU) 2017/746 – IVDR October 2019
[15] La cybersecurity è un profilo concettualmente distinto dalla tutela dei dati personali in senso stretto, cfr. Reg. (UE) n. 2019/881 – Cybesecurity Act, Art. 2, co. 1:“Ai fini del presente regolamento si intende per: 1) «cibersicurezza»: l’insieme delle attività necessarie per proteggere la rete e i sistemi informativi, gli utenti di tali sistemi e altre persone interessate dalle minacce informatiche (…)”.
[16] Cfr. Direttiva (UE) n. 2022/2555 – NIS2, Considerando 37: “Le crescenti interdipendenze sono il risultato di una rete di fornitura di servizi sempre più transfrontaliera e interdipendente che utilizza infrastrutture chiave in tutta l’Unione in settori quali 6ella pubblica amministrazione, nonché dello spazio, per quanto riguarda la fornitura di determinati servizi che dipendono da infrastrutture di terra possedute, gestite e utilizzate dagli Stati membri o da soggetti privati, ad esclusione, pertanto, delle infrastrutture possedute, gestite o utilizzate dall’Unione o per suo conto nell’ambito del suo programma spaziale. Tali interdipendenze implicano che qualsiasi perturbazione, anche se inizialmente limitata a un soggetto o a un settore, possa avere effetti a cascata più ampi, con potenziali ripercussioni negative di ampia portata e di lunga durata sulla fornitura di servizi in tutto il mercato interno. Gli attacchi informatici intensificatisi durante la pandemia di COVID-19 hanno mostrato la vulnerabilità di società sempre più interdipendenti di fronte a rischi di bassa probabilità”.
[17] Reg. (UE) n. 2016/679 – GDPR, art. 32
[18] Per un primo commento, cfr. S. STEFANELLI, Cybersecurity e dispositivi medici: gli obblighi per i produttori secondo il decreto 138/2024, in AboutPharma, 29 ottobre 2024, consultabile al link, consultabile al link: https://www.aboutpharma.com/legal-regulatory/cybersecurity-e-dispositivi-medici-gli-obblighi-per-i-produttori-secondo-il-decreto-138-2024/
[19] cfr. NACE Rev.2, Statistical classification of economic activities in the European Community, Section C, n. 26, espressamente richiamata nell’allegato alla Direttiva NIS2.
[20] Reg. (UE) n. 2017/745 – MDR (Medical Device Regulation), art. 2, co. 1, n. 59 “difetto di un dispositivo: qualsiasi carenza a livello dell’identità, della qualità, della durabilità, dell’affidabilità, della sicurezza o della prestazione di un dispositivo oggetto di indagine, compresi il cattivo funzionamento, gli errori d’uso o l’inadeguatezza delle informazioni fornite dal fabbricante;
[21] Reg. (UE) n. 2017/745 – MDR (Medical Device Regulation), art. 10, co. 16. “Le persone fisiche o giuridiche possono chiedere un risarcimento per danni causati da un dispositivo difettoso, ai sensi della normativa applicabile a livello dell’Unione e del diritto nazionale”.
[22] Art. 1176 co. 2 cod. civ. “Nell’adempimento delle obbligazioni inerenti all’esercizio di un’attività professionale, la diligenza deve valutarsi con riguardo alla natura dell’attività esercitata”.
Scrivi un commento
Accedi per poter inserire un commento