L’AI Act cambia le regole per i dispositivi medici, introducendo nuove normative e definizioni per l’intelligenza artificiale applicata alla sanità. Un cambiamento fondamentale per lo sviluppo e l’uso delle tecnologie emergenti in medicina che richiede un ripensamento delle strategie aziendali in termini di compliance e innovazione
Il 13 marzo 2024 il Parlamento Europeo ha formalmente adottato l’AI Act, il primo framework legale virtualmente completo e trasversale sull’intelligenza artificiale. Il testo finale era atteso da diverse realtà che operano nel settore tech, le quali hanno seguito i lavori legislativi con molto interesse vista la rilevanza che questo framework ricoprirà nel loro tessuto industriale. Fra di esse figurano molte aziende che sviluppano soluzioni per la salute digitale (un settore anche chiamato eHealth).
Questa attenzione è giustificata dal fatto che l’AI Act contiene diverse disposizioni che sono applicabili ai dispositivi medici, integranti o basati sull’Intelligenza Artificiale. Ma la nuova normativa non darà lo stesso peso a tutte le applicazioni: seguendo una logica “risk-based”, la maggior parte dei nuovi obblighi di compliance, rendicontazione e accountability ricadranno soprattutto sui “fornitori” (Art. 3(3), AI Act) di componenti o soluzioni AI ad “alto rischio”.
Pertanto, diviene essenziale per le figure legali e industriali che operano nel settore comprendere quando un dispositivo medico AI ricade all’interno di questa categoria.
Come viene definita l’Intelligenza Artificiale nell’AI Act
Per prima cosa, è necessario analizzare come viene qualificata una AI da un punto di vista legale. In base all’Art. 2(1) dell’AI Act essa è un: “un sistema automatizzato progettato per funzionare con livelli di autonomia variabili e che può presentare adattabilità dopo la diffusione e che, per obiettivi espliciti o impliciti, deduce dall’input che riceve come generare output quali previsioni, contenuti, raccomandazioni o decisioni che possono influenzare ambienti fisici o virtuali”.
Questo è il primo step generale per l’applicabilità della nuova normativa europea sull’AI. Ma come già detto, la maggior parte degli obblighi e degli oneri di compliance ricadono su una precisa classe di AI, quella ad “alto rischio”. Troviamo la disciplina che regola questa categoria all’Articolo 6, Comma 1 e 2, dell’AI Act.
La classificazione del rischio nell’AI Act e l’impatto sui dispositivi medici
L’Art. 6 Comma 2 dell’AI Act esegue un rinvio all’Allegato III del testo, dove viene elencata una serie di casi d’uso reputati ad “alto rischio” dal legislatore europeo. In questa sezione i dispositivi medici non ricoprono una parte estensiva, sebbene siano elencate delle casistiche di grande importanza dal punto di vista sanitario, come “i sistemi di [AI] destinati a essere utilizzati dalle autorità pubbliche o per conto di autorità pubbliche per valutare l’ammissibilità delle persone fisiche alle prestazioni e ai servizi di assistenza pubblica essenziali, compresi i servizi di assistenza sanitaria”, o anche “i sistemi di selezione dei pazienti per quanto concerne l’assistenza sanitaria di emergenza”.
Invece, i dispositivi medici integranti AI vengono ricompresi in maniera più diretta e organica nel Comma 1 dell’Art. 6. In questa disposizione si afferma che un sistema di AI è qualificabile come ad “alto rischio” se si soddisfano entrambe le seguenti condizioni:
- il sistema di AI è destinato a essere utilizzato come componente di sicurezza di un prodotto, o il sistema di AI è esso stesso un prodotto, disciplinato dalla normativa di armonizzazione dell’Unione elencata nell’allegato II;
- il prodotto, il cui componente di sicurezza a norma della lettera A) è il sistema di AI, o il sistema di AI stesso in quanto prodotto, è soggetto a una valutazione della conformità da parte di terzi ai fini dell’immissione sul mercato o della messa in servizio di tale prodotto ai sensi della normativa di armonizzazione dell’Unione elencata nell’allegato II.
I dispositivi medici AI rientrano pienamente nel punto A) di questa disposizione, in quanto nel citato Allegato II è espressamente menzionato il Regolamento Europeo sui Dispostivi Medici (Medical Device Regulation, o MDR): il principale testo normativo – anche se non l’unico – per la valutazione e l’immissione dei dispositivi medici nel mercato europeo.
Più sfumata invece è l’applicabilità del punto B), poiché quest’ultimo testo legale non prescrive una procedura di conformità da parte di terzi (nel caso dei dispositivi medici alle “organizzazioni notificate”) per tutti i dispositivi medici. Nel seguente paragrafo osserveremo più da vicino come anche il Regolamento Europeo sui Dispositivi Medici segua un approccio “risk-based”, qualificando i dispositivi medici in classi di rischio e scaglionando gli obblighi normativi in base al “livello di vulnerabilità associata a tali dispositivi” (Considerando 60, MDR).
La definizione di Medical Device Software nel Regolamento Ue sui dispositivi medici
In base all’Articolo 2(1) della MDR, sono qualificabili come software a uso medico (Medical Device Software, o MDSW) qualunque software che operi o fornisca:
- diagnosi, prevenzione, monitoraggio, previsione, prognosi, trattamento o attenuazione di malattie;
- diagnosi, monitoraggio, trattamento, attenuazione o compensazione di una lesione o di una disabilità;
- studio, sostituzione o modifica dell’anatomia oppure di un processo o stato fisiologico o patologico,
- informazioni attraverso l’esame in vitro di campioni provenienti dal corpo umano, inclusi sangue e tessuti donati;
- dispositivi per il controllo del concepimento o il supporto al concepimento;
- i prodotti specificamente destinati alla pulizia, disinfezione o sterilizzazione dei dispositivi di cui all’articolo 1, paragrafo 4, e di quelli di cui al primo comma del presente punto.
Una volta stabilito che una soluzione e-health ricade sia nella definizione di intelligenza artificiale dell’AI Act che in quella di MDSW possiamo cominciare ad analizzare se essa possa anche essere qualificata come ad “alto rischio”. L’Allegato VIII della MDR stabilisce le regole di classificazione dei dispositivi medici. Più nel dettaglio, in base alla Regola 11, un MDSW può ricadere in quattro diverse classi di rischio crescente:
- Classe I;
- Classe IIa;
- Classe IIb;
- Classe III.
Questa suddivisione diventa molto rilevante se si aggiunge che in base alla normativa un software a uso medico – come può essere una soluzione e-health integrante AI – è soggetto a una valutazione di conformità da parte di una “organizzazione notificata” solamente nelle ultime tre classi di rischio. Infatti, per la Classe I in linea generale non vige tale obbligo. Come sancito dall’Articolo 52(7) del Regolamento Europeo sui Dispositivi Medici, per i “dispositivi della classe I” sono i fabbricanti stessi che “dichiarano la conformità dei loro prodotti redigendo la dichiarazione di conformità” e la documentazione tecnica seguendo le prescrizioni normative.
Come viene assegnata la classe di rischio a un Medical Device Software
Ma in base a quale principio a un MDSW viene assegnata una classe? Le regole di classificazione seguono il rischio che l’utilizzo del dispositivo medico comporta. Infatti, la Regola 11 della MDR stabilisce uno schema procedurale che sancisce che un software medico è qualificabile come di Classe I, a meno che:
- Il software sia destinato a fornire informazioni utilizzate per prendere decisioni a fini diagnostici o terapeutici. In questo caso rientra nella Classe IIa, ma se tali decisioni hanno effetti tali da poter causare:
- il decesso o un deterioramento irreversibile delle condizioni di salute di una persona, allora il software è di classe III;
- oppure un grave deterioramento delle condizioni di salute di una persona o un intervento chirurgico, allora il dispositivo rientra nella classe IIb.
- Il software sia destinato a monitorare i processi fisiologici, allora rientra nella classe IIa. A meno che sia destinato a monitorare i parametri fisiologici vitali, ove la natura delle variazioni di detti parametri sia tale da poter creare un pericolo immediato per il paziente, nel qual caso rientra nella classe IIb.
I casi “borderline e l’interazione tra il Regolamento Europeo sui Dispositivi Medici e l’AI Act
Per assistere alla concreta applicazione della normativa di riferimento, il Gruppo di Coordinamento per i Dispositivi Medici ha fornito diverse guide, come anche un Manuale su alcuni casi di classificazione ritenuti “borderline”. Le analisi e i casi pratici forniti da questi documenti possono portare giovamento alla comprensione e alla chiarezza sull’interazione tra il Regolamento Europeo sui Dispositivi Medici e l’AI Act.
Per esempio, in base a una guida rilasciata dal Gruppo, per sistema informativo ospedaliero si può intendere un software che supporti il processo di gestione dei pazienti, come l’ammissione dei pazienti e la programmazione degli appuntamenti. Secondo lo stesso testo, un sistema del genere, senza l’aggiunta di moduli ulteriori, non può qualificarsi come MDSW, pertanto non è soggetto alla MDR. Ne consegue che non può essere qualificato come sistema AI ad “alto rischio” a norma dell’Art. 6 Comma 1 dell’AI Act.
Tuttavia, anche se non rientrante nella definizione di dispositivo medico, un sistema informativo ospedaliero può ancora essere qualificato come sistema ad “alto rischio” in base al Comma 2 dell’Art. 6 dell’AI Act. Infatti, come già accennato, questa disposizione effettua un rinvio all’Allegato III dell’AI Act che stabilisce che come ad “alto rischio” tutti “i sistemi di [AI] destinati a essere utilizzati dalle autorità pubbliche o per conto di autorità pubbliche per valutare l’ammissibilità delle persone fisiche alle prestazioni e ai servizi di assistenza pubblica essenziali, compresi i servizi di assistenza sanitaria”.
Invece, un esempio di MDSW, può essere un software medico atto a classificare strategie terapeutiche per un operatore sanitario sulla base dell’anamnesi, screening e analisi di altre caratteristiche del paziente. Un software simile dovrebbe essere classificato come classe IIa ai sensi della Regola 11.
Le eccezioni al regime di classificazione delle AI ad alto rischio nell’AI Act
Lo stesso Articolo 6 dell’AI Act fornisce le eccezioni al regime di classificazione delle AI ad “alto rischio” appena presentato. Infatti, il Comma 3 stabilisce che “un sistema di [AI] non è considerato ad alto rischio se non presenta un rischio significativo di danno per la salute, la sicurezza o i diritti fondamentali delle persone fisiche”, per poi fornire una lista non esaustiva di tali esenzioni, come:
a) il sistema di [AI] è destinato a eseguire un compito procedurale limitato;
b) il sistema di [AI] è destinato a migliorare il risultato di un’attività umana precedentemente completata;
c) il sistema di [AI] è destinato a rilevare schemi decisionali o deviazioni da schemi decisionali precedenti e non è inteso a sostituire o influenzare la valutazione umana precedentemente completata senza un’adeguata revisione umana;
d) il sistema di [AI] è destinato a eseguire un compito preparatorio per una valutazione pertinente ai fini dei casi d’uso elencati nell’allegato III.
Conclusioni
L’approvazione dell’AI Act solleva molte questioni in merito al rapporto di questo testo legale con altre discipline di settore. In questo senso, uno dei nodi principali verte sul vasto mercato dei dispositivi medici e sulla loro regolamentazione. L’utilizzo di soluzioni e-health è sempre più comune e l’AI Act non è ancora operativo. Ma tutti gli attori di questo mercato dovrebbero già cominciare a riflettere su come raggiungere la compliance. Una corretta analisi delle definizioni non è che il primo passo in questo senso.
l’Autore: Luca Mattei Researcher & Legal Consultant presso Cyberethics Lab