Data Act applicabile: cosa cambia ora per strutture e dispositivi medici connessi

Dal 12 settembre 2025 è pienamente applicabile il Data Act (Regolamento UE 2023/2854), una norma europea che introduce regole importanti per l’accesso, la condivisione e il riutilizzo dei dati generati da prodotti connessi e servizi correlati. Per il settore sanitario, che utilizza sempre più dispositivi connessi (IoT, dispositivi medici intelligenti, sensoristica), significa nuove responsabilità e criticità. Come evidenzia l’avvocato Nadia Martini (Head of Data protection, Cybersecurity & Innovation – Rödl & Partner) – in un articolo pubblicato su Quotidiano Sanità – questi dispositivi non sono neutri: raccolgono dati sull’uso, sulle prestazioni, sull’ambiente, e spesso anche dati personali.

Quali ruoli emergono e quali responsabilità

Il Data Act introducono figure che cambia prospettiva:

  • User: chi possiede o ha diritti su un prodotto connesso. Se quel dispositivo raccoglie dati personali, l’utente potrebbe diventare anche soggetto privacy (interessato, titolare del trattamento)
  • Data holder: chi controlla l’accesso ai dati direttamente disponibili. Può essere il produttore, ma anche altri soggetti coinvolti nella filiera tecnologica.
  • Terze parti: soggetti che ricevono dati su richiesta dell’utente. Il Data Act richiede che queste terze parti rispettino requisiti rigorosi, specialmente se fuori dall’UE.

Le misure operative da non rimandare

Per essere conformi sia al GDPR che al nuovo Data Act, medici, cliniche, produttori di dispositivi, strutture sanitarie devono attuare subito:

  1. Assessment di applicabilità
    Verificare se si rientra nel campo di applicazione del Data Act, soprattutto per dispositivi medici connessi o IoT. Documentare tutto.
  2. Definire ruoli e responsabilità
    Specificare chi è titolare, chi è data holder, chi è terza parte; stabilire contratti chiari e procedure scritte per ogni ruolo.
  3. Misure organizzative e informative trasparenti
    Informative, contratti con i fornitori, registri, procedure per i diritti degli utenti e degli interessati.
  4. Misure tecniche avanzate
    Autenticazione multifattoriale, segmentazione rete, backup, monitoraggio intrusioni, controlli aggiornamenti software.
  5. Formazione continua del personale
    Ogni operatore deve conoscere le nuove regole, comprendere ruoli e obblighi, saper gestire richieste di accesso, portabilità, e generazione/gestione dati da dispositivi connessi.

Perché è urgente adeguarsi

  • Il Data Act non sostituisce il GDPR, ma lo integra: dove i dispositivi connessi trattano dati personali, entrambi i regolamenti operano insieme. Ignorarlo significa esporsi a rischi legali molto concreti.
  • Le strutture che non adeguano le proprie misure rischiano non solo sanzioni, ma perdita di fiducia dei pazienti, danni reputazionali e potenziali responsabilità in casi di malfunzionamento o abuso dei dati.

Il contributo che OKPrivacy può dare

Con OKPrivacy di Consulcesi & Partners è possibile contare su un supporto operativo concreto:

  • Audit per identificare se i dispositivi e sistemi connessi usati nella tua struttura sono soggetti al Data Act
  • Analisi comparativa GDPR/Data Act per definire gap e obblighi
  • Redazione o aggiornamento di informative, contratti, policy per ruoli e conservazione dati
  • Implementazione di misure tecniche e procedurali (sicurezza, backup, autenticazione, segmentazione rete)
  • Formazione mirata per medici, tecnici e personale amministrativo

Certo di essere a norma? 

La combinazione di GDPR e Data Act crea nuove sfide. Non affrontare la complessità da solo. Il nostro team di esperti è pronto a supportarti con audit, formazione e un piano d’azione personalizzato.

Verifica subito con gli esperti di OK Privacy

Condividi la notizia

Tags

Ai Act Data Act Dispositivi medici OkPrivacy

    RICHIEDI SUBITO UNA CONSULENZA

    Acconsento al trattamento dati per:

    Ricezione di offerte esclusiveVedi tutto

    L’invio di comunicazioni promozionali e di marketing, incluso l’invio di newsletter e ricerche di mercato, relative a prodotti e servizi del Titolare e di partners commerciali, attraverso strumenti automatizzati (sms, mms, email, notifiche push, fax, sistema di chiamata automatizzati senza operatore, utilizzo dei social network) e strumenti tradizionali (posta cartacea, telefono con operatore).

    Condivisione con altre societàVedi tutto

    La comunicazione dei Suoi dati personali a società con le quali il Titolare abbia stipulato accordi commerciali e/o convenzioni, appartenenti alle seguenti categorie: professionisti, società o enti di comunicazione e marketing; professionisti, società o enti operanti in ambito legale, tributario/fiscale, finanziario, contabile/amministrativo, assicurativo, formativo, informatico/tecnologico; professionisti, società o enti operanti in ambito socio-umanitario; professionisti, società o enti operanti in ambito immobiliare e in ambiti correlati; professionisti, società o enti operanti nel settore delle produzioni televisive e cinematografiche; professionisti, società o enti del settore sanitario, medicale/farmaceutico e fornitori di servizi per la persona e per il tempo libero, per loro finalità di marketing diretto attraverso strumenti automatizzati o strumenti tradizionali.

    Finalità scientifiche e statisticheVedi tutto

    Lo svolgimento di indagini statistico-scientifiche relative al mondo medico-sanitario ed al benessere dei cittadini.

    ProfilazioneVedi tutto

    Lo svolgimento di attività di profilazione volte a migliorare la qualità dei servizi erogati e l’adeguatezza delle comunicazioni commerciali alle Sue preferenze.