Questo articolo è parte di una serie dedicata alle Terapie Digitali, a cura di Jovan Stevovic, CEO e co-founder di Chino.io.
Come abbiamo potuto notare, ad oggi troviamo framework regolatori frammentati e in continua evoluzione, che potrebbero sembrare delle vere e proprie sfide per aziende e startup.
I rischi associati possono influenzare la velocità di sviluppo, i costi di sviluppo e quindi provocare seri ritardi sul lancio del prodotto. Il tempo è cruciale quando si sviluppa a prodotto medicale: ritardi inaspettati possono avere ripercussioni finanziarie importanti per tutte le aziende e stakeholder coinvolti.
Quindi, le aziende devono assicurarsi di avere una base di conformità tecnico-legale molto solida prima di entrare in questi mercati. Una base che aiuterà a ridurre i tempi e i costi sul breve e lungo termine.
Protezione dei dati, sicurezza e valutazione tecnica
La conformità con il GDPR per Unione Europea e Regno Unito è il fulcro essenziale per portare una DTx sul mercato. Questo perché il GDPR rappresenta la base regolatoria di tutti i processi di approvazione in UE e UK.
Non è esattamente lo stesso per HIPAA e il mercato US, dove alcuni prodotti (come quelli rivolti al mercato B2C che non trasmettono e archiviano dati medicali) non sempre necessitano della conformità HIPAA.
In aggiunta ai requisiti obbligatori GDPR e HIPAA potrebbero essere necessarie o addirittura obbligatorie altre prove di conformità. Per esempio, in Germania molte volte viene richiesta la conformità a ISO 27001 o ancora, test di penetrazione per garantire la sicurezza informatica del prodotto.
O ancora, possono essere richiesti ulteriori assessment tecnici per garantire la sicurezza dei dati dei pazienti. I requisiti sono definiti a livello nazionale ma seguono le ultime best practices per quanto riguarda la sicurezza software (come la crittografia, trasferimento dei dati, log).
È importante tenere a mente che tutte queste certificazioni richiedono un aggiornamento costante da parte dell’azienda e diventa quindi necessario destinare il giusto tempo a queste attività.
Validazione clinica, certificazioni medicali e gestione della qualità
L’altra categoria di requisiti regolatori obbligatori è composta dalle certificazioni medicali e trial clinici. Le terapie digitali sono veri e propri dispositivi medicali e per questo devono essere conformi a MDR per il mercato europeo o FDA per quello statunitense.
Tra i numerosi requisiti obbligatori, il nuovo MDR richiede che le aziende implementino un sistema di gestione qualità – QMS – durante la fase di presentazione della domanda (set di standard armonizzati come ad esempio ISO 13485:2016 e IEC 82304-1:2016).
Non bisogna sottovalutare però le tempistiche: se non propriamente programmata, l’ottenimento della ISO 13485:2016 solitamente richiede 4-6 mesi per aziende con meno di 50 dipendenti.
4 consigli per risolvere i problemi di conformità regolatoria
Come avrai potuto notare, molte delle regolamentazioni descritte in questo articolo hanno dei punti in comune per quanto riguarda privacy, sicurezza e GDPR. Data la complessità e la frammentazione dei sistemi regolatori, è sempre più necessaria la consapevolezza dell’importanza di impostare e mantenere e aggiornare un sistema di compliance all’interno delle aziende.
Qui di seguito ci sono 4 consigli che crediamo possano essere utili nella fase di sviluppo e go-to-market:
- Pianifica la conformità dal giorno 0: comincia dalle basi del GDPR – regolamentazioni nazionali come DiGAV aggiungono altri requisiti in tema di sicurezza dei dati, privacy e gestione dei dati. Ma il cuore pulsante rimane sempre il GDPR: organizzare la gestione dei dati sin dall’inizio diventa di estrema importanza per il le aziende della digital health. In aggiunta, oltre ai processi di rimborso, pazienti, clienti e investitori sono sempre più coscienti dei rischi derivanti dalla cattiva gestione della privacy e richiedono standard sempre più alti. Se questi aspetti vengono trascurati o non gestiti, le conseguenze per le aziende e stakeholder possono diventare considerevoli in termini di fatturato, reputazione e retention del prodotto.
- Collabora con partner fidati: i framework regolatori si stanno evolvendo velocemente di pari passo alle opportunità del mercato. Questo significa più sfide, ma anche molte più opportunità. Il time-to-market e l’efficienza diventano elementi essenziali per riuscire a competere in termini di innovazione. Considera quindi la possibilità di collaborare con partner in grado di supportarti in questa fase delicata.
- Pianifica una roadmap chiara e definita: se il tuo obiettivo è quello, ad esempio, di entrare nel piano Fast-Track previsto dal DVG tedesco, allora i primi 12 mesi saranno vitali per raggiungerlo. Avere un piano d’azione definito che tenga conto anche degli aspetti legati alla conformità farà la differenza tra il successo e il fallimento. Assicurati quindi di stilare una pianificazione dettagliata e di evitare lunghi mesi di attesa per l’approvazione e per le certificazioni (alcune delle quali possono impiegare dai 6 ai 12 mesi).
- Scegli provider (cloud e non solo) di fiducia: come abbiamo potuto notare negli ultimi mesi, le regolamentazioni medicali in Europa sono molto rigide quando si tratta di cloud provider. Ad esempio, DiGAV vieta che i dati vengano processati in Paesi terzi (con alcune eccezioni, ad esempio se ci sono motivi comprovati per farlo). Questo rende difficile se non quasi impossibile l’utilizzo di servizi con sede negli Stati Uniti per la gestione dei dati provenienti dalle app digital health e non. Queste restrizioni possono avere impatti consistenti sulla roadmap di un prodotto, sul costo di sviluppo e lancio sul mercato nazionale e internazionale.