L’industria dei dispositivi medicali non può farsi sfuggire l’opportunità della trasformazione digitale in sanità. Tuttavia, qualsiasi dispositivo è soggetto a un iter di classificazione e di certificazione che dipende dalla sua finalità, e questo può rallentare il processo di digitalizzazione. La forte regolamentazione, infatti, si applica anche ai software, sia quelli che governano i dispositivi medicali, sia alle applicazioni stand alone integrabili in processi clinici e sanitari come, per esempio, in telemedicina. In questi casi, si parla di Software as a Medical Device (SaMD) proprio per indicare la forte regolamentazione cui anche la produzione di Software è soggetta e che rischia di moltiplicare gli oneri, se non di spiazzare, le aziende che si occupano di sviluppo e di gestione del software.
Indice degli argomenti
SaMD e la normativa di riferimento
L’entrata in vigore (2021) del Regolamento Europeo sui Dispositivi Medici (MDR) ha reso più complessa la posizione dei produttori di software. Buona parte delle applicazioni che rientravano nella categoria soggetta a una semplice autocertificazione (classe I), sono stati elevati alla classe superiore, che a sua volta si differenzia in IIa e IIb. Ciò impone non soltanto il rispetto di una normativa molto rigida in termini di metodologie, strumenti, processi di qualità e documentazione da produrre, ma anche il coinvolgimento di un Ente Certificatore al fine di attestare la conformità con il MDR e con tutti gli standard che questo richiama, primo fra tutti l’IEC 62304. Quest’ultima norma definisce puntualmente i requisiti del ciclo di vita per lo sviluppo di SaMD.
Lo sviluppo di Software as a Medical Device: le sfide per le imprese
Quali sono dunque le sfide cui va incontro un’azienda che sviluppa software e che vuole approfittare del trend di digitalizzazione della sanità?
Secondo Marzio Ghezzi, CEO di Mia-Care, ci sono diversi aspetti da valutare: “Per prima cosa, gli sviluppatori devono avere competenze di dominio, ovvero devono conoscere la norma. Questo avviene raramente: le aziende hanno alte competenze tecniche relative allo sviluppo su cloud, ma non necessariamente conoscono le metodologie e i controlli richiesti dalla norma. Soprattutto, queste due anime non sono quasi mai concentrate nelle stesse persone”.
In secondo luogo, la norma (IEC 62304) richiede la gestione di molte attività in più rispetto agli ambiti non regolamentati, e questo si traduce in un onere non indifferente per le aziende: “Sono richieste la tracciabilità dei requisiti, l’evidenza sui test di verifica di ciascun item del software, è necessario creare svariati documenti che diano evidenza di cosa contengono le varie versioni e bisogna anche farsi carico della validazione di tutti gli strumenti che servono per lo sviluppo, il test, il rilascio e la manutenzione del software”. Se manca anche solo uno di questi elementi, non si ottiene la certificazione CE.
In pratica, sviluppare un SaMD può essere impraticabile per molte aziende, un po’ per l’assenza di competenze (e per i tempi lunghi di sviluppo), un po’ per gli oneri gestionali non sempre alla portata. Si pensi al tema, citato precedentemente, della validazione degli strumenti di sviluppo nell’era del paradigma Cloud Native: essendo decine i tool che, a diverso titolo, contribuiscono al ciclo di vita di un software, l’azienda dovrebbe farsi carico della validazione di ognuno di essi e della ri-validazione per ogni nuova release.
Ghezzi giunge a una conclusione: “Normalmente, per sviluppare un SaMD, l’azienda ha bisogno di tempi e di risorse che sono dalle 2 alle 3 volte superiori rispetto a uno sviluppo non regolamentato, perché a qualsiasi componente sviluppato occorre associare un processo di verifica di compliance e di produzione di documentazione ad hoc”. Inoltre, a tutto il tema dello sviluppo, si aggiungono quelli di gestione dei dati, che deve essere conforme alla normativa sulla privacy (GDPR), e tutto il macrocosmo della sicurezza.
La Platform for SaMD di Mia-Care
L’obiettivo che si è posto Mia-Care – divisione di Mia-Platform dedicata al mercato Healthcare e Life Sciences – è ridurre il gap, sia di competenze che di oneri economici, tra lo sviluppo cloud non regolamentato e l’universo SaMD.
“Partendo dal nostro stack tecnologico esistente, abbiamo realizzato una piattaforma di sviluppo che integra capability specifiche finalizzate a fornire tutti gli strumenti per velocizzare la certificazione e favorire la conformità ai regolamenti di riferimento a chi sviluppa con tecnologie cloud native. Il fondamento è l’automazione: la piattaforma si fa carico di svariate operazioni legate al tracciamento dei requisiti iniziali, change requests e test, oltre che alla creazione di documentazione tecnica per la certifica CE”.
Inoltre, utilizzare una piattaforma che gestisce in modo compliant tutti gli aspetti e i processi del ciclo di vita del software fa sì che si possa adottare la metodologie Agile a prescindere dalla rigida regolamentazione in essere, con tutti i benefici in termini di efficienza, di time to market e di flessibilità. Tornando, poi, al discorso della validazione degli strumenti, la piattaforma “sposta” questo onere su Mia-Care, permettendo alle aziende di concentrarsi sulla creazione di valore per i loro clienti e per i pazienti.
Oltre ai tool dedicati, fa parte della piattaforma un Control Plane centralizzato, che letteralmente guida l’azienda verso la conformità, controllando il rispetto dei requisiti e l’avanzamento verso la certificazione: “Data la complessità della norma, avere un Control Plane centralizzato che fornisce una vista chiara sui requisiti in fase di lavorazione, sui test effettuati, sulle modifiche inserite e su quelle future, rappresenta un valore aggiunto per le aziende, perché non si limita ad automatizzare dei processi, ma riduce in modo netto il gap di competenze”.
Infine, ma non per importanza, tutto questo si aggiunge al macro-tema della modularità. La piattaforma SaMD di Mia-Care si basa sui principi di architettura componibile e di sviluppo a microservizi, fondamenti del paradigma cloud native. Questo offre almeno due vantaggi: poter intervenire sul singolo microservizio in caso di modifiche regolamentari, cosa che ha un impatto notevole su efficienza e time-to-market, ma anche la possibilità di creare software a moduli che possono essere certificati singolarmente. All’interno della stessa applicazione, infatti, possono essere presenti aree soggette alla normativa MDR e altre esenti (come, ad esempio, la gestione delle anagrafiche o degli appuntamenti in un’app per la telemedicina): con la soluzione di Mia-Care, lo sforzo aggiuntivo verrà indirizzato solo sulle parti che dovranno essere conformi alla regolamentazione, evitando sprechi di tempo e di risorse.
Contributo editoriale sviluppato in collaborazione con Mia-Care
