“ISO 42001 per aziende biomedicali e AI ACT” a cura dello Studio Legale Stefanelli&Stefanelli

Ing. Alice Ravizza

L’AI Act è un regolamento dell’Unione Europea pensato per disciplinare i sistemi di intelligenza artificiale (IA) tra cui quelli ad alto rischio, con un focus particolare sulla sicurezza, conformità e trasparenza.
Questo Regolamento deve essere applicato anche dalle aziende biomedicali che si occupano di proporre sul mercato dispositivi medici con moduli basati su principi di IA: è prevista la applicazione in modo integrato rispetto al MDR.
Negli articoli del regolamento AI Act che descrivono le responsabilità delle aziende “fornitori di sistemi IA ad alto rischio” vi sono chiare assonanze con le responsabilità assegnate ai Fabbricanti dal MDR.

L’approccio integrato alla conformità regolatoria passa, innanzi tutto, dalla costruzione di un sistema di gestione della qualità completo, che consenta all’azienda di affrontare le fasi di ideazione, progettazione, test e immissione in commercio in modo coordinato ed efficiente.

Nell’articolo 16 del AI Act elenca i principali obblighi dei fornitori di sistemi IA ad alto rischio, che comprendono anche tutti i DM con IA che siano di classe superiore alla I.
Ne citiamo alcuni:

  • Sistema di gestione della qualità: i fabbricanti/ fornitori devono avere un sistema di gestione della qualità conforme all’articolo 17 del AI Act, oltre che all’articolo 10 del MDR.
  • Documentazione e registri: devono conservare documentazione tecnica e log di funzionamento generati automaticamente dai sistemi; gli articoli 18 e 19 del AI Act integrano i diversi articoli di MDR e l’Allegato II del MDR.

Il sistema di gestione della qualità, descritto come detto nell’articolo 17 del AI Act, deve essere strutturato per coprire le diverse fasi dello sviluppo e utilizzo del sistema IA, tra cui:

  • Progettazione e sviluppo: devono essere previste procedure per la progettazione, verifica e controllo di qualità del sistema IA ad alto rischio;
  • Gestione dei dati: le operazioni riguardanti i dati, come raccolta, analisi e conservazione, devono essere gestite con attenzione prima della messa in commercio del sistema;
  • Monitoraggio post-vendita: il fornitore è tenuto a mantenere un sistema di monitoraggio continuo del sistema IA dopo la sua immissione sul mercato.

Possiamo dunque ipotizzare di costruire un sistema di gestione per la qualità che risponda a questi obblighi regolatori sovrapposti.

Lo standard ISO 42001 fornisce linee guida per le organizzazioni che sviluppano, utilizzano o forniscono sistemi di IA, promuovendo l’uso responsabile di tali tecnologie.
Inoltre, sistemi IA che apprendono continuamente richiedono una gestione specifica per garantire che il loro comportamento, in evoluzione, rimanga conforme alle norme e agli standard di sicurezza, inclusi quelli relativi ad MDR nel caso di DM con IA.
Lo standard ISO 42001 non è immediatamente comparabile, nella struttura dei capitoli, allo standard ISO 13485 ma consente in diverse sezioni un approccio integrato.

Una delle prime attività richieste dalla norma  ISO 42001 è la valutazione del contesto: ad esempio, si può utilizzare la metodologia PESTEL che appare particolarmente adeguata.

Un’analisi PESTEL applicata a una società che sviluppa software medico basato su IA evidenzia come fattori esterni, quali le regolamentazioni politiche, i fattori economici, l’opinione pubblica e i progressi tecnologici, influenzano direttamente lo sviluppo e la commercializzazione di tali sistemi. Questa attività può essere integrata con altre analisi di contesto e definizioni di ruoli regolatori, tipicamente presenti nei sistemi di qualità ISO 13485 di aziende che utilizzano la norma armonizzata ai fini di conformità al MDR.

La leadership e l’impegno della direzione sono identificati dalla ISO 42001 come aspetti fondamentali per il successo di un sistema di gestione dell’IA.
La direzione aziendale deve dimostrare il proprio impegno attraverso diverse azioni, tra cui:

  • Stabilire una “politica di IA” e degli obiettivi compatibili con la direzione strategica dell’organizzazione;
  • Integrare i requisiti del sistema di gestione IA nei processi aziendali (ad esempio la progettazione e la gestione dei dati di ritorno dal mercato);
  • Garantire la disponibilità delle risorse umane e strumentali necessarie per il funzionamento del sistema di gestione IA;
  • Comunicare l’importanza di una gestione efficace dell’IA e della conformità ai requisiti del sistema di gestione a tutto il personale coinvolto;
  • Assicurarsi che il sistema di gestione IA raggiunga i risultati previsti, i cosiddetti “obiettivi di qualità”;
  • Promuovere il miglioramento continuo e supportare i collaboratori nel contribuire all’efficacia del sistema di gestione IA.

Come si vede, queste azioni di costruzione del sistema di qualità sono adatte ad essere integrate in un sistema ISO 13485 già esistente, così come la integrazione nella politica di qualità di un quadro di riferimento per fissare anche gli obiettivi IA, garantendo l’impegno al rispetto dei requisiti applicabili (MDR, AI Act ed altri requisiti tecnico-commerciali) e al miglioramento continuo del sistema.

Anche nella gestione di ruoli e responsabilità interne e nella gestione delle relazioni con terze parti e clienti, le norme ISO 13485 e ISO 42001 sono integrabili in un sistema coerente ed efficiente.

Infatti, per ISO 42001 la direzione deve garantire che i ruoli, le responsabilità e le autorità siano chiaramente assegnati e comunicati all’interno dell’organizzazione. Le responsabilità principali da aggiungere a un sistema ISO 13485 già esistente includono:

  • Assicurare che il sistema di gestione IA sia conforme ai requisiti.
  • Riferire alla direzione sulle prestazioni del sistema di gestione IA.

Questi aspetti gestionali sono presenti anche quando sono coinvolte terze parti nel ciclo di vita del sistema IA.
La gestione delle relazioni con fornitori e clienti deve riflettere l’impegno dell’organizzazione nello sviluppo e uso responsabile dei sistemi IA, assicurando che i fornitori seguano un approccio coerente con i principi dell’organizzazione e che le aspettative dei clienti siano considerate nel processo di sviluppo dei sistemi: nuovamente, un approccio integrato con la ISO 13485 e la identificazione dei “critical suppliers” si prospetta come possibile ed adeguato.

Le norme ISO 42001 e ISO 13485 non sono coerenti solo negli aspetti di costruzione dei sistemi di qualità, ma anche negli aspetti di operatività del sistema (dalla gestione del processo di progettazione in avanti).

E’ auspicabile dunque che tutti i portatori di interesse prendano in considerazione questo approccio integrato e che nuove buone pratiche di applicazione siano discusse da tutta la comunità che si occupa di scienze regolatorie.