EUR-Lex Access to European Union law

Back to EUR-Lex homepage

This document is an excerpt from the EUR-Lex website

Document 32021R2078

Regolamento di esecuzione (UE) 2021/2078 della Commissione del 26 novembre 2021 recante modalità di applicazione del regolamento (UE) 2017/745 del Parlamento europeo e del Consiglio per quanto riguarda la banca dati europea dei dispositivi medici (Eudamed)

C/2021/8447

OJ L 426, 29.11.2021, p. 9–15 (BG, ES, CS, DA, DE, ET, EL, EN, FR, GA, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)

Legal status of the document In force

ELI: http://data.europa.eu/eli/reg_impl/2021/2078/oj

29.11.2021   

IT

Gazzetta ufficiale dell’Unione europea

L 426/9


REGOLAMENTO DI ESECUZIONE (UE) 2021/2078 DELLA COMMISSIONE

del 26 novembre 2021

recante modalità di applicazione del regolamento (UE) 2017/745 del Parlamento europeo e del Consiglio per quanto riguarda la banca dati europea dei dispositivi medici (Eudamed)

LA COMMISSIONE EUROPEA,

visto il trattato sul funzionamento dell’Unione europea,

visto il regolamento (UE) 2017/745 del Parlamento europeo e del Consiglio, del 5 aprile 2017, relativo ai dispositivi medici, che modifica la direttiva 2001/83/CE, il regolamento (CE) n. 178/2002 e il regolamento (CE) n. 1223/2009 e che abroga le direttive 90/385/CEE e 93/42/CEE del Consiglio (1), in particolare l’articolo 33, paragrafo 8,

considerando quanto segue:

(1)

Il regolamento (UE) 2017/745 impone alla Commissione di stabilire le modalità dettagliate necessarie per l’istituzione e la gestione della banca dati europea dei dispositivi medici («Eudamed»).

(2)

Il regolamento (UE) 2017/746 del Parlamento europeo e del Consiglio (2) impone alla Commissione di predisporre, mantenere e gestire Eudamed conformemente alle condizioni e modalità dettagliate di cui al regolamento (UE) 2017/745.

(3)

Come previsto dai regolamenti (UE) 2017/745 e (UE) 2017/746 la Commissione, le autorità competenti, le autorità responsabili degli organismi notificati, gli organismi notificati, i fabbricanti, i mandatari, gli importatori, le persone fisiche o giuridiche di cui all’articolo 22, paragrafo 1, del regolamento (UE) 2017/745 (produttori di sistemi o di kit procedurali) come pure gli sponsor di indagini cliniche e di studi delle prestazioni dovrebbero avere accesso a Eudamed e utilizzarla allo scopo di adempiere ai propri obblighi e svolgere i propri compiti a norma di tali regolamenti. È pertanto necessario garantire l’accessibilità di Eudamed tramite un sito web riservato. Eudamed dovrebbe inoltre fornire al pubblico informazioni adeguate in merito ai dispositivi immessi sul mercato, ai relativi certificati rilasciati dagli organismi notificati, agli operatori economici interessati e alle indagini cliniche. È pertanto necessario rendere Eudamed accessibile anche tramite un sito web pubblico. Al fine di consentire lo scambio di dati tra Eudamed e le banche dati nazionali è altresì necessario rendere Eudamed accessibile tramite servizi di scambio di dati da macchina a macchina.

(4)

Per quanto riguarda le persone fisiche e giuridiche che devono poter accedere a Eudamed tramite il sito web riservato, è necessario precisare le condizioni e la procedura per la concessione di tale accesso.

(5)

La Commissione ha istituito la nomenclatura europea dei dispositivi medici (EMDN) di cui ai regolamenti (UE) 2017/745 e (UE) 2017/746. L’EMDN dovrebbe pertanto essere resa disponibile gratuitamente in Eudamed e utilizzata per fornire informazioni sui dispositivi medici in Eudamed.

(6)

Al fine di garantire che gli utenti di Eudamed ricevano il sostegno necessario nell’utilizzo della banca dati, la Commissione dovrebbe fornire loro tempestivamente assistenza tecnica e amministrativa su Eudamed.

(7)

In caso di indisponibilità tecnica o di malfunzionamento di Eudamed, gli utenti autorizzati dovrebbero comunque poter adempiere ai propri obblighi. È pertanto necessario precisare i meccanismi alternativi da utilizzare per lo scambio di dati in tali circostanze e stabilire norme di emergenza per tali meccanismi.

(8)

A Eudamed si applicano le norme in materia di sicurezza informatica di cui alla decisione (UE, Euratom) 2017/46 della Commissione (3). Affinché Eudamed possa funzionare in modo sicuro e protetto da minacce alla disponibilità, all’integrità e alla riservatezza delle sue funzioni e dei suoi dati, è opportuno stabilire ulteriori norme in materia di sicurezza.

(9)

Al fine di attenuare i rischi e affrontare il potenziale uso fraudolento di Eudamed, è opportuno stabilire disposizioni specifiche in materia di attività fraudolente da parte di utenti in Eudamed.

(10)

Conformemente all’articolo 42, paragrafo 1, del regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio (4), il Garante europeo della protezione dei dati è stato consultato e ha formulato il suo parere il 9 luglio 2021.

(11)

Le misure di cui al presente regolamento sono conformi al parere del comitato per i dispositivi medici,

HA ADOTTATO IL PRESENTE REGOLAMENTO:

Articolo 1

Definizioni

Ai fini del presente regolamento si applicano le definizioni seguenti:

1)

«attore»: la Commissione, un’autorità competente, un’autorità responsabile degli organismi notificati, un organismo notificato, un fabbricante, un mandatario, un importatore, un produttore di sistemi o kit procedurali o uno sponsor, che sono stati registrati in Eudamed conformemente all’articolo 3 del presente regolamento al fine di adempiere agli obblighi di cui ai regolamenti (UE) 2017/745 e (UE) 2017/746;

2)

«utente autorizzato»: una persona fisica cui è stato concesso l’accesso a Eudamed tramite il sito web riservato affinché possa agire per conto di un attore;

3)

«amministratore locale dell’attore» (LAA): un utente autorizzato che ha il diritto di gestire determinate informazioni relative ai dati dell’attore e di concedere l’accesso a Eudamed tramite il sito web riservato ad altre persone fisiche affinché possano agire per conto di tale attore;

4)

«amministratore locale dell’utente» (LUA): un utente autorizzato che ha il diritto di concedere l’accesso a Eudamed tramite il sito web riservato ad altre persone fisiche affinché possano agire per conto di un attore;

5)

«malfunzionamento»: un guasto significativo del funzionamento di Eudamed, compreso qualsiasi guasto determinato da un caso fortuito o forza maggiore che potrebbe compromettere la sicurezza informatica o ostacolare la disponibilità di una delle funzionalità dei sistemi elettronici Eudamed di cui all’articolo 33, paragrafo 2, del regolamento (UE) 2017/745.

Articolo 2

Modalità di accesso

1.   Eudamed è accessibile agli utenti autorizzati tramite un sito web riservato («sito web riservato») e agli utenti non identificati tramite un sito web pubblico («sito web pubblico»).

2.   Eudamed è accessibile tramite servizi di scambio di dati da macchina a macchina alle autorità competenti di cui all’articolo 101 del regolamento (UE) 2017/745 e all’articolo 96 del regolamento (UE) 2017/746 («autorità competenti») nonché agli organismi notificati registrati in Eudamed conformemente all’articolo 3 del presente regolamento. La Commissione fornisce a ciascuno Stato membro e a ciascun organismo notificato punti di accesso per lo scambio di dati che consentano loro di utilizzare tali servizi di scambio di dati su loro richiesta.

Eudamed è accessibile tramite servizi di scambio di dati da macchina a macchina ad attori diversi dalle autorità competenti e dagli organismi notificati, purché il LAA dell’attore interessato presenti una richiesta di accesso conformemente all’articolo 3, paragrafo 8, primo comma. La Commissione accoglie tale richiesta nel rispetto della condizione di cui all’articolo 3, paragrafo 8, secondo comma.

Articolo 3

Registrazione in Eudamed e accesso a Eudamed tramite il sito web riservato

1.   Al fine di ottenere l’accesso a Eudamed tramite il sito web riservato, una persona fisica crea un account sul sito web del servizio di autenticazione della Commissione.

2.   La Commissione registra le autorità competenti e le autorità responsabili degli organismi notificati e concede l’accesso al sito web riservato a una prima persona fisica affinché possa agire per loro conto. A tal fine gli Stati membri forniscono alla Commissione informazioni sulle rispettive autorità competenti, sulle autorità responsabili degli organismi notificati e sulle persone fisiche che diverranno i primi utenti autorizzati di tali autorità.

3.   La Commissione registra gli organismi notificati in Eudamed sulla base delle informazioni presenti nella banca dati degli organismi notificati sviluppata e gestita dalla Commissione (NANDO).

Al fine di ottenere l’accesso a Eudamed tramite il sito web riservato, la prima persona fisica che agisce per conto di un attore che è un organismo notificato presenta una richiesta di accesso tramite il sito web riservato. L’autorità responsabile dell’organismo notificato approva la richiesta.

4.   Affinché organismi diversi da quelli di cui ai paragrafi 2 e 3 possano essere registrati in Eudamed, una persona fisica che agisce per conto del potenziale attore presenta una richiesta di registrazione dell’attore tramite il sito web riservato. La richiesta di registrazione dell’attore comprende la dichiarazione firmata sulle responsabilità in materia di sicurezza delle informazioni di cui all’articolo 10, paragrafo 1. Un’autorità nazionale competente approva la richiesta di registrazione dell’attore, salvo qualora la richiesta riguardi uno sponsor di un’indagine clinica o di uno studio delle prestazioni.

Previa approvazione della richiesta di registrazione dell’attore o, nel caso di uno sponsor, una volta presentata la richiesta di registrazione dell’attore, la persona fisica che ha presentato la richiesta di cui al primo comma ha automaticamente accesso al sito web riservato e diventa il primo utente autorizzato, purché siano soddisfatte le condizioni di cui al paragrafo 6.

Ai fini del presente paragrafo l’autorità nazionale competente è l’autorità del luogo di stabilimento del potenziale attore. Per quanto riguarda i fabbricanti stabiliti al di fuori dell’Unione, l’autorità nazionale competente è l’autorità responsabile del mandatario indicato nella richiesta di registrazione dell’attore. Per quanto riguarda i produttori di sistemi o di kit procedurali stabiliti al di fuori dell’Unione, l’autorità nazionale competente è l’autorità dello Stato membro in cui il primo sistema o kit procedurale di tale produttore è destinato a essere immesso sul mercato.

5.   Al fine di poter accedere al sito web riservato per agire per conto di un attore, la persona fisica presenta una richiesta di accesso tramite il sito web riservato. Tale richiesta di accesso viene approvata da un LAA o un LUA di tale attore.

6.   Al fine di diventare utenti autorizzati, le persone fisiche accettano i diritti e gli obblighi dell’utente indicati nel documento di cui all’articolo 10, paragrafo 1, lettera a), e consultano l’informativa sulla privacy di cui alla lettera c) del medesimo articolo.

7.   Il primo utente autorizzato di un attore è automaticamente il primo LAA del medesimo.

8.   Un LAA può chiedere alla Commissione, tramite il sito web riservato, una connessione da macchina a macchina per effettuare scambi di dati tra la banca dati dell’attore ed Eudamed.

La Commissione può approvare la richiesta di cui al primo comma purché il LAA abbia confermato che l’attore soddisfa le prescrizioni in materia di sicurezza delle informazioni per lo scambio di dati di cui all’articolo 10, paragrafo 1.

Articolo 4

Nomenclatura

Nel fornire informazioni sui dispositivi medici in Eudamed gli utenti autorizzati utilizzano i codici di libero accesso della nomenclatura europea dei dispositivi medici (EMDN).

La Commissione rende l’EMDN disponibile gratuitamente in Eudamed.

Articolo 5

Sostegno tecnico e amministrativo

1.   La Commissione istituisce un gruppo di supporto applicativo, raggiungibile tramite un’apposita casella funzionale di posta elettronica, inteso a fornire tempestivamente assistenza agli utenti di Eudamed.

2.   La Commissione mette a disposizione degli utenti di Eudamed la pertinente documentazione tecnica relativa a Eudamed, domande frequenti su Eudamed e la documentazione a sostegno dei servizi di scambio di dati da macchina a macchina.

Articolo 6

Proprietà e trattamento dei dati personali

1.   La Commissione è proprietaria di Eudamed e ha diritti di amministratore completi.

2.   I dati personali sono trattati in Eudamed al fine di adempiere agli obblighi di cui ai regolamenti (UE) 2017/745 e (UE) 2017/746.

3.   Sono trattate le seguenti categorie di dati personali:

a)

nomi degli attori e degli utenti autorizzati;

b)

contatti degli attori e degli utenti autorizzati;

c)

identificazione e coordinate, come pure dati sulle qualifiche professionali di altre persone fisiche o giuridiche, che sono registrati in Eudamed al fine di adempiere agli obblighi di cui ai regolamenti (UE) 2017/745 e (UE) 2017/746.

Articolo 7

Norme di funzionamento

1.   La trasmissione dei dati a Eudamed si considera eseguita alla data e all’ora in cui i dati sono registrati correttamente in Eudamed. La data e l’ora di trasmissione sono determinate in base all’ora dell’Europa centrale (CET) o all’orario estivo dell’Europa centrale (CEST), a seconda dei casi.

2.   Eudamed è accessibile in qualsiasi momento, tranne durante i periodi di inattività necessari e precedentemente annunciati a causa di attività di manutenzione, comprese quelle inerenti a nuove versioni. La Commissione pubblica preventivamente un avviso al riguardo sul sito web riservato o sul sito web pubblico, a seconda dei casi.

Articolo 8

Malfunzionamento

1.   La Commissione adotta tutte le misure necessarie per prevenire qualsiasi malfunzionamento e per individualo senza indebito ritardo quando si verifica.

2.   Se un attore o un utente autorizzato sospetta un malfunzionamento, ne informa immediatamente la Commissione.

3.   Se individua un malfunzionamento, la Commissione adotta le seguenti misure:

a)

pubblica senza ritardo un avviso in tal senso («avviso di malfunzionamento») sul sito web riservato o sul sito web pubblico, a seconda dei casi, salvo qualora la natura del malfunzionamento non le impedisca di farlo, nel qual caso pubblica, nella misura del possibile, l’avviso sul proprio sito web dedicato ai dispositivi medici;

b)

sospende i termini per la trasmissione dei dati a Eudamed di cui ai regolamenti (UE) 2017/745 e (UE) 2017/746, se il malfunzionamento ostacola l’inserimento dei dati pertinenti.

Se la Commissione sospende i termini per la trasmissione dei dati a Eudamed come previsto al primo comma, lettera b), nell’avviso di malfunzionamento è specificata l’ora di pubblicazione del medesimo e la probabile durata della sospensione.

4.   Oltre alla sospensione dei termini di cui al paragrafo 3, primo comma, lettera b), del presente articolo, se un malfunzionamento ostacola l’adempimento di uno degli obblighi di cui all’articolo 80, all’articolo 87, paragrafo 1, all’articolo 89, paragrafi 5, 7, 8 e 9, all’articolo 95, paragrafi 2, 4 e 6, o all’articolo 98, paragrafo 2, del regolamento (UE) 2017/745, oppure di cui all’articolo 76, all’articolo 82, paragrafo 1, all’articolo 84, paragrafi 5, 7, 8 e 9, all’articolo 90, paragrafi 2, 4 e 6 o all’articolo 93, paragrafo 2, del regolamento (UE) 2017/746, si applica una delle seguenti procedure:

a)

se il malfunzionamento dura più di 12 ore dopo la pubblicazione dell’avviso di malfunzionamento, l’attore fornisce senza ritardo informazioni generali sui dati pertinenti e l’indicazione che la trasmissione dei dati è in sospeso a causa del malfunzionamento alla Commissione, alle autorità nazionali competenti interessate e all’organismo notificato che ha rilasciato il certificato di conformità di cui all’articolo 56 del regolamento (UE) 2017/745 o all’articolo 51 del regolamento (UE) 2017/746, a seconda dei casi;

b)

se il malfunzionamento dura più di 24 ore dopo la pubblicazione dell’avviso di malfunzionamento, o se il malfunzionamento dura meno di 24 ore e le autorità nazionali competenti interessate lo richiedono dopo aver ricevuto le informazioni di cui alla lettera a) del presente paragrafo, l’attore fornisce senza ritardo i dati pertinenti a dette autorità secondo le modalità da esse prescritte.

5.   Oltre alla sospensione dei termini di cui al paragrafo 3, primo comma, lettera b), del presente articolo, in caso di malfunzionamento che ostacoli l’adempimento di uno degli obblighi di cui al regolamento (UE) 2017/745 o al regolamento (UE) 2017/746, diverso dagli obblighi di cui al paragrafo 4 del presente articolo, si applica la seguente procedura:

a)

se il malfunzionamento dura più di 36 ore dopo la pubblicazione dell’avviso di malfunzionamento, l’attore fornisce senza ritardo informazioni generali su tali dati e l’indicazione che la trasmissione dei dati è in sospeso a causa del malfunzionamento alla Commissione, alle autorità nazionali competenti interessate e all’organismo notificato che ha rilasciato il certificato di conformità di cui all’articolo 56 del regolamento (UE) 2017/745 o all’articolo 51 del regolamento (UE) 2017/746, a seconda dei casi;

b)

se il malfunzionamento dura più di cinque giorni dopo la pubblicazione dell’avviso di malfunzionamento, l’attore ne informa le autorità nazionali competenti interessate e, su richiesta di queste ultime, fornisce loro i dati pertinenti secondo le modalità da esse prescritte.

6.   Dopo aver accertato che il malfunzionamento è cessato, la Commissione comunica tale informazione alle autorità competenti. La Commissione pubblica inoltre un avviso al riguardo sul sito web riservato e/o sul sito web pubblico, a seconda dei casi. Sia nella comunicazione che nell’avviso è indicata la durata del malfunzionamento e della sospensione dei termini di cui al paragrafo 3, lettera b).

7.   Una volta che la Commissione abbia pubblicato l’avviso di cui al paragrafo 6, gli attori inseriscono senza ritardo in Eudamed i dati la cui trasmissione è stata ostacolata durante il malfunzionamento.

Articolo 9

Siti web destinati alle prove e alla formazione

1.   La Commissione mette a disposizione degli attori siti web destinati alle prove e alla formazione per quanto riguarda l’uso di Eudamed («siti web destinati alle prove e alla formazione»).

I dati inseriti nei siti web destinati alle prove e alla formazione sono considerati fittizi e non sono messi a disposizione del pubblico.

2.   Prima di utilizzare per la prima volta servizi di scambio di dati da macchina a macchina, un attore porta a buon fine almeno un tentativo di trasmissione dei dati da macchina a macchina tramite un sito web destinato alle prove e alla formazione.

3.   La Commissione introduce le eventuali modifiche che intende apportare ai servizi di Eudamed di scambio di dati da macchina a macchina in primo luogo nei siti web destinati alle prove e alla formazione, mantenendole a disposizione su tali siti web per un periodo da essa preventivamente definito in collaborazione con il gruppo di coordinamento per i dispositivi medici istituito a norma dell’articolo 103 del regolamento (UE) 2017/745.

La Commissione informa preventivamente gli attori interessati tramite Eudamed in merito alle modifiche previste e al periodo in cui sono disponibili sui siti web destinati alle prove e alla formazione.

Articolo 10

Sicurezza informatica

1.   La Commissione mette a disposizione sul sito web riservato i seguenti documenti:

a)

un documento sui diritti e sugli obblighi degli utenti;

b)

la dichiarazione sulle responsabilità in materia di sicurezza delle informazioni;

c)

l’informativa sulla privacy;

d)

le prescrizioni in materia di sicurezza delle informazioni per lo scambio di dati.

2.   Gli attori rispettano le modalità e le condizioni stabilite nei documenti di cui al paragrafo 1, lettera b), e, se del caso, alla lettera d) del medesimo paragrafo.

3.   La Commissione, se sospetta che si sia verificato o sia in corso un incidente di sicurezza informatica, un rischio per la sicurezza informatica o una minaccia per la sicurezza informatica quali definiti all’articolo 2, punti 15), 22) e 25), della decisione (UE, Euratom) 2017/46, che ritiene potenzialmente dannoso per Eudamed, i relativi dati o la loro riservatezza («incidente di sicurezza informatica, rischio per la sicurezza informatica o minaccia per la sicurezza informatica»), può sospendere ogni accesso a Eudamed.

4.   Se individua un incidente di sicurezza informatica, un rischio per la sicurezza informatica o una minaccia per la sicurezza informatica, la Commissione può sospendere in tutto o in parte le funzionalità dei sistemi elettronici di Eudamed.

Se la sospensione di cui al primo comma ostacola l’inserimento dei dati in Eudamed, si applicano, mutatis mutandis, l’articolo 8, paragrafi 3, 4 e 5.

5.   L’attore o l’utente autorizzato che venga a conoscenza dell’esistenza di un incidente di sicurezza informatica, di un rischio per la sicurezza informatica o di una minaccia per la sicurezza informatica, oppure ne abbia il sospetto, informa immediatamente la Commissione e gli Stati membri interessati.

Articolo 11

Attività fraudolente da parte degli utenti in Eudamed

1.   Se sospettano una richiesta fraudolenta di accesso a Eudamed, un’autorità competente, un LAA o un LUA rifiutano la richiesta e ne informano immediatamente la Commissione tramite il gruppo di supporto applicativo di cui all’articolo 5, paragrafo 1, precisando che sospettano una richiesta fraudolenta di accesso.

2.   Se ha un ragionevole sospetto di attività fraudolenta da parte di un utente autorizzato che inficia la sicurezza informatica di Eudamed, la Commissione sospende temporaneamente l’accesso di tale utente autorizzato a Eudamed. In tal caso la Commissione informa senza ritardo tutti gli Stati membri e gli attori interessati della sospensione e della relativa motivazione.

3.   Qualsiasi attore o utente autorizzato che sospetti un’attività fraudolenta da parte di un utente autorizzato informa senza ritardo la Commissione e gli Stati membri della sospetta attività fraudolenta tramite il gruppo di supporto applicativo di cui all’articolo 5, paragrafo 1.

4.   Se accerta l’esistenza di un’attività fraudolenta in Eudamed, la Commissione interrompe immediatamente l’accesso a Eudamed dei pertinenti utenti autorizzati e adotta le misure necessarie tra cui, se del caso, impedire qualunque accesso futuro a Eudamed dai relativi account creati sul sito web del servizio di autenticazione della Commissione. La Commissione informa senza ritardo le pertinenti autorità nazionali competenti e gli attori interessati di tutte le misure adottate a norma del presente paragrafo.

Articolo 12

Entrata in vigore

Il presente regolamento entra in vigore il ventesimo giorno successivo alla pubblicazione nella Gazzetta ufficiale dell’Unione europea.

Il presente regolamento è obbligatorio in tutti i suoi elementi e direttamente applicabile in ciascuno degli Stati membri.

Fatto a Bruxelles, il 26 novembre 2021

Per la Commissione

La presidente

Ursula VON DER LEYEN


(1)  GU L 117 del 5.5.2017, pag. 1.

(2)  Regolamento (UE) 2017/746 del Parlamento europeo e del Consiglio, del 5 aprile 2017, relativo ai dispositivi medico-diagnostici in vitro e che abroga la direttiva 98/79/CE e la decisione 2010/227/UE della Commissione (GU L 117 del 5.5.2017, pag. 176).

(3)  Decisione (UE, Euratom) 2017/46 della Commissione, del 10 gennaio 2017, sulla sicurezza dei sistemi di comunicazione e informazione della Commissione europea (GU L 6 dell’11.1.2017, pag. 40).

(4)  Regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio, del 23 ottobre 2018, sulla tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni, degli organi e degli organismi dell’Unione e sulla libera circolazione di tali dati, e che abroga il regolamento (CE) n. 45/2001 e la decisione n. 1247/2002/CE (GU L 295 del 21.11.2018, pag. 39).


Top