Em 14 de julho foi realizada mais uma edição do Saber ABIMED, abordando o tema “Adequação e complementação à nova RDC 657/2022 da Anvisa – regularização de software como dispositivo médico”. A apresentação foi conduzida pelo advogado Benny Spiewak, da SPLaw, escritório especializado em direito empresarial, com foco no setor de saúde e life sciences.

A RDC 657/2022, da Agência Nacional de Vigilância Sanitária, entrou em vigor em 1º de julho e dispõe sobre a regularização de Software como Dispositivo Médico (Software as a Medical Device – SaMD). “A nova norma aborda, do ponto de vista prático e de rotulagem, como estabelecer as condições de uso, critérios de segurança e eficácia de tudo aquilo que é considerado SaMD”, explicou Spiewak.

Segundo ele, antes da RDC 657 não havia critérios de regulação desses dispositivos muito bem definidos. Agora, entre as especificações da norma, um dos primeiros pontos abordados pelo advogado foi em relação ao idioma em que o SaMD deve ser configurado. “A Anvisa determina que você pode estabelecer as condições de uso em inglês, desde que alguns itens específicos estejam em português. Do ponto de vista jurídico nós fazemos a sugestão para que se coloque em português, que é a linguagem que o judiciário brasileiro considera e está de acordo com o Código de Defesa do Consumidor”, explicou.

Outro ponto controverso é a definição do que é um SaMD. “A primeira coisa a saber é que o software embarcado não é SaMD. É muito importante ter isso em mente porque, hoje em dia, parte importante dos equipamentos dos grandes fabricantes são embarcados. Ou seja, já tem inserida uma inteligência de software”, disse Spiewak. Ele também esclareceu um aspecto fundamental para os hospitais, clínicas e demais instalações de atendimento em saúde. “A norma afirma que os subsistemas in house não são SaMD, ou seja, os softwares utilizados para fazer a gestão, por exemplo”, completou.

Questão igualmente importante tem relação com a frequência das atualizações. De acordo com o advogado, todo dispositivo médico regulado tem um dossiê a ele atrelado. “Todas as vezes que forem realizadas alterações nesse sistema pode fazer sentido comunicar à Anvisa. Para evitar o contínuo envio de atualizações – e algumas delas desnecessárias –, a Agência estabeleceu que devem ser comunicados apenas os casos em que ocorreram mudanças de função ou redesenho de operação daquele sistema. Por exemplo, uma alteração no painel de operações que modifique a forma de seu funcionamento”, explicou Spiewak. Mas o que deve ser notificado à Anvisa, então? “A RDC 657 lista quais são as atividades de atualização, edição e renovação de SaMD que você não precisa levar a conhecimento. Relativamente ao que você precisa, ela remete a outras RDCs. Do ponto de vista prático vai existir todo esse espaço de dúvida com relação ao que você precisa notificar e o que você precisa questionar”, comentou.

De acordo com o palestrante, para os responsáveis pela área de TI o volume de trabalho pode aumentar em razão dos critérios de segurança cibernética. “Isso porque, além de você ter um dispositivo médico conectado, funcionando como diagnóstico, prevenção ou item de controle de qualidade de vida, você precisa ter as preocupações com a cibersegurança. Não se trata exclusivamente de LGPD, não é isso. Estamos falando se certificar que aquele equipamento está fortemente protegido contra uma invasão externa e predatória, por exemplo, um hacker ou o vazamento de dados”, disse.

Algumas dúvidas ainda ficam em suspenso, a exemplo de como funcionarão os casos de recall, em que os dispositivos precisam ser recolhidos, ou as regulações de sistemas que contem com recursos de inteligência artificial e internet das coisas. “Eu diria que, apesar desses pontos em que não há esclarecimento ainda, a RDC 657 é  positiva. O Brasil faz parte do International Medical Device Regulators Forum, mas era um dos poucos países que não contavam com uma regulação específica de software. As melhores práticas do fórum não são leis, e sim orientações. E foram essas melhores práticas do fórum que deram para o Brasil algumas orientações, uma base, para a RDC 657”, concluiu.