Gentile Direttore,
una nuova normativa nazionale interviene a regolare l’uso dell’intelligenza artificiale (“IA”), con un impatto significativo anche sul settore sanitario. Si tratta della Legge n. 132 del 2025 (“Legge IA”), in vigore dal 10 ottobre 2025, ossia la prima legge nazionale dedicata all’IA, che stabilisce un quadro di principi finalizzati a promuovere un utilizzo corretto, trasparente e responsabile dei sistemi di IA, in una dimensione antropocentrica.
La Legge, di stampo programmatico, si applica in conformità al Regolamento (UE) 2024/1689 (“AI Act”), con l’obiettivo di anticipare e agevolare il recepimento dello stesso a livello nazionale, e introduce diverse disposizioni specifiche relative all’applicazione dell’IA in vari settori chiave, quali sanità, lavoro, pubblica amministrazione e attività giudiziaria.
Quando tuttavia l’uso o lo sviluppo di IA implichi il trattamento di dati personali, gli operatori non possono limitarsi ad applicare la legge IA o l’AI Act (www.okprivacy.it), ma devono ricordarsi di rispettare anche le regole del Regolamento Generale sulla Protezione dei Dati (GDPR, Regolamento UE 2016/679).
Occorre quindi comprendere in che termini la legge nazionale IA integri il GDPR (e viceversa) e quali misure gli operatori del settore sanitario (in particolare: i produttori, i detentori e gli utilizzatori di IA) debbano adottare in aggiunta a quelle privacy.
Le regole in sintesi
– Uso dell’intelligenza artificiale in ambito sanitario
L’articolo 7 Legge IA disciplina l’utilizzo dell’intelligenza artificiale in ambito sanitario, ponendo al centro la tutela della persona.
La norma inquadra i sistemi di IA come strumenti tesi a migliorare il sistema sanitario e i processi di prevenzione, diagnosi e cura. Un punto centrale è il principio della supervisione umana: l’IA deve agire unicamente come supporto per i professionisti sanitari. La decisione finale, la diagnosi e la scelta terapeutica rimangono sempre di esclusiva competenza degli esercenti la professione medica.
Inoltre, la norma vieta categoricamente l’impiego di sistemi di IA che possano condizionare l’accesso alle prestazioni sanitarie sulla base di criteri discriminatori. Questo principio è rafforzato dall’AI Act, il quale classifica come “ad alto rischio” i sistemi utilizzati per la selezione dei pazienti per l’assistenza sanitaria di emergenza (triage) o per valutare l’ammissibilità delle persone a prestazioni essenziali, proprio per prevenire discriminazioni e violazioni dei diritti fondamentali.
– Rilevante interesse pubblico
L’articolo 8 Legge IA introduce una disciplina specifica per promuovere la ricerca e la sperimentazione scientifica in ambito sanitario.
In attuazione dei principi costituzionali sulla tutela della salute e sulla promozione della ricerca scientifica e tecnica, e in conformità all’articolo 9, par. 2, lettera g), del GDPR, tale disposizione qualifica come “di rilevante interesse pubblico” il trattamento di dati, anche personali e particolari, effettuati dai seguenti attori:
• enti pubblici e privati senza scopo di lucro;
• istituti di Ricovero e Cura a Carattere Scientifico (IRCCS);
• soggetti privati operanti nel settore sanitario, qualora coinvolti in progetti di ricerca a cui partecipino gli enti sopra menzionati.
Le finalità per cui si ammette il trattamento sulla base del “rilevante interesse pubblico” includono la ricerca e la sperimentazione scientifica mirate allo sviluppo di sistemi di intelligenza artificiale per scopi di prevenzione, diagnosi e cura di patologie, nonché per la creazione di farmaci, terapie riabilitative e dispositivi medicali.
In virtù di ciò, la disposizione introduce una significativa semplificazione: autorizza l’uso secondario di dati personali pseudonimizzati (cioè privi di elementi identificativi diretti) senza la necessità di acquisire un nuovo e specifico consenso da parte dell’interessato.
Resta fermo l’obbligo per gli operatori di fornire un’informativa, che può essere assolta anche in forma generale, ad esempio tramite pubblicazione sul sito web del titolare del trattamento.
In aggiunta, per garantire un adeguato bilanciamento con i diritti degli interessati, la norma prevede che tali trattamenti debbano essere comunicati preventivamente al Garante per la protezione dei dati personali e possono iniziare solo dopo 30 giorni dalla comunicazione, a condizione che il Garante non disponga un provvedimento di blocco.
– Dati sintetici
L’articolo 8 Legge IA, inoltre, chiarisce che il trattamento di dati personali, inclusi i dati sulla salute, se finalizzato alla loro sintetizzazione è sempre consentito.
Questa operazione è considerata una misura fondamentale per preparare i dataset necessari all’addestramento degli algoritmi, nel rispetto della normativa sulla protezione dei dati.
Per garantire un’applicazione uniforme e tecnicamente corretta di queste procedure, la Legge incarica l’Agenzia Nazionale per i Servizi Sanitari Regionali (“AGENAS”) previo parere del Garante per la protezione dei dati personali, e tenendo conto degli standard internazionali e dello stato dell’arte, di stabilire e aggiornare apposite linee guida per la creazione di dati sintetici.
– Disposizioni in materia di fascicolo elettronico
L’articolo 10 Legge IA introduce una riforma organica della governance della sanità digitale, intervenendo sul decreto-legge n. 179 del 2012 per integrare strutturalmente l’IA nel Servizio Sanitario Nazionale. La norma disciplina le soluzioni di intelligenza artificiale destinate a supportare le finalità di cura e l’assistenza territoriale, istituendo a tale scopo una specifica Piattaforma nazionale di Intelligenza Artificiale.
Per la realizzazione di tale obiettivo, la Legge attribuisce all’AGENAS, in qualità di Agenzia nazionale per la sanità digitale, il ruolo di titolare e realizzatore della piattaforma.
Questa piattaforma, alimentata con i dati strettamente necessari trasmessi dai rispettivi titolari, erogherà servizi di supporto, formulando suggerimenti non vincolanti, a tre categorie di destinatari:
1. ai professionisti sanitari, per la presa in carico degli assistiti;
2. ai medici, come ausilio nella pratica clinica quotidiana;
3. agli utenti e pazienti, al fine di facilitare l’accesso ai servizi sanitari, quali quelli erogati dalle Case della Comunità.
In qualità di titolare del trattamento dei dati raccolti e generati dalla piattaforma, l’AGENAS avrà l’onere di definire, con proprio provvedimento, le tipologie di dati trattati e le operazioni eseguite. Dovrà inoltre specificare le misure tecniche e organizzative adeguate a garantire la sicurezza e a tutelare i diritti e gli interessi degli interessati, conformemente al Regolamento (UE) 2016/679 (“GDPR”). Tale provvedimento dovrà essere adottato previo parere del Ministero della Salute, del Garante per la protezione dei dati personali e dell’Agenzia per la Cybersicurezza Nazionale.
Raccomandazioni operative per il settore sanitario
Sulla base delle disposizioni della Legge, in attesa della legislazione delegata che il Governo dovrebbe promulgare nei prossimi 12 mesi per attuare le disposizioni della Legge IA, gli operatori del settore sanitari dovrebbero cominciare ad avviare le seguenti attività:
1. Screening di applicabilità
Gli operatori devono anzitutto verificare se siano soggetti sia alla Legge IA che al GDPR. Ciò con un assessment puntuale che andrà documentato.
1. Mappatura interna
Gli operatori debbono inoltre mappare i sistemi di IA in uso in ambito sanitario, classificandoli secondo i criteri di rischio introdotti dall’AI Act e assicurandosi che siano usati unicamente come supporto nei processi di prevenzione, diagnosi e cura.
2. Trasparenza e informazione al paziente
Gli operatori devono assicurare che le informative rese al paziente usino un linguaggio chiaro e semplice e siano predisposte in modo tale da includere potenziali rischi connessi ad un uso illecito dell’IA.
3. Misure tecniche ed organizzative
Gli operatori devono assicurare che i sistemi di IA utilizzati siano affidabili, periodicamente verificati e aggiornati per minimizzare il rischio di errori. Ciò richiede l’adozione di protocolli di protezione e sicurezza dei dati con particolare attenzione all’anonimizzazione e sintesi, in modo conforme alle linee guida predisposte dall’AGENAS.
4. Formazione del personale
Gli operatori devono integrare nei propri piani formativi moduli specifici sui benefici, i rischi e il quadro regolatorio dell’IA, per garantire un utilizzo responsabile e consapevole da parte di tutto il personale.
5. Monitoraggio normativo
Gli operatori devono, infine, necessariamente monitorare con attenzione l’emanazione dei decreti attuativi che si susseguiranno nei prossimi 12 mesi, al fine di aggiornare tempestivamente processi, governance e contrattualistica.
Conclusioni
La Legge IA delinea un percorso per l’integrazione dell’intelligenza artificiale nel sistema sanitario, bilanciando innovazione e tutela dei diritti fondamentali. Per gli operatori, la sfida consiste nell’adottare un approccio proattivo, investendo in governance, sicurezza dei dati e formazione.
Solo così sarà possibile sfruttare il potenziale dell’IA per migliorare diagnosi e cure, mantenendo sempre al centro la sicurezza, la dignità e la fiducia del paziente.
Nadia Martini
Head of Data protection, Cybersecurity & Innovation – Rödl & Partner
