Gentile Direttore,
Con la pubblicazione, il 19 novembre 2025, del cosiddetto Digital Omnibus Package, la Commissione europea ha avviato un’operazione di razionalizzazione che incide in modo diretto su alcuni dei pilastri della regolazione digitale dell’Unione. Le due proposte gemelle di regolamento – nn. 836 e 837/2025 – si inseriscono nella strategia digitale 2024-2029 e rispondono a una constatazione ormai condivisa: l’attuale quadro normativo, pur animato da obiettivi di tutela elevata, rischia di risultare eccessivamente frammentato e oneroso sul piano applicativo.
Per il settore sanitario, da anni al centro di un intreccio particolarmente complesso di regole su dati, tecn extraction e intelligenza artificiale, il Digital Omnibus rappresenta un passaggio di rilievo. Non tanto perché introduca una deregulation, quanto perché tenta di riallineare proporzionalità, sostenibilità e tutela dei diritti fondamentali in un ambito ad alta intensità regolatoria.
AI Act e sanità: meno adempimenti, ma non meno responsabilità
La proposta n. 836/2025 interviene in modo mirato sull’AI Act, con modifiche che toccano soprattutto la compliance dei sistemi di IA ad alto rischio. È noto come molte applicazioni sanitarie – dai sistemi di supporto diagnostico agli algoritmi di triage, fino alle soluzioni di gestione dei percorsi clinici – rientrino già oggi in tale categoria.
L’estensione delle agevolazioni previste per le PMI anche alle Small Mid-Cap Enterprises è un segnale importante per l’ecosistema health-tech europeo, caratterizzato da operatori che spesso superano la soglia dimensionale delle PMI senza disporre delle risorse delle grandi imprese. La possibilità di ricorrere a documentazione tecnica semplificata, se accompagnata da modelli standardizzati, potrebbe ridurre barriere all’ingresso e favorire l’adozione di soluzioni innovative anche da parte di strutture sanitarie di medie dimensioni.
Di particolare interesse per la sanità è anche la proposta di introduzione dell’articolo 4a dell’AI Act, che consente – a condizioni stringenti – il trattamento di categorie particolari di dati personali per individuare e mitigare bias. In un settore in cui la qualità e la rappresentatività dei dati incidono direttamente sull’affidabilità clinica dei sistemi di IA, il chiarimento normativo appare rilevante. Resta tuttavia centrale il rispetto di misure di sicurezza rafforzate e il principio di minimizzazione, che continueranno a costituire un banco di prova per fornitori e deployer.
Un altro intervento destinato ad avere impatti concreti riguarda l’articolo 6 dell’AI Act. La soppressione dell’obbligo di registrazione nel database europeo per i sistemi che, pur ricadendo in ambiti ad alto rischio, sono valutati come “non” ad alto rischio, risponde a esigenze operative sentite anche in sanità. Molte strutture utilizzano infatti soluzioni di IA in contesti clinici o organizzativi circoscritti, per le quali l’attuale meccanismo di registrazione risulta sproporzionato rispetto al rischio effettivo.
Timeline applicativa e incertezza regolatoria
La revisione della timeline di applicazione del Capo III dell’AI Act introduce un elemento di flessibilità, subordinando la piena applicazione degli obblighi alla disponibilità di standard tecnici europei. Per il settore sanitario, fortemente dipendente da standard interoperabili e certificazioni, questa scelta appare pragmatica, ma non priva di criticità. Il rinvio dell’applicazione piena potrebbe alleviare pressioni immediate, ma prolunga una fase di incertezza che rende complessa la pianificazione degli investimenti tecnologici.
GDPR, dati sanitari e IA: un tentativo di riallineamento
La proposta n. 837/2025 ha una portata ancora più ampia e tocca direttamente il GDPR, con interventi che interessano in modo sensibile il trattamento dei dati sanitari. Il chiarimento sulla nozione di “dato personale”, mutuato dalla giurisprudenza della Corte di giustizia, mira a facilitare la circolazione di dati pseudonimizzati. In sanità, dove la ricerca e l’innovazione dipendono dalla disponibilità di grandi moli di dati, la precisazione può favorire modelli di data sharing più sostenibili, a condizione che la valutazione sull’identificabilità resti effettiva e documentata.
Rilevanti sono anche le modifiche all’articolo 9 GDPR. L’introduzione di una specifica esenzione per la verifica biometrica, purché sotto il controllo diretto dell’interessato, potrebbe incidere su soluzioni di autenticazione in ambito sanitario. Al contempo, il chiarimento sui dataset di IA – che dovrebbero evitare l’inclusione di dati particolari, salvo impossibilità tecnica – impone un ripensamento delle strategie di progettazione dei sistemi, soprattutto in contesti clinici complessi.
L’esplicito riconoscimento del legittimo interesse come base giuridica per lo sviluppo e l’addestramento dei sistemi di IA rappresenta uno dei passaggi più significativi per il settore. Molte iniziative di innovazione sanitaria si collocano oggi in una zona grigia, in cui la base giuridica del trattamento è oggetto di interpretazioni divergenti. La nuova disposizione, se confermata, potrebbe offrire maggiore certezza, fermo restando l’obbligo di garantire trasparenza, minimizzazione e un diritto di opposizione effettivo.
Trasparenza, decisioni automatizzate e incidenti di sicurezza
Le proposte di semplificazione degli obblighi informativi rispondono a una criticità ben nota anche in sanità: informative lunghe e ridondanti che faticano a tradursi in reale consapevolezza per pazienti e utenti. La deroga, tuttavia, è circoscritta e non opera in presenza di trattamenti ad alto rischio, decisioni automatizzate o trasferimenti verso Paesi terzi, ambiti in cui la tutela dell’interessato rimane centrale.
Sul fronte delle decisioni automatizzate, la revisione dell’articolo 22 GDPR apre spazi di maggiore flessibilità per processi standardizzati. In sanità, ciò potrebbe incidere su procedure amministrative e di gestione delle risorse, mentre resta ferma la necessità di garantire l’intervento umano nei processi che producono effetti significativi sui pazienti.
Infine, l’istituzione di un portale unico europeo per la notifica degli incidenti di sicurezza, gestito da ENISA, appare particolarmente rilevante per le strutture sanitarie, spesso soggette a obblighi di segnalazione multipli e disallineati. L’allineamento tra GDPR, NIS2 e altre normative settoriali potrebbe ridurre oneri amministrativi senza abbassare il livello di protezione.
Uno sguardo prospettico
Il Digital Omnibus Package non segna una ritirata della regolazione digitale europea, ma un tentativo di riordino. Per il settore sanitario, l’impatto potenziale è significativo, ma ancora incerto. Le proposte sono ora all’esame del legislatore e il loro contenuto potrà mutare nel corso del processo di codecisione.
In questa fase, più che anticipare adempimenti futuri, può risultare utile per gli operatori sanitari avviare una riflessione interna sui sistemi di IA utilizzati, sui flussi di dati trattati e sui modelli di governance adottati. Un approccio prudente e proporzionato consente di prepararsi a un quadro normativo in evoluzione, senza sottovalutare gli obblighi già vigenti e quelli destinati, comunque, a entrare in applicazione nei prossimi anni.
Nadia Martini, Head of Data protection, Cybersecurity & Innovation – Rödl & Partner
