Lo scorso 10 ottobre è entrata in vigore la Legge 132/2025 (“Legge sull’AI“), con cui l’Italia ha introdotto nuove norme in materia di intelligenza artificiale (“AI“), integrando la disciplina prevista dall‘AI Act europeo.
La Legge sull’AI ribadisce i principi dell’AI Act circa la necessità di garantire un utilizzo corretto, trasparente e responsabile dell’AI, in una dimensione antropocentrica. Allo stesso tempo, introduce disposizioni che regolano l’impiego dell’AI in particolari settori, tra cui quello sanitario.
È proprio in questo ambito che la Legge sull’AI presenta le novità più significative, regolando l’utilizzo e lo sviluppo di sistemi di AI col chiaro intento di semplificare i processi e promuovere l’innovazione nel settore. Tuttavia, restano ancora diversi aspetti da definire, anche attraverso l’adozione di specifici regolamenti attuativi.
Di seguito riportiamo un’analisi dettagliata delle principali novità introdotte dalla nuova normativa.
Indice degli argomenti:
L’uso dell’intelligenza artificiale in ambito sanitario
L’art. 7 della Legge sull’AI individua i principi da rispettare nell’impiego dell’AI in ambito sanitario, chiarendo innanzitutto che l’AI deve contribuire al miglioramento del sistema sanitario nonché alla prevenzione, alla diagnosi e alla cura delle malattie.
La norma precisa inoltre che l’AI può rappresentare un supporto nei processi di prevenzione, diagnosi, cura e scelta terapeutica, lasciando però in capo al medico la responsabilità delle decisioni cliniche. Si ribadisce inoltre l’obbligo di informare i pazienti circa l’uso dell’AI e quello di evitare che tale uso condizioni l’accesso alle cure secondo criteri discriminatori.
Ricerca scientifica in ambito sanitario e uso secondario dei dati
L’art. 8 della Legge sull’AI fornisce importanti chiarimenti sul trattamento dei dati, anche personali, eseguito per ricerca e sperimentazione scientifica nella realizzazione di sistemi di AI, per finalità connesse alla tutela della salute (ad esempio, la prevenzione, diagnosi e cura di malattie, lo sviluppo di farmaci, terapie e tecnologie riabilitative, la realizzazione di apparati medicali, ecc.).
L’uso dei dati per le suddette finalità viene qualificato come di “rilevante interesse pubblico” se svolto da soggetti pubblici e privati senza scopo di lucro, IRCCS o privati operanti nel settore sanitario nell’ambito di progetti di ricerca a cui partecipano soggetti pubblici e privati senza scopo di lucro o IRCCS.
Questa precisazione è rilevante perché individua la base giuridica del trattamento dei dati personali – in particolare quelli dei pazienti – nell’art. 9(2)(g) del GDPR, evitando possibili incertezze nell’interpretazione della normativa privacy che spesso ostacolano gli operatori del settore sanitario e le attività di ricerca. Tuttavia, la disposizione non contiene tutti gli elementi necessari ai sensi della normativa privacy, che impone l’indicazione di alcuni dettagli sull’utilizzo dei dati. Restano dunque alcuni margini di incertezza che ci auguriamo vengano superati con prossimi regolamenti attuativi o provvedimenti del Garante per la protezione dei dati.
Ancora più rilevante è la previsione dell’art. 8 secondo cui, per le suddette finalità di ricerca e sperimentazione scientifica nella realizzazione di sistemi di AI, è sempre consentito l’uso secondario di dati personali – anche sanitari – che non permettano di risalire direttamente all’identità dell’interessato (dunque dati pseudonimizzati, anonimizzati o sintetici).
Per uso secondario s’intende l’utilizzo dei dati per finalità diverse da quelle per cui i dati erano stati raccolti. Questa previsione permette perciò di utilizzare i dati dei pazienti, raccolti nell’ambito della normale pratica clinica, senza necessità di uno specifico consenso degli stessi. Ciò a condizione che l’uso dei dati sia:
- eseguito dai menzionati soggetti pubblici e privati senza scopo di lucro, IRCCS o privati operanti nel settore sanitario nell’ambito di progetti di ricerca a cui partecipano soggetti pubblici e privati senza scopo di lucro o IRCCS;
- diretto alla ricerca nella realizzazione di sistemi di AI per le suddette finalità connesse alla tutela della salute; e
- comunicato preventivamente al Garante per la protezione dei dati personali, insieme alla relativa “valutazione d’impatto sulla protezione dei dati” di cui agli artt. 35 e 36 del GDPR. Il Garante potrà stabilire il blocco all’utilizzo dei dati indicato entro 30 giorni dalla ricezione della comunicazione, trascorsi i quali l’utilizzo potrà essere avviato. Questa previsione comporta una semplificazione rispetto alla versione originaria del disegno di legge, che richiedeva anche l’approvazione del comitato etico.
Infine, l’art. 8 autorizza il trattamento dei dati per finalità di anonimizzazione, pseudonimizzazione e sintetizzazione, sia nell’ambito delle attività di ricerca e sperimentazione sopra menzionate che per finalità di programmazione, gestione, controllo e valutazione dell’assistenza sanitaria che, ancora, per lo studio e la ricerca sull’attività sportiva.
Differenza fra la ricerca “per lo sviluppo dell’AI” e la ricerca “tramite AI”
Da ultimo, la Legge sull’AI distingue tra ricerca “per” lo sviluppo di sistemi di AI in ambito sanitario (art. 8) e ricerca svolta “tramite” sistemi di AI (art. 9).
Solo nel primo caso è sempre ammesso l’uso secondario dei dati sanitari ed è possibile fare affidamento sulla base giuridica del “rilevante interesse pubblico”, nei limiti descritti al precedente Paragrafo.
Nella seconda ipotesi, invece, l’art. 9 prevede che le modalità operative e il possibile uso secondario dei dati siano disciplinati da un decreto del Ministero della Salute, da adottare entro 120 giorni dalla pubblicazione della Legge sull’AI, sentiti il Garante, gli enti di ricerca, i presidi sanitari, le autorità e gli operatori del settore.
Questa frammentazione rischia di generare ulteriori incertezze operative e zone grigie che possono ostacolare la ricerca.
Considerazioni conclusive
La Legge sull’AI introduce alcune novità importanti per favorire la ricerca e l’innovazione in ambito sanitario, attenuando alcuni dei vincoli derivanti dalla normativa in materia di protezione dei dati personali, da tempo considerati un ostacolo dagli operatori del settore.
L’intervento normativo si inserisce nel solco tracciato dall’Unione Europea che, soprattutto con l’adozione del Regolamento (UE) 2025/327 sullo Spazio Europeo dei Dati Sanitari mira a promuovere la condivisione e il riutilizzo dei dati sanitari per finalità di ricerca e sviluppo.
Tuttavia, le incertezze interpretative evidenziate e le numerose questioni rinviate ai futuri decreti attuativi rischiano di ridurre l’impatto effettivo delle novità introdotte. Molto dipenderà dalla tempestività e dalla chiarezza delle misure di attuazione che verranno adottate nei prossimi mesi.
Nel frattempo, sarà essenziale che gli operatori del settore adottino un approccio prudente, assicurando la piena conformità alle disposizioni vigenti in materia di AI e protezione dei dati personali.
