Il 16 dicembre 2025 la Commissione europea ha presentato la proposta di regolamento COM(2025) 1022, denominata “European Biotech Act”. L’atto si presenta come uno strumento di politica industriale a sostegno della competitività europea nel settore delle biotecnologie. Uno degli obiettivi dell’intervento è esplicitamente quello di “facilitare l’applicazione dell’intelligenza artificiale” negli ecosistemi e nei framework di manifattura biotech e health-tech, in linea con il Regolamento (UE) 2024/1689 (AI Act). L’intelligenza artificiale è dunque uno dei pilastri fondamentali della normativa proposta.
Il problema di fondo che il legislatore europeo intende affrontare è noto, ma raramente formulato con questa chiarezza in un testo normativo: l’UE deve sfruttare l’enorme potenziale dell’AI per le biotecnologie, ma oggi incontra ostacoli come ambienti di test limitati e dati frammentati lungo l’intero ciclo di vita dei prodotti biotech.
Lo sviluppo tecnologico (inclusa l’AI) e la competitività dell’Unione Europea in ambito biotech non può funzionare senza dati di qualità, interoperabili e accessibili. E i dati rilevanti per il settore biotech sono – quasi per definizione – dati personali appartenenti a categorie particolari: dati sanitari, dati genetici, dati derivanti da sperimentazioni cliniche su esseri umani.
E qui entra in gioco anche il GDPR: il Biotech Act impatta in modo significativo sulla base giuridica e le condizioni legittimanti per il trattamento di dati sanitari (inclusi i dati genetici) in ambito biotech, sia nell’ambito delle sperimentazioni cliniche che nell’ambito dell’uso dell’IA.
Con l’approvazione del Biotech Act si costruirebbe un nuovo set di regole integrate — GDPR, AI Act, EHDS, Biotech Act — in cui ciascun atto condiziona l’applicazione degli altri. Comprendere le intersezioni tra i corpi normativi che costituiscono questo setsarà essenziale per chiunque operi nel settore biotech e si occupi di governance dei dati, compliance privacy o sviluppo di sistemi di AI.
Indice degli argomenti:
Il contesto: barriere all’utilizzo di dati e AI nel biotech europeo
Prima di analizzare le varie previsioni, è utile comprendere il punto di partenza del Biotech Act. Dalle consultazioni preparatorie è emerso che il ruolo di AI e dati è riconosciuto come essenziale, ma che persistono problemi strutturali ricorrenti: accesso ai dati e data sharing sicuro, ecosistemi frammentati e scarsa interoperabilità, incertezza sulla data governance, coordinamento insufficiente, accesso diseguale alle infrastrutture di test, carenza di conoscenza sull’implementazione e la compliance AI (specie nelle PMI), barriere tecniche e legali, governance gaps, mancanza di competenze AI e incertezze sui profili etici.
Sul piano specifico dell’adozione dell’AI nel biotech, le consultazioni hanno indicato che le principali barriere sono le sfide tecnologiche e quelle di implementazione dei framework regolatori, e che i supporti ritenuti necessari sono:
- sviluppo di competenze e training AI,
- accesso a dataset annotati,
- partnership con istituzioni pubbliche o hubs dedicati all’AI,
- strumenti di finanziamento dedicati
- sandbox regolatorie per testare modelli AI in ambito biotech.
Il Biotech Act intende rispondere a ciascuna di queste esigenze.
La coerenza dell’architettura normativa: GDPR, AI Act, EHDS e Data Union Strategy
L’enfasi sull’AI del Biotech Act è dichiarata coerente con le politiche digitali e la Data Union Strategy e, in generale, il Biotech Act intende inserirsi nel contesto delle politiche industriali e delle normative esistenti, prime fra tutte, l’AI Act e il quadro europeo sulla cybersecurity, in maniera coerente.
Si delinea quindi una sorta di “piramide normativa” per l’utilizzo dei dati in ambito biotech: al vertice il GDPR, come disciplina generale sul trattamento dei dati personali; al secondo livello l’AI Act, come disciplina orizzontale dei sistemi e modelli di IA; al terzo livello l’EHDS (Reg. UE 2025/327), che regola le condizioni di accesso e riuso dei dati sanitari elettronici; e alla base il Biotech Act, che opera all’interno dei vincoli posti dai livelli superiori, ma introduce strumenti specifici per il contesto biotecnologico.
La compliance richiede una lettura integrata di tutti e quattro gli atti (senza tralasciare l’integrazione con tutta la normativa che disciplina lo sviluppo e la commercializzazione dei farmaci).
La governance dei dati per l’AI: i tre strumenti fondamentali del Biotech Act
Le linee guida EMA sull’uso dell’AI nel ciclo di vita del medicinale
Il primo strumento è di natura orientativa, ma di grande rilevanza pratica. L’EMA deve pubblicare e aggiornare linee guida non vincolanti sull’impiego di sistemi basati su tecnologie avanzate, inclusa l’AI, nell’intero ciclo di vita dei medicinali: dalla fase preclinica, allo sviluppo clinico e ai trial clinici, fino alla manifattura, al monitoring post-autorizzativo e al rilevamento dei segnali di sicurezza, garantendo coerenza con l’AI Act. Come noto, l’Ema ha già pubblicato un “Reflection paper on the use of Artificial Intelligence (AI) in the medicinal product lifecycle”, nel settembre 2024, che costituisce il primo importante tentativo di affrontare questo tema in modo organico.
A differenza delle precedenti, le linee guida previste dal Biotech Act saranno sviluppate, aggiornate e pubblicate dall’EMA con l’accordo della Commissione Europea e un ampio coinvolgimento di soggetti con diverse competenze, quali lo European AI Office costituito dalla Commissione con propria decisione del 24 gennaio 2024, nonché, per la parte relativa ai trial clinici, il Clinical Trials Advisory Group (“CTAG”) previsto dal regolamento UE 536/2014 (CTR), il Medical Device Coordination Group (“MDCG”) previsto dal regolamento UE 2017/745 e l’AI Board previsto dall’’AI Act.
L’EMA dovrà adottare anche linee guida sull’uso dell’AI nelle procedure di autorizzazione dei medicinali, in cooperazione con le autorità competenti nazionali e la Commissione Europea.
Il meccanismo di co-sviluppo con l’AI Office e l’AI Board dovrebbe assicurare che le linee guida EMA siano coerenti con la classificazione di rischio dell’AI Act dato che, in questo settore, molti sistemi di AI potrebbero rientrare nella categoria dei sistemi ad alto rischio ai sensi dell’AI Act. Queste linee guida EMA dovrebbero garantire allineamento fra il framework dell’AI Act e quello del Biotech Act.
Sul piano della protezione dei dati, questa governance multi-istituzionale pone nuove questioni, perché le linee guida EMA potranno di fatto orientare le modalità con cui titolari del trattamento progettano i sistemi di AI che utilizzano dati sanitari, influenzando indirettamente l’applicazione del principio di privacy by design di cui all’art. 25 GDPR.
“Trusted Testing Environments”: spazi sicuri per l’AI biotech
Il secondo strumento riguarda le infrastrutture di test. La Commissione potrà riconoscere alcuni progetti nell’UE come progetti biotecnologici strategici a impatto sanitario elevato nella forma di ambienti di test affidabili (“trusted tested environments”) quando l’innovazione biotech è abilitata o rafforzata dall’AI o da metodi computazionali avanzati, a condizione che tali ambienti operino in condizioni fidate e conformi al diritto UE e nazionale, che creino sinergie con le strutture di test e le sandbox dell’AI Act, e che rendano disponibili evidenze e risultati per informare linee guida, standard, best practice e – ove opportuno – la progettazione e l’implementazione di sandboxes.
Il collegamento esplicito con le sandbox dell’AI Act è cruciale: significa che un trusted testing environment per AI in ambito biotech dovrà operare in coordinamento con le autorità nazionali di vigilanza sull’AI, e che le evidenze prodotte possono alimentare lo sviluppo regolatorio in entrambi i framework.
Per gli sviluppatori di sistemi di AI in ambito biotech, questo crea una via preferenziale per testare soluzioni innovative in un ambiente giuridicamente sicuro, con un interlocutore regolatorio definito.
“Biotechnology Data Quality Accelerators”: l’infrastruttura dei dati per l’AI
Il terzo strumento è quello di maggiore portata per il tema della protezione dei dati. I “data quality accelerators” sono progetti strategici ad impatto sanitario elevato finalizzati alla cura, manutenzione e uso responsabile di dataset di alta qualità, annotati e con provenienza verificata, essenziali per l’addestramento, la validazione e il testing di sistemi e modelli di IA in applicazioni biotech sanitarie.
Questi progetti devono: favorire un’AI affidabile e competitiva (anche per modelli large-scale e general-purpose), assistere i titolari legittimi dei dati – inclusi i titolari di dati sanitari ai sensi dell’EHDS – nel migliorare e standardizzare i propri dati, contribuire a standard UE su rappresentatività, provenienza, interoperabilità e annotazione, considerare l’interoperabilità con l’EHDS e altri data spaces, e allinearsi alle iniziative UE (Data Union Strategy, data labs, AI factories), tenendo conto delle specificità dei dataset biotech.
I dataset “enhanced” devono essere resi disponibili a condizioni FRAND (fair, reasonable and non-discriminatory) e con accesso equo per ricercatori, PMI e istituzioni pubbliche, mentre i dati sanitari elettronici ai sensi dell’EHDS che dovessero rientrare in questi dataset andranno resi disponibili secondo quanto previsto nel regolamento che lo istituisce. È inoltre prevista l’integrazione, ove opportuna, con infrastrutture UE come ERA data spaces, data labs, AI factories e infrastrutture di altri progetti high-impact.
La questione GDPR: il superamento del consenso nel Biotech
Il GDPR nei data quality accelerators: chi decide, e cosa
L’elemento più innovativo – e più delicato dal punto di vista della protezione dei dati – è il regime di trattamento dei dati personali all’interno degli acceleratori. Il trattamento dei dati personali nell’ambito di questi progetti avviene nell’interesse pubblico, e la decisione di riconoscimento della Commissione deve specificare modalità di trattamento dei dati personali necessari per il raggiungimento degli obiettivi del progetto: categorie di dati trattati, ruoli delle entità coinvolte, categorie di utilizzatori dei dataset curati.
La base giuridica del trattamento è dunque l’interesse pubblico ai sensi degli artt. 6(1)(e), e la sua specificazione concreta è demandata non al singolo titolare del trattamento, ma a un atto della Commissione europea. Si tratta di un modello di governance dei dati inedito nel panorama regolatorio UE: la Commissione definice in atti esecutivi le condizioni fondamentali del trattamento, che i singoli partecipanti al progetto dovranno poi attuare.
Questo solleva almeno tre questioni di compliance GDPR. Innanzitutto, la ripartizione delle responsabilità tra la Commissione (che definisce le condizioni del trattamento), i data holders (che conferiscono i dati), e i soggetti che gestiscono l’acceleratore (che curano e mettono a disposizione i dataset).
In secondo luogo, il rispetto del principio di limitazione della finalità ex art. 5(1)(b) GDPR: i dataset curati dagli acceleratori sono destinati all’addestramento di sistemi di IA; occorre verificare che questa finalità sia compatibile con quella per cui i dati sanitari sono stati originariamente raccolti (es. cura della salute, trial clinico).
I dati sanitari elettronici all’interno degli acceleratori devono essere resi disponibili secondo l’EHDS, e tali acceleratori contribuiscono agli obiettivi EHDS migliorando la qualità dei dati resi disponibili nello spazio: il raccordo con il capitolo IV dell’EHDS – dedicato all’uso secondario dei dati sanitari è dunque essenziale.
Infine, il trattamento di dati sanitari su larga scala per l’addestramento di sistemi di AI è un trattamento ad alto rischio ai sensi dell’art. 35 GDPR: una DPIA dovrà essere condotta prima dell’avvio del progetto e aggiornata in funzione dell’evoluzione delle modalità di trattamento, tenendo conto sia delle salvaguardie definite dalla Commissione sia dei requisiti specifici dell’AI Act per i sistemi di AI ad alto rischio che utilizzano tali dataset.
Il GDPR nelle sperimentazioni cliniche
La base giuridica: dal consenso all’obbligo di legge
Uno dei punti di maggiore frizione applicativa del GDPR nel settore farmaceutico è sempre stato la corretta identificazione della base giuridica per il trattamento dei dati personali nelle sperimentazioni cliniche. Nella prassi applicativa e interpretativa (nonostante le aperture del GDRPR), si è affermata la centralità del consenso (art. 6(1)(a) GDPR) come base giuridica per il trattamento dei dati, a volte confondendolo – o sovrapponendolo – con il consenso informato alla partecipazione alla sperimentazione, che è un requisito previsto dalla normativa sulle sperimentazioni cliniche e non una base giuridica ai sensi del GDPR.
Il Biotech Act risolve questa ambiguità in modo netto. Nei considerando, si chiarisce che la base giuridica del trattamento dei dati personali nel contesto delle sperimentazioni cliniche è rappresentata dal Regolamento sulle Sperimentazioni Cliniche (“CTR”) (come modificato dallo stesso Biotech Act) ai sensi dell’art. 6(1)(c) del Regolamento (UE) 2016/679, ossia l’adempimento di un obbligo legale.
In altre parole, il Biotech Act ancora il trattamento di categorie particolari di dati personali, come quelli sanitari e genetici, alla deroga dell’art. 9(2)(i) GDPR — l’interesse pubblico nel settore della sanità pubblica — e prevede che il CTR (come modificato) debba fornire specifiche garanzie anche ai sensi dell’art.9(2)(j), tra cui: il consenso informato alla partecipazione al trial (che rimane un requisito autonomo), obblighi di confidenzialità, e misure tecniche e organizzative da indicare nel protocollo di studio, quali la pseudonimizzazione, la cifratura, i controlli di integrità e confidenzialità, le restrizioni di accesso, nonché la revisione etica.
Questa scelta ha conseguenze pratiche rilevanti perché elimina la necessità di acquisire un consenso GDPR separato dal consenso informato al trial: lo sponsor non deve più costruire un doppio layer di consenso. Inoltre, si elimina la possibilità di una revoca del consenso alla partecipazione.
Le categorie particolari: salute pubblica come interesse meritevole di tutela
Come già detto, dati trattati nei trial clinici sono quasi invariabilmente dati relativi alla salute, e rientrano tra i dati appartenenti a categorie particolari di cui all’art. 9 GDPR, il cui trattamento è in linea di principio vietato salvo che ricorra una delle eccezioni tassativamente elencate.
Fine della frammentazione nazionale: il divieto di gold-plating
Il profilo forse più rilevante sul piano della compliance multigiurisdizionale è quello della prevalenza delle normative nazionali. Come noto, l’art. 9(4) GDPR consente agli Stati membri di mantenere o introdurre ulteriori condizioni, anche restrizioni, per il trattamento di dati genetici, biometrici o sanitari. Questa facoltà ha prodotto, negli anni, un mosaico di discipline nazionali – spesso incompatibili tra loro o addirittura con lo stesso GDPR, ribadendo la centralità del consenso – che ha reso estremamente complessa la conduzione di trial clinici multinazionali in Europa.
Il Biotech Act risolve il problema alla radice: gli Stati membri non possono mantenere o introdurre, ai sensi dell’art. 9(4) GDPR, ulteriori condizioni o limitazioni – incluse richieste di consenso GDPR – per il trattamento dei dati (sanitari e genetici) nell’ambito del CTR come modificato dallo stesso Biotech Act.
Si tratta di una scelta politica e giuridica di grande portata: il legislatore europeo utilizza la disciplina del trattamento dei dati come leva per eliminare uno dei principali ostacoli alla conduzione di trial clinici su scala UE. Per le aziende farmaceutiche e biotecnologiche, questo significa che – almeno nell’ambito del perimetro CTR – la compliance privacy non richiede più un’analisi paese per paese delle condizioni aggiuntive nazionali.
Il nuovo art. 93 CTR: governance del trattamento
Sul piano del testo normativo, la disposizione cardine è il nuovo art. 93 del CTR (come modificato dal Biotech Act), dedicato specificamente alla protezione dei dati personali. La disposizione:
- elenca le finalità di trattamento consentite per sponsor e sperimentatori, tra cui la presentazione della domanda, la conduzione della ricerca secondo protocollo, il safety reporting, l’archiviazione e la pubblicazione dei risultati;
- qualifica sponsor e sperimentatori come titolari del trattamento ai sensi dell’art. 4(7) GDPR per le operazioni di trattamento connesse all’autorizzazione e alle attività correlate; (
- consente ulteriori trattamenti da parte dello stesso titolare per altre sperimentazioni cliniche o per finalità di ricerca scientifica;
- ribadisce il divieto per gli Stati membri di aggiungere condizioni al trattamento ai sensi dell’art. 9(4) GDPR;
- impone l’adozione di misure tecniche e organizzative adeguate e l’acquisizione del consenso informato ai sensi del CTR (art. 29).
Particolarmente interessante è il punto (3): la possibilità di riutilizzare i dati raccolti in un trial per altri trial o per ricerca scientifica da parte dello stesso titolare si inserisce nel solco del principio di compatibilità delle finalità di cui all’art. 5(1)(b) GDPR, che consente il riutilizzo dei dati per finalità di ricerca scientifica come una finalità compatibile per presunzione. Il Biotech Act non solo cristallizza normativamente questa possibilità, riducendo l’incertezza applicativa, ma sembra risolvere anche il problema dell’ulteriore base giuridica del riutilizzo.
Conclusioni: verso una governance integrata dei dati e dell’AI in ambito biotech
Laddove il testo del Biotech Act proposto dalla Commissione completasse il percorso legislativo europeo nella sua versione attuale, si avrebbe un regolamento in grado di segnare un punto di svolta nella governance europea dei dati per l’AI. Per la prima volta, infatti, un atto di settore costruisce in modo esplicito e sistematico l’infrastruttura normativa e istituzionale necessaria perché l’AI possa operare – non solo in ambito biotech ma più in generale nel settore farmaceutico – nel rispetto del GDPR: linee guida EMA co-sviluppate con l’AI Office, infrastrutture di test collegate alle sandboxes AI Act, acceleratori di dati che operano nell’interesse pubblico alle condizioni definite dalla Commissione, e un meccanismo di supervisione del rischio derivante dai modelli AI che collega il Biotech Act all’AI Act. Inoltre, il Biotech Act introduce una notevole semplificazione, superando la centralità del consenso nell’ambito delle sperimentazioni cliniche.
Il risultato è un set di regole – GDPR, AI Act, EHDS, Biotech Act, normative di settore – di notevole complessità, ma anche di notevole coerenza di sistema. La sfida per gli operatori non è navigare tre regolamenti separati: è costruire un framework di compliance integrato che li legga come un unico sistema, con la consapevolezza che ciascuno dei tre atti presuppone e integra gli altri.
In prospettiva, il Biotech Act conferma e accelera una tendenza di lungo periodo nella legislazione europea: la progressiva costruzione di “strati” normativi settoriali che specificano, integrano e in certi casi limitano l’applicazione del GDPR in ambiti ad alta intensità tecnologica. Inoltre, il Biotech Act sembra andare nella direzione (già solcata dall’EHDS e confermata dalla proposta di Digital Omnibus) di superare la centralità del consenso nel trattamento di dati sanitari per favorirne la circolazione e l’utilizzo a beneficio della collettività.
