Lo scorso 17 settembre il Parlamento ha approvato – con la pubblicazione in G.U. – la L. 132/2025 “Disposizioni e deleghe al Governo in materia di intelligenza artificiale” (di seguito “Legge Italiana sull’IA”), che definisce una serie di principi generali e di regole con l’obiettivo di promuovere un corretto, trasparente e responsabile sviluppo e utilizzo dei sistemi di intelligenza artificiale (di seguito “AI”) in tutta una serie di settori chiave, tra cui quello della sanità.
Principi che necessitano non solo di un’interpretazione e di un’applicazione conforme a quanto previsto dal Regolamento UE 2024/1689 (AI Act), ma anche di un coordinamento con il Regolamento UE 2016/679 (GDPR), qualora l’utilizzo dei sistemi di IA comporti un trattamento di dati personali.
Indice degli argomenti:
I principi da rispettare nel trattamento dei dati personali con sistemi di AI
Proprio in quest’ottica, il nostro legislatore ha previsto – già all’interno dell’art. 4 – che:
- l’utilizzo dei sistemi di AI debba assicurare il trattamento lecito, corretto e trasparente dei dati personali e la compatibilità con le finalità per le quali sono stati raccolti;
- le informazioni circa il trattamento dei dati personali connessi all’utilizzo di sistemi di AI debbano essere rese con un linguaggio semplice e chiaro, in modo da consentire all’interessato di comprendere i relativi rischi e di esercitare il diritto di opporsi al trattamento;
- l’accesso ai sistemi di AI per i minori di 14 anni e il conseguente trattamento di dati personali richieda il consenso di chi esercita la responsabilità genitoriale.
Tali statuizioni, ovviamente, devono essere applicate in tutti settori, tra cui anche quello sanitario ove, peraltro, il trattamento riguarda non solo dati personali, ma anche – e soprattutto – dati particolari.
Le novità in ambito sanitario
Quattro gli articoli della Legge n.132 dedicati al mondo sanitario:
- All’art. 7 il nostro legislatore sancisce, anzitutto, che l’utilizzo dei sistemi di AI in ambito sanitario possa costituire un supporto nei processi di prevenzione, diagnosi, cura e scelta terapeutica. Se da un lato sono, quindi, innegabili i vantaggi derivanti dall’utilizzo di tali strumenti, dall’altro è necessario che questi vengano sempre supervisionati dall’uomo e, nello specifico, dagli esercenti la professione sanitaria. Le decisioni finali circa le diagnosi e le cure devono, infatti, restare di esclusiva competenza degli esercenti la professione sanitaria a cui i sistemi di AI non possono in alcun modo sostituirsi. Ciò, anche e soprattutto al fine di garantire il rispetto dei diritti, delle libertà e degli interessi delle persone.
Il legislatore continua, poi, precisando che i sistemi di AI:
- non possono in alcun modo selezionare e condizionare l’accesso alle prestazioni sanitarie secondo criteri discriminatori;
- unitamente ai dati impiegati devono essere affidabili, periodicamente verificati e aggiornati anche al fine di minimizzare il rischio di errori e migliorare la sicurezza delle persone.
2. L’art. 8 comma 1 affronta, invece, il delicato e attualissimo tema della ricerca e della sperimentazione scientifica. Nello specifico, il legislatore stabilisce che i trattamenti di dati personali effettuati da:
- enti pubblici e privati senza scopo di lucro;
- Istituti di Ricovero e Cura a Carattere Scientifico – IRCSS;
- soggetti privati operanti nel settore sanitario esclusivamente nell’ambito di progetti di ricerca che vedano la partecipazione dei soggetti di cui ai precedenti punti;
con finalità di ricerca e sperimentazione scientifica nella realizzazione di sistemi di AI volti a prevenire, diagnosticare e curare malattie, sviluppare farmaci, terapie e tecnologie riabilitative, nonché realizzare dispositivi medicali sono “di rilevante interesse pubblico” ai sensi dell’art. 9 par. 2 lettera g) del GDPR.
La vera e propria innovazione è, però, contenuta al secondo comma del medesimo articolo, ove il legislatore legittima l’uso secondario dei dati personali e particolari già raccolti, purché pseudonimizzati. Pertanto, se i dati sono privi degli elementi identificativi diretti possono essere riutilizzati senza la necessità di acquisire un nuovo e specifico consenso dell’interessato. Resta, però, fermo l’obbligo di informativa da assolvere da parte del titolare anche in forma generale mediante la pubblicazione del documento sul proprio sito web.
Il terzo comma, invece, prevede che il trattamento dei dati personali, ivi compresi quelli particolari, è sempre consentito, previa informativa, per finalità di anonimizzazione, pseudonimizzazione o sintetizzazione. Anche in questo caso, l’intento del legislatore è chiaro: individuare una base giuridica “di legge” per consentire l’anonimizzazione e la sintetizzazione dei dati, attività peraltro estremamente utili nell’ambito della predisposizione dei dataset per l’addestramento degli algoritmi sottesi ai sistemi di AI.
Con il quarto e l’ultimo comma, infine, il legislatore definisce:
- il ruolo dell’Agenzia Nazionale per i Servizi Sanitari Regionali (AGENAS), che, previo parere dell’Autorità Garante, può stabilire e aggiornare linee guida per le procedure di anonimizzazione dei dati personali e per la creazione di dati sintetici;
- la comunicazione dei trattamenti di cui ai commi 1 e 2 all’Autorità Garante con l’indicazione di tutte le informazioni previste agli artt. 24, 25, 32 e 35 del GDPR, nonché la previsione espressa dei soggetti individuati ai sensi dell’art. 28 del GDPR, se presenti. L’Autorità avrà, poi, 30 (trenta) giorni di tempo per rispondere; in caso di mancato riscontro (c.d. silenzio assenso) i trattamenti potranno essere avviati.
3. Rapido sguardo all’art. 9, che demanda al Ministero della Salute l’emanazione di apposito decreto – entro 120 (centoventi) giorni dall’entrata in vigore della Legge Italiana sull’IA – per la definizione di una disciplina semplificata per il trattamento dei dati personali, anche particolari, per finalità di ricerca e sperimentazione anche mediante sistemi di IA e machine learning.
4. Da ultimo, l’art. 10 apporta una serie di modifiche alla disciplina del Fascicolo Sanitario Elettronico (FSE), dei sistemi di sorveglianza del settore sanitario e del governo della sanità digitale, con il fine di promuovere l’utilizzo di sistemi di AI a supporto delle attività di cura e di assistenza territoriale.
La nascita dell’AGENAS
Al riguardo, il legislatore ha deciso di istituire una specifica piattaforma nazionale di AI da parte dell’AGENAS, quale Agenzia nazionale per la sanità digitale, che verrà alimentata con i dati strettamente necessari trasmessi dai rispettivi titolari e che si porrà il file di erogare servizi di supporto a:
- professionisti sanitari, per la presa in carico degli assistiti;
- medici, come ausilio nella pratica clinica quotidiana;
- utenti e pazienti, al fine di facilitare l’accesso ai servizi sanitari, quali quelli erogati dalle Case della Comunità.
L’AGENAS, quale titolare del trattamento dei dati raccolti e generati dalla piattaforma, avrà infine il compito di stabilire, con un proprio provvedimento, le categorie di dati trattati e le operazioni di trattamento eseguite. Dovrà, poi, determinare le misure tecniche e organizzative adeguate a garantire la sicurezza e a proteggere i diritti e gli interessi degli interessati, così come previsto dal GDPR.
Le istruzioni operative: cosa devono sapere gli operatori della sanità
Come detto, se da un lato sono numerosi i vantaggi che i sistemi di AI possono offrire al mondo della sanità (tra cui, ad esempio, il miglioramento della salute dei pazienti, l’aumento della produttività degli operatori sanitari e la creazione di esperienze sanitarie personalizzate), dall’altro è necessario che questi vengano utilizzati responsabilmente, proprio al fine di garantire la tutela dei diritti e delle libertà delle persone fisiche.
Ma non solo. I sistemi di AI devono sempre tenere in considerazione la centralità della persona, favorendo un approccio antropocentrico e la necessità di evitare discriminazioni rispetto all’accesso e alla fruibilità delle prestazioni sanitarie.
Anche sotto l’aspetto della protezione dei dati personali è fondamentale garantire il rispetto e la concreta applicazione dei principi sanciti dal GDPR.
Quali sono, quindi, le principali istruzioni da fornire agli addetti del settore sanità?
Anzitutto è necessario mappare i sistemi di AI in uso al fine di classificarli sulla base dei criteri sanciti dall’IA Act e di comprendere che questi vengano unicamente utilizzati quale supporto nei processi di prevenzione, diagnosi e cura dei pazienti.
È, poi, necessario garantire una chiara e semplice informazione in favore dei pazienti, che devono sempre essere messi nella condizione di comprendere non solo le finalità e le modalità del trattamento dei loro dati personali, ma anche dei rischi connessi ad un illecito uso dei sistemi di AI.
Altro aspetto da non trascurare è la sicurezza dei sistemi di AI. È, infatti, necessario che questi vengano periodicamente verificati e mantenuti aggiornati anche al fine di ridurre al minimo il configurarsi di errori: come? Predisponendo policy di sicurezza che siano rispettose anche delle linee guida emanate da AGENAS e organizzando audit finalizzati a verificare i requisiti di sicurezza, equità, accuratezza e protezione dei dati personali.
Last but non least l’attività di formazione. È importante che vengano organizzate attività di sensibilizzazione e formazione circa i benefici e i rischi dei sistemi di AI, al fine di consentire agli esercenti la professione sanitaria un uso consapevole e responsabile degli stessi.
Conclusioni
La Legge n.132 rappresenta sicuramente un grande punto di svolta e di apertura per favorire l’implementazione dei sistemi di AI nel settore sanitario. Tuttavia, per poter consentire ai sistemi di intelligenza artificiale di diventare un valido ed efficace alleato, sarà necessario che gli operatori del settore sanitario adottino un approccio proattivo, investendo in governance, sicurezza dei dati e formazione.
Solo così sarà possibile sfruttare appieno tutte le potenzialità dei sistemi di AI nel rispetto della dignità, della fiducia e della sicurezza dei pazienti.
