Dalla nascita della cultura della privacy in Italia all’avvento dell’intelligenza artificiale, passando per il ruolo strategico dei dati sanitari e la necessità di superare una visione esclusivamente difensiva della protezione dei dati. Con l’avvocato Luca Bolognini, presidente emerito dell’Istituto Italiano per la Privacy e la Valorizzazione dei Dati e founding partner di ICT Legal Consulting, abbiamo ripercorso l’evoluzione di un settore che oggi è diventato centrale per la competitività, la ricerca e la sovranità europea.

Quando l’Istituto Italiano per la Privacy venne fondato, quali erano le sfide che vedevate all’orizzonte? E poi, a distanza di anni, quali ritiene siano stati i risultati più importanti raggiunti a livello di diffusione della cultura della protezione dei dati nel nostro Paese?
«Ai tempi la privacy era ancora principalmente un tema di riservatezza e di conformità che potremmo definire burocratica. C’era molto legalese, molta carta e un approccio decisamente novecentesco alla materia.
Si iniziava a intravedere la presenza di alcune grandi banche dati pubbliche e tutto il tema della privacy gravitava soprattutto attorno al rapporto tra potere pubblico e cittadino. Del resto, questa era una delle principali ragioni per cui in Europa ci eravamo dotati di una disciplina sulla protezione dei dati: tutelare i diritti dell’individuo rispetto all’ingerenza dei poteri pubblici.
Anni fa il tema privacy riguardava il rapporto tra potere (pubblico e privato) e cittadino; poi il focus è cambiato
Esisteva anche una forte attenzione alla tutela della privacy dei lavoratori nel rapporto con il datore di lavoro, ma il baricentro della disciplina era sostanzialmente quello.
Negli anni, però, tutto si è trasformato. La progressiva e pervasiva digitalizzazione della società, l’esposizione volontaria e massiva delle persone online e la crescita di poteri privati sempre più rilevanti hanno cambiato radicalmente lo scenario.
Siamo passati da una tutela della sfera individuale in termini di riservatezza a una dimensione nella quale la protezione dei dati è diventata anche uno strumento di regolazione del mercato. Da un lato protegge i diritti, dall’altro abilita attività e interessi che hanno un peso economico crescente.
Ora la privacy viene vista anche come strumento di regolazione del mercato e di valorizzazione dei dati
Parallelamente è emersa l’altra faccia della medaglia: la valorizzazione dei dati. Un aspetto che in Europa era stato a lungo trascurato da una regolazione concentrata quasi esclusivamente sulla tutela. Solo negli ultimi cinque-dieci anni è diventato evidente che il trattamento e la valorizzazione dei dati, anche personali, rappresentano una leva fondamentale di innovazione e sostenibilità».
Possiamo parlare in qualche modo di battaglie vinte e di opportunità che l’Italia avrebbe potuto cogliere meglio?
«Ci sono certamente aspetti positivi e altri meno positivi.
L’Italia partiva da una buona normativa nazionale. Il Codice Privacy era, per certi versi, persino anticipatore rispetto al GDPR e aveva introdotto una serie di bilanciamenti che riconoscevano la possibilità di utilizzare i dati anche per legittimi interessi dei titolari del trattamento.
Nel 2011, quando l’Istituto aggiunge alla propria denominazione il riferimento alla valorizzazione dei dati, avviene anche un altro passaggio importante. Con il decreto Salva Italia viene eliminata un’anomalia normativa che ostacolava fortemente l’utilizzo di alcune informazioni riferite alle persone giuridiche. Era un limite che avevamo praticamente solo noi e pochi altri Paesi europei. La sua eliminazione dimostrò concretamente come una norma sbagliata possa bloccare sviluppo e innovazione e come una correzione legislativa possa invece liberare potenzialità importanti.
L’Italia è partita con una buona normativa nazionale (il Codice Privacy) ma è rimasta indietro più a lungo sull’utilizzo secondario dei dati per la ricerca sanitaria
Anche il Garante Privacy, negli anni, ha mostrato sensibilità verso le esigenze delle piccole e medie imprese, introducendo margini di semplificazione e bilanciamento.
Dove siamo rimasti indietro più a lungo è stato invece nell’utilizzo secondario dei dati per finalità di ricerca scientifica, soprattutto in ambito sanitario. Anche dopo il GDPR, l’Italia ha mantenuto una postura più rigida rispetto ad altri Paesi europei e per diversi anni non è stata particolarmente aperta al riutilizzo dei dati sanitari per finalità di ricerca».
La sanità è sicuramente il settore in cui il valore del dato e la tutela della persona a cui questi dati appartengono è più delicato. Il percorso del nostro Paese nella valorizzazione dei dati sanitari per la ricerca, la prevenzione e l’innovazione, dal suo punto di vista come si sta muovendo e quali sono i principali ostacoli che vede dal punto di vista culturale, normativo e organizzativo?
«Va detto che la maggiore rigidità mantenuta dall’Italia fino a pochi anni fa era comprensibile. I dati relativi alla salute, e ancor più quelli genetici, comportano rischi elevatissimi per i diritti e le libertà fondamentali delle persone. L’intenzione del legislatore e del regolatore era quindi assolutamente nobile.
Il problema è che, nel frattempo, il quadro è cambiato. Il regolamento europeo aveva aperto a una maggiore utilizzabilità secondaria dei dati sanitari, mentre l’Italia aveva mantenuto limitazioni più stringenti.
Inoltre, il legislatore e il regolatore sembravano non essersi pienamente accorti dell’arrivo delle cosiddette Privacy Enhancing Technologies, le PET, cioè quelle tecnologie in grado di pseudonimizzare, anonimizzare o sintetizzare i dati rendendone possibile l’utilizzo in condizioni di sicurezza.
Queste innovazioni hanno reso possibile dare una seconda vita ai dati sanitari raccolti per finalità di cura, consentendone il riutilizzo per ricerca e innovazione senza compromettere i diritti delle persone.
Le nuove tecnologie e gli aggiornamenti normativi allineano l’Italia all’Europa nell’utilizzo sicuro dei dati sanitari
Far comprendere questo cambiamento non è stato semplice. Credo però che l’Istituto abbia contribuito in modo significativo a diffondere consapevolezza e a favorire un’evoluzione culturale.
Nel tempo sono arrivati risultati concreti. Penso alla modifica dell’articolo 110 del Codice Privacy, che ha eliminato la necessità di autorizzazioni preventive per molte attività di ricerca medico-biomedica ed epidemiologica.
Successivamente sono arrivati ulteriori passi avanti, come l’articolo 8 della legge 132 del 2025, che favorisce l’utilizzo dei dati sanitari per ricerca e sperimentazione di sistemi di intelligenza artificiale e introduce strumenti per l’anonimizzazione, la pseudonimizzazione e la sintesi dei dati anche per finalità amministrative del sistema sanitario.
Si tratta di sviluppi molto importanti e coerenti con quanto sta avvenendo a livello europeo».
Il tema però non è più soltanto proteggere i dati, ma governarne l’utilizzo negli ecosistemi che oggi, e sempre più, domani saranno dominati dall’intelligenza artificiale. In poche parole, secondo lei cambia il concetto di privacy nell’era dell’intelligenza artificiale generativa? Quali sono le nuove responsabilità che ricadono sulle spalle delle istituzioni, delle imprese e dei cittadini?
«La partita non è più sulla semplice riservatezza del dato. Il dato è diventato la materia di cui è fatto tutto il sistema digitale.
È una sorta di quinto elemento che permea ogni attività e che, a seconda di come viene trattato, può incidere sulla qualità dei servizi, sulla competitività delle imprese e persino sulla capacità competitiva di un Paese.
Per questo motivo un legislatore non può più considerare la tutela del dato soltanto come una questione individuale. Protezione e valorizzazione dei dati assumono una rilevanza sistemica e diventano questioni di strategia, competitività e sovranità.
La partita oggi non è scegliere tra privacy e ricerca, ma garantire entrambe attraverso tecnologie e regole adeguate
Il tema non è più tenere i dati chiusi nei cassetti, ma trovare modalità per farli circolare e fluire nel rispetto dei diritti individuali e degli interessi collettivi.
L’Europa sembra aver compreso questa sfida. Lo dimostrano la Strategia europea dei dati, il Data Governance Act, il Data Act, alcuni aspetti del Digital Markets Act e la costruzione degli spazi europei dei dati, il primo dei quali riguarda proprio la sanità.
Stiamo assistendo a un progressivo riequilibrio: non soltanto protezione, ma anche utilizzabilità dei dati, competitività e sostenibilità».
Quali saranno i grandi temi che domineranno il dibattito su dati, privacy e salute digitale nei prossimi dieci anni?
«Ci saranno certamente grandi sfide etiche e di bilanciamento tra innovazione guidata dai dati, crescita economica e tutela dei diritti fondamentali.
Da questo punto di vista considero particolarmente importante il documento Magnifica Humanitas, che offre una riflessione molto profonda sul rapporto tra tecnologia, intelligenza artificiale e dignità umana.
L’Europa e gli Stati membri stanno definendo un quadro sempre più chiaro sulla valorizzazione dei dati: adesso bisogna rendere operative queste regole
Ma la sfida principale sarà un’altra: le norme stanno arrivando. L’Europa e gli Stati membri stanno definendo un quadro sempre più chiaro sulla valorizzazione dei dati. Adesso bisogna rendere operative queste regole.
In questo senso, mi ha colpito molto un recente intervento del presidente della Repubblica Sergio Mattarella: “Vanno messe in atto, adesso, le politiche necessarie, con il passaggio dalla, necessaria, produzione di regole alla operatività. È indispensabile che i governi membri abbandonino timidezze e riserve e che non siano di freno per l’azione comune. La sfida che abbiamo dinanzi è plurale e complessa. È una delle grandi prove del nostro tempo e nessun Paese può immaginare di affrontarla in solitaria”.
A mio avviso evidenzia un punto essenziale: dobbiamo passare dall’epoca della scrittura delle norme all’epoca dell’operatività e dell’effettività. Le regole stanno iniziando a essere fissate in maniera chiara, ma ora devono essere tradotte in progetti concreti e realizzabili. La vera sfida sarà trasformare la progettualità sulla valorizzazione dei dati in fattibilità operativa, combinando le tutele della protezione dei dati personali con le opportunità offerte dalle nuove normative sull’utilizzo secondario dei dati.
Se lei dovesse lasciare un messaggio ai decisori pubblici e privati che oggi stanno progettando il futuro digitale della sanità, quale sarebbe la priorità assoluta su cui si dovrebbe investire per non perdere la sfida dell’innovazione?
«Tavoli integrati e congiunti tra tutte le autorità coinvolte. Servono conferenze di servizi permanenti tra il Garante Privacy e le altre autorità chiamate ad attuare le normative sulla valorizzazione e sull’utilizzo secondario dei dati sanitari.
Soprattutto servono linee guida fondate su casi concreti, non soltanto su principi astratti. Gli operatori devono poter contare su scenari già valutati e condivisi tra le diverse autorità competenti.
Se continueremo a procedere su binari paralleli, senza un reale coordinamento, sarà difficile passare dalle parole ai fatti. Il punto cruciale oggi è proprio questo: trasformare la valorizzazione dei dati da principio normativo a realtà operativa. E questo richiede collaborazione, coordinamento e una visione condivisa».








