La gestione dei dati sanitari è al centro di una trasformazione che riguarda l’intero ecosistema della salute. Questa evoluzione tecnologica sta ponendo molti interrogativi sull’uso, la protezione e la condivisione delle informazioni dei pazienti. Le normative di conseguenza devono seguire l’evolversi delle innovazioni tecnologiche. È il caso della Legge 132/2025, che disciplina l’uso dell’intelligenza artificiale (AI) integrando il relativo regolamento europeo.
Conferma Nicola Bernardi, Presidente di Federprivacy: «Il sistema sanitario sta passando da una logica di conservazione e protezione del dato a una logica di circolazione controllata dell’informazione sanitaria». Il dato clinico non è più legato alla singola prestazione o struttura, ma accompagna il paziente lungo l’intero percorso assistenziale: ospedale, medicina territoriale, specialistica, telemedicina, prevenzione e ricerca.
«Il GDPR aveva già anticipato questo cambiamento, e lo stesso titolo del Regolamento europeo aveva dichiarato l’obiettivo di puntare alla protezione delle persone fisiche riguardo al trattamento dei loro dati personali, favorendone la loro libera circolazione», chiarisce il Presidente di Federprivacy.
Si tratta comunque di informazioni attentamente tutelate. I dati relativi alla salute sono qualificati dall’art. 9 del GDPR come categorie particolari di dati personali, ma il fatto che si tratti di informazioni sensibili non significa che siano “inutilizzabili”: possono essere trattati quando necessario per finalità di diagnosi, assistenza e terapia sanitaria o gestione dei sistemi e servizi sanitari, sotto responsabilità di professionisti soggetti al segreto professionale. Chiarisce Bernardi: «Anche se spesso osserviamo moduli di richiesta di autorizzazione per trattare i dati erroneamente sottoposti alla firma dei pazienti, non è però il consenso la base giuridica principale della cura, perché il presupposto per trattare lecitamente tali informazioni sensibili risiede nell’interesse pubblico in ambito sanitario e nell’erogazione della prestazione».
«Il sistema sanitario sta passando a una logica di circolazione controllata dell’informazione sanitaria»
Oggi l’evoluzione normativa europea – in particolare lo Spazio Europeo dei Dati Sanitari (EHDS) – rafforza questa impostazione: la sfida non è impedire la condivisione, ma governarla. Si introducono concetti come accesso selettivo, tracciabilità degli accessi, minimizzazione e separazione tra uso per la cura e uso per ricerca o programmazione sanitaria.
«L’obiettivo di questo nuovo regolamento europeo – prosegue Bernardi – è quello di istituire un quadro comune per l’uso e lo scambio di dati sanitari elettronici in tutta l’UE, a vantaggio dei pazienti, degli operatori del settore e delle autorità regolatorie. I cittadini europei potranno accedere più facilmente ai propri dati sanitari e avere un maggior controllo su di essi. Al contempo sarà possibile, a certe condizioni, trattare tali dati per un loro uso secondario per finalità di ricerca e innovazione, attività regolatorie o statistiche, nonché per l’elaborazione di politiche sanitarie. Nel quadro europeo, l’intelligenza artificiale applicata alla sanità rientra tra i sistemi ad alto rischio. Questo significa che può essere utilizzata, ma solo a precise condizioni».
Oggi la sfida non è impedire la condivisione, ma governarla
Il trattamento organizzato dei dati
L’innovazione tecnologica sta ridisegnando i confini della pratica clinica quotidiana in materia di privacy, perché la digitalizzazione ha trasformato il dato sanitario da informazione statica a dato “in movimento”. Sempre più svincolato dalla carta e sempre più digitale. Ora tutto viaggia su molti canali: televisite, refertazione online, fascicolo sanitario elettronico, piattaforme regionali e dispositivi domiciliari fanno sì che l’informazione sanitaria venga trattata in contesti molto più ampi rispetto al perimetro fisico della struttura.
Afferma Bernardi: «Questo ha un effetto diretto sulla pratica clinica quotidiana. Il GDPR ha introdotto il principio di “accountability”: non basta rispettare formalmente la norma, ma la struttura sanitaria deve essere in grado di dimostrare di aver organizzato il trattamento in modo sicuro e proporzionato. Significa, ad esempio, profilare gli accessi al fascicolo sanitario, limitare la consultazione ai soli operatori coinvolti nella cura, adottare sistemi di autenticazione adeguati e registrare i log degli accessi informatici».
«Per il professionista sanitario la privacy diventa quindi parte dell’atto professionale»
«Per il professionista sanitario, la privacy diventa quindi parte dell’atto professionale – prosegue Bernardi – Consultare il fascicolo di un paziente non in cura, utilizzare credenziali condivise, trasmettere informazioni sanitarie tramite canali non idonei o conservare referti su dispositivi personali non sicuri sono azioni che non solo possono comportare violazioni amministrative del GDPR e avere conseguenze sotto il profilo deontologico, ma incidono sulla sicurezza delle informazioni cliniche e sulla fiducia del paziente».
«Il legislatore sta progressivamente spostando l’attenzione dal consenso informato formale alla corretta organizzazione del trattamento. Le strutture devono adottare procedure interne, formare il personale e valutare preventivamente i rischi con valutazioni d’impatto quando introducono nuove tecnologie sanitarie digitali, specialmente se queste utilizzano soluzioni di intelligenza artificiale».
Una nuova fase e maggiori responsabilità
La Legge 132/2025 (che recepisce i principi del Regolamento europeo sull’AI Act) stabilisce i principi per l’uso corretto dei sistemi di AI. La sanità digitale entra in una nuova fase, segnata da maggiori responsabilità per professionisti e strutture sanitarie. Le norme devono stabilire i confini entro cui è possibile agire.
Spiega Bernardi: «Nel quadro europeo, l’intelligenza artificiale applicata alla sanità può essere utilizzata, ma solo a precise condizioni: supervisione umana, trasparenza, qualità dei dati di addestramento, gestione dei rischi e documentazione delle prestazioni del sistema. La normativa è chiara: l’AI non sostituisce il giudizio clinico. Il professionista deve poter comprendere il funzionamento del sistema, interpretarne l’output e, se necessario, discostarsene motivatamente. È il principio della “Meaningful Human Oversight”, ovvero una supervisione umana significativa. Un algoritmo può segnalare una probabilità diagnostica, ma la decisione resta un atto riservato al medico».
Il ruolo centrale e insostituibile del medico
Le responsabilità maggiori ricadono soprattutto sulle strutture sanitarie. Prima dell’adozione di un sistema di AI occorre valutarne l’impatto, verificarne l’affidabilità, definire le modalità d’uso e formare gli operatori. Prosegue Bernardi: «Dal punto di vista della protezione dei dati, questo implica anche valutazioni di impatto privacy e attenzione ai possibili “granchi” che a volte può prendere l’intelligenza artificiale (bias algoritmici). Queste situazioni in sanità possono tradursi in discriminazioni o veri e propri errori clinici. Un esempio? In un caso che aveva catturato l’attenzione dei media, gli algoritmi di un sistema di diagnostica avevano raccomandato ai pazienti ad alto reddito di fare ulteriori accertamenti con una risonanza magnetica; mentre a quelli con un reddito più modesto veniva consigliato di non sottoporsi a ulteriori test, penalizzando così le loro possibilità di poter decidere di fare eventualmente un sacrificio economico per tutelare meglio la loro salute».
Il medico in ogni caso svolge sempre e comunque un ruolo centrale e insostituibile nel percorso di diagnosi e cura del paziente. Ribadisce Bernardi: «In realtà l’AI non riduce il suo ruolo, ma lo qualifica ulteriormente. Più il sistema tecnologico è sofisticato, più diventa essenziale la capacità del professionista di contestualizzare il risultato, spiegare al paziente il processo decisionale e assumersi la responsabilità finale della cura. L’intelligenza artificiale resta uno strumento potente, ma la responsabilità terapeutica rimane necessariamente umana. Naturalmente, il professionista sanitario deve evolversi con i tempi, e curare il proprio aggiornamento con una visione strategica, includendo nella formazione non solo i temi strettamente medici – su cui si concentra la sua professione – ma anche quelli della governance dei sistemi di intelligenza artificiale e quelli della protezione dei dati». In tal modo il professionista sarà in grado di affrontare le sfide del prossimo futuro.
