La sanità e l’intelligenza artificiale, il ruolo dell’Italia

Introduzione

Con l’entrata in vigore della legge n. 132 del 2025 l’Italia sta occupando un posto centrale a livello europeo in materia di regolamentazione dell’intelligenza artificiale in ambito sanitario.

Con la legge n. 132 l’Italia, di fatto, è il primo paese dell’UE a recepire formalmente l’AI Act. Tuttavia vi sono (e vi saranno ancora per diverso tempo) interrogativi che potrebbero comportare rischi per una applicazione, a livello pratico, della normativa in questione.

Nel corso degli anni con l’introduzione delle leggi in materia di riservatezza e protezione dei dati personali (anche quelli relativi alla salute di una persona fisica) sono stati oggetto di indagine e tutela in quanto dati strettamente personali e quindi si tratta di dati legati allo stato di salute di una persona. Già nel 1981 con la raccomandazione n. 81 il comitato dei ministri del Consiglio d’Europa era intervenuto ad evidenziare come “i criteri di gestione delle banche di dati sanitari automatizzate, fornendo una serie di importanti direttive per l’utilizzo di tali banche dati, nei limiti in cui la coeva Convenzione di Strasburgo ne consentiva la creazione”. Importante è il riferimento che la Raccomandazione su citata presenta al punto 5.4 che così recita “senza il consenso espresso e cosciente della persona interessata, l’esistenza e il contenuto di un dossier sanitario che la riguardi non può essere comunicato a persone o organismi fuori dal campo delle cure mediche, della sanità pubblica o della ricerca medica, a meno che una tale comunicazione non sia permessa dalle regole del segreto professionale dei medici”. Tale affermazione a dimostrazione dell’importanza e della necessità di garantire e tutelare dati che consentono l’individuazione della persona alla quale essi sono riferiti o riferibili

I dati sanitari sono dati estremamente sensibili e che richiedono forme di protezione elevate perché stiamo parlando di dati personali e con il Regolamento europeo per la protezione dei dati personali (GDPR) è stato introdotto trattamento necessario e trattamento accessorio all’erogazione dei dati sanitari.[1]

La complessità della materia, in un’epoca in cui i sistemi informatici non erano diffusi come oggi, aveva già fatto sorgere la delicata questione relativa al rapporto sussistente tra rispetto della vita privata dell’individuo-paziente e il suo diritto, costituzionalmente riconosciuto, ad essere curato (art. 32 Cost.) con le più avanzate tecniche sanitarie.                  

La tutela dei dati sanitari nelle normative antecedenti il GDPR e il Reg. UE 679 del 2016

La legge n. 675 del 1996 è stata la prima legge nazionale in materia di riservatezza ed già all’epoca erano state previste delle disposizioni inerenti il trattamento dei dati particolari come quelli relativi alla salute.

Si parlava, già all’epoca, di dati sensibili (facendoli rientrare nella nozione più ampia di dato personale)

La materia relativa ai dati  sensibili viene trattata anche quando vengono presi in considerazione i dati sanitari cioè “i dati inerenti alla   salute più o meno specificamente sanitari”. Si tratta di una disposizione che prevede che chi esercita professioni sanitarie e gli organismi sanitari pubblici possano procedere al trattamento di dati dai quali potrebbero emergere informazioni sullo stato di salute di un individuo.

Non è sufficiente aumentare i grado di tutela perché questi dati possano essere considerati protetti al punto da incrementare il livello di segretezza degli stessi.

I dati sanitari, che sono considerati dati sensibili dal legislatore stesso, presentano “a loro volta aspetti del tutto peculiari rendendo veramente difficoltosa la valutazione comparatistica” con altri interessi riconosciuti da altre disposizioni della legge presa in considerazione.[2]

Con l’introduzione del Codice Privacy con il decreto legislativo n. 196 del 2003 è stato espressamente previsto al titolo V la materia relativa al trattamento dei dati sanitari.

Il decreto legislativo n. 196 ha, quindi, apportato modifiche alla previgente disciplina della L. 675/1996 dedicando l’intero titolo V a questa materia che “rappresenta dunque una normazione composita, che, nell’aspirazione ad un generale riordino sistematico, ha cancellato fonti di rango secondario come quelle regolamentari ma che si completa ancora con disposizioni in materia sanitaria […]”.[3]

Il legislatore si è voluto soffermare sul contesto nel quale avviene il trattamento e ciò è confermato dal fatto che in ambito sanitario il trattamento dei dati avviene sia da parte di chi opera nell’ambito sanitario sia da parte degli organismi sanitari pubblici.

Con l’introduzione del Codice Privacy del 2003 fu assegnato un ruolo centrale alla materia relativa al consenso dell’interessato perché considerato e ritenuto “presupposto legittimante e condizione di liceità del trattamento dei dati personali”.[4] 

L’apparato normativo introdotto con il Codice del 2003 ha evidenziato fin da subito la necessitò di “riservare un trattamento specifico ai dati inerenti alla salute, specie quando trattati nel contesto sanitario”.[5]

L’introduzione del nuovo Regolamento europeo per la protezione dei dati personali (Reg UE 2016/679) e le modifiche apportate al Codice Privacy del 2003 con il D. Lgs. 101/2018 hanno sollevato dubbi, dal punto di vista interpretativo, per chi si occupa del trattamento dei dati sanitari. Oggi si parla di banche dati sanitari che permettono da un lato una migliore gestione delle informazioni relative ad un paziente, ma dall’altro vi è il rischio, spesso concreto, che queste banche dati vengano attaccate da malware e hacker con la conseguenza di una perdita di dati strettamente personali riguardanti persone fisiche. Con il nuovo Regolamento 2016/679 i dati relativi alla salute trovano all’art. 4 paragrafo 1 n. 15 una apposita definizione.

Il considerando n. 35 fornisce, in realtà, una specificazione in quanto prevede che “nei dati personali relativi alla salute dovrebbero rientrare tutti i dati riguardanti lo stato di salute dell’interessato che rivelino informazioni connesse allo stato di salute fisica o mentale passata, presente o futura dello stesso. Questi comprendono informazioni sulla persona fisica raccolte nel corso della sua registrazione al fine di ricevere servizi di assistenza sanitaria o della relativa prestazioni di cui alla direttiva 2011/24/UE del Parlamento europeo e del Consiglio […]”.[6]

Inoltre, va evidenziato che l’art. 9 paragrafo 1 GDPR vieta il trattamento dei dati che possano rivelare informazioni e possano identificare una persona fisica e tra questi sono inseriti proprio i dati sanitari. Ma proseguendo nell’analisi il paragrafo 2 del medesimo articolo individua delle condizioni di liceità aventi valenza generale ovvero il consenso espresso dell’interessato, la necessità del trattamento legato all’ambito lavorativo, o l’aver reso personalmente pubblici i propri dati personali. Di conseguenza, il nostro Decreto Legislativo n. 101 del 2018 all’art. 2 sexties ha ricompreso tutti i trattamenti “che possono ritenersi effettuati per motivi di rilevante interesse pubblico […]”[7]

Il decreto legislativo del 2018, norma di adeguamento al GDPR, ha mantenuto, nella sostanza, la previgente normativa del 2003 apportando, tuttavia, alcune modificazioni alle norme relative alle regole deontologiche. Il D. Lgs. 101/2018 ha mantenuto, in riferimento all’art. 110 Codice Privacy, quanto già statuito riguardo gli scopi scientifici e di ricerca. Con l’art. 2 septies sono state introdotte “Misure di garanzia per il trattamento dei dati genetici, biometrici e relativi alla salute” e prevede, richiamando l’art. 9 paragrafo 4 GDPR, che i dati genetici, quelli biometrici, i dati relativi alla salute di un individuo possano “essere oggetto di trattamento in presenza di una delle condizioni di cui al paragrafo 2 del medesimo articolo ed in conformità alla misure di garanzia disposte dal Garante […]”.

Tuttavia, nonostante il carattere comunitario del Regolamento del 2016, il legislatore europeo ha lasciato agli Stati membri, come previsto al paragrafo 4, la possibilità di mantenere oppure prevedere l’introduzione di ulteriori condizioni o limitazioni al momento del recepimento della normativa comunitaria. Da qui deriva l’impossibilità di attuare una vera e propria unificazione normativa, come invece era stato inizialmente auspicato.

Sanità e intelligenza artificiale

L’articolo 8 della legge n. 132 del 2025 può essere considerato il ‘cuore’ della riforma perché considera di rilevante interesse pubblico il trattamento dei dati personali, compresi quindi quelli sanitari, per la ricerca sullo sviluppo dell’intelligenza artificiale.

La norma in questione prevede che i dati vengano sottoposti ad alcuni procedimenti: anonimizzazione, pseudonomizzazione, sintetizzazione.

Quando parliamo di anonimizzazione siamo di fronte ad un procedimento che renderà non più identificabili i dati. Quando parliamo di dataset sanitari anonimizzati non si è più possibilitati ad addestrare i modelli predittivi di intelligenza artificiale.

Quando si parla di pseudonomizzazione si ha, invece, la possibilità di reidentificare i dati ma sorge comunque il dubbio di quale può essere il confine o il limite entro il quale si dato si può considerare protetto perché la legge non da risposte e/o soluzioni tecniche per effettuare una valutazione adeguata tra pseudonomizzazione robusta e pseudonomizzazione fragile[8].

Per la prima volta il Comitato europeo per la protezione dei dati (EDPB) ha introdotto delle linee guida sulla pseudonomizzazione fornendo una definizione della pseudonomizzazione nel diritto UE vista la richiesta e l’esigenza di chiarezza normativa in questo ambito sempre più importante e tecnicamente delicato.

L’introduzione nel nostro ordinamento nazionale della legge n. 132 individua misure e prescrizioni nel settore sanitario sempre più toccato dalla rivoluzione digitale e dall’introduzione delle tecnologie che utilizzano l’intelligenza artificiale ovviamente restando entro i confini previsti dalla legislazione nazionale e comunitaria.

Diventa sempre più importante e centrale il ruolo del DPO e del Responsabile del trattamento dati perché chiamati a supportare il titolare del trattamento in un contesto sempre più diretto all’uso dell’intelligenza artificiale (compreso il settore sanitario).

La legge n. 132 dedica quattro articoli (dall’art. 7 all’art. 10) al tema di cui stiamo  discutendo in quanto è stato disciplinato l’uso dell’intelligenza artificiale in ambito medico-sanitario e di conseguenza occorre avere una attenzione ancora più alta al tema del trattamento dei dati sanitari secondo quanto disposto dal GDPR.

I sistemi di intelligenza artificiale saranno sempre più addestrati e utilizzati in ambito sanitario perché possono (e potranno) rappresentare un vero e proprio supporto al personale medico e sanitario per attività di prevenzione, diagnosi, cura, scelta delle terapie più adatte ad ogni singolo paziente. Tuttavia, ciò che deve essere evidenziato è che la scelta della terapia dovrà comunque spettare al medico.

I sistemi di intelligenza artificiale dovranno essere sempre aggiornati e verificati perché chiaramente è fondamentale ridurre al minino i rischi e garantire il più alto grado di sicurezza per i pazienti che dovranno essere obbligatoriamente informati nel caso in cui si faccia uso di intelligenza artificiale a supporto dell’attività medica e clinica.

Il ricorso all’intelligenza artificiale in ambito sanitario può portare anche ad una ottimizzazione nell’uso delle risorse sanitarie perché può portare anche ad una ottimizzazione dell’uso dei posti letto negli ospedali cercando di ottimizzare costi e benefici.

Conclusioni

La continua evoluzione tecnologica negli ultimi anni e l’incremento dell’uso delle nuove tecnologie da parte della comunità ha portato il legislatore sia comunitario che nazionale ad intervenire per tutelare l’integrità dei dati sensibili del singolo. Oggi possiamo parlare di ‘sanità elettronica’ ovvero le moderne tecnologie dell’informazione al servizio della sanità.

Nel tempo il servizio sanitario ha visto una vera e propria digitalizzazione portando da una parte, vista anche la maggiore richiesta, ad aumentare il numero delle prestazioni, dall’altra a ridimensionare il costo del sistema.

Il fascicolo sanitario elettronico è, oggi, uno strumento con il quale l’utente-paziente può prendere visione della sua storia clinica e condividere con i medici questi dati e queste informazioni per ottenere un servizio più efficiente. In Italia questo strumento ha avuto definizione normativa nel 2012 con il decreto legge n. 179, che ha colmato una lacuna che all’art. 12 ne ha fornito una definizione considerandolo come “l’insieme dei dati e documenti digitali di tipo sanitario e socio-sanitario generati da eventi clinici presenti e trascorsi, riguardanti l’assistito”.

Senza dubbio l’evoluzione tecnologica e lo sforzo del legislatore, sia comunitario che nazionale, con l’introduzione del GDPR e del successivo decreto legislativo di recepimento e da ultimo anche l’AI ACT e la legge n.132 del 2025 hanno apportato un profondo mutamento alla materia relativa ai dati sanitari. L’elaborazione di una definizione della materia ha evidenziato l’importanza data dal legislatore per garantire un diritto fondamentale costituzionalmente riconosciuto come quello alla salute, senza tuttavia tralasciare il ruolo fondamentale della prestazione del consenso da parte del soggetto interessato affinché un dato sensibile, quale è il dato sanitario, potesse essere considerato sicuro e ‘protetto’.[9]                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                             

[1] https://www.cybersecurity360.it/legal/privacy-dati-personali/trattamento-dei-dati-sanitari-alla-luce-del-gdpr-il-quadro-normativo/

[2] E. Pellecchia “all’interno dell’ampia nozione di ‘dato personale’ si individua dunque una sottoclasse, cui vengono ascritti dati che, in ragione dei valori coinvolti, della natura delle informazioni trattate e del contesto in cui il trattamento è effettuato, sono ritenuti dal legislatore meritevoli di particolare attenzione”, in Commento sub art. 22 L. 31 dicembre 1996, n. 675, in Nuove Leggi Civili Commentate, CEDAM, 1/1999, p. 533 ss.

G. Cavallari, https://iusinitinere.it/i-dati-sanitari-e-levoluzione-normativa-nazionale-e-comunitaria-fino-allintroduzione-del-regolamento-ue-2016-679/ 

[3] D. Poletti, commento sub art. 76 D. Lgs. 196/2003,in C.M. Bianca,F.D. Busnelli, Commentario al Codice  Privacy, CEDAM 2007, p. 1203.

[4] C. Rauccio, Trattamento dei dati sanitari, alla luce del GDPR: il quadro normativo,  qui disponibile : https://www.cybersecurity360.it/legal/privacy-dati-personali/trattamento-dei-dati-sanitari-alla-luce-del-gdpr-il-quadro-normativo/

[5] D. Poletti, commento sub art 75 D.lgs 196/2003 in Commentario al codice privacy 2003, C.M. Bianca, F.D. Busnelli, CEDAM, 2007, p. 1205

[6] P. Guarda, I dati sanitari, in i dati personali nel diritto europeo, a cura di V. Cuffaro, R. D’Orazio, V. Ricciuto, Giappichelli, 2019, p. 592.

[7] P. Guarda, I dati sanitari, in i dati personali nel diritto europeo, a cura di V. Cuffaro, R. D’Orazio, V. Ricciuto, Giappichelli, 2019, p. 592

[8] Pseudonimizzazione: linee guida, analisi e impatti sulla sicurezza dei dati personali - ICT Security Magazine 

[9] G. Cavallari I dati sanitari e l’evoluzione normativa nazionale e comunitaria fino all’introduzione del Regolamento UE 2016/679 – IUS In Itinere