One Health PNRR Sanità Governance Telemedicina Fascicolo Sanitario Elettronico Digital Twin Remote Patient Monitoring Digital Health Digital Pharma Startup Intelligenza Artificiale Big data Realtà virtuale e realtà aumentata Cloud & Storage Robotica

Normativa

Legge sull’AI: cosa cambia per la Sanità

Home Intelligenza Artificiale
Indirizzo copiato

AI e Dati Sanitari: la Legge Italiana 132/2025 è destinata ad avere un impatto importante nel settore sanitario, in particolare sulla valorizzazione secondaria dei dati per la ricerca e la sperimentazione scientifica. Ecco come ridefinisce le regole del gioco

Pubblicato il 7 nov 2025
Maria Rita Sechi

Responsabile della Protezione dei Dati (DPO) Fondazione Policlinico Universitario Campus Bio-Medico di Roma

legge AI sanità

Lo scorso settembre è stato foriero di importanti novità per la protezione e l’uso dei dati personali.

Il 4 settembre è stata pubblicata la tanto attesa sentenza Deloitte che ha ridefinito il concetto di dato pseudonimizzato, aprendo, di fatto, scenari interpretativi e applicativi nuovi, ma anche piuttosto incerti.

Infatti, secondo la Corte di Giustizia dell’Unione Europea, un dato pseudonimizzato non è automaticamente un dato personale, ma diventa tale solo se esiste la possibilità di “re-identificare” l’interessato utilizzando mezzi ragionevoli.

Il focus diventa quindi tecnico e tecnologico e si fa trepidante l’attesa delle indicazioni che il Comitato europeo per la protezione dei dati (EDPB) darà con le sue Linee Guida in materia di misure di anonimizzazione e di pseudonimizzazione, da tempo ormai in cantiere.

Ddl Intelligenza Artificiale: Italia primo Paese con una legge nazionale sull’AI

Il 17 settembre, invece, è toccato al legislatore italiano aggiungere un importante tassello al quadro normativo, già piuttosto articolato, in materia di protezione e uso dei dati personali, con l’approvazione del ddl sull’Intelligenza Artificiale.

L’Italia è il primo Paese europeo ad essere intervenuto, con una legge nazionale, in materia di AI definendo competenze, individuando le autorità nazionali per il monitoraggio (AGID) nonché di controllo e sanzionatorie (ACN). Ma soprattutto, con questa legge vengono stabiliti i canoni per l’applicazione dei sistemi di intelligenza artificiale in settori importanti come la Sanità e la ricerca scientifica.

Come sfondo permane la critica, neanche più troppo velata, che buona parte dell’Europa fa al Regolamento Europeo sulla Protezione dei Dati Personali (o GDPR) accusato, addirittura, di essere un ostacolo per l’innovazione e lo sviluppo tecnologico dell’Europa.

L’analisi della legge italiana sull’AI: quale impatto sulla Sanità?

In questo scenario, diventa inevitabile chiedersi come si colloca la neonata legge italiana 132/2025.

Come scritto all’art. 1, la legge deve essere letta ed interpretata alla luce del Regolamento (UE) 2024/1689, noto come Regolamento sull’Intelligenza artificiale (o AI Act), e del GDPR al quale l’AI Act rimanda; ed è destinata ad avere un impatto importante nel settore della sanità, in particolare sulla valorizzazione secondaria dei dati per la ricerca e la sperimentazione scientifica.

Ed è nell’art. 8 che il legislatore stabilisce le “regole del gioco” per questi ambiti.

In primo luogo, al comma 1, il legislatore delimita tassativamente il perimetro di applicazione della norma individuando un ambito oggettivo costituito dai “trattamenti di dati anche personali e di quelli particolari/sensibili, rivolti a ricerca, sperimentazione scientifica nella realizzazione di sistemi di intelligenza artificiale finalizzatialla prevenzione, diagnosi, cura di malattie, sviluppo di farmaci, terapie e tecnologie riabilitative, realizzazione di apparati medicali, salute pubblica, incolumità della persona; nonché a quei trattamenti rivolti alla: ricerca e sperimentazione scientifica nella realizzazione di sistemi di intelligenza artificiale finalizzatiallo studiodella fisiologia, della biomeccanica e della biologia umana anche in ambito non sanitario in quanto necessari alla realizzazione e all’utilizzazione di banche dati e modelli di base”.

Di particolare interesse è l’identificazione dell’ambito soggettivo fatta sempre al comma 1.

La norma, infatti, si applica a “soggetti pubblici e privati senza scopo di lucro, IRCCS + soggetti privati operanti nel settore sanitario nell’ambito di progetti di ricerca a cui partecipano soggetti pubblici e privati senza scopo di lucro”.

Non passa inosservato che, sul piano soggettivo, le aziende private non potranno trattare senza consenso dati personali, anche sensibili, per fare ricerca e sperimentare sistemi di AI sanitaria da sole.

Uso secondario dei dati

Al comma 2, invece, si prevede la possibilità del c.d. uso secondario dei dati personali e particolari a condizione che questi vengano privati degli elementi identificativi diretti. Quindi, per poter fare “uso secondario dei dati” sarà necessario dotarsi di tecnologie adeguate a realizzare delle robuste pseudonimizzazioni o anonimizzazioni dei dati personali.
Le soluzioni dovranno essere valutate a partire dalla conformità normativa in materia di dati personali e alle sue evoluzioni.

Tutto questo, inevitabilmente avrà degli impatti in termini organizzativi sui soggetti che vorranno fare ricerca e sperimentazione di sistemi di AI, perché dovranno assicurare, per ogni progetto, una corretta identificazione e strutturazione del dataset e la sua modalità di pseudonimizzazione o anonimizzazione.

Anonimizzazione, pseudonimizzazione e sintetizzazione di dati sanitari

Ma è indubbiamente il comma 3 quello che ha creato più “fibrillazione”, perché il legislatore ha riconosciuto una base giuridica nuova (la legge italiana stessa) a trattamenti come l’anonimizzazione, la pseudonimizzazione e la sintetizzazione di dati sanitari, che prima, invece, potevano essere eseguiti esclusivamente con il consenso dell’interessato.

Tuttavia, questa base giuridica si applica solo se tali trattamenti rientrino nelle attività di ricerca e sperimentazione scientifica di sistemi di AI finalizzati a quanto previsto nel comma 1 (alla prevenzione, diagnosi, cura, sviluppo di farmaci, ecc.) o siano rivolti ad attività di programmazione, gestione, controllo e valutazione dell’assistenza sanitaria (c.d. finalità di Governo della salute).

Sicuramente, si è facilitato l’accesso ai dati personali anche sensibili e alla loro sintetizzazione, ma a condizione di utilizzare soluzioni di anonimizzazione, pseudonimizzazione e sintetizzazione che rispondano a quanto richiesto dalla normativa sulla privacy. Infatti, la sintetizzazione quale processo di creazione di dati fittizi, generati artificialmente, non basta ad assicurare laprivacy, se essa non viene accompagnata con continuità da opportune misure di valutazione del rischio.

Ad oggi, manca una definizione autentica di dato sintetico e dei requisiti che questo deve avere così come mancano regole chiare sulle modalità di sintetizzazione, che tengano conto sia degli aspetti tecnico-informatici che dei profili più giuridici ed etici. Decisivo sarà quindi il ruolo di AGENAS, alla quale il legislatore, al comma 4, riconosce la possibilità (ma non l’obbligo), di stabilire ed aggiornare linee guida per le procedure di anonimizzazione e le tecniche di sintetizzazione di cui al comma 3, previo parere all’Autorità Garante per la Protezione dei Dati Personali.

Legge AI e Sanità: il giusto approccio per vincere le sfide dell’innovazione

È indubbio che la legge 132/2025 guarda ad una ricerca scientifica che, specie nel settore medico, biomedico ed epidemiologico, si sta profondamente e velocemente trasformando.

Si assiste ad un’integrazione crescente tra infrastrutture digitali complesse e articolate con sistemi algoritmici e, da adesso, sempre di più anche con dataset sintetici. Questa importante artificializzazione della ricerca rischia di ridurre la ricerca scientifica ad una mera raccolta di dati e, di conseguenza, ne determina una de-umanizzazione.

Se è innegabile che i fornitori di tecnologia stiano acquisendo un ruolo importante nell’ambito della digitalizzazione sanitaria e della ricerca qualificandosi sempre più spesso come importanti partner o addirittura come sponsor nei progetti di ricerca scientifica, è altrettanto innegabile che il governo e la compliance dei dati siano una condicio sine qua non.

Quindi, la protezione dei dati non solo non va rimossa, come fosse il peggiore dei mali, ma va integrata nel processo di analisi e valutazione complessivo sul singolo progetto di ricerca anche in sede di Comitato Etico, nella cui composizione non sono ancora previste competenze privacy specifiche.

Solo un approccio interdisciplinare e multispecialistico consentirà di affrontare e vincere le sfide che l’innovazione tecnologica continuamente porrà davanti, evitando di “scollegare” e allontanare troppo la dimensione umana – e quindi etica – dalla ricerca e dall’innovazione.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Leggi anche:

Argomenti

Canali

Articoli correlati

  • Sanità digitale: cos'è, vantaggi e gli esempi migliori in Italia

  • Sanità Digitale

    Sanità digitale, cos'è: quali strumenti aumentano velocità e multi-canalità delle prestazioni sanitarie

    07 Ott 2025

    Condividi
  • uropean-Health-Data-Space-Sanita-Italia

  • Data-driven One Health

    Verso l’European Health Data Space, tassello fondamentale per abilitare la salute digitale

    14 Feb 2025

    Condividi
  • monitoraggio-remoto-pazienti

  • Telemedicina

    Monitoraggio remoto dei pazienti: esempi, tecnologie e applicazioni

    18 Mag 2023

    Condividi
  • PNRR-Sanità
  • Massimo Mattone

    Think tank

    PNRR e Sanità: se io fossi un manager... chissà cosa farei

    13 Mar 2023

    Condividi