800 561720
Dalla rilevazione delle fratture ossee al pronto soccorso, all’assistenza all’interpretazione in radiologia; dalla stesura assistita di referti, all’organizzazione del flusso di pazienti in sala operatoria o al triage. L’integrazione di sistemi Intelligenza Artificiale (AI) nel settore sanitario determina sfide inedite che impattano sulla gestione delle responsabilità degli operatori, sulla trasparenza delle informazioni rese agli interessati e sulla tutela dei dati sanitari. Partendo dalle recenti raccomandazioni congiunte emanate dalla CNIL, abbiamo individuato le migliori prassi operative per mappare, contrattualizzare e gestire l’AI nel settore della sanità. Una guida ai controlli utile ai DPO, all’interno dell’ampio framework normativo di GDPR e AI ACT.
Nuovi strumenti, nuove sfide per i DPO
L’AI, nelle sue molteplici forme, si sta gradualmente e concretamente integrando nelle organizzazioni sanitarie: assiste nella redazione di referti medici e nelle decisioni dei professionisti, supporta le analisi di laboratorio o di diagnostica per immagini, organizza il triage dei pazienti, aiuta nella supervisione dei malati allettati. Alcuni sistemi di intelligenza artificiale sono chiaramente identificabili come tali, mentre altri possono essere integrati in modo più sottile all’interno di dispositivi medici o tecnologie digitali.
I dati dell’Osservatorio Sanità Digitale del Politecnico di Milano (2025) rivelano che un’ampia fetta di operatori sanitari (fino al 46% dei medici di medicina generale e il 26% degli specialisti) fa già uso di soluzioni di intelligenza artificiale. Inoltre, una recente ricerca della SDA Bocconi ha evidenziato come, in Lombardia, quasi una struttura sanitaria su due avesse già adottato applicazioni di AI nella pratica clinica a metà del 2024.
Il nodo della compliance
Il nodo cruciale della compliance si gioca sull’affidamento algoritmico. Un sistema di intelligenza artificiale, infatti, può svolgere ruoli diversi a seconda della sua posizione rispetto all’attività umana.
- Ruolo supplementare: consente ad esempio di accompagnare un professionista nell’esecuzione di un atto o di un gesto;
- Ruolo sostitutivo: permette la sostituzione di un professionista automatizzando un compito amministrativo privo di valore medico aggiunto;
- Ruolo palliativo: agisce, ad esempio, compensando la mancanza di cure o attività svolte da un professionista sanitario.
In considerazione dei rischi che caratterizzano i diversi gradi di affidamento all’Intelligenza Artificiale in un ambiente clinico, l’introduzione dell’AI deve essere supportata esclusivamente da una logica di miglioramento della qualità dei servizi, della sicurezza ed efficienza dell’assistenza sanitaria. E’ anche compito del DPO presidiare questo confine, assicurando che la macchina supporti l’uomo senza mai sostituirne il giudizio critico.
La guida operativa HAS-CNIL
Conciliare innovazione medica, sicurezza dei dati e conformità normativa è un’operazione complessa per tutti gli stakeholder a vario titolo coinvolti. Al fine di fornire un supporto concreto a tutte le parti chiamate in causa (DPO compresi), la Commissione francese per la protezione dei dati (CNIL) e l’Alta Autorità della Sanità (HAS) hanno pubblicato a inizio marzo 2026, una guida pratica congiunta dedicata al corretto utilizzo dei sistemi di intelligenza artificiale nei percorsi clinici e di cura.
L’intento primario della guida è quello di accompagnare le strutture sanitarie e i professionisti nel garantire che l’utilizzo dell’AI sia al contempo innovativo, clinicamente sicuro e rispettoso dei diritti e delle libertà dei pazienti. Il documento affronta in modo chiaro e conciso le questioni chiave legate all’impiego dell’AI nell’ambito delle cure mediche, fornendo ai Data Protection Officer un vero e proprio manuale dei controlli da svolgere, a partire dalla fase di approvvigionamento dei sistemi di AI.
Approvvigionamento e contrattualizzazione dei sistemi di AI
La compliance di un sistema di AI si costruisce innanzitutto nella fase di selezione e contrattualizzazione del fornitore. Per le strutture sanitarie, l’acquisto di un dispositivo medico o di un software basato sull’intelligenza artificiale non è assimilabile a una normale fornitura IT. Il DPO deve affiancare proattivamente la direzione sanitaria e l’ufficio acquisti sin dalla definizione dei fabbisogni, presidiando alcuni snodi contrattuali e documentali critici.
- Qualificazione dei ruoli privacy e addestramento dell’algoritmo. Il fornitore agirà come mero Responsabile del trattamento (art. 28 GDPR) limitandosi a erogare il servizio, o intende riutilizzare i dati sanitari dei pazienti inseriti nel sistema per “allenare” e migliorare i propri modelli di AI? La guida della CNIL sottolinea l’importanza di definire i ruoli privacy e di selezionare le corrette basi giuridiche del trattamento (deroghe ex art. 9, par. 2, GDPR);
- Garanzie di trasparenza e documentazione tecnica. Il contratto deve esigere dal fornitore una documentazione tecnica chiara ed esaustiva. Il DPO deve poter verificare le metriche di prestazione dell’algoritmo, i limiti del sistema e le logiche di funzionamento. La logica della “scatola nera” (black box) contrasta radicalmente con gli obblighi di trasparenza di GDPR e AI Act;
- Audit e reversibilità. Il contratto deve prevedere e garantire il diritto di audit sui sistemi del fornitore (anche al fine di verificare la reale segregazione tecnica dei dati clinici) e le procedure di reversibilità (resitituzione / cancellazione) dei dati in caso di cessazione del servizio.
Solo un accordo rigoroso tutela la struttura da opacità algoritmiche e da utilizzi secondari illeciti dei dati dei pazienti.
AI literacy: l’alfabetizzazione dei gruppi di lavoro
Il miglior contratto di fornitura risulta vano se i professionisti sanitari non comprendono a fondo il funzionamento e i limiti dello strumento che stanno utilizzando. La guida HAS-CNIL affronta anche questo aspetto, evidenziando come l’introduzione di queste tecnologie richieda un profondo ripensamento delle competenze dei gruppi di lavoro. L’obiettivo è instaurare una vera e propria cultura condivisa dell’AI all’interno delle strutture sanitarie.
In termini pratici, il DPO deve verificare che il piano formativo aziendale copra specifiche aree di rischio.
- Contrasto al “bias di automazione”. Il personale medico deve essere istruito sui tassi di errore fisiologici dell’algoritmo e addestrato a mantenere sempre un approccio critico, evitando un’eccessiva e passiva fiducia nell’output della macchina;
- Igiene dei dati sanitari. Sensibilizzare gli operatori sulle corrette modalità di inserimento dei dati di input nel sistema, prevenendo violazioni accidentali o l’inserimento di dati eccedenti rispetto alle finalità perseguite;
- Gestione del dissenso clinico. Formare i medici su come documentare e motivare adeguatamente un’eventuale deviazione clinica dal suggerimento fornito dall’algoritmo.
E’ essenziale, pertanto, che la formazione erogata includa i profili di data protection (a partire dai principi fondamentali alla base di ogni trattamento) e che sia tracciabile, conformemente al principio di accountability.
Trasparenza scalabile: l’informativa al paziente su tre livelli
Nel settore della salute, l’obbligo di trasparenza, pilastro di GDPR e AI Act, necessita di un approccio pragmatico, stratificato e scalabile. La guida della CNIL raccomanda, prima di tutto, di individuare il perimetro tecnologico mappando tutti i software basati sull’AI in uso, indicandone finalità e impatto.
Una volta censiti i sistemi, la guida suggerisce di declinare l’informazione al paziente su tre livelli distinti e complementari:
- Livello 1 (Informazione generale). Comunicazione istituzionale (tramite affissioni nei reparti, sito web aziendale o all’interno della modulistica di accettazione) che indica preventivamente l’impiego di sistemi di AI come supporto all’attività medica;
- Livello 2 (Informazione specifica). Una comunicazione più mirata e contestuale, fornita dal professionista sanitario (oralmente o tramite un documento sintetico) durante il consulto, ogniqualvolta l’output del sistema AI abbia un impatto diretto e significativo sulla diagnosi o sulla scelta terapeutica;
- Livello 3 (Approfondimento dettagliato). Messa a disposizione di tutte le informazioni tecniche e legali approfondite sul funzionamento dell’algoritmo, i tassi di affidabilità e le logiche di trattamento, facilmente accessibili qualora l’interessato desideri esercitare il proprio diritto di conoscere i dettagli (es. tramite un portale web dedicato).
Questo modello a strati evita il fenomeno della cosiddetta “fatica informativa”, garantendo la massima conformità al GDPR e tutelando al contempo il delicato rapporto di fiducia su cui si fonda la relazione paziente/professionista.
Tracciabilità e monitoraggio continuo
L’implementazione dell’Intelligenza Artificiale non si esaurisce con la sua messa in produzione. Come evidenziato dalla guida della CNIL, la fase di utilizzo clinico richiede un rigoroso presidio in termini di tracciabilità e monitoraggio continuo dei risultati.
Garantire la tracciabilità significa assicurarsi che i sistemi informativi registrino puntualmente quando un algoritmo viene interrogato e quale output produce. Altrettanto cruciale è tracciare la decisione finale del professionista, specialmente nei casi in cui quest’ultimo scelga di discostarsi dal suggerimento dell’AI. Questa “memoria storica” è indispensabile non solo per questioni di responsabilità medico-legale, ma anche per monitorare le performance del sistema nel tempo. Gli algoritmi, infatti, possono subire una fisiologica deviazione delle prestazioni (il cosiddetto data drift o model drift), rendendo essenziale un audit periodico per confermare che l’efficacia e la sicurezza clinica rimangano costanti.
Un manuale a supporto dei DPO
I punti analizzati rappresentano solo una parte dell’ampio lavoro svolto dalla CNIL. Sulla base dei feedback derivanti dall’esperienza sul campo e delle complessità che caratterizzano il settore della salute, la guida elabora raccomandazioni per 11 temi specifici, raggruppati in categorie corrispondenti alle diverse fasi di implementazione e utilizzo dell’AI in ambito medico.
Nel settore della sanità l’adozione di un singolo nuovo strumento può avere molteplici implicazioni. Come abbiamo visto, le applicazioni concrete dell’Intelligenza Artificiale si intersecano con temi quali la gestione delle responsabilità, la sicurezza dei dati, l’esigenza di formare i gruppi di lavoro, la trasparenza degli algoritmi e delle informazioni rese agli interessati, la tracciabilità dell’output ed il monitoraggio dei risultati.
E’ una sfida in continua evoluzione, che richiede un fronte solido per essere affrontata efficacemente. Unisciti all’Associazione e partecipa attivamente al dibattito sulla compliance del futuro.
