IA e dati sanitari: cosa cambia con l’AI Act e i nuovi controlli del Garante
ai act

Con l’entrata in vigore dell’AI Act, l’Unione Europea ha introdotto una piramide del rischio che posiziona la quasi totalità dei software clinici e diagnostici nella categoria “ad alto rischio”. Questa classificazione non è solo un’etichetta burocratica: implica che ogni algoritmo utilizzato per supportare diagnosi, suggerire terapie o gestire l’accesso ai servizi sanitari debba superare test rigorosi prima di toccare un paziente.

I produttori devono ora garantire una gestione del rischio che copra l’intero ciclo di vita del sistema, assicurando che i dati usati per l’addestramento siano pertinenti, rappresentativi e privi di errori che potrebbero portare a conclusioni cliniche errate.

Il principio della “Human Oversight”: il medico come garante finale

Uno dei cambiamenti più radicali riguarda la fine dell’automatismo decisionale.

L’AI Act e le nuove linee guida italiane pongono l’accento sulla supervisione umana (Human Oversight). Un sistema di IA in corsia non può essere una “scatola nera” imperscrutabile; al contrario, deve essere progettato per essere interpretabile dal personale sanitario. Il medico deve poter comprendere la logica che ha portato l’algoritmo a un determinato suggerimento e, soprattutto, deve avere il potere di disattendere o correggere l’output della macchina in qualsiasi momento. Questo serve a prevenire il cosiddetto “bias di automazione”, ovvero la tendenza umana a fidarsi ciecamente dei suggerimenti tecnologici anche quando sono palesemente errati.

La vigilanza del Garante e la nuova “FRIA” nazionale

In Italia, la convergenza tra l’AI Act e la Legge 132/2025 ha trasformato il Garante per la Protezione dei Dati Personali in una sentinella tecnologica. Oltre alla classica valutazione d’impatto sulla protezione dei dati (DPIA) prevista dal GDPR, le strutture sanitarie devono ora affrontare la FRIA (Fundamental Rights Impact Assessment).

Si tratta di una valutazione d’impatto sui diritti fondamentali: le aziende ospedaliere devono dimostrare che l’uso dell’IA non porti a discriminazioni (ad esempio, priorità di cura basate su parametri distorti) e che non violi la dignità del paziente. Il Garante ha già annunciato ispezioni mirate per verificare la trasparenza degli algoritmi, specialmente quelli che trattano dati genetici o biometrici.

Cronoprogramma della conformità e rischio sanzionatorio

Il tempo delle sperimentazioni non regolamentate è scaduto. Sebbene la piena applicazione dell’AI Act sia prevista per il 2 agosto 2027, molti obblighi (come il divieto di pratiche di IA manipolative o discriminatorie) sono già una realtà. Le strutture che non si adeguano rischiano sanzioni senza precedenti, che possono arrivare a 35 milioni di euro o al 7% del fatturato globale annuo. Questo scenario spinge le software house e le direzioni sanitarie a una corsa contro il tempo per la “compliance by design”: integrare i requisiti legali ed etici già nella fase di programmazione del software, trasformando la normativa da ostacolo a certificazione di qualità e sicurezza per il cittadino.

Un team legale sempre a tua disposizione

Hai bisogno di assistenza legale o vuoi fissare una consulenza personalizzata? Il nostro team di esperti è pronto ad aiutarti con professionalità e rapidità.

Nome