42 Law Firm » The Innovation Law Firm
CONTATTACI
42 Law Firm » The Innovation Law Firm
RICHIEDI INFORMAZIONI
42 Law Firm » The Innovation Law Firm
Close

Intelligenza Artificiale in sanità: la Guida HAS-CNIL e il quadro normativo italiano

Introduzione: l’AI in sanità è già realtà

L’intelligenza artificiale è entrata nei processi clinici e organizzativi delle strutture sanitarie con una velocità che ha sorpreso anche i più ottimisti. Dalla refertazione assistita agli strumenti di supporto alla diagnosi, fino ai sistemi di gestione documentale, l’adozione di soluzioni basate su AI sta crescendo in modo significativo. In Italia, il legislatore ha risposto con la legge 23 settembre 2025, n. 132, che introduce per la prima volta disposizioni specifiche sull’uso dell’AI in ambito sanitario.

A questo scenario si aggiunge, sul piano europeo, la consultazione pubblica avviata il 5 marzo 2026 dalla Commission Nationale de l’Informatique et des Libertés (CNIL) e dalla Haute Autorité de Santé (HAS) su un progetto di guida dedicato al buon uso dei sistemi di intelligenza artificiale in contesto di cura. Il documento, pur nato nel contesto francese, affronta questioni che riguardano ormai tutte le strutture sanitarie europee e rappresenta un utile laboratorio regolatorio anche per i professionisti italiani che si occupano di protezione dei dati, compliance sanitaria e governance digitale.

Il quadro normativo italiano: la legge n. 132/2025

La legge 23 settembre 2025, n. 132 introduce il primo quadro organico sull’uso dell’AI in sanità. Il principio cardine è semplice: i sistemi di AI supportano il professionista sanitario, ma non si sostituiscono mai alla decisione medica. La responsabilità clinica resta integralmente in capo al medico.

La legge vieta l’uso dell’AI per condizionare l’accesso alle prestazioni sanitarie secondo criteri discriminatori — un presidio contro il rischio che i bias algoritmici producano effetti iniqui nell’allocazione delle cure — e riconosce all’interessato il diritto di essere informato ogni volta che un sistema di AI incide sul processo decisionale che lo riguarda.

Sul piano procedurale, i trattamenti di dati sanitari connessi a progetti di AI devono essere comunicati preventivamente al Garante, con indicazione delle misure di sicurezza, dei ruoli e della valutazione d’impatto. Le operazioni possono avviarsi decorsi trenta giorni dalla comunicazione, salvo provvedimento di blocco.

La guida HAS-CNIL: un modello di governance in undici temi

Il documento congiunto HAS-CNIL struttura le proprie raccomandazioni lungo l’intero ciclo di vita del sistema di AI, dalla scelta della soluzione fino alla sua dismissione. L’impostazione è pragmatica: non si limita a ribadire principi generali, ma prova a tradurre l’uso dell’AI in sanità in indicazioni operative, organizzative e giuridiche.

Le raccomandazioni sono classificate in quattro livelli: obblighi legali, raccomandazioni standard, raccomandazioni avanzate e comportamenti da adottare sistematicamente.

Le undici aree tematiche affrontate sono:

  • Governance e organizzazione interna
  • Acquisizione dei sistemi di AI e contrattualizzazione
  • Verifica dell’adeguatezza al contesto locale
  • Formazione e acculturazione dei professionisti
  • Organizzazione delle cure
  • Utilizzo in corso di esercizio
  • Informazione delle persone e consenso
  • Decisione automatizzata e controllo umano
  • Tracciabilità degli usi
  • Vigilanza, manutenzione e gestione della qualità
  • Fine del ciclo di vita e disinstallazione

Governance: la responsabilità organizzativa al centro

La guida sottolinea che adottare un sistema di AI in sanità non è una scelta puramente tecnica: richiede ruoli chiari, processi formalizzati e il coinvolgimento di tutte le funzioni interne — direzione, professionisti sanitari, uffici legali, IT, DPO e rappresentanti degli utenti.

Il primo strumento concreto è una mappatura di tutti i sistemi di AI in uso o in valutazione, aggiornata almeno annualmente, che includa fornitore, finalità, livello di rischio AI Act e categorie di dati trattati. Gli obblighi del deployer sono: governance adeguata, registro dei trattamenti (art. 30 GDPR), DPIA (art. 35 GDPR), analisi d’impatto sui diritti fondamentali (art. 27 AI Act) e notifica alle autorità in caso di incidenti.

Contrattualizzazione: cosa pretendere dal fornitore

Il contratto con il fornitore deve documentare performance validate, bias noti, popolazioni di pazienti per cui il sistema è stato testato e procedure in caso di disfunzione. Essenziale la clausola di reversibilità dei dati, per evitare il vendor lock-in.

Informazione del paziente e consenso

Nel contesto ordinario di cura, l’uso dell’AI non richiede un consenso aggiuntivo: è sufficiente un’informazione chiara accompagnata dal diritto di opposizione. La guida propone tre livelli:

  1. informazione generale per tutti i pazienti della struttura;
  2. informazione specifica nel referto per chi è direttamente interessato;
  3. informazione esaustiva preventiva per i sistemi ad alto rischio.

Il consenso specifico resta necessario solo nei casi previsti dalla legge, ad esempio per registrazioni vocali o video identificative.

Supervisione umana: il principio irrinunciabile

Ogni decisione clinica assistita da AI deve restare soggetta a un controllo umano adeguato, effettivo e documentabile — lo impongono l’art. 22 GDPR e l’art. 14 AI Act. Il medico non può cedere la propria indipendenza professionale. Ad esempio, nei sistemi di redazione automatica di referti, la validazione non può essere delegata a chi non era presente alla consultazione, poiché solo il professionista presente è in grado di intercettare errori o allucinazioni del sistema.

AI generativa e shadow IT

In un solo mese (agosto 2025), il personale del CHU di Nancy ha effettuato 440.000 connessioni a sistemi di AI generativa personali. Questo uso non governato espone le strutture a rischi concreti: inaffidabilità clinica, violazione del segreto medico e vulnerabilità informatiche. Le misure raccomandate sono: policy aziendale con usi approvati e vietati, preferenza per strumenti validati internamente, formazione del personale.

Conclusioni: innovazione e tutela dei diritti

Il nuovo quadro normativo, sia italiano che europeo, non intende frenare l’innovazione tecnologica in sanità, ma creare le condizioni affinché essa avvenga in modo sicuro, trasparente e rispettoso dei diritti fondamentali. La guida HAS-CNIL è un esempio concreto di come le autorità di controllo stiano cercando di anticipare le domande pratiche che emergono quando l’AI entra nei processi sanitari: chi decide l’adozione del sistema, chi risponde dei trattamenti di dati, quale informazione deve essere data al paziente e come si documenta la supervisione umana.

La vera sfida per le strutture sanitarie italiane nei prossimi mesi non sarà soltanto quella della liceità formale del trattamento, ma quella della concreta governabilità dell’uso dell’intelligenza artificiale nei percorsi di cura. Chi saprà affrontare questa transizione con un approccio strutturato — investendo in governance, formazione e processi chiari — sarà meglio posizionato per rispondere sia alle aspettative dei pazienti che alle verifiche delle autorità di controllo.

Video correlati

IA e diritto penale, quali novità?

Web Scraping e IA Generativa: i dati del tuo sito sono davvero al sicuro?

La Fender Stratocaster come opera di arte applicata: la decisione del Tribunale di Düsseldorf e il ruolo del diritto d’autore nella tutela del design industriale

42LF_Logo

42 Law Firm Srl

Società tra Avvocati

P.iva 11424590963

Linkedin-in Facebook-f Instagram Youtube

Contattaci

info@42lf.it

Lun-Ven: 9:00 – 18:00

Dove siamo

Via Vitruvio, 1 – 20124 Milano (MI)

Copyright 2026 42LF © – Tutti i diritti riservati | Privacy | Cookie | Condizioni