Indice dell'articolo
L’approvazione del Disegno di Legge sull’Intelligenza Artificiale (DDL n. 1146-B) segna un punto di svolta nel dibattito legislativo italiano, un momento di necessaria riflessione strategica di fronte a una trasformazione tecnologica ormai ineludibile. L’onda della rivoluzione digitale, e in particolare dell’IA, non è una realtà che impone scelte complesse. Per il settore sanitario, un ambito definito dalla sensibilità dei dati e dalla criticità delle sue funzioni, il testo in discussione, che agisce in stretta sinergia con l’AI Act europeo, non è una semplice cornice normativa. Si configura piuttosto come una mappa articolata che si prefigge di ridefinire i concetti di innovazione, rischio e sovranità, con un impatto diretto sui processi decisionali di ogni operatore.
Lungi dal rappresentare una semplice liberalizzazione, il DDL introduce un dilemma strategico: a una maggiore libertà di scelta tecnologica corrisponde un drammatico aumento della responsabilità legale e operativa. Attraverso un’architettura sofisticata, la bozza attuale differenzia nettamente gli obblighi tra settore privato e sanità pubblica. Analizziamo i punti chiave che ogni decisore del mondo della sanità dovrebbe considerare nell’attuale fase di discussione, per comprendere appieno la portata del cambiamento e prepararsi adeguatamente.
La svolta legislativa: dalla “fortezza Italia” al rischio calcolato
Il percorso del DDL è stato emblematico e rivelatore delle tensioni in gioco. La versione iniziale, approvata al Senato, conteneva una norma (già art. 8, c. 2) che imponeva l’uso di server ubicati sul territorio nazionale per tutti i sistemi di IA in ambito pubblico. Era l’approccio della “Fortezza Italia”: massima sicurezza garantita dal controllo geografico e giurisdizionale. Il vantaggio di tale impostazione era una drastica semplificazione della compliance GDPR, annullando alla radice i complessi e onerosi problemi legati al trasferimento di dati personali verso paesi terzi.
La Camera dei Deputati ha successivamente soppresso questa norma, precisa scelta strategica che sembra dettata da un profondo realismo giuridico e di mercato. In primo luogo, una regola di localizzazione nazionale così rigida avrebbe potuto creare profili di incompatibilità con il principio di libera circolazione dei dati, uno dei pilastri del mercato unico digitale europeo. In secondo luogo, si sarebbe rischiato di isolare la sanità e la ricerca italiana, precludendo l’accesso alle più avanzate e performanti piattaforme AI globali, con un conseguente e difficilmente colmabile divario competitivo. Infine, vi è una considerazione di sostenibilità economica: il modello cloud globale offre un’efficienza, una scalabilità e una rapidità di innovazione che un approccio puramente nazionale faticherebbe a replicare. Se il testo venisse approvato in questa forma, il legislatore avrebbe di fatto sostituito un rigido confine geografico con un più flessibile, ma più complesso, confine giuridico.
Il nuovo onere della prova: la complessa “cassetta degli attrezzi” della compliance
Con la potenziale rimozione della barriera geografica, la responsabilità della protezione dei dati sanitari si sposterebbe interamente sulle spalle dell’organizzazione sanitaria. Per poter legittimamente utilizzare un provider extra-UE, l’ospedale o l’ASL dovrebbero costruire un solido “ponte giuridico” basato su un preciso “toolbox” di conformità, la cui gestione richiede competenze legali e tecniche altamente specializzate. Questo includerebbe l’affidamento a meccanismi come il Data Privacy Framework (DPF) per i trasferimenti verso gli Stati Uniti, la cui tenuta legale è però sotto costante scrutinio dopo le precedenti invalidazioni da parte della Corte di Giustizia dell’UE. A questo si aggiungerebbero le Clausole Contrattuali Standard (SCCs), che la giurisprudenza ha chiarito non essere più sufficienti da sole se non supportate da un’analisi concreta. Il cuore del nuovo obbligo diventerebbe la Transfer Impact Assessment (TIA). Non si tratta di un mero adempimento formale, ma di una complessa valutazione sostanziale con cui l’esportatore del dato deve analizzare la legislazione del paese terzo (ad esempio, le pervasive leggi sulla sorveglianza governativa negli USA) e dimostrare, con evidenze concrete, di poter garantire, tramite misure supplementari (tecniche, organizzative o contrattuali), un livello di protezione “sostanzialmente equivalente” a quello europeo. Data l’estrema sensibilità dei dati sanitari, superare una TIA per un trasferimento verso gli USA, dove normative come il FISA 702 consentono una sorveglianza governativa estesa, si configurerebbe come un esercizio legale ad altissimo rischio, esponendo l’ente a potenziali sanzioni e a un significativo danno reputazionale.
La corsia preferenziale per la sanità pubblica: l’articolo 5
Qui il DDL svela la sua strategia a doppio binario. Se per i privati si profila una libertà di scelta (pur con gli oneri descritti), per la sanità pubblica il percorso indicato è un altro. L’art. 5 del testo attuale stabilisce che le amministrazioni pubbliche sono “indirizzate” a “privilegiare” nelle gare d’appalto le soluzioni IA che garantiscono la localizzazione dei dati strategici e del disaster recovery sul territorio nazionale.
Questa “preferenza” non è una mera raccomandazione, ma un criterio direttivo con un peso specifico nelle procedure di acquisto pubblico. Essa si combina sinergicamente con la “Strategia Cloud Italia” dell’Agenzia per la Cybersicurezza Nazionale (ACN), che classifica i dati sanitari quasi universalmente come “Critici” o “Strategici” e ne impone l’hosting su infrastrutture che abbiano ottenuto una specifica qualificazione ACN, come il Polo Strategico Nazionale (PSN). L’effetto combinato di queste disposizioni creerebbe un quasi-obbligo: per la sanità pubblica, la strada maestra per la conformità e per l’aggiudicazione di appalti rimarrebbe quella di un ecosistema cloud sovrano, la cui affidabilità e sicurezza sono state preventivamente verificate e certificate dallo Stato.
I confini già tracciati: il ruolo della giurisprudenza
Il quadro normativo delineato dal DDL non opera in un vuoto, ma si inserisce in un contesto giuridico già densamente popolato dalle interpretazioni del Garante per la Protezione dei Dati Personali e delle corti nazionali ed europee. L’attività di queste istituzioni ha già definito uno standard di diligenza estremamente elevato per il trattamento dei dati sanitari, che l’introduzione dell’IA non potrà che rendere ancora più stringente. Ad esempio, il Garante ha sanzionato un’azienda sanitaria che aveva utilizzato un algoritmo per profilare i pazienti a rischio COVID-19, ritenendo la base giuridica invocata (“governo sanitario”) insufficiente a legittimare un trattamento così invasivo senza una norma primaria più specifica e una rigorosa valutazione d’impatto. Allo stesso modo, l’Autorità ha esercitato un controllo critico sullo sviluppo del Fascicolo Sanitario Elettronico 2.0, richiedendo maggiori garanzie su titolarità, consenso e sicurezza.
Questi orientamenti sono stati rafforzati dalla Corte di Cassazione. Con la fondamentale ordinanza n. 28417 del 2023, la Suprema Corte ha stabilito che anche la semplice comunicazione a un terzo della necessità di una terapia per un paziente, pur senza specificarne la natura, costituisce un trattamento illecito di dati sanitari, poiché rivela uno stato di bisogno di cura. Questo approccio rigoroso si estende fino alla Corte Europea dei Diritti dell’Uomo (CEDU). Nel caso Cracò c. Italia, la Corte ha ribadito l’obbligo positivo dello Stato e di tutte le sue autorità, incluse quelle giudiziarie, di adottare misure attive per proteggere la riservatezza delle informazioni mediche, ad esempio oscurando i dati personali prima della pubblicazione di una sentenza. La giurisprudenza, quindi, non si limita a punire l’illecito, ma educa l’intero settore, chiarendo che la protezione dei dati è una responsabilità diffusa dove anche la leggerezza procedurale può configurare una violazione grave.
L’orizzonte futuro: prepararsi all’European Health Data Space (EHDS)
Ogni scelta tecnologica e contrattuale fatta oggi deve tenere conto del futuro normativo, un futuro che è già iniziato. Lo Spazio Europeo dei Dati Sanitari (EHDS), il cui regolamento è già in vigore, si appresta a rivoluzionare l’ecosistema attraverso una sua attuazione stratificata nel tempo. Questo processo, che si dispiegherà nei prossimi anni, imporrà in primo luogo standard di interoperabilità obbligatori per sistemi come le cartelle cliniche elettroniche, costringendo i sistemi sanitari nazionali, oggi frammentati, a “parlare la stessa lingua”. Introdurrà inoltre un sistema di certificazione europea per i software medicali, creando un mercato unico ma anche un nuovo standard di conformità. Infine, stabilirà una governance centralizzata per regolare l’accesso ai dati a fini di ricerca. Scegliere oggi un partner tecnologico o un’architettura software che non siano progettati per essere compatibili con i futuri requisiti dell’EHDS, significherebbe fare un investimento a elevato rischio di obsolescenza e di esclusione dal nascente ecosistema europeo.
Conclusioni: la compliance come funzione strategica
Il DDL IA, nella sua forma attuale, non semplifica il quadro per la sanità, ma lo rende più maturo e complesso, spostando il focus dalla regola rigida alla gestione consapevole del rischio. La “libertà” di scelta è un’opzione reale solo per chi ha la struttura e le competenze per gestire un rischio legale e reputazionale altissimo. Per la sanità pubblica, la via della sovranità nazionale rimane quella più sicura e, di fatto, quella privilegiata dal legislatore.
Per il management sanitario, questo nuovo scenario imporrebbe un cambio di passo. Diventerebbe fondamentale procedere a una mappatura e classificazione dei dati secondo i criteri dell’ACN, verificare la qualificazione dei fornitori, e includere nei budget i costi legali per la gestione del rischio, che diventano una componente strutturale dell’innovazione. In questo contesto, il ruolo dell’avvocato esperto in tech law si evolve da quello di controllore di conformità a quello di architetto di strategie. La sua analisi non si limita a prevenire i rischi, ma abilita l’innovazione responsabile, trasformando la complessità normativa in un calcolato vantaggio competitivo.
