Politica sanitaria

intelligenza artificiale

15 Settembre 2025

---

Dal 2 agosto 2026, salvo proroghe, il Regolamento (UE) 1689/2024 (AI Act) diventa applicabile: Regioni ed enti locali che impiegano sistemi di intelligenza artificiale in sanità dovranno rispettare obblighi stringenti su rischio, sorveglianza umana, trasparenza e registrazione dei sistemi. A fare il punto un articolo pubblicato su Agenda Digitale.

In ambito sanitario pubblico, l’AI Act introduce una classificazione del rischio (inaccettabile, alto, limitato, minimo). Per i sistemi ad alto rischio rilevano in particolare: triage delle chiamate di emergenza, invio e priorità dei soccorsi, selezione dei pazienti nell’assistenza sanitaria di emergenza, oltre agli strumenti usati dalle autorità per valutare l’ammissibilità a prestazioni e servizi essenziali. Quando presenti, questi sistemi richiedono documentazione tecnica idonea a dimostrare la conformità, un sistema di gestione del rischio lungo l’intero ciclo di vita, dataset di addestramento adeguati al contesto d’uso (geografico e clinico) e livelli coerenti di accuratezza, robustezza e cybersecurity.

Per i deployer pubblici (art. 26) gli adempimenti chiave, applicabili anche alle aziende sanitarie e ai servizi di emergenza territoriale, includono:
— sorveglianza umana affidata a personale con competenze, formazione e autorità adeguate;
— uso conforme alle istruzioni del fornitore e monitoraggio continuo del funzionamento;
— qualità e rappresentatività dei dati di input quando sotto controllo dell’ente;
— segnalazione tempestiva al fornitore e all’autorità di vigilanza in caso di rischio per salute, sicurezza o diritti fondamentali e in caso di incidenti gravi;
— conservazione dei log generati automaticamente per un periodo adeguato, almeno sei mesi, salvo diverse previsioni di legge.

Se l’ente modifica in modo sostanziale un sistema ad alto rischio, diventa esso stesso fornitore e assume i relativi obblighi (art. 25.1). Prima dell’uso, il sistema va registrato nella banca dati UE dei sistemi ad alto rischio (art. 49); i deployer pubblici devono inoltre registrarsi e attestare l’impiego del sistema prescelto.

Elemento centrale per gli usi sanitari è la Valutazione d’impatto sui diritti fondamentali (FRIA) (art. 27), da effettuare prima della messa in servizio. La FRIA deve descrivere processi e finalità, durata e frequenza d’uso, categorie di persone interessate (pazienti, caregiver, operatori), rischi specifici e misure di sorveglianza umana e di rimedio, inclusi meccanismi di reclamo. Quando il sistema comporta trattamenti di dati personali ad alto rischio, la FRIA può recepire parti della DPIA prevista dal GDPR (descrizione dei trattamenti, necessità e proporzionalità, valutazione dei rischi e misure di sicurezza), evitando duplicazioni documentali. Un modello operativo per la FRIA è stato sviluppato per l’Autorità Catalana per la Protezione dei Dati dal gruppo guidato dal Prof. Alessandro Mantelero.

Sul piano contrattuale, dal 5 marzo 2025 sono disponibili le Clausole Contrattuali Modello UE non vincolanti per l’AI (MCC-AI), con due template: per appalti di sistemi ad alto rischio e per sistemi non ad alto rischio. Nelle gare sanitarie, Regioni, ASL e aziende ospedaliere possono usarli per definire capitolati e responsabilità, attivando poi tutte le funzionalità obbligatorie previste dall’AI Act durante l’esercizio.

Per i sistemi a rischio limitato, l’art. 50.4 introduce un obbligo di trasparenza: se un sistema genera o manipola testo destinato a informare il pubblico su questioni di interesse pubblico (ad esempio, comunicazioni sanitarie online), va reso noto che il contenuto è stato generato o manipolato artificialmente.

Capitolo sanzioni: la non conformità degli enti pubblici è soggetta a sanzioni amministrative fino a 15 milioni di euro. La disciplina nazionale potrà modulare l’applicazione delle sanzioni alle autorità e agli organismi pubblici

Per la sanità pubblica sarà necessario classificare il rischio dei sistemi AI in uso; verificare la conformità del fornitore e la qualità dei dataset; formalizzare sorveglianza umana e logging; completare FRIA (integrando, se presente, la DPIA); registrare sistemi e deployer nella banca dati UE; usare MCC-AI nei contratti; garantire trasparenza sui contenuti generati. Tutto in vista dell’applicabilità dal due agosto 2026.