NEWS

Intelligenza artificiale nella sanità, dalla CNIL una guida per i Data Protection Officer

L’intelligenza artificiale in sanità non è più una prospettiva remota, ma una realtà già presente nei processi clinici e organizzativi. Dalla refertazione assistita agli strumenti di supporto alla decisione, fino ai sistemi utilizzati per agevolare la documentazione sanitaria, l’adozione di soluzioni basate su AI sta crescendo rapidamente.

(Nella foto: Mario Arcella, Data Protection & Compliance Consultant presso FinData)

In questo scenario, merita attenzione anche la consultazione pubblica avviata il 5 marzo 2026 da CNIL e Haute Autorité de Santé sul progetto di guida dedicato al buon uso dei sistemi di intelligenza artificiale in contesto di cura. La consultazione resterà aperta fino al 16 aprile 2026.

Il documento, pur nascendo nel contesto francese, affronta questioni che riguardano ormai tutte le strutture sanitarie europee. Non si limita infatti a ribadire principi generali, ma prova a tradurre l’uso dell’AI in sanità in indicazioni operative, organizzative e giuridiche. Proprio per questo può rappresentare un riferimento utile anche per i professionisti italiani che si occupano di protezione dei dati, compliance sanitaria, governance digitale e sicurezza delle informazioni.

Secondo quanto riportato nella presentazione ufficiale dell’iniziativa, in Francia il 65% degli ospedali pubblici utilizza già sistemi di intelligenza artificiale in contesto di cura. Un dato che restituisce bene la portata concreta del fenomeno e spiega perché l’attenzione delle autorità si stia spostando dalla semplice osservazione del fenomeno tecnologico alla definizione di criteri pratici per un uso corretto, proporzionato e sicuro.

Uno degli aspetti più interessanti della bozza di guida è proprio il suo approccio. Il testo è articolato in schede che coprono le diverse fasi del ciclo di vita del sistema di AI, dall’acquisizione alla messa in esercizio, fino alla sua eventuale dismissione. A queste si aggiungono indicazioni trasversali dedicate alla governance e alle specificità dell’intelligenza artificiale generativa. L’obiettivo è accompagnare le strutture nella costruzione di un modello di utilizzo che tenga insieme qualità delle cure, responsabilità professionale e tutela dei diritti degli interessati.

Dal punto di vista privacy, il documento insiste in modo particolare su un profilo che spesso rischia di restare sullo sfondo: la responsabilità organizzativa. L’adozione di un sistema di AI in ambito sanitario non viene presentata come una scelta puramente tecnica, ma come una decisione che richiede ruoli chiari, processi formalizzati, valutazioni preventive e un coinvolgimento effettivo delle diverse funzioni interne. Direzione, professionisti sanitari, uffici legali, sistemi informativi, sicurezza, DPO e rappresentanti degli utenti sono chiamati a concorrere alla costruzione di una governance coerente.

La guida, inoltre, in linea con AI ACT, invita a predisporre una vera e propria mappatura dei sistemi di intelligenza artificiale impiegati o in fase di valutazione, così da consentire una gestione più solida dei rischi, della trasparenza verso i pazienti, delle modalità di supervisione umana e degli adempimenti normativi. È un passaggio particolarmente rilevante anche per il lettore italiano, perché ricorda che il problema non è solo capire “quale tecnologia si usa”, ma soprattutto “come”, “da chi” e “con quali garanzie” essa viene inserita nel percorso di cura.

Di notevole interesse è poi il capitolo dedicato all’informazione degli interessati dove si adotta un’impostazione pragmatica, chiarendo che, nel contesto ordinario di cura, l’utilizzo di un sistema di AI non richiede necessariamente un consenso aggiuntivo e autonomo rispetto a quello già previsto per l’atto sanitario. Piuttosto, viene valorizzata l’esigenza di un’informazione chiara, accessibile e accompagnata, nei casi pertinenti, dal diritto di opposizione. Resta invece fermo il ricorso al consenso quando esso sia richiesto da altre discipline specifiche, ad esempio in presenza di trattamenti che coinvolgano voce o immagine identificativa del paziente.

Ma il punto forse più forte dell’intera bozza è quello relativo alla supervisione umana. Il documento afferma con chiarezza che ogni decisione individuale supportata da un sistema di AI deve rimanere soggetta a un controllo umano adeguato, effettivo e documentabile.

Il principio assume un rilievo ancora maggiore nei casi in cui l’AI venga utilizzata per supportare la redazione di resoconti clinici o documentazione sanitaria. In tale contesto, la guida evidenzia che la validazione del contenuto non dovrebbe essere affidata a un soggetto terzo non presente all’atto sanitario, poiché chi non ha assistito direttamente alla consultazione o alla prestazione non sarebbe in grado di intercettare eventuali errori o allucinazioni del sistema.

Si tratta di un’affermazione destinata a far discutere, perché incide su un nodo importantissimo: il confine tra ausilio tecnologico ed esercizio della responsabilità professionale. Al tempo stesso, tocca un tema centrale anche per la protezione dei dati personali, cioè l’affidabilità dell’informazione sanitaria e la possibilità che un contenuto inesatto, generato o alterato da un sistema automatizzato, entri stabilmente nel fascicolo clinico o nel processo di cura.

La parte dedicata all’intelligenza artificiale generativa conferma questa impostazione prudente. La bozza raccomanda sensibilizzazione del personale, definizione di regole interne sugli usi consentiti, preferenza per strumenti approvati dall’organizzazione e misure di sicurezza adeguate. Si tratta di indicazioni coerenti con l’orientamento già espresso dalla CNIL nelle sue FAQ sui sistemi di AI generativa e con le raccomandazioni di sicurezza diffuse dall’ecosistema istituzionale francese in materia di cybersicurezza.

Per il contesto italiano, il valore di questa iniziativa è soprattutto anticipatorio. La guida CNIL-HAS mostra infatti quali siano le domande che stanno emergendo nel momento in cui l’AI entra concretamente nei processi sanitari: chi decide l’adozione del sistema, chi risponde dei trattamenti di dati personali, quali informazioni devono essere date al paziente, quale spazio residua per il controllo umano, come si documentano verifiche e responsabilità, quali limiti devono essere fissati nell’uso di strumenti generativi.

Sono le stesse domande che, con crescente frequenza, inizieranno a porsi anche strutture sanitarie, fornitori, consulenti e Data Protection Officer italiani.

In questa prospettiva, il documento francese merita attenzione non tanto perché possa essere trasposto automaticamente nel nostro ordinamento, quanto perché rappresenta un utile laboratorio regolatorio e organizzativo. In un momento in cui l’AI Act europeo sta progressivamente entrando nel quadro applicativo e il GDPR continua a costituire il presidio principale per la tutela dei dati personali, il vero terreno della compliance non sarà soltanto quello della liceità astratta del trattamento, ma quello della concreta governabilità dell’uso dell’intelligenza artificiale nei percorsi di cura.

Il merito della consultazione aperta da CNIL e HAS è allora proprio questo: spostare il dibattito dall’entusiasmo o dal timore generico verso una domanda più seria e più utile, cioè quali condizioni debbano essere soddisfatte perché l’impiego dell’AI in sanità sia realmente compatibile con la qualità della cura, con la sicurezza del paziente e con la protezione dei dati personali. Ed è esattamente su questo terreno che, nei prossimi mesi, si misurerà una parte rilevante della maturità organizzativa di strutture e professionisti.

Note sull'Autore

Mario Arcella Mario Arcella

Data Protection & Compliance Consultant presso FinData. Web: www.findata.it

Prev Il comune non può ignorare l’istanza di accesso al filmato inerente il danneggiamento di un veicolo, ma deve rispettare la riservatezza dei terzi
Next Commercialisti, pubblicato un documento sulla gestione della privacy negli studi professionali alla luce della norma ISO/IEC 27701:2025

Tavola rotonda su privacy e intelligenza artificiale nel mondo del lavoro

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy