Il 23 settembre 2025, l'Italia ha promulgato la Legge n. 132, che recepisce i principi dell'EU AI Act nel settore sanitario e introduce obblighi specifici per tutti i professionisti che usano sistemi di intelligenza artificiale nella pratica clinica.[1] Contemporaneamente, il Garante per la protezione dei dati personali ha pubblicato il suo piano ispettivo 2026: almeno 40 accertamenti mirati nel settore sanitario.[6] Per il medico italiano, il 2026 non è un anno di attesa — è un anno di compliance obbligatoria.
In Italia, l'uso dell'IA in ambito medico è ora regolato da tre livelli normativi sovrapposti:
Il principio chiave della Legge 132/2025 — Art. 7
I sistemi di IA in sanità "devono essere di supporto al medico e non sostituirsi mai alla decisione clinica umana". Il medico deve poter comprendere la logica di qualsiasi suggerimento algoritmico e disattendere l'output della macchina in qualsiasi momento. È il principio di "non esclusività della decisione algoritmica" già stabilito dal Garante nel 2023 e ora codificato per legge.
Nel 2026, migliaia di medici italiani usano ancora WhatsApp personale per comunicare referti, ChatGPT per redigere note cliniche, email non cifrate per trasmettere documentazione. Ognuno di questi comportamenti costituisce una potenziale violazione del GDPR.
Il Garante ha esplicitamente segnalato il rischio: "i gestori di piattaforme di IA generativa potrebbero conservare i dati sanitari caricati per addestrare i propri algoritmi".[4] Questo non è un dettaglio tecnico — è il cuore del problema. Un paziente che non ha mai acconsentito a che i propri dati sanitari finissero nei dataset di training di OpenAI o Google ha il diritto di non vederlo accadere.
Il caso concreto del 2026: l'attacco alla piattaforma "Paziente Consapevole" (Murex Software), usata da migliaia di medici di base italiani, ha esposto dati sanitari sensibili che sono stati usati in truffe mirate ai pazienti. Il Garante ha ricordato che in caso di data breach il titolare del trattamento deve notificare entro 72 ore — e che le misure di remediation devono essere effettivamente implementate, non solo dichiarate.
La checklist in 5 punti per il medico italiano:
Per approfondire, leggete i nostri articoli su responsabilità medica e IA e su come scegliere un'IA medica conforme GDPR.
Un medico italiano può usare ChatGPT per le note di consultazione?
No, non con dati reali di pazienti. ChatGPT (OpenAI) è ospitato negli Stati Uniti e soggetto al CLOUD Act americano, che consente alle autorità federali di accedere ai dati anche se fisicamente archiviati altrove. I dati sanitari sono classificati come 'categorie particolari' ai sensi dell'art. 9 GDPR — la loro trasmissione a un provider extraUE senza adeguate garanzie costituisce una violazione del GDPR sanzionabile dal Garante con fino a 20 milioni di euro o il 4% del fatturato mondiale. Il Garante italiano ha esplicitamente avvertito i medici di 'valutare con attenzione l'opportunità di condividere dati sanitari con fornitori di servizi di IA generativa'.
Cos'è la Legge 132/2025 e cosa cambia per i medici?
La Legge 23 settembre 2025, n. 132 è la legge italiana che recepisce e integra i principi dell'EU AI Act nel settore sanitario. I punti chiave per i medici: 1) I sistemi IA devono essere 'di supporto al medico e non sostituirsi mai alla decisione clinica umana'. 2) Qualsiasi progetto di IA sanitaria che tratti dati personali deve essere preventivamente comunicato al Garante. 3) Il Garante ha 30 giorni per emettere un provvedimento di blocco. 4) AGENAS diventa Agenzia nazionale per la sanità digitale e gestisce la piattaforma IA nazionale integrata con il FSE.
Cos'è una DPIA e quando è obbligatoria per l'IA medica?
La DPIA (Data Protection Impact Assessment — Valutazione d'impatto sulla protezione dei dati) è una valutazione preventiva obbligatoria ogni volta che un trattamento può comportare rischi elevati per i diritti delle persone. Per l'IA medica in Italia, la DPIA è obbligatoria quasi sempre, dato che il trattamento di dati sanitari su larga scala con algoritmi automatizzati rientra tipicamente nei casi previsti dall'art. 35 GDPR. Con la Legge 132/2025, si aggiunge ora anche la FRIA (Fundamental Rights Impact Assessment) per i sistemi IA ad alto rischio.
Il piano ispettivo del Garante 2026 riguarda anche i medici di base?
Sì. Il piano ispettivo 2026 del Garante include il settore sanitario in modo trasversale, con almeno 40 accertamenti mirati. I punti di attenzione sono: gestione del Dossier Sanitario Elettronico (log accessi, consenso separato), notifiche di data breach, uso di algoritmi di diagnostica, cybersecurity. I medici di base che usano software gestionali con componenti IA sono potenzialmente soggetti a ispezioni, specialmente dopo violazioni di dati come quella che ha coinvolto la piattaforma 'Paziente Consapevole' di Murex Software nel 2026.
La Svizzera è considerata sicura per l'hosting di dati sanitari italiani?
Sì. La Commissione europea ha riconosciuto la Svizzera come paese con livello adeguato di protezione dei dati personali (decisione di adeguatezza). Ciò significa che il trasferimento di dati personali — inclusi i dati sanitari — verso la Svizzera è autorizzato senza clausole contrattuali specifiche, al pari di un trasferimento intra-UE. Un fornitore IA ospitato in Svizzera da un provider certificato come Infomaniak Genève offre quindi garanzie equivalenti a un hosting in Italia o in Germania, con il vantaggio aggiuntivo della conformità alla nLPD (legge federale svizzera sulla protezione dei dati).
Hosting sovrano in Svizzera (zona di adeguatezza GDPR riconosciuta dalla Commissione europea), GDPR Art. 9 nativo, nessun dato verso OpenAI o server extraUE, DPA disponibile, crittografia E2E.
Prova gratis 14 giorni →