Dal 1° settembre 2023 è in vigore in Svizzera la nuova legge federale sulla protezione dei dati (nLPD). Si applica a qualsiasi operazione su dati personali — anche quando tale trattamento è effettuato da un sistema di intelligenza artificiale. Per i medici che utilizzano o intendono utilizzare l'IA nella loro pratica, le implicazioni sono concrete e la responsabilità, personale.
La revisione totale del 2023 adatta il quadro legale alle realtà del digitale: cloud, intelligenza artificiale, decisioni automatizzate, trasferimenti internazionali di dati. L'Incaricato federale della protezione dei dati (IFPDT) è stato chiaro: la nLPD si applica direttamente agli strumenti IA, senza necessità di una legge specifica sull'IA.[1]
I dati sanitari sono dati personali degni di particolare protezione ai sensi dell'art. 5 lett. c nLPD.[2] Il loro trattamento richiede una giustificazione esplicita e qualsiasi violazione deve essere segnalata all'IFPDT senza indugio (art. 24 nLPD).
Il medico o lo studio medico è il responsabile del trattamento dei dati dei pazienti. Questa responsabilità non si trasferisce al fornitore IA.[3]
La nLPD prevede sanzioni penali fino a CHF 250'000 per le violazioni intenzionali (art. 60 nLPD). Queste sanzioni sono personali: è il medico, in quanto responsabile del trattamento, a rispondere.
Qualsiasi fornitore IA che tratta dati per vostro conto deve essere oggetto di un contratto di subappalto (art. 9 nLPD).
Gli studi che trattano dati sensibili devono documentare le loro attività (art. 24 nLPD). La FMH mette a disposizione modelli sul suo sito.[4]
Il trattamento tramite IA deve essere riconoscibile per il paziente (art. 6 cpv. 3 nLPD). Una menzione nell'informativa sulla privacy dello studio è generalmente sufficiente.
Gli utenti di sistemi IA devono informare su finalità, funzionamento e fonti dei dati del sistema.[1]
La nLPD prevede il diritto degli interessati di esigere che una decisione automatizzata sia controllata da un essere umano (art. 21 nLPD). Validate sistematicamente gli output dell'IA prima di qualsiasi uso clinico.
Il CLOUD Act (2018) autorizza le autorità americane ad accedere ai dati di aziende americane, indipendentemente dal paese di hosting fisico. Uno strumento operato da una società americana, anche ospitato in Europa, rimane potenzialmente accessibile.
Un hosting esclusivamente su server svizzeri, gestiti da una società non soggetta al CLOUD Act, elimina questo rischio. È la posizione più sicura rispetto alla nLPD e al segreto medico (art. 321 CP).
| Domanda | Cosa verificare |
|---|---|
| Dove sono ospitati i dati? | Server in Svizzera o paese riconosciuto adeguato |
| La società è soggetta al CLOUD Act? | Nessuna casa madre americana |
| Viene proposto un contratto di subappalto? | Obbligatorio art. 9 nLPD |
| I dati vengono usati per addestrare l'IA? | No, salvo consenso esplicito |
| Quale cifratura viene applicata? | TLS 1.3 in transito, cifratura a riposo |
| Come vengono gestite le violazioni? | Notifica e procedura documentata |
| I dati sono restituibili? | Export completo e cancellazione certificata |
La nLPD non vieta l'uso dell'IA in ambito medico. I trattamenti basati sull'IA sono autorizzati, a condizione che vengano adottate misure adeguate.[1] Uno strumento ben progettato, ospitato in Svizzera, con un contratto di subappalto, è pienamente compatibile con la nLPD.
Ho bisogno del consenso del paziente per usare l'IA durante una consultazione?
Non necessariamente sotto forma di firma sistematica. La nLPD richiede che il trattamento sia riconoscibile per il paziente. Una menzione chiara nell'informativa sulla privacy dello studio, con un'informazione orale alla prima visita, è generalmente sufficiente. Per la registrazione audio si raccomanda invece un consenso esplicito.
ChatGPT o altri strumenti IA generativi sono conformi alla nLPD per uso medico?
Usare strumenti come ChatGPT per trattare dati pazienti identificabili è problematico: assenza di contratto di subappalto, hosting su server americani soggetti al CLOUD Act, e possibile uso dei dati per addestrare il modello. Per uso clinico, utilizzate strumenti specifici per il settore medico, con hosting svizzero e contratto di subappalto.
Quali sanzioni si rischiano in caso di violazione della nLPD?
La nLPD prevede sanzioni penali fino a CHF 250'000 per le violazioni intenzionali. Queste sanzioni sono personali: è il medico, in quanto responsabile del trattamento, a rispondere — non solo il fornitore di software.
La nLPD si applica anche alle cartelle cartacee?
Sì. La nLPD copre qualsiasi operazione su dati personali, elettronici o meno. Consultare una cartella cartacea o dettare una nota costituisce un trattamento di dati ai sensi della legge. L'IA non crea nuovi obblighi — sposta semplicemente il trattamento in un ambiente digitale soggetto agli stessi principi.
Contratto di subappalto incluso. Dati esclusivamente sui server Infomaniak.
Prova gratis →