Il 12 luglio 2024, l'EU AI Act è stato pubblicato nella Gazzetta ufficiale dell'Unione europea. Il conto alla rovescia è avviato: il 2 agosto 2026, tutti i sistemi IA classificati ad alto rischio dovranno essere pienamente conformi.[1] La quasi totalità degli strumenti di IA medica rientra in questa categoria. Per il medico, questa data non è astratta — significa che l'utilizzo di uno strumento non conforme impegna la sua responsabilità professionale e potenzialmente penale.
L'articolo 9 del GDPR classifica i dati sanitari come categoria particolare di dati personali, richiedendo una base giuridica rafforzata per qualsiasi trattamento.[2] OpenAI è un'azienda americana, i suoi server sono negli Stati Uniti, e il CLOUD Act americano può obbligare qualsiasi operatore americano a comunicare dati all'amministrazione federale — inclusi dati di pazienti europei. Non è un'ipotesi teorica: è un'incompatibilità strutturale con il GDPR.
Cosa dice il GDPR Art. 9
Il trattamento dei dati sanitari è vietato per impostazione predefinita. È autorizzato solo in casi limitativi — tra cui "per finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi medica, assistenza sanitaria o sociale" — e solo da un professionista soggetto al segreto professionale, con hosting conforme.
Il CLOUD Act (USA, 2018) consente alle autorità federali americane di esigere da qualsiasi azienda americana la comunicazione di dati archiviati all'estero — anche se i server si trovano fisicamente in Italia. Riguarda AWS, Azure, Google Cloud, OpenAI.
In quanto deployer ai sensi dell'AI Act — utente professionale di un sistema IA — il medico ha obblighi specifici[1]:
Leggete anche i nostri articoli sulla responsabilità medica e l'IA e su cosa cambia per i medici nel 2026.
Un medico può usare ChatGPT per redigere le note mediche?
No, non con dati reali di pazienti. ChatGPT (OpenAI) è ospitato negli Stati Uniti e soggetto al CLOUD Act americano. I dati sanitari sono dati sensibili ai sensi dell'articolo 9 del GDPR — il loro trattamento tramite uno strumento non conforme espone il medico a sanzioni del Garante per la protezione dei dati personali. La sanzione massima per violazione dell'articolo 9 è di 20 milioni di euro o il 4% del fatturato mondiale.
Cosa cambia concretamente l'EU AI Act per i medici nel 2026?
Dal 2 agosto 2026, i sistemi IA classificati 'ad alto rischio' — inclusi la maggior parte degli strumenti di documentazione clinica e di ausilio alla diagnosi — devono rispettare obblighi rigorosi: trasparenza sul funzionamento dell'algoritmo, supervisione umana obbligatoria, tracciabilità delle decisioni, e possibilità per il medico di scavalcare la raccomandazione IA. In quanto deployer (utente professionale), il medico è responsabile di verificare che lo strumento utilizzato rispetti questi requisiti.
La Svizzera è una zona di adeguatezza GDPR?
Sì. La Commissione europea ha riconosciuto la Svizzera come paese che offre un livello adeguato di protezione dei dati personali. Ciò significa che il trasferimento di dati personali verso la Svizzera è autorizzato senza clausole contrattuali specifiche — al pari di un trasferimento intra-UE. Uno strumento IA ospitato in Svizzera da Infomaniak beneficia quindi della stessa presunzione di conformità GDPR di un hosting in Italia o in Germania.
Quali sanzioni rischia un medico in caso di violazione GDPR con un'IA medica?
Le sanzioni GDPR sono stabilite dal Garante per la protezione dei dati personali. Per violazione dell'articolo 9 (dati sanitari): fino a 20 milioni di euro o il 4% del fatturato mondiale. In pratica, le autorità si concentrano principalmente sulle aziende, ma la responsabilità del medico come 'deployer' ai sensi dell'AI Act è impegnata se utilizza consapevolmente uno strumento non conforme.
Hosting sovrano in Svizzera (zona di adeguatezza GDPR), GDPR Art. 9 nativo, EU AI Act ready, DPA disponibile, crittografia E2E, zero riutilizzo dei dati.
Prova gratis →