L’utilizzo e la raccolta di dati sanitari per finalità di ricerca e sviluppo di sistemi di Intelligenza Artificiale ha finalmente trovato una disciplina positiva nella Legge 23 settembre 2025, n. 132, recante “Disposizioni e deleghe al Governo in materia di intelligenza artificiale”.
L’intervento del legislatore nazionale è finalizzato a disciplinare l’uso dei sistemi di intelligenza artificiale all’interno dell’ordinamento italiano. La novella, approvata a seguito di un ampio dibattito parlamentare, si colloca nel solco delle più recenti iniziative dell’Unione europea, ed in particolare del Regolamento (UE) 2024/1689, noto come AI Act, del quale costituisce necessario completamento con riferimento a profili che l’ordinamento europeo ha espressamente rimesso alla discrezionalità degli Stati membri.
La legge si articola in ventotto articoli, raccolti in sei capi, che spaziano dai principi generali e finalità, alle disposizioni di settore, fino alla definizione della strategia nazionale per l’intelligenza artificiale, alla tutela degli utenti, alle misure in materia di diritto d’autore e alle previsioni penali e finanziarie.
Si tratta di una normativa che intende coniugare l’esigenza di promuovere lo sviluppo e la diffusione delle tecnologie digitali avanzate con quella, parimenti essenziale, di preservare i diritti fondamentali della persona, la sicurezza e l’equilibrio del sistema democratico. In questo contesto il legislatore ha posto particolare attenzione all’uso dei dati personali, e in modo precipuo dei dati sanitari, quale ambito privilegiato nel quale si manifesta la tensione tra progresso scientifico e tutela della dignità individuale.
L’obiettivo del presente contributo è quello di illustrare le principali novità introdotte dalla Legge 132/2025 in materia di trattamento dei dati personali e, in particolare, dei dati sanitari per finalità di ricerca e sviluppo di sistemi di intelligenza artificiale. L’analisi verterà dunque sugli articoli che, all’interno della nuova disciplina, recano disposizioni innovative su ricerca, sperimentazione e sanità digitale, rinviando ad un successivo approfondimento l’esame delle deleghe al Governo e delle rilevanti disposizioni penali contenute nella legge.
Principi generali e ambito di applicazione della Legge sull’IA
Il quadro introduttivo della Legge 132/2025 si fonda sulla consapevolezza che lo sviluppo dei sistemi di intelligenza artificiale non possa essere affidato a dinamiche puramente tecnologiche o di mercato, ma debba radicarsi in un impianto giuridico volto a preservare i valori fondamentali dell’ordinamento.
Già all’articolo 1 emerge la finalità di assicurare un impiego dell’intelligenza artificiale conforme ad una prospettiva antropocentrica, rispettosa dei diritti e delle libertà della persona, nonché attenta ai possibili rischi sociali ed economici derivanti da un utilizzo improprio o incontrollato di tali tecnologie.
L’art. 3 specifica ulteriormente i principi generali della disciplina, affermando il rispetto dei diritti fondamentali, delle libertà costituzionali e dello svolgimento con metodo democratico della vita istituzionale e politica, fino a prevedere espressamente che l’uso dei sistemi di intelligenza artificiale non possa in alcun modo pregiudicare la libertà del dibattito democratico né favorire interferenze illecite nella sfera pubblica.
La legge chiarisce altresì che l’applicazione dei sistemi di intelligenza artificiale deve avvenire secondo criteri di trasparenza, proporzionalità, accuratezza, non discriminazione, sostenibilità e sicurezza, estendendo tali principi all’intero ciclo di vita dei sistemi, dalla fase di progettazione fino alla concreta messa in uso. Particolare attenzione è dedicata alla cybersicurezza, che deve essere garantita attraverso misure idonee a prevenire alterazioni, usi distorti o compromissioni delle prestazioni e delle impostazioni di sicurezza.
Dati personali, informazione e utilizzo dell’IA da parte dei minori
Tra le disposizioni di maggiore rilievo della Legge 132/2025 si colloca l’articolo 4, che affronta in modo diretto il tema dell’informazione e della tutela dei dati personali nell’utilizzo dei sistemi di intelligenza artificiale. La norma, muovendo dai principi generali sanciti dagli articoli 1 e 3, introduce specifiche garanzie tese ad assicurare che la diffusione delle tecnologie digitali non determini una compressione della libertà di espressione, del pluralismo dei mezzi di comunicazione e della qualità dell’informazione.
L’impiego di soluzioni basate sull’intelligenza artificiale, pertanto, deve sempre rispettare i criteri di obiettività, completezza, imparzialità e lealtà, in un quadro che intende prevenire i rischi di manipolazione o distorsione dei processi informativi.
Sul piano della protezione dei dati personali, l’articolo 4 ribadisce l’applicazione dei principi del Regolamento (UE) 2016/679 e del Codice della privacy, estendendone la portata specificamente all’ambito dell’intelligenza artificiale. È richiesto che il trattamento avvenga in modo lecito, corretto e trasparente, e che sia compatibile con le finalità originarie della raccolta, in conformità al diritto europeo in materia di riservatezza. Si pone, inoltre, l’esigenza che le informazioni e le comunicazioni relative all’uso dei dati siano fornite agli interessati con linguaggio chiaro e comprensibile, così da garantire una consapevolezza effettiva dei rischi connessi e, al contempo, il pieno esercizio del diritto di opposizione.
Particolare rilievo assumono i dati sanitari, che rappresentano una delle categorie più sensibili e la cui utilizzazione richiede una particolare attenzione in termini di correttezza e proporzionalità del trattamento, soprattutto laddove impiegati per addestrare modelli di intelligenza artificiale in ambito medico e clinico.
Un’ulteriore novità riguarda la disciplina dell’accesso dei minori alle tecnologie di intelligenza artificiale. Per i soggetti infraquattordicenni è necessario il consenso di chi esercita la responsabilità genitoriale, consenso che deve estendersi anche al trattamento dei dati personali connessi all’utilizzo dei sistemi di IA. Per i minori che abbiano compiuto i quattordici anni è riconosciuta invece la facoltà di prestare direttamente il proprio consenso, purché le informazioni siano rese in forma facilmente accessibile e comprensibile.
Tale previsione si coordina con l’articolo 2-quinquies del Codice della privacy, che disciplina il consenso dei minori nei servizi della società dell’informazione, e conferma l’intento del legislatore di introdurre un sistema di protezione graduato, in cui la tutela dei dati sanitari e personali dei soggetti più vulnerabili costituisce principio cardine per un’implementazione responsabile delle nuove tecnologie.
Uso dell’intelligenza artificiale in ambito sanitario e disabilità
L’articolo 7 della Legge 132/2025 introduce principi e limiti specifici per l’impiego dei sistemi di intelligenza artificiale in ambito sanitario, con particolare attenzione alla tutela delle persone con disabilità. La norma, in linea con l’approccio antropocentrico che permea l’intero impianto legislativo, intende promuovere l’utilizzo delle tecnologie di nuova generazione a sostegno del sistema sanitario, ponendo al contempo garanzie idonee a prevenire possibili discriminazioni e abusi.
Viene così previsto che l’impiego di sistemi di intelligenza artificiale debba contribuire al miglioramento della prevenzione, della diagnosi e della cura delle malattie, sempre nel rispetto dei diritti, delle libertà e degli interessi della persona, nonché della normativa europea e nazionale in materia di protezione dei dati personali. In questo quadro, l’utilizzo dei dati sanitari può contribuire all’addestramento degli algoritmi, ma deve essere sottoposto a verifiche di attendibilità, sicurezza e aggiornamento periodico, così da ridurre al minimo il rischio di errori clinici e garantire un elevato livello di tutela per i pazienti.
Particolare rilievo è attribuito al divieto di subordinare l’accesso alle prestazioni sanitarie a criteri discriminatori attraverso l’uso di sistemi di intelligenza artificiale, ponendo così un argine a possibili distorsioni nell’erogazione delle cure. La legge sancisce inoltre il diritto dell’interessato a essere informato circa l’impiego di tecnologie di intelligenza artificiale nel percorso sanitario che lo riguarda, in linea con le prescrizioni dell’AI Act che qualifica tali sistemi come “ad alto rischio” e che impone ai fornitori specifici obblighi di trasparenza e sorveglianza. La dimensione informativa, in questo ambito, rappresenta un requisito imprescindibile per assicurare la consapevolezza del paziente e rafforzare il rapporto fiduciario con il professionista sanitario.
Un ulteriore elemento di innovazione riguarda la disabilità: l’articolo 7 valorizza il ruolo dei sistemi di intelligenza artificiale nello sviluppo di soluzioni tecnologiche idonee a favorire l’accessibilità, la mobilità indipendente, l’autonomia, la sicurezza e i processi di inclusione sociale delle persone con disabilità, anche in attuazione della disciplina sul progetto di vita individuale prevista dal decreto legislativo n. 62 del 2024.
In tal modo, l’utilizzo dei dati sanitari e dei sistemi di IA diventa funzionale non solo alla cura delle patologie, ma anche al miglioramento complessivo delle condizioni di vita, segnando un ampliamento dell’orizzonte applicativo delle tecnologie digitali nella prospettiva dei diritti delle persone più fragili.
Ricerca scientifica e dati sanitari di interesse pubblico
L’articolo 8 della Legge 132/2025 individua un perimetro di liceità specifico per i trattamenti di dati, anche appartenenti alle categorie particolari di cui all’articolo 9 del Regolamento (UE) 2016/679, finalizzati alla ricerca e alla sperimentazione scientifica nella realizzazione di sistemi di intelligenza artificiale per scopi terapeutici e farmacologici.
La norma, richiamando espressamente gli articoli 32 e 33 della Costituzione e il fondamento di cui all’articolo 9, paragrafo 2, lettera g), del GDPR, dichiara di rilevante interesse pubblico tali trattamenti ove necessari alla costituzione e all’utilizzazione di banche dati e di modelli di base, con ciò approntando la base giuridica nazionale che consente di modulare, in chiave di proporzionalità e adeguate garanzie, le ordinarie restrizioni al trattamento dei dati sanitari.
La scelta legislativa persegue un duplice obiettivo: assicurare al sistema della ricerca condizioni normative certe e coerenti con l’AI Act e, al contempo, preservare l’essenza del diritto alla protezione dei dati personali mediante misure tecniche e organizzative adeguate, secondo un approccio risk-based. È significativo, in tale direzione, che la legge individui le finalità considerate di interesse pubblico, includendo prevenzione, diagnosi e cura delle malattie, sviluppo di farmaci, terapie e tecnologie riabilitative, realizzazione di apparati medicali e interfacce uomo-macchina, nonché ambiti di salute pubblica e sicurezza sanitaria, fino allo studio della fisiologia, della biomeccanica e della biologia umana anche in contesti non strettamente sanitari.
L’ampiezza del perimetro riflette l’esigenza di coprire l’intero ciclo di sviluppo dei sistemi di IA a vocazione clinica, rispetto ai quali i dati sanitari rappresentano il substrato informativo imprescindibile.
La dichiarazione di rilevante interesse pubblico appare strettamente correlata ai soggetti legittimati e alle condizioni operative. I trattamenti devono essere svolti da enti pubblici e privati senza scopo di lucro, dagli Istituti di ricovero e cura a carattere scientifico, ovvero da soggetti privati operanti nel settore sanitario nell’ambito di progetti di ricerca cui partecipino soggetti pubblici o privati no profit o IRCCS. In tal modo il legislatore costruisce un circuito virtuoso di cooperazione pubblico-privato ancorato a finalità scientifiche, così da scongiurare che l’eccezione in tema di dati sanitari si traduca in un indebito ampliamento degli spazi di trattamento per finalità meramente commerciali.
La mancanza, nel testo, di definizioni positive di “modello di base” e “banca dati” è compensata dal rinvio dinamico alle nozioni dell’AI Act e dall’ancoraggio funzionale alle fasi di realizzazione e impiego dei dataset e dei modelli, il che impone agli operatori una diligente attività di qualificazione tecnica e giuridica del trattamento, con particolare attenzione ai profili di documentazione, tracciabilità e spiegabilità.
Di particolare rilievo è la disciplina dell’uso secondario dei dati personali privi di elementi identificativi diretti. La legge consente che dati sanitari e altre categorie particolari siano riutilizzati, per le finalità di cui al comma 1, senza necessità di un ulteriore consenso dell’interessato, restando fermo l’obbligo informativo, anche mediante informativa generale sul sito del titolare.
La novella chiarisce che la legittimità del riuso non è subordinata alla ripetizione del consenso quando muti l’oggetto specifico del progetto di ricerca, purché il riuso rimanga all’interno del perimetro di interesse pubblico e siano assenti identificatori diretti. La disciplina, in coerenza con il GDPR, non affranca però dall’adozione di adeguate misure di garanzia: il trattamento deve restare proporzionato, necessario e accompagnato da presidi tecnici idonei a minimizzare il rischio di reidentificazione, mentre l’eccezione che consente la conoscenza dell’identità personale quando inevitabile o necessaria a tutela della salute tutela interessi vitali e consente la continuità del percorso clinico.
Sotto il profilo dogmatico, la previsione traduce in norma primaria il principio di compatibilità delle finalità nella ricerca, rafforzando la costruzione europea in tema di trattamenti ulteriori e tracciabilità dei flussi di Dati sanitari all’interno degli ecosistemi di ricerca e delle pipeline di addestramento dei modelli.
La norma affronta poi, con taglio operativo, il tema delle trasformazioni dei dati. È sempre consentito, previa informativa all’interessato, il trattamento volto all’anonimizzazione, alla pseudonimizzazione o alla sintetizzazione dei dati sanitari e delle ulteriori categorie particolari, sia per gli scopi di ricerca di cui al comma 1 sia per finalità di programmazione, gestione, controllo e valutazione dell’assistenza sanitaria. Tale disposizione valorizza strumenti tecnologici ormai centrali nella data governance dei sistemi di IA.
L’anonimizzazione, intesa come processo irreversibile, consente di sottrarre i dati all’ambito di applicazione della normativa in materia di protezione dei dati personali; la pseudonimizzazione, quale misura di sicurezza che mantiene la riconducibilità mediata attraverso informazioni aggiuntive separate, continua a integrare trattamento soggetto al GDPR; la sintetizzazione, infine, apre all’impiego di dati artificiali generati a partire da distribuzioni statistiche apprese, idonei a mitigare rischi di privacy leakage pur conservando utilità per addestramento e validazione dei modelli.
Nel valorizzare la soft law “tecnica”, l’articolo 8 contempla la possibile adozione di linee guida per le procedure di anonimizzazione e la creazione di dati sintetici, demandate all’Agenzia nazionale per i servizi sanitari regionali, previo parere del Garante, nel rispetto degli standard internazionali e dello stato dell’arte. Si tratta di un tassello rilevante per rendere effettivi i principi di privacy by design e by default, fornendo alla comunità scientifica e ai titolari del trattamento criteri uniformi, riproducibili e verificabili circa la qualità delle trasformazioni applicate ai Dati sanitari, la valutazione del rischio residuo di reidentificazione, le metriche di utilità e di distorsione, nonché i requisiti documentali delle operazioni svolte.
L’armonizzazione di tali prassi con i requisiti dell’AI Act in tema di qualità dei dati, robustezza, trasparenza e sorveglianza umana potrà agevolare l’immissione sul mercato di sistemi ad alto rischio, sostenendo la conformità sia in fase di sviluppo sia nella successiva vigilanza post-market.
Sul versante procedurale, la legge introduce un meccanismo di comunicazione preventiva al Garante per la protezione dei dati personali per i trattamenti e gli usi di cui ai commi 1 e 2, corredato dalle informazioni sulle misure organizzative e tecniche adottate, sulle valutazioni d’impatto, nonché sull’eventuale designazione dei responsabili del trattamento. I trattamenti possono iniziare decorsi trenta giorni dalla comunicazione, salvo blocco da parte dell’Autorità.
La scelta di sopprimere l’obbligo di preventiva approvazione da parte dei comitati etici, emerso nel corso dell’iter parlamentare, alleggerisce l’onere procedurale senza pregiudicare i poteri ispettivi, interdittivi e sanzionatori del Garante, che restano integri. In termini sistematici, il modello coniuga celerità dell’innovazione e tutela sostanziale, rimettendo alla qualità della DPIA, alla solidità delle misure di sicurezza di cui agli articoli 24, 25 e 32 del GDPR e alla trasparenza dei ruoli ex articolo 28 la condizione per un avvio responsabile dei progetti che trattano dati sanitari su larga scala.
Si è dell’avviso che l’articolo in commento possa produrre effetti dirompenti per l’ecosistema della ricerca biomedica e per lo sviluppo di sistemi di intelligenza artificiale in ambito clinico. La dichiarazione di interesse pubblico, combinata con la disciplina dell’uso secondario e con la legittimazione di tecniche di anonimizzazione e dati sintetici, attenua gli ostacoli derivanti dalla frammentazione dei consensi e dalla rigidità delle basi giuridiche, senza recedere dalle garanzie del GDPR.
Ne derivano, in concreto, traiettorie nuove per la costruzione e la condivisione di dataset di qualità, per la validazione esterna dei modelli, per la replicabilità degli studi e per l’integrazione dei dati sanitari nei flussi di telemedicina e sanità territoriale. Particolarmente rilevanti sono le opportunità per gli operatori del settore privato senza scopo di lucro, che potranno partecipare a progetti con enti pubblici e IRCCS beneficiando di un quadro giuridico certo, idoneo a facilitare la creazione di banche dati interoperabili e di modelli di base orientati alla sicurezza, all’accuratezza e alla tutela dei diritti fondamentali.
In tale cornice si innesta, peraltro, l’impulso sistemico derivante dagli investimenti pubblici in sanità digitale, come evidenziato dai progetti pilota in telemedicina, che potranno fungere da moltiplicatore per l’applicazione industriale e clinica dei sistemi di IA, sempre che la governance dei dati sanitari rispetti le metriche di qualità, i vincoli di minimizzazione e l’effettività delle misure di accountability.
Dati sanitari e normativa ministeriale di attuazione
L’articolo 9 della Legge 132/2025 si pone in stretta continuità con la disciplina delineata dall’articolo 8, introducendo una disposizione di carattere dinamico volta a garantire la concreta attuazione dei principi in materia di trattamento dei dati sanitari per finalità di ricerca e sperimentazione.
La norma prevede infatti che, entro centoventi giorni dall’entrata in vigore della legge, il Ministro della salute, sentiti il Garante per la protezione dei dati personali, gli enti di ricerca, le strutture sanitarie, le autorità competenti e gli operatori del settore, adotti un decreto finalizzato a definire le modalità operative del trattamento dei dati, anche appartenenti alle categorie particolari di cui all’articolo 9 del GDPR.
L’intento del legislatore è quello di predisporre una disciplina applicativa che consenta l’uso di modalità semplificate nei limiti massimi consentiti dal Regolamento europeo, favorendo così la ricerca scientifica e lo sviluppo di sistemi di intelligenza artificiale.
La previsione assume particolare rilievo poiché attribuisce al decreto ministeriale il compito di stabilire regole specifiche per la costituzione e l’utilizzo di spazi di sperimentazione dedicati, nei quali i dati sanitari potranno essere trattati anche per finalità di machine learning e addestramento di modelli di intelligenza artificiale.
Tale scelta normativa risponde all’esigenza di predisporre un ambiente regolatorio flessibile e al contempo sicuro, idoneo a consentire la sperimentazione di soluzioni tecnologiche innovative senza incorrere nei vincoli eccessivamente rigidi che potrebbero derivare dall’applicazione letterale delle disposizioni generali in materia di protezione dei dati personali. La prospettiva è quella di coniugare la necessità di accelerare i processi di ricerca e innovazione con l’obbligo di rispettare i principi di liceità, correttezza, trasparenza, minimizzazione e sicurezza sanciti dal GDPR e dal Codice della privacy.
Il rinvio alla fonte secondaria ministeriale rivela, inoltre, la consapevolezza del legislatore circa la continua evoluzione delle tecnologie di intelligenza artificiale e dei metodi di analisi dei dati sanitari. Solo attraverso strumenti di normazione flessibili sarà infatti possibile aggiornare costantemente il quadro delle garanzie e delle misure tecniche di protezione, anche tenendo conto dei pareri periodici del Garante e delle indicazioni provenienti dal livello europeo.
Dati sanitari, fascicolo sanitario elettronico e piattaforma nazionale di IA
Un ulteriore tassello del quadro normativo introdotto dalla Legge 132/2025 è rappresentato dall’articolo 10, che interviene sul decreto-legge n. 179 del 2012, recante disposizioni in materia di sanità digitale e fascicolo sanitario elettronico.
La norma inserisce nel corpo del decreto l’articolo 12-bis, dedicato specificamente all’impiego di soluzioni di intelligenza artificiale nel settore sanitario. L’obiettivo dichiarato è quello di garantire strumenti e tecnologie avanzate che, pur mantenendo un ruolo di supporto e non di sostituzione delle decisioni mediche, contribuiscano al miglioramento della qualità delle cure, al rafforzamento dell’assistenza territoriale e alla realizzazione di un modello integrato di sanità digitale.
La disciplina stabilisce che l’utilizzo delle soluzioni di intelligenza artificiale debba essere regolato da decreti ministeriali adottati dal Ministro della salute, di concerto con le autorità politiche competenti in materia di innovazione tecnologica, transizione digitale e cybersicurezza, previo parere della Conferenza Stato-Regioni. Tale procedura evidenzia l’intento di collocare l’uso dell’IA in sanità all’interno di un sistema di governance multilivello, che coinvolga sia le istituzioni centrali sia quelle territoriali, in un’ottica di leale collaborazione e di uniformità di applicazione delle regole.
Elemento centrale è l’istituzione di una piattaforma nazionale di intelligenza artificiale, affidata all’Agenzia nazionale per i servizi sanitari regionali (AGENAS), che ne diventa titolare e responsabile del trattamento dei dati sanitari raccolti e generati al suo interno. La piattaforma è destinata a fornire servizi di supporto non vincolanti ai professionisti sanitari nella presa in carico dei pazienti e nella pratica clinica quotidiana, nonché a consentire agli utenti l’accesso ai servizi sanitari territoriali e alle Case di Comunità. Si configura dunque uno strumento di grande rilevanza operativa, che, pur non sostituendo la valutazione clinica, potrà orientare le scelte terapeutiche e facilitare la gestione delle informazioni sanitarie in modo coordinato ed efficiente.
L’alimentazione della piattaforma avverrà attraverso i dati (inclusi i dati sanitari) trasmessi dai titolari del trattamento, selezionati sulla base del principio di stretta necessità e nel rispetto delle regole del Regolamento (UE) 2016/679. L’AGENAS, acquisiti i pareri del Ministero della salute, del Garante per la protezione dei dati personali e dell’Agenzia per la cybersicurezza nazionale, dovrà adottare misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato al rischio, specificando i tipi di dati trattati, le operazioni consentite e le modalità di tutela dei diritti fondamentali degli interessati.
Compliance privacy e trattamento dati in ambito sanitario. Al tuo fianco nello sviluppo di soluzioni AI-based
La disciplina introdotta dalla Legge 132/2025 segna un punto di svolta nel rapporto tra innovazione tecnologica, ricerca scientifica e tutela dei diritti fondamentali, con particolare riguardo al trattamento dei dati sanitari.
La complessità delle nuove disposizioni rende auspicabile per imprese ed enti di ricerca che lo sviluppo di progetti basati sull’Intelligenza Artificiale sia conforme alla normativa vigente, così da evitare di incorrere in responsabilità (anche penali) e, al contempo, valorizzare appieno le opportunità offerte dall’intelligenza artificiale.
Lo Studio Legale D’Agostino, con expertise consolidata nell’ambito del diritto delle nuove tecnologie, fornisce consulenza strategica e supporto operativo a chi intenda sviluppare progetti AI nel settore sanitario e della ricerca. Contattaci per un confronto!