Ho passato anni a leggere cartelle cliniche. Le ho lette per accertare cause di morte, per valutare responsabilità professionali, per capire cosa fosse successo davvero tra un paziente e il sistema che avrebbe dovuto curarlo. In quelle cartelle c’è tutto: la diagnosi che nessuno aveva voluto fare, il ricovero psichiatrico di trent’anni prima che il paziente aveva taciuto per vergogna, la malattia sessualmente trasmessa che aveva confessato solo al medico di base. Dati che una persona porta con sé come una seconda pelle, spesso più intima di qualsiasi segreto.
Ora mi chiedo quante di quelle persone sanno, o avrebbero saputo se fossero ancora in vita, che quei dati potrebbero essere pseudonimizzati, aggregati, resi disponibili, entro progetti autorizzati, a soggetti pubblici e privati coinvolti nella ricerca, usati per addestrare sistemi di intelligenza artificiale. Non per frode, non per negligenza. Per legge.
È quello che prevede l’articolo 8 della legge 132/2025, in vigore dal 10 ottobre 2025. È quello che il Regolamento europeo EHDS (Reg. UE 2025/327) sta costruendo su scala continentale. Entrambi i provvedimenti hanno un obiettivo che condivido: i dati sanitari aggregati sono una risorsa straordinaria per la ricerca, tenerli chiusi in silos ha un costo reale in termini di vite umane. Il problema non è l’obiettivo. È quello che è stato sacrificato per raggiungerlo, e che nessuno ha avuto il coraggio di nominare con chiarezza.
Il consenso è diventato un’informativa. Non è la stessa cosa
L’articolo 8 qualifica come «rilevante interesse pubblico», ai sensi dell’art. 9 co. 2 lett. g) del GDPR, le attività di sviluppo di sistemi di IA in ambito sanitario svolte da soggetti pubblici, IRCCS, e soggetti privati in partnership con tali enti nell’ambito di progetti di ricerca congiunti. Questa qualificazione tecnica ha una conseguenza pratica molto concreta: consente il trattamento di dati personali sensibili, inclusi i dati sulla salute, senza il consenso dell’interessato. Non serve che il paziente accetti. Basta comunicare preventivamente il progetto al Garante, allegando misure di sicurezza, valutazione d’impatto e designazione dei responsabili del trattamento, attendere trenta giorni senza che sopravvenga un provvedimento di blocco, e si può procedere.
Per i trattamenti finalizzati ad anonimizzare, pseudonimizzare o sintetizzare i dati, la soglia si abbassa ulteriormente: è sufficiente una «semplice informativa» all’interessato. Non consenso: informativa. Il paziente viene avvertito. Non può però opporsi a quella specifica operazione.
Nella pratica clinica quotidiana, so bene cosa significa. Chi di noi legge, nelle pagine che firma all’accettazione ospedaliera, la clausola che informa che i propri dati saranno usati per addestrare algoritmi diagnostici? Quelle clausole esistono già, in alcuni moduli. Stanno in fondo, scritte in corpo otto, sepolte tra il consenso al trattamento e la firma per la privacy. Nessun paziente le legge. Nessun operatore le illustra. L’informativa c’è. La comprensione, no.
Il passaggio dal consenso all’informativa viene presentato come una semplificazione ragionevole, necessaria per non bloccare la ricerca con una burocrazia opprimente. L’argomento ha una sua logica. Ma merita di essere chiamato con il suo nome: è una «riduzione della capacità di controllo individuale sui propri dati sanitari», giustificata dall’interesse collettivo. Può essere accettabile. Ma solo a condizioni che la legge, allo stato attuale, non garantisce.
Chi accede davvero ai dati
L’articolo 8 include tra i beneficiari del regime semplificato i soggetti privati operanti nel settore sanitario – aziende farmaceutiche, società di tecnologia sanitaria, produttori di dispositivi medici – purché operanti nell’ambito di progetti di ricerca che includano la partecipazione di soggetti pubblici e di privati senza scopo di lucro o IRCCS. Non è quindi sufficiente una qualsiasi partnership pubblico-privato: la norma richiede che nel progetto siano presenti, accanto al soggetto profit, almeno un ente pubblico e un soggetto non profit o IRCCS (la congiunzione “e” del testo legislativo, pur sintatticamente ambigua e non ancora chiarita dai decreti attuativi, è letta dalla dottrina prevalente in senso cumulativo).
Il confine tra interesse pubblico e interesse commerciale rimane tuttavia sottile proprio nel punto in cui dovrebbe essere più netto. Un’azienda farmaceutica che partecipa a un progetto di ricerca con un IRCCS e un’associazione non profit accede, in quel quadro, a dataset sanitari anche di ampia dimensione. Non esiste oggi un registro pubblico aggiornato e interrogabile dei soggetti che accedono ai dataset sanitari nazionali, con indicazione delle finalità dichiarate e del ruolo commerciale del richiedente. Il paziente che volesse esercitare il diritto di opposizione garantito dal GDPR non saprebbe, nella maggior parte dei casi, «nei confronti di chi» esercitarlo.
Questo è il nodo che il dibattito tecnico-giuridico tende a sorvolare: la trasparenza non è un optional di sistema, è la precondizione di qualsiasi tutela effettiva. Un diritto che non si può esercitare perché mancano le informazioni per attivarlo è un diritto nominale.
L’EHDS e l’opt-out che non tutti possono usare
Il Regolamento europeo EHDS opera un cambiamento concettuale che la sua veste tecnica tende a nascondere: si passa da un sistema fondato sul «consenso come presupposto» del trattamento dei dati sanitari a un sistema fondato sulla «condivisione come regola di default», con il diritto di opposizione come eccezione. Il divieto per gli Stati membri di mantenere o introdurre disposizioni nazionali che richiedano il consenso per l’uso secondario dei dati è sancito esplicitamente dall’art. 51 par. 4 EHDS (il considerando 52 ne esprime la ratio).
Il paziente conserva formalmente il diritto di «opt-out». Ma esercitarlo richiede di sapere che esiste, di sapere come attivarlo, di avere accesso a una piattaforma digitale e la capacità di usarla, condizioni che non sono affatto uniformemente distribuite. Secondo i dati ISTAT (report «Cittadini e ICT – Anno 2025», pubblicato ad aprile 2026): il 35,7% degli italiani over 75 usa internet, e il 63,9% delle famiglie composte esclusivamente da anziani over 65 dispone di un accesso a internet da casa. Queste fasce coincidono in larghissima parte con i pazienti cronici e fragili: coloro che producono i dataset più ricchi e più rilevanti per la ricerca. Coloro che, nella vita reale, hanno meno possibilità di opporsi a qualcosa che non sanno stia accadendo.
Non è una considerazione retorica. È un dato strutturale del sistema. Un diritto distribuito in modo così asimmetrico non è un diritto: è un privilegio riservato a chi ha competenze digitali e tempo.
La ferita aperta: l’oscuramento nel FSE
C’è una questione specifica che mi preoccupa più delle altre, e che la dottrina giuridica ha segnalato senza che il legislatore abbia ancora risposto. Nel Fascicolo sanitario elettronico, il paziente può oscurare singole prestazioni o episodi clinici: renderli visibili al proprio medico curante ma non a terzi. È una prerogativa usata soprattutto da chi è affetto da condizioni particolarmente delicate: patologie psichiatriche, malattie sessualmente trasmesse, dipendenze, tumori. Il paziente oscura perché vuole proteggere aspetti della propria storia clinica che percepisce come potenzialmente discriminatori, o semplicemente troppo intimi per circolare oltre la relazione terapeutica.
L’articolo 8 e l’EHDS operano sulla base di dati pseudonimizzati. Ma la pseudonimizzazione non è anonimizzazione: i dati pseudonimizzati restano dati personali ai sensi del GDPR (art. 4 n. 5), perché la riconducibilità mediata permane. Un paziente che ha oscurato nel FSE un ricovero psichiatrico deve sapere che quell’episodio, pseudonimizzato, potrebbe comunque confluire in un dataset di ricerca. Questa tensione è reale e segnalata dalla dottrina, ma la legge 132/2025 non risolve esplicitamente il punto in un senso o nell’altro. La lascia aperta, in attesa che la giurisprudenza intervenga dove il legislatore non ha voluto farlo.
Per me, che ho passato anni a leggere storie cliniche che le persone avrebbero voluto tenere per sé, questa non è una questione astratta. È la misura concreta di quanto rispettiamo la dignità di chi, con la propria sofferenza, ha reso possibili i dataset su cui quella ricerca si fonda.
Il sistema funziona. Le regole precise, ancora no
A quasi un anno dall’entrata in vigore della legge 132/2025, i decreti attuativi che devono disciplinare le linee guida AGENAS per i dati sintetici, i criteri di anonimizzazione, le modalità di integrazione dell’IA nel FSE non sono ancora stati emanati. In particolare, il decreto del Ministro della salute sul trattamento dei dati sanitari mediante IA avrebbe dovuto essere adottato entro il 7 febbraio 2026 (120 giorni dall’entrata in vigore della legge): la scadenza è trascorsa senza provvedimento. Il quadro normativo è già impostato, mentre le regole applicative restano da definire. La Cabina di regia nazionale per l’EHDS si è insediata il 5 maggio 2026, con il compito di preparare il sistema sanitario italiano all’applicazione del Regolamento. Sul piano europeo, il pieno avvio delle norme sull’uso secondario è previsto per il marzo 2029; l’uso primario (scambio delle prime categorie prioritarie di dati, tra cui la sintesi sanitaria del paziente [patient summary] e prescrizioni elettroniche) diventerà operativo anch’esso a partire dal marzo 2029, con completamento delle categorie residue entro il 2031. Nel frattempo, i dati circolano, la ricerca avanza, e le garanzie restano a metà del guado. Per il paziente che volesse capire a chi appartengono i propri dati, con quali tutele, e come opporsi, la risposta concreta è ancora: aspetta.
Non è una critica di principio al legislatore, che si è mosso in un contesto regolatorio in rapida evoluzione. È una constatazione pratica: un sistema che consente trattamenti rilevanti in assenza delle norme di dettaglio che dovrebbero governarli espone sia i pazienti sia le strutture sanitarie a incertezze evitabili.
Quello che manca, e non è complicato da costruire
Non scrivo questo articolo per sostenere che i dati sanitari non vadano usati per la ricerca. Lo scrivo perché credo che le condizioni in cui vengono usati abbiano conseguenze concrete su persone reali, e che quelle conseguenze siano state sistematicamente sottovalutate.
Un meccanismo di opt-out nazionale semplice e accessibile non è un obiettivo irraggiungibile, ma nessun paese europeo lo ha ancora pienamente realizzato. Il modello più maturo è quello finlandese: la legge sull’uso secondario dei dati sanitari e sociali (n. 552/2019, modificata dalla riforma approvata dal Parlamento nel novembre 2025 e applicabile dal 1° maggio 2026) istituisce Findata come autorità unica per i permessi di accesso e prevede il diritto formale di opposizione all’uso secondario ai sensi del GDPR. Il sistema finlandese adotta un modello opt-out: i dati possono essere utilizzati per finalità secondarie approvate senza informare personalmente l’interessato ogni volta, ma il cittadino conserva il diritto di opporsi al trattamento. Non esiste però ancora una piattaforma unica centralizzata e vincolante per esercitare questa opposizione in modo uniforme verso tutti i titolari del trattamento. La Danimarca, spesso citata come esempio virtuoso, gestisce da decenni i propri registri sanitari nazionali come infrastruttura di ricerca (Danish Health Data Authority, Sundhedsdatastyrelsen). In Danimarca non è previsto un diritto di opt-out all’utilizzo dei dati già presenti nei registri sanitari nazionali per finalità di ricerca. La precedente forskerbeskyttelse, abolita nel 2014, consentiva ai cittadini di non essere contattati dai ricercatori per il reclutamento in nuovi studi, ma non impediva l’impiego dei dati già raccolti nei registri. Ciò che manca in Italia è quindi qualcosa che nemmeno i sistemi più avanzati hanno ancora costruito in modo completo: una piattaforma unificata, raggiungibile anche attraverso il CUP o lo sportello del medico di base, con linguaggio non tecnico e assistenza umana per chi ne ha bisogno. Un opt-out realmente esercitabile, non solo scritto nella legge.
Un registro pubblico dei beneficiari, aggiornato, interrogabile, con indicazione delle finalità dichiarate e del ruolo commerciale del richiedente, permetterebbe al paziente di sapere a chi si sta opponendo, anziché opporsi a un’entità indefinita.
Un formato standardizzato di informativa, validato su campioni di popolazione generale e non redatto da uffici legali per uffici legali, spiegherebbe in linguaggio ordinario cosa succede ai propri dati, perché, e con quali garanzie. La legge 219/2017 ci ha insegnato che il consenso informato ha valore se l’informazione è realmente compresa. Lo stesso principio vale qui.
Infine, il coordinamento tra le scelte di oscuramento nel FSE e il regime EHDS va risolto per legge. Non è un dettaglio tecnico. È la misura di quanto il sistema sia disposto a prendere sul serio le preferenze dei pazienti più vulnerabili.
L’interesse collettivo non è una cambiale in bianco
L’articolo 8 e il Regolamento EHDS non sono provvedimenti sbagliati. Sono provvedimenti parziali, che hanno guardato con chiarezza al lato dell’innovazione e con minore rigore al lato del paziente singolo: quello anziano, quello fragile, quello con una storia clinica che considera parte più intima di sé.
Il dato sanitario non è solo un input per un algoritmo. È la traccia di una malattia, di una crisi, di un dolore, di una guarigione. Chi lo ha prodotto ha una storia. Ha dei diritti. Ha una ragionevole aspettativa che quella storia non diventi materia prima per un sistema di cui non conosce i contorni, i gestori, le finalità.
L’interesse collettivo alla ricerca è reale e legittimo. Ma non è una cambiale in bianco. Non può essere usato per ridurre sistematicamente i diritti individuali senza costruire le compensazioni e le tutele che renderebbero quell’equilibrio non solo legale, ma giusto. In bioetica si chiama principio di giustizia. Nel diritto alla salute, lo garantisce l’art. 32 della Costituzione. Nella pratica clinica, lo chiamiamo rispetto della persona.
Ho letto troppe cartelle cliniche per pensare che si tratti di una questione astratta.
Riferimenti normativi e documentali
Legge 23 settembre 2025, n. 132, «Disposizioni e deleghe al Governo in materia di intelligenza artificiale», in vigore dal 10 ottobre 2025. Art. 8: trattamento dei dati sanitari per attività di ricerca e sviluppo di sistemi di IA.
Regolamento (UE) 2025/327 del Parlamento europeo e del Consiglio, dell’11 febbraio 2025, sullo spazio europeo dei dati sanitari (EHDS). Pubblicato in GUUE il 5 marzo 2025, in vigore il 26 marzo 2025. Applicazione progressiva: avvio norme uso primario e uso secondario (per la maggior parte delle categorie di dati) da marzo 2029; completamento categorie aggiuntive da marzo 2031. Art. 51 par. 4 EHDS: gli Stati membri non possono mantenere o introdurre condizioni aggiuntive — incluse disposizioni che richiedano il consenso — per l’uso secondario dei dati sanitari elettronici, al di là di quanto previsto dal Regolamento.
Riferimenti comparatistici: Finlandia — Act on the Secondary Use of Social and Health Data, n. 552/2019 (Laki sosiaali- ja terveystietojen toissijaisesta käytöstä), in vigore dal 1° maggio 2019. Autorità competente: Findata (Health and Social Data Permit Authority). Riforma approvata dal Parlamento finlandese nel novembre 2025, applicabile dal 1° maggio 2026. Il sistema adotta un modello opt-out (i dati sono disponibili per uso secondario autorizzato senza informare l’interessato caso per caso), con diritto di opposizione individuale ai sensi del GDPR; non esiste ancora una piattaforma centralizzata vincolante per l’esercizio uniforme del diritto di opposizione verso tutti i titolari del trattamento (findata.fi/en/about-findata/your-data-rights). Danimarca — sistema di registri sanitari nazionali gestiti dalla Danish Health Data Authority (Sundhedsdatastyrelsen) sulla base del Sundhedsloven e del Danish Data Protection Act. Non è previsto un diritto di opt-out per la ricerca su dati già registrati nei registri nazionali: la «protezione del ricercatore» (forskerbeskyttelse) introdotta nel 1995 è stata abolita dalla legge nel 2014 (cfr. Nordfalk et al., Scand J Public Health, 2020).
Quadro normativo di riferimento: Reg. (UE) 2016/679 (GDPR) art. 9 co. 2 lett. g) e art. 4 n. 5 (pseudonimizzazione) — L. 219/2017 (consenso informato) — L. 132/2025 artt. 7 e 8 (ricerca e dati sanitari); art. 12-bis inserito nel d.l. 179/2012 (IA nel settore sanitario) — Decreto Ministero della Salute 20 febbraio 2026 (istituzione Cabina di regia EHDS, insediata il 5 maggio 2026) — ISTAT, Cittadini e ICT – Anno 2025 (pubblicato aprile 2026; uso di Internet per fascia di età).
Immagini generate tramite ChatGPT. Tutti i diritti sono riservati. Università di Torino (2026).
