·
Adozione della tecnologia
Assistenza sanitaria
IT sanitario / CIO
Normative UE sull'IA sanitaria: MDR, GDPR e AI Act
Orientarsi tra le normative UE per l'IA clinica. Comprendere i requisiti MDR per i dispositivi medici, la protezione dei dati GDPR e gli obblighi di conformità all'AI Act per le organizzazioni sanitarie

L'IA sanitaria in Europa non è regolata da un unico quadro normativo, ma da tre distinti quadri che operano simultaneamente, ciascuno con la propria autorità, i propri obblighi di conformità e i propri meccanismi di applicazione. Uno strumento di IA clinica che supporta le decisioni diagnostiche può richiedere la marcatura CE come dispositivo medico, deve gestire i dati dei pazienti in conformità al Regolamento generale sulla protezione dei dati (GDPR) ed è probabile che venga classificato come ad alto rischio ai sensi della legge sull'IA dell'UE. Questi quadri normativi non si applicano in sequenza, ma in parallelo e interagiscono in modi non sempre lineari. Per le organizzazioni sanitarie che valutano o implementano l'IA, comprendere questo panorama normativo è un prerequisito per un approvvigionamento responsabile e un uso clinico sicuro.
I tre pilastri normativi che ogni azienda di IA sanitaria deve conoscere
Tre distinti quadri normativi dell'UE regolano l'implementazione dell'IA clinica, ciascuno con una diversa area di interesse primaria.
Il Regolamento sui dispositivi medici dell'UE (MDR) 2017/745 disciplina la sicurezza e le prestazioni. Il suo obiettivo è stabilire se un prodotto, incluso il software, sia sicuro per lo scopo clinico previsto e sia stato validato per funzionare come dichiarato.
Il GDPR disciplina la privacy. Il suo scopo è definire come i dati personali, in particolare quelli sanitari, vengano raccolti, trattati, archiviati e condivisi, e come garantire che gli individui mantengano diritti effettivi sulle proprie informazioni.
La legge sull'IA dell'UE (Regolamento (UE) 2024/1689, in vigore dal 1° agosto 2024) disciplina il rischio sistemico. Il suo obiettivo è stabilire se i sistemi di IA siano trasparenti, responsabili e soggetti a un'adeguata supervisione umana, in particolare quando tali sistemi influenzano i diritti fondamentali o decisioni critiche per la sicurezza.
Come confermato in una FAQ congiunta del Medical Device Coordination Group (MDCG) e del Comitato per l'IA dell'UE (MDCG 2025-6) nel 2025, i sistemi di IA che si qualificano come dispositivi medici devono conformarsi contemporaneamente sia al MDR/IVDR sia alla legge sull'IA. La conformità a un quadro normativo non sostituisce quella a un altro.
Quando l'IA sanitaria si qualifica come dispositivo medico ai sensi del MDR
Ai sensi del MDR 2017/745, la questione centrale è se uno strumento software abbia una destinazione d'uso medica, ovvero se il suo produttore lo intenda per l'uso nella diagnosi, prevenzione, monitoraggio, previsione, prognosi, trattamento o alleviamento di una malattia. Il software che soddisfa questa definizione è classificato come Software as a Medical Device (SaMD) e deve conformarsi all'intero regime MDR.
La destinazione d'uso è il fattore determinante. Uno strumento di documentazione che trascrive note cliniche senza interpretare o influenzare le decisioni cliniche si trova in una posizione normativa diversa rispetto a un sistema di IA che segnala reperti anomali, suggerisce diagnosi o stabilisce le priorità del triage dei pazienti. Quest'ultimo ha molte più probabilità di essere classificato come SaMD.
Quando uno strumento è classificato come dispositivo medico, il produttore deve:
Condurre una valutazione di conformità adeguata alla classificazione di rischio del dispositivo (Classe I fino a III)
Produrre e mantenere una documentazione tecnica completa
Implementare un sistema di gestione della qualità (QMS)
Ottenere la marcatura CE prima di immettere il dispositivo sul mercato dell'UE
Mantenere la sorveglianza post-commercializzazione e segnalare gli incidenti gravi
L'analisi di King & Spalding delle linee guida MDCG 2025-6 identifica cinque aree operative chiave in cui gli obblighi MDR e della legge sull'IA convergono: sistemi di gestione, governance dei dati, documentazione tecnica, trasparenza e supervisione umana, sicurezza informatica e accuratezza. I produttori dovrebbero considerare questi aspetti come requisiti integrati, non come checklist parallele.
Una complicazione pratica è la carenza di Organismi notificati designati, ossia le organizzazioni indipendenti di valutazione della conformità richieste per le classificazioni di dispositivi a rischio più elevato. Baker McKenzie ha osservato che questo collo di bottiglia, unito a un significativo divario negli standard armonizzati per i rischi specifici dell'IA come il bias algoritmico e il model drift, crea ritardi concreti per i produttori che cercano l'accesso al mercato.
GDPR e IA clinica: cosa sono i dati di categoria speciale e perché è importante
I dati sanitari trattati dai sistemi di IA sono classificati come dati di categoria speciale ai sensi dell'articolo 9 del GDPR, ricevendo il massimo livello di protezione previsto dalla normativa UE sulla protezione dei dati. Questa classificazione si applica indipendentemente dal fatto che il sistema di IA sia il titolare del trattamento primario o un responsabile del trattamento a valle. È la natura dei dati, non il ruolo del responsabile, a determinare la classificazione.
Per le implementazioni di IA clinica, ciò comporta diverse implicazioni dirette.
Base giuridica. Il trattamento di dati sanitari di categoria speciale richiede sia una base giuridica ai sensi dell'articolo 6 sia una condizione aggiuntiva ai sensi dell'articolo 9. Nei contesti clinici, le condizioni dell'articolo 9 più comunemente applicate sono: trattamento necessario per la diagnosi medica o la fornitura di assistenza sanitaria (articolo 9(2)(h)), trattamento per motivi di interesse pubblico nel settore della sanità pubblica (articolo 9(2)(i)) e, quando nessuna delle due si applica, consenso esplicito (articolo 9(2)(a)). Il consenso è raramente la base più appropriata in ambito clinico, dato l'intrinseco squilibrio di potere tra pazienti e operatori sanitari.
Minimizzazione dei dati e limitazione delle finalità. I sistemi di IA devono trattare solo i dati necessari per lo scopo specificato e tali dati non possono essere riutilizzati senza una nuova base giuridica. Questo crea una particolare tensione quando i fornitori desiderano utilizzare i dati clinici per l'addestramento o il miglioramento del modello, un uso tipicamente distinto dalla finalità clinica originale.
Diritti degli interessati. I pazienti mantengono i diritti di accesso, rettifica e, in determinate circostanze, cancellazione, anche quando i loro dati sono stati trattati da sistemi di IA. Le organizzazioni sanitarie devono essere in grado di rispondere a queste richieste anche per i dati detenuti o trattati da fornitori di IA terzi.
Una revisione dei quadri di privacy e governance per i dispositivi sanitari basati su IA ha evidenziato che la conformità al GDPR in contesti clinici abilitati all'IA richiede non solo controlli tecnici, ma anche strutture di governance continue, comprese le valutazioni d'impatto sulla protezione dei dati (DPIA), i registri delle attività di trattamento e accordi di responsabile del trattamento dei dati chiaramente definiti.
Residenza dei dati e flussi di dati transfrontalieri nell'IA sanitaria dell'UE
Il GDPR impone restrizioni rigorose sul trasferimento di dati personali al di fuori dello Spazio economico europeo (SEE). Per i fornitori di IA clinica, ciò significa che quando i dati dei pazienti vengono trattati o archiviati su infrastrutture situate al di fuori del SEE, incluse piattaforme cloud ospitate negli Stati Uniti o altrove, devono essere previsti specifici meccanismi di trasferimento.
I principali meccanismi sono:
Decisioni di adeguatezza, in cui la Commissione europea ha stabilito che un paese terzo offre un livello equivalente di protezione dei dati (attualmente copre un numero limitato di giurisdizioni)
Clausole contrattuali standard (SCC), che impongono obblighi contrattuali sia all'esportatore che all'importatore di dati
Norme vincolanti d'impresa (BCR), utilizzate principalmente all'interno di gruppi aziendali multinazionali
Per le organizzazioni sanitarie, la questione pratica non è semplicemente se un fornitore abbia firmato le SCC, ma dove i dati vengono effettivamente trattati e archiviati. La residenza dei dati all'interno dell'UE significa che i dati dei pazienti vengono trattati e archiviati su infrastrutture fisicamente situate nel SEE. Questo elimina la necessità di meccanismi di trasferimento transfrontaliero e semplifica notevolmente la conformità al GDPR. Le organizzazioni sanitarie dovrebbero richiedere ai fornitori di specificarlo nella documentazione contrattuale.
Un'analisi comparativa delle politiche sulla regolamentazione della sicurezza informatica nella sanità digitale negli Stati Uniti, nell'UE e in India ha evidenziato che l'approccio dell'UE alla sovranità dei dati nel settore sanitario è significativamente più prescrittivo rispetto ad altre giurisdizioni, un fattore che incide sul modo in cui i fornitori globali di IA progettano i loro prodotti per i mercati europei.
Come la legge sull'IA dell'UE classifica l'IA sanitaria e cosa significa "ad alto rischio" nella pratica
La legge sull'IA dell'UE stabilisce un sistema di classificazione basato sul rischio con quattro livelli: rischio inaccettabile (vietato), alto rischio, rischio limitato e rischio minimo. La maggior parte degli strumenti di IA clinica, inclusi i sistemi di supporto diagnostico, gli strumenti di triage e gli assistenti di documentazione clinica che influenzano i percorsi di cura, rientrerà probabilmente nella categoria ad alto rischio.
Ai sensi dell'articolo 6(1) e dell'allegato I della legge sull'IA, i sistemi di IA che sono regolamentati come dispositivi medici ai sensi del MDR o dell'IVDR sono automaticamente classificati come sistemi di IA ad alto rischio. Il SaMD con marcatura CE è soggetto sia ai requisiti di conformità MDR sia al regime completo di conformità della legge sull'IA per i sistemi ad alto rischio.
L'analisi di Hunton Andrews Kurth sull'applicazione della legge sull'IA ai dispositivi medici delinea gli obblighi chiave per i sistemi di IA ad alto rischio:
Documentazione tecnica: registrazioni dettagliate della progettazione del sistema, dei dati di addestramento, della metodologia di validazione e delle limitazioni note
Gestione del rischio: un sistema di gestione del rischio continuo che copra i rischi specifici dell'IA, inclusi bias algoritmico e model drift
Governance dei dati: requisiti relativi ai set di dati di addestramento, validazione e test, inclusi il rilevamento del bias e i controlli di qualità dei dati
Trasparenza e istruzioni per l'uso: documentazione chiara affinché distributori e utenti possano comprendere le capacità e le limitazioni del sistema
Supervisione umana: misure tecniche e organizzative che garantiscano che gli esseri umani possano monitorare, ignorare e intervenire efficacemente sugli output dell'IA
Valutazione di conformità: valutazione formale prima dell'immissione sul mercato, con monitoraggio post-commercializzazione continuo
Registrazione: i sistemi di IA ad alto rischio devono essere registrati nella banca dati dell'UE per i sistemi di IA
La legge sull'IA introduce anche obblighi di alfabetizzazione sull'IA, in vigore da febbraio 2025, che richiedono a fornitori e distributori di garantire che il personale che lavora con i sistemi di IA abbia una comprensione sufficiente delle capacità e delle limitazioni della tecnologia. Taylor Wessing osserva che questo obbligo si applica anche alle organizzazioni sanitarie che implementano strumenti di IA, non solo ai fornitori.
Dove MDR, GDPR e legge sull'IA si sovrappongono e dove entrano in conflitto
I tre quadri normativi condividono diversi elementi comuni. Tutti richiedono trasparenza su come funziona un sistema, quali dati utilizza e quali sono le sue limitazioni. Tutti richiedono una gestione del rischio documentata. Tutti impongono obblighi di monitoraggio post-commercializzazione o continuo. Quando il MDR richiede la sorveglianza post-commercializzazione e la legge sull'IA richiede il monitoraggio post-commercializzazione, questi obblighi possono, in linea di principio, essere soddisfatti attraverso un processo unificato.
Un'analisi peer-reviewed pubblicata nel 2025 che esamina il nesso normativo tra la legge sull'IA e il MDR/IVDR ha confermato che il QMS richiesto ai sensi del MDR può fungere da base per la conformità alla legge sull'IA e che i requisiti di documentazione tecnica previsti da entrambi i quadri possono essere integrati piuttosto che duplicati. L'articolo 8 della legge sull'IA prevede esplicitamente questa integrazione per i dispositivi medici basati su IA.
Esistono tuttavia tensioni reali.
Conservazione dei dati vs. minimizzazione dei dati. La legge sull'IA incoraggia, e in alcuni casi richiede, la conservazione dei dati di addestramento, dei set di dati di validazione e dei log per scopi di audit e responsabilità. I principi di minimizzazione dei dati e limitazione della conservazione del GDPR spingono nella direzione opposta. I fornitori devono affrontare questa tensione esplicitamente, tipicamente attraverso programmi di conservazione specifici per finalità e anonimizzazione quando possibile.
Trasparenza vs. riservatezza commerciale. Sia la legge sull'IA che il GDPR richiedono una trasparenza significativa su come i sistemi di IA trattano i dati e producono gli output. In pratica, i fornitori possono essere riluttanti a divulgare le architetture di modelli proprietari. I quadri normativi non risolvono completamente questa tensione.
Bias algoritmico e principio di equità del GDPR. Il GDPR richiede che il trattamento automatizzato sia equo, ma non specifica come l'equità debba essere misurata nei sistemi di IA. La legge sull'IA introduce requisiti di governance dei dati più specifici relativi al rilevamento del bias, ma i commentatori accademici hanno osservato che nessuno dei due quadri fornisce una guida metodologica definitiva per gli sviluppatori di IA sanitaria.
Il panorama normativo stesso è in evoluzione. Due proposte legislative dell'UE concorrenti, il Digital Omnibus (guidato dalla DG CONNECT) e l'emendamento MDR/IVDR della DG SANTE, stanno entrambe cercando di semplificare la sovrapposizione tra la legge sull'IA e il MDR. L'analisi del Petrie-Flom Center della Harvard Law School solleva preoccupazioni sul fatto che gli sforzi di semplificazione potrebbero inavvertitamente indebolire le salvaguardie di supervisione umana, in particolare per i clinici e i pazienti. L'esito di queste proposte resta incerto a metà del 2026.
Chi è responsabile ai sensi di ciascun quadro normativo: il fornitore, l'ospedale o entrambi
La responsabilità normativa ai sensi dei tre quadri è distribuita piuttosto che univoca, e l'allocazione varia a seconda del quadro applicabile.
Ai sensi del MDR, l'obbligo principale ricade sul produttore, tipicamente il fornitore di IA. Il produttore è responsabile della valutazione di conformità, della marcatura CE, della documentazione tecnica e della sorveglianza post-commercializzazione. Un'organizzazione sanitaria che implementa un SaMD con marcatura CE senza modifiche agisce generalmente come operatore piuttosto che come produttore, con obblighi più limitati.
Ai sensi del GDPR, l'allocazione dipende da chi determina le finalità e i mezzi del trattamento. Un'organizzazione sanitaria che implementa un sistema di IA per trattare le cartelle cliniche dei pazienti è tipicamente il titolare del trattamento, con responsabilità primaria per la base giuridica, i diritti dei pazienti e gli obblighi DPIA. Il fornitore di IA, che tratta i dati per conto dell'organizzazione, è tipicamente il responsabile del trattamento, vincolato da un accordo di trattamento dei dati (DPA) che specifica l'ambito e le condizioni del trattamento.
Ai sensi della legge sull'IA dell'UE, si distingue tra fornitori (chi sviluppa o immette sul mercato sistemi di IA) e distributori (chi utilizza sistemi di IA in un contesto professionale). I fornitori sostengono l'onere principale della conformità per i sistemi di IA ad alto rischio, coprendo la documentazione tecnica, la valutazione di conformità e la registrazione. I distributori hanno i propri obblighi: implementare misure di supervisione umana, garantire l'alfabetizzazione sull'IA tra il personale, monitorare le prestazioni del sistema in uso e sospendere l'uso quando emergono problemi di sicurezza.
L'analisi di White & Case del panorama post-direttiva sulla responsabilità dell'IA, a seguito del ritiro di tale direttiva nel febbraio 2025, conferma che la direttiva rivista sulla responsabilità per danno da prodotti difettosi fa ora parte del quadro di responsabilità per i dispositivi medici basati su IA, con implicazioni sia per i produttori sia per i distributori in caso di danno causato da un sistema di IA difettoso.
Un ospedale che implementa uno strumento di IA clinica non può presumere che la conformità normativa sia interamente responsabilità del fornitore. La chiarezza contrattuale su ruoli, obblighi e allocazione della responsabilità è essenziale prima dell'implementazione.
Cosa dovrebbero chiedere le organizzazioni sanitarie ai fornitori di IA prima dell'implementazione
I team di approvvigionamento e i responsabili clinici che valutano strumenti di IA per l'implementazione clinica dovrebbero ottenere risposte chiare e documentate alle seguenti domande.
Su MDR e stato di dispositivo medico:
Questo prodotto è classificato come dispositivo medico ai sensi del MDR UE 2017/745?
Se sì, qual è la sua classificazione di rischio e la marcatura CE è stata ottenuta?
Potete fornire la Dichiarazione di conformità e il riepilogo della sicurezza e delle prestazioni cliniche?
Come viene effettuata la sorveglianza post-commercializzazione e come vengono segnalati gli incidenti?
Su GDPR e trattamento dei dati:
Dove vengono trattati e archiviati i dati dei pazienti? La residenza dei dati nell'UE è garantita?
Firmerete un accordo di trattamento dei dati conforme all'articolo 28 del GDPR?
È disponibile per la revisione una valutazione d'impatto sulla protezione dei dati?
I dati dei pazienti vengono utilizzati per l'addestramento o il miglioramento del modello? Se sì, su quale base giuridica?
Come vengono gestiti i diritti degli interessati (accesso, cancellazione, rettifica)?
Sulla legge sull'IA dell'UE:
Questo sistema è classificato come sistema di IA ad alto rischio ai sensi della legge sull'IA dell'UE?
Quale valutazione di conformità è stata completata, o è pianificata, ai sensi della legge sull'IA?
Quale documentazione tecnica è disponibile che copre i dati di addestramento, la validazione e le limitazioni note?
Quali meccanismi di supervisione umana sono integrati nel sistema?
Il sistema è registrato nella banca dati dei sistemi di IA dell'UE?
Su sicurezza e audit:
L'organizzazione possiede la certificazione ISO 27001 aggiornata?
Quali capacità di audit trail fornisce il sistema?
Come vengono identificate e affrontate le vulnerabilità di sicurezza informatica dopo l'implementazione?
Sull'alfabetizzazione sull'IA:
Quale formazione o documentazione viene fornita per supportare gli obblighi di alfabetizzazione sull'IA ai sensi della legge sull'IA?
Risposte incomplete o evasive a queste domande dovrebbero essere considerate un segnale di rischio significativo per l'approvvigionamento.
Come sta evolvendo il panorama normativo: cosa osservare nel 2026 e oltre
La legge sull'IA dell'UE è entrata in vigore nell'agosto 2024, ma i suoi obblighi si applicano secondo una tempistica graduale. Le tappe fondamentali includono:
Febbraio 2025: si applicano i divieti sui sistemi di IA a rischio inaccettabile, entrano in vigore gli obblighi di alfabetizzazione sull'IA per fornitori e distributori
Agosto 2026: gli obblighi per i sistemi di IA ad alto rischio ai sensi del capitolo III si applicano integralmente, inclusi quelli per i dispositivi medici basati su IA ai sensi dell'allegato I
Agosto 2027: piena applicabilità di tutte le disposizioni rimanenti
La guida alla conformità di MDX CRO osserva che esistono disposizioni transitorie per i sistemi di IA già legalmente sul mercato prima dell'agosto 2026, ma queste sono limitate nel tempo e non esentano i produttori dall'eventuale piena conformità.
Due ulteriori sviluppi meritano particolare attenzione.
Il regolamento sullo Spazio europeo dei dati sanitari (EHDS) è entrato in vigore il 26 marzo 2025. L'EHDS crea un quadro per l'uso secondario dei dati sanitari, incluso per lo sviluppo e la ricerca sull'IA, negli Stati membri dell'UE. Le linee guida ufficiali della Commissione europea sull'IA nel settore sanitario identificano l'EHDS come un fattore abilitante chiave per lo sviluppo responsabile dell'IA clinica, ma la sua interazione con il principio di limitazione delle finalità del GDPR richiederà chiarimenti continui man mano che l'attuazione procede.
Proposte di semplificazione concorrenti, il Digital Omnibus e l'emendamento MDR/IVDR della DG SANTE, stanno entrambe cercando di ridurre l'onere di conformità all'intersezione tra MDR e legge sull'IA. Come ha osservato il Petrie-Flom Center della Harvard Law School, l'esito di queste proposte potrebbe alterare significativamente il panorama della conformità per l'IA clinica, sia semplificando i requisiti di conformità doppia sia, se le disposizioni di supervisione umana vengono indebolite, creando nuovi rischi per la sicurezza dei pazienti.
L'incertezza sulla legalità dell'uso dell'IA in contesti clinici specifici rimane una sfida reale per i fornitori di assistenza sanitaria, anche quando esistono quadri normativi. La conformità normativa nell'IA clinica non è una casella di controllo dell'approvvigionamento una tantum. Richiede un monitoraggio continuo di un ambiente normativo in costante evoluzione e una struttura di governance in grado di adattarsi man mano che gli obblighi cambiano.
Domande frequenti
Quali quadri normativi si applicano all'IA clinica in Europa
Tre quadri normativi dell'UE si applicano simultaneamente all'IA clinica. Il Regolamento sui dispositivi medici (MDR) 2017/745 disciplina la sicurezza e le prestazioni. Il Regolamento generale sulla protezione dei dati (GDPR) regola come i dati dei pazienti vengono raccolti, trattati e archiviati. La legge sull'IA dell'UE (Regolamento (UE) 2024/1689), in vigore dal 1° agosto 2024, disciplina la trasparenza, la responsabilità e la supervisione umana. Una FAQ congiunta del Medical Device Coordination Group e del Comitato per l'IA dell'UE ha confermato nel 2025 che la conformità a un quadro normativo non sostituisce quella a un altro.
Quando uno strumento di IA clinica si qualifica come dispositivo medico ai sensi del MDR UE
Uno strumento di IA clinica si qualifica come dispositivo medico quando il suo produttore lo intende per l'uso nella diagnosi, prevenzione, monitoraggio, previsione, prognosi, trattamento o alleviamento di una malattia. Il software che soddisfa questa definizione è classificato come Software as a Medical Device (SaMD). Uno strumento di documentazione che trascrive note cliniche senza influenzare le decisioni cliniche si trova in una posizione normativa diversa rispetto a un sistema di IA che segnala reperti anomali o stabilisce le priorità del triage dei pazienti. Quest'ultimo ha molte più probabilità di essere classificato come SaMD e deve ottenere la marcatura CE prima di essere immesso sul mercato dell'UE.
Come si applica il GDPR ai dati sanitari trattati dai sistemi di IA
I dati sanitari trattati dai sistemi di IA sono classificati come dati di categoria speciale ai sensi dell'articolo 9 del GDPR, ricevendo il massimo livello di protezione previsto dalla normativa UE sulla protezione dei dati. Il loro trattamento richiede sia una base giuridica ai sensi dell'articolo 6 sia una condizione aggiuntiva ai sensi dell'articolo 9. Nei contesti clinici, le condizioni più comunemente applicate sono il trattamento necessario per la diagnosi medica o la fornitura di assistenza sanitaria e il trattamento per motivi di interesse pubblico nel settore della sanità pubblica. I sistemi di IA devono inoltre applicare la minimizzazione dei dati, il che significa che possono trattare solo i dati necessari per lo scopo specificato, e tali dati non possono essere riutilizzati senza una nuova base giuridica.
Cosa significa la residenza dei dati nell'UE per i fornitori di IA clinica
La residenza dei dati all'interno dell'UE significa che i dati dei pazienti vengono trattati e archiviati su infrastrutture fisicamente situate all'interno dello Spazio economico europeo (SEE). Il GDPR impone restrizioni rigorose sul trasferimento di dati personali al di fuori del SEE, quindi quando un fornitore tratta dati su infrastrutture situate negli Stati Uniti o altrove, devono essere previsti specifici meccanismi di trasferimento, come le clausole contrattuali standard. La residenza dei dati nell'UE elimina la necessità di questi meccanismi e semplifica notevolmente la conformità al GDPR. Le organizzazioni sanitarie dovrebbero chiedere ai fornitori di specificare le disposizioni sulla residenza dei dati nella documentazione contrattuale.
Come classifica la legge sull'IA dell'UE gli strumenti di IA sanitaria
La legge sull'IA dell'UE stabilisce un sistema di classificazione basato sul rischio con quattro livelli: rischio inaccettabile (vietato), alto rischio, rischio limitato e rischio minimo. La maggior parte degli strumenti di IA clinica, inclusi i sistemi di supporto diagnostico, gli strumenti di triage e gli assistenti di documentazione clinica che influenzano i percorsi di cura, rientrerà probabilmente nella categoria ad alto rischio. Ai sensi dell'articolo 6(1) e dell'allegato I della legge sull'IA, i sistemi di IA regolamentati come dispositivi medici ai sensi del MDR sono automaticamente classificati come sistemi di IA ad alto rischio, rendendoli soggetti sia ai requisiti di conformità MDR sia al regime completo di conformità della legge sull'IA per i sistemi ad alto rischio.
Dove si sovrappongono o entrano in conflitto MDR, GDPR e la legge sull'IA dell'UE
Tutti e tre i quadri normativi richiedono trasparenza, gestione del rischio documentata e obblighi di monitoraggio continuo. Un'analisi peer-reviewed pubblicata nel 2025 ha confermato che il sistema di gestione della qualità richiesto ai sensi del MDR può fungere da base per la conformità alla legge sull'IA e che i requisiti di documentazione tecnica previsti da entrambi i quadri possono essere integrati piuttosto che duplicati. Esistono tuttavia tensioni reali. La legge sull'IA incoraggia la conservazione dei dati di addestramento e dei log per scopi di audit, mentre i principi di minimizzazione dei dati e limitazione della conservazione del GDPR spingono nella direzione opposta. I fornitori devono affrontare questa tensione esplicitamente, tipicamente attraverso programmi di conservazione specifici per finalità e anonimizzazione quando possibile.
Chi è responsabile della conformità normativa: il fornitore di IA o l'organizzazione sanitaria
La responsabilità è distribuita su tutti e tre i quadri normativi e l'allocazione varia a seconda del quadro applicabile. Ai sensi del MDR, l'obbligo principale ricade sul produttore, tipicamente il fornitore di IA, che è responsabile della marcatura CE, della documentazione tecnica e della sorveglianza post-commercializzazione. Ai sensi del GDPR, l'organizzazione sanitaria che implementa il sistema di IA è tipicamente il titolare del trattamento, con responsabilità primaria per la base giuridica e i diritti dei pazienti, mentre il fornitore agisce come responsabile del trattamento. Ai sensi della legge sull'IA dell'UE, i fornitori in quanto tali sostengono l'onere principale della conformità per i sistemi di IA ad alto rischio, ma le organizzazioni che li implementano hanno i propri obblighi, inclusa l'implementazione della supervisione umana e la garanzia dell'alfabetizzazione sull'IA del personale. Un ospedale che implementa uno strumento di IA clinica non può presumere che la conformità normativa sia interamente responsabilità del fornitore.
Quali domande dovrebbero porre le organizzazioni sanitarie ai fornitori di IA prima dell'implementazione
I team di approvvigionamento dovrebbero chiedere ai fornitori di confermare se il prodotto detiene la marcatura CE come dispositivo medico e qual è la sua classificazione di rischio. In tema di protezione dei dati, dovrebbero chiedere dove vengono trattati e archiviati i dati dei pazienti, se la residenza dei dati nell'UE è garantita e se i dati dei pazienti vengono utilizzati per l'addestramento del modello e su quale base giuridica. Sulla legge sull'IA dell'UE, dovrebbero chiedere se il sistema è classificato come ad alto rischio, quale valutazione di conformità è stata completata e quali meccanismi di supervisione umana sono integrati. In tema di sicurezza, dovrebbero chiedere se il fornitore possiede la certificazione ISO 27001 aggiornata. Risposte incomplete o evasive dovrebbero essere considerate un segnale di rischio significativo per l'approvvigionamento.
Quando entrano in pieno vigore gli obblighi della legge sull'IA dell'UE per i sistemi di IA clinica ad alto rischio
La legge sull'IA dell'UE è entrata in vigore il 1° agosto 2024, ma i suoi obblighi si applicano secondo una tempistica graduale. I divieti sui sistemi di IA a rischio inaccettabile e gli obblighi di alfabetizzazione sull'IA per fornitori e distributori sono entrati in vigore nel febbraio 2025. Gli obblighi per i sistemi di IA ad alto rischio ai sensi del capitolo III, inclusi quelli per i dispositivi medici basati su IA, si applicano integralmente dall'agosto 2026. La piena applicabilità di tutte le disposizioni rimanenti segue nell'agosto 2027. Esistono disposizioni transitorie per i sistemi di IA già legalmente sul mercato prima dell'agosto 2026, ma queste sono limitate nel tempo e non esentano i produttori dall'eventuale piena conformità.
Cos'è lo Spazio europeo dei dati sanitari e come influisce sull'IA clinica
Il regolamento sullo Spazio europeo dei dati sanitari (EHDS) è entrato in vigore il 26 marzo 2025. Crea un quadro per l'uso secondario dei dati sanitari, incluso per lo sviluppo e la ricerca sull'IA, negli Stati membri dell'UE. La Commissione europea identifica l'EHDS come un fattore abilitante chiave per lo sviluppo responsabile dell'IA clinica. La sua interazione con il principio di limitazione delle finalità del GDPR, che limita il riutilizzo dei dati senza una nuova base giuridica, richiederà chiarimenti continui man mano che l'attuazione procede.