⚖️ Framework Normativo Essenziale
Regime sanzionatorio: Art. 71 AI Act – Fino a €35 milioni o 7% del fatturato annuo globale (Titolo XII)
Timeline compliance: Applicazione graduale 2025-2027 secondo Art. 113 AI Act
Integrazione normativa: Coordinamento obbligatorio AI Act, GDPR (Art. 22) e MDR (2017/745)
Sistemi alto rischio sanitari: Allegato III, punto 5 – Dispositivi medici IIa+ con IA integrata
Framework di classificazione e obblighi normativi
L’implementazione del Regolamento (UE) 2024/1689 nelle strutture sanitarie private richiede comprensione sistematica del framework di classificazione ex Art. 6 e delle relative obbligazioni operative. I sistemi IA ad alto rischio in ambito sanitario sono definiti dall’Allegato III, punto 5, che include specificamente i sistemi IA integrati in dispositivi medici di Classe IIa o superiore secondo il Regolamento (UE) 2017/745 (MDR), nonché i sistemi destinati alla gestione e funzionamento di servizi sanitari critici e all’allocazione delle risorse sanitarie.
📋 Art. 6 AI Act – Classificazione Sistemi Alto Rischio
Regolamento (UE) 2024/1689, Allegato III, punto 5:
5(a): “Sistemi di IA destinati ad essere utilizzati come dispositivi medici, o come componenti di sicurezza o di salute di dispositivi medici che rientrano nell’ambito di applicazione del regolamento (UE) 2017/745 e del regolamento (UE) 2017/746, nella misura in cui tali sistemi di IA sono soggetti alla valutazione della conformità di terza parte”
5(b): “Sistemi di IA destinati ad essere utilizzati per effettuare decisioni relative all’accesso prioritario ai servizi sanitari, compreso il trasporto d’emergenza e il triage dei pazienti”
La classificazione comporta automaticamente l’applicazione degli obblighi previsti dal Titolo III del Regolamento (Artt. 8-15).
Sistema di gestione della qualità e governance dei dati
L’Art. 17 AI Act impone ai fornitori di sistemi IA ad alto rischio l’implementazione di un sistema di gestione della qualità comprensivo che documenti in maniera sistematica la strategia di conformità dell’organizzazione. Per le strutture sanitarie, questo sistema deve integrarsi con le certificazioni esistenti ISO 13485 e i requisiti MDR, creando un framework di governance unificato.
🏗️ Art. 17 AI Act – Sistema di Gestione della Qualità
Il sistema di gestione della qualità deve garantire la conformità con il presente regolamento in maniera sistematica e trasparente e comprendere almeno i seguenti aspetti:
(a) una strategia di conformità dell’organizzazione ai sensi del presente regolamento;
(b) tecniche, procedure e azioni sistematiche da utilizzare per la progettazione, il controllo della progettazione e la verifica della progettazione del sistema di IA;
(c) tecniche, procedure e azioni sistematiche da utilizzare per lo sviluppo, il controllo della qualità e la garanzia della qualità del sistema di IA;
(d) procedure di esame, prova e convalida da effettuare prima, durante e dopo lo sviluppo del sistema di IA;
L’Art. 10 AI Act stabilisce requisiti specifici per la governance dei dati e la gestione dei dati, richiedendo che i dataset di addestramento, convalida e test soddisfino criteri di qualità appropriati in relazione all’uso previsto del sistema IA. Le strutture sanitarie devono implementare protocolli che garantiscano rappresentatività, completezza e rilevanza dei dati utilizzati, con particolare attenzione alla prevenzione di bias demografici e clinici.
🔗 Integrazione GDPR – Art. 22 Decisioni Automatizzate
L’Art. 22 GDPR stabilisce che “l’interessato ha il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona”.
Coordinamento AI Act-GDPR: I sistemi IA sanitari ad alto rischio che processano dati personali devono garantire supervisione umana significativa (Art. 14 AI Act) e diritto di spiegazione (Art. 13-14 GDPR), richiedendo informative integrate che coprano sia gli obblighi di trasparenza AI Act che i requisiti informativi GDPR.
Supervisione umana e responsabilità clinica
L’Art. 14 AI Act impone requisiti stringenti di supervisione umana per i sistemi ad alto rischio, che nelle strutture sanitarie assume caratteristiche specifiche legate alla responsabilità professionale medica. La supervisione deve essere “significativa” e garantire che le persone fisiche mantengano piena autorità e competenza per supervisionare il funzionamento del sistema IA.
👨⚕️ Art. 14 AI Act – Supervisione Umana
I sistemi di IA ad alto rischio sono progettati e sviluppati in modo tale da poter essere effettivamente supervisionati da persone fisiche durante il periodo in cui il sistema di IA è in uso.
Requisiti operativi per la sanità:
• Mantenimento della competenza clinica decisionale finale
• Capacità di intervenire sul sistema IA o interromperne il funzionamento
• Possibilità di ignorare, modificare o annullare l’output del sistema IA
• Garanzia che l’autorità clinica rimanga sempre presso il professionista sanitario qualificato
Casi d’uso e classificazione normativa
Dispositivi medici con IA integrata
I sistemi IA integrati in dispositivi medici di Classe IIa o superiore ricadono automaticamente nella categoria alto rischio secondo l’Allegato III, punto 5(a) dell’AI Act. Questa classificazione richiede coordinamento tra le procedure di conformità MDR e gli obblighi AI Act, creando un doppio regime di valutazione che coinvolge sia organismi notificati MDR che procedure specifiche AI Act.
⚠️ Colli di Bottiglia negli Organismi Notificati
La Commissione Europea ha identificato significative carenze nella capacità degli organismi notificati di gestire le valutazioni AI Act. Al dicembre 2024, solo 8 organismi notificati su 58 designati per il MDR hanno completato il processo di notifica per le valutazioni AI Act.
Strategie di mitigazione: Avvio precoce delle procedure di conformità, valutazione di organismi notificati con competenze specifiche in IA sanitaria, considerazione di approcci di mutual recognition tra Stati membri per accelerare i processi.
La radiomica e l’imaging diagnostico con IA presentano caratteristiche tecniche specifiche che richiedono validazione clinica secondo standard definiti. La letteratura scientifica riporta variazioni significative nelle performance a seconda dei dataset utilizzati e delle condizioni operative, richiedendo validazione specifica per ogni contesto di implementazione.
Riferimento: European Society of Radiology (ESR) – “AI in Medical Imaging: Deployment, Validation and Monitoring” (Insights into Imaging, 2024)
Sistemi di triage e allocazione risorse
I sistemi IA destinati a decisioni relative all’accesso prioritario ai servizi sanitari, incluso il triage dei pazienti, sono specificatamente menzionati nell’Allegato III, punto 5(b) come sistemi ad alto rischio. Questi sistemi richiedono particolare attenzione alla valutazione d’impatto sui diritti fondamentali secondo l’Art. 29 AI Act.
⚖️ Art. 29 AI Act – Valutazione d’Impatto sui Diritti Fondamentali (FRIA)
Prima di mettere in uso un sistema di IA ad alto rischio […], i deployer che sono enti pubblici o privati che forniscono servizi pubblici effettuano una valutazione d’impatto sui diritti fondamentali (FRIA).
Elementi specifici della FRIA per sistemi di triage sanitario:
• Valutazione rischio discriminazione nell’accesso alle cure
• Analisi proporzionalità delle decisioni algoritmiche
• Garanzie procedurali per la contestazione delle decisioni
• Trasparenza nei criteri di prioritizzazione
Integrazione con sistemi informativi sanitari
L’integrazione di sistemi IA con Electronic Health Records (EHR) e sistemi informativi sanitari esistenti richiede coordinamento tra AI Act e normative sulla protezione dei dati. L’Art. 5 GDPR stabilisce i principi fondamentali del trattamento che devono essere rispettati anche quando i dati sono processati da sistemi IA.
🔐 Principi GDPR nell’IA Sanitaria (Art. 5)
Liceità, correttezza e trasparenza: I sistemi IA devono operare secondo base giuridica appropriata con trasparenza verso gli interessati
Limitazione della finalità: Utilizzo dei dati coerente con le finalità sanitarie originarie dichiarate
Minimizzazione dei dati: Processamento limitato ai dati necessari per le finalità specifiche dell’IA
Esattezza: Garanzia qualità e aggiornamento continuo dei dataset di training e operativi
Limitazione della conservazione: I dati devono essere conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità. Nel contesto dell’IA sanitaria, ciò richiede l’implementazione di policy rigorose di data retention per i log di input/output e l’anonimizzazione tempestiva dei dati storici non più necessari per la continuità di cura.
🚑 Conclusioni e Roadmap Operativa
L’adeguamento all’AI Act non rappresenta un mero adempimento burocratico, ma una sfida cruciale di governance clinica. Le strutture sanitarie che avvieranno oggi la mappatura dei propri sistemi e l’aggiornamento delle DPIA acquisiranno un vantaggio competitivo determinante, evitando il prevedibile “collo di bottiglia” delle certificazioni atteso per il 2026.
Il rischio della non-conformità non è solo sanzionatorio, ma reputazionale.
Dott. Luca Morini | DPO e Consulente Legale-Tecnico AI
