Sanita digitale e privacy: dal GDPR all’AI Act, governare i dati sanitari nel 2026

La sanita digitale e la privacy sono oggi un binomio inscindibile: la digitalizzazione dei dati sanitari porta enormi benefici di cura e di ricerca, ma impone agli operatori e alle strutture sanitarie di governare un quadro normativo in rapida evoluzione. Dal GDPR all’AI Act, passando per il Fascicolo Sanitario Elettronico 2.0 e l’Ecosistema Dati Sanitari, il professionista deve sapere quali dati tratta, con quali adempimenti e con quali responsabilita. Questo articolo, aggiornato al 2026 e con taglio formativo, ripercorre i fondamenti della protezione dei dati, gli adempimenti pratici, gli scenari tipici della sanita e le principali novita normative dell’anno.

Fondamenti del diritto alla privacy e GDPR

Il corso parte dai fondamenti del diritto alla privacy, dalla storica definizione di “diritto a essere lasciati soli” fino alla Carta dei diritti fondamentali dell’Unione Europea e ai riferimenti costituzionali italiani, ricostruendo i precedenti normativi (dalla Direttiva 95/46/CE al Codice Privacy italiano).

Il cuore della materia e il GDPR, il Regolamento UE 2016/679, applicabile dal 25 maggio 2018. Il materiale ne illustra i pilastri culturali: la privacy by design e by default, ossia la protezione dei dati fin dalla progettazione e per impostazione predefinita, e il principio di accountability, la responsabilizzazione del titolare e del responsabile del trattamento, che devono rispettare i principi ed essere in grado di comprovarlo. Il corso parla a questo proposito di una vera e propria “rivoluzione copernicana”.

Vengono poi definiti i concetti chiave: il trattamento, il dato personale, le categorie particolari di dati e in particolare i dati relativi alla salute, oltre a nozioni come la pseudonimizzazione e la profilazione. E la base su cui si costruiscono adempimenti e responsabilita.

Soggetti e adempimenti del trattamento

Il corso descrive i soggetti del trattamento: il titolare, il responsabile, il DPO (Data Protection Officer), l’interessato e il Garante. Il DPO, in particolare, e il responsabile della protezione dei dati che riferisce direttamente al vertice e a cui spettano la sensibilizzazione e la formazione del personale.

Sul fronte degli adempimenti, il materiale richiama l’informativa – da fornire prima della raccolta dei dati e comprensiva dei dati di contatto del DPO – il consenso, che per i dati sensibili deve essere esplicito, e il registro delle attivita di trattamento, descritto come la ricognizione dei trattamenti svolti e delle loro caratteristiche. Vengono trattati anche la valutazione del rischio e la gestione del data breach, ossia la violazione dei dati personali, con la notifica al Garante e la comunicazione all’interessato quando la violazione presenta un rischio elevato.

Il corso illustra inoltre i diritti dell’interessato – accesso, rettifica e altri – con un termine di risposta di un mese, estensibile fino a tre, e le tutele disponibili: il ricorso al Garante e all’Autorita Giudiziaria e il risarcimento del danno.

La privacy negli scenari della sanita

Il materiale applica i principi del GDPR agli scenari concreti della sanita. Per la cartella clinica vengono affrontati il consenso e l’accesso del paziente; per la videosorveglianza in ospedale, l’obbligo di informare pazienti e visitatori tramite cartelli e il rispetto delle norme in materia di lavoro per le telecamere sui luoghi di lavoro.

Tra gli esempi applicativi ricorrenti, la ricetta farmaceutica, in cui i dati dell’interessato devono essere riportati in modo schermato, cosi da poter risalire all’identita solo in caso di necessita, e la consegna dei certificati in busta chiusa. Sono richiamati anche la gestione della lista dei pazienti e i protocolli relativi alle certificazioni verdi Covid-19, con la verifica senza conservazione dei dati.

Questi scenari mostrano come la conformita non sia un adempimento astratto, ma una pratica quotidiana che tocca la maggior parte delle attivita di chi lavora in una struttura sanitaria. Anche qui i contenuti sono resi come quadro formativo, non come parere legale sui singoli casi.

L'evoluzione 2026: AI Act, Data Act e Legge 132/2025

Il corso dedica ampio spazio alle novita del 2026. Il Data Act (Regolamento UE 2023/2854) e l’AI Act (Regolamento UE 2024/1689) ridisegnano il quadro europeo. In ambito sanitario assume rilievo il principio dell’human-in-the-loop: secondo il materiale, di fronte all’output di un sistema di IA il professionista deve sempre validarlo e firmare la nota clinica, assumendosi la responsabilita finale della decisione, che non puo essere delegata interamente alla macchina.

Viene richiamata anche la Legge 132/2025 nel quadro normativo nazionale. Il materiale inquadra queste evoluzioni come un passaggio dal GDPR all’AI Act, in cui la protezione dei dati si intreccia con la governance dei sistemi di intelligenza artificiale.

Il filo conduttore del corso e proprio governare questo cambiamento: capire come le nuove regole incidono sulla pratica delle strutture sanitarie, sui ruoli e sulle responsabilita, mantenendo al centro la tutela dell’interessato. Tutti i riferimenti normativi sono presentati come quadro di principi, da approfondire nei casi concreti con le competenze legali appropriate.

Il nuovo ecosistema dei dati sanitari: FSE 2.0, EDS ed EHDS

L’ultima parte del corso descrive il nuovo ecosistema dei dati sanitari. Il Fascicolo Sanitario Elettronico 2.0 (FSE 2.0) introduce una novita rilevante: per i dati nativi digitali l’alimentazione e automatica e non richiede piu il consenso dell’interessato, mentre permane la necessita del consenso per la consultazione da parte di terzi. Per i dati pregressi, antecedenti al 19 maggio 2020, e garantito ai cittadini il diritto di opposizione (opt-out) al caricamento automatico nel proprio fascicolo.

Il materiale distingue il FSE dall’Ecosistema Dati Sanitari (EDS): il FSE e destinato all’uso primario, ossia la cura del paziente, mentre l’EDS e destinato all’uso secondario – ricerca scientifica, governo e programmazione sanitaria – mediante dati pseudonimizzati.

Il quadro si completa con lo Spazio Europeo dei Dati Sanitari (EHDS) e con gli obblighi della direttiva NIS2 in materia di cybersicurezza per le strutture sanitarie. Conoscere queste architetture e oggi indispensabile per chi tratta dati sanitari, sia sul piano della conformita sia su quello della tutela concreta dei diritti delle persone.

Domande frequenti

Cosa sono i dati personali?

Secondo il corso, i dati personali sono i dati che consentono di identificare un individuo, definito interessato, ossia la persona a cui i dati si riferiscono. In ambito sanitario assumono particolare rilievo i dati relativi alla salute, che il GDPR colloca tra le categorie particolari di dati, soggette a tutele rafforzate.

Da quando si applica il GDPR?

Il nuovo Regolamento Europeo sulla protezione dei dati, il GDPR (Regolamento UE 2016/679), si applica a decorrere dal 25 maggio 2018. Da quella data ha sostituito il precedente impianto normativo, introducendo principi come la privacy by design e l’accountability.

Chi e il DPO?

Il DPO (Data Protection Officer) e il responsabile della protezione dei dati. Riferisce direttamente al vertice gerarchico del titolare o del responsabile del trattamento ed e la figura a cui spettano, tra l’altro, la sensibilizzazione e la formazione del personale in materia di protezione dei dati.

Che cosa si intende per accountability?

L’accountability, secondo il corso, e il principio di responsabilizzazione del titolare e del responsabile del trattamento: devono rispettare i principi del GDPR ed essere in grado di comprovarlo. E uno dei pilastri culturali introdotti dal Regolamento, che sposta l’attenzione dall’adempimento formale alla dimostrazione concreta della conformita.

Che cos'e il data breach?

Il data breach, secondo il corso, e la violazione dei dati personali. La comunicazione all’interessato e dovuta quando la violazione e suscettibile di presentare un rischio elevato per i suoi diritti e liberta; e inoltre prevista la notifica al Garante secondo le regole del GDPR.

Quando il consenso al trattamento dei dati sensibili deve essere esplicito?

Secondo il corso, per i dati sensibili – tra cui rientrano i dati relativi alla salute – il consenso al trattamento deve essere esplicito. Si tratta di una tutela rafforzata rispetto ai dati comuni, coerente con la natura particolarmente delicata di questa categoria di informazioni.

Entro quanto tempo il titolare deve rispondere all'interessato che esercita i propri diritti?

Il termine di risposta all’interessato che esercita i propri diritti e di un mese, estensibile fino a tre mesi in caso di complessita o di numero elevato di richieste. Il rispetto di questi tempi e parte degli adempimenti del titolare del trattamento.

Quando deve essere fornita l'informativa all'interessato?

L’informativa deve essere fornita all’interessato prima di effettuare la raccolta dei dati e deve contenere, tra l’altro, i dati di contatto del DPO. E uno degli adempimenti che garantiscono trasparenza all’interessato sul trattamento dei propri dati.

Che cos'e il registro delle attivita di trattamento?

Il registro delle attivita di trattamento, secondo il corso, e la ricognizione dei trattamenti svolti e delle loro caratteristiche. E uno strumento di accountability che documenta quali dati vengono trattati, per quali finalita e con quali modalita.

Come deve avvenire la videosorveglianza in una struttura sanitaria?

Secondo il corso, in caso di installazione di sistemi di videosorveglianza in ospedale i pazienti e i visitatori devono essere informati tramite appositi cartelli. Le telecamere collocate sui luoghi di lavoro devono inoltre rispettare le norme in materia di lavoro, oltre a quelle sulla protezione dei dati.

Come devono essere riportati i dati dell'interessato nella ricetta farmaceutica?

Secondo il corso, i dati dell’interessato devono essere riportati nella ricetta farmaceutica in modo schermato, cosi da poter risalire all’identita dell’interessato solo in caso di necessita. E un esempio concreto di applicazione del principio di minimizzazione e tutela dei dati in ambito sanitario.

Qual e la principale novita del Fascicolo Sanitario Elettronico 2.0 per l'alimentazione dei dati?

Secondo il corso, con il FSE 2.0 l’alimentazione per i dati nativi digitali e automatica e non richiede piu il consenso dell’interessato. Permane invece la necessita del consenso per la consultazione dei dati da parte di terzi. E una delle novita piu rilevanti del nuovo ecosistema dei dati sanitari.

Cosa prevede il principio 'human-in-the-loop' dell'AI Act per i professionisti sanitari?

Secondo l’AI Act (Regolamento UE 2024/1689) richiamato dal corso, in base al principio dell’human-in-the-loop il professionista deve sempre validare l’output dell’IA e firmare la nota clinica, assumendosi la responsabilita finale della decisione. La scelta clinica non puo essere delegata interamente alla macchina.

Che differenza c'e tra l'Ecosistema Dati Sanitari (EDS) e il Fascicolo Sanitario Elettronico (FSE)?

Secondo il corso, il FSE e destinato all’uso primario, ossia la cura del paziente, mentre l’EDS e destinato all’uso secondario – ricerca scientifica, governo e programmazione sanitaria – mediante dati pseudonimizzati. Sono due architetture distinte ma complementari del nuovo ecosistema dei dati sanitari.

Quale diritto e garantito sui dati pregressi nel Fascicolo Sanitario Elettronico?

Per i dati pregressi, antecedenti al 19 maggio 2020, e garantito ai cittadini il diritto di opposizione, o opt-out, al caricamento automatico di tali documenti storici nel proprio Fascicolo Sanitario Elettronico. E una tutela specifica prevista nel passaggio al FSE 2.0.

In conclusione

La sanita digitale e la privacy richiedono oggi competenze aggiornate e trasversali: conoscere i principi del GDPR, gli adempimenti del trattamento, gli scenari concreti della sanita e le novita 2026 – AI Act, FSE 2.0, EDS, EHDS e NIS2 – e essenziale per chi tratta dati sanitari, sul piano sia della conformita sia della tutela dei diritti delle persone. Governare questo cambiamento significa capire come le nuove regole incidono su ruoli, responsabilita e pratica quotidiana. Il corso “Sanita digitale e privacy: l’evoluzione 2026” dell’Avv. Gian Paolo Zanetta, da 15 crediti ECM in modalita FAD e aggiornato al 2026, offre un percorso chiaro dal GDPR all’AI Act. Scopri il corso e iscriviti per aggiornarti sul nuovo ecosistema dei dati sanitari.