Il Garante della Privacy e l'uso non corretto della AI nela refertazione
Referti medici e IA, allarme del Garante privacy sui rischi di un uso scorretto
È sempre più diffusa la prassi di caricare analisi cliniche, radiografie e altri referti medici sulle piattaforme di intelligenza artificiale generativa chiedendo interpretazioni e diagnosi.
Si tratta di un fenomeno allarmante sia per il rischio di perdita di controllo su dati sanitari di straordinaria importanza per le persone, sia per il rischio che soluzioni di intelligenza artificiale non specificamente progettate allo scopo di fornire le indicazioni richieste e non rese disponibili al pubblico come dispositivi medici a valle dei necessari test e controlli previsti dalla disciplina di settore forniscano indicazioni errate.
Il Garante della privacy lancia un allarme e invita gli utenti di tali piattaforme a valutare con attenzione l’opportunità di procedere alla condivisione di dati di carattere sanitario con i fornitori di servizi di intelligenza artificiale generativa e quella di fare affidamento sulle risposte generate automaticamente da tali servizi, risposte che dovrebbero sempre essere verificate con un professionista medico.
Sotto il primo profilo, in particolare, il Garante richiama l’attenzione sull’opportunità di leggere le informative sulla privacy che i gestori della piattaforme hanno l’obbligo di pubblicare al fine di verificare se i dati sanitari contenuti negli esami clinici caricati online ai fini della richiesta di interpretazione e/o diagnosi siano destinati a essere cancellati a seguito della richiesta medesima, in un momento successivo o a essere conservati dal gestore del servizio ai fini dell’addestramento dei propri algoritmi.
Molti dei più noti servizi di intelligenza artificiale generativa, infatti, consentono agli utenti di decidere la sorte dei dati e documenti caricati online nell’ambito dell’utilizzo del servizio.
L’Autorità richiama quindi l’attenzione sull’importanza, riconosciuta sia dal Regolamento europeo sull’IA sia dal Consiglio Superiore di Sanità, di garantire sempre un’intermediazione umana qualificata nell’elaborazione dei dati sanitari tramite sistemi di IA.
L’intervento umano è essenziale per prevenire rischi che potrebbero incidere direttamente sulla salute della persona (cfr. art. 14 Regolamento IA e parere “I sistemi di intelligenza artificiale come strumento di supporto alla diagnostica”, Consiglio Superiore di Sanità, Sez. V, 9 novembre 2021).
La “supervisione umana qualificata”, tra l’altro, deve essere garantita in tutte le fasi del ciclo di vita del sistema di IA: dallo sviluppo all’addestramento, fino ai test e alla convalida, prima della sua immissione sul mercato o nel suo utilizzo.
Il tema era stato già anticipato dall’Autorità nel decalogo per la realizzazione di servizi sanitari nazionali attraverso sistemi di IA adottato nel mese di ottobre del 2023 (doc. web n. 9938038) nell’ambito del quale erano stati evidenziati anche ulteriori aspetti di protezione dei dati personali che devono essere assicurati anche nella realizzazione di tali sistemi a supporto della comprensione di referti diagnostici: come la presenza di un idoneo presupposto di liceità; la necessaria e preventiva valutazione d’impatto; gli obblighi di trasparenza e sicurezza.
Il Garante richiama infine gli sviluppatori dei sistemi di IA e gli operatori del settore sanitario sui rischi che comporta il fenomeno della raccolta massiva di dati personali dal web per finalità di addestramento dei modelli di intelligenza artificiale generativa che sono stati evidenziati nel documento pubblicato a maggio 2024 sul web scraping (doc. web n.10020334).
Roma, 30 luglio 2025
Medico sanzionato per esposizione non protetta di ricette mediche
Nel gennaio 2024, il Garante ha inflitto una sanzione di 20.000 euro a un medico che lasciava le ricette dei pazienti in un contenitore accessibile a chiunque, violando i principi di riservatezza e integrità dei dati sanitari.
Psicoterapeuta sanzionato per mancata informativa sulla privacy
Uno psicoterapeuta è stato sanzionato per non aver fornito ai pazienti l'informativa obbligatoria sul trattamento dei dati personali, violando così gli obblighi di trasparenza previsti dal GDPR.
Dottoressa sanzionata per modalità inadeguate di consegna delle prescrizioni
Una dottoressa è stata multata per 10.000 euro per aver consegnato le prescrizioni mediche in modo non conforme ai principi di riservatezza, esponendo i dati dei pazienti a potenziali violazioni.
Azienda sanitaria sanzionata per certificati di malattia contenenti dati sensibili
Un'Azienda Sanitaria Territoriale è stata multata per 17.000 euro per aver emesso certificati di malattia che riportavano informazioni dettagliate sul reparto e sulla specializzazione del medico, violando il principio di minimizzazione dei dati.
Società sanzionata per trattamento illecito di dati sanitari raccolti da medici
Una società è stata sanzionata per aver trattato illecitamente i dati sanitari di numerosi pazienti raccolti presso circa 7.000 medici, senza adeguate misure di anonimizzazione, compromettendo la riservatezza delle informazioni.
Medici sanzionati per utilizzo dei dati dei pazienti a fini elettorali
Due medici liguri sono stati multati di 10.000 euro ciascuno per aver utilizzato gli indirizzi di circa 3.500 ex-pazienti per inviare materiale propagandistico durante una campagna elettorale, senza il loro consenso.
Ambulatorio sanzionato per invio errato di referti
Un ambulatorio medico è stato sanzionato per aver inviato per errore i referti di una paziente a un altro paziente, violando i principi di integrità e riservatezza dei dati.
Centro medico sanzionato per scambio di dati tra pazienti omonimi
Un centro medico è stato multato di 10.000 euro per aver confuso i dati di due pazienti con lo stesso nome, inviando notifiche e addebiti errati, in violazione del principio di esattezza dei dati.
Centro di medicina estetica sanzionato per pubblicazione non autorizzata di video
Un centro di medicina estetica è stato sanzionato con una multa di 8.000 euro per aver pubblicato sui social media un video in cui era riconoscibile il volto di un paziente, senza aver ottenuto il suo consenso.
Azienda sanzionata per contatto non autorizzato del medico di una dipendente
Un'azienda è stata multata di 6.000 euro per aver contattato il medico di base di una dipendente senza il suo consenso, violando la normativa sulla privacy.
Chirurgo plastico multato per pubblicazione di foto prima/dopo del paziente
Il Garante per la protezione dei dati personali ha recentemente multato con una sanzione di 20.000 euro un chirurgo plastico che ha pubblicato senza autorizzazione su Instagram le immagini di una paziente, mostrando il prima e il dopo di un intervento di lifting facciale. La vicenda ha preso avvio dalla segnalazione della stessa paziente, che si è vista riconoscibile nelle foto pubblicate sul profilo social del medico.
Durante l’indagine del Garante, il medico ha spiegato che le immagini erano state inizialmente raccolte solo per documentazione interna e che la loro diffusione online è stata causata da un errore gestionale nella comunicazione dei consensi tra i suoi collaboratori. Tuttavia, tale giustificazione non è stata ritenuta sufficiente: l’Autorità ha infatti ribadito che il trattamento dei dati sanitari deve rigorosamente rispettare le finalità dichiarate e autorizzate dai pazienti.
Nell'applicare la sanzione, il Garante ha considerato la particolare sensibilità dei dati coinvolti e la fiducia che caratterizza il rapporto medico-paziente, sottolineando l'importanza cruciale del consenso informato, specifico e documentato.
Questo episodio offre importanti insegnamenti:
Consenso Esplicito: È sempre obbligatorio ottenere un consenso chiaro e scritto prima di diffondere immagini o dati sensibili dei pazienti, specialmente se destinati a piattaforme social.
Tutela dei Dati Sanitari: Le informazioni relative alla salute rientrano tra quelle maggiormente protette dal GDPR e richiedono particolare attenzione e misure di sicurezza elevate.
Responsabilità Personale: Anche se la violazione deriva da errori commessi da collaboratori o terze parti, il titolare del trattamento resta responsabile della corretta gestione dei dati dei pazienti.
Fiducia e Privacy: Mantenere elevati standard di riservatezza rafforza il rapporto fiduciario tra medico e paziente, contribuendo anche a tutelare la reputazione professionale.
Uso Responsabile dei Social: I social media non devono essere utilizzati superficialmente per promozioni personali; la pubblicazione di contenuti sensibili necessita di rigorosi controlli e autorizzazioni specifiche.
In sintesi, il caso evidenzia come il rispetto delle norme privacy rappresenti non solo un obbligo giuridico ma anche un imperativo etico per ogni professionista sanitario.
Google e i dati sanitari: quando la privacy finisce sotto i riflettori
Nel 2019, è scoppiata una vera e propria bufera attorno a Google per una questione di privacy sanitaria. Il Wall Street Journal ha rivelato che, nell'ambito di una collaborazione con Ascension Health, una delle principali catene ospedaliere degli Stati Uniti, Google aveva accesso ai dati sanitari di circa 50 milioni di pazienti. Il progetto, denominato "Nightingale", mirava a sviluppare strumenti digitali per migliorare l'assistenza sanitaria, ma ha sollevato preoccupazioni perché i pazienti non erano stati informati della condivisione dei loro dati.corrierecomunicazioni.it
L'Office for Civil Rights del Dipartimento della Salute degli Stati Uniti ha avviato un'indagine per verificare la conformità dell'accordo con la legge federale HIPAA, che tutela la privacy dei dati sanitari. Google ha risposto affermando che l'accesso ai dati era limitato a personale autorizzato e che le informazioni erano utilizzate esclusivamente per sviluppare strumenti per Ascension, senza fini pubblicitari. Tuttavia, alcuni dipendenti di Ascension hanno espresso dubbi sulla conformità del progetto agli standard di privacy.corrierecomunicazioni.it
Questo episodio evidenzia l'importanza di garantire la trasparenza e il rispetto della privacy quando si tratta di dati sanitari, specialmente quando sono coinvolti grandi colossi tecnologici.