Lunedì mattina, ambulatorio. Apri il computer e trovi una circolare dell'Ordine: "Adempimenti AI Act per i sistemi di IA in sanità". La leggi, capisci che riguarda anche te perché usi un software che ti aiuta a refertare, ti viene un mezzo infarto e la chiudi. Tranquillo, sei in buona compagnia. Solo che le scadenze ormai sono qua, non si possono più rimandare di un anno.
Ti racconto la cosa come è davvero, senza il pacchetto di consulenza da cinquemila euro che ti vorrebbero vendere all'angolo del bar.
Cos'è l'AI Act, in due righe
È la legge europea sull'intelligenza artificiale. Divide i sistemi IA in quattro fasce: vietati, alto rischio, rischio limitato, rischio minimo. Quasi tutta la roba che un medico tocca in studio finisce in alto rischio. Cosa ci finisce dentro? Triage di emergenza, valutazione dell'idoneità a prestazioni essenziali, software che ti suggerisce diagnosi o terapia.
Le sanzioni? Fino a 35 milioni di euro o il 7% del fatturato globale. Non sono cifre da prendere a ridere.
Il pasticcio in cui finisci se pensi "tanto sono solo un utente"
La frase che sento ripetere più spesso è: "il software l'ho comprato io, la responsabilità è del produttore". Sbagliato. La legge distingue chi sviluppa il sistema da chi lo usa. E chi lo usa ha obblighi suoi: sorveglianza umana vera, formazione del personale, monitoraggio, segnalazione di incidenti, informativa chiara al paziente.
Comprare software con marcatura CE non ti scarica. Se non sai come funziona, non puoi sorvegliarlo, e di fatto stai rischiando.
Aggiungi che in Italia il Garante non scherza. Synlab nel 2024 ha pagato 2,5 milioni per dati sanitari finiti dove non dovevano. OpenAI 15 milioni a dicembre 2024 per come gestiva i dati personali con ChatGPT. La sanità è terreno sensibile e basta poco.
Cosa NON puoi fare
Non puoi incollare referti o cartelle su ChatGPT, Gemini, Copilot per "fare prima". Sono dato sanitario, categoria sensibile, e finiscono su server americani.
Non puoi usare un software di supporto diagnosi senza tenere un registro di quando lo hai usato e su chi. È obbligatorio per i sistemi ad alto rischio.
Non puoi non dire al paziente che stai usando l'IA. La legge chiede informativa chiara, e una riga nel modulo del consenso non basta più.
Non puoi cliccare "approvo" alla cieca su quello che ti propone il software. La sorveglianza umana vera vuol dire che tu controlli, non il sistema.
Cosa invece devi fare
Mettiamola in concreto. Se in studio usi un'IA generica (tipo ChatGPT) per cose amministrative sei in zona "rischio limitato". Stiamo parlando di riassunti, bozze di lettere, parafrasi di referti per uso interno. Basta dichiararlo e mantenere prudenza con i dati. Resta dovuto un consenso onesto al paziente sull'uso del software.
Se usi software medico certificato CE che ti aiuta a refertare immagini o a scegliere terapie, sei in alto rischio. Vuol dire: tieni il registro degli usi, forma il personale, conserva i documenti del fornitore, segnala anomalie. E nell'informativa al paziente aggiungi una voce: "refertazione assistita da IA".
Se sei una struttura pubblica c'è un passaggio in più: la valutazione di impatto sui diritti fondamentali. Non perderci il sonno: serve un foglio fatto bene, non una tesi di laurea.
I paletti che non si toccano
Dato sanitario fuori dal cloud commerciale americano. Server in Europa, possibilmente in casa o presso un fornitore italiano. File cifrati in transito e a riposo. Cancellazione automatica. Registro di chi ha guardato cosa.
E formazione vera al personale. Non il corso da venti minuti col certificato in PDF. Ma capire cosa fa il sistema e dove può sbagliare.
Una nota personale
Io di mestiere monto sistemi IA privati per medici italiani. Non vendo corsi, non vendo formule magiche. Sul gruppo Telegram di Super Squalo (t.me/Squalogruppo) si parla ogni giorno di privacy e di AI Act, e si risponde gratis.
La circolare dell'Ordine, intanto, riaprila con calma. Stavolta arrivi fino in fondo, senza chiuderla a metà.