supersqualo
Medici

FSE 2.0 e IA: condivisione dati tra colleghi senza violare GDPR

Il Fascicolo Sanitario Elettronico 2.0 e' realta'. I dati clinici girano tra medici. Se ci aggiungi l'IA, le complicazioni privacy si moltiplicano. Ti spiego come usarli senza beccarti il Garante in casa.

Di Super Squalo·7 min lettura
Nota. Una nota: nel campo dell'IA i mesi pesano. Cerco di tenere queste guide aggiornate, però se stai leggendo a distanza di tempo qualche dettaglio potrebbe essere cambiato. Per chiarimenti sono raggiungibile.

Martedì mattina, ambulatorio. Arriva un paziente nuovo per una visita cardiologica. Ti chiede di consultargli il Fascicolo Sanitario Elettronico perché negli ultimi cinque anni è stato in cura altrove. Apri il portale, accedi con SPID, vedi diciotto referti, due ricoveri, una serie di esami ematochimici. Ti viene la tentazione di copiarli su ChatGPT e chiedere un riassunto. Fermati. Stai per fare un guaio grosso.

Il FSE 2.0 è uno strumento ottimo per la continuità delle cure, ma se ci aggiungi un'IA cloud senza pensarci, il guaio è certo.

Il pasticcio in cui finisci se passi il FSE a ChatGPT

Il FSE contiene dato sanitario, categoria sensibile per la legge sulla privacy. Ogni accesso è loggato, il consenso del paziente è richiesto per la consultazione (con qualche eccezione per le emergenze), e tu sei già dentro un sistema vigilato.

Se prendi quel materiale e lo incolli su ChatGPT o Gemini, stai facendo due cose insieme. Esporti dato sanitario su server americani. Aggiungi un trattamento nuovo (l'elaborazione automatizzata) che il consenso del paziente di solito non copre. Stai violando segreto professionale, regole sul trasferimento dati e probabilmente il consenso.

In Italia non si scherza: Synlab nel 2024 ha pagato 2,5 milioni per dati sanitari finiti dove non dovevano. OpenAI 15 milioni a dicembre 2024 per come gestiva i dati personali con ChatGPT. Il Garante sui dati sanitari è severissimo: basta un accesso fatto male.

Cosa NON puoi fare

Non puoi incollare referti del FSE su ChatGPT, Gemini, Copilot o Claude per "fare prima". Sono dati sanitari e finiscono su server fuori Europa.

Non puoi usare il FSE come "training set" per modelli IA. Serve una base giuridica specifica e una valutazione d'impatto dedicata, e tu non ce l'hai.

Non puoi condividere riassunti generati dall'IA con altri colleghi senza dirgli che sono generati e senza che li verifichino. Le allucinazioni si propagano: un riassunto sbagliato che gira tra quattro medici diventa "diagnosi consolidata".

Non puoi pensare che il FSE sia "già coperto" dal sistema sanitario nazionale e che quindi i tuoi obblighi siano minori. Sei tu che usi i dati, sei tu il responsabile per come li usi.

Cosa invece si può fare bene

Workflow corretto in cinque mosse. Verifica il consenso: il paziente ti ha autorizzato la consultazione del FSE? Il consenso copre anche elaborazioni automatizzate? Se non c'è, lo aggiorni prima di toccare i dati.

Usa solo IA in ambiente che controlli: server italiano o europeo, modello che lavora dentro il tuo perimetro, contratto di trattamento firmato col fornitore. Mai mandare il FSE a un servizio cloud americano.

Minimizza i dati: estrai solo le sezioni rilevanti per la consulenza che devi dare. Se il paziente viene per cardiologia, l'IA vede ECG, ecocardio, esami cardiaci. Non l'intero FSE storico.

Pseudonimizza prima di passare al modello: codice paziente, fascia d'età, no nome e cognome nel prompt. Sembra un dettaglio, fa la differenza.

Aggiorna l'informativa: una riga che dice "uso supporto IA in ambiente protetto per analizzare il FSE" e che il sistema è on-premise. Tieni il diritto di opposizione esplicito.

I paletti che non si toccano

Quando più medici accedono al FSE per lo stesso paziente si crea una situazione di contitolarità: ognuno è responsabile per quello che fa con i dati. Se il collega usa ChatGPT con il FSE e tu no, lui è in violazione, tu sei pulito. Ma se condividete output e processi senza ragionare, la corresponsabilità si estende. Per cui mettete per iscritto chi fa cosa, chi usa quale strumento IA, e come gestite eventuali incidenti.

Logging serio: ogni prompt e ogni risposta finiscono nel registro di audit, conservati il tempo necessario. Se il Garante ti chiede conto, sei coperto. Se non hai log, sei nudo.

E formazione vera al personale: capire cosa fa il sistema IA e dove può sbagliare, non un corso da venti minuti col certificato in PDF.

Una nota personale

Io di mestiere monto sistemi IA privati per medici e strutture italiane. Non vendo corsi e non vendo formule magiche. Sul gruppo Telegram di Super Squalo (t.me/Squalogruppo) si parla di FSE, GDPR e workflow IA per la sanità ogni giorno, e si risponde gratis. Se hai un dubbio specifico su come integrare IA e FSE senza beccarti una sanzione, è il posto dove chiederlo.

Quel paziente nuovo del martedì, intanto, riapri il FSE. Stavolta sapendo dove non puoi mandarlo.

Hai un dubbio? Vieni a parlarne.

Gruppo Telegram aperto. Domande, opinioni, casi vissuti. Senza venditori e senza spam. Per consulenza personale o caso aziendale, usa il pulsante consulenza.

Entra nel gruppo TelegramRichiedi consulenza