Caro medico, ti tolgo subito un dubbio. Quando dico "sistema IA in casa" non intendo un cassone rumoroso sotto la scrivania dell'ambulatorio. Quello è un approccio anni '90 che ti costa migliaia di euro, si rompe, e nessuno lo aggiorna. Parlo di modelli di intelligenza artificiale che girano in locale, in Europa, su un server dedicato gestito da remoto. E ti spiego perché è l'unica strada GDPR-compatibile per usare l'IA in clinica.
Da un lato vuoi sfruttare l'IA per riassunti, supporto diagnostico, lettere di dimissione, traduzioni di referti. Dall'altro hai dati sanitari ex art. 9 GDPR, segreto professionale art. 78 del Codice Deontologico, e l'AI Act UE che inquadra alcuni usi sanitari come alto rischio (allegato III). ChatGPT e Gemini consumer su cloud USA sono fuori. Cosa resta?
Quello che si può fare bene
Resta l'opzione self-hosted in Europa. Modelli aperti moderni che girano dentro le mura europee, con qualità sufficiente per la maggior parte dei casi d'uso medico testuale: trascrizione di anamnesi, supporto alla codifica, sintesi di referti, traduzione di documenti scientifici, monitoraggio di linee guida e determine AIFA.
I principi che reggono il sistema sono pochi e chiari. Server in Europa (datacenter certificato ISO 27001, idealmente con localizzazione italiana o tedesca o francese, mai USA o UK post-Brexit per i dati ex art. 9). Modelli che girano in locale sul server, senza che il dato esca verso terzi. File cifrati in transito (TLS 1.3 minimo) e a riposo (AES-256). Cancellazione automatica dei dati di lavoro dopo qualche giorno. Audit log di chi ha consultato cosa e quando, accessibile al titolare del trattamento.
Cosa il sistema deve sapere fare
Trascrizione vocale strutturata locale (no cloud generalista). Supporto alla redazione di lettere e relazioni cliniche. Estrazione di dati strutturati da testi liberi (cartelle, referti). Sintesi di letteratura scientifica e linee guida. Confronto tra farmaci e controllo interazioni con database serio in casa. Monitoraggio automatico di novità regolatorie (AIFA, EMA, ISS).
Tutte cose pesanti come capacità computazionale, ma fattibili con configurazioni standard di GPU dedicata in Europa. Ordini di grandezza: per uno studio singolo si parla di una spesa mensile contenuta, paragonabile a un abbonamento informatico professionale. Per uno studio associato è più alta ma comunque in linea con il valore generato. Per una struttura ospedaliera è una voce di budget IT, non un investimento straordinario.
Cosa non delegare, mai
La scelta del fornitore non si fa al ribasso assoluto. I sistemi tirati su con strumenti improvvisati senza configurazione di sicurezza sono peggio del nulla: ti danno l'illusione di compliance senza averla davvero. Cerca fornitori che ti diano DPA conforme, certificazione ISO 27001 del datacenter, contratto chiaro su cancellazione e portabilità dei dati, audit log accessibile, pen test periodico.
La responsabilità del titolare del trattamento resta tua, sempre. Anche con il fornitore migliore del mondo, in caso di data breach la prima telefonata che ricevi è del Garante. La Cassazione 28985/2019 sulla responsabilità del medico vale anche per le scelte tecnologiche che fai per lo studio.
Le cose che davvero non puoi fare
Server fisico sotto la scrivania dello studio: sembra "in casa", in realtà è un disastro di sicurezza. Manutenzione sporadica, backup a singhiozzo, antenna WiFi aperta, rischio furto, condizioni ambientali non controllate. Quando un dispositivo del genere viene compromesso, il data breach è sicuro e la notifica al Garante entro 72 ore (GDPR art. 33-34) è obbligatoria.
Server cloud USA con BAA: non basta. Il Cloud Act americano prevale sulle Standard Contractual Clauses, e la Cassazione del 2024 sui trasferimenti extra-UE ha ribadito che servono garanzie sostanziali. Il caso Synlab 2024 da 2,5 milioni di sanzione del Garante mostra dove può arrivare il regolatore.
I paletti privacy che non si toccano
Server in Europa con datacenter certificato, modelli in casa, cifratura completa, log accessibili al titolare, cancellazione automatica, DPA conforme con il fornitore (se ce n'è uno), pen test annuale, DPIA (Data Protection Impact Assessment) firmata. Nell'informativa al paziente la voce "supporto IA per la gestione clinica" dichiarata insieme al consenso al trattamento.
Workflow tipico per chi parte
Identifichi i casi d'uso reali (cosa ti serve davvero, non cosa fa figura), scegli un fornitore serio in Europa, definisci le specifiche di sicurezza, fai la DPIA, configuri l'accesso (login forte, doppia autenticazione, ruoli differenziati per chi ha accesso a cosa), aggiorni informativa privacy e registro dei trattamenti. Da quel momento il sistema lavora per te. Niente più ChatGPT consumer di nascosto, niente più paranoia da Garante, niente più "speriamo non ci controllino".
Sembra complicato, e in effetti non è banale: il setup va calibrato sullo studio, sul gestionale, sui casi d'uso che ti servono davvero. Non è un'app che scarichi e funziona uguale per tutti. È un sistema cucito addosso.
Una nota personale
Io di mestiere costruisco roba così — sistemi IA privati per medici, studi associati, piccole imprese italiane. Non vendo corsi, non vendo abbonamenti, non vendo formule magiche. Mi occupo di gente che ha cose serie da proteggere e poco tempo per smanettare. Se ti capita di avere domande, sul gruppo Telegram di Super Squalo (t.me/Squalogruppo) si discute di queste cose ogni giorno, e si risponde gratis.
Il sistema in casa, fatto bene, lo accendi una volta e lavora per anni. La tranquillità di sapere che i dati dei tuoi pazienti restano dove devono restare vale ogni euro speso, e ogni minuto di setup. È il pavimento che ti permette di costruirci sopra il resto.