Trovare il perfetto equilibrio tra la spinta innovativa dell’intelligenza artificiale, le necessità della ricerca scientifica e la tutela fondamentale dei dati personali. È stato questo il fulcro del convegno organizzato presso l’Università degli Studi di Roma “Foro Italico” da Urbano Consulting Group e ASSO-DPO (l’Associazione italiana dei Data Protection Officer).
Un’intera giornata di studio e confronto che ha visto dialogare massimi esperti del settore, giuristi e tecnici sulle nuove frontiere computazionali, la simulazione avanzata dei sistemi complessi e la netta distinzione tra ricerca accademica e ricerca clinica. L’evento è nato su iniziativa della dott.ssa Serena Urbano, CEO di Urbano Consulting Group e delegata per Roma di ASSO-DPO (nella foto).
Le linee guida europee e la svolta del Broad Consent
Al centro del dibattito, le attesissime novità normative europee, in particolare le linee guida numero 1/2026 dell’EDPB (il Comitato europeo per la protezione dei dati), che hanno fatto chiarezza sul cosiddetto broad consent, ovvero il consenso “ampio” per il trattamento dei dati nella ricerca.
“Le nuove linee guida dell’EDPB hanno finalmente fornito quei chiarimenti che attendevamo da oltre cinque anni”, ha spiegato Nadia Arnaboldi, vicepresidente di ASSO-DPO e rappresentante italiana in seno alla confederazione europea CETPO. “Era il 2021 quando la Commissione UE chiese un intervento per avere un approccio consistente a livello europeo. Questo è il primo vero strumento armonizzato, un grande valore aggiunto per gli studi longitudinali, pur con il limite che ogni Paese potrà comunque adottare misure nazionali più restrittive”.
Arnaboldi ha poi evidenziato l’importanza di far recepire correttamente queste novità ai pazienti, suggerendo una strategia inclusiva:
“Le stesse linee guida suggeriscono di coinvolgere le associazioni dei pazienti come garanzia. Loro sono la voce della comunità e possono fare da volano e da trait d’union tra pazienti e ricercatori, aiutando i cittadini a comprendere cosa significhi prestare un consenso ampio. Dobbiamo istruire le persone, perché i titolari del trattamento – come ospedali e sponsor – devono valutare la reale consapevolezza del paziente arruolato nello studio. Senza ricerca non c’è cura, ma serve trasparenza”.
Il bilanciamento tra scienza e privacy: il modello IRCCS
Un altro nodo cruciale riguarda i criteri di scientificità della ricerca e l’applicazione del principio di “interesse pubblico”, dinamica fondamentale per le strutture ospedaliere d’eccellenza.
“C’è un assoluto bisogno di lavorare in squadra”, ha sottolineato l’avvocato Piergiovanni Cervato, coordinatore del gruppo Sanità e del comitato scientifico di ASSO-DPO. “A volte parliamo linguaggi diversi: i ricercatori hanno la loro forma mentis, noi giuristi o tecnici della privacy ne abbiamo un’altra. Il DPO non è sempre un giurista, spesso è un ingegnere o un operatore scientifico. Il nostro compito è calare a terra una normativa complessa, bilanciando la libertà della ricerca (tutelata dall’art. 33 della Costituzione) con il diritto alla salute e alla protezione dei dati (art. 32)”.
Cervato ha spiegato come il GDPR si muova su due binari: il consenso e l’interesse pubblico, soffermandosi in particolare sulle tutele speciali per gli Istituti di Ricovero e Cura a Carattere Scientifico.
“Negli IRCCS la ricerca serve a curare e la cura serve alla ricerca; c’è una finalità circolare. Una norma specifica del nostro Codice Privacy (l’articolo 110-bis, comma 4), chiarita anche dal Garante, permette a queste strutture di condurre progetti sfruttando uno statuto speciale. Tutto ruota attorno al ‘diritto di controllo’ del cittadino: sapere dove vanno i propri dati e come vengono usati, anche qualora la persona non sia momentaneamente in grado di farlo o sia deceduta, tutelando così gli eredi”.
Dati sintetici e intelligenza artificiale: la sfida dell’alfabetizzazione
Il focus tecnologico si è poi spostato sull’uso dell’intelligenza artificiale generativa e sull’addestramento dei modelli algoritmici, introducendo soluzioni innovative come i dati sintetici (informazioni create artificialmente che replicano le caratteristiche di dati reali senza esporre l’identità di individui veri).
“I dati sintetici consentono di fare attività strumentali all’addestramento dei modelli di AI preservando la privacy”, ha chiarito l’avvocato Alessandro Vasta, coordinatore del gruppo IA di ASSO-DPO e socio dello studio Turchia & Partners. “Il mondo giuridico ha finalmente seguito quello tecnologico: normative come l’AI Act europeo e la nostra recente legge nazionale riconoscono a questi dati un livello di sicurezza altissimo, parificandoli di fatto ai dati anonimi. È una tecnologia in enorme sviluppo”.
Vasta ha poi lanciato un monito sull’uso inconsapevole che i giovani fanno delle nuove tecnologie, nutrendo gli algoritmi con i propri dati personali a volte con troppa leggerezza.
“Le nuove generazioni considerano questi strumenti come normali elementi della vita quotidiana e li usano con superficialità. L’AI Act prevede l’alfabetizzazione digitale, ma questa sensibilizzazione deve partire dalle scuole. È nelle aule scolastiche che bisogna insegnare ai ragazzi che questi sistemi comportano dei rischi, come la diffusione non corretta di dati personali propri o altrui”.
Mettere l’essere umano al centro dell’algoritmo
A tirare le somme della tavola rotonda è stata la promotrice dell’evento, evidenziando come l’evoluzione della tecnologia medica e computazionale non debba mai viaggiare a discapito dell’empatia e della relazione umana.
“Sono felicissima per la grande partecipazione, sia in presenza che in streaming”, ha dichiarato la dott.ssa Serena Urbano, CEO di Urbano Consulting Group. “All’interrogativo ‘Intelligenza artificiale sì o no?’ io rispondo: sì, ma senza dimenticare il fattore umano. In un’epoca di big data, algoritmi e automazione, la ricerca clinica mette al centro il paziente, che va tutelato al 100%. In ambito sanitario la persona non può sentirsi solo un numero, un codice o un flusso unidirezionale deciso da un algoritmo”.
Per cementare la fiducia tra medico, struttura sanitaria e paziente, secondo Urbano, la chiave risiede nella semplificazione del linguaggio giuridico.
“Il rapporto fiduciario si basa sull’informazione. Il consenso informato deve essere formulato con un linguaggio fruibile, comprensibile all’utenza e privo di eccessivi tecnicismi e giuridicismi. Ci deve essere trasparenza assoluta sulle finalità della raccolta, evitando utilizzi successivi non dichiarati, che costituirebbero un illecito”.
Infine, un consiglio rivolto ai futuri professionisti della data protection:
“Ai giovani che si addentrano in questo percorso dico che oggi non esiste più il tuttofare. È un progetto ambizioso che richiede di verticalizzare le competenze a livelli molto alti, scendendo nel dettaglio, analizzando a fondo i singoli processi ma mantenendo sempre come obiettivo la trasparenza”, ha concluso la dott.ssa Urbano.
