17 Set Approvata la legge italiana sull’IA, Bolognini (IIP): “Soddisfazione, confermata la proposta IIP”

Roma, 17 settembre 2025 – L’avvocato Luca Bolognini, Presidente dell’Istituto Italiano per la Privacy e la Valorizzazione dei Dati, plaude all’approvazione odierna della legge italiana sull’Intelligenza Artificiale. In particolare, Bolognini esprime soddisfazione per l’inclusione con minime variazioni – nell’articolo 8 – dei commi 3 e 4, la cui sostanza era stata proposta un anno fa dall’Istituto Italiano per la Privacy e la Valorizzazione dei Dati.

“Il legislatore ha ascoltato e ritenuto meritevoli le nostre idee sull’anonimizzazione e sintetizzazione dei dati personali per agevolare ricerca e governo in sanità, includendo, come avevamo proposto pubblicamente proprio nel settembre dello scorso anno, alcuni preziosi commi nell’articolo 8 della nuova legge nazionale sull’IA, in materia di anonimizzazione, sintetizzazione e pseudonimizzazione dei dati per l’ambito sanitario. In pratica, d’ora in poi, i ricercatori e le strutture e aziende sanitarie in Italia avranno una base giuridica ad hoc per anonimizzare, pseudonimizzare e creare dati sintetici con i dati personali anche sensibili che detengono, per fini di ricerca scientifica sanitaria con sistemi di Intelligenza Artificiale e di governo della salute. Il tutto, senza dover richiedere il consenso ai pazienti e senza autorizzazioni preventive del Garante. L’Italia si fa avanguardia e anticipa i tempi, non solo rispetto all’attuazione del Regolamento europeo sull’IA (AI Act) ma anche all’avvento dello Spazio UE dei dati sanitari (EHDS)“.

Bolognini aggiunge: “Nella nostra proposta, non ci eravamo spinti fino a prevedere una base giuridica anche per la pseudonimizzazione dei dati sanitari, ma – alla luce della recentissima “sentenza CRU” della Corte di Giustizia dell’Unione Europea – possiamo oggi affermare che non sia stato un male aggiungere anche la pseudonimizzazione dei dati alla norma in questione. Tenevamo molto anche alla previsione per cui AGENAS, sentito il Garante privacy e considerando lo stato dell’arte e della tecnica e gli standard internazionali, potesse (ma non dovesse, per evitare blocchi burocratici) stabilire e aggiornare linee guida per le procedure di anonimizzazione di dati personali e per la creazione di dati sintetici. Sarà di aiuto alla certezza del diritto e della tecnica, soprattutto per i ricercatori“.

———————

Testo dell’articolo 8 della legge italiana sull’Intelligenza Artificiale, approvata definitivamente dal Senato della Repubblica il 17 settembre 2025. In grassetto i commi “figli” della proposta pubblica dell’Istituto.

Art. 8.

(Ricerca e sperimentazione scientifica nella realizzazione di sistemi di intelligenza artificiale in ambito sanitario)

1. I trattamenti di dati, anche personali, eseguiti da soggetti pubblici e privati senza scopo di lucro, dagli Istituti di ricovero e cura a carattere scientifico (IRCCS), di cui al decreto legislativo 16 ottobre 2003, 288, nonché da soggetti privati operanti nel settore sanitario nell’ambito di progetti di ricerca a cui partecipano soggetti pubblici e privati senza scopo di lucro o IRCCS, per la ricerca e la sperimentazione scientifica nella realizzazione di sistemi di intelligenza artificiale per finalità di prevenzione, diagnosi e cura di malattie, sviluppo di farmaci, terapie e tecnologie riabilitative, realizzazione di apparati medicali, incluse protesi e interfacce fra il corpo e strumenti di sostegno alle condizioni del paziente, salute pubblica, incolumità della persona, salute e sicurezza sanitaria nonché studio della fisiologia, della biomeccanica e della biologia umana anche in ambito non sanitario, in quanto necessari ai fini della realizzazione e dell’utilizzazione di banche di dati e modelli di base, sono dichiarati di rilevante interesse pubblico in attuazione degli articoli 32 e 33 della Costituzione e nel rispetto di quanto previsto dall’articolo 9, paragrafo 2, lettera g), del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016.
2. Ai medesimi fini, fermo restando l’obbligo di informativa generale messa a disposizione nel sito web del titolare del trattamento e senza ulteriore consenso dell’interessato ove inizialmente previsto dalla legge, è sempre autorizzato l’uso secondario di dati personali privi degli elementi identificativi diretti, anche appartenenti alle categorie indicate all’articolo 9 del regolamento (UE) 2016/679, da parte dei soggetti di cui al comma 1, salvi i casi nei quali la conoscenza dell’identità degli interessati sia inevitabile o necessaria al fine della tutela della loro salute.
3. Negli ambiti di cui al comma 1 o per le finalità di cui all’articolo 2-sexies, comma 2, lettera v), del codice in materia di protezione dei dati personali, di cui al decreto legislativo 30 giugno 2003, n. 196, è sempre consentito, previa informativa all’interessato ai sensi dell’articolo 13 del regolamento (UE) 2016/679, il trattamento per finalità di anonimizzazione, pseudonimizzazione o sintetizzazione dei dati personali, anche appartenenti alle categorie particolari di cui all’articolo 9, paragrafo 1, del medesimo regola mento (UE) 2016/679. È consentito altresì il predetto trattamento finalizzato allo studio e alla ricerca sui gesti atletici, sui movimenti e sulle prestazioni nell’attività sportiva in tutte le sue forme, nel rispetto dei princìpi generali di cui alla presente legge e dei di ritti di sfruttamento economico dei dati relativi alle attività agonistiche che spettano a chi le organizza.
4. L’Agenzia nazionale per i servizi sanitari regionali (AGENAS), previo parere del Garante per la protezione dei dati personali, tenendo conto di standard internazionali e dello stato dell’arte e della tecnica, può stabilire e aggiornare linee guida per le procedure di anonimizzazione di dati personali, di cui al comma 3, e per la creazione di dati sintetici, anche per categorie di dati e finalità di trattamento.
5. I trattamenti di dati di cui ai commi 1 e 2 devono essere comunicati al Garante per la protezione dei dati personali con l’indicazione di tutte le informazioni previste dagli articoli 24, 25, 32 e 35 del regolamento (UE) 2016/679, nonché con l’indicazione espressa, ove presenti, dei soggetti individuati ai sensi dell’articolo 28 del medesimo regolamento (UE) 2016/679, e possono essere avviati decorsi trenta giorni dalla predetta comunicazione se non sono stati oggetto di provvedimento di blocco disposto dal Garante per la protezione dei dati personali.
6. Restano fermi i poteri ispettivi, interdittivi e sanzionatori del Garante per la protezione dei dati personali.