AI Act, Legge 132/2025 e GDPR: cosa cambia per gli psicologi italiani nel 2026
Una premessa: questo articolo offre indicazioni generali e di buon senso professionale, non è una consulenza legale. I riferimenti normativi puntuali vanno confermati su fonte ufficiale e, nel dubbio, con una persona competente.
Nel giro di pochi mesi, chi lavora nella salute mentale si è trovato a fare i conti con tre quadri normativi che toccano lo stesso punto: come si gestiscono i dati dei pazienti e come si usano gli strumenti digitali, intelligenza artificiale compresa.
Sono il GDPR, che è il regolamento europeo sulla protezione dei dati e ormai ci accompagna da anni. La Legge 132/2025, la legge italiana sull'intelligenza artificiale, in vigore dal 10 ottobre 2025. E l'AI Act, il regolamento europeo sull'intelligenza artificiale, che si applica in modo scaglionato nei prossimi anni.
Presi uno per uno sembrano tre fronti diversi. In realtà parlano della stessa cosa, vista da tre angolazioni. Questa guida li mette in fila e li traduce in pratica: cosa chiede ciascuno, cosa fare oggi, cosa cambierà. È un articolo di servizio, scritto per essere utile al lavoro quotidiano e non per spaventare.
Tre normative, una sola pratica clinica
Prima di entrare nel dettaglio, vale la pena chiarire perché conviene guardarle insieme.
Il GDPR si occupa di come proteggi i dati delle persone. La Legge 132/2025 si occupa di come usi l'intelligenza artificiale nel tuo lavoro intellettuale. L'AI Act si occupa di come sono fatti e classificati i sistemi di AI che adotti. Tre oggetti diversi, ma un unico effetto pratico sul terapeuta: quando tieni una cartella clinica digitale e magari usi uno strumento di AI per le note, queste tre norme insieme ti dicono come farlo in modo corretto.
La buona notizia è che non si contraddicono. Vanno tutte nella stessa direzione: più trasparenza verso la persona assistita, più attenzione a dove finiscono i dati, più responsabilità consapevole nell'uso degli strumenti. Chi lavora già con serietà non deve stravolgere nulla. Deve solo rendere espliciti alcuni passaggi.
GDPR per psicologi, i punti che contano
Il GDPR considera i dati relativi alla salute una categoria particolare, che merita una protezione rafforzata rispetto ai dati comuni. Tutto ciò che riguarda lo stato psicologico di un paziente rientra in pieno in questa categoria.
Da qui discendono alcuni obblighi concreti. Il primo è la base giuridica corretta del trattamento, accompagnata da un'informativa chiara alla persona: il paziente deve sapere quali dati raccogli, perché, per quanto tempo li conservi e quali sono i suoi diritti.
Il secondo è la sicurezza. Il GDPR chiede misure adeguate, tecniche e organizzative, per proteggere i dati. Tradotto nella pratica di studio, significa cose concrete: accesso protetto agli archivi, cifratura dei dati, backup affidabili, attenzione a chi può mettere mano alle informazioni.
Il terzo riguarda i trattamenti che presentano rischi elevati per le persone. In quei casi il GDPR prevede una valutazione d'impatto preventiva, uno strumento che serve a ragionare in anticipo sui rischi e su come ridurli. Se userai sistemi che trattano in modo esteso dati sanitari, è un punto da valutare, meglio con il supporto di una persona competente in materia di protezione dati.
Legge 132/2025, cosa introduce per chi usa l'AI
La legge italiana sull'intelligenza artificiale, in vigore dal 10 ottobre 2025, aggiunge un livello pensato proprio per l'uso dell'AI nel lavoro professionale.
Il principio centrale, per le professioni intellettuali, è che l'intelligenza artificiale è uno strumento di supporto. Aiuta, velocizza, alleggerisce, ma non sostituisce il lavoro intellettuale del professionista. La responsabilità di una nota clinica, di una valutazione, di una decisione resta della persona, non dello strumento. In pratica, se usi un'AI per ottenere la bozza di una nota di seduta, quella bozza è un punto di partenza che tu rivedi e fai tua, non un prodotto finito da archiviare così com'è.
Il secondo elemento è il dovere di trasparenza. La persona assistita va informata, con linguaggio chiaro e comprensibile, sul fatto che usi strumenti di intelligenza artificiale e su cosa servono. Non è un tecnicismo da relegare in fondo a un modulo. È un'informazione vera, che fa parte del rapporto di fiducia.
In concreto, per il terapeuta questo significa una cosa semplice. Se introduci nel tuo lavoro uno strumento di AI che tocca i dati delle sedute, il consenso informato e l'informativa che dai al paziente vanno aggiornati per darne conto.
AI Act europeo, come si colloca un software sanitario
L'AI Act è il regolamento europeo sull'intelligenza artificiale. La sua logica di fondo è classificare i sistemi di AI per livello di rischio, e modulare gli obblighi di conseguenza: più un sistema può incidere sulle persone, più regole deve rispettare. Le diverse parti del regolamento si applicano in modo scaglionato negli anni, e proprio le tempistiche sono cambiate di recente. Con il pacchetto di semplificazione "Digital Omnibus" (proposto dalla Commissione UE a novembre 2025), nel maggio 2026 le istituzioni europee hanno concordato di rinviare gli obblighi sui sistemi ad alto rischio: la scadenza principale slitta dal 2 agosto 2026 al 2 dicembre 2027 per i sistemi "autonomi" (Allegato III) e al 2 agosto 2028 per l'AI integrata in prodotti già regolati (Allegato I). Restano invariati gli obblighi di alfabetizzazione sull'AI (dal febbraio 2025) e quelli sui modelli di AI generica. Va detto che a giugno 2026 è un accordo in via di formalizzazione, pienamente efficace con la pubblicazione in Gazzetta Ufficiale UE: i dettagli vanno riverificati.
Per chi adotta un software, la parte pratica è capire dove si colloca lo strumento che sta valutando. Un gestionale che supporta l'organizzazione dello studio e include funzioni come la trascrizione assistita non è la stessa cosa di un sistema che prende decisioni cliniche al posto del professionista. La collocazione esatta di un dato strumento rispetto alle categorie dell'AI Act è una valutazione che spetta a chi produce il software, ma il professionista che lo adotta ha tutto il diritto di chiederla.
È esattamente questa la domanda utile da portare a qualsiasi fornitore. Come si colloca il vostro strumento rispetto all'AI Act, e quali obblighi di trasparenza rispetta. La qualità della risposta dice molto sull'affidabilità di chi hai davanti.
Una checklist operativa in dieci punti
Mettendo insieme le tre normative, ecco una lista pratica di cosa verificare e fare. Vale come promemoria concreto, al di là dei riferimenti di legge.
Primo, scegli strumenti con server collocati nell'Unione Europea. Dove sono fisicamente i dati conta.
Secondo, verifica che i dati clinici non vengano usati per addestrare modelli di intelligenza artificiale. È una delle domande più importanti e meno poste.
Terzo, accertati che esista un accordo che regola il trattamento dei dati fra te e il fornitore del software, con i ruoli chiari.
Quarto, attiva le funzioni di AI sui dati delle sedute solo con il consenso del paziente, raccolto in modo esplicito e per ogni persona, non in blocco.
Quinto, aggiorna l'informativa e il consenso informato quando introduci uno strumento nuovo che tocca i dati.
Sesto, mantieni sempre il controllo umano sulla nota clinica finale. L'AI propone, tu decidi.
Settimo, pretendi la cifratura dei dati, sia quando sono conservati sia quando viaggiano in rete.
Ottavo, verifica che lo strumento tenga traccia di chi accede ai dati e quando.
Nono, assicurati di poter esportare i tuoi dati in ogni momento, in un formato leggibile.
Decimo, conserva la documentazione clinica per il tempo previsto dalla deontologia, con backup affidabili.
Nessuno di questi punti, da solo, è complicato. Insieme costituiscono una pratica solida e tranquilla.
Domande frequenti
Posso usare uno strumento di AI generico per scrivere le note delle sedute?
Uno strumento generico non nasce per i dati clinici. Il problema non è la funzione in sé, è dove finiscono i dati che ci scrivi e se vengono riutilizzati. Per i dati di una seduta servono strumenti pensati per quel contesto, con garanzie chiare sul trattamento.
Devo dire ai miei pazienti che uso l'AI?
Sì. La trasparenza verso la persona assistita sull'uso di strumenti di AI è un punto fermo della normativa del 2026. Va fatto con linguaggio chiaro, dentro l'informativa e il consenso.
Le cartelle cliniche digitali che tengo oggi sono a norma?
Dipende da come sono conservate e protette. I criteri sono quelli della checklist: server in UE, accesso protetto, cifratura, backup, conservazione adeguata. Se uno di questi manca, è il punto da sistemare.
Serve una valutazione d'impatto sulla privacy?
Il GDPR la richiede per i trattamenti che presentano rischi elevati per le persone. È una valutazione da fare caso per caso, preferibilmente con il supporto di una persona competente.
Chi è responsabile se l'AI sbaglia una nota?
Il professionista. La Legge 132/2025 è chiara su questo punto: l'AI è uno strumento di supporto, la responsabilità del lavoro intellettuale resta della persona. Per questo il controllo umano sulla nota finale non è facoltativo.
Queste norme cambieranno ancora?
Sì, e stanno già cambiando. Nel maggio 2026 l'UE ha concordato un rinvio degli obblighi sui sistemi ad alto rischio dell'AI Act (pacchetto "Digital Omnibus"), con le nuove scadenze al 2 dicembre 2027 e al 2 agosto 2028. L'AI Act si applica per fasi e le interpretazioni si stanno consolidando, quindi nessuno può promettere una conformità garantita e definitiva. La cosa sensata è costruire una pratica solida sui principi, che reggono anche quando le date si spostano.
In conclusione
AI Act, Legge 132/2025 e GDPR non sono tre adempimenti separati da temere. Sono tre facce dello stesso principio: trattare i dati delle persone con cura e usare gli strumenti digitali con consapevolezza. Chi lavora già con serietà deve soprattutto rendere espliciti alcuni passaggi, a partire dalla trasparenza verso il paziente.
GestAI è stato costruito dentro questo quadro, con server nell'Unione Europea, funzioni di AI attivabili dal terapeuta paziente per paziente e il controllo umano sempre al centro. Puoi provarlo con una Prova Gratuita di 15 giorni, senza carta di credito, che dà accesso al pacchetto Professional (il piano di mezzo, comprensivo dell'assistente AI), su gestai.it. Qualunque strumento tu scelga, i principi di questa guida restano la bussola.
Fonti:
https://www.garanteprivacy.it/temi/sanita-e-ricerca-scientifica
