Perché l'AI Act riguarda anche gli studi professionali
L'Artificial Intelligence Act (AI Act) rappresenta il primo quadro normativo europeo per la regolamentazione dell'intelligenza artificiale. Entrato in vigore nell'agosto 2024, il regolamento si applica non solo a chi sviluppa sistemi di IA, ma anche a chi li utilizza professionalmente, inclusi terapeuti, psicologi e professionisti sanitari.
Per gli studi che adottano strumenti digitali con componenti di intelligenza artificiale – dalla trascrizione automatica delle sedute ai sistemi di gestione agenda – comprendere le proprie responsabilità diventa essenziale per garantire conformità normativa e tutela dei pazienti.
L'approccio basato sul rischio dell'AI Act
Il Regolamento europeo adotta un approccio risk-based: maggiore è il rischio associato all'utilizzo di un sistema di IA, più stringenti sono i requisiti normativi. Questa metodologia permette di bilanciare innovazione e protezione, concentrando le misure più rigorose sui casi a maggior impatto.
L'AI Act introduce obblighi per provider e deployer attraverso un sistema di gestione preventiva dei rischi, mentre la responsabilità penale resta disciplinata dalle normative nazionali esistenti, con particolare attenzione ai requisiti di compliance e sorveglianza umana.
Provider e Deployer: definizioni e ruoli
Provider (Fornitore)
Il provider è la persona fisica o giuridica, autorità pubblica o organismo che:
Sviluppa un sistema di IA o ne commissiona lo sviluppo
Immette il sistema sul mercato con il proprio nome o marchio
Mette in servizio il sistema, a titolo oneroso o gratuito
Deployer (Utilizzatore)
Il deployer è la persona fisica o giuridica, autorità pubblica o organismo che:
Utilizza un sistema di IA sotto la propria autorità
Opera in contesto professionale (escluso l'uso personale)
Per gli studi professionali: lo psicologo, il terapeuta o il centro clinico che adotta strumenti con IA (trascrizione sedute, assistenti virtuali, analisi dati clinici) rientra nella categoria deployer, con obblighi specifici ma proporzionati alla propria posizione nella catena di utilizzo.
Timeline di implementazione dell'AI Act
E’ importante conoscere le scadenze per essere conformi alle norme UE.
12 luglio 2024: Pubblicazione in Gazzetta Ufficiale UE
1 agosto 2024: Entrata in vigore del Regolamento
Implementazione graduale: Gli obblighi diventano applicabili a scaglioni temporali differenziati
Divieti per sistemi vietati: applicazione immediata
Sistemi ad alto rischio: finestre temporali dedicate
Modelli di IA per scopi generali (GPAI): requisiti specifici progressivi
Per i professionisti sanitari: è consigliabile allinearsi fin da subito agli standard di informazione, documentazione e supervisione, anticipando i requisiti formali.
Obblighi per i Provider di sistemi ad alto rischio
Classificazione basata sul rischio
I sistemi ad alto rischio includono i dispositivi medici e i sistemi utilizzati in ambito sanitario, come definito dall'Allegato I del Regolamento (riferimento alle normative di armonizzazione settoriali).
Responsabilità principali dei Provider (Art. 16)
I fornitori di sistemi IA ad alto rischio devono:
Conformità normativa: Garantire che i sistemi rispettino tutti i requisiti previsti dal Regolamento
Sistema di gestione qualità: Implementare processi documentati per la gestione del ciclo di vita del sistema
Logging e tracciabilità: Conservare i log generati automaticamente quando sotto il proprio controllo
Valutazione di conformità: Sottoporre il sistema alle procedure di valutazione prima dell'immissione sul mercato
Dichiarazione CE: Elaborare la dichiarazione di conformità UE e apporre la marcatura CE
Registrazione obbligatoria: Rispettare gli obblighi di registrazione presso le autorità competenti
Misure correttive: Adottare tempestivamente azioni correttive e fornire informazioni necessarie alle autorità
Dimostrazione di conformità: Su richiesta delle autorità nazionali competenti, dimostrare la conformità del sistema
Sorveglianza umana
Il provider deve individuare e implementare misure adeguate di sorveglianza umana prima dell'immissione sul mercato, garantendo che l'intervento umano sia parte integrante del funzionamento del sistema.
Obblighi per i Deployer: cosa deve fare chi utilizza IA in studio
Mentre i provider rispondono della conformità tecnica, i deployer hanno responsabilità specifiche legate all'utilizzo corretto e alla supervisione dei sistemi di intelligenza artificiale.
Responsabilità principali dei Deployer (Art. 26)
1. Utilizzo conforme alle istruzioni
Adottare misure tecniche e organizzative per garantire l'uso dei sistemi secondo le istruzioni d'uso fornite dal provider. Questo include:
Rispettare i casi d'uso previsti e i limiti dichiarati
Non utilizzare il sistema per finalità non autorizzate
Documentare le modalità operative adottate
2. Sorveglianza umana qualificata
Affidare la supervisione del sistema a persone fisiche che dispongano di:
Competenza tecnica adeguata
Formazione specifica sul sistema
Autorità decisionale necessaria
Supporto organizzativo appropriato
3. Monitoraggio continuo
Monitorare il funzionamento del sistema sulla base delle istruzioni d'uso e:
Identificare anomalie o comportamenti inattesi
Informare tempestivamente il fornitore quando necessario
Documentare gli esiti del monitoraggio
4. Segnalazione dei rischi
Informare senza ritardo il fornitore, il distributore e l'autorità di vigilanza, sospendendo l'uso del sistema, qualora emergano motivi per ritenere che l'utilizzo conforme alle istruzioni possa:
Presentare rischi per la salute
Compromettere la sicurezza delle persone
Violare diritti fondamentali
5. Gestione degli incidenti gravi
Comunicare immediatamente al fornitore e successivamente all'importatore/distributore e alle autorità competenti eventuali incidenti gravi rilevati durante l'utilizzo.
Checklist operativa per professionisti sanitari
Di seguito elencheremo alcuni elementi importanti per essere conformi all’IA Act andando a definire indicazioni pratiche per aiutare i professionisti della salute mentale ad avere una maggiore consapevolezza circa questi aspetti e normative.
1. Mappatura dei sistemi IA utilizzati
Obiettivo: Identificare dove e come l'intelligenza artificiale entra nei processi dello studio
Azioni pratiche:
Elenca tutti gli strumenti digitali con componenti IA (trascrizione automatica, riassunto note cliniche, analisi agenda, promemoria predittivi)
Per ciascuno strumento, documenta: funzionalità, tipologia di dati trattati, frequenza d'uso
Classifica i sistemi in base al livello di rischio e all'impatto sui pazienti
Crea un registro degli strumenti IA aggiornato periodicamente
Perché è importante: La mappatura è il prerequisito per informare correttamente i pazienti e per eventuali verifiche da parte delle autorità.
2. Informativa trasparente ai pazienti
Obiettivo: Garantire che i pazienti siano consapevoli dell'utilizzo di sistemi IA
Azioni pratiche:
Integrare nell'informativa privacy e consenso una sezione dedicata: "In alcune fasi organizzative e di supporto clinico utilizziamo strumenti dotati di intelligenza artificiale. Lei ha diritto a ricevere spiegazioni sul loro funzionamento in termini comprensibili e, quando applicabile, può opporsi al loro utilizzo"
Specificare quali attività coinvolgono IA (es. trascrizione sedute, gestione appuntamenti)
Predisporre materiale informativo semplificato per spiegare cosa fa e cosa non fa il sistema
Documentare l'avvenuta informazione e il consenso specifico
Perché è importante: L'AI Act richiede trasparenza verso gli utenti finali e promuove l'alfabetizzazione digitale (AI literacy) come strumento di tutela.
3. Gestione delle istruzioni d'uso del fornitore
Obiettivo: Utilizzare i sistemi nel rispetto delle indicazioni tecniche e operative
Azioni pratiche:
Richiedere e conservare la documentazione tecnica fornita dal provider (manuale d'uso, casi d'uso consentiti, limitazioni note, requisiti di supervisione)
Creare un registro di consultazione: annotare chi ha letto le istruzioni e quando
Verificare periodicamente eventuali aggiornamenti della documentazione
Assicurarsi che tutto il personale autorizzato all'uso abbia accesso alle istruzioni
Perché è importante: L'uso conforme alle istruzioni è un requisito legale e riduce il rischio di utilizzi impropri che potrebbero compromettere la sicurezza dei pazienti.
4. Supervisione umana e human-in-the-loop
Obiettivo: Mantenere il controllo umano sulle decisioni cliniche
Principi fondamentali:
Mai delegare decisioni cliniche all'IA: il sistema è uno strumento di supporto, non sostituisce il giudizio professionale
L'output dell'IA (riassunti, suggerimenti, analisi) deve essere sempre validato da un professionista qualificato
Stabilire procedure di revisione: quando e come si verificano gli output, chi è responsabile, come si correggono eventuali errori
Azioni pratiche:
Definire in una policy interna le modalità di supervisione (es. "Ogni trascrizione automatica viene rivista dal terapeuta prima dell'archiviazione")
Formare il personale sul concetto di human-in-the-loop
Documentare le revisioni effettuate nei casi critici
Perché è importante: La sorveglianza umana è al centro dell'AI Act ed è garanzia di sicurezza e responsabilità professionale.
5. Logging essenziale e tracciabilità
Obiettivo: Mantenere una documentazione minima ma significativa dell'uso dei sistemi IA
Cosa registrare:
Data e ora di utilizzo del sistema
Funzione utilizzata (es. "trascrizione seduta paziente XY", "analisi pattern appuntamenti")
Esito dell'operazione (completata correttamente / richiesta revisione / errore)
Eventuali anomalie o comportamenti inattesi
Azioni correttive adottate
Modalità operative:
Utilizzare un log strutturato (foglio di calcolo, sezione dedicata nel gestionale, registro cartaceo)
Conservare i log per un periodo adeguato (almeno 2 anni, salvo normative specifiche più stringenti)
Proteggere i log con misure di sicurezza appropriate (accesso limitato, backup)
Perché è importante: Il logging supporta accountability, qualità del servizio, gestione dei reclami e dimostrazioni di conformità.
6. Formazione del team e policy interne
Obiettivo: Garantire che tutto il personale comprenda opportunità e limiti dell'IA utilizzata
Contenuti della formazione:
Cosa fa il sistema: funzionalità, ambito di utilizzo, benefici attesi
Cosa NON fa: limitazioni tecniche, situazioni in cui non deve essere usato, rischi noti
Come si valida: procedure di verifica degli output, criteri di accettabilità
Come si segnala un problema: canali interni, tempistiche, responsabilità
Strumenti pratici:
Predisporre una policy di 1-2 pagine facilmente consultabile
Organizzare sessioni formative brevi (30-45 minuti) per tutto il team
Documentare la formazione erogata (registro presenze, materiali distribuiti)
Prevedere aggiornamenti periodici
Perché è importante: L'AI Act insiste sull'alfabetizzazione digitale e sulla consapevolezza d'uso. Un team formato riduce errori e aumenta la sicurezza.
7. Privacy by design: integrazione con GDPR
Obiettivo: Garantire che l'uso dell'IA rispetti i principi di protezione dati personali
Principi chiave:
Minimizzazione dei dati: utilizzare solo i dati strettamente necessari
Pseudonimizzazione: quando possibile, evitare identificativi diretti nei prompt
Nessuna diagnosi nei prompt: non inserire dati sensibili non necessari nelle richieste al sistema
Controlli di accesso: limitare l'accesso ai sistemi IA al personale autorizzato
Cifratura: dati protetti in transito e a riposo
Valutazione terze parti: nessun invio di dati a soggetti esterni non necessari o non autorizzati
Azioni pratiche:
Condurre una Data Protection Impact Assessment (DPIA) per sistemi ad alto rischio
Verificare che i fornitori offrano garanzie contrattuali di conformità GDPR
Aggiornare il registro dei trattamenti includendo i sistemi IA
Integrare l'informativa privacy considerando l'uso di IA
Perché è importante: AI Act e GDPR sono complementari. La conformità a entrambi i regolamenti garantisce protezione completa dei diritti dei pazienti.
Fornitori e trasparenza: quando l'IA usa API esterne
Le domande da porre al fornitore
Se il sistema utilizza API di terze parti o servizi cloud esterni, è fondamentale ottenere chiarimenti documentati:
Domande essenziali:
Dove vengono geograficamente trattati i dati (datacenter UE vs extra-UE)?
Quali garanzie contrattuali esistono sulla cancellazione dei dati dopo l'uso?
Come viene gestito il logging degli accessi ai dati?
Esiste tracciabilità di chi accede ai dati e quando?
Quali misure di sicurezza sono implementate (cifratura, isolamento, audit)?
Il fornitore è in grado di dimostrare conformità AI Act per la sua posizione nella catena?
Cosa fare se le risposte sono insufficienti
L'AI Act e le best practice europee puntano verso filiere trasparenti, istruzioni d'uso chiare e sistemi di logging robusti. Se il fornitore:
Non risponde in modo esaustivo
Non fornisce documentazione scritta
Non offre garanzie adeguate su trattamento e sicurezza dati
È necessario rivalutare la scelta del fornitore e considerare alternative che offrano maggiori tutele e trasparenza.
Sintesi operativa: conformità senza burocrazia
L'AI Act non richiede agli studi professionali di trasformarsi in uffici compliance, ma di adottare un approccio metodico e documentato all'utilizzo dell'intelligenza artificiale:
I tre pilastri della conformità per deployer
Informare: Garantire trasparenza verso i pazienti sull'uso di sistemi IA
Supervisionare: Mantenere controllo umano sulle decisioni e validare gli output
Documentare: Registrare l'essenziale per tracciabilità, qualità e accountability
I benefici per lo studio
Riduzione dei rischi: legali, reputazionali, operativi
Maggior controllo: sui processi digitali e sulla qualità del servizio
Fiducia dei pazienti: attraverso trasparenza e gestione responsabile della tecnologia
Efficienza sostenibile: automazione consapevole che riduce il "lavoro invisibile" senza compromettere la sicurezza
L'adozione di buone prassi di utilizzo dell'IA non è solo un obbligo normativo, ma un'opportunità per strutturare processi più solidi, trasparenti e orientati alla tutela dei pazienti e alla qualità clinica.
Vuole adottare l’IA senza cedere i dati a terzi e con impostazioni trasparenti? Scopri GestAI
