1. Home
  2. News e approfondimenti
  3. Sanità Digitale
  4. ChatGPT e dati sanitari: l’uso dell’AI da parte dei medici è davvero lecito?
Articolo
31 luglio 2025

ChatGPT e dati sanitari: l’uso dell’AI da parte dei medici è davvero lecito?

31 luglio 2025
Un medico chiede diagnosi a un’intelligenza artificiale caricando referti dei pazienti. È legale? Analizziamo il caso concreto, la normativa applicabile e gli scenari possibili in caso di reclami al Garante.

Sommario

  1. Cosa dice il GDPR e cosa prevede l’informativa di ChatGPT sui dati sanitari
  2. Senza consenso informato il medico rischia: scenari legali possibili

Il dottor A utilizza come supporto per la diagnosi e cura dei suoi pazienti dei software che integrano l'intelligenza generativa di ChatGPT.

Su questo software il dottor A carica ogni dato relativo ai pazienti, chiedendogli di elaborarli, agendo come se fosse un medico di base, per poi fornirgli una serie di diagnosi in base ai sintomi e alla storia clinica del paziente.

Supponiamo che un paziente del dottor A sporga un reclamo al Garante Privacy lamentando la violazione dei suoi dati personali e ragioniamo insieme su ciò che potrebbe succedere.

Cosa dice il GDPR e cosa prevede l’informativa di ChatGPT sui dati sanitari

Se leggiamo con attenzione l'informativa privacy di ChatGPT notiamo che l'azienda raccoglie i dati personali che l'utente fornisce negli input per i servizi, comprese le richieste (i cosiddetti prompt, cioè le domande che il medico formula all'AI) e gli altri contenuti che l'utente carica:

  • file,
  • immagini,
  • file audio.

ChatGPT, secondo l'informativa, può condividere, in determinate circostanze, questi dati personali con:

  1. fornitori e prestatori di servizi per finalità commerciali,
  2. trasferimenti di attività,
  3. autorità governative o altre terze parti,
  4. società affiliate,
  5. amministratori di account aziendali (per gli utenti business),
  6. altri utenti e terze parti con cui l'utente interagisce o condivide informazioni.

Va ribadito che i dati personali, secondo il GDPR, devono essere:

  1. trattati in modo lecito, corretto e trasparente nei confronti dell'interessato, nel rispetto del principio di liceità, correttezza e trasparenza;
  2. raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità, in virtù del principio della limitazione della finalità;
  3. adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati, in virtù del principio di minimizzazione dei dati;
  4. esatti e, se necessario, aggiornati, con adozione di tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati, alla luce del principio di esattezza;
  5. conservati in una forma che consenta l'identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati, in virtù del principio della limitazione della conservazione;
  6. trattati in maniera da garantire un'adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali, secondo il principio di integrità e riservatezza.

Questi principi, secondo il Garante Privacy, devono costituire la base per la progettazione e il funzionamento delle tecnologie di intelligenza artificiale generativa, in modo da garantirne un uso virtuoso da parte degli Stati e dei governi.

Attualmente non esiste, purtroppo, una normativa privacy specificamente dedicata all'intelligenza artificiale, per cui chi utilizza sistemi come ChatGPT quale ausilio al proprio lavoro di medico, se non legge bene l'informativa privacy del tool che sta utilizzando, corre il rischio di incorrere nella profilazione del paziente, attività di per sé vietata.

L'informativa di OpenAI specifica che i modelli di OpenAI, compresi quelli che alimentano ChatGPT, sono sviluppati utilizzando tre fonti primarie di informazioni:

  1. informazioni pubblicamente disponibili su internet,
  2. informazioni alle quali la società accede sulla base di una partnership con terzi,
  3. informazioni fornite o generate dagli utenti o dagli addestratori e ricercatori.

Nella sua informativa ChatGPT specifica che utilizza questo tipo di dati solo per formare l'intelligenza dei suoi modelli, come la capacità di prevedere, ragionare e risolvere problemi; l'azienda precisa che non usa né userà le informazioni personali contenute nelle informazioni di addestramento per creare profili sulle persone, per contattarle, per inviare loro pubblicità, per cercare di vendere loro qualcosa o vendere le informazioni stesse.

Sulla base dell'informativa di ChatGPT, l'azienda utilizza i dati dei pazienti, così come caricati sul portale dal medico, per addestrare il suo modello di intelligenza artificiale: ma ciò è consentito oppure no?

Sappiamo che, per principio generale, il trattamento dei dati sulla salute di una persona è vietato salvo gli specifici casi previsti dal GDPR, tra cui rientra il consenso esplicito, per una o più finalità specifiche, da parte del paziente.

È notorio, inoltre, che l'intelligenza artificiale deve essere utilizzata sotto la supervisione altamente qualificata dell'essere umano e che la presenza dell'uomo è particolarmente importante nella fase di addestramento dell'algoritmo, in quanto l'intelligenza artificiale effettua delle previsioni probabilistiche proprio sulla base dell'addestramento iniziale, sulla sua qualità e sulla correttezza dei dati utilizzati per istruirla.

La supervisione umana è fondamentale, in pratica, per assicurare il rispetto del diritto del paziente a non essere assoggettato a una decisione basata solo ed esclusivamente su un sistema automatizzato.

Leggi anche

Senza consenso informato il medico rischia: scenari legali possibili

Posto che, ad oggi, non esiste una normativa specifica dedicata alla privacy e all'intelligenza artificiale, il medico, per poter lecitamente caricare su un tool di intelligenza artificiale che integra ChatGPT i certificati e i referti contenenti i dati personali dei suoi pazienti, deve ottenere un consenso scritto da loro.

Nel modulo di consenso, ad oggi, deve essere indicata non solo la finalità per cui questi dati vengono caricati sul modello di intelligenza artificiale ma anche l'informativa privacy del modello di AI, sulla quale il paziente dovrebbe esprimere il suo preciso e libero consenso.

In assenza del consenso del paziente e in mancanza di una normativa specifica in materia di privacy e AI, ad oggi, se il medico decide autonomamente di caricare su un modello di intelligenza artificiale i dati e i referti dei suoi pazienti, lo fa a rischio di una sanzione da parte del Garante Privacy.

In tal senso, il Garante privacy ha recentemente messo in guardia i professionisti sanitari, richiamando la loro attenzione sull'opportunità di leggere bene le informative sulle privacy che i gestori delle piattaforme sono obbligati a pubblicare, per verificare, appunto, se i dati sanitari contenuti negli esami clinici caricati online ai fini della richiesta di interpretazione e/o diagnosi siano destinati a essere cancellati a seguito della richiesta stessa, in un momento successivo, oppure saranno conservati dal gestore del servizio per l'addestramento dei propri algoritmi.

Di: Manuela Calautti, avvocato

Argomenti correlati

Intelligenza Artificiale

News e approfondimenti che potrebbero interessarti

Vedi i contenuti
Vedi i contenuti

La soluzione digitale per i Professionisti Sanitari

Consulcesi Club

    Contatti

    Via G.Motta 6, Balerna CH
    PEC: consulcesisa@legalmail.it

    Social media

    Termini e condizioni

    • Consulcesi SA
    • Via G.Motta 6, Balerna CH
    • 259458377
    • +41 916952060
    • PEC: consulcesisa@legalmail.it