L’Intelligenza Artificiale in ambito medico non può esistere senza il suo carburante primario: grandi quantità di dati[1]. L’efficacia, la precisione diagnostica e l’equità degli algoritmi clinici dipendono intrinsecamente dalla disponibilità di dataset vasti, armonizzati e rappresentativi della reale diversità della popolazione[2].
È proprio adottando questa prospettiva, quella dell’innovazione tecnologica e dello sviluppo dell’IA, che emerge in modo palese la necessità di superare la storica frammentazione dei sistemi sanitari nazionali, che per anni ha agito come un severo collo di bottiglia per la ricerca biomedica e per l’applicazione su vasta scala di sistemi di machine learning[3].
Indice degli argomenti
Lo Spazio europeo dei dati sanitari come cornice comune
In questo scenario si inserisce la formale pubblicazione del Regolamento sullo Spazio Europeo dei Dati Sanitari (EHDS – European Health Data Space), avvenuta sulla Gazzetta Ufficiale dell’Unione Europea il 5 marzo 2025, con entrata in vigore fissata al 26 marzo 2025[4]. Questo provvedimento normativo rappresenta il primo spazio dati comune dell’UE dedicato a un settore specifico e costituisce un pilastro fondamentale dell’Unione Sanitaria Europea e della più ampia strategia europea per i dati[5].
L’obiettivo strategico dell’EHDS è duplice: restituire ai cittadini un controllo effettivo sulle proprie informazioni mediche, superando le disuguaglianze transfrontaliere, e al contempo promuovere un mercato unico e sicuro per abilitare l’uso massivo e transfrontaliero dei dati sanitari, indispensabile per sbloccare le enormi potenzialità dell’Intelligenza Artificiale[6].
Due pilastri per lo Spazio europeo dei dati sanitari
Per realizzare questa ambiziosa visione, l’architettura dell’EHDS è strutturata su due pilastri normativi e infrastrutturali distinti ma strettamente interconnessi. Il primo riguarda l’uso primario dei dati, finalizzato all’erogazione diretta dell’assistenza clinica al paziente.
Attraverso l’infrastruttura transfrontaliera MyHealth@EU, i cittadini europei avranno il diritto e la certezza tecnica che i propri dati sanitari elettronici prioritari – come le sintesi sanitarie (Patient Summary), le prescrizioni elettroniche (ePrescription), i risultati di laboratorio e le lettere di dimissione – siano immediatamente accessibili e condivisibili con i professionisti sanitari di tutti gli Stati membri. Questo scambio avverrà gratuitamente e in un formato standardizzato europeo per le cartelle cliniche (EEHRxF), garantendo la massima interoperabilità semantica e riducendo sprechi e duplicazioni di esami per i pazienti in viaggio[7].
Il perimetro dell’uso secondario dei dati
Il secondo pilastro, focalizzato sull’uso secondario dei dati e supportato dall’infrastruttura telematica HealthData@EU, costituisce invece la vera rivoluzione per la sanità digitale e il terreno naturale per la fioritura dell’Intelligenza Artificiale[8].
L’uso secondario regolamenta il riutilizzo sicuro delle enormi moli di informazioni raccolte durante la cura quotidiana per finalità di ampio respiro: ricerca scientifica, innovazione, definizione delle politiche pubbliche di salute e, esplicitamente, l’addestramento, il testing e la validazione degli algoritmi per i sistemi di IA e per i dispositivi medici. Tramite appositi organismi nazionali responsabili dell’accesso ai dati (Health Data Access Bodies – HDAB), ricercatori e innovatori potranno accedere a cataloghi su larga scala con dati resi in forma anonimizzata o, laddove necessario per lo studio, pseudonimizzata.
Al fine di prevenire derive ed edificare un sistema basato sulla fiducia, l’EHDS impone limiti etici e di sicurezza inviolabili: l’elaborazione avverrà solo all’interno di ambienti di trattamento sicuri (Secure Processing Environments) da cui è vietata l’estrazione di dati personali, e sarà categoricamente precluso il riutilizzo per scopi lesivi contro l’individuo. Non si potranno mai usare questi dati per incrementare i premi assicurativi, assumere decisioni svantaggiose nel mercato del credito o del lavoro, né per finalità di marketing.
Privacy e regole nello Spazio europeo dei dati sanitari
Uno dei nodi normativi più innovativi dell’EHDS riguarda il complesso bilanciamento tra l’interesse collettivo allo sviluppo scientifico-tecnologico e la tutela del diritto alla privacy. Questo ostacolo viene risolto con un radicale cambio di prospettiva: l’introduzione di un meccanismo di “opt-out” per l’uso secondario[9]. Attualmente, ordinamenti frammentati basati sulla raccolta di consensi espliciti per ogni singola finalità di ricerca bloccano sul nascere la creazione di quei “big data” non distorti che sono la base vitale del machine learning.
L’EHDS stabilisce invece che il trattamento per fini di ricerca medica e innovazione tecnologica sia considerato lecito per impostazione predefinita, traendo la sua legittimità dall’interesse pubblico e dallo sviluppo della società. Correlato a questo, viene però introdotto il diritto irrinunciabile per la persona fisica di opporsi (opt-out) al riutilizzo dei propri dati sanitari in modo semplice, reversibile e senza dover fornire spiegazioni. Tale soluzione tutela l’autonomia del paziente ma agisce da catalizzatore per gli enormi bacini di dati; solo per questioni di interesse pubblico prevalente (come emergenze sanitarie o specifiche necessità epidemiologiche transfrontaliere), gli Stati membri potranno porre delle eccezioni a questo diritto di opposizione.
Le tappe operative dello Spazio europeo dei dati sanitari
Affinché un impianto tecnologico e normativo così imponente possa integrarsi nelle infrastrutture nazionali, il Regolamento detta un cronoprogramma rigoroso a tappe incrementali. Dopo la sua entrata in vigore nel marzo 2025, si aprirà una finestra transitoria strategica per l’istituzione formale degli HDAB. Entro marzo 2027 è attesa la piena applicabilità del quadro normativo, con la definizione tecnica da parte della Commissione di tutti gli atti di esecuzione e di standardizzazione. Il vero traguardo operativo per il mercato unico sanitario scatterà a marzo 2029, data in cui diventerà cogente e obbligatorio lo scambio transfrontaliero del primo gruppo prioritario di dati (Patient Summary e prescrizioni) per l’uso primario, unitamente all’applicazione delle regole di uso secondario per gran parte delle cartelle cliniche.
Un ulteriore balzo in avanti avverrà a marzo 2031, quando la condivisione per l’uso primario e secondario sarà estesa a una seconda categoria di informazioni ad altissima densità informativa, determinanti per i modelli di visione artificiale e medicina di precisione, quali le immagini diagnostiche, i risultati di laboratorio e i dati genomici. Infine, proiettando il sistema verso una dimensione di cooperazione scientifica globale, a partire dal marzo 2035 anche Paesi terzi e organizzazioni internazionali potranno formalmente fare richiesta per collegarsi alla rete HealthData@EU per l’uso secondario dei dati.
Il cantiere italiano tra Fascicolo sanitario elettronico 2.0 e PNRR
Mentre l’Europa traccia la rotta verso il mercato unico dei dati sanitari con il Regolamento EHDS, l’Italia si trova nel pieno della più complessa e ambiziosa trasformazione della propria infrastruttura tecnologica in ambito medico. Per decenni, il Servizio Sanitario Nazionale (SSN) ha sofferto di una cronica frammentazione regionale che ha generato ventuno sistemi sanitari digitali difformi, incapaci di dialogare tra loro e, conseguentemente, inidonei a supportare lo sviluppo su larga scala di modelli di Intelligenza Artificiale. La risposta strutturale a questa debolezza sistemica, finanziata con oltre 1,3 miliardi di euro attraverso la Missione 6 (Componente 2) del Piano Nazionale di Ripresa e Resilienza (PNRR), coincide con l’implementazione del Fascicolo Sanitario Elettronico (FSE) 2.0 e la contestuale creazione dell’Ecosistema Dati Sanitari (EDS)[10].
Dal fascicolo-documento al modello data-driven
La transizione dal vecchio FSE al nuovo FSE 2.0 non rappresenta un semplice aggiornamento software, ma un radicale cambio di paradigma architetturale e culturale: il passaggio da un approccio “document-driven” a uno “data-driven“. Se in passato il fascicolo operava come un mero cassetto virtuale in cui venivano depositati file PDF statici (spesso semplici scansioni non elaborabili dagli algoritmi), il FSE 2.0 è concepito come un ecosistema integrato e interattivo. Basandosi su standard internazionali di interoperabilità semantica e sintattica (come HL7 FHIR per i dati e CDA2 per i documenti), il nuovo fascicolo raccoglie informazioni cliniche strutturate, native digitali e computabili[11].
Questa evoluzione è il prerequisito tecnico assoluto per l’implementazione dell’IA: solo attraverso dati standardizzati è possibile addestrare modelli predittivi o fornire sistemi di supporto alle decisioni cliniche al letto del paziente. Il FSE 2.0 diventa così il punto di accesso unico ed esclusivo per i cittadini ai servizi del SSN, indipendentemente dalla regione di residenza, garantendo una reale portabilità del dato e la continuità assistenziale.
Il ruolo centrale dell’Ecosistema dati sanitari
Il vero “cervello” di questa nuova architettura, istituito formalmente con il Decreto del Ministero della Salute del 31 dicembre 2024, è l’Ecosistema Dati Sanitari (EDS). Se il FSE 2.0 è l’interfaccia verso il cittadino e il medico clinico, l’EDS è l’infrastruttura backend centrale che assicura il coordinamento informatico nazionale. Sotto il profilo della governance, la titolarità del trattamento dei dati raccolti e generati dall’EDS è in capo al Ministero della Salute, mentre la gestione operativa è affidata all’Agenzia Nazionale per i Servizi Sanitari Regionali (AGENAS), che agisce in qualità di responsabile del trattamento[12].
L’EDS si alimenta costantemente con i dati estratti dai fascicoli regionali e dal Sistema Tessera Sanitaria (con l’esclusione tassativa dei dati oscurati dal paziente), elaborandoli per finalità che spaziano dalla cura e prevenzione, fino al governo della spesa e alla ricerca scientifica. Per conciliare l’innovazione guidata dai dati con le rigide tutele della privacy, la soluzione architetturale dell’EDS è strutturata su tre moduli principali, di cui il “Modulo Dati” è il più rilevante. Esso prevede tre partizioni logiche e fisiche rigidamente separate:
Le tre partizioni del modulo dati
Dati in chiaro: accessibili solo dai professionisti sanitari per finalità di cura diretta del paziente.
Dati pseudonimizzati: destinati alle Regioni e al Ministero per finalità di programmazione, prevenzione sanitaria e profilassi internazionale.
Dati anonimizzati: un ambiente dedicato esclusivamente all’estrazione di set di dati, resi non riconducibili all’individuo tramite tecniche crittografiche avanzate, destinati alla finalità di studio e ricerca scientifica (in campo medico, biomedico ed epidemiologico). Questo specifico modulo rappresenta di fatto il ponte tecnologico italiano verso il nodo di HealthData@EU per l’uso secondario dei dati previsto dall’EHDS[13].
Le 3 fasi della transizione italiana verso i dati sanitari interoperabili
Il percorso di popolamento e standardizzazione del FSE 2.0 ha tuttavia incontrato forti ostacoli operativi. Un’istruttoria del Garante per la Protezione dei Dati Personali avviata a inizio 2024 ha rilevato gravi difformità applicative tra le diverse Regioni: in molte aree del Paese, diritti fondamentali come quello all’oscuramento dei dati non erano garantiti, creando inaccettabili discriminazioni e minando la tenuta giuridica dell’intero sistema.
Per sanare questa criticità e allineare l’infrastruttura alle stringenti scadenze imposte dal PNRR, il Ministero della Salute, di concerto con il Dipartimento per la Trasformazione Digitale e il MEF, ha emanato il Decreto del 30 dicembre 2024, che fissa una rigorosa disciplina transitoria articolata in tre fasi incrementali e perentorie:
Fase I: tutela e trasparenza
Fase I (scaduta il 31 marzo 2025): Tutela e Trasparenza. Questa prima tappa si è concentrata sulla messa in sicurezza dei diritti del cittadino. Le Regioni avevano l’obbligo di garantire l’operatività del diritto di “oscuramento automatico” (la cosiddetta catena dell’oscuramento tra la prescrizione e il referto) e la tracciabilità assoluta degli accessi. Il cittadino ha oggi la facoltà di visionare i file di log per sapere esattamente chi, come e quando ha consultato la propria cartella clinica.
Fase II: il core clinico
Fase II (scaduta il 30 settembre 2025): Il Core Clinico. Entro questa data doveva essere completata al 100% la realizzazione del Profilo Sanitario Sintetico (PSS) da parte dei Medici di Medicina Generale e dei Pediatri. Il PSS è il documento clinico informatico che riassume la storia clinica del paziente (allergie, terapie in corso, patologie croniche) ed è l’esatto equivalente nazionale del Patient Summary richiesto dall’Europa per lo scambio transfrontaliero in MyHealth@EU. Sempre in questa fase doveva diventare operativo il “Taccuino personale“, uno spazio dove l’assistito può inserire autonomamente informazioni sul proprio stato di salute, abilitando l’integrazione di dati provenienti da wearables e dispositivi di telemonitoraggio domiciliare. È stato inoltre garantito l’accesso per finalità di cura con livelli di visibilità diversificati in base al ruolo dell’operatore sanitario.
Fase III: completezza e integrazione pubblico-privato
Fase III (imminente, entro il 31 marzo 2026): Completezza e Integrazione pubblico-privato. L’ultima tappa prevede il raggiungimento della totale completezza dei contenuti del FSE. Viene introdotto l’obbligo di alimentazione tempestiva dell’ecosistema: i dati e i documenti sanitari dovranno affluire nel fascicolo entro il termine perentorio di 5 giorni dall’erogazione della prestazione. Un passaggio di portata epocale di questa fase è l’obbligo di alimentazione online esteso anche alle strutture sanitarie private autorizzate dal SSN. Questo eliminerà i silos informativi del settore privato, arricchendo i dataset nazionali di milioni di prestazioni cliniche prima invisibili al sistema centrale. Infine, dovrà essere realizzata l’interfaccia utente unica a livello regionale per l’accesso ai servizi telematici.
Le criticità dello Spazio europeo dei dati sanitari in Italia
Solo al completamento di questo imponente sforzo ingegneristico e normativo, che traghetterà la sanità italiana dall’era dei documenti cartacei a quella degli ecosistemi interoperabili, il Paese avrà le fondamenta strutturali necessarie per interfacciarsi con il Regolamento EHDS. Tuttavia, come vedremo nel prossimo capitolo, proprio le elevate garanzie poste a tutela della privacy italiana in questa transizione (in primis il diritto di oscuramento) rischiano di innescare un cortocircuito giuridico con i dettami europei sull’uso secondario dei dati[14].
L’edificazione dell’Ecosistema Dati Sanitari (EDS) e il potenziamento del FSE 2.0, pur rappresentando un indiscutibile passo in avanti per il Servizio Sanitario Nazionale, rischiano di scontrarsi frontalmente con il nuovo assetto normativo comunitario. Sebbene l’Italia stia procedendo a tappe forzate per rispettare le scadenze del PNRR, l’architettura giuridica e tecnologica nazionale è stata concepita attorno a una filosofia di protezione del dato che appare profondamente disallineata rispetto ai principi cardine del Regolamento sullo Spazio Europeo dei Dati Sanitari (EHDS)[15]. Questa divergenza non si limita a un mero cavillo burocratico, ma configura un conflitto strutturale destinato ad avere pesanti ricadute sulla ricerca, sull’adozione dell’Intelligenza Artificiale in ambito sanitario e sulla tenuta economica del sistema.
Privacy, oscuramento e uso secondario dei dati
Il nodo privacy: “opt-out” europeo contro “diritto di oscuramento” italiano
Il cuore della divergenza tra l’ordinamento italiano e il framework europeo risiede nel delicato equilibrio tra il controllo sui dati sensibili da parte dell’interessato e la necessità collettiva di disporre di dataset su larga scala. Il Regolamento EHDS risolve questo bilanciamento istituendo il diritto di “opt-out” per l’uso secondario: il trattamento dei dati sanitari per fini di ricerca e innovazione è considerato lecito per impostazione predefinita (basato sull’interesse pubblico), ma viene garantito al cittadino il diritto di opporsi in modo semplice, reversibile e senza dover fornire alcuna giustificazione.
Al contrario, la data governance italiana, fortemente plasmata dagli interventi del Garante per la Protezione dei Dati Personali, si fonda su tutele estremamente granulari basate sull’acquisizione di consensi espliciti e disgiunti per le diverse finalità (cura, prevenzione, profilassi internazionale). La massima espressione di questo approccio è il cosiddetto “diritto di oscuramento“, un meccanismo che consente all’assistito di rendere invisibili ai professionisti sanitari specifici documenti o interi eventi clinici. A differenza dell’opt-out europeo, che agisce prevalentemente sull’uso secondario, l’oscuramento italiano incide direttamente anche sull’uso primario: le informazioni oscurate restano inaccessibili al personale medico perfino in situazioni di emergenza in cui è a rischio la vita del paziente, a meno di una revoca esplicita.
Questa rigidità normativa, sebbene pensata per massimizzare la tutela della riservatezza, si trasforma in una barriera tecnica per lo sviluppo dell’Intelligenza Artificiale in ambito sanitario.
L’impatto sull’IA: rischio di bias algoritmico e le tutele della Legge 132/2025
Il Regolamento EHDS mira proprio a creare bacini di dati esaustivi e rappresentativi, essenziali per addestrare, testare e validare algoritmi medici e sistemi di IA (ponendosi in stretta sinergia con il recente AI Act europeo).
Tuttavia, qualora una quota significativa della popolazione italiana dovesse esercitare il diritto di oscuramento in modo esteso, l’organismo nazionale di accesso ai dati (HDAB) si troverebbe a fornire all’infrastruttura europea HealthData@EU dei dataset incompleti, frammentati o statisticamente distorti. Questo scenario innescherebbe un grave problema di bias algoritmico: gli strumenti di IA diagnostica o predittiva sviluppati in Europa finirebbero per essere addestrati prevalentemente su dati provenienti da nazioni dotate di governance più flessibili e permissive (come i Paesi nordici o la Spagna). Di conseguenza, tali algoritmi risulterebbero meno efficaci, inaccurati o addirittura discriminatori se applicati alla popolazione italiana, minando alla base l’equità delle cure digitali. Inoltre, l’indisponibilità di dati clinici di alta qualità ridurrebbe drasticamente l’attrattività del Sistema Paese per gli investimenti privati nella ricerca biomedica e per l’innovazione tecnologica.
A mitigare parzialmente questo rischio interviene la recente normativa italiana sull’Intelligenza Artificiale (Legge n. 132/2025), che ha qualificato i trattamenti per la ricerca in IA in ambito sanitario come di “rilevante interesse pubblico” e ha legittimato esplicitamente l’uso di dati sintetici (generati algoritmicamente per simulare dati reali senza compromettere la privacy) e di ambienti di sperimentazione controllata (regulatory sandboxes). Ciononostante, senza un allineamento sostanziale dei modelli di consenso, l’ostacolo dell’acquisizione dei dati reali alla fonte rimarrà un limite critico.
Costi, ritardi e doppia spesa nei dati sanitari
La modernizzazione della sanità digitale italiana poggia interamente sugli ingenti capitali del PNRR, che destina alla Missione 6 oltre 15 miliardi di euro, di cui 610 milioni per il FSE, 1,5 miliardi per la telemedicina e 1,1 miliardi per l’ammodernamento tecnologico. L’attuazione di questi investimenti, tuttavia, si sta scontrando con una burocrazia complessa e con cronici ritardi operativi. Basti pensare che, al 2024, la spesa effettivamente certificata per la telemedicina si attestava a una media nazionale ferma ad appena l’11%, con Regioni come Lazio e Friuli-Venezia Giulia ferme a quota zero.
A questi ritardi si somma un rischio economico ben più sistemico derivante dall’incompatibilità tecnica con l’EHDS. Il Regolamento europeo fissa scadenze perentorie: entro marzo 2029 diventerà obbligatorio lo scambio transfrontaliero dei dati sanitari utilizzando il formato europeo standardizzato (EEHRxF – European Electronic Health Record Exchange Format). Se l’Italia continuerà a sviluppare l’infrastruttura regionale e nazionale (EDS) seguendo standard autonomi e non nativamente allineati alle direttive di MyHealth@EU e HealthData@EU, andrà incontro a un colossale rischio di frammentazione tecnica[16].
Il mancato allineamento tempestivo potrebbe causare il peggiore degli scenari per le finanze pubbliche: una clamorosa “doppia spesa“. Il Paese si troverebbe infatti costretto a riconvertire o riprogettare ex novo le infrastrutture informatiche regionali – appena ultimate con i fondi del PNRR – per adeguarle in ritardo ai requisiti vincolanti dell’infrastruttura comunitaria. Se l’Italia dovesse rimanere “un’isola normativa separata dal continente”, non solo vanificherebbe gli investimenti miliardari attualmente in corso, ma perderebbe definitivamente l’opportunità di beneficiare delle economie di scala e dei miliardi di euro di risparmi stimati dal mercato unico della sanità digitale europea[17].
Il benchmark dello Spazio europeo dei dati sanitari: la Spagna
Mentre l’Italia si dibatte nelle complessità burocratiche e nei conflitti giurisprudenziali legati alla rigida interpretazione del consenso e del diritto di oscuramento[18], altre nazioni europee stanno dimostrando che una transizione fluida e tempestiva verso i dettami dello Spazio Europeo dei Dati Sanitari è non solo possibile, ma strategicamente vantaggiosa[19]. In questo contesto, il modello della Spagna[20] emerge come il benchmark europeo di riferimento, avendo avviato un allineamento proattivo che le permetterà di capitalizzare al massimo l’uso dell’Intelligenza Artificiale (IA) in medicina, evitando i colli di bottiglia che rischiano di frenare il Servizio Sanitario Nazionale italiano.
Una strategia legislativa anticipatoria
La leadership spagnola si fonda innanzitutto su un intervento legislativo strutturale e anticipatorio. A differenza di Paesi che attendono passivamente la piena cogenza del Regolamento europeo, la Spagna sta lavorando attivamente a una legge nazionale specifica per regolare l’uso dei big data nella ricerca e negli studi clinici. Questa normativa ha l’esplicita finalità di adattare l’ordinamento giuridico spagnolo alle direttive dell’EHDS, creando un quadro giuridico comune e sicuro per l’interoperabilità e l’uso etico dei dati sanitari. Si tratta di una sorta di “Digital Health Act” nazionale che mira a superare in modo definitivo le zone grigie e le ambiguità interpretative generate dall’applicazione del GDPR in ambito medico[21]. La norma, che è stata recentemente sottoposta a consultazione pubblica (conclusasi nell’ottobre 2025), non si limita a disciplinare i dati tradizionali, ma regola esplicitamente l’uso di tecnologie digitali ed emergenti, come la biometria, le neurotecnologie e, naturalmente, l’Intelligenza Artificiale, per fini scientifici.
Il superamento del modello fondato sul consenso
Il vero salto quantico della Spagna è tuttavia di natura culturale e giuridica, e riguarda il ribaltamento del paradigma del consenso. Tradizionalmente, la ricerca medica europea si è basata sul cosiddetto “Modello Helsinki“, un impianto etico-giuridico fortemente individualistico e centrato sulla necessità di acquisire il consenso esplicito e granulare del paziente per ogni singolo utilizzo dei suoi dati. La Spagna sta guidando la transizione per abbandonare questo approccio nell’ambito dell’uso secondario dei big data, abbracciando un sistema fondato sulla prevalenza dell’interesse pubblico.
In linea con le direttive dell’EHDS, il nuovo quadro spagnolo stabilisce che il consenso per l’uso secondario dei dati (ricerca, innovazione e policy) si intenda concesso per impostazione predefinita. L’unico onere a carico del cittadino che non desideri partecipare a questo ecosistema è l’esercizio del diritto di esclusione (opt-out). Questo ribaltamento riduce drasticamente le barriere amministrative e accorcia i tempi che finora hanno limitato lo sfruttamento dei dati clinici, garantendo allo stesso tempo l’assoluto anonimato e la privacy dei pazienti. Stimolando i cittadini a percepire la condivisione delle proprie informazioni cliniche de-identificate non come una minaccia, ma come un dovere civico fondamentale per il progresso della salute pubblica, la Spagna sta promuovendo con successo il concetto di “data altruism“[22]. Questo garantisce agli sviluppatori di algoritmi di IA l’accesso a bacini di dati vastissimi e non distorti, indispensabili per un addestramento algoritmico equo ed efficace.
Un’architettura federata per l’uso dei dati
Dal punto di vista architetturale, la Spagna ha optato per una soluzione diametralmente opposta a quella italiana. Mentre l’Italia sta costruendo un Ecosistema Dati Sanitari (EDS) fortemente accentrato presso il Ministero della Salute, la Spagna ha scelto di valorizzare la propria organizzazione decentrata (articolata in 17 Comunità Autonome) puntando su spazi di dati federati.
Nel modello spagnolo, i dati non vengono massivamente riversati e duplicati in un unico gigantesco database centrale. Al contrario, le informazioni rimangono fisicamente conservate presso gli ospedali, i centri di ricerca o i nodi regionali (autonomici) che le hanno originariamente generate. L’accesso per l’uso secondario avviene attraverso cataloghi standardizzati e interoperabili, coordinati a livello nazionale dal Ministero della Sanità. Questo approccio federato riduce significativamente i rischi di cybersicurezza associati ai grandi data lakes centralizzati e previene la formazione di pericolosi “data bottlenecks” (colli di bottiglia normativi e tecnici). Inoltre, questa architettura si sposa perfettamente con le più moderne tecniche di machine learning per la tutela della privacy (Privacy-Enhancing Technologies), come il Federated Learning, che permette di addestrare i modelli di IA inviando l’algoritmo direttamente dove risiedono i dati, senza che questi ultimi debbano mai abbandonare i server sicuri dell’ospedale. Parallelamente all’infrastruttura pubblica, stanno già nascendo in Spagna spazi dati promossi da attori privati, come l’Evidenze Data Space, orientati alla ricerca sui dati del mondo reale (RWD) e già nativamente allineati ai requisiti di EHDS, GDPR e Data Governance Act.
Tempistiche e vantaggio competitivo
Grazie a questo approccio pragmatico, unito a un livello di maturità digitale tra i più elevati in Europa, la Spagna non attenderà la scadenza ultima del 2029 prevista dal Regolamento europeo per il primo gruppo di dati. Il Paese gode già di un’ampia esperienza nella standardizzazione dei dati e possiede i finanziamenti necessari grazie a un progetto interministeriale dedicato proprio all’EHDS. Questo sforzo sinergico e politicamente trasversale proietta la Spagna a rendere pienamente operativo il proprio ecosistema per l’uso secondario dei dati a brevissimo termine, verosimilmente nel biennio 2026-2027.
Attraverso una chiara definizione dei ruoli di governance regionale e nazionale, e investendo massicciamente nella formazione di professionisti dotati di competenze sui dati, la Spagna sta costruendo le fondamenta per diventare il polo di attrazione principale in Europa per gli investimenti in Intelligenza Artificiale medica, lasciando a nazioni con impostazioni più conservatrici, come l’Italia, l’onere di inseguire.
Adeguare l’Italia allo Spazio europeo dei dati sanitari
L’analisi delle complesse dinamiche in atto restituisce l’immagine di un’Italia posta di fronte a un ineludibile bivio strategico. Da una parte, vi è la spinta istituzionale a edificare una data governance sanitaria imperniata su tutele nazionali estremamente rigide e peculiari, figlie di una forte esigenza di protezione della riservatezza individuale. Dall’altra, si profila il rischio oggettivo che il mantenimento di un simile isolazionismo normativo condanni il Paese a una perdurante marginalità tecnologica e scientifica nel più ampio e competitivo contesto europeo.
I profili di criticità emersi, in primis il profondo conflitto giurisprudenziale tra il “diritto di oscuramento” nazionale e il meccanismo di “opt-out” introdotto dal Regolamento EHDS, non possono essere derubricati a mere questioni tecniche. Non basteranno semplici aggiustamenti informatici per allineare le infrastrutture nazionali all’infrastruttura europea, ma si rende necessaria una scelta politica netta accompagnata dalla promozione di una nuova cultura del dato.
Le tre linee di intervento
Per tracciare uno scenario futuro virtuoso che scongiuri l’esclusione dell’Italia dai grandi network di ricerca, il Servizio Sanitario Nazionale è chiamato a intraprendere un percorso di armonizzazione tecnico-normativa su tre specifiche linee di intervento. In primo luogo, sarà indispensabile un progressivo allineamento dei modelli di consenso, superando l’attuale frammentazione a favore di un sistema di informativa e opt-out unico per l’uso secondario, in piena coerenza con l’Articolo 71 dell’EHDS. Parallelamente, occorrerà un’accelerazione decisa sull’adozione degli standard di interoperabilità, assicurando che il formato dei dati del FSE 2.0 diventi pienamente compatibile con l’European Electronic Health Record Exchange Format (EEHRxF), agendo d’anticipo rispetto alle scadenze cogenti fissate al 2029. Tale sforzo dovrà necessariamente essere accompagnato da un monitoraggio rigoroso dell’attuazione del PNRR, rafforzando la capacità di spesa delle Regioni per evitare che i ritardi burocratici vanifichino gli investimenti miliardari in corso e inneschino lo spettro di costose “doppie spese” per riconvertire reti informatiche non conformi.
Il ruolo dei dati sintetici e delle sandbox
In questo delicato percorso di convergenza, un prezioso strumento per delineare un orizzonte positivo è offerto dalla recente legislazione nazionale sull’Intelligenza Artificiale. Con questo provvedimento, l’Italia ha compiuto un passo da pioniere, diventando il primo Paese dell’Unione Europea a riconoscere formalmente e autorizzare a livello legislativo l’uso dei dati sintetici in ambito medico. L’Articolo 8 della norma autorizza esplicitamente il trattamento dei dati personali sensibili per la loro anonimizzazione e “sintetizzazione” a fini di ricerca, qualificando tali processi come attività di rilevante interesse pubblico. Sfruttando appieno queste disposizioni e l’istituzione delle cosiddette regulatory sandboxes (ambienti di sperimentazione protetta sotto la vigilanza congiunta di AGENAS e del Garante per la Privacy), il Paese ha l’opportunità di diventare un hub competitivo per l’innovazione medica europea, offrendo ai ricercatori la possibilità di testare e addestrare algoritmi in modo sicuro aggirando i limiti normativi legati all’acquisizione del dato reale.
In prospettiva, in assenza di un convinto sforzo di convergenza, la riprogettazione forzata dell’intero impianto digitale diverrà una necessità imposta dalla giurisprudenza europea, con costi che la finanza pubblica faticherebbe a sostenere. La medicina del futuro sarà inevitabilmente e strutturalmente fondata sui dati. La maturità e la lungimiranza con cui l’Italia saprà governare questo inestimabile patrimonio informativo — bilanciando la tutela dei diritti dei singoli con una visione di sistema aperta all’Europa — determinerà non solo la sostenibilità a lungo termine del Servizio Sanitario Nazionale, ma soprattutto la qualità delle cure destinate alle prossime generazioni.
Note
[1] Jiang, J., Domingues, L., & Mendes, J. M. (2025). Synthetic data in medical imaging within the EHDS: a path forward for ethics, regulation, and standards. Frontiers in Digital Health, 7, 1620270.
[2] Morley, J., Murphy, L., Mishra, A., Joshi, I., & Karpathakis, K. (2022). Governing Data and Artificial Intelligence for Health Care: Developing an International Understanding. JMIR Formative Research, 6(1), e31623
[3] Staunton, C., Biasiotto, R., Tschigg, K., & Mascalzoni, D. (2024). Artificial Intelligence Needs Data: Challenges Accessing Italian Databases to Train AI. Asian Bioethics Review, 16(3), 423-435.
[4] Fulco, D., Analisi della Convergenza Strategica tra il Regolamento EHDS e la Data Governance Italiana: Profili Giuridici, Infrastrutturali ed Economici del Sistema Sanitario Nazionale, Agendadigitale.eu
https://www.agendadigitale.eu/sanita/governance-dei-dati-sanitari-il-ruolo-incrociato-di-ehds-e-dga/
[5] Commissione europea. (n.d.). Regolamento sullo spazio europeo dei dati sanitari (EHDS). Public Health.
[6] Piva, L. (2024, 24 aprile). UE – Parlamento europeo – European Health Data Space: approvazione del Regolamento per istituire lo spazio europeo dei dati sanitari 24 aprile 2024. Biodiritto.
[7] Commissione europea. I miei diritti sui miei dati sanitari. Public Health.
[8] Covington & Burling LLP. (n.d.). EHDS Series – 1: Five Key Take Aways on Secondary Use of Health Data.
[9] TEHDAS2. (2025, 7 settembre). M8.1 Draft Guideline to Health Data Access Bodies “How to implement opt-out from secondary use of electronic health data”.
[10] Ufficio parlamentare di bilancio. (2025, 22 maggio). Il PNRR e la riorganizzazione del Servizio sanitario nazionale. Focus Tematico n. 3.
[11] Dipartimento per la trasformazione digitale. Sanità digitale. Italia digitale 2026
[12] Fulco. D., op. cit.
[13] Reg. n. 327/2025, L’avanzamento della sanità digitale. Dallo spazio europeo dei dati sanitari all’ecosistema dati sanitari. Osservatorio di Diritto sanitario.
[14] Garante per la protezione dei dati personali. (2024, 26 settembre). Parere sullo schema di decreto del Ministero della salute che modifica il decreto del Ministero della salute del 7 settembre 2023, introducendo una disciplina transitoria delle disposizioni sul FSE 2.0 (art. 27-bis). Provvedimento n. 580
[15] Reg. n. 327/2025, L’avanzamento della sanità digitale. Dallo spazio europeo dei dati sanitari all’ecosistema dati sanitari. Osservatorio di Diritto sanitario.
[16] D’Agostino, L. (2025, 29 settembre). Dati sanitari, ricerca clinica, e Intelligenza Artificiale: le novità della Legge 132/2025. D’Agostino Lex.
[17] Commissione europea. Regolamento sullo spazio europeo dei dati sanitari (EHDS). Public Health.
[18] Fulco., D., op. cit.
[19] EIT Health. (2023). Implementation of European Health Data Space in Spain: is it really feasible? A Pan European Round table series
[20] Hospitaltec. (n.d.). El Espacio Europeo de Datos Sanitarios: impacto y oportunidades.
[21]Ramos, A. C., Buceta, B. B., Silva, Á. F. D., & Lorenzo, R. B. (2021). Ehealth in Spain: Evolution, current status and future prospects. Saude e Sociedade, 29, e190886.
[22] Lalova-Spinks, T., Meszaros, J., & Huys, I. (2023). The application of data altruism in clinical research through empirical and legal analysis lenses. Frontiers in Medicine, 10, 1141685.
