Cittadinanza digitale Sicurezza Informatica Sanità digitale Industry 4.0/Innovazione in azienda Infrastrutture digitali Procurement dell'innovazione Fatturazione elettronica Documenti digitali Scuola digitale Cultura e società digitali Mercati digitali Startup Strumenti Sostenibilità e smart city Intelligenza Artificiale In poche parole

conformità integrata

Dispositivi medici con AI: guida alle regole MDR, AI Act e GDPR

Home Sanità digitale
Partecipa al dibattito
Indirizzo copiato

MDR, AI Act e GDPR cambiano le regole per i dispositivi medici con intelligenza artificiale. Fascicolo tecnico, dataset, logging e supervisione umana diventano centrali. Gli Organismi Notificati verificano sicurezza e trasparenza. La nuova PLD rafforza la responsabilità dei produttori europei

Pubblicato il 23 feb 2026
Claudio Caldarola

avvocato e giurista italiano specializzato in intelligenza artificiale e diritto delle tecnologie

Sanità digitale nel 2025 telemedicina predittiva IA in radiologia; sanità d'iniziativa; dati sanitari; stampa 4D; farmaci personalizzati; nanotecnologia in medicina Active Directory sanità NIS2 sanità:

L’integrazione tra MDR, AI Act e GDPR delinea un nuovo ecosistema regolatorio per i dispositivi medici basati su intelligenza artificiale.

Approfondiamo allora il regime di conformità “multilivello”, esaminando gli aspetti operativi più complessi per i fabbricanti, il ruolo centrale degli Organismi Notificati e l’evoluzione della responsabilità civile alla luce della nuova Direttiva PLD.

La conformità integrata non è, infatti, un mero onere burocratico, ma un pilastro per lo sviluppo di tecnologie mediche “trustworthy” e competitive nel mercato europeo.

Regolamenti Ue sui dispositivi medici e GDPR: i nodi che l’Italia dovrà affrontare

L’assetto regolatorio come ecosistema integrato

L’assetto regolatorio dei dispositivi medici basati sui sistemi di intelligenza artificiale rappresenta oggi uno dei terreni di riflessione più importanti per il giurista contemporaneo, configurandosi come un ecosistema normativo integrato dove la tecnologia non è un elemento esterno, bensì l’oggetto di una disciplina multilivello. Un sistema di supporto decisionale clinico fondato su modelli di apprendimento automatico rientra nel perimetro applicativo del MDR – Regolamento sui Dispositivi Medici nel momento esatto in cui il fabbricante ne cristallizza la destinazione d’uso verso una finalità medica, ai sensi della rigorosa tassonomia definita dalla norma.

Tuttavia, la natura intrinseca di tale strumento, qualora integri la definizione di sistema di intelligenza artificiale di cui all’articolo 3 dell’AI Act europeo- Regolamento sull’Intelligenza Artificiale, ovvero un sistema progettato per operare con livelli variabili di autonomia e capace di generare previsioni, raccomandazioni o decisioni capaci di influenzare l’ambiente, determina l’insorgere di una qualificazione concorrente. Tale fenomenologia giuridica è un regime cumulativo di obblighi che accompagna il prodotto lungo l’intero arco della sua esistenza, dalla fase di concepimento algoritmico fino alla sorveglianza post-commercializzazione.

La triade normativa e l’interazione MDR-AI Act

Il documento del Gruppo di Coordinamento per i Dispositivi Medici – MDCG Guidance, denominato MDCG 2025-6, riguardante l’interazione tra il MDR – Regolamento sui Dispositivi Medici e l’AI Act – Regolamento sull’Intelligenza Artificiale, ben chiarisce che i dispositivi medici che incorporano sistemi di intelligenza artificiale qualificati come “ad alto rischio” sono soggetti all’applicazione congiunta del MDR – Regolamento sui Dispositivi Medici, del IVDR – Regolamento sui Dispositivi Medico-Diagnostici in Vitro e dell’AI Act – Regolamento sull’Intelligenza Artificiale.

Dunque, la predetta triade normativa impone un’armonizzazione documentale e procedurale, infatti, l’applicazione coordinata esige che i requisiti di sicurezza, prestazione e gestione del rischio siano fusi in un’impostazione unitaria all’interno del fascicolo tecnico, evitando compartimentazioni stagne che potrebbero minare la coerenza del sistema e la sicurezza del paziente.

La metamorfosi del fascicolo tecnico e della conformità

Il fascicolo tecnico costituisce il fondamento di questo impianto normativo, costituendo la prova documentale mediante la quale il fabbricante attesta la conformità ai requisiti generali di sicurezza e prestazione. Se nel regime ordinario del MDR – Regolamento sui Dispositivi Medici esso comprende la descrizione del dispositivo, la progettazione, la fabbricazione e la valutazione clinica, l’innesto di un sistema di intelligenza artificiale “ad alto rischio” amplia questo spettro verso nuovi orizzonti di complessità.

In ottemperanza all’AI Act, la documentazione deve ora dar conto della qualità e della rappresentatività dei dataset utilizzati per l’addestramento, la validazione e la prova, nonché dei meccanismi di registrazione automatica degli eventi “logging” e delle modalità concrete attraverso cui viene esercitata la supervisione umana. Il problema centrale non è più solo la validazione clinica dell’output, ma nella tracciabilità e nella verificabilità dell’intero processo generativo del dato.

Le procedure di valutazione della conformità, elemento centrale della vigilanza preventiva, subiscono una metamorfosi sostanziale. Il MDR – Regolamento sui Dispositivi Medici prevede già un esame rigoroso del sistema di gestione della qualità e del fascicolo tecnico da parte degli organismi notificati. Tuttavia, l’integrazione con l’AI Act – Regolamento sull’Intelligenza Artificiale richiede che tali organismi, adeguatamente accreditati per entrambe le funzioni, verifichino la rispondenza ai parametri di trasparenza e robustezza algoritmica.

In questo scenario, la reale efficacia dell’impalcatura normativa dipenderà dalla capacità degli Organismi Notificati di farsi interpreti di questa multidisciplinarietà, trasformando la doppia valutazione della conformità in un volano di fiducia che garantisca, al contempo, rigore tecnico e tempestività nell’accesso alle cure. Come delineato dalla MDCG Guidance – Guida del Gruppo di Coordinamento per i Dispositivi Medici, la valutazione della conformità diventa un processo olistico dove la dimensione software non è più un accessorio, ma l’elemento chiave per garantire la sicurezza complessiva. La certificazione, sostanzialmente, è il riconoscimento della capacità del fabbricante di gestire l’incertezza intrinseca dei sistemi probabilistici attraverso un controllo documentato e costante.

La trasparenza, la supervisione umana e la gestione del rischio

L’AI Act introduce obblighi di trasparenza verso gli utilizzatori che ridefiniscono il concetto stesso di informazione medica. Non è solo sufficiente che il dispositivo funzioni ma è necessario che anche il professionista sanitario sia messo in condizione di comprendere le logiche sottostanti alla raccomandazione algoritmica, mitigando il rischio di un affidamento acritico “automation bias”.

Questo passaggio interpretativo rimarca il ruolo centrale della supervisione umana, concepita non come un mero controllo formale, ma come una funzione attiva capace di intervenire e, se necessario, disattivare il sistema in presenza di anomalie. La gestione del rischio, in questa prospettiva, diventa un esercizio continuo che si sposta dalla dimensione clinica a quella organizzativa, imponendo al fabbricante l’adozione di un sistema di gestione del rischio specifico per l’intelligenza artificiale, armonizzato con quello previsto dal MDR – Regolamento sui Dispositivi Medici e dal IVDR – Regolamento sui Dispositivi Medico-Diagnostici in Vitro.

Sicché la sorveglianza post-commercializzazione riveste un ruolo fondamentale in questo contesto. Il MDR – Regolamento sui Dispositivi Medici e il IVDR – Regolamento sui Dispositivi Medico-Diagnostici in Vitro impongono la raccolta sistematica di dati sulle prestazioni e sugli eventi avversi. Tale obbligo si intreccia indissolubilmente con il monitoraggio previsto dal AI Act e, configurando un sistema di feedback continuo che incide direttamente sulla progettazione e sull’eventuale ri-addestramento dei modelli.

In un contesto dove l’algoritmo può evolvere, la sorveglianza non è solo una misura di vigilanza, ma un elemento costitutivo della sicurezza dinamica. La segnalazione degli incidenti gravi alle Autorità competenti diventa così il momento culminante di un dovere di trasparenza che coinvolge l’intera catena del valore, garantendo che ogni scostamento dalle prestazioni dichiarate sia prontamente analizzato e corretto.

La tutela dei dati e la nuova responsabilità civile “PLD”

L’impiego di dati personali relativi alla salute, fondamento ontologico di ogni sistema di intelligenza artificiale in medicina, richiama necessariamente la disciplina del GDPR – Regolamento Generale sulla Protezione dei Dati. La conformità a tale regolamento è il presupposto operativo imprescindibile per la liceità stessa del trattamento. I principi di minimizzazione dei dati, limitazione delle finalità ed esattezza devono guidare la fase di acquisizione dei dataset clinici, mentre le tecniche di pseudonimizzazione e anonimizzazione costituiscono strumenti fondamentali per garantire l’equilibrio tra l’innovazione e la tutela della riservatezza.

La qualità del dato, intesa come assenza di bias e rappresentatività statistica, assume una doppia valenza, essa è infatti sia un requisito tecnico previsto dall’AI Act, che, al contempo, un riflesso del principio di esattezza del GDPR – Regolamento Generale sulla Protezione dei Dati. In questo senso, la tutela della privacy si configura come un fattore abilitante della qualità scientifica del dispositivo.

Sul piano della responsabilità, l’ordinamento europeo ha compiuto un passo in avanti decisivo con la nuova PLD – Direttiva sulla Responsabilità per Danno da Prodotti Difettosi, la quale abroga la storica Direttiva 85/374/CEE per abbracciare le complessità dell’economia digitale. I dispositivi medici dotati di intelligenza artificiale rientrano pienamente nel concetto aggiornato di “prodotto”, includendo esplicitamente il software e i servizi digitali che ne influenzano il funzionamento.

Il difetto del prodotto può ora essere accertato non solo in presenza di un malfunzionamento hardware, ma anche a fronte di un’opacità algoritmica o di una carenza nella documentazione tecnica che impedisca la corretta supervisione umana. La PLD riconosce la posizione di vulnerabilità del danneggiato, prevedendo presunzioni di difettosità in casi di estrema complessità tecnica, incentivando così i produttori a mantenere standard di trasparenza e tracciabilità elevatissimi.

L’innovazione “trustworthy” come valore europeo

L’insieme coordinato del Regolamento sui Dispositivi Medici, del Regolamento sui Dispositivi Medico-Diagnostici in Vitro, del Regolamento sull’Intelligenza Artificiale e del Regolamento Generale sulla Protezione dei Dati delinea un sistema multilivello di eccezionale coerenza. In questo assetto, la conformità giuridica smette di essere un onere burocratico per trasformarsi in un valore intrinseco del dispositivo. La tracciabilità tecnica delle decisioni algoritmiche, la robustezza dei dataset e la responsabilità documentata lungo l’intero ciclo di vita costituiscono gli elementi che rendono l’innovazione tecnologicamente sostenibile e socialmente accettabile.

Il dispositivo medico intelligente “ad alto rischio” emerge, quindi, come una sintesi perfetta tra scienza e diritto, dove ogni scelta progettuale è mediata dal filtro della protezione della persona umana e della sicurezza pubblica.

Questo quadro normativo, pur nella sua complessità, offre una certezza del diritto che favorisce l’investimento e la ricerca. La convergenza delle regole sulla gestione del rischio e sulla sorveglianza assicura che il progresso tecnologico non avvenga a discapito della tutela dei diritti fondamentali. Al contrario, l’architettura europea dimostra che la regolamentazione rigorosa può fungere da catalizzatore per un’innovazione di qualità, capace cioè di posizionare l’Unione Europea come leader mondiale nello sviluppo di tecnologie mediche affidabili “trustworthy”.

In tale prospettiva, la figura del fabbricante evolve verso quella di un garante della conformità integrata, la cui responsabilità si riflette nella capacità di governare la complessità attraverso gli strumenti della trasparenza e del rigore scientifico. Il bene comune viene così preservato attraverso un sistema dove la tecnologia è servente rispetto alla dignità umana e alla salute collettiva, rendendo ogni avanzamento non solo possibile, ma pienamente legittimo nel solco dei valori europei.

In sintesi: i punti chiave per il nuovo assetto regolatorio

  • Integrazione documentale: Il fascicolo tecnico non è più una raccolta di documenti separati, ma deve fondere i requisiti clinici del MDR e quelli algoritmici dell’AI Act in un’unica visione unitaria.
  • Responsabilità dinamica: La sorveglianza post-commercializzazione “PMS” smette di essere un obbligo formale per diventare lo strumento cardine per gestire l’evoluzione dinamica e l’apprendimento degli algoritmi.
  • Qualità del dato come asset tecnico: Il GDPR non deve essere visto come un mero limite alla privacy, ma come il presupposto per garantire l’esattezza statistica e scientifica del dispositivo medico.
  • Cultura della supervisione: La trasparenza algoritmica è il presupposto indispensabile per mitigare l’automation bias e garantire che il professionista sanitario mantenga un ruolo di controllo attivo e consapevole.

Riferimenti bibliografici

Regolamento (UE) 2017/745 del Parlamento europeo e del Consiglio relativo ai dispositivi medici (MDR);

Regolamento (UE) 2024/1689 del Parlamento europeo e del Consiglio che stabilisce regole armonizzate sull’intelligenza artificiale (AI Act);

Gruppo di Coordinamento per i Dispositivi Medici (MDCG), Guida MDCG 2025-6 sull’interazione tra MDR e AI Act;

Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio relativo alla protezione dei dati personali (GDPR);

Niemiec, E., et al. Sfide legali e regolatorie in progetti multinazionali basati su dati per lo sviluppo e la validazione di sistemi medici di IA nell’UE;

Studio sulla diffusione dell’IA nell’assistenza sanitaria, Rapporto finale (EW0125076ENN);

Direttiva 85/374/CEE e Direttiva (UE) 2024/2853 sulla responsabilità per danno da prodotti difettosi (PLD).

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

C
Claudio Caldarola
avvocato e giurista italiano specializzato in intelligenza artificiale e diritto delle tecnologie
Claudio Caldarola, avvocato e giurista italiano specializzato in intelligenza artificiale e diritto delle tecnologie, con competenze sulla regolamentazione delle nuove tecnologie, protezione dei dati, governance digitale ed etica dell’intelligenza artificiale. Presidente e fondatore, dal 2018, di GP4AI – Global Professionals for Artificial Intelligence aps ets (www.gp4ai.com), svolge attività accademica come docente in master universitari e programmi di alta formazione. National PhD Student in Artificial Intelligence Health and Life Sciences presso l’Università Campus Bio-Medico di Roma. La sua attività si concentra sul Regolamento europeo sull’intelligenza artificiale, sulla compliance algoritmica, sui criteri ESG applicati ai sistemi intelligenti, sui neurodiritti legati alle interfacce cervello-computer (BCI), sull’agentic AI, e sulle implicazioni di governance, policy e geopolitica dell’IA, con un approccio integrato che coniuga diritto, tecnologia e strategie di impatto sistemico. Iscritto alla Società Italiana di Intelligence – Socint. In precedenza è stato componente della Commissione Informatica dell’Ordine degli Avvocati di Bari. Dal 2025 cura la rubrica “IA & Legal” su ItaloRED.it. Riconosciuto esperto nel settore dell’IA, è regolarmente invitato come relatore in contesti accademici, istituzionali e professionali, nonché punto di riferimento su tematiche legate all’innovazione tecnologica, anche sui media.
Seguimi su

Leggi anche:

guest

0 Commenti
Più recenti
Più votati
Inline Feedback
Vedi tutti i commenti

Argomenti

Canali

Con o Senza – Galaxy AI per il business

Tutti
PA digitale
AI per il lavoro
Mobile security
Leggi l'articolo PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Tecnologie
PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Leggi l'articolo Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
La soluzione
Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Leggi l'articolo PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Tecnologie
PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Leggi l'articolo Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
La soluzione
Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone

InnovAttori

Vedi tutti gli approfondimenti >

Articoli correlati

  • controlli sui dipendenti AI Act e lavoro moderazione personalizzata dei contenuti

  • sorveglianza

    Workveillance: quando il lavoro è sempre sotto controllo digitale

    11 Feb 2026

    di Chiara Cilardo

    Condividi
  • dati sanitari condivisione (1) spazio europeo dati sanitari

  • ricerca e innovazione

    Governance dei dati sanitari: il ruolo incrociato di EHDS e DGA

    30 Lug 2025

    di Diego Fulco

    Condividi
  • Payback dei dispositivi medici: norma da rivedere Dispositivi medici e IA

  • le indicazioni operative

    Dispositivi medici e IA: come gestire la conformità alle norme Ue

    14 Nov 2025

    di Elisa Stefanini e Claudio Todisco

    Condividi
0
Lascia un commento, la tua opinione conta.x