Skip to main content
ApprofondimentiNewsTutela Legale

GDPR e Intelligenza Artificiale: cosa cambierà per la farmacia con il pacchetto Digital Omnibus

By 20 Novembre 2025Novembre 24th, 2025No Comments

GDPR e Intelligenza Artificiale: cosa cambierà per la farmacia con il pacchetto Digital Omnibus

Il rapporto tra protezione dei dati personali, intelligenza artificiale (IA) e servizi sanitari sta attraversando una trasformazione profonda.

La Commissione Europea ha presentato il pacchetto legislativo Digital Omnibus, una proposta di regolamento volta ad aggiornare e coordinare il quadro normativo europeo in materia di protezione dei dati personali, cybersicurezza e intelligenza artificiale, per renderlo più coerente con le esigenze dell’ecosistema digitale e dell’IA.

Per il mondo della farmacia – che tratta quotidianamente dati di salute dei pazienti – si tratta di un intervento che avrà grande rilievo.

GDPR e Intelligenza Artificiale: cosa cambia per la farmacia con il pacchetto Digital Omnibus

Le principali novità del Digital Omnibus

Dati particolari e legittimo interesse

Il pacchetto introduce una nuova e più chiara cornice per l’utilizzo dei dati “particolari” ex art. 9 GDPR (come quelli relativi alla salute) nei sistemi IA:

  • consentito un uso residuale, purché con forte minimizzazione e misure tecniche avanzate;
  • l’interesse legittimo (art. 6.1.f) potrà diventare base giuridica per lo sviluppo e l’operatività dei modelli IA, con opposizione sempre possibile per l’interessato.

Decisioni automatizzate

Le decisioni interamente automatizzate restano ammesse se basate su contratto, legge o consenso.
Novità rilevante: non è più necessario dimostrare che solo un processo automatizzato può prendere la decisione per usare la base contrattuale.
Si consolida un modello ibrido: automazione dove utile, intervento umano dove necessario.

DPIA, data breach e notifiche

  • Liste europee uniformi indicheranno quando la DPIA è obbligatoria o non necessaria.
  • Notifica data breach basata sul criterio del rischio elevato, entro 96 ore “ove possibile”.
  • Previsto un punto unico di notifica integrato con la Direttiva NIS2 sulla cybersicurezza.

Trasparenza e gestione dei consensi

Arrivano i machine-readable choices: browser e sistemi operativi registrano automaticamente rifiuto del consenso o opposizione al marketing, spostando la scelta dell’utente a livello infrastrutturale.

Cosa cambierà per la farmacia

Trattamenti di dati sanitari e IA

Le farmacie trattano dati sanitari estremamente sensibili: prescrizioni, cronologia terapeutica, telemedicina, app salute, gestione digitale del paziente.

L’introduzione dell’IA nei processi sanitari e commerciali (supporto alla dispensazione, analisi predittive, customer profiling, inventory intelligente) rende già oggi necessaria una revisione strutturata del modello di governance dei dati e dei profili di responsabilità del Titolare del trattamento.

In qualità di Titolare del trattamento ai sensi del GDPR, la farmacia è responsabile:

  • della liceità, correttezza e trasparenza dei trattamenti effettuati, anche se eseguiti tramite strumenti di IA o applicazioni di terze parti;

  • della selezione e supervisione dei fornitori tecnologici (software gestionali, piattaforme IA, telemedicina, CRM, sistemi di loyalty), con particolare attenzione ai soggetti qualificati come Responsabili esterni del trattamento ex art. 28 GDPR;

  • della valutazione dei rischi e, quando richiesto, della predisposizione della DPIA – Data Protection Impact Assessment (art. 35 GDPR), necessaria in caso di:

    • utilizzo di IA per profilazione, analisi comportamentale o gestione automatizzata delle scelte del paziente;

    • trattamento su larga scala di dati sanitari;

    • processi decisionale automatizzato o semi-automatizzato;

  • dell’adozione di misure tecniche e organizzative adeguate a protezione dei dati (art. 32 GDPR): cifratura, pseudonimizzazione, accessi profilati, protocolli di sicurezza;

  • della gestione corretta del ciclo di vita del dato (raccolta, conservazione, minimizzazione, cancellazione e data retention);

  • della predisposizione di procedure per la gestione dei data breach, con obbligo di notifica al Garante e agli interessati quando previsto (artt. 33-34 GDPR);

  • della formazione del personale interno, in particolare in presenza di strumenti che integrano IA e processi automatizzati;

  • della trasparenza verso l’utente/paziente, che deve essere informato in modo chiaro e non ambiguo quando vengono utilizzati algoritmi, sistemi predittivi o tecnologie decisionali automatizzate.

Profilo contrattuale con i fornitori di IA e SaaS

L’utilizzo di tecnologie basate su IA e servizi cloud-SaaS richiede contrattualistica adeguata, che includa clausole relative a:

  • responsabilità e ripartizione dei rischi,

  • manleva in caso di malfunzionamento o danno derivante da algoritmi inesatti,

  • audit e diritto di controllo sui flussi di dati,

  • localizzazione dei server e trasferimenti extra UE (artt. 44-49 GDPR),

  • livelli di servizio e continuità operativa,

  • proprietà intellettuale del know-how generato dai sistemi digitali.

Perché la governance è decisiva

Una gestione corretta dell’IA e della protezione dei dati in farmacia non è solo un adempimento formale, ma un fattore di valore:

  • riduce il rischio sanzionatorio e reputazionale,

  • aumenta fiducia e trasparenza nei confronti dei pazienti,

  • consente di adottare in sicurezza servizi innovativi (telemedicina, analisi predittiva, screening data-driven),

  • permette alla farmacia di posizionarsi come presidio sanitario digitale moderno e affidabile.

Benefici e rischi

Il pacchetto Digital Omnibus porta con sé diversi benefici per il mondo della farmacia.

In primo luogo, introduce una maggiore chiarezza normativa, riducendo l’incertezza interpretativa che aveva spesso frenato l’adozione di soluzioni digitali avanzate. Anche i processi di compliance privacy diventano più lineari e omogenei, in particolare per quanto riguarda la gestione delle DPIA e delle notifiche di data breach. Inoltre, le nuove regole possono favorire un utilizzo più diffuso e consapevole dell’intelligenza artificiale nella farmacia dei servizi e nelle attività sanitarie territoriali, aprendo opportunità di innovazione organizzativa e assistenziale.

Accanto ai benefici, esistono tuttavia alcuni rischi da non sottovalutare.

La maggiore flessibilità introdotta potrebbe indurre qualcuno a ritenere che la normativa sulla protezione dei dati sia stata alleggerita, mentre al contrario resta imprescindibile una forte responsabilità del titolare del trattamento. Sarà poi fondamentale controllare in modo più rigoroso i fornitori tecnologici, spesso responsabili esterni con accesso a dati particolari. Infine, l’uso di sistemi automatizzati e algoritmici impone attenzione costante ai possibili errori o bias, che potrebbero avere conseguenze rilevanti sulla qualità del servizio e sulla fiducia dei pazienti.

Conclusione

Il Digital Omnibus rappresenta un passaggio importante nella costruzione del mercato digitale europeo, che tenta di coordinare protezione dei dati, cybersicurezza e intelligenza artificiale in un quadro unitario e coerente.

Una svolta strategica che avrà importanti riflessi anche per il mondo della farmacia.

L’innovazione tecnologica è incentivata, ma la protezione dei dati resta centrale: la farmacia che saprà integrare IA e compliance avrà un vantaggio competitivo e reputazionale.

Nei prossimi mesi sarà fondamentale monitorare l’evoluzione normativa e iniziare a valutare l’impatto delle novità sui trattamenti dati, sulle informative privacy, sui contratti con fornitori tecnologici e sulle procedure di DPIA e data breach.

Prepararsi per tempo significa tutelare la farmacia e rafforzare la fiducia dei pazienti.

***

Hai ancora qualche dubbio? Contattaci

Farmatutela è pronta a supportarti per offrirti soluzioni su misura per ogni esigenza legale nel mondo farmaceutico.