← Torna al Blog
GDPR & AI

AI per nutrizionisti: è legale ed etica? Guida a GDPR e AI Act

9 Maggio 2026Cibus
CibusTeam Cibus
Aggiornato: maggio 20268 min di lettura

Sì, un nutrizionista può usare legalmente l'intelligenza artificiale nella propria pratica, a tre condizioni: (1) i dati dei pazienti devono essere trattati su una base giuridica corretta secondo il GDPR, (2) il fornitore del software deve firmare un accordo di trattamento dati (DPA ex art. 28 GDPR) e non usare i dati per addestrare i propri modelli, (3) ogni decisione clinica deve restare sotto la supervisione del professionista.

Cosa dice il GDPR sui dati dei pazienti

I dati che tratti ogni giorno — anamnesi, patologie, misurazioni, obiettivi — sono dati relativi alla salute, la categoria più protetta dal GDPR (art. 9). In sintesi, per trattarli con qualsiasi strumento digitale servono:

  • Una base giuridica adeguata: per il trattamento con finalità di cura si applica l'art. 9.2.h; per strumenti che vanno oltre la cura in senso stretto è prassi raccogliere il consenso esplicito del paziente.
  • Un'informativa privacy aggiornata, che menzioni gli strumenti digitali e le eventuali funzionalità di AI utilizzate.
  • Fornitori nominati responsabili del trattamento con un DPA ex art. 28: senza quel documento firmato, stai violando il GDPR anche se il software è ottimo.
  • Misure di sicurezza adeguate: cifratura, controllo degli accessi, server nell'Unione Europea.

Perché NON incollare i dati dei pazienti in ChatGPT

  1. 1Nessun DPA: le versioni consumer dei chatbot non prevedono un accordo di trattamento dati con il professionista sanitario. Sei tu il titolare del trattamento, e stai trasferendo dati sanitari a un soggetto non nominato.
  2. 2Possibile uso per l'addestramento: a seconda delle impostazioni, i contenuti inseriti possono essere usati per migliorare i modelli.
  3. 3Trasferimenti extra-UE senza le garanzie richieste.

La differenza non è «AI sì / AI no»: è tra AI consumer e AI professionale. Un software sanitario serio usa l'AI dentro un perimetro conforme: DPA firmato, server UE, nessun addestramento sui dati dei tuoi pazienti, log e controlli di accesso.

AI Act: cosa cambia per chi lavora in ambito sanitario

  • Trasparenza: il paziente deve sapere quando interagisce con contenuti generati con il supporto dell'AI.
  • Supervisione umana: i sistemi che supportano decisioni in ambito salute devono mantenere il professionista al centro. L'AI propone, il professionista dispone.

Tradotto: se usi l'AI per generare la bozza di un piano o di un report, la revisioni, la firmi e te ne assumi la responsabilità professionale — esattamente come faresti con il lavoro di un assistente umano.

L'etica: l'AI sostituisce il nutrizionista?

No — e chi lo promette sta vendendo male l'AI. Un piano alimentare non è un calcolo: è un atto professionale che tiene conto di patologie, esami, aderenza, psicologia e vita reale del paziente. L'AI fa benissimo la parte meccanica (strutturare la bozza, calcolare i macro, redigere il report) e malissimo la parte clinica e umana.

  • Trasparenza con il paziente: una riga nell'informativa e, se il paziente chiede, una spiegazione semplice.
  • Revisione sistematica: mai consegnare un output AI senza revisione professionale.
  • Competenza aggiornata: l'AI non erode le tue competenze se resti tu a decidere; le erode se abdichi.

Come Cibus gestisce i dati (e perché lo raccontiamo volentieri)

Cibus nasce in Italia per professionisti sanitari italiani, e la compliance non è un'appendice: è architettura. È una differenza sostanziale rispetto a molti strumenti AI per la sanità nati negli Stati Uniti e progettati intorno a normative americane come l'HIPAA: per un professionista europeo, un fornitore extra-UE significa dover giustificare trasferimenti di dati sanitari fuori dall'Unione.

  • Azienda italiana, dati in Europa: nessun trasferimento extra-UE da giustificare.
  • DPA ex art. 28 GDPR pronto per ogni cliente.
  • Server nell'Unione Europea.
  • Nessun addestramento dei modelli AI sui dati dei tuoi pazienti.
  • Cifratura e controllo degli accessi su tutti i dati.

Vuoi usare l'AI sui tuoi pazienti in modo conforme?

Lascia i tuoi contatti e ti mostriamo come Cibus tiene insieme AI e GDPR, con DPA e modelli di informativa già pronti.

Domande frequenti

Posso inserire i dati dei miei pazienti in ChatGPT?

No, nelle versioni consumer no: mancano il DPA ex art. 28, le garanzie sui trasferimenti e l'esclusione dall'addestramento. Usa strumenti professionali progettati per dati sanitari.

Serve un consenso specifico per usare l'AI con i pazienti?

Serve un'informativa privacy aggiornata che menzioni gli strumenti utilizzati; a seconda delle finalità può essere necessario il consenso esplicito. Per il tuo caso specifico, confrontati con il tuo consulente privacy.

Chi è responsabile se l'AI sbaglia un piano alimentare?

Il professionista resta responsabile dell'atto professionale: per questo ogni output AI va revisionato prima della consegna. È lo stesso principio della supervisione su un collaboratore.

Cos'è un DPA e perché devo chiederlo al mio fornitore?

È l'accordo (art. 28 GDPR) che nomina il fornitore responsabile del trattamento e ne definisce obblighi e limiti. Senza DPA firmato, l'uso di qualsiasi software con dati dei pazienti è una violazione.

Posso usare un software AI americano con i dati dei miei pazienti?

Con molta cautela: gli strumenti nati per il mercato USA sono progettati intorno all'HIPAA, non al GDPR, e comportano trasferimenti di dati sanitari fuori dall'UE che vanno giustificati con garanzie specifiche. Un fornitore europeo con server in UE elimina il problema alla radice.

Continua a leggere