In sanità, la compliance non è un'opzione. Ma può smettere di essere il collo di bottiglia.
EurocomplAI è la piattaforma di compliance europea per aziende sanitarie, IRCCS, cliniche private ed enti del Servizio Sanitario. Tre regolamenti che si sovrappongono — GDPR, NIS2, AI Act — gestiti come un sistema unico, con la profondità che la sanità richiede.
Dati clinici. Sistemi AI diagnostici. Infrastruttura essenziale.Tre fronti normativi aperti contemporaneamente.
Le organizzazioni sanitarie italiane sono oggi al centro di tre trasformazioni regolatorie che agiscono sullo stesso oggetto — il dato del paziente, il sistema clinico, l'infrastruttura digitale — da angolazioni diverse.
Il GDPR con le specificità sui dati di categoria speciale, gli articoli 9 e 32, le DPIA su trattamenti su larga scala. La NIS2 con gli obblighi di sicurezza informatica per le strutture sanitarie classificate come soggetti essenziali. L'AI Act con le restrizioni sui sistemi AI in ambito clinico — diagnostica per immagini, triage, supporto decisionale, sistemi predittivi.
Gestire questi tre fronti separatamente è inefficiente e costoso. Affrontarli senza competenza tecnica operativa è rischioso: in sanità ogni gap di conformità incrocia la sicurezza del paziente. EurocomplAI li lavora in modo integrato, perché nella realtà di un'azienda ospedaliera si sovrappongono ogni giorno, sullo stesso sistema, sullo stesso processo.
Quattro fronti aperti. Un sistema che li tiene insieme.
Mandati ricorrenti nelle strutture sanitarie italiane, lavorati con la stessa pipeline cross-normativa.
DPIA su sistemi AI clinici
Avete adottato o state valutando un sistema AI di diagnostica, triage o supporto decisionale. L'AI Act lo classifica ad alto rischio per l'Allegato III; il GDPR richiede una DPIA per categorie particolari su larga scala; il Regolamento dispositivi medici si applica in parallelo.
EurocomplAI conduce l'audit Inspector con il responsabile clinico e il referente IT, classifica il sistema rispetto all'AI Act, produce una DPIA e una FRIA integrate, identifica le sovrapposizioni con MDR. Il documento che il DPO presenta al Direttore Generale è uno, non tre.
Adeguamento NIS2 per strutture sanitarie
Aziende sanitarie pubbliche e molte strutture private rientrano tra i soggetti essenziali NIS2. Valutazione del rischio cyber, misure tecniche e organizzative, notifica incidenti entro 24/72 ore, governance della supply chain digitale.
EurocomplAI costruisce il sistema, non solo il documento. Inspector audita le misure con il responsabile IT, Probe somministra ai fornitori critici il questionario di conformità NIS2, EurocomplAI produce la gap analysis ancorata alle evidenze e il piano di adeguamento con priorità motivate. Il documento per ACN è il riflesso operativo della vostra organizzazione.
Governance dell'AI per IRCCS e centri di ricerca
La ricerca clinica con sistemi AI solleva questioni che il consenso informato non risolve: validazione dei modelli, gestione del bias, sorveglianza umana, sovrapposizione tra AI Act e regolamenti sulla sperimentazione, ruolo del comitato etico.
EurocomplAI affianca i responsabili della ricerca e i comitati etici. Inspector intervista il principal investigator sui singoli protocolli, EurocomplAI produce le valutazioni di conformità AI Act per la sperimentazione, integra il quadro GDPR sui dati di salute, restituisce documentazione strutturata pronta per il parere del comitato.
DPO esterno e supporto operativo continuativo
Il DPO nella sanità non è una formalità — è una funzione che deve funzionare. Risposte tempestive agli interessati, gestione data breach, rapporti con il Garante, audit periodici, formazione del personale.
EurocomplAI dà al DPO l'infrastruttura operativa per fare il proprio lavoro a scala: registro vivo dai documenti caricati, monitoraggio dei sistemi AI in uso e in valutazione, bozze automatiche di risposta alle istanze, dashboard del rischio cross-regolazione. Il DPO smette di rincorrere documenti e torna a presidiare.
Uno scenario tipico in una azienda ospedaliera.
Il contesto. Un'azienda ospedaliera del SSN sta valutando l'adozione di un sistema AI per il supporto alla refertazione radiologica. Fornito da un vendor internazionale, già CE marked come dispositivo medico, in uso in altre strutture europee.
Il problema. La Direzione Strategica chiede al DPO e al responsabile IT una valutazione integrata prima dell'acquisto: DPIA, classificazione AI Act, valutazione NIS2 sull'integrazione PACS, parere del comitato etico, allineamento MDR. Cinque documenti, tre uffici, tempi previsti due-tre mesi.
Documenti caricati, sistema pre-classificato.
Il responsabile IT carica documentazione tecnica, contratto vendor, certificazione CE e architettura PACS. EurocomplAI estrae, pre-classifica come alto rischio AI Act all. III, identifica le sovrapposizioni con MDR, prepara la scheda preliminare.
Tre interviste condotte in parallelo.
Inspector conduce in autonomia: con il primario di Radiologia sull'uso clinico e la sorveglianza medica, con il responsabile IT sulla sicurezza dell'integrazione, con il responsabile del trattamento sui dati paziente. Evidenze raccolte e ancorate.
Pacchetto integrato per la Direzione.
EurocomplAI produce le bozze: DPIA con FRIA, gap analysis NIS2 sull'integrazione PACS, scheda MDR-AI Act. Il DPO rivede, il legale valida, il primario approva. Due-tre mesi previsti, poco più di trenta giorni effettivi.
Costruito per chi non può permettersi errori.
Dati clinici trattati con il livello di cura che richiedono.
EurocomplAI non si connette ai vostri sistemi clinici interni. L'input avviene per caricamento consapevole di documenti, batch strutturati, risposte raccolte via Probe — sempre controllato dal vostro team. Il CISO non apre perimetri di sicurezza, il DPO sa esattamente cosa il software sta elaborando.
Linguaggio sanitario nativo, non template generico.
Inspector adatta le domande al ruolo — al primario chiede del giudizio clinico, all'IT dell'integrazione tecnica, al farmacista della gestione dei dispositivi. Le bozze usano terminologia e motivazioni che reggono in un'ispezione del Garante o di ACN.
Pensato per la sovrapposizione tra GDPR, NIS2, AI Act e MDR.
In sanità nessun trattamento, sistema o asset ricade sotto un solo regolamento. EurocomplAI ha un'architettura cross-regolazione nativa — un asset register, valutazioni integrate, cross-mapping automatico. Le bozze tengono insieme i quattro fronti, invece di trattarli come progetti paralleli.
Costruito da chi la compliance la fa, non da chi la programma.
Le bozze prodotte da EurocomplAI, le domande che pone Inspector, il modo in cui struttura le valutazioni di rischio — sono la codifica software di mandati consulenziali che inteGroup ha condotto in aziende sanitarie e IRCCS reali. Sono il prodotto di consulenti che usano ogni giorno quello che hanno costruito.
Le vostre metodologie, scalate dal software.
EurocomplAI arriva con metodologie pronte all'uso — DPIA, gap analysis NIS2, classificazione AI Act, valutazione fornitori — costruite sull'esperienza diretta di inteGroup. Ma potete caricare playbook, template e schemi vostri, e il software li adotta. La metodologia resta vostra. Lo strumento la scala.
Le domande che ci fanno più spesso.
Avete clienti nel mondo sanitario di riferimento?
EurocomplAI è in early access, in piloti con un gruppo selezionato di partner sanitari. Le credenziali consulenziali su cui poggia sono quelle di inteGroup, attiva in mandati con aziende sanitarie e IRCCS. Possiamo presentarvi consulenti senior che hanno condotto progetti analoghi in strutture comparabili alla vostra.
Come gestite i dati clinici dei pazienti?
I dati clinici non lasciano il vostro perimetro a meno che non scegliate consapevolmente di caricarli. L'input avviene per documenti caricati dal vostro team o per risposte raccolte via Probe da stakeholder esterni — non per connessioni automatizzate ai sistemi clinici.
Per organizzazioni con requisiti di sovranità del dato — sanità pubblica, dati genetici, ricerca su popolazioni vulnerabili — il deployment on-premise sull'infrastruttura del cliente è in roadmap per il 2026.
Sostituisce il nostro DPO?
No. EurocomplAI riduce il carico operativo del DPO — estrazione, pre-popolamento, audit Inspector, bozze documentali — ma il giudizio professionale resta nelle mani del DPO. La nostra ipotesi è opposta a quella della sostituzione: un DPO che usa EurocomplAI ha più tempo per il presidio strategico e la relazione con la Direzione, non meno autonomia decisionale.
Funziona anche per strutture sanitarie private piccole?
Sì. Una clinica privata di media dimensione ha gli stessi obblighi normativi di una grande azienda ospedaliera, ma senza il team dedicato. EurocomplAI è particolarmente utile in questi contesti, dove il DPO è esterno e buona parte del lavoro va condotta a distanza con il personale interno. Inspector conduce gli audit dove il consulente non può essere fisicamente.
Quanto costa rispetto a un GRC tradizionale?
In early access lavoriamo con un modello commerciale flessibile, in funzione del perimetro di copertura e del numero di sistemi gestiti. Il confronto rilevante non è il costo del software in sé, ma il costo totale della compliance — incluse le ore consulenziali oggi necessarie. Una conversazione di 30 minuti chiarisce il quadro per il vostro caso.
Una scadenza NIS2, una DPIA su un sistema AI, un mandato ricorrente?
Una demo di 30 minuti con qualcuno che ha gestito mandati di compliance in strutture sanitarie è il modo più rapido per capire se EurocomplAI funziona nel vostro contesto.