CLAVIS Il Radar N° 03 · Luglio 2026 · Quindicinale
AI Act · Obbligo trasparenza · 2 agosto 2026 · 32 giorni

Il 30 giugno è passato.
Il 2 agosto è già qui.

La scadenza NIS2 è trascorsa — chi non ha completato la categorizzazione ACN ha un problema aperto. Ma il calendario non si ferma: dal 2 agosto scattano gli obblighi di trasparenza AI Act per i contenuti generati con intelligenza artificiale. Nel frattempo il GDPR si aggiorna su ricerca medica, data breach e minori. E dalle regioni arriva un segnale che non riguarda le norme, ma la sopravvivenza economica delle strutture.

01Novità del periodo
AI Act UE ● 2 AGOSTO 2026

Omnibus VII approvato — dal 2 agosto obbligo di etichettatura contenuti AI

Il Consiglio UE ha approvato definitivamente il pacchetto Omnibus VII il 29 giugno. Dal 2 agosto 2026 entrano in vigore gli obblighi di trasparenza per i contenuti generati con AI, incluso il codice di condotta europeo per l'etichettatura. Comunicazioni ai pazienti, referti assistiti da AI, reportistica automatica: tutto deve essere dichiarato. CityNext · inno3 · 29 giu

NIS2 / ACN ● POST SCADENZA 30 GIU

NIS2: la scadenza è passata. Chi è rimasto indietro non è in regola

ACN denuncia che molte organizzazioni italiane non hanno completato la categorizzazione entro il 30 giugno. Il problema non è solo burocratico: chi non ha categorizzato non può dimostrare compliance in caso di incidente. ACN segnala anche un approccio culturale ancora sbagliato: compliance come notifica, non come governo del rischio. Cyber Security 360 · 20-24 giu

GDPR / EDPB ● CONSULTAZIONE + NUOVE LG

EDPB: consenso ampio nella ricerca medica e nuove linee guida in arrivo

Le LG EDPB 1/2026 chiariscono che nella ricerca medica non sempre è necessario un nuovo consenso in presenza di adeguate salvaguardie. In parallelo l'EDPB ha avviato l'esame di nuove linee guida su data breach, AI e tutela dei minori — molto rilevanti per chi gestisce pazienti vulnerabili. Agendadigitale · Lentepubblica · 29-30 giu

D.Lgs. 231/2001 ● GUIDA OPERATIVA

AI Act + D.Lgs. 231: guida operativa per il MOG integrato

AteneoWeb pubblica una guida operativa sull'integrazione tra AI Act e D.Lgs. 231. Il punto chiave: l'AI amplifica le vulnerabilità preesistenti nei reati-presupposto 231. Chi sta aggiornando il MOG per gli ecoreati deve includere anche la sezione AI governance — un solo documento, non due. AteneoWeb · 30 giu

Sotto la lente — prossima scadenza
▲ 2 AGOSTO 2026 — 32 GIORNI

Dal 2 agosto ogni contenuto generato con AI
deve essere dichiarato. Anche nella tua struttura.

Gli obblighi di trasparenza AI Act non riguardano solo chi sviluppa sistemi AI. Riguardano chiunque produca contenuti con AI e li distribuisca a terzi. Per una struttura sociosanitaria questo significa: comunicazioni alle famiglie generate o assistite da AI, report clinici con sintesi automatiche, modulistica compilata con strumenti AI, newsletter interne prodotte con generatori di testo.

Dal 2 agosto questi contenuti devono essere chiaramente identificati come generati o co-generati da AI. Il codice di condotta europeo per l'etichettatura è già operativo. Non è una formalità: è un obbligo che si sovrappone al GDPR sul consenso informato — il paziente ha diritto di sapere se la comunicazione che riceve è stata scritta da un algoritmo.

Hai 32 giorni per mappare dove usi AI per produrre contenuti e decidere come etichettarli. Non è un progetto lungo — è una checklist da fare questa settimana.

03Scadenziario — prossimi 30 giorni
2 AGO 2026
AI Act — obbligo trasparenza contenuti AI. Etichettatura obbligatoria per tutti i contenuti generati con AI distribuiti a terzi. Incluse comunicazioni cliniche e report automatici.
AGO 2026
AI Act — inventario sistemi ad alto rischio. Scadenza per la classificazione formale dei sistemi AI in uso. Sistemi diagnostici, di triage e allocazione risorse: categoria stringente invariata dopo Omnibus VII.
APERTO
NIS2 — categorizzazione ACN post-scadenza. Se non hai completato entro il 30 giugno, contatta ACN per verificare le modalità di regolarizzazione. Non aspettare un'ispezione.
IN CORSO
EDPB Guidelines 1/2026 — consultazione aperta. Consenso ampio nella ricerca medica: orientamento favorevole ma non definitivo. Non modificare ancora le procedure di consenso.
DA MONITORARE
EDPB — nuove LG su data breach, AI e minori. In fase di esame. Impatto diretto su strutture che trattano pazienti vulnerabili o usano AI diagnostica. Aggiornamento nel prossimo numero.
04Cosa ordinare al tuo team entro venerdì
A
Mappa tutti i processi in cui usi AI per produrre contenuti verso terzi. Comunicazioni alle famiglie, report clinici, modulistica, newsletter interne. Per ognuno: come lo dichiari dal 2 agosto? Hai 32 giorni — non è troppo tardi, ma inizia questa settimana.
→ Responsabile Qualità / Comunicazione / DPO
B
Se non hai completato la categorizzazione NIS2 su piattaforma ACN, contatta ACN adesso. Non aspettare. Il mancato adempimento è già un'esposizione — regolarizzarsi prima di un incidente è sempre meglio che dopo.
→ Direttore / Referente NIS2 / IT
C
Completa l'aggiornamento del MOG 231 con la sezione AI governance. La guida AteneoWeb (AI Act + 231) è il riferimento operativo. Un solo documento integrato: ecoreati + reati cyber + reato AI. L'OdV deve verbalizzarlo entro luglio.
→ Responsabile Qualità / OdV / Legale
D
Verifica se la struttura tratta dati di pazienti minorenni o svolge attività di ricerca clinica. Le nuove LG EDPB su AI e minori sono in arrivo — posizionarsi prima della pubblicazione definitiva riduce il lavoro di adeguamento.
→ DPO / Responsabile Qualità
05Dal Radar

Questo numero segnala per la prima volta un tema che non è normativo ma è forse il più urgente per chi gestisce strutture: le rette RSA stanno diventando insostenibili. Veneto, Emilia-Romagna, Sicilia, Calabria — in quattro regioni diverse, nelle stesse due settimane, emergono tensioni tra famiglie, sindacati, enti pubblici e strutture sui costi di degenza. 9.000 anziani in lista d'attesa in Veneto. Pressione politica sulle quote pubbliche in Emilia-Romagna. Confcooperative Sicilia che chiede l'adeguamento tariffario prima di qualsiasi altra iniziativa.

Non è una notizia normativa. È un segnale sistemico. Il modello di finanziamento sociosanitario italiano è sotto pressione da più fronti simultaneamente — demografico, economico, politico. Il Radar inizia a monitorare anche questo filone, perché la sostenibilità economica delle strutture è il presupposto di qualsiasi compliance. Una struttura in difficoltà finanziaria non investe in cybersecurity, non aggiorna il MOG 231, non forma il personale sulla privacy. Il rischio normativo e il rischio economico si alimentano a vicenda.

Vuoi smettere di gestire la compliance a mano?
CLAVIS trasforma ogni aggiornamento normativo in un'azione tracciabile per la tua struttura.

CLAVISAPP.IT