Informativa sul Trattamento dei Dati per Ricerca, Sviluppo e Addestramento IA (Art. 8, Legge italiana numero 132/2025)

Ai sensi della Legge italiana 23 settembre 2025, n. 132 e del Regolamento UE 2016/679 (GDPR), b-rayZ AG informa il pubblico e gli interessati in merito alle attività di trattamento dati finalizzate al solo miglioramento e all’addestramento dei propri sistemi di Intelligenza Artificiale per uso medicale.  

L’utilizzo delle soluzioni software di b-rayZ per la fornitura del servizio diagnostico è espressamente escluso dall’ambito di applicazione della presente informativa.

  1. Ruolo di b-rayZ nel trattamento

Qualora b-rayZ utilizzi dati clinici per finalità indipendenti di ricerca e sviluppo (D&D), addestramento di algoritmi e perfezionamento di dispositivi medici commerciali, agisce in qualità di Titolare Autonomo del Trattamento ai sensi dell’Articolo 8 della normativa nazionale vigente.

In ambito legale e secondo il GDPR (nonché la Legge 132/2025), il termine Titolare Autonomo del Trattamento identifica il soggetto che decide, in totale autonomia, perché e come trattare i dati personali.

Essere “Titolare Autonomo” (e non “Responsabile” o “Contitolare”) implica una piena autonomia decisionale. A differenza del “Responsabile del Trattamento” (che agisce solo per conto di qualcun altro e seguendo istruzioni precise, come fa b-rayZ quando fornisce il software a un ospedale), se Titolare Autonomo b-rayZ decide lo scopo del trattamento (es. usare dati per addestrare un nuovo algoritmo di proprietà di b-rayZ) e decide quali strumenti tecnologici, quali database e quali misure di sicurezza utilizzare.

Essere Titolare Autonomo significa che b-rayZ è la diretta responsabile di fronte al Garante per la Protezione dei Dati Personali e ai pazienti per quella specifica attività. 

  1. Indipendenza dall’Ospedale/Clinica

Nel contesto dell’Articolo 8 della Legge 132/2025:

  • L’Ospedale è Titolare del trattamento per la cura del paziente.
  • b-rayZ diventa Titolare Autonomo per lo sviluppo del dispositivo medico e l’addestramento dell’IA.
  1. Tipologia di dati trattati

Per garantire la massima tutela della privacy, b-rayZ utilizza esclusivamente:

  • Dati Anonimizzati: Informazioni cliniche, immagini diagnostiche e parametri tecnici dai quali sono stati rimossi tutti gli identificativi diretti (nome, cognome, codici fiscali, ecc.).
  • Dati Statistici: Aggregati di dati che non consentono in alcun modo la re-identificazione dell’interessato, nemmeno mediante l’incrocio con altre banche dati.
  1. Finalità del trattamento

Il trattamento è strettamente limitato alle seguenti finalità di interesse pubblico e scientifico:

  • Addestramento e Validazione (AI Training): Sviluppo e ottimizzazione di algoritmi di apprendimento automatico per la diagnostica avanzata.
  • Ricerca e Sviluppo (D&D): Progettazione di nuovi dispositivi medici e miglioramento delle prestazioni di sicurezza e accuratezza dei software esistenti.
  • Conformità Regolatoria: Adempimento agli obblighi di sorveglianza post-commercializzazione richiesti per i dispositivi medici (MDR).
  1. Sicurezza e Diritti degli Interessati

In b-rayZ, la privacy non è solo un obbligo, ma un pilastro della sicurezza clinica. In conformità con le linee guida del Garante per la Protezione dei Dati Personali, b-rayZ adotta misure tecniche e organizzative d’avanguardia, tra cui:

  • Crittografia end-to-end e protocolli di anonimizzazione irreversibile.
  • Limitazione dell’accesso: Solo personale autorizzato e vincolato alla riservatezza può accedere ai set di dati per lo sviluppo.
  • Anonimizzazione irreversibile dei dati usati per l’addestramento dell’IA e per lo sviluppo del software.
  • Esercizio dei diritti: Sebbene i dati siano trattati in forma tale da non permettere l’identificazione diretta, b-rayZ resta a disposizione degli interessati per fornire chiarimenti sulla logica del trattamento e sulle misure di protezione adottate attraverso l’indirizzo email: regulatoryaffairs@b-rayz.ch

 

  1. Base Giuridica

Il trattamento viene effettuato sulla base del legittimo interesse del Titolare al miglioramento delle tecnologie diagnostiche e, ove applicabile, sulla base del consenso prestato presso le strutture sanitarie partner, in accordo con i compiti di interesse pubblico previsti dall’Art. 8 della Legge Italiana numero 132/2025.

 

Information on Data Processing for AI Research, Development, and Training (Article 8, Italian Law No. 132/2025)

Pursuant to Italian Law No. 132 of September 23, 2025, and EU Regulation 2016/679 (GDPR), b-rayZ AG informs the public and data subjects about its data processing activities aimed solely at improving and training its Artificial Intelligence systems for medical use.

The use of b-rayZ software solutions for providing diagnostic services is expressly excluded from the scope of this information.

  1. Role of b-rayZ in the Processing

If b-rayZ uses clinical data for independent research and development (R&D), algorithm training, and the improvement of commercial medical devices, it acts as an Independent Data Controller pursuant to Article 8 of the applicable national legislation.

Legally and in accordance with the GDPR (as well as Law 132/2025), the term “Independent Data Controller” identifies the entity that decides, in complete autonomy, why and how to process personal data.

Being an “Independent Data Controller” (and not a “Data Processor” or “Joint Controller”) implies full decision-making autonomy. Unlike a “Data Processor” (who acts solely on behalf of someone else and following precise instructions, as b-rayZ does when providing software to a hospital), if b-rayZ is an Independent Data Controller, it decides the purpose of the processing (e.g., using data to train a new proprietary algorithm) and decides which technological tools, databases, and security measures to use.

Being an Independent Data Controller means that b-rayZ is directly responsible to the Italian Data Protection Authority and to patients for that specific activity.

  1. Independence from the Hospital/Clinic

In the context of Article 8 of Law 132/2025:

  • The Hospital is the Data Controller for patient care.
  • b-rayZ becomes the Independent Data Controller for the development of the medical device and AI training.
  1. Types of data processed

To ensure maximum privacy protection, b-rayZ uses exclusively:

  • Anonymized Data: Clinical information, diagnostic images, and technical parameters from which all direct identifiers (name, surname, tax codes, etc.) have been removed.
  • Statistical Data: Data aggregates that do not allow the data subject to be re-identified in any way, not even by cross-referencing with other databases.
  1. Purpose of processing

Processing is strictly limited to the following purposes of public and scientific interest:

  • Training and Validation (AI Training): Development and optimization of machine learning algorithms for advanced diagnostics.
  • Research and Development (R&D): Designing new medical devices and improving the safety and accuracy of existing software.
  • Regulatory Compliance: Fulfilling post-market surveillance requirements for medical devices (MDR).
  1. Security and Data Subject Rights

At b-rayZ, privacy is not just an obligation, but a cornerstone of clinical safety. In compliance with the guidelines of the Italian Data Protection Authority, b-rayZ adopts cutting-edge technical and organizational measures, including:

  • End-to-end encryption and irreversible anonymization protocols.
  • Access Restriction: Only authorized personnel bound by confidentiality can access datasets for development.
  • Irreversible anonymization of data used for AI training and software development.

 

  • Irreversible anonymization of data used for AI training and software development.
  • Exercise of rights: Although the data is processed in a form that does not permit direct identification, b-rayZ remains available to data subjects to provide clarification on the processing logic and the protection measures adopted by email: regulatoryaffairs@b-rayz.ch

 

  1. Legal Basis

The processing is carried out based on the Data Controller’s legitimate interest in improving diagnostic technologies and, where applicable, on the basis of the consent given at partner healthcare facilities, in accordance with the public interest tasks set forth in Art. 8 of Italian Law No. 132/2025.