L’impiego di sistemi di intelligenza artificiale (AI) in ambito farmaceutico e sanitario sta crescendo in modo esponenziale, insieme alle aspettative che l’utilizzo di tali strumenti comporti notevoli benefici per la salute individuale e della collettività.
Oltre alle grandi opportunità derivanti dall’impiego dell’AI, è necessario considerare i rischi che l’utilizzo di questa tecnologia comporta, soprattutto in settori tanto delicati quanto quelli citati.
Indice degli argomenti
Il Decalogo del Garante Privacy
Il Garante per la protezione dei dati personali ha perciò voluto richiamare l’attenzione sui principali adempimenti imposti dalla normativa a tutela dei dati personali, in relazione all’utilizzo di sistemi di AI nell’ambito dei servizi sanitari nazionali.
Lo ha fatto pubblicando il “Decalogo per la realizzazione di servizi sanitari nazionali attraverso sistemi di Intelligenza Artificiale”, nel quale evidenzia le principali criticità legate all’impiego dell’IA nel settore sanitario e gli obblighi che ne derivano sotto il profilo della compliance con la normativa privacy, sottolineando, innanzitutto, come i sistemi di AI che incidono sulla salute – inclusi quelli che incidono sul diritto alle cure e sulla fruizione di servizi sanitari, di assistenza medica, nonché sui sistemi di selezione dei pazienti per l’assistenza sanitaria di emergenza – rientrino fra quelli classificati “ad alto rischio” dalla proposta del c.d. AI Act europeo.
Sebbene non comporti sostanziali novità, il Decalogo contiene importanti chiarimenti sulle misure che gli operatori del settore sono tenuti ad adottare per utilizzare l’AI in conformità con il quadro normativo vigente.
La rilevanza di questo contributo è accentuata dal fatto che buona parte dei principi annunciati dal Garante deve ritenersi applicabile a tutti i sistemi di AI ad alto rischio, nonostante il Decalogo abbia specificamente ad oggetto quelli utilizzati per i servizi sanitari nazionali.
Esaminiamo nel dettaglio i 10 principi sanciti dall’Autorità.
1 – Le basi giuridiche del trattamento
In primo luogo, il Decalogo del Garante Privacy rammenta come la base giuridica corretta per poter utilizzare sistemi di AI nei servizi sanitari nazionali sia quella di cui all’art. 9(2)(g).
Occorre, dunque, che il trattamento sia necessario per motivi di interesse pubblico rilevante, sulla base di una norma di legge o di regolamento o di atti amministrativi di natura generale, che specifichino i tipi di dati che possono essere trattati, le operazioni eseguibili ed il motivo di interesse pubblico rilevante, nonché le misure appropriate e specifiche per tutelare i diritti dell’interessato.
L’Autorità sottolinea, inoltre, la necessità di una sua consultazione, durante l’iter che porterebbe all’approvazione di simili norme.
L’affermazione, insomma, suona come un monito per il Legislatore, che ha il compito di intervenire con l’adozione di norme ad hoc, se vuole assicurare la legittimità di un trattamento tanto invasivo quanto quello in commento.
2 – I principi di accountability e di privacy by design e by default
Il Decalogo del Garante Privacy richiama, inoltre, l’attenzione sulla necessità di conformarsi scrupolosamente ai principi di accountability, di privacy by design e by default, in particolare garantendo la proporzionalità del trattamento rispetto all’interesse pubblico perseguito.
L’Autorità sottolinea, in particolare, la centralità di integrare misure a tutela della privacy degli individui nella progettazione e nel funzionamento delle tecnologie di AI generativa, nel rispetto dei valori dello Stato di diritto.
3 – Ruoli
Come noto, i concetti di titolare e responsabile del trattamento sono concetti funzionali, che mirano a ripartire le responsabilità connesse al trattamento di dati personali in funzione delle attività effettivamente svolte.
Pertanto, uno degli aspetti essenziali nell’utilizzo dei sistemi di AI nei servizi sanitari nazionali sarà quello di individuare correttamente i ruoli degli operatori coinvolti, per allocare adeguatamente diritti, obblighi e responsabilità.
A tal proposito, il Decalogo del Garante Privacy evidenzia soprattutto come sia necessario che l’attribuzione dei ruoli tenga conto di una visione d’insieme del sistema nazionale di AI in ambito sanitario, a cui potrebbero avere accesso una molteplicità di soggetti distinti, per diverse finalità e sulla base di diverse competenze.
Occorre, quindi, adottare un’ottica complessiva di governance dei dati.
4 – I principi di conoscibilità, non esclusività e non discriminazione algoritmica
Si tratta dei 3 principi cardine che devono governare l’uso di sistemi di AI nell’esecuzione di compiti di rilevante interesse pubblico.
Il principio di conoscibilità impone di mettere l’interessato a conoscenza dell’esistenza di un processo decisionale basato su trattamenti automatizzati e della logica su cui tale processo si basa.
Il principio di non esclusività richiede che il processo decisionale comprenda un intervento umano, in modo da poter controllare – validando o smentendo – la decisione automatica.
Infine, il principio di non discriminazione algoritmica impone ai titolari del trattamento di adottare misure adeguate a ridurre le opacità e gli errori, per evitare i possibili effetti discriminatori di un trattamento di dati sanitari inesatti o basato su procedure statistiche e matematiche scorrette.
5 – Valutazione d’impatto sulla protezione dei dati (“VIP”)
Il Decalogo del Garante Privacy chiarisce, una volta per tutte, come una VIP sia indispensabile per poter impiegare lecitamente dei sistemi di AI nei servizi sanitari nazionali, trattandosi di un trattamento sistematico e su larga scala di dati sensibili relativi a individui vulnerabili.
Questa VIP dovrebbe essere svolta a livello nazionale, per assicurare una valutazione complessiva di tutte le circostanze che possono incidere sul trattamento, in particolare dei rischi propri di una banca dati con le informazioni sanitarie di tutta la popolazione.
6 – Qualità dei dati
È evidente come il rispetto del principio di esattezza dei dati personali sancito dall’art. 5(1)(d) del GDPR sia, in ambito sanitario, di importanza cruciale.
Il trattamento di dati non aggiornati o inesatti potrebbe influenzare l’efficacia e la correttezza dei servizi sanitari, comportando gravi danni per la salute degli interessati. L’adozione di misure adeguate ad assicurare l’esattezza e l’aggiornamento costante dei dati è indispensabile per evitare i rischi connessi all’uso di sistemi privi di una rigorosa validazione scientifica, alla mancanza di controllo sui dati trattati e all’adozione di decisioni basate su presupposti errati.
7 – Integrità e riservatezza
Come ogni trattamento di dati personali, anche quello in commento dovrà avvenire previa adozione di misure di sicurezza tecniche e organizzative adeguate, tenendo conto degli effettivi rischi in gioco.
A tal proposito, il Decalogo del Garante Privacy chiarisce come i principali rischi connessi all’utilizzo di modelli di analisi deterministica e stocastica con tecniche di machine learning derivino dai possibili bias che possono causare conseguenze pregiudizievoli per gli interessati.
Per questo, sarà essenziale indicare puntualmente le logiche algoritmiche utilizzate sia per generare i dati che per addestrare il sistema di AI, le verifiche svolte per evitare i bias e le misure correttive adottate, nonché i rischi insiti nelle analisi deterministiche e stocastiche.
8 – Correttezza e trasparenza
Quanto detto al precedente punto 7. appare strettamente connesso al principio di correttezza e trasparenza.
Oltre alle misure tipicamente necessarie per assicurare il rispetto di tale principio nell’ambito di qualunque trattamento di dati personali, l’utilizzo dell’AI in ambito sanitario imporrà di:
- rappresentare le logiche e le caratteristiche di elaborazione dei dati su cui si basa il sistema di AI
- spiegare se sussistono responsabilità dei professionisti sanitari a cui si rivolge l’interessato
- evidenziare i vantaggi derivanti dall’utilizzo dell’AI, in termini diagnostici e terapeutici;
- assicurare che l’utilizzo del sistema di AI per finalità di cura non avvenga in modo automatico, ma solo su iniziativa del professionista sanitario che si occupa del paziente
- regolare i profili di responsabilità dei professionisti sanitari connessi alla scelta di utilizzare l’AI.
9 – Supervisione umana
Per evitare gli enormi rischi connessi alla possibile inesattezza dei dati forniti per addestrare l’algoritmo o delle assumption alla base del suo funzionamento, occorre mantenere un ruolo centrale dall’uomo, tanto nella fase di addestramento che in quella di assunzione delle decisioni basate sugli output dell’AI.
Nell’affermare questo principio, il Decalogo del Garante Privacy menziona un caso relativo all’uso di un sistema di AI negli USA, con l’obiettivo di stimare il rischio sanitario di oltre 200 milioni di cittadini. Il sistema tendeva ad assegnare un rischio inferiore ai pazienti afroamericani a parità di condizioni di salute, poiché la metrica per stimare il rischio si basava sulla spesa sanitaria media individuale.
Questo esempio rappresenta la serietà dei rischi che possono derivare da un uso distorto dei sistemi di AI in ambito sanitario ed impone di assicurare la verificabilità costante del funzionamento dei sistemi di AI e dei relativi output.
10 – Ulteriori profili rispetto alla disciplina sulla protezione dei dati personali connessi alla dignità e all’identità personale
Il Decalogo del Garante Privacy si chiude con alcune considerazioni sull’importanza di utilizzare l’etica come criterio interpretativo che guidi l’applicazione della normativa – vigente e di prossima emanazione – applicabile all’AI, evidenziando anche l’importanza di scegliere fornitori e business partener in grado di garantire il rispetto dei principi sanciti nel Decalogo.
Ci aspettiamo, infatti, che la capacità degli stakeholder di assicurare e dimostrare il rispetto della normativa a tutela dei dati personali assumerà un ruolo centrale con la diffusione dell’AI e l’adozione dell’AI Act, diventando un aspetto essenziale per garantire il successo delle aziende che producono, distribuiscono o utilizzano questa tecnologia.
È quindi essenziale che gli operatori del settore non sottovalutino gli adempimenti previsti dalla normativa privacy e valorizzino l’importanza di una strategia “privacy-centrica”.
