di Simona Custer *
Negli ultimi anni l’intelligenza artificiale (IA) è passata da mera prospettiva a concreta realtà anche nel settore sanitario. Se da un lato sono innegabili i benefici e le opportunità che possono derivare dall’implementazione di sistemi di IA, dall’altro non possono, però, essere trascurati gli eventuali rischi correlati al loro utilizzo.
Proprio in quest’ottica nel 2023 l’Organizzazione per la Cooperazione e lo Sviluppo Economico (OCSE) ha fornito una panoramica del potenziale dell’IA, esaminandone altresì i rischi.
In particolare, l’OCSE ha ritenuto che l’utilizzo di sistemi di IA possa sì favorire:
- il miglioramento della salute dei pazienti, essendo in grado di analizzare un’ingente mole di dati sanitari, identificare modelli e tendenze che possono sfuggire anche all’occhio esperto del professionista sanitario. In questo modo, si può arrivare a diagnosi più precise, trattamenti personalizzati e migliore prevenzione delle malattie;
- l’aumento della produttività degli operatori sanitari, “automatizzando” la gestione delle attività amministrative routinarie con un risparmio di tempo da dedicare ai pazienti;
- la creazione di esperienze sanitarie personalizzate e patient based, creando percorsi di cura più adeguati alle esigenze dei pazienti che porterebbero ad una riduzione del rischio di incompatibilità terapeutiche e ad un miglioramento dell’efficacia delle cure;
ma che, al contempo, occorra fare attenzione ai rischi derivanti, tra cui spicca la possibilità del verificarsi di violazioni di sicurezza dei dati trattati (cd. data breach), che potrebbero essere agevolate dal fatto che i sistemi non siano stati progettati conformemente alle disposizioni del Regolamento UE 2016/679 (GDPR).
Quali sono, quindi, le cautele da adottare e i suggerimenti del Garante per la protezione dei dati personali da tenere in considerazione durante il trattamento?
Con il “Decalogo per la realizzazione di servizi sanitari nazionali attraverso sistemi di intelligenza artificiale” del settembre 2023 il Garante ha fornito una serie di indicazioni per consentire un utilizzo dei sistemi di IA rispettoso del GDPR e del D. Lgs. 196/2003.
Anzitutto i sistemi devono essere in grado di tutelare il diritto alla protezione dei dati personali dei pazienti sin dalla fase di progettazione e per impostazione predefinita (principi di privacy by design e by default). Il titolare del trattamento è, quindi, tenuto a verificare e dimostrare che i sistemi di IA prevedano i) misure tecniche e organizzative atte a garantire la conformità ai principi definiti all’art. 5 del GDPR (tra cui quello di esattezza, minimizzazione e limitazione della conservazione) e ii) garanzie adeguate a tutela dei diritti e delle libertà dei pazienti, così da assicurare un trattamento di dati proporzionato all’interesse pubblico perseguito, prevenendo il verificarsi di violazioni di riservatezza, integrità e disponibilità.
Oltre alle predette verifiche, il titolare è tenuto a realizzare la valutazione di impatto (DPIA), in quanto il trattamento dei dati relativi alla salute effettuato con i sistemi di IA presenta a tutti gli effetti un alto rischio per i diritti e le libertà degli interessati. L’espletamento della DPIA è, quindi, necessaria e all’interno della stessa dovranno essere considerate le logiche algoritmiche sottese, le metriche utilizzate per addestrare il modello e le verifiche svolte per rilevare la presenza di eventuali bias.
Altri aspetti da valutare sono, poi, l’individuazione della corretta base giuridica del trattamento e la definizione dei ruoli privacy. Sul primo il Garante evidenzia che il trattamento dei dati relativi alla salute tramite sistemi di IA è lecito se sussiste un interesse pubblico da perseguire o se il paziente ha espresso il proprio consenso o, ancora, se la finalità di cura è necessaria; sul secondo suggerisce al titolare di individuare specificamente i soggetti legittimati a trattare i dati, avendo cura di verificare le attività realmente svolte da ciascuno ai fini del trattamento.
In considerazione delle pronunce del Consiglio di Stato del 2019, 2020 e 2021, il Garante richiede inoltre che l’utilizzo degli algoritmi e dei sistemi di IA per l’esecuzione di compiti di interesse pubblico debbano essere “governati” nel rispetto dei principi di: - conoscibilità, secondo cui il paziente ha sempre il diritto di sapere l’esistenza dei processi decisionali automatizzati e di comprenderne il corretto funzionamento;
- non esclusività della decisione algoritmica per cui nel processo decisione deve essere previsto l’intervento umano;
- non discriminazione algoritmica sulla base del quale i sistemi di AI devono essere connotati da affidabilità e sottoposti a verifiche stringenti e periodiche, così da evitare l’insorgere di effetti discriminatori, che un trattamento inesatto di dati può determinare nei confronti dei pazienti.
Da ultimo, il Garante pone l’attenzione sull’importanza che i dati presenti nei sistemi di IA debbano sempre essere esatti e aggiornati; inoltre, i sistemi devono favorire il rispetto della correttezza e della trasparenza che, in termini pratici, si traducono nell’importanza di caldeggiare un elevato livello di consapevolezza sull’uso dell’IA mediante: i) la consultazione degli stakeholders e degli interessati durante lo svolgimento della DPIA, ii) la predisposizione di informative chiare e comprensibili, che descrivano anche i vantaggi, in termini diagnostici e terapeutici, derivanti dall’utilizzo dell’IA, iii) la previsione di efficaci modalità di esercizio dei diritti di cui agli artt. 15-22 del GDPR, iv) la presenza dell’intervento umano a garanzia del fatto che l’atto decisorio non sia demandato completamente alla macchina.
Queste le cautele da adottare per garantire un equilibrio tra IA e GDPR, che dovranno poi necessariamente interfacciarsi sia con quanto previsto nel Regolamento UE 2024/1689 (AI Act), che con quanto verrà indicato nel D.d.l. sull’IA in corso di esame al Senato dal 23 luglio scorso. - Counsel di A&A – Albè e Associati.
