decalogo-garante-sanita-ai

Il Garante Privacy ha varato un Decalogo su Sanità e AI per guidare gli operatori nella realizzazione di un sistema sanitario a livello nazionale nel quale siano coniugate Intelligenza Artificiale e Privacy. I “Dieci Comandamenti” in esame, fortemente ancorati ai principi applicabili al trattamento dei dati personali di cui all’art. 5 GDPR, enucleano i principi particolari, i ruoli, le attività e le questioni più rilevanti per accompagnare lo sviluppo del progetto.

Le fonti

I trattamenti di dati particolari relativi alla salute degli Interessati trovano il loro necessario fondamento legale nel Diritto dell’Unione Europea e degli Stati Membri: primi tra tutti, in Italia, sono il Regolamento Generale sulla Protezione dei Dati (Regolamento UE 2016/679 – GDPR) e il Codice Privacy.

A questi, nella redazione del Decalogo, sono affiancati alcuni spunti tratti da pronunce del Consiglio di Stato, da sentenze della Corte Costituzionale e da altre Linee Guida: il documento, pertanto, vanta un fondamento giuridico variegato che ci accompagnerà nell’approfondimento dei plurimi aspetti.

Non da ultimo, bisogna ricordare che il progetto andrà ad accompagnarsi al venturo AI Act, il quale introdurrà regole armonizzate sull’Intelligenza Artificiale proponendo, in un’ottica di cd. innovazione responsabile, specifiche restrizioni alle libertà di impresa, delle arti e della scienza a protezione di motivi imperativi di pubblico interesse, tra i quali proprio la salute.

I princìpi

Il progetto di regolamentazione proposto dal Garante si inserisce in una cornice ben definita nella quale sono bilanciate le esigenze di:

  • rispettare i principi e gli adempimenti previsti dal GDPR – Regolamento Europeo Privacy;
  • garantire l’effettiva tutela del diritto di protezione dei diritti degli Interessati (solitamente i pazienti, nel caso di specie).

Approfondiamo dunque i principi che sostengono i contenuti del Decalogo, alcuni dei quali derivanti direttamente dalla normativa comunitaria, altri formulati appositamente.

 

Nel primo gruppo di principi troviamo i seguenti:

    • privacy by design:

il Titolare del Trattamento che conduce trattamenti di dati personali in ambito sanitario con il supporto di sistemi di IA deve, in via preliminare, prevedere misure di sicurezza tecniche ed organizzative adeguate alle attività e alle scelte di trattamento, in coerenza con i principi della protezione dati di cui all’art. 5 GDPR;

    • privacy by default:

le misure introdotte dal Titolare in fase di progettazione del sistema sanitario nazionale integrato “AI e Privacy” devono garantire, per impostazione predefinita, un trattamento proporzionato alle finalità, considerato l’interesse pubblico perseguito;

    • esattezza, integrità e riservatezza:

in ossequio all’art. 5, par. 1, lett. d) e f), GDPR, il Titolare deve prevedere misure, strumenti e modalità utili alla rettifica tempestiva e/o alla cancellazione dei dati non corretti: il rilevo dei citati parametri di sicurezza, è rappresentato dalla loro vocazione a proteggere i dati coinvolti da potenziali rischi che possono sorgere in sede di trattamento o successivamente alle attività;

    • correttezza e trasparenza:

l’impiego dei sistemi di Intelligenza Artificiale nella sanità deve essere orientato alla tutela dei diritti degli Interessati, pertanto, il trattamento in parola deve presentare una base giuridica chiara, prevedibile e conoscibile agli stessi. In questi termini, la trasparenza è assicurata dalla pubblicazione della specifica DPIA.

—–

Nella seconda categoria, invece, riconosciamo principi di specifica e di rinforzo dei precedenti, nonché di rimedio di un’eventuale loro violazione:

    • conoscibilità:

rappresenta una declinazione forzata del principio di trasparenza (così la sent. VI sez., n. 2270/2019, Consiglio di Stato). L’Interessato ha il diritto di conoscere l’esistenza del trattamento automatizzato avente ad oggetto i suoi dati personali.

A questo si accompagna un principio corollario:

    • comprensibilità:

l’Interessato deve avere la possibilità di comprendere la logica fondante il processo decisionale, ricevendo informazioni significative a riguardo (sent. VI sez., nn. 8472/2019, 8473/2019, 8474/2019, Consiglio di Stato).

Nel concreto, conoscenza e comprensione possono essere favorite da campagne di comunicazione, attinenti aspetti clinici o di politica sanitaria di interesse per il paziente, nelle quali sia utilizzato un linguaggio non giuridico ed accessibile al pubblico.;

    • non esclusività:

il trattamento automatizzato non deve essere affidato esclusivamente al fattore IA, è necessario prevedere uno spazio di intervento umano, a garanzia delle funzioni di controllo, di validazione ovvero di smentita della decisione.

Segue un principio corollario:

    • supervisione umana:

il coinvolgimento dell’uomo in un processo decisionale condotto mediante sistemi di Intelligenza Artificiale in ambito sanitario è centrale. Il ragionamento logico, i percorsi della mente e l’esperienza personale favoriscono la previsione delle conseguenze, la correzione di dati imprecisi ovvero inesatti, l’addestramento degli algoritmi e il raggiungimento di una soluzione “a misura d’uomo”: l’uomo è partecipe e destinatario della decisione riguardante i suoi dati personali e incidente sulle sue posizioni di diritto soggettivo;

    • non discriminazione algoritmica:

il requisito preferenziale che accompagna un trattamento automatizzato è costituito, comunque, dalla scelta di un sistema di IA ben addestrato e affidabile, che abbia scarse probabilità di approdare a decisioni errate, fondate su dati inesatti frutto di errori di matrice tecnologica o umana, produttive di effetti discriminatori per la salute degli Interessati.

Sanità e AI: i ruoli

Da un punto di vista operativo, i principali protagonisti di un trattamento di dati personali sono il Titolare e, ove previsto, il Responsabile del Trattamento: il primo investito ex lege del potere decisionale circa l’individuazione delle basi giuridiche e la delineazione delle finalità; il secondo, se presente, delegato a svolgere attività di trattamento per conto e sotto le istruzioni del Titolare; entrambi centro di responsabilità nella misura della gravità delle violazioni commesse durante le operazioni.

All’interno del Decalogo, i ruoli di Titolare e di Responsabile del Trattamento sono oggetto di un’attenta valutazione sotto due profili:

  • governance dei dati:

i trattamenti di dati condotti in ambito sanitario attraverso sistemi di Intelligenza Artificiale sono tipicamente legati alla sussistenza di presupposti di liceità, per ciascuno dei quali possono essere individuate finalità specifiche. In un panorama di questo tipo si pone la necessità di considerare un concetto più ampio di Titolarità del Trattamento, che contempli l’accesso ai dati per plurimi singoli Titolari legittimati, ciascuno dei quali effettuerà un preciso trattamento per una determinata finalità;

  • requisiti dei soggetti del trattamento:

il Titolare e il Responsabile del trattamento, che processano dati attraverso sistemi di AI in ambito sanitario, devono presentare competenze adeguate ai propri ruoli e attività: per questo motivo, il Garante Privacy presenta l’esigenza di valutare le suddette figure in modo approfondito e con riferimento al caso concreto, accertandone l’adeguatezza rispetto ai principi del sistema e alle attività che sono chiamati a svolgere.

Sanità e AI: gli adempimenti e le attività

Il Decalogo in esame ripercorre gli obblighi cui il Titolare del Trattamento deve ottemperare prima di procedere effettivamente al trattamento dei dati: da un lato si tratta di imposizioni di natura legale introdotte dal GDPR, in circostanze precise, il cui assolvimento è fondamentale anche e soprattutto nella previsione di un sistema nazionale e centralizzato di servizi sanitari basati sullo sfruttamento dell’IA; in altri casi, invece, gli obblighi sono introdotti come tali dal Garante, comunque ispirati ai principi fondamentali del Regolamento Europeo.

L’art. 35 GDPR introduce l’obbligo, di natura valutativa e preliminare, di predisporre una preventiva Valutazione di Impatto, la cd. DPIA, considerato il rischio elevato per i diritti e per le libertà delle persone fisiche che il trattamento sui dati svolto mediante l’impiego di tecnologie avanzate – compresi i sistemi di IA – può comportare (cfr. Linee Guida sulla Valutazione di impatto, WP248rev.01).

Possiamo elencare le caratteristiche individuate nel Decalogo e leggerle in combinato con i requisiti stabiliti dalla norma per comprendere quali fondamenti sostengono lo specifico obbligo di DPIA sopracitato:

  • l’uso di nuove tecnologie: l’obiettivo del progetto è la realizzazione di servizi sanitari a livello nazionale attraverso sistemi addestrati di Intelligenza Artificiale;
  • la valutazione sistematica e globale delle persone fisiche basata su procedimenti [anche decisionali] automatizzati: lo sfruttamento dell’Intelligenza Artificiale favorisce la conduzione di processi decisionali in modo automatizzato e secondo logiche algoritmiche per l’elaborazione di dati e servizi;
  • il trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9, paragrafo 1, GDPR: oggetto del trattamento sono dati sanitari potenzialmente relativi anche a soggetti vulnerabili.

Alla luce di queste considerazioni, la DPIA costituisce lo strumento essenziale ed utile al Titolare per individuare le misure di sicurezza più adeguate e proporzionate da implementare a fronte dell’alto rischio presentato da un simile trattamento per quegli stessi diritti e libertà, misure che nel piano del Garante trovano un’applicazione estesa sotto entrambi i profili materiale e territoriale, al fine di assicurare l’omogeneità dei trattamenti di dati svolti nell’ambito di tutti i servizi sanitari basati su IA presso l’intero territorio dello Stato (concetto già anticipato nella sent. n. 164/ 2022 C.Cost.).

Il secondo obbligo, di carattere consultivo, eventuale e successivo al precedente, impone al Titolare del Trattamento di consultare l’Autorità di Controllo ai sensi dell’art. 36 GDPR, qualora non abbia implementato misure tecniche ed organizzative sufficienti a mitigare in modo adeguato i rischi cui sono esposti i diritti e le libertà degli Interessati.

Il Decalogo introduce due obblighi di garanzia specifici cui il Titolare deve ottemperare, assicurando:

  • la qualità dei dati:

ispirato al principio di esattezza dei dati ex art. 5, par. 1, lett. d), GDPR. Il Titolare deve provvedere al costante aggiornamento dei dati sanitari processati attraverso sistemi di Intelligenza Artificiale, monitorandone la protezione, la rettifica e la cancellazione.

Torna in gioco un principio particolare del nuovo sistema sanitario integrato: la supervisione dell’uomo deve sopperire all’utilizzo e allo sviluppo improprio dell’IA, in modo da poter riconoscere un rigoroso fondamento scientifico ai processi e ai risultati ottenuti. Solo nel rispetto di queste istruzioni si potranno ottenere dati di qualità, oggetto di trattamenti non particolarmente rischiosi, e l’erogazione di servizi efficaci e corretti;

  • l’integrità e la riservatezza dei dati:

riprende il medesimo principio di cui all’art. 5, par. 1, lett. f), GDPR. Il Titolare deve implementare adeguate misure di sicurezza tecniche ed organizzative, che possano mitigare gli esiti di trattamenti illeciti o non autorizzati ovvero attenuare le fonti di distruzione o di cancellazione i dati, a protezione dei diritti e delle libertà fondamentali dei soggetti vulnerabili Interessati.

In questo frangente è bene ricordare che la valutazione dei rischi (e dei rischi residui) deve calare i dati sul caso concreto, con l’indicazione pedissequa delle logiche algoritmiche di generazione e di processazione seguite dai sistemi di IA.

Altre questioni su sanità e AI

Le attenzioni da porre di fronte all’uso dell’Intelligenza Artificiale nel trattamento di dati sanitari non hanno un fondamento di natura esclusivamente legale, ma possiamo trovare delle limitazioni finalizzate a scongiurare ripercussioni negative dal punto vista etico, deontologico e sociale.

L’etica influenza in modo particolare lo sviluppo del quadro normativo e guida il legislatore nella delineazione dei limiti entro cui sfruttare l’IA nel corso delle attività sui dati sanitari, senza che questi possano ritenersi contrari al senso di umanità e lesivi per la dignità di soggetti vulnerabili.

Gli aspetti deontologici rilevanti nel progetto sull’Intelligenza Artificiale sono legati agli obblighi che ciascun professionista medico sanitario deve rispettare nelle attività che richiedono l’elaborazione dei dati del paziente e l’individuazione del percorso terapeutico più appropriato.

Per questi motivi, l’auspicio finale del progetto è l’elaborazione di un modello etico distintivo e parallelo per la governance dell’Intelligenza Artificiale.

>> IL DECALOGO DEL GARANTE

Ti serve una consulenza privacy?

Il nostro team sarà felice di trovare la soluzione perfetta per te!