Intelligenza Artificiale e dati sanitari: cosa ci dice il Decalogo del Garante privacy

Il Parlamento europeo, lo scorso 14 giugno, ha approvato il testo del primo Regolamento europeo sull’intelligenza artificiale (AI Act) che rappresenterà uno standard globale per lo sviluppo e la governance dell’intelligenza artificiale identificando requisiti e obblighi che dovranno essere rispettati, mettendo in campo i tre pilastri: misure protettive, gestione della governance e guida dell’innovazione. Sono ora in corso i negoziati, il trilogo[1], tra Parlamento europeo, Consiglio dell’Unione europea e Commissione europea che consentirà, auspicabilmente entro la fine del 2023, l’adozione del testo finale.

L’esigenza di affrontare le sfide che derivano dall’intelligenza artificiale è stato sottolineato nel discorso della Presidente von der Leyen sullo stato dell’Unione 2023 lo scorso 13 settembre. Nel nostro paese il dibattito è stato già in passato molto animato; in particolare si segnalano la sentenza del Consiglio di Stato che, nel novembre 2021[2], ha approfondito la nozione di algoritmo evidenziando come temi profondamente tecnici hanno implicazioni e assumono una notevole importanza anche per le necessarie conseguenze di carattere giuridico e il provvedimento dell’11 aprile 2023 del Garante per la protezione dei dati personali[3] (nel seguito: Garante) nei confronti di ChatGPT.

Il nuovo intervento del Garante: focus su Intelligenza Artificiale e dati sanitari

In questo quadro, complesso e ancora non definitivo, è ora intervenuto il Garante con un documento che ha l’obiettivo di fare chiarezza in un settore specifico, dove più si sta sperimentando ma che sicuramente presenta elevati elementi di criticità e complessità con implicazioni anche di carattere etico: il trattamento dei nostri dati relativi alla salute.

Tali trattamenti classificati dalla bozza di AI Act,tra i sistemi ad alto rischio sono già stati oggetto di attenzione anche nel parerecongiunto espresso sulla Bozza di regolamento, dal Comitato europeo per la protezione dei dati e dal Garante europeo, n. 5/2021 del 18 giugno 2021 (nel seguito: Parere n.5/2021).

Il Decalogo per la realizzazione di servizi sanitari nazionali attraverso sistemi di Intelligenza Artificiale (di seguito: Decalogo) pubblicato dal Garante detta i principi da rispettare: emerge evidente l’esigenza che, in ogni caso, ogni processo decisionale dovrà prevedere una supervisione umana che consenta al personale sanitario di controllare, validare o smentire l’elaborazione effettuata dagli strumenti di IA.

Ripercorriamoli tutti.

• Le basi giuridiche del trattamento

Particolare attenzione è stata posta dal Garante all’individuazione di una idonea base giuridica per l’uso dell’intelligenza artificiale. Il trattamento di dati relativi alla salute tramite tecniche di IA, pur posto in essere per motivi di interesse pubblico in ambito sanitario, richiama i concetti di profilazione e di decisioni assunte sulla base di processi automatizzati, il cui uso è consentito solo se espressamente previsto dal diritto degli Stati membri, nel rispetto di misure adeguate a tutela dei diritti, delle libertà e dei legittimi interessi degli interessati[4].

Ma oltre ad essere fondati su uno specifico quadro normativo, tali trattamenti devono essere supportanti da una preliminare valutazione in ordine alla loro effettiva necessità. Sul puntoil Decalogo richiama l’attenzione sull’art. 36, par. 4 del Regolamento, laddove si prevede la consultazione dell’Autorità di controllo durante l’elaborazione di un atto legislativo o di misura regolamentare che prevede il trattamento di dati personali.

• I principi di accountability e di privacy by design e by default.

Il titolare del trattamento deve conformarsi ed essere in grado di comprovare il rispetto dei principi e degli adempienti previsti dal Regolamento e, in particolare, di aver effettivamente tutelato il diritto alla protezione dei dati personali degli interessati fin dalla progettazione e per impostazione predefinita. Occorre dimostrare che, oltre ad una preliminare e ponderata valutazione di tutte le scelte, nella realizzazione di sistemi di intelligenza artificiale in ambito sanitario siano state adottate quelle misure tecniche e organizzative adeguate ad attuare i principi di protezione dei dati e siano state integrate nel trattamento le garanzie necessarie per soddisfare i requisiti del Regolamento e tutelare i diritti e le libertà degli interessati.

• Ruoli

La Governance deve essere definita: vanno individuati in modo chiaro e trasparente ruoli e responsabilità dei soggetti che intervengono nei trattamenti in qualità di titolare, designato, autorizzato, responsabile del trattamento dei dati personali.

L’attribuzione dei ruoli deve corrispondere alle attività che il soggetto svolge in concreto alla luce dei compiti istituzionalmente demandati allo stesso, in conformità al quadro giuridico di settore.

Tutte le persone fisiche che materialmente trattano i dati personali, compresi i collaboratori del soggetto esterno, devono essere autorizzate al trattamento e opportunamente formate e istruite ai sensi degli artt. 29 del Regolamento e 2-quaterdecies del Codice.

• I principi di conoscibilità, non esclusività e non discriminazione algoritmica

Costituiscono i tre principi portanti che devono governare l’utilizzo di algoritmi e di strumenti di IA nell’esecuzione di compiti di rilevante interesse pubblico:

1. al soggetto interessato al trattamento deve essere assicurato il diritto di conoscere, anche attraverso campagne di comunicazione, se esistono e quali siano i processi decisionali (ad esempio, in ambito clinico o di politica sanitaria) basati su trattamenti automatizzati, effettuati attraverso strumenti di IA e di ricevere informazioni chiare sulla logica utilizzata per arrivare alle relative decisioni;
2. il processo decisionale deve necessariamente prevedere una supervisione umana che consenta, al personale sanitario di controllare, validare o smentire l’elaborazione effettuata dagli strumenti di IA;
3. occorre verificare l’affidabilità dei sistemi per assicurare la rettifica dei fattori che possano determinare inesattezze dei dati e la minimizzazione del rischio di errori alla luce dei gravi effetti discriminatori che un trattamento inesatto di dati sullo stato di salute può determinare nei confronti di persone fisiche.

• Valutazione d’impatto sulla protezione dei dati (VIP)

Nel rispetto del quadro normativo di settore, il Garante ribadisce la necessità che, prima di avviare trattamenti di dati sulla salute mediante sistemi di IA, sia svolta una valutazione d’impatto allo scopo di individuare le misure idonee a tutelare i diritti e le libertà dei pazienti e garantire il rispetto dei principi del Regolamento. Un sistema centralizzato nazionale che utilizzi l’IA determina infatti un trattamento sistematico su larga scala di dati sanitari che rientra tra quelli ad “alto rischio”, per i quali la valutazione d’impatto è obbligatoria e deve essere svolta a livello centrale per consentire un esame complessivo sull’adeguatezza e omogeneità degli accorgimenti adottati.

• Qualità dei dati

Particolare attenzione va posta alle misure adottate per assicurare e garantire nel tempo, l’esattezza e l’aggiornamento dei dati con l’obiettivo di assicurare la tutela degli interessi e dei diritti fondamentali degli interessati ma anche, e soprattutto, nella consapevolezza che un dato non aggiornato o inesatto, un campione non correttamente calibrato, potrebbe influenzare la stessa efficacia e correttezza dei servizi offerti.

Tutti elementi questi da valutare e documentare nella Valutazione d’impatto privacy, che andrà aggiornata o ripetuta al variare degli obiettivi, dei presupposti o della tecnologia.

• Integrità e riservatezza

Il Decalogo evidenzia come, tra i principali rischi connessi all’utilizzo di modelli che utilizzano tecniche di machine learning, vi sono quelli relativi a potenziali opacità nella fase di sviluppo dell’algoritmo, errori e distorsioni nell’elaborazione o nell’utilizzo correlati proprio alla qualità e/o al volume dei dati di volta in volta utilizzati. Tale evidenza determina la necessità che, nella descrizione dei trattamenti, siano puntualmente indicate le logiche algoritmiche ma soprattutto che siano indicate le misure adeguate ed appropriate adottate per mitigare i rischi correlati proprio all’uso di tecniche di IA su dati sanitari, trattati su larga scala, relativi a soggetti vulnerabili che possono portare all’adozione di decisioni automatizzate.

• Correttezza e trasparenza

La corretta e chiara informazione costituisce uno dei pilastri fondamentali da porre alla base dello sviluppo e dell’utilizzo di sistemi di IA alla luce dei correlati rischi, anche discriminatori, che possono derivare dall’uso di tali strumenti.

• Supervisione umana

Tale esigenza si basa sul presupposto che generare contenuti, fare previsioni o adottare decisioni in maniera automatica, come fanno i sistemi di IA, per mezzo di tecniche o regole logiche e probabilistiche è cosa ben diversa rispetto alle modalità con cui queste stesse attività vengono svolte dagli esseri umani, attraverso il ragionamento creativo o teorico, nella piena consapevolezza della responsabilità e delle relative conseguenze.

Il Garante, come già sottolineato nel richiamato Parere n. 5/2021, richiama la centralità del concetto di supervisione umana (presente nella proposta di Regolamento), evidenziando che l’effettivo coinvolgimento degli esseri umani deve fondarsi su una supervisione altamente qualificata e sulla liceità del trattamento al fine di assicurare il rispetto del diritto di non essere assoggettato a una decisione basata esclusivamente su un trattamento automatizzato.

Il processo logico che deve, accuratamente, essere documentato nella valutazione d’impatto con l’obiettivo di ridurre i rischi per i diritti e le libertà degli interessati, e in particolare quello di discriminazione all’accesso alle cure, alla quota di partecipazione al costo in carico all’assistito e addirittura all’appropriatezza dei percorsi diagnostici e terapeutici. Rischi specifici in grado di incidere non solo sull’equità e sull’inclusività alle cure ma anche, potenzialmente, aumentare il divario e le disuguaglianze sociali.

• Ulteriori profili rispetto alla disciplina sulla protezione dei dati personali connessi alla dignità e all’identità personale

Il dibattito internazionale oggi si sta incentrando, sempre di più, sulla necessità che lo sviluppo dell’IA sia accompagnato da una costante attenzione ai profili etici del trattamento dei dati personali. Ciò ancor più necessario qualora, attraverso gli strumenti di IA, si intendono trattare informazioni sulla salute di un’intera popolazione con l’obiettivo di fornire servizi ai professionisti sanitari che prenderanno in cura l’interessato.

Ci si interroga sull’opportunità stessa di preferire fornitori che, sin da subito, si preoccupano di svolgere una valutazione di impatto sulla protezione dei dati prima della commercializzazione dei propri prodotti (e fermo l’obbligo in capo al titolare del trattamento di svolgerne una specifica), nonché che abbiano eventualmente anche condotto una specifica valutazione di impatto per l’IA, sicura, trasparente e affidabile. Approfondimenti sono in corso, anche sui temi connessi legati alle responsabilità professionali, tra gli esperti e sono stati anche sollevati nell’ambito dei lavori del G7 delle autorità per la protezione dei dati e la privacy.

[1] Nel contesto della procedura legislativa ordinaria dell’Unione europea, un trilogo è un negoziato interistituzionale informale che riunisce rappresentanti del Parlamento europeo, del Consiglio dell’Unione europea e della Commissione europea. L’obiettivo di un trilogo è raggiungere un accordo provvisorio su una proposta legislativa accettabile sia per il Parlamento che per il Consiglio, i colegislatori. Tale accordo provvisorio deve quindi essere adottato da ciascuna delle procedure formali di queste istituzioni. Il ruolo della Commissione è quello di mediare tra le parti.

Nel 2007 il Parlamento e il Consiglio hanno emesso la dichiarazione comune sulle modalità pratiche della procedura di codecisione, riconoscendo che «il sistema del trilogo ha dimostrato la sua vitalità e flessibilità aumentando in modo significativo le possibilità di accordo in prima e seconda lettura, oltre a contribuire alla preparazione dei lavori del Comitato di Conciliazione».

Contributo alla Rubrica “Appunti di Privacy”: notizie, spunti di riflessione, brevi commenti, chiarimenti sui principali temi di attualità sul tema della tutela dei dati personali. A cura di Patrizia Cardillo, Esperta di Protezione dati personali, in collaborazione con FPA

[2] Consiglio di Stato, sez. III, 25 novembre 2021, n. 7891.

[3] Provvedimento dell’11 aprile 2023 [9874702]

[4] Considerando 71 e art. 22, par. 4, del “Regolamento (UE) 2016/679 del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali” (nel seguito: Regolamento).