AI nel sistema sanitario nazionale: decalogo del Garante

Il 12 ottobre scorso, il Garante Privacy italiano ha pubblicato un decalogo innovativo, delineando dieci principi chiave per l’integrazione responsabile dell’intelligenza artificiale (AI) nel settore sanitario. Questa iniziativa mira a garantire che l’uso dell’IA sia conforme ai principi del General Data Protection Regulation (GDPR), enfatizzando la trasparenza, la non discriminazione e la sicurezza dei dati.

Indice

1. Trasparenza dei processi decisionali


La trasparenza nei processi decisionali è un pilastro fondamentale nel decalogo. Questo principio è strettamente legato agli articoli 13-15 del GDPR, che stabiliscono il diritto degli individui di essere informati sul trattamento dei propri dati personali. In ambito sanitario, dove l’intelligenza artificiale può influenzare decisioni critiche, la trasparenza si traduce nel dovere di informare i pazienti non solo che l’IA viene utilizzata, ma anche su come questa influenzi le decisioni cliniche o amministrative.
In pratica, ciò significa che i sistemi di IA dovrebbero essere progettati per rendere esplicite le logiche decisionali e i criteri utilizzati. Per esempio, se un sistema di IA è impiegato per suggerire trattamenti o diagnosi, i pazienti hanno il diritto di sapere su quali basi il sistema fa tali raccomandazioni. Questo richiede un livello di trasparenza che permetta agli utenti non tecnici di comprendere i processi decisionali, una sfida non trascurabile data la complessità intrinseca di molti algoritmi di IA. Per una trattazione accurata del GDPR dal punto di vista tecnico rimandiamo al volume “Formulario commentato della privacy”

FORMATO CARTACEO

Formulario commentato della privacy

Aggiornata alle recenti determinazioni del Garante, l’opera tratta gli aspetti sostanziali e le questioni procedurali legati al trattamento dei dati personali e a tutte le attività connesse. La normativa di riferimento viene commentata e analizzata, con un taglio che rende il volume un valido strumento pratico per il Professionista che si occupa di privacy. L’analisi delle ricadute operative della normativa è integrata dalle specifiche formule correlate; questa combinazione costituisce il valore aggiunto dell’opera che ben può aspirare a diventare un riferimento per gli operatori del settore. Giuseppe Cassano Direttore del Dipartimento di Scienze Giuridiche della European School of Economics della sede di Roma e Milano, ha insegnato Istituzioni di Diritto Privato nell’Università Luiss di Roma. Avvocato cassazionista. Studioso dei diritti della persona, del diritto di famiglia, della responsabilità civile e del diritto di Internet, ha pubblicato oltre trecento contributi in tema, fra volumi, trattati, voci enciclopediche, note e saggi. Enzo Maria Tripodi attualmente all’Ufficio legale e al Servizio DPO di Unioncamere, è un giurista specializzato nella disciplina della distribuzione commerciale, nella contrattualistica d’impresa, nel diritto delle nuove tecnologie e della privacy, nonché nelle tematiche attinenti la tutela dei consumatori. È stato docente della LUISS Business School e Professore a contratto di Diritto Privato presso la facoltà di Economia della Luiss-Guido Carli. Ha insegnato in numerosi Master post laurea ed è autore di oltre quaranta monografie con le più importanti case editrici. Cristian Ercolano Partner presso Theorema Srl – Consulenti di direzione, con sede a Roma; giurista con circa 20 anni di esperienza nell’applicazione della normativa in materia di protezione dei dati personali e più in generale sui temi della compliance e sostenibilità. Ricopre incarichi di Responsabile della Protezione dei Dati, Organismo di Vigilanza e Organismo Indipendente di Valutazione della performance presso realtà private e pubbliche. Autore di numerosi contributi per trattati, opere collettanee e riviste specialistiche sia tradizionali che digitali, svolge continuativamente attività didattica, di divulgazione ed orientamento nelle materie di competenza.

A cura di Giuseppe Cassano, Enzo Maria Tripodi, Cristian Ercolano | Maggioli Editore 2022

2. Supervisione umana nelle decisioni automatizzate


La supervisione umana è un altro aspetto cruciale, particolarmente rilevante alla luce dell’articolo 22 del GDPR, che si occupa delle decisioni automatizzate. Questo articolo prevede il diritto degli individui di non essere soggetti a decisioni basate esclusivamente sul trattamento automatizzato dei dati, inclusa la profilazione, che producono effetti giuridici che li riguardano o che li influenzano in modo significativo.
Nel contesto sanitario, ciò implica che, nonostante l’efficienza e la precisione potenzialmente superiori delle decisioni IA, è fondamentale mantenere un livello di supervisione e intervento umano. In altre parole, il personale sanitario dovrebbe avere la capacità e l’autorità di rivedere, interpretare e, se necessario, contraddire le raccomandazioni fornite dai sistemi di IA. Questo non solo serve a mitigare il rischio di errori o bias algoritmici, ma garantisce anche che il contesto e l’esperienza umana siano considerati nelle decisioni che influenzano la salute dei pazienti.
In entrambi i casi, si può notare un forte allineamento tra i principi del decalogo e le disposizioni del GDPR. Questa correlazione sottolinea la volontà del Garante di garantire che l’uso dell’IA nel settore sanitario non solo sia all’avanguardia dal punto di vista tecnologico, ma anche eticamente responsabile e rispettoso dei diritti fondamentali degli individui.

3. Non discriminazione algoritmica


Il terzo punto del decalogo tratta della non discriminazione algoritmica, un tema strettamente legato all’articolo 5 del GDPR, che stabilisce il principio di correttezza nel trattamento dei dati. L’uso dell’IA nel settore sanitario deve assicurare che non si verifichino discriminazioni, intenzionali o accidentali, basate su caratteristiche quali etnia, genere, età o altre categorie sensibili.
Per realizzare questo, i sistemi di IA devono essere progettati e monitorati per evitare bias. I bias possono emergere a causa di dati di addestramento non rappresentativi o pregiudizi impliciti negli algoritmi. Ad esempio, se un algoritmo di IA viene addestrato con dati clinici che sotto rappresentano un certo gruppo di popolazione, potrebbe essere meno accurato nella diagnosi o trattamenti per quel gruppo. Quindi, è fondamentale implementare metodologie di verifica e validazione che assicurino l’equità algoritmica, come l’analisi dei dati di input e output per individuare potenziali bias.

4. Base giuridica per l’uso dell’AI


Il quarto punto sottolinea la necessità di una base giuridica chiara e solida per l’uso dell’IA nel trattamento dei dati personali in ambito sanitario. Questo principio si collega direttamente all’articolo 6 del GDPR, che richiede una base legittima per qualsiasi trattamento di dati personali. Nel contesto dell’IA in sanità, questo significa che l’uso di tali tecnologie deve essere esplicitamente autorizzato e regolato da normative specifiche.
Una base giuridica solida è essenziale non solo per garantire la conformità alle normative sulla privacy, ma anche per costruire fiducia nel pubblico. La legislazione pertinente dovrebbe definire chiaramente gli scopi per cui l’IA può essere utilizzata, le misure di sicurezza richieste, e i diritti dei pazienti in relazione ai loro dati. Ciò include anche la necessità di consentimento informato quando appropriato, fornendo agli individui il controllo sul modo in cui i loro dati sono utilizzati.
In questi due punti, il decalogo del Garante Privacy riflette un approccio olistico all’uso dell’IA nel settore sanitario, che pone l’etica e i diritti degli individui al centro delle preoccupazioni tecnologiche e legali. Garantire l’equità algoritmica e una base giuridica solida non solo soddisfa i requisiti legali, ma è anche fondamentale per l’adozione responsabile e accettabile delle tecnologie IA nel delicato ambito della sanità.

5. Privacy by design e by default


Il quinto punto del decalogo, “Privacy by Design e by Default”, rispecchia i principi delineati nell’articolo 25 del GDPR. Questo articolo impone che la protezione dei dati sia incorporata nel design e nell’architettura dei sistemi e dei servizi, nonché nelle pratiche operative. Nel contesto dell’uso dell’IA nella sanità, questo significa che i sistemi di IA devono essere progettati fin dall’inizio con la massima attenzione alla privacy dei dati dei pazienti.
“Privacy by Design” implica che le misure di protezione dei dati siano integrate nella progettazione del sistema di IA e non aggiunte successivamente. Ciò include l’uso di tecniche come la minimizzazione dei dati, dove si raccolgono solo i dati strettamente necessari per lo scopo previsto, e la pseudonimizzazione, che rende i dati meno identificabili.
“Privacy by Default”, d’altra parte, significa che le impostazioni predefinite di qualsiasi sistema o servizio che tratta dati personali sono configurate per proteggere la privacy al massimo grado possibile, senza intervento dell’utente. Questo assicura che solo la quantità minima di dati necessaria per lo scopo specifico venga trattata.

6. Ruoli e responsabilità


Il sesto punto riguarda i ruoli e le responsabilità, che corrispondono al concetto di “accountability” previsto dall’articolo 5(2) del GDPR. Questo principio stabilisce che il titolare del trattamento dei dati è responsabile del rispetto del GDPR e deve essere in grado di dimostrare tale conformità.
Nel contesto dell’IA in sanità, ciò implica che ospedali, cliniche e altri fornitori di servizi sanitari che implementano sistemi di IA devono avere politiche chiare e procedure per garantire e dimostrare la conformità con le normative sulla protezione dei dati. Questo include la nomina di un responsabile della protezione dei dati (DPO), la formazione del personale sui diritti dei dati, e la creazione di processi trasparenti per rispondere alle richieste dei soggetti dei dati.
Questi punti mettono in evidenza l’importanza di un approccio proattivo e responsabile nella gestione dei dati, dove la protezione della privacy non è solo un obbligo legale, ma anche un impegno etico verso i pazienti che affidano le loro informazioni personali ai fornitori di servizi sanitari.

7. Conoscibilità e accessibilità delle informazioni


Il settimo punto del decalogo enfatizza la conoscibilità e l’accessibilità delle informazioni, in linea con gli articoli 12-14 del GDPR. Questi articoli stabiliscono il diritto degli individui di essere informati sul trattamento dei loro dati in modo chiaro, trasparente e facilmente accessibile. Nel settore sanitario, ciò significa che i pazienti devono avere facile accesso alle informazioni riguardanti l’uso dell’IA nel trattamento dei loro dati, inclusi i dettagli su cosa viene raccolto, come viene utilizzato, e con chi viene condiviso.
In pratica, ciò può comportare la fornitura di informazioni dettagliate ai pazienti, sia attraverso campagne di comunicazione sia attraverso la documentazione fornita al momento del trattamento. È cruciale che queste informazioni siano presentate in un linguaggio chiaro e comprensibile, per assicurare che tutti i pazienti, indipendentemente dal loro background, possano comprendere come i loro dati sono trattati.

8. Qualità dei dati


L’ottavo punto si concentra sulla qualità dei dati, un aspetto fondamentale per l’accuratezza e l’efficacia dei sistemi di IA nel settore sanitario. Questo principio è riflessivo dell’articolo 5(1)(d) del GDPR, che richiede che i dati personali siano accurati e, se necessario, aggiornati.
Nell’uso dell’IA in sanità, la qualità dei dati assume un’importanza cruciale. Dati imprecisi, obsoleti o incompleti possono portare a diagnosi errate, trattamenti inappropriati o decisioni cliniche sbagliate. Per garantire la qualità dei dati, è necessario implementare rigorosi processi di verifica e validazione dei dati, oltre a meccanismi per la loro continua revisione e aggiornamento. Questo include anche la considerazione della provenienza dei dati e del loro contesto, assicurandosi che siano rappresentativi di tutti i gruppi di pazienti.
In questi due punti, il decalogo mette in luce l’importanza di una comunicazione efficace e trasparente con i pazienti e sottolinea la necessità di mantenere l’integrità e l’accuratezza dei dati utilizzati nei sistemi di IA. Queste pratiche non solo rispettano i principi del GDPR, ma rafforzano anche la fiducia dei pazienti nei sistemi sanitari che impiegano tecnologie avanzate come l’intelligenza artificiale.

9. Valutazione d’impatto e protezione dei dati


Il nono punto del decalogo si concentra sulla valutazione d’impatto sulla protezione dei dati (DPIA), in linea con l’articolo 35 del GDPR. Questo articolo richiede che una DPIA venga condotta quando il trattamento dei dati è probabile che comporti un alto rischio per i diritti e le libertà degli individui. Nel contesto dell’uso dell’IA nel settore sanitario, una DPIA è particolarmente rilevante data la natura sensibile dei dati sanitari trattati.
Una DPIA nel settore sanitario dovrebbe valutare rischi come la potenziale esposizione di dati sensibili, la possibilità di decisioni errate a causa di bias nei dati o algoritmi, e l’impatto delle decisioni automatizzate sulla vita dei pazienti. Questa valutazione aiuta a identificare e mitigare i rischi prima che i sistemi di IA vengano implementati o modificati, garantendo che siano gestiti in modo responsabile e sicuro.

10. Trasparenza e correttezza nel trattamento dei dati


L’ultimo punto sottolinea la trasparenza e la correttezza nel trattamento dei dati, in armonia con i principi generali del GDPR espressi nell’articolo 5. Questo principio implica che ogni trattamento di dati personali deve essere legale, equo e trasparente nei confronti della persona interessata.
Nell’ambito dell’uso dell’IA in sanità, ciò significa che le informazioni relative al trattamento dei dati dei pazienti devono essere facilmente accessibili e comprensibili. I pazienti devono essere informati non solo sulla raccolta e l’utilizzo dei loro dati, ma anche su come le decisioni dell’IA influenzano la loro assistenza sanitaria. Inoltre, è fondamentale garantire che il trattamento dei dati sia sempre effettuato in modo equo e senza pregiudizi, rispettando i diritti e le libertà fondamentali dei pazienti.
Questi ultimi due punti del decalogo riflettono l’impegno a garantire che l’introduzione dell’IA nel settore sanitario sia realizzata in modo responsabile e attento alla protezione dei dati personali e dei diritti dei pazienti. Attraverso la valutazione d’impatto e la promozione di trasparenza e correttezza, il decalogo mira a stabilire un equilibrio tra l’innovazione tecnologica e il rispetto della privacy e dell’etica nel trattamento dei dati sanitari.

Vuoi ricevere aggiornamenti costanti?


Salva questa pagina nella tua Area riservata di Diritto.it e riceverai le notifiche per tutte le pubblicazioni in materia.
Inoltre, con le nostre Newsletter riceverai settimanalmente tutte le novità normative e giurisprudenziali!
Iscriviti!

Iscriviti alla newsletter
Iscrizione completata

Grazie per esserti iscritto alla newsletter.

Seguici sui social


Avv. Luisa Di Giacomo

Scrivi un commento

Accedi per poter inserire un commento