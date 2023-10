Intelligenza Artificiale nel settore sanitario e protezione dei dati personali, le indicazioni delle Autorità di Luca Liistro e Pierluigi Perri*

L’Intelligenza Artificiale (IA) viene ormai rappresentata da più parti come la tecnologia che sta rivoluzionando ogni aspetto della nostra quotidianità: dalle nostre abitazioni con la domotica, allo shopping, grazie ad algoritmi predittivi che analizzano le nostre preferenze e ci propongono prodotti in linea con esse, fino a tutto il mondo dei servizi di ambito medicale.



Sempre più spesso, infatti, l’IA trova ampia applicazione in ambito sanitario quale supporto a medici e più in generale professionisti del settore che si avvalgono di questo strumento per le loro decisioni.



Proprio dato l’elevato grado di pervasività di tale tecnologia, che può di frequente esporre il produttore, il fornitore e finanche, nel caso dell’healthcare, la struttura sanitaria a ipotesi di responsabilità, le Autorità di controllo e quelle comunitarie stanno intervenendo sempre più spesso nella regolamentazione del fenomeno e nella predisposizione di un quadro regolamentare volto a prevenire i rischi che queste tecnologie potrebbero creare, senza però perderne le incredibili opportunità. Tra i più recenti paper pubblicati sull’argomento vi sono il “ Cybersecurity and privacy in AI - Medical Imaging diagnosis ” dell’ENISA – l’Agenzia dell’Unione europea per la cibersicurezza – e il decalogo del Garante per la protezione dei dati personali.



Entrambi i documenti si focalizzano sull’utilizzo dell’IA nell’ambito sanitario ma, mentre il primo ha una dimensione maggiormente trasversale poiché tratta delle tematiche legate alla cybersecurity e alla protezione dei dati personali, il secondo è focalizzato sull’individuazione delle regole basilari in materia di protezione dei dati personali da considerare per la realizzazione di servizi sanitari nazionali attraverso sistemi di IA.



Nonostante il diverso focus, tuttavia, entrambi i documenti pongono in evidenza tematiche analoghe, evidenziando la centralità di effettuare una valutazione di impatto sul trattamento dei dati personali. Tale adempimento è volto a valutare possibili rischi sui diritti e le libertà delle persone fisiche derivanti dall’utilizzo di nuove tecnologie quali, ad esempio, l’IA, ed è richiesto soprattutto nel caso in cui tramite tali tecnologie vengano processati dati sanitari. Inoltre, la valutazione in questione è necessaria per un esame complessivo e preventivo dell’adeguatezza e della proporzionalità delle misure necessarie a garantire una maggior tutela dei soggetti a cui i dati personali si riferiscono.



Le valutazioni effettuate, inoltre, dovrebbero tenere presenti i rischi derivanti dalla creazione di banche dati contenenti le informazioni sanitarie, quali ad esempio quelli relativi alla perdita dei requisiti di qualità dei dati (es. mancato o errato aggiornamento). Proprio quest’ultimo è un tema a cui è necessario prestare una particolare attenzione nella costituzione delle basi di dati sulle quali verranno addestrati o erogati servizi basati su IA.



Dati di scarsa qualità o, peggio, compromessi a causa della mancata adozione misure tecniche ed organizzative adeguate, potrebbero infatti influenzare l’efficacia e la correttezza dei servizi erogati. Ciò comporta che, nel contesto dell’applicazione dell’intelligenza artificiale ai servizi sanitari, assumono ancora più rilievo alcuni principi in materia di protezione dei dati personali come quelli di integrità e riservatezza, soprattutto considerata la particolare delicatezza delle informazioni in questione. Dunque, diventa di fondamentale importanza adottare presidi che consentano un’adeguata protezione delle informazioni. La valutazione sui presidi più opportuni deve essere fatta in concreto, ossia tenendo in considerazione le specifiche caratteristiche dei dati personali di volta in volta utilizzati e i modelli di analisi impiegati.



Altro elemento chiave su cui si sono focalizzati sia la nostra Autorità nazionale che quella europea è la corretta definizione dei ruoli di tutte le parti coinvolte nel trattamento, che deve corrispondere alle attività che il soggetto svolge in concreto alla luce dei compiti demandati allo stesso.



A tal proposito, di frequente i dati utilizzati nei sistemi di intelligenza artificiale vengono trattati e archiviati in risorse gestite da fornitori cloud . Pertanto, è importante che la struttura sanitaria verifichi il fornitore, il suo operato e la sua conformità alla legislazione in materia di protezione dei dati e alle best practice di cybersecurity, ne definisca correttamente il ruolo e adotti strumenti, anche di natura legale, che consentano un’efficace supervisione sul loro operato e un’adeguata tutela del titolare delle informazioni.



Infine, il Garante per la protezione dei dati personali ha posto in evidenza dei principi generali, di origine giurisprudenziale, che devono permeare l’utilizzo di algoritmi e di strumenti di IA.



Il primo è quello di conoscibilità, ossia il diritto di conoscere l’esistenza di processi decisionali basati su trattamenti automatizzati e, di ricevere informazioni comprensibili sulla logica utilizzata.

Il secondo principio è di non esclusività della decisione algoritmica, secondo cui deve comunque esistere nel processo decisionale un intervento umano capace di controllare, validare ovvero smentire la decisione automatica.

Infine, il principio di non discriminazione algoritmica, per cui il titolare del trattamento deve utilizzare sistemi di Intelligenza Artificiale affidabili che riducano le opacità e gli errori, verificandone periodicamente l’efficacia.



Per quanto il preannunciato Regolamento europeo sull’Intelligenza Artificiale si stia facendo attendere, quindi, comincia già a delinearsi un quadro regolatorio di cui gli operatori dovranno tener conto sia in fase di progettazione sia per tutta la successiva gestione contrattuale e operativa dei prodotti e dei servizi basati su IA.

*A cura di Luca Liistro, partner e Pierluigi Perri , of counsel, Chiomenti