Con questo post ricordiamo, in sintesi, il Decalogo per l’utilizzo dei sistemi di Intelligenza Artificiale (“AI”) nell’ambito dei servizi sanitari nazionali, emanato dal Garante per la Protezione dei Dati Personali il 10 ottobre 2023 e quanto mai attuale oggi che è stato pubblicato l'AI ACT dell'Unione Europea (Regolamento (UE) 2024/1689): https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9938038
1. BASE GIURIDICA DEL TRATTAMENTO
Il trattamento dei dati sulla salute da parte di entità con finalità di interesse pubblico deve necessariamente fondarsi sul diritto dell’Unione o degli Stati membri, il quale sia proporzionato alla finalità, rispetti il diritto alla protezione dei dati e preveda misure appropriate.
2. ACCOUNTABILITY, PRIVACY BY DESIGN E PRIVACY BY DEFAULT
L’adozione di sistemi di AI, soprattutto se generativa, deve garantire il rispetto dei principi di privacy by design (“protezione dei dati fin dalla progettazione”) e di privacy by default (“protezione per impostazione predefinita”), come è emerso anche dai lavori del G7 delle Autorità di controllo.
Il tutto sotto la responsabilizzazione del Titolare (“accountability”), il quale deve essere in
grado di dimostrare il percorso adottato per tali valutazioni preliminari.
3. RUOLI
Nel trattamento dei dati personali è fondamentale definire chi sia il titolare e, in caso di trattamenti svolti per conto del titolare, il responsabile del trattamento.
Il titolare ha la responsabilità chiave per le decisioni sulle finalità e i mezzi del trattamento dei dati personali, nonché l’accountability sui trattamenti effettuati direttamente o per suo conto.
Il responsabile del trattamento opera su incarico del titolare per gestire trattamenti per conto e deve essere designato sulla base di criteri di competenza, affidabilità e sicurezza.
Gli uni e gli altri devono autorizzare al trattamento, con istruzioni adeguate, le persone fisiche che trattano direttamente i dati.
A maggior ragione, questa gerarchia di ruoli va assicurata nell’adozione dell’AI in ambito sanitario.
4. CONOSCIBILITÀ, NON ESCLUSIVITÀ E NON DISCRIMINAZIONE ALGORITMICA
Nell’uso di algoritmi e strumenti di AI per questioni di interesse pubblico, devono essere rispettati tre principi chiave in conformità al GDPR ed all’attuale giurisprudenza:
PRINCIPIO DI CONOSCIBILITÀ: gli individui hanno il diritto di sapere se le decisioni sono basate su processi automatizzati e di ricevere spiegazioni significative sulla logica utilizzata;
PRINCIPIO DI NON ESCLUSIVITÀ della decisione algoritmica: il processo decisionale deve coinvolgere sempre un elemento umano che controlli, convalidi o respinga le decisioni automatiche;
PRINCIPIO DI NON DISCRIMINAZIONE ALGORITMICA: si devono utilizzare solo sistemi di AI affidabili per ridurre errori causati da fattori tecnologici o umani. Devono essere attuate misure tecniche e organizzative adeguate per garantire la corretta gestione dei dati sulla salute e ridurre il rischio di discriminazione.
5. VALUTAZIONE D’IMPATTO SULLA PROTEZIONE DEI DATI (DPIA)
L’AI, in quanto implicante l’uso di una nuova tecnologia ad elevato rischio, su larga scala, per i diritti e le libertà delle persone, richiede una previa valutazione di impatto (DPIA).
Se le misure tecniche e organizzative esaminate nella DPIA non sono sufficienti a ridurre l’impatto o se residua un rischio elevato, si deve consultare l’Autorità di controllo, per l’Italia il Garante.
6. QUALITÀ DEI DATI
Il titolare del trattamento dei dati deve assicurare l’accuratezza e l’aggiornamento dei dati, prendendo misure adeguate a correggere o eliminare i dati inesatti, in linea al principio di “esattezza”.
Eventuali errori o mancati aggiornamenti potrebbero anche influenzare l’efficacia e la correttezza dei servizi adottati con l’utilizzo dell’AI.
7. INTEGRITÀ E RISERVATEZZA
Il GDPR richiede la gestione sicura dei dati personali, comprese misure contro trattamenti non autorizzati o illeciti, perdite o danni accidentali (principio di “integrità e riservatezza”).
La base giuridica per il trattamento tramite sistemi di AI deve includere misure specifiche per proteggere i diritti e gli interessi delle persone coinvolte, specialmente per i dati sanitari di soggetti vulnerabili trattati su larga scala con potenziali decisioni automatizzate.
8. CORRETTEZZA E TRASPARENZA
La trasparenza e la correttezza nei processi decisionali basati su trattamenti automatizzati sono essenziali nello sviluppo e nell’uso di sistemi di AI per mitigare rischi quali la discriminazione.
Il panorama internazionale stesso sottolinea la necessità di creare una consapevolezza tra le comunità coinvolte nell'uso di sistemi di AI e la comprensione del loro funzionamento.
Le misure per garantire tale consapevolezza possono riassumersi:
nella previsione di una base giuridica chiara, prevedibile e conoscibile anche grazie a campagne informative;
nella consultazione degli stakeholder e degli interessati;
nella pubblicazione della DPIA;
nella corretta informazione degli interessati, che illustri, oltre a quanto richiesto già dagli artt. 13 e 14 del GDPR, anche:
se il trattamento sia svolto nella fase di apprendimento dell’algoritmo o nella fase successiva di sua applicazione;
se vi siano obblighi e responsabilità dei professionisti sanitari;
quali siano i vantaggi in termini diagnostici e terapeutici dell’uso dell’AI;
nell’assicurazione di modalità efficaci per l’esercizio dei diritti da parte degli interessati;
nell’assicurazione che l’uso di sistemi di AI provenga da espressa richiesta del professionista sanitario e non sia invece automatico;
nella regolamentazione dei profili di responsabilità professionale.
9. SUPERVISIONE UMANA
La supervisione umana è essenziale per garantire che nessuna persona sia soggetta a decisioni basate solo su un processo automatizzato.
L’adozione di sistemi di AI è infatti soggetta ad una concreta evidenza di rischi di discriminazione, che solo l’intervento umano può mitigare.
Il parere congiunto del Garante europeo e dell’EDPB ha già confermato tale principio essenziale.
10. ULTERIORI PROFILI, IN PARTICOLARE DI ETICA
Il dibattito internazionale enfatizza l’importanza dell’etica nell’ambito dell’utilizzo di tecnologie di AI in relazione al trattamento dei dati personali, specialmente per la gestione di dati sanitari.
I professionisti sanitari stessi devono rispettare i rispettivi obblighi deontologici nella gestione delle informazioni sulla salute dei pazienti, per cui la validazione degli algoritmi deve assicurare che l’uso di sistemi di AI migliori la qualità dei servizi sanitari senza conseguenze negative sulla protezione dei dati.
Al riguardo, il Garante italiano ha proposto un modello etico globale per la governance dell’AI, coinvolgendo le principali Autorità competenti.
Comments