Dott.ssa Susanna Caruso
Decalogo del Garante privacy: i principali aspetti per la tutela dei dati personali nella realizzazione dei sistemi di intelligenza artificiale nei Servizi Sanitari Nazionali.
L’integrazione sempre più diffusa dei sistemi di Intelligenza Artificiale nel settore sanitario comporta sia notevoli vantaggi, in grado talvolta di salvare vite umane, sia rischi associati a malfunzionamenti, distorsioni, utilizzo di dati errati o non aggiornati, e violazioni della privacy dei pazienti.
Per affrontare queste problematiche, il Garante per la protezione dei dati personali ha reso disponibile un decalogo che indica le principali considerazioni da tenere a mente durante l’implementazione di servizi sanitari nazionali basati sull’Intelligenza Artificiale.
Tale documento fornisce una disamina esaustiva dei fattori chiave per garantire la tutela dei dati personali nell’uso di tali tecnologie. La normativa di riferimento principale rimane il Regolamento UE 2016/679 (noto come “GDPR”), mentre si attende l’approvazione definitiva del futuro “AI Act” da parte delle istituzioni europee, attualmente in fase di trilogo. Esamineremo dunque in modo approfondito le indicazioni fornite dal Garante per la protezione dei dati personali.
Fondamento legale del trattamento dei dati personali e ruolo degli attori coinvolti
L’Autorità innanzitutto sottolinea che in questo contesto è applicabile l’articolo 2-sexies del Codice privacy (così come modificato dopo l’avvento del GDPR) il quale prevede che il trattamento di categorie particolari di dati (tra cui rientrano i dati relativi alla salute) necessario per motivi di interesse pubblico rilevante ai sensi dell’articolo 9, paragrafo 2 lettera g) del GDPR è ammesso solo nei casi in cui sia previsto dal diritto UE o, nell’ordinamento interno, da disposizioni di legge o regolamento o da atti amministrativi generali.
In tali fonti normative devono essere specificati i tipi di dati che possono essere trattati, le operazioni eseguibili e il motivo di interesse pubblico rilevante, nonché le misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato. L’articolo 22 paragrafo 4 del GDPR prevede inoltre che nei processi decisionali automatizzati (come quelli che avvengono tramite le IA) relativi a persone fisiche non possono essere trattati dati particolari se non nel rispetto dell’articolo 9 paragrafo 2 lettera a) -consenso espresso- o g) e, in ogni caso, attuando misure adeguate a tutela dei diritti, delle libertà e dei legittimi interessi dell’interessato.
Dal combinato disposto di queste norme deriva che i trattamenti di dati sulla salute tramite sistemi di Intelligenza Artificiale per motivi di interesse pubblico rilevante devono essere previsti da uno specifico quadro normativo avente le caratteristiche dette sopra.
Attribuzione di ruoli e competenze per tutti i soggetti
Tale quadro normativo dovrà contenere anche una attribuzione di ruoli e competenze per i diversi soggetti coinvolti nel trattamento.
Il Garante sottolinea quindi che, in questo contesto, l’individuazione del titolare del trattamento deve avvenire valutando “la sussistenza di una idonea base giuridica che conferisca a tale soggetto il compito di svolgere il trattamento, non potendosi questi qualificare automaticamente come titolare sulla base di un mero presupposto fattuale”.
Bisogna infatti tenere conto del fatto che l’implementazione di un sistema nazionale di IA in ambito sanitario comporterebbe l’accesso di una moltitudine di soggetti ai dati e per varie finalità e quindi, in un’ottica di governance dei dati, il Garante suggerisce una “visione complessiva della titolarità del trattamento” che combini l’attribuzione normativa dei compiti con le attività che il soggetto svolge in concreto.
Anche in questo settore vi potranno certamente essere soggetti che svolgeranno attività delegate dal titolare, anche esterni alla sua organizzazione, che andranno quindi nominati responsabili del trattamento ai sensi dell’articolo 28 del GDPR o autorizzati al trattamento ai sensi dell’articolo 29. Il Garante sottolinea che, in assenza di nomina, la condivisione di dati con soggetti esterni all’organizzazione del titolare deve essere considerata una comunicazione di dati personali, ossia un trattamento che deve essere sorretto dall’opportuna base giuridica, come visto sopra.
I principi fondamentali per l’utilizzo di strumenti di intelligenza artificiale nell’esecuzione di compiti di notevole interesse pubblico
Il Garante, facendo riferimento al GDPR e alla recente giurisprudenza del Consiglio di Stato, identifica tre principi fondamentali per l’utilizzo di strumenti di Intelligenza Artificiale in questo contesto:
1. principio di conoscibilità: l’interessato deve essere consapevole dell’esistenza dei processi decisionali automatizzati e della logica utilizzata da essi;
2. principio di non esclusività della decisione algoritmica: si sottolinea la necessità di un intervento umano nel processo decisionale, affinché non sia esclusivamente basato sull’algoritmo;
3. principio di non discriminazione algoritmica: il titolare deve utilizzare sistemi di Intelligenza Artificiale affidabili e verificabili, attuando adeguate misure di sicurezza tecniche e organizzative per evitare discriminazioni.
Privacy by design e by default e valutazione dell’impatto
Per quanto concerne la fase preliminare al trattamento, è di fondamentale importanza garantire il rispetto dei principi di privacy by design e by default stabiliti nell’articolo 25 del GDPR. Nel contesto dei sistemi di Intelligenza Artificiale, ciò implica che fin dalla loro concezione devono essere integrate misure tecniche e organizzative che assicurino una adeguata protezione dei dati personali in modo predefinito.
Il Garante richiama l’attenzione sui recenti lavori del G7 delle Autorità per la protezione dei dati, i quali hanno evidenziato “la necessità di creare un sistema virtuoso in cui i principi di protezione dei dati, inclusa la privacy by design e la valutazione di impatto, vengano integrati nella progettazione e nel funzionamento delle tecnologie di IA generativa”.
La valutazione di impatto rappresenta un altro elemento centrale del decalogo: l’Autorità sottolinea che, nel caso di un sistema centralizzato a livello nazionale che fornisca servizi sanitari utilizzando strumenti di IA, emergono vari fattori che indicano la necessità di condurre una Valutazione d’Impatto sulla Protezione dei Dati (DPIA). In particolare, è evidente che in questo settore vengono effettuati trattamenti sistematici e su larga scala di categorie speciali di dati (in particolare, quelli relativi alla salute) che coinvolgono soggetti vulnerabili. Inoltre, tali trattamenti avvengono tramite l’utilizzo di nuove tecnologie.
Da tali trattamenti derivano sicuramente rischi elevati per i diritti e le libertà degli interessati: si pensi, ad esempio, alla possibilità di negare servizi sanitari essenziali o di effettuare diagnosi errate basate su dati non aggiornati. Pertanto, la previsione di un sistema centralizzato di questo tipo deve essere preceduta da una valutazione d’impatto conformemente all’articolo 35 del GDPR.
La qualità dei dati e i bias dell’intelligenza artificiale
Negli ultimi anni, numerosi esperti e attivisti hanno evidenziato l’importanza cruciale della qualità dei dati utilizzati nei sistemi di Intelligenza Artificiale. In questo settore, vale il principio del “garbage in – garbage out”: se il dataset utilizzato per l’addestramento è compromesso in qualche modo, anche i risultati dell’IA saranno fallaci.
Per garantire la qualità dei dati, è necessario prestare attenzione a diversi aspetti: non è sufficiente che i dati siano accurati e aggiornati, come richiesto dall’articolo 5 del GDPR, ma devono anche rappresentare tutte le sfaccettature della realtà. Inoltre, in alcuni casi, anche un dataset rappresentativo potrebbe portare a discriminazioni nei risultati, incorporando problemi sociali presenti.
È evidente che nel settore sanitario i problemi derivanti dalla bassa qualità dei dati possono avere conseguenze gravi sulla vita delle persone. Il Garante, nel decalogo, ha fornito un esempio tratto dalla situazione negli Stati Uniti: un sistema di IA utilizzato per stimare il rischio sanitario di oltre 200 milioni di individui ha mostrato un bias nei confronti delle persone afroamericane, stimando per loro un rischio inferiore nonostante condizioni di salute paritarie. Questo ha creato ostacoli nell’accesso alle cure per le persone appartenenti a tale gruppo etnico. Il problema si è verificato perché l’IA ha basato la stima del rischio sui dati relativi alla spesa sanitaria media individuale.
Tuttavia, l’utilizzo di questa metrica ha generato una distorsione nei risultati del sistema, che ha considerato un problema sociale (la minore spesa sanitaria da parte di persone appartenenti a un’etnia più povera) come un parametro statistico rilevante per prendere decisioni, rafforzando così il problema stesso. Questo esempio dimostra come, anche quando i dati sono corretti e aggiornati, potrebbero essere necessari ulteriori correttivi per evitare discriminazioni nei risultati degli algoritmi. Ed è qui che entrano in gioco la trasparenza e la supervisione umana.
Trasparenza e l’importanza della supervisione umana
Come abbiamo già discusso, è spesso complesso garantire che le decisioni prese da un sistema di Intelligenza Artificiale siano equanime e giuste. Nel settore sanitario, tuttavia, questa verifica è fondamentale poiché gli errori commessi dai sistemi di IA utilizzati in questo contesto possono avere conseguenze gravi o addirittura fatali sulla salute delle persone.
Da tempo si parla di trasparenza e comprensibilità degli algoritmi, principi che possono essere ricavati dagli articoli 5, 12 e 13 del GDPR. È importante sottolineare che la trasparenza richiesta è di natura sostanziale: non è necessario fornire agli interessati accesso diretto al codice del sistema, ma è importante consentire loro di comprendere la logica utilizzata dal sistema per prendere decisioni che li riguardano, in modo da poter individuare eventuali errori. La trasparenza è anche uno strumento fondamentale per consentire una corretta supervisione umana.
L’articolo 22 del GDPR stabilisce che gli interessati hanno il diritto di richiedere l’intervento umano nelle decisioni automatizzate che li riguardano e che hanno effetti significativi su di loro, salvo quando tale decisione è autorizzata dal diritto dell’Unione o dello Stato membro cui è soggetto il responsabile del trattamento e sono previste misure adeguate per proteggere i diritti, le libertà e gli interessi legittimi dell’interessato.
L’intervento umano rappresenta l’ultimo meccanismo di tutela per gli individui nel contesto dell’utilizzo dell’IA. Attraverso tale intervento, è possibile considerare le specificità delle singole situazioni, che altrimenti potrebbero essere facilmente perse nella logica statistica di un algoritmo. Inoltre, l’intervento umano durante la fase di addestramento dei sistemi può permettere di individuare in anticipo eventuali distorsioni (come nel caso dell’esempio dell’IA utilizzata negli Stati Uniti citato in precedenza) e trovare modi per correggerle, ad esempio integrando in modo mirato i dataset.
Conclusione
Nel decalogo conclusivo, il Garante della privacy sottolinea l’importanza di agire in accordo con l’etica per evitare decisioni che, sebbene possano sembrare legali e fattibili, potrebbero in realtà avere effetti discriminatori e dannosi sulla dignità umana e l’identità personale, soprattutto nei confronti di individui vulnerabili.
Di conseguenza, l’Autorità raccomanda di scegliere fornitori che non solo abbiano condotto una valutazione dell’impatto sulla protezione dei dati personali (DPIA) prima di commercializzare i propri prodotti, ma che abbiano anche effettuato una specifica valutazione sull’impatto dell’IA per garantirne la sicurezza, la trasparenza e l’affidabilità.
Inoltre, è importante considerare gli obblighi deontologici dei professionisti sanitari e applicarli correttamente anche nell’uso dell‘Intelligenza Artificiale nel settore sanitario. Ad esempio, è necessario regolamentare la situazione per evitare conflitti di interessi che potrebbero sorgere dall’utilizzo dei servizi di IA a causa di incentivi o conseguenze amministrative.
Il Garante italiano enfatizza che la validazione degli algoritmi dovrebbe garantire un miglioramento della qualità delle prestazioni del Servizio Sanitario Nazionale senza avere effetti negativi in termini sociali, deontologici ed etici per le persone coinvolte, oltre che sulla responsabilità professionale. Per questo motivo, si propone che le Autorità per la protezione dei dati personali del G7 sviluppino un modello etico distintivo per la governance dell’IA.
