IA in Sanità: le linee guida di Garante privacy e OMS

L’utilizzo dell’intelligenza artificiale impone, soprattutto in ambito sanitario, numerose riflessioni che, anche grazie alla spinta data dal legislatore europeo mediante l’elaborazione di una Proposta di Regolamento (UE) sull’intelligenza artificiale (“AI Act”), stanno animando il dibattito sul tema.

Per garantire un utilizzo etico e sicuro dell’IA in sanità, è infatti fondamentale definire un quadro normativo chiaro ed efficace.

Per questo, il Garante per la protezione dei dati personali ha recentemente pubblicato un decalogo che pone i principi fondamentali per l’uso dell’IA nel settore sanitario. Al contempo, l’Organizzazione Mondiale della Sanità lavora a linee guida specifiche per orientare le pratiche a livello globale. L’esigenza è armonizzare le regole in un contesto così sensibile e complesso, senza frenare l’innovazione ma garantendo il pieno rispetto dei diritti degli individui.

IA in Sanità, prospettive e timori

Da un lato, infatti, l’intelligenza artificiale rappresenta un’interessante frontiera di sviluppo, che potrebbe favorire il miglioramento delle tecniche di cura e dei sistemi di prevenzione, ma anche consentire una più efficace allocazione delle risorse nel settore.

Dall’altro, tuttavia, non mancano i timori legati alle conseguenze di possibili errori e a un utilizzo non corretto dei sistemi di intelligenza artificiale. Per evitare che tali timori si traducano in un freno totale allo sviluppo della tecnologia senza che tuttavia vi sia un’indebita compressione dei diritti e delle libertà degli individui, il legislatore europeo ha deciso di individuare principi e regole che ne guidino l’evoluzione a livello comunitario, qualificando i sistemi di intelligenza artificiale utilizzati nel settore sanitario come “ad alto rischio” così assoggettandoli a obblighi stringenti.

Si collocano in tale contesto due iniziative di recente assunte dall’autorità italiana Garante per la protezione dei dati personali (“Garante”) e dall’Organizzazione Mondiale della Sanità (“OMS”), che non soltanto dimostrano l’intenzione di favorire lo sviluppo regolamentato dell’IA, ma testimoniano anche l’esistenza già ora di principi comuni sulla base dei quali costruire la nuova disciplina.

Tali principi ruotano intorno al concetto di intelligenza artificiale antropocentrica ed etica, che sia affidabile e garantisca in ogni circostanza la tutela dell’uomo e dei suoi diritti.

L’uso di sistemi di IA nel servizio sanitario nazionale: il decalogo del Garante

Il 12 ottobre 2023, il Garante ha pubblicato un decalogo contente le regole e i principi da seguire per l’utilizzo dell’AI nell’ambito del servizio sanitario nazionale^[1], declinando i principi che regolano il trattamento dei dati personali ai sensi del Regolamento (UE) 679/2016 (“GDPR”) nel caso di implementazione di tali sistemi.

Il Garante sottolinea la centralità dell’accountability, che deve essere necessariamente accompagnata da un utilizzo etico dei sistemi di AI, anche tenendo conto anche dei doveri deontologici che gli operatori sanitari sono tenuti ad osservare. Ad esempio, potrebbero assumere particolare importanza eventuali raccomandazioni elaborate dagli ordini professionali e dai comitati etici.

Basi giuridiche e i ruoli delle parti

La base giuridica del trattamento deve essere individuata secondo il combinato disposto dell’articolo 22 del GDPR, che detta la disciplina applicabile nel caso di decisioni automatizzate, e le regole specifiche previste dalla normativa nazionale sulla protezione dei dati personali per questo settore.

L’articolo 22, infatti, stabilisce che le decisioni automatizzate ivi inclusa la profilazione, non possono basarsi sul trattamento di dati relativi alla salute, eccetto nel caso in cui il soggetto interessato abbia prestato il proprio consenso o i dati siano trattati per ragioni di pubblico interesse, secondo quanto previsto dalla disciplina di ciascun Stato Membro. A tal proposito, l’articolo 2-sexies del Codice Privacy^[2] stabilisce che il trattamento dei dati relativi alla salute è consentito laddove previsto da una disposizione di legge dell’Unione Europea o dell’ordinamento nazionale. Vale la pena notare come, a seguito delle modifiche introdotte nel 2021, possano essere considerati tali anche i regolamenti e gli atti amministrativi generali, nella misura in cui specifichino i tipi di dati che possono essere trattati, le operazioni eseguibili, il motivo di interesse pubblico rilevante e le misure specifiche e appropriate per la protezione dei diritti e delle libertà fondamentali degli individui.

Il titolare, inoltre, deve garantire che qualsiasi soggetto terzo cui vengono comunicati i dati utilizzi le basi giuridiche appena descritte. A tal fine, i ruoli delle parti devono essere individuati in maniera adeguata, facendo particolare attenzione sia agli obblighi giuridici che alle attività effettivamente svolte dai soggetti coinvolti nel trattamento.

Privacy-by-design e privacy-by-default

Il principio di privacy-by-design impone che siano implementate misure tecniche ed organizzative adeguate a garantire che il trattamento sia proporzionato all’interesse pubblico perseguito, e ad assicurare l’integrità e la riservatezza dei dati, proteggendoli da trattamenti non autorizzati o illegittimi, perdita accidentale, distruzione o danno. I rischi devono essere valutati alla luce delle caratteristiche dei database e dei modelli di analisi.

Particolare attenzione è rivolta ai possibili bias derivanti dall’utilizzo di tecniche di machine learning. Tali rischi, correlati non solo alla qualità dei dati utilizzati per allenare i sistemi di AI, ma anche alla logica applicata dagli algoritmi, possono essere mitigati eseguendo una Valutazione d’impatto sulla protezione dei dati (“DPIA”), nonché fornendo informazioni significative circa la logica algoritmica utilizzata per generare i dati e fornire i servizi mediante i sistemi di AI implementati.

Principi fondamentali nell’uso degli algoritmi: la giurisprudenza del Consiglio di Stato

Il Garante ha individuato tre principi fondamentali da applicare all’utilizzo degli algoritmi in settori di pubblico interesse, basandosi sull’orientamento seguito dalla giurisprudenza del Consiglio di Stato negli ultimi anni:

• Principio di conoscibilità, con il quale si fa riferimento al diritto degli individui di essere a conoscenza dell’esistenza di strumenti di decisione automatica ed essere informati in merito alla logica sottostante. A riguardo, il Garante ha individuato una serie di misure idonee a garantire la trasparenza dei sistemi, quali:
• garantire che la base giuridica del trattamento sia chiara, prevedibile e conoscibile da parte dei soggetti interessati;
• consultare gli stakeholders e i soggetti interessati nello svolgimento della DPIA;
• pubblicare, anche solo parzialmente, i risultati della DPIA;
• fornire ai soggetti interessati informazioni chiare, semplici e concise, ai sensi degli articoli 13 e 14 GDPR;
• fornire ai soggetti interessati informazioni ulteriori, quali, ad esempio, la fase in cui il trattamento è realizzato (i.e. training o fase applicativa), se i professionisti sanitari sono obbligati ad utilizzare sistemi basati sull’intelligenza artificiale e i benefici diagnostici e terapeutici;
• assicurare che gli strumenti per il trattamento dei dati utilizzati per finalità terapeutiche siano adottati solo su richiesta di professionisti sanitari;
• disciplinare la responsabilità dei professionisti sanitari relativamente alla scelta di affidarsi a sistemi di intelligenza artificiale per trattare i dati relativi alla salute dei propri pazienti.

Secondo la citata giurisprudenza del Consiglio di Stato^[3], l’algoritmo può essere considerato “conoscibile” quando può essere garantita la conoscibilità sia degli autori, che del procedimento utilizzato per l’elaborazione dell’algoritmo, nonché del meccanismo di decisione, delle priorità assegnate nella procedura di valutazione e, infine, dei dati considerati rilevanti.

Sul punto si è peraltro espressa di recente anche la Corte di Cassazione^[4] che, in una recente pronuncia (per la verità abbastanza discussa) ha ribadito la necessità che, affinché il consenso prestato al trattamento dei propri dati personali mediante un algoritmo possa dirsi lecito, all’utente venga descritto, in modo chiaro e dettagliato, il funzionamento dell’algoritmo.

Tutti questi elementi vengono infatti considerati indispensabili a garantire la concreta possibilità per il soggetto interessato di opporsi alla decisione.

• Principio di non esclusività, volto a garantire che una persona fisica abbia sempre il controllo sulle decisioni automatizzate (i.e. “human in the loop”), soprattutto nella fase di allenamento degli algoritmi.

• Principio di non discriminazione algoritmica, che indica la necessità di utilizzare solo sistemi di intelligenza artificiale affidabili e di verificarne periodicamente l’accuratezza, al fine di mitigare il rischio di errori e discriminazioni. Questo principio è strettamente correlato all’affidabilità dei sistemi di intelligenza artificiale, che dipende non solo dalla qualità dei dati, che devono essere corretti e aggiornati, ma anche dai parametri su cui è basato il funzionamento dell’algoritmo.

La DPIA

Il Garante ha infine evidenziato l’importanza dello strumento DPIA, sia ai fini della valutazione del livello di rischio per i diritti e le libertà dei soggetti interessati, che dell’identificazione di misure adeguate a mitigare tale rischio.

Nello specifico, la DPIA dovrebbe essere redatta tenendo in debito conto i rischi correlati al trattamento di dati relativi alla salute su larga scala (in quanto riferiti all’intera popolazione nazionale), nonché di quelli connessi all’utilizzo di algoritmi utilizzati per individuare tendenze generali del comportamento. Inoltre, il Garante ha sottolineato la necessità di tenere in considerazione nell’ambito dello svolgimento della DPIA i rischi correlati ad attività di profilazione finalizzate all’adozione di decisioni automatizzate che abbiano un impatto sulla condizione di salute degli individui.

Le linee-guida dell’Organizzazione Mondiale della Sanità

Solo pochi giorni dopo la pubblicazione del decalogo da parte del Garante, anche l’OMS ha diffuso delle linee-guida volte ad individuare i principi chiave da applicare all’utilizzo dell’intelligenza artificiale nel settore sanitario^[5], assumendo nei fatti posizioni molto simili a quelle enunciate dal Garante.

Lo scopo dichiarato è favorire lo sviluppo di sistemi affidabili, tenendo in considerazione i benefici che sarà possibile trarre dal loro utilizzo, in termini di miglioramento delle sperimentazioni cliniche, delle diagnosi e dei trattamenti, nonché della cura della persona in senso lato.

In generale, l’OMS fa riferimento alla necessità di garantire il rispetto della privacy e della protezione dei dati personali sin dalla progettazione del sistema di intelligenza artificiale, nonché all’importanza di assicurare la gestione del rischio per tutto il ciclo di vita del prodotto.

Viene Inoltre evidenziata l’importanza del principio di trasparenza, inteso come obbligo di documentare sia le finalità e lo sviluppo del processo, che il modo in cui il sistema viene utilizzato. In particolare, occorre dare atto della metrica e dei database utilizzati (che dovranno essere sufficientemente rappresentativi), nonché degli standard di riferimento e delle eventuali modifiche apportate nel corso del trattamento. Centrale è, anche secondo l’OMS, la qualità dei dati, indispensabile ad evitare errori e bias nei risultati prodotti dai sistemi.

Conclusioni

Le linee-guida dell’OMS e del Garante rappresentano senz’altro un pezzo importante nell’evoluzione dell’IA e, soprattutto, un punto di riferimento di cui si dovrà tenere conto non soltanto nello sviluppo e utilizzo di tali sistemi, ma anche in sede di elaborazione normativa. Un profilo, quest’ultimo, messo in luce dalla stessa OMS nelle proprie conclusioni, sottolineando la necessità non soltanto di ridurre il gap fra sviluppo della tecnologia e regolamentazione, ma anche di favorire la creazione di un quadro normativo coerente a livello internazionale.

[1] Il decalogo è disponibile sul sito del Garante al seguente link: https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9938038.

[2] Decreto legislativo n. 196/2003.

[3] Cons. di Stato, sent. No. 2270/2019; sent. 8472/2019, sent. 8473/2019, sent. 881/2020; sent. 1260/2021.

[4] Cass. Sez. I, civ., sent. No. 28358/2023.

[5] Le linee-guida sono disponibili sul sito dell’OMS e consultabili attraverso il seguente link: https://iris.who.int/handle/10665/373421.