Recentemente l’Unione Europea ha ritenuto opportuno analizzare la tematica del trattamento dei dati personali attraverso l’Intelligenza Artificiale (IA).
In particolare, sono stati individuati sistemi di IA c.d. ad alto rischio, con riferimento alla tipologia di dati trattati e l’elevato grado di minaccia a cui i connessi diritti e libertà del singolo interessato sono sottoposti. Fanno parte di tale categoria anche quei sistemi di IA che trattano dati relativi alla salute ed alla fruizione di servizi sanitari.
AI Act: la proposta del Parlamento europeo e il Consiglio
Il Parlamento europeo e il Consiglio hanno recentemente emanato una proposta di Regolamento, l’AI Act (ne abbiamo parlato in questo articolo), che intende fornire regole armonizzate sull’IA a livello europeo, riconoscendo la particolare delicatezza di alcune tipologie di dati, come quelli sanitari.
Tale proposta si pone altresì l’obiettivo di introdurre, come ulteriore strumento a tutela dei dati sanitari da parte di sistemi di IA, l’obbligo per il responsabile del trattamento di procedere ad una preventiva valutazione di impatto sulla protezione (VIP) al fine di analizzare l’effettiva e uniforme tutela dei diritti e delle libertà fondamentali degli interessati correlati al trattamento dei loro dati personali in ambito sanitario.
Sulla scia del virtuoso obiettivo posto a livello comunitario, il Garante nazionale, competente per la protezione dei dati personali, ha stilato un decalogo in cui si dà contezza dei principi fondamentali ispiratori che regoleranno l’attività dell’IA in relazione ai dati sanitari.
In particolare, il Garante, richiama preliminarmente i principi di carattere generale, già riconosciuti in materia di trattamento dei dati, integrandoli con ulteriori principi ad hoc in relazione alla specificità dei dati trattati.
Dati sanitari e intelligenza artificiale: il Decalogo del Garante Privacy
Il Garante nazionale ha enucleato tre principi cardine al fine di tutelare i dati sanitari degli interessati e garantire il corretto trattamento degli stessi da parte degli algoritmi e degli strumenti di IA nell’ambito dell’esecuzione di compiti di rilevante interesse pubblico, quale è il servizio sanitario.
Principio di conoscibilità
Tale principio stabilisce il diritto dell’interessato ad essere informato rispetto all’esistenza di processi decisionali basati su trattamenti automatizzati e alla logica utilizzata all’interno degli stessi processi al fine di comprenderla. Il presente principio risulta essere l’estrinsecazione del più ampio principio generale relativo al trattamento eticamente corretto e trasparente vigente in materia di trattamento dei dati personali.
Principio di non esclusività della decisione algoritmica
Il presente principio stabilisce che nel processo decisionale debba essere garantito l’intervento umano al fine di controllare, validare ovvero smentire la decisione automatica proposta dal sistema di IA. A tal proposito, le Autorità competenti in materia di trattamento dei dati, sia a livello comunitario che nazionale, hanno riconosciuto l’insostituibilità della supervisione umana e la necessità di evitare che gli interessati siano assoggettati ad un trattamento meramente automatizzato.
Tale indirizzo è giustificato dal fatto che la correttezza delle predizioni dei sistemi IA non è sempre garantita, ma dipende dalla qualità e dalla precisione delle informazioni fornite al sistema per il relativo addestramento. Pertanto, soprattutto durante la fase di istruzione dei sistemi di IA, è necessario che sia mantenuto come ruolo centrale quello dell’uomo e, nel caso di specie, del professionista sanitario.
Principio di non discriminazione algoritmica
Secondo cui il titolare del trattamento deve utilizzare sistemi di IA affidabili e periodicamente aggiornati, mettendo in atto misure tecniche e organizzative adeguate al fine di minimizzare il rischio di errori dovuti a cause tecniche e/o umane, visti i potenziali effetti discriminatori che un trattamento inesatto di dati sullo stato di salute, o ad esso correlato, può determinare nei confronti dei singoli individui. Il principio in questione è ricompreso nel più ampio principio di esattezza, secondo il quale il titolare del trattamento deve garantire che i dati trattati siano esatti ed aggiornati, in modo tale da fornire un efficiente e corretto svolgimento dei servizi.
Conclusioni
Alla luce di quanto sopra, è possibile affermare la centralità della questione relativa al trattamento dei dati personali da parte di sistemi di IA in relazione ai servizi sanitari. Se da un lato la scelta di applicazione dell’IA in detto settore risulta essere molto virtuosa, dall’altro lato, essa richiede una particolare attenzione con riferimento alla relativa attuazione, vista l’elevata sensibilità dei dati coinvolti.
Pertanto, la stretta osservanza dei principi sopra delineati e delle misure poste a tutela risulta assumere un carattere di essenzialità.
Elena Bandinelli