L’autorità garante per la privacy ha pubblicato un decalogo per fornire indicazioni utili per la realizzazione di servizi sanitari a livello nazionale attraverso sistemi di intelligenza artificiale (IA).
Garante per la Protezione dei Dati Personali – Decalogo per la realizzazione di servizi sanitari nazionali attraverso sistemi di Intelligenza Artificiale
Anno 2023
Il documento pubblicato dal Garante per la Privacy contiene delle indicazioni che, ai sensi del Reg. 2016/679/UE (d’ora in poi GDPR), consentono la previsione di un corretto sistema di trattamento dei dati sanitari, effettuato per motivi di interesse pubblico, attraverso tecniche di intelligenza artificiale.
Il decalogo in questione è strutturato per specifici punti:
- Le basi giuridiche del trattamento di dati sulla salute attraverso sistemi di intelligenza artificiale vanno rinvenute nel GDPR e nel Codice della Privacy i quali impongono l’adozione di uno specifico quadro normativo che sia proporzionato alla finalità pubblica perseguita, rispetti l'essenza del diritto alla protezione dei dati personali e preveda misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi della persona coinvolta, specificando i tipi di dati che possono essere trattati e le operazioni realizzabili. Inoltre si dovrà tenere conto, tra le basi giuridiche rilevanti, anche del Regolamento (UE) in materia di intelligenza artificiale una volta approvato e entrato in vigore
- Nella realizzazione di sistemi di intelligenza artificiale in ambito sanitario devono essere perseguiti i principi di accountabilitye di privacy by design e by default previsti dal GDPR;
- Nell’ambito delle operazioni di trattamento dei dati personali occorre poi individuare correttamente i ruoli di titolare e, se del caso, di responsabile così come previsti dal GDPR;
- Sulla base delle disposizioni del GDPR e alla luce della recente giurisprudenza del Consiglio di Stato (sentenze VI sez., nn. 2270/2019, 8472/2019, 8473/2019, 8474/2019, 881/2020, e 1206/2021), i tre principi cardine che devono governare il trattamento in questione sono: a) il principio di conoscibilità, in base al quale l’interessato ha il diritto di conoscere l’esistenza di processi decisionali basati su trattamenti automatizzati; b) il principio di non esclusività della decisione algoritmica, secondo cui deve comunque esistere nel processo decisionale un intervento umano capace di controllare, validare ovvero smentire la decisione automatica; c) il principio di non discriminazione algoritmica, secondo cui è opportuno che il titolare del trattamento utilizzi sistemi di IA affidabili che riducano gli errori dovuti a cause tecnologiche e/o umane, verificandone periodicamente l’efficacia e ciò, anche al fine di garantire minimizzato il rischio di errori, visti i potenziali effetti discriminatori che un trattamento inesatto di dati sullo stato di salute può determinare nei confronti di persone fisiche;
- In accordo al GDPR, inoltre, è necessario che la previsione di un sistema centralizzato a livello nazionale attraverso il quale trattare dati sanitari con strumenti di IA, in quanto trattamento tra quelli “ad alto rischio”, sia preceduto da una valutazione d’impatto sulla protezione dei dati (cd. VIP) che consenta l’individuazione delle misure idonee a tutelare i diritti e le libertà fondamentali degli interessati e a garantire il rispetto dei principi generali del GDPR;
- La realizzazione di un sistema nazionale di IA destinato ad elaborare i dati sanitari di tutta la popolazione impone, poi, la garanzia circa l’esattezza dei dati trattati, dovendo il titolare del trattamento adottare tutte le misure ragionevoli per cancellarli o rettificarli tempestivamente;
- Ai fini del rispetto del principio di integrità e riservatezza dei dati (art. 5, par. 1, lett. f) del GDPR) è poi necessario che, nella descrizione dei trattamenti, siano puntualmente indicate le logiche algoritmiche utilizzate al fine di “generare” i dati e i servizi attraverso i suddetti sistemi di IA, le metriche utilizzate per addestrare la tecnologia e valutare la qualità del modello di analisi impiegato, le verifiche svolte per rilevare la presenza di eventuali bias e le misure correttive eventualmente adottate;
- In linea con i documenti internazionali e la giurisprudenza amministrativa sopra richiamata, uno dei pilastri da porre alla base dello sviluppo e utilizzo dei sistemi di IA è la correttezza e la trasparenza nei processi decisionali tramite l’adozione di una serie di misure ad hoc;
- Al fine di assicurare il rispetto del diritto di non essere assoggettato a una decisione basata esclusivamente su un trattamento automatizzato, si sottolinea la centralità del concetto di supervisione umana, non rimettendo quindi in toto la decisione alle macchine;
- Infine, poiché Il dibattito internazionale richiama con sempre maggiore attenzione la necessità che lo sviluppo dell’IA sia accompagnato da una costante attenzione ai profili etici del trattamento dei dati personali, nella predisposizione di tale sistema di trattamento dei dati sarebbe opportuno preferire fornitori che sin da subito si preoccupino di svolgere una valutazione di impatto sulla protezione dei dati prima della commercializzazione dei propri prodotti nonché che abbiano eventualmente anche condotto una specifica valutazione di impatto per l’IA, sicura, trasparente e affidabile.
Il testo del decalogo è disponibile nel box download.