Vuoi ricevere i nostri aggiornamenti?
AI ed esattezza dei dati: il quadro giuridico è sufficiente?
Uno dei temi di maggior discussione nel settore dell’Intelligenza Artificiale in sanità è quello della esattezza dei dati: la c.d. data accuracy.
Ma che cosa si intende esattamente con tale locuzione?
Quando si parla di data accuracy nell’ambito della AI si va ben oltre la nozioni di “precisione” ed ”aggiornamento” dei dati, per arrivare ad indicare alla esattezza della “modellazione statistica del software”: vale a dire valutare quante volte un sistema di IA indovina la risposta che può essere considerata corretta in relazione ai dati inseriti ed al sistema di elaborazione dello stesso software di AI.
In sostanza la nozione di data accuracy nei sistemi di AI riguarda non solo i dati inseriti, ma anche la logica ed il funzionamento dello stesso software di AI nonchè l’output finale di tale elaborazione[1].
L’assoluta rilevanza di tale processo nell’AI in sanità è poi palese: l’”esattezza” della risposta fornita dal software può incidere direttamente sul paziente o sulla decisone che il medico assume in relazione al paziente stesso, quindi in entrambi casi sulla salute del paziente.
Con tutte le conseguenti problematiche di responsabilità civile che ne possono derivare.
Quali giuristi occorra allora domandarsi se il nostro ordinamento offre oggi un quadro giuridico sufficiente a disciplinare e garantire che i sistemi di AI siano “data accuracy” nel senso lato sopra indicato.
È opinione di chi scrive che - seppure complesso e sempre migliorabile – il quadro giuridico attuale offra strumenti di regolamentazione ragionevolmente adeguati a garantire la data accuracy nella AI in sanità.
Le risposte infatti vanno ricercate da una parte nella disciplina del Reg. Ue 2016/679 (c.d. GDPR) sulla protezione dei dati e dall’altra nel nuovo Reg. UE 2017/745 (c.d. MDR) sui dispositivi medici. Più precisamente.
Data Accuracy nel GDPR
Il GDPR ha come obiettivo non solo di uniformare la legislazione degli Stati membri in materia di protezione dei dati, ma anche di fornire risposte in un panorama tecnologico fortemente innovativo. Lo stesso GDPR, nei primi Considerando, opera una sorta di disclosure ammettendo come “la rapidità dell’evoluzione tecnologica e la globalizzazione comportano nuove sfide per la protezione dei dati personali” (Considerando n.6) e che “tale evoluzione richiede un quadro più solido e coerente” (Considerando n.7).
Il GDPR si presenta dunque non come un sistema chiuso e finito, ma come un sistema di norme che dialogano le une con le altre: norme in parte precise e cogenti, e, in parte, programmatiche e di indirizzo.
Grazie a tale “duttilità” del GDPR e ad una lettura dialettica delle norme tra di loro, il Regolamento può dimostrarsi in grado di fornire quegli strumenti necessari a ricavare soluzioni anche a problemi nuovi, che non esistevano al momento in cui il legislatore europeo ha redatto le norme del Regolamento stesso o che, in quel momento, apparivano ancora lontani.
Per riuscire nell’intento, è utile leggere i principi che guidano il suo tessuto normativo come una catena di valori a cui ogni altra norma deve essere saldamente legata: solo questa lettura delle norme permette di costruire un quadro normativo dinamico, in grado di accogliere e sviluppare un percorso capace di guidare l’interprete in terreni più o meno inesplorati.
In questo senso il GDPR offre senza dubbio un quadro molto ricco che, a parere di chi scrive, permette di dare risposte alla necessità di esattezza dei dati ed altresì ai bisogni di eticità del sistema.
Cardine dell’intero GDPR è l’art. 5 sui principi di trattamento.
Tale articolo prevede che i dati debbano essere trattati in modo “corretto” e “trasparente” nei confronti dell’interessato (art. 5 lett. a) e che i dati debbano essere “esatti” ed “aggiornati” (art. 5 lett. d) .
Nell’ambito dell’AI tali principi – correttezza, trasparenza ed esattezza dei dati – vanno letti in strettissima connessione tra loro.
Il principio di esattezza del dato impone (in generale) che ogni dato trattato sia esatto e che siano adottate tutte le misure ragionevoli e necessarie per la rettifica dei dati inesatti.
Nel campo dell’AI l’esattezza del dato deve essere vista come necessità iniziale e obiettivo finale, così che l’esattezza rappresenti la caratteristica fondamentale dell’intero percorso del dato stesso: l’ “intelligenza” di una macchina dipende, infatti dalle informazioni con cui essa è alimentata e che la stessa processa: palese dunque che se fornisco alla macchina dati scorretti o non precisi, questa mi restituirà ovviamente risultati non precisi. Ciò sia nel caso in cui il sistema si limiti a restituire dati mediante un processo di input – output, sia, a maggior ragione, ove il sistema sia in grado di imparare ed evolvere sulla base dei dati che conosce e tratta.
Il principio di correttezza coinvolge invece il processo di trattamento stesso. Ed il rispetto di tale principio – nella sua ampiezza interpretativa – finisce con il coprire anche gli aspetti di natura etica.
Molto correttamente l’ICO – Information Commisioner’s Office nella Guidance on AI e data protection nella parte relativa a How do the principles of lawfulness, fairness and transparency apply to AI? così afferma
"... if you use an AI system to infer data about people, in order for this processing to be fair, you need to ensure that:
- the system is sufficiently statistically accurate and avoids discrimination; and
- you consider the impact of individuals’ reasonable expectations."
Ora, i due semplici richiami all’evitare discriminazioni ed al rispetto della “ragionevole aspettativa” dell’interessato sembrano racchiudere molti degli aspetti relativi all’eticità del software[2]. Ne deriva che il rispetto del principio di correttezza dei dati di cui all’art. 5 GDPR comporta – in sostanza – il rispetto dei principi di eticità del trattamento.
L’intero processo deve poi essere trasparente, nel senso che l’interessato dovrebbe essere nelle condizioni di potere capire come i dati e le informazioni vengono processati: infatti, solo ciò che è trasparente è valutabile e, quindi, passibile di fiducia e di affidamento da parte del singolo interessato e, infine, della collettività.
Quest’ultimo profilo appare senza dubbio tra i più complessi.
La catena dei principi espressi nel GDPR che devono guidare il mondo dello sviluppo dell’intelligenza artificiale sembrano quindi indicare una strada coerente e logica, seppure nessuno voglia negarne la complessa applicazione pratica
L’intero processo poi – non solo la progettazione del sistema di AI ma anche il suo utilizzo – deve essere realizzati sotto l’ombrello di un’altra norma cardine del GDPR: l’art. 25 GDPR.
Tale norma prevede il rispetto dei principi di privacy by design e by default
Vale a dire che titolari e innovatori, ancor prima dell’inizio del trattamento e già in fase di progettazione del sistema, devono pensare e definire finalità ed obiettivi del trattamento, individuando i dati che occorrono per raggiungere tali obiettivi, stabilendo quali dati sono indispensabili, nonché prevedendo il funzionamento della sistema e definendo le regole di comportamento dell’uomo che opera sul sistema.
Ne consegue che i concetti di privacy by design e by default precedono ed accompagnano, in termini concettuali e temporali, il rispetto dei principi di esattezza, correttezza e trasparenza.
La combinazione dunque dei principi di privacy by design e by default, dell’esattezza dei dati in entrata, della correttezza del metodo di processamento e della trasparenza nei confronti dell’interessato permette di ottenere dati in uscita che potremmo definire di qualità.
La qualità in senso lato può essere vista come la caratteristica del dato processato dall’intelligenza artificiale ove lo stesso perfettamente compliant ad ogni principio ed obiettivo del Regolamento. La qualità diventa così il metro, utilizzato da titolari e innovatori, per misurare il corretto funzionamento delle macchine che sfruttano l’intelligenza artificiale.
Data Accuracy nel MDR
Nella AI in sanità, il quadro giuridico sopra esposto si interseca (o meglio si completa) con le norme del nuovo Reg.UE 2017/745 in materia di dispositivi medici (c.d. MDR).
In primo luogo preme precisare che i software di AI devono senza dubbio rispettare la disciplina del MDR, rientrando nella definizione di dispositivo medico ex art. 1 lett. 1) MDR (in quanto possono agire direttamente sull’uomo) oppure nella definizione di “accessorio di dispositivo medico” ex art. 2 lett. 2 MDR (in quanto possono essere di ausilio alla decisione del medico): per gli aspetti rilevanti in questa sede poi l’MDR trova identica applicazione per entrambe le fattispecie.
Dato atto di quanto sopra, rileva poi evidenziare che il software di AI potrà essere immesso in commercio solo ove rispetti i Requisiti Generali di Sicurezza e Prestazione di cui all’Allegato I (art. 5 comma 2 MDR) e che tale rispetto deve altresì essere provato e dimostrato tramite specifica Valutazione Clinica (art 5 comma 2).
Sul punto appare poi di ampio rilievo segnalare la circostanza che i requisiti di cui all’Allegato I non sono solo di sicurezza ma sono anche di prestazione e che la prestazione clinica è definita all’art. 2 lett. 52 come la
52) la capacità di un dispositivo, dovuta a effetti medici, diretti o indiretti, derivanti dalle sue caratteristiche tecniche o funzionali, ivi comprese diagnostiche, di ottenere la destinazione d'uso dichiarata dal fabbricante, procurando in tal modo un beneficio clinico per i pazienti, quando è utilizzato come previsto dal fabbricante;
Quindi ai sensi del MDR il software di AI può essere immesso in commercio solo ove il fabbricante sia in grado di dimostrare il suo beneficio clinico: vale a dire la risposta clinicamente corretta che nei fatti è l’output dei dati inseriti e lavorati secondo la modellazione statistica progettata.
Infine la prestazione clinica (cioè il beneficio clinico) deve essere provata attraverso una specifica Valutazione Clinica (art. 61 e Allegato XIV dell’ MDR) che nel caso del software dovrà seguire le specifiche indicazione del recente documento emanato dal Medical device coordination Group MDCG 2020-1 Guidance on Clinical Evaluation (MDR) / Performance Evaluation (IVDR) of Medical Device Software.
Conclusioni
Dal quadro giuridico sopra ricostruito emerge che i software di AI devono rispettare sia le regole del GDPR che quelle dal MDR.
L’applicazione combinata delle due discipline comporterà non solo l’obbligo di garantire la data accuracy (nel senso lato riportato) ma anche un beneficio clinico per il paziente, attraverso l’output del software di AI.
È opinione di chi scrive quindi che il quadro giuridico sia oggi, nella sua impalcatura teorica, “sufficiente” ed “adeguato” per indicare la strada giusta ai progettisti e fabbricanti di AI ed altresì per creare nella classe medica e nel paziente quel clima di fiducia che può consentire lo svulippo dei sistemi.
Palese ed innegabile però che trattandosi di materia nuova, complessa e multidisciplinare l’applicazione pratica richiede studio e competenze.
Note:
[2] Sui principi di eticità nella AI si richiama la ETHICS GUIDELINES FOR TRUSTWORTHY del HIGH-LEVEL EXPERT GROUP ON ARTIFICIAL INTELLIGENCE AI che opera all’interno della Commissione UE.