AI: sfide e interconnessioni con le altre normative europee

Nonostante il grande potenziale dell'intelligenza artificiale per migliorare l'efficienza, la diagnosi e la cura dei pazienti, la sua implementazione nella pratica clinica procede lentamente a causa di significative criticità tecniche, organizzative e normative.

Lo Studio della Commissione Europea, commissionato dalla Direzione generale della salute, fornisce una panoramica completa, raggruppando le criticità in quattro categorie principali: tecnologiche e relative ai dati; legali e normative; organizzative e commerciali; sociali e culturali.

Dal documento, che identifica le "sfide" che maggiormente ostacolano il ricorso all'IA nel settore sanitario e i corrispondenti "acceleratori" (strategie per l'ottimizzazione degli strumenti di IA) è possibile estrapolare diverse interconnessioni cruciali con le normative vigenti e future relative alla gestione e protezione dei dati.

I punti di contatto più significativi riguardano la gestione dei dati sanitari, la sicurezza, la trasparenza e la conformità normativa.

Qualità e quantità dei dati

L'implementazione efficace dell'IA nel settore sanitario richiede l'utilizzo di un ampio set di dati, diversificati e di alta qualità per l'addestramento, il perfezionamento e il testing degli algoritmi. L'uso di dati sanitari – in quanto dati personali – solleva immediatamente la necessità di conformarsi ai requisiti previsti dalla normativa sulla data protection.

Conformità che si scontra con una prima difficoltà applicativa.

In particolare, per garantire che i modelli di IA siano robusti e performanti in contesti locali diversi, è fondamentale addestrarli su set di dati ampi ed eterogenei. La raccolta e l'elaborazione di tali volumi di dati relativi alla salute contrasta con il principio di minimizzazione di cui all’art. 5, par. 1, lett. c) del GDPR.

Un acceleratore chiave menzionato nello Studio è l'utilizzo di "sandbox di IA" (spazi di prova) che impiegano dati anonimizzati per valutare le prestazioni in modo standardizzato.

L'anonimizzazione è in questo contesto (testing dell'IA) una tecnica fondamentale per permettere l'innovazione minimizzando i rischi per i diritti e le libertà degli interessati. La sua efficacia deve essere però dimostrabile attraverso la conduzione di analisi del rischio di re-identificazione.

Anche lo spazio europeo dei dati sanitari (EHDS), istituito per favorire lo scambio di dati sanitari tra gli Stati membri dell’UE, crea una base solida per l’integrazione dell’IA nell’assistenza sanitaria. In particolare, l’ EHDS contiene disposizioni sia sugli usi primari che secondari dei dati sanitari, che potrebbero favorire l'integrazione dell'IA nella pratica clinica, contribuendo a migliorare l'accessibilità dei dati e l'accuratezza dei modelli di IA.

Sicurezza e resilienza delle infrastrutture

A fronte dell’indicazione fornita dalla Commissione di garantire la sicurezza delle nuove soluzioni avanzate per l’archiviazione dei dati, specialmente se basate su cloud, le infrastrutture IT obsolete sono identificate come una sfida significativa. Gli acceleratori suggeriscono di investire in sistemi ridondanti e resilienti, che garantiscano il funzionamento continuo e la disponibilità dei dati anche in caso di guasti. Ciò è direttamente correlato anche agli obblighi del titolare del trattamento (struttura sanitaria) di garantire un livello di sicurezza adeguato al rischio, inclusa la capacità di ripristinare tempestivamente la disponibilità e l'accesso ai dati personali in caso di incidente fisico o tecnico di cui all’art. 32 del GDPR.

Trasparenza, spiegabilità e monitoraggio

I temi della trasparenza e della spiegabilità sono centrali con riferimento al fenomeno della black box, in quanto la mancanza di giustificazione per le decisioni dell'IA ne disincentiva l'adozione. La soluzione proposta dalla Commissione europea è quella di sfruttare il quadro normativo esistente, in particolare l'AI Act (Regolamento sull'Intelligenza Artificiale), il quale richiede:

• che i sistemi di IA ad alto rischio (categoria in cui ricadono la maggior parte degli usi sanitari) siano progettati per essere sufficientemente trasparenti.
• agli utenti di essere in grado di interpretare i risultati e utilizzarli in modo appropriato.
• la conservazione di documentazione tecnica per garantire la tracciabilità del rispetto degli obblighi e facilitarne il monitoraggio.

La necessità di fornire linee guida chiare e concise che includano informazioni sul processo di sviluppo dell'algoritmo, sul trattamento dei dati e sulla chiara descrizione degli input e degli output del modello riflette poi il principio fondamentale di trasparenza di cui agli artt. 5 e 12 del GDPR, specialmente quando vengono elaborate decisioni automatizzate.

Il quadro normativo da considerare include anche il Regolamento sui Dispositivi Medici (MDR) e il Regolamento sui Dispositivi Medico-Diagnostici in Vitro (IVDR). Entrambi richiedono ai produttori di conservare solide prove cliniche e documentazione tecnica, contribuendo alla trasparenza sulle prestazioni e alla sicurezza dei dispositivi basati su IA, un requisito che incide direttamente sulla governance dei dati clinici utilizzati per la validazione.

Tra le sfide il documento annovera la mancanza di meccanismi di monitoraggio continuo post-deployment specificandone la differenza rispetto alla sorveglianza post commercializzazione richiesta dalle normative sui medical device con riferimento agli obblighi regolamentari in materia di tracciabilità e controllo anche dopo l'immissione sul mercato.

Mentre la sorveglianza post-commercializzazione si concentra sulla conformità, sulla segnalazione di sicurezza e sulla gestione degli eventi avversi per soddisfare gli standard normativi, il monitoraggio post-deployment enfatizza la valutazione continua delle prestazioni di uno strumento di intelligenza artificiale e del suo utilizzo in contesti reali. Ciò include il rilevamento di scostamenti prestazionali, la garanzia dell'allineamento con i flussi di lavoro clinici in evoluzione e il mantenimento dell'accuratezza nel tempo.

A differenza della sorveglianza normativa, che è tipicamente episodica e orientata alla conformità, il monitoraggio post-deployment richiede una supervisione continua e proattiva, adattata alla natura dinamica dei sistemi di intelligenza artificiale e ai loro ambienti operativi.

La valutazione post-deployment dovrebbe inoltre promuovere un approccio di monitoraggio olistico, combinando la raccolta di informazioni tecniche a quella di informazioni qualitative (soddisfazione degli utenti, feedback di medici e pazienti e allineamento con i flussi di lavoro clinici) per valutare l’effettiva efficacia dei sistemi di IA a rispondere alle esigenze locali e ad aumentare l’efficienza dell’assistenza erogata.

Responsabilità

Anche la responsabilità nell’uso dell’intelligenza artificiale (IA) in sanità è una tema che rallenta ancora la diffusione di queste tecnologie. La mancanza di regole chiare su chi è responsabile in caso di errori o danni causati dall’IA, insieme a indicazioni poco precise su come informare i pazienti e quando è necessario il loro consenso, crea incertezza e sfiducia.

Un recente aggiornamento della Direttiva Europea 2024/2853 ha ampliato l’ambito della responsabilità per danni anche a software, sistemi di IA e servizi digitali. Questa modifica normativa agevola il risarcimento alle vittime anche quando non è possibile dimostrare una colpa specifica rispetto a tecnologie complesse, autonome e poco trasparenti. Per questo è fondamentale che i sistemi di IA siano progettati con alti standard di sicurezza e qualità durante tutto il loro utilizzo.

Per aumentare la fiducia è poi necessario definire regole chiare su chi risponde degli errori e stabilire linee guida su come informare i pazienti quando l’IA viene impiegata per diagnosi o terapie, garantendo così un consenso informato al trattamento medico.

Infine, una soluzione pratica consiste nell’inserire clausole contrattuali che distribuiscano la responsabilità tra sviluppatori e strutture sanitarie, chiarendo chi è tenuto al risarcimento in caso di danni causati dall’IA.

Si tratta, a ben vedere, di passaggi essenziali per favorire un uso sicuro e responsabile dell’intelligenza artificiale nella cura della salute.

Rubrica "AI LEGAL, un prisma da comporre"

Leggi gli altri articoli presenti nella nostra rubrica dedicata.

VAI ALLA RUBRICA