Vuoi ricevere i nostri aggiornamenti?

Registrati per accedere ai contenuti riservati e iscriverti alla nostra newsletter
Registrati
Back

Analisi del decalogo del Garante Privacy sull'Intelligenza Artificiale in sanità

21/12/2023
Federica Pucarelli Maddalena Collini

 AI e Dati

Il “Decalogo per la realizzazione di Servizi Sanitari Nazionali attraverso sistemi di intelligenza artificiale” è il recente documento che il Garante Privacy ha pubblicato per evidenziare in dieci punti gli aspetti privacy più rilevanti per la corretta progettazione ed utilizzo della AI da parte del Sistema Sanitario Nazionale. Il focus è sui profili privacy legati alla progettazione ed utilizzo si sistemi intelligenti in sanità.

Abbiamo approfondito i principi di accountability e di privacy by design e by default in questo articolo

Oggi parliamo degli altri principali punti affrontati nel  Decalogo.

I principi di conoscibilità, non esclusività e non discriminazione algoritmica

Al punto n. 4 del Decalogo l’Autorità richiama i tre principi cardine che devono governare l’utilizzo di algoritmi e di strumenti di IA nell’esecuzione di compiti di rilevante interesse pubblico: conoscibilità, non esclusività e non discriminazione algoritmica.

Sul tema il Decalogo del Garante tiene conto non solo di alcune previsioni del GDPR e della giurisprudenza del Consiglio di Stato in materia di utilizzo di algoritmi di AI per l’adozione di decisioni di natura amministrativa, ma altresì delle norme e delle prescrizioni contenute nella Proposta di Regolamento per l’Intelligenza Artificiale (COM (2021) 206 final – d’ora in avanti “Regolamento AI”).

Circa il principio di conoscibilità, il Garante rammenta che l’interessato ha diritto a conoscere l’esistenza di decisioni basate su trattamenti automatizzati, nonché a ricevere informazioni sulla logica utilizzata per raggiungerle. Tale principio è espressione di quello più generale di trasparenza previsto dall’art. 5 GDPR, nonché del diritto dell’interessato di ricevere informazioni relativamente al trattamento dei propri dati personali (art. 13 e 14 GDPR).

Il secondo principio è quello di non esclusività della decisione algoritmica, il quale enuncia il dovere di mantenere un intervento umano per la convalida o la smentita della decisione finale presa in un primo momento dal sistema di IA (c.d. principio di human in the loop).

In sostanza, l’Autorità riprende e sviluppa quanto già disposto dal GDPR all’art. 22, in cui si fa espresso divieto di adottare decisioni esclusivamente basate sul trattamento automatizzato dei dati dell’interessato: previsione che si sostanzia quindi in un divieto generale che opera ex ante, e non in un mero diritto di opposizione ex post la cui attuazione viene lasciata all’iniziativa dell’interessato.

Infine, richiamando il Considerando n. 71 GDPR, il Decalogo enuncia il principio di non discriminazione algoritmica. Tale principio richiede che vegano utilizzati sistemi di IA affidabili che riducano le opacità e gli errori dovuti a cause tecnologiche o umane. Il rispetto di tale principio richiede una verifica periodica dell’efficacia del sistema stesso alla luce delle evoluzioni tecnologiche, matematiche e statistiche in materia e l’adozione di misure tecniche e organizzative adeguate. Ciò, in particolare, in ragione del potenziale effetto discriminatorio che un trattamento inesatto di dati sullo stato di salute può determinare nelle persone fisiche.

Tale previsione porta con sé rilevanti conseguenze per i fornitori di software, in particolare con riferimento alla pretesa di riservatezza dell’algoritmo posto alla base del sistema di IA.

La Valutazione d’impatto sulla Protezione dei dati (“VIP” o “DPIA”)

Il Decalogo riprende, al punto n. 5, l’obbligo imposto dal GDPR per i Titolari di svolgere una preventiva valutazione di impatto sul trattamento che “prevede in particolare l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche” (art. 35), e di consultare l´Autorità di controllo qualora le misure tecniche e organizzative individuate per mitigare l´impatto del trattamento sui diritti e le libertà degli interessati non siano ritenute sufficienti, ovvero quando il rischio residuale per i diritti e le libertà degli interessati resti elevato (art. 36).

A tale riguardo, si ricorda che il Gruppo di Lavoro ex art. 29 ha pubblicato le Linee-guida concernenti la valutazione di impatto sulla protezione dei dati che contengono i criteri per stabilire se un trattamento “possa presentare un rischio elevato” e per i quali sarà appunto obbligatorio condurre una VIP.

Come ricordato dall’Autorità, infatti, la previsione di un sistema centralizzato a livello nazionale attraverso il quale realizzare servizi sanitari con strumenti di IA, determina un trattamento a “rischio elevato” per i diritti e le libertà degli interessati, dal momento che si tratta di un trattamento:

  • sistematico,
  • su larga scala,
  • di particolari categorie di dati personali di cui all’art. 9 del Regolamento,
  • di soggetti vulnerabili,
  • attraverso l’uso di nuove tecnologie.

La valutazione di impatto costituisce allora uno strumento fondamentale per l’individuazione delle misure idonee a tutelare i diritti e le libertà fondamentali degli interessati e a garantire il rispetto dei principi generali del Regolamento, nonché per consentire l’analisi della proporzionalità dei trattamenti effettuati.

Trattandosi di adempimento dinamico, non sarà possibile svolgere una valutazione d’impatto una tantum, ma occorrerà necessariamente prevedere strumenti di monitoraggio e aggiornamento di tale valutazione.

L’Autorità infine precisa i potenziali rischi derivanti dalla costituzione e utilizzo di una banca dati contenente le informazioni sanitarie di tutta la popolazione assistita sul territorio nazionale, quali ad esempio quelli relativi alla “perdita dei requisiti di qualità dei dati (es. mancato o errato allineamento e aggiornamento), alla revoca del consenso, ove lo stesso costituisca la base giuridica del trattamento originario, alla re-identificazione dell’interessato in considerazione delle possibili interconnessioni con molteplici sistemi informativi e banche dati e all’utilizzo dei dati per finalità non compatibili”.

Qualità dei dati

Sulla qualità dei dati, il Garante al punto n. 6 del Decalogo richiama l’obbligo per il Titolare di garantire che i dati siano esatti e, se necessario, aggiornati, adottando tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati non corretti rispetto alle finalità per le quali sono trattati (principio di «esattezza», di cui all’art. 5, par. 1, lett. d), del Regolamento).

Il principio della qualità dei dati mira, infatti, a tutelare anche l’efficacia e la correttezza dei servizi sanitari, evitando che gravi danni alla salute possano derivare dall’elaborazione di dati raccolti per finalità di cura che siano eventualmente diventati inesatti o non siano aggiornati con il passare del tempo, oppure che non siano adeguatamente rappresentativi della realtà in cui il sistema di IA è destinato ad operare. Ciò rispetta il noto principio garbage in – garbage out, secondo cui se il dataset fornito in fase di addestramento dell’algoritmo o del sistema di IA è viziato e dunque composto da dati non corretti o non aggiornati, anche il prodotto finale e la decisione presa dall’IA sarà inevitabilmente non corretta.

A tale scopo, la valutazione d’impatto dovrà quindi necessariamente tenere in considerazione gli specifici rischi, quali ad esempio la discriminazione, legati all’elaborazione dei dati attraverso sistemi di IA.

Integrità e riservatezza

Anche il punto n. 7 del Decalogo riprendono principi generali già previsti dal GDPR. Il Garante coglie l’occasione per approfondire i principi citati e porre un forte accento sulla concretezza delle valutazioni che ciascun Titolare è tenuto a svolgere. Non è sufficiente, infatti, adottare misure di sicurezza standard rispetto al rischio calcolato, ma al contrario è necessario valutare in concreto i rischi per i diritti e le libertà degli interessati derivanti dai trattamenti in esame: ciò significa, specifica l’Autorità, che è fondamentale tenere in considerazione le caratteristiche delle banche dati di volta in volta utilizzate e i modelli di analisi impiegati. L’attenzione è ancora maggiore se i trattamenti riguardano dati sanitari, su larga scala, di soggetti vulnerabili che possono portare all’adozione di decisioni automatizzate.

Per rimanere su un piano sostanziale, quando si parla di AI e di machine learning, uno dei principali rischi da tenere in considerazione è quello della potenziale opacità nella fase di sviluppo degli algoritmi, errori e distorsioni (cc.dd. bias). Mitigare tali rischi significa, anzitutto, rendere trasparenti le logiche algoritmiche utilizzate al fine di “generare” i dati e i servizi attraverso i sistemi di IA, le metriche utilizzate per addestrare il modello, le verifiche per il rilevamento e la correzione dei bias.

Correttezza e trasparenza

La necessità di chiarire le logiche algoritmiche ben si collega al principio di trasparenza approfondito al punto n. 8 del Decalogo. In particolare, è richiamato il concetto di “consapevolezza” che deve crescere nella collettività – in particolare tra gli assistiti del Sistema Sanitario Nazionale – in relazione all’impiego di sistemi intelligenti nel percorso di cura.

A questo proposito, il Garante elenca le informazioni che dovrebbero essere rese pubbliche al fine di rendere più trasparente, a partire dal coinvolgimento degli stakeholder e degli interessati, alla pubblicazione di un estratto della valutazione di impatto, alla redazione di informative chiare e complete di elementi aggiuntivi rispetto a quelli imposti dalle norme (ad esempio, l’indicazione dei vantaggi diagnostici e terapeutici, derivanti dall’utilizzo di tali nuove tecnologie).

Supervisione umana e dignità della persona

Il Decalogo si chiude con due concetti legati tra loro e di fondamentale importanza, tanto da essere costantemente presenti nei dibattiti e nei dialoghi aventi ad oggetto l’IA. La necessità di una costante supervisione umana si intreccia infatti con i temi etici legati al ricorso di tecnologie intelligenti, e porta il Titolare a dover tenere sempre presente il diritto di ogni persona di non essere assoggettato a una decisione basata esclusivamente su un trattamento automatizzato. Per questo motivo la supervisione deve essere costante, sia nella fase di addestramento del software, sia durante il suo utilizzo. Questo al fine di garantire un trattamento – non solo di dati personali ma anche terapeutico – non discriminatorio, etico, di qualità

Rubrica "AI LEGAL, un prisma da comporre"

Leggi gli altri articoli presenti nella nostra rubrica dedicata.

VAI ALLA RUBRICA
Sanità Digitale Privacy
Share

Visita il nostro portale dedicato alla privacy in sanità

Vai

Rubrica AI LEGAL, un prisma da comporre

Visita