Vuoi ricevere i nostri aggiornamenti?
DDL Intelligenza Artificiale e sanità
AI e Sanità
Quali sono le proposte del nostro Governo per l’intelligenza artificiale che impatteranno sulla sanità?
Il disegno di legge presentato lo scorso 23 aprile dal Governo (che ora dovrà fare tutto il suo iter in Parlamento e quindi potrà cambiare in maniera significativa) si pone infatti l’obiettivo di individuare i principi generali in grado di equilibrare il rapporto tra le opportunità offerte dalle nuove tecnologie ed i rischi legati ad un uso improprio della AI.
Tra i settori impattati certamente la sanità.
Vediamo sotto gli articoli che interesseranno tale ambito.
ART. 7 – USO DELLA AI IN SANITÀ
L’art. 7 stabilisce che
- l’uso dei sistemi di AI non può creare discriminazioni all’accesso alle prestazioni sanitarie
Ciò vuol dire che i sistemi di AI per gestire gli accessi non devono presentare BIAS che possano discriminare diverse tipologie di pazienti
- il paziente deve essere informato se nell’erogazione della cura vengono usati sistemi di AI e sulla logica decisionale che viene utilizzata dal software
questo lo diceva già anche il GDPR all’art. 14 comma 2: è certamente molto corretto ma non si può non dare atto che comunicare “la logica decisionale” è molto complesso.
- L’AI è un supporto al medico a cui spetta sempre la decisione finale
Tale previsione è la conseguenza del sacro principi antropocentrico che informa tutta la disciplina.
Qui si apriranno le porte ai profili di responsabilità diversi da quelli attuali e a quanto il suggerimento della AI ha inciso sulla decisione del medico
- i dati impiegati devono verificati periodicamente e aggiornati al fine di minimizzare il rischio di errori
Qui non si capisce bene chi sia il soggetto al quale si riferisce questo obbligo
E’ la struttura sanitaria che utilizza l’AI? In questo caso il risk management della struttura sanitaria dovrebbe lavorare con il fabbricante del software as medical device (SAMD) contenente il componente di AI per svolgere questa attività
Più facilmente ritengo che il compito dovrebbe essere invece direttamente in capo al fabbricante del sistema di AI il quale dovrà effettuare (presumibilmente nell’ambito della propria sorveglianza post commercializzazione – art. 83 MDR) tale attività di controllo sui dati.
Si apre dunque un nuovo scenario nel quale nel quale il fabbricante (provider secondo l’AI ACT) sarà chiamato solo a verificare la sicurezza ed il beneficio dei dispostivi medici ex MDR ma anche la “qualità” dei dati in ingresso ed in uscita
ART. 8 – RICERCA SCIENTIFICA E SPERIMENTAZIONE PER SISTEMI DI AI
L’articolo introduce norme specifiche per il trattamento dati nella ricerca scientifica e nella sperimentazione dei sistemi di AI che sono usati in ambito sanitario.
L’articolo presenta svariate criticità.
Tralasciando il fatto che nel mondo medical device la sperimentazione si chiama “indagine clinica” (art. 62 MDR), la norma introduce una disciplina ad hoc per soggetti pubblici e privati senza scopo di lucro (dimenticando che il GDPR ha fatto venir meno questa distinzione e ripescando dunque un approccio pre-GDPR).
Più esattamente l’articolo stabilisce che quando il titolare è un soggetto pubblico o un privato senza scopo di lucro ci sono due possibilità per il trattamento
- si applica l’art. 9 lett. g) in ragione del fatto che il trattamento dei dati è considerato di rilevante interesse pubblico; la norma non fa poi alcun accenno all’art. 2-sexies del Codice privacy, che però essendo attuazione nazionale dell’art. 9 lett. g) del GDPR si deve intendere implicitamente applicabile;
oppure
- i dati, privi degli identificativi diretti (quindi direi pseudonomizzati), possono essere trattati per le finalità di cui sopra come uso secondario, con informativa sul sito web; qui la norma non lo dice ma occorrerà effettuare un test di compatibilità (art. 6 comma 4 GDPR)
In entrambi i casi poi i soggetti che trattano tali dati dovranno
- ottenere parere favorevole del Comitato Etico
- comunicare al Garante
- chi è il titolare del trattamento
- come è rispettata la privacy by design by default della AI,
- le misure di sicurezza implementate
- la DPIA effettuata
- l’elenco dei responsabili ex art. 28
Il Garante ha 30 gg per bloccare il trattamento: dopo tale termine si forma il silenzio assenso
Alle aziende profit resta l'art. 110 Codice privacy, che nella sua nuova formulazione a seguito delle modifiche apportate dalla Legge 56/2024 (modifiche PNRR) non vede più la consultazione preventiva davanti al Garante ex art. 36, ma il rispetto delle regole deontologiche che verranno emanate dal Garante art. art. 106 Codice Privacy.
Sembra che il Garante stia già lavorando al documento contenente le misure di garanzia da rispettare.
ART. 9 – PIATTAFORMA AI
Da ultimo l’art. 9 sulla piattaforma di AI.
Come sicuramente ricorderete la piattaforma di AI finanziata dal PNRR è stata sospesa perché mancava la base giuridica del trattamento dei dati (si veda il nostro post LinkedIN su InsideAI)
Qui l’art. 9 sembra aprire la strada stabilendo quali soluzioni di AI saranno in piattaforma e quali professionisti potranno fruire dei servizi della piattaforma.
Agenas poi (in qualità di titolare dei dati) ha il compito di redigere un provvedimento che rispetti i requisiti dell’art. 2-sexies.
Rubrica "AI LEGAL, un prisma da comporre"
Leggi gli altri articoli presenti nella nostra rubrica dedicata.