Vuoi ricevere i nostri aggiornamenti?

Registrati per accedere ai contenuti riservati e iscriverti alla nostra newsletter
Registrati
Back

I soggetti coinvolti dall'AI ACT: il professionista sanitario è un "deployer?"

16/09/2024
Gaspare Castelli Noemi Conditi
Ing. Alice Ravizza

 AI e Sanità

L’entrata in vigore del Regolamento n. 1689/2024 (c.d. “AI Act”) segna un cambiamento epocale nella regolamentazione dell'IA a livello europeo. Dettando regole specifiche per i fornitori dei sistemi di IA (i c.d. providers) e anche per coloro che li utilizzano (i c.d. deployers), l’AI Act predispone una serie di obblighi che avranno diretta ripercussione sul settore sanitario e, in particolare, sui medici e gli altri esercenti la professione sanitaria.

Esaminiamo quali possono essere le novità e le ricadute dell’AI Act su alcuni operatori del settore, focalizzando la nostra attenzione sui possibili obblighi del medico e sulle nuove modalità di gestione del rischio clinico.

Definizione di “deployer

La definizione di “deployer” è prevista dall’art. 3, par. 3, del nuovo Regolamento che lo definisce come la:

persona fisica o giuridica, autorità pubblica, agenzia o altro organismo che utilizza un sistema di IA sotto la propria autorità, tranne nel caso in cui il sistema di IA sia utilizzato nel corso di un’attività personale non professionale”.

Si tratta di una definizione particolarmente ampia, che ricomprende al suo interno una vasta platea di soggetti.
Il regolamento, infatti, si riferisce non solo all’utilizzatore persona fisica, ma anche alle entità – incluse le P.A. – che utilizzano o rendono disponibili sotto la propria autorità sistemi di IA agli utenti sul mercato, tranne nei casi di utilizzo personale non professionale.

Il  ruolo del deployer: basta il mero utilizzo?

La norma, come visto, richiede il verificarsi di due condizioni cumulative ai fini della qualificazione di un utilizzatore come deployer:

  • Il soggetto deve utilizzare il sistema di IA;
  • Tale utilizzo deve avvenire sotto la sua responsabilità (come può ricavarsi dall’inciso “sotto la sua autorità”).

Alla luce del dato normativo, quindi, non dovrebbe essere considerato deployer chiunque utilizzi il sistema di IA in nome e per conto di un soggetto diverso.

È dunque necessario valutare, nel settore sanitario, chi sia il soggetto responsabile del sistema e, in particolare, se tale debba essere considerata la struttura sanitaria, il professionista sanitario che del sistema si serve o, addirittura, entrambi.

Il deployer nel settore sanitario

Malgrado si tratti di una questione assai recente, che potrebbe quindi prestarsi a diverse interpretazioni, la soluzione più in linea con il dato normativo pare essere quella secondo cui il ruolo di deployer sarà assunto dalla persona fisica o giuridica che si assumerà la responsabilità della prestazione sanitaria.

Tale potrà essere, a seconda del caso concreto, l’azienda, l’ente o il singolo professionista sanitario.

Eventuale personale o altro soggetto incaricato del funzionamento del sistema, ma che non si assume direttamente la responsabilità della prestazione erogata, dovrà invece considerarsi escluso dalla definizione di deployer, in quanto mero soggetto ausiliario.

La soluzione è supportata da due considerazioni giuridiche.

La prima è rintracciabile, come detto, nel riferimento alla locuzione “sotto la propria autorità” contenuta nella definizione di deployer.

Da tale inciso si evince che non è soltanto dirimente, ai fini della qualificazione del soggetto come deployer, il materiale utilizzo del sistema di IA, ma occorre verificare anche chi sia il responsabile di tale utilizzo (rectius chi ne abbia l’“autorità”), e quindi della prestazione erogata tramite l’IA.

La seconda considerazione si ricava invece dall’art. 4 dell’AI Act e, in particolare, dalla parte della disposizione che regola il ruolo del personale del deployer nei seguenti termini:

“I fornitori e i deployer dei sistemi di IA adottano misure per garantire nella misura del possibile un livello sufficiente di alfabetizzazione in materia di IA del loro personale nonché di qualsiasi altra persona che si occupa del funzionamento e dell'utilizzo dei sistemi di IA per loro conto, prendendo in considerazione le loro conoscenze tecniche, la loro esperienza, istruzione e formazione, nonché il contesto in cui i sistemi di IA devono essere utilizzati, e tenendo conto delle persone o dei gruppi di persone su cui i sistemi di IA devono essere utilizzati”.

La norma è chiara nello stabilire che il personale, o altro soggetto incaricato di far funzionare il sistema, dovrà considerarsi un mero ausiliario o, comunque, un soggetto preposto al funzionamento della macchina, al quale sarà lo stesso deployer a dover fornire adeguata formazione e informazioni sufficienti.

Con riferimento al settore sanitario, quindi, la soluzione prospettata implicherà che il ruolo di deployer sarà rivestito dalla persona fisica o giuridica che si assumerà la responsabilità giuridica della prestazione erogata attraverso il sistema.

Dunque, deployer potrà essere

  • la struttura sanitaria quando il contratto di cura è concluso da quest’ultima direttamente con il paziente, a proprio nome. Per la concreta erogazione della prestazione, poi, la struttura si avvale dell’opera del medico, che concretamente utilizzerà il sistema. Quest’ultimo si qualificherà dunque come soggetto facente parte del “personale” della struttura o, comunque, quale “persona che si occupa del funzionamento e dell’utilizzo dei sistemi di IA” per conto della struttura;
  • mentre sarà il medico o altro esercente la professione sanitaria direttamente, laddove non soltanto eroghi in primis la prestazione, ma abbia anche concluso a nome proprio con il paziente il contratto di cura.

Si precisa infine che, ai sensi del combinato disposto dell’art. 2, par. 1, lett. b) e c), tale ruolo sarà assunto non solo dai deployers “che hanno il loro luogo di stabilimento o sono situati all'interno dell'Unione”, ma anche da quelli “che hanno il loro luogo di stabilimento o sono situati in un paese terzo, laddove l'output prodotto dal sistema di IA sia utilizzato nell'Unione”.

Nel nostro precedente articolo, abbiamo già dato atto di come, ai sensi dell’art. 26 dell’A.I. Act, i deployers dei sistemi di IA ad alto rischio siano tenuti al rispetto di una (ampia) serie di obblighi.
Pertanto, la violazione di questi nuovi obblighi, pertanto, oltre a comportare l’emissione di sanzioni amministrative pecuniarie per i deployer (cfr. il nostro precedente contributo), potrebbe aggravare la posizione processuale dell’azienda coinvolta in processi di malpractice sanitaria in quanto la mancata attuazione di sistemi preventivi potrebbe essere utilizzata come argomento a supporto della colpa dei medici nel danno cagionato al paziente attraverso il sistema IA.

Rubrica "AI LEGAL, un prisma da comporre"

Leggi gli altri articoli presenti nella nostra rubrica dedicata.

VAI ALLA RUBRICA
AI - Intelligenza Artificiale Strutture Sanitarie
Share

Raccolta fonti normative sull'AI

Consulta

Vuoi approfondire l'argomento?

Contattaci
Articoli correlati
28/05/2024

I soggetti coinvolti dall'AI ACT: uno sguardo d'insieme

Noemi Conditi

 AI e Regolamentazione da prodotto

Il nuovo Regolamento sull’Intelligenza Artificiale (Regolamento IA) è stato definitivamente approvato dal Parlamento europeo il 21 maggio 2024 e se ne attende ora la pubblicazione ufficiale nella Gazzetta dell’Unione Europea.

Nonostante, quindi, le sue norme non siano ancora applicabili, è utile sin d’ora fare una panoramica dei soggetti coinvolti dalla normativa, per arrivare adeguatamente preparati.

Abbiamo già analizzato la definizione di Intelligenza Artificiale contenuta nel Regolamento e quando un sistema di IA sia da considerarsi “ad alto rischio”.

Nel presente articolo, quindi, elencheremo le varie figure individuate dal Regolamento AI, per tracciarne i confini definitori ed evidenziarne obblighi e responsabilità.

Leggi di più
AI - Intelligenza Artificiale Dispositivi Medici
16/07/2024

Il sistema sanzionatorio dell’AI Act

Eleonora Lenzi

 AI e profili di responsabilità

L’enforcement di una normativa è essenziale affinché ne venga rispettato il dettato e la previsione di sanzioni che risultino dissuasive per gli operatori ne è parte integrante. Anche l’AI Act si è dotato di un sistema sanzionatorio complesso e fortemente impattante, la cui applicazione è rimessa agli Stati membri.

Leggi di più
AI - Intelligenza Artificiale