Sistemi di IA ad alto rischio e dispositivi medici: la governance dei dati

 AI e Dati

La Proposta di regolamento sull’intelligenza artificiale presentata dalla Commissione fornisce all’art. 3 una definizione molto ampia di “sistema di intelligenza artificiale”, di fatto ricomprendendo qualsiasi software che, per finalità determinate dall’uomo, sia in grado di generare output in grado di influenzare gli ambienti – quindi anche le persone – con cui interagiscono. Sul punto si rimanda al nostro articolo "Le nuove regole in materia di intelligenza artificiale".

La Proposta è stata sottoposta al vaglio de Parlamento, di varie istituzioni comunitarie ed infine del Consiglio, che in data 6 dicembre 2022 è stato chiamato a esaminare un testo di compromesso (scaricabile qui); il cennato testo di compromesso riporta una definizione di sistema di intelligenza artificiale sostanzialmente diversa rispetto a quella della Proposta

"sistema di intelligenza artificiale" (sistema di IA): un sistema progettato per funzionare con elementi di autonomia e che, sulla base di dati e input forniti da macchine e/o dall'uomo, deduce come raggiungere una determinata serie di obiettivi avvalendosi di approcci di apprendimento automatico e/o basati sulla logica e sulla conoscenza, e produce output generati dal sistema quali contenuti (sistemi di IA generativi), previsioni, raccomandazioni o decisioni, che influenzano gli ambienti con cui il sistema di IA interagisce;

Sarà quindi dirimente comprendere quale sarà la definizione definitiva di sistema di intelligenza artificiale al fine di stabilire quando un prodotto vi rientri o meno.  

Rischio inaccettabile, alto o basso

La Proposta differenzia i sistemi di IA a seconda che determinino i) un rischio inaccettabile; ii) un rischio alto; iii) un rischio basso o minimo, dedicando ampio spazio ai sistemi ad alto rischio.

Quando un sistema di IA è ad alto rischio?

L’art. 6 della Proposta stabilisce che un sistema di IA è considerato ad alto rischio se sono soddisfatte entrambe le condizioni seguenti:

1. il sistema di IA è destinato a essere utilizzato come componente di sicurezza di un prodotto, o è esso stesso un prodotto, disciplinato dalla normativa di armonizzazione dell'Unione elencata nell'allegato II;
2. il prodotto, il cui componente di sicurezza è il sistema di IA, o il sistema di IA stesso in quanto prodotto è soggetto a una valutazione della conformità da parte di terzi ai fini dell'immissione sul mercato o della messa in servizio di tale prodotto ai sensi della normativa di armonizzazione dell'Unione elencata nell'allegato II.

Il testo di compromesso del 6/12/2022 riporta un articolo 6 modificato nella lettera ma non nella sostanza dei primi due paragrafi:

Quindi, ai fini della classificazione come ad alto rischio, è richiesta la coesistenza di due condizioni

• il sistema di IA deve essere un componente di sicurezza di un prodotto o essere esso stesso un prodotto sottoposto alla disciplina di armonizzazione
• contemporaneamente essere un prodotto soggetto alla valutazione di conformità di organismi terzi prima di poter essere immesso sul mercato.

I dispositivi medici dotati di sistemi di IA sono quindi da considerarsi ad alto rischio?

L’allegato II della Proposta di IA, citato dall’art. 6 comma 1 lettera a), include entrambi i Regolamenti UE 745/2017 e 746/2017 sui dispositivi medici e sui dispositivi medici in vitro nell’elenco della normativa di armonizzazione dell’Unione.

Sulla base delle regole di Classificazione contenute nell’Allegato VII al Reg. UE 745/2017 difficilmente i dispositivi medici che utilizzino un sistema di IA potranno rientrare in una classe di rischio che escluda la valutazione di conformità dell’Organismo notificato (sulle regole di classificazione si rimanda al nostro articolo "La qualificazione e la classificazione dei software come dispositivi medici").

Conseguentemente, i dispositivi medici che utilizzino un componente di sicurezza costituito da un sistema di IA o siano un sistema di IA devono essere considerati prodotti ad alto rischio ai sensi della proposta di regolamento.

D’altra parte, l’attenzione del legislatore europeo per i sistemi di IA che potrebbero avere ripercussioni negative per la salute delle persone è confermata anche nei considerando, dove al n. 28) leggiamo “…nel settore sanitario, in cui la posta in gioco per la vita e la salute è particolarmente elevata, è opportuno che i sistemi diagnostici e i sistemi di sostegno delle decisioni dell'uomo, sempre più sofisticati, siano affidabili e accurati”.

Requisiti per i sistemi di IA ad alto rischio

Se un sistema di IA è classificato ad alto rischio la proposta di regolamento prevede il rispetto di tutta una serie di requisiti illustrati nel Capo 2 del Titolo III.

In particolare, l’art. 10 disciplina l’uso dei dati e in particolare i data set.

Governance dei dati

Come noto uno dei problemi legati all’IA è proprio quello della “data accuracy”, intesa come  esattezza della  “modellazione statistica del software”: in sostanza la nozione di  data accuracy nei sistemi di AI riguarda non solo i dati inseriti, ma anche la logica ed il funzionamento dello stesso software di AI nonché l’output finale di tale elaborazione (per un approfondimento si rimanda a "AI ed esattvezza dei dati: il quadro giuridico è sufficiente?".

La qualità dei data set utilizzati è fondamentale.

Per questo motivo l’art. 10 prevede che i set di dati utilizzati per l’addestramento, la convalida e la prova del sistema di IA debbano rispettare i criteri di qualità di cui ai successivi commi da 2 a 5. In particolare, i set di dati devono essere pertinenti, rappresentativi, esenti da errori, completi e possedere proprietà statistiche appropriate, tenendo conto delle caratteristiche o degli elementi particolari dello specifico contesto geografico, comportamentale o funzionale all'interno del quale il sistema di IA ad alto rischio è destinato a essere usato.

E’ richiesta l’adozione di pratiche di gestione dei dati, che contemplino

1. scelte progettuali pertinenti;
2. le modalità di raccolta dei dati;
3. le operazioni di trattamento pertinenti ai fini della preparazione dei dati, quali annotazione, etichettatura, pulizia, arricchimento e aggregazione;
4. la formulazione di ipotesi pertinenti, in particolare per quanto riguarda le informazioni che si presume che i dati misurino e rappresentino;
5. una valutazione preliminare della disponibilità, della quantità e dell'adeguatezza dei set di dati necessari;
6. un esame atto a valutare le possibili distorsioni;
7. l'individuazione di eventuali lacune o carenze nei dati e il modo in cui tali lacune e carenze possono essere colmate.

Infine, il comma 5 prevede che i fornitori dei sistemi di IA possano trattare categorie particolari di dati personali,

“fatte salve le tutele adeguate per i diritti e le libertà fondamentali delle persone fisiche, comprese le limitazioni tecniche all'utilizzo e al riutilizzo delle misure più avanzate di sicurezza e di tutela della vita privata, quali la pseudonimizzazione o la cifratura, qualora l'anonimizzazione possa incidere significativamente sulla finalità perseguita”.

Dei collegamenti con il GDPR e delle implicazioni della proposta sull’IA sul tema del trattamento dei dati abbiamo già parlato "Intelligenza artificiale e protezione dei dati: una convivenza possibile?"

Interessante sul punto un recente intervento dell’ICO (Information Commissioner’s Office) che ha recentemente pubblicato le Linee guida “How to use AI and personal data appropriately ans lawfully”.

Una prima sezione del documento “How to improve and how to handle AI and personal information” contiene una serie di consigli e di indicazioni pratiche su come rispettare la conformità al GDPR nella progettazione e nel funzionamento dei sistemi di IA.

Nella seconda sezione “Artificial intelligence and personal information – frequently asked questions” lCO fornisce una risposta a nove domande frequenti nel contesto dell’IA e della protezione dei dati.

Rubrica "AI LEGAL, un prisma da comporre"

Leggi gli altri articoli presenti nella nostra rubrica dedicata.

VAI ALLA RUBRICA