Intelligenza Artificiale nella Sanità, standard e buone pratiche per mettere in sicurezza i dati “ultrasensibili”
L’Intelligenza Artificiale non riguarda solo i settori ad alto tasso tecnologico: l’impiego dei relativi strumenti sta mostrando, infatti, di esercitare effetti dirompenti nei contesti più disparati.
Fra questi anche la sanità, dove il massiccio trattamento di informazioni relative alla salute delle persone – cosiddetti dati “ultrasensibili” – impone particolari attenzioni e cautele.
Per questo il Garante della Privacy ha realizzato un Decalogo per la realizzazione di servizi sanitari nazionali attraverso sistemi di Intelligenza Artificiale, pubblicato lo scorso 10 ottobre al fine di uniformare standard e buone pratiche all’interno del SSN.
I principi del trattamento secondo il decalogo del Garante
Partendo dalle normative di riferimento, nel documento si ricorda anzitutto che “l’elaborazione di dati sulla salute attraverso tecniche di IA richiama i concetti di profilazione e di decisioni sulla base di processi automatizzati” e che “l’uso di tali strumenti è consentito solo se espressamente previsto dal diritto degli Stati membri, nel rispetto di misure adeguate a tutela dei diritti, delle libertà e dei legittimi interessi degli interessati”.
Stabilita la necessità di una preventiva valutazione d’impatto sulla protezione dei dati (VIP) circa l’impiego di tali sistemi, il decalogo cita poi il Regolamento AI in corso di elaborazione presso il Parlamento europeo, che “individua tra i sistemi di IA ad alto rischio quelli che incidono […] sulla salute, sul diritto alle cure e sulla fruizione di servizi sanitari, di assistenza medica, nonché sui sistemi di selezione dei pazienti per quanto concerne l’assistenza sanitaria di emergenza”.
Di conseguenza vengono richiamati i concetti di privacy by design e by default previsti dall’art. 25 del GDPR per disporre che, nella realizzazione di sistemi di Intelligenza Artificiale in ambito sanitario, siano adottate sin dalle fasi di progettazione “misure tecniche e organizzative adeguate ad attuare i principi di protezione dei dati”.
Viene menzionato anche il principio di accountability, la cui attuazione impone di individuare correttamente i ruoli di titolare nonché – ove previsto – di responsabile del trattamento, ricordando che “un sistema nazionale di IA in ambito sanitario potrebbe essere acceduto per differenti finalità da parte di una molteplicità di soggetti sulla base di diversi presupposti di liceità”: un evidente richiamo ai numerosi episodi di attacchi informatici andati a segno negli ultimi anni, spesso con effetti disastrosi, contro strutture sanitarie od ospedaliere.
Oltre alle regole generali in materia di trattamento dei dati, il testo del Garante enuclea tre principi particolarmente rilevanti per l’uso di strumenti di IA nella sanità nonché, in senso più ampio, nell’esecuzione di qualsiasi attività di rilevante interesse pubblico:
- principio di conoscibilità, che attribuisce agli interessati il diritto di conoscere l’esistenza di processi decisionali basati su trattamenti automatizzati e di “ricevere informazioni significative sulla logica utilizzata” in tali processi;
- principio di non esclusività della decisione algoritmica, che richiede la presenza nel processo decisionale di “un intervento umano capace di controllare, validare ovvero smentire la decisione automatica (c.d. human in the loop)”, anche alla luce del parere congiunto 5/2021 del Garante europeo e del Comitato europeo per la protezione dei dati;
- principio di non discriminazione algoritmica, che impone di scegliere (o progettare) “sistemi di IA affidabili”. Ciò “anche al fine di garantire siano rettificati i fattori che comportano inesattezze dei dati e sia minimizzato il rischio di errori, visti i potenziali effetti discriminatori che un trattamento inesatto di dati sullo stato di salute può determinare nei confronti di persone fisiche”: il decalogo cita il noto sistema IA impiegato per valutare il rischio sanitario di oltre 200 milioni di cittadini statunitensi, che come poi rivelato “tendeva ad assegnare un livello di rischio inferiore ai pazienti afroamericani a parità di condizioni di salute, con la conseguenza di negargli l’accesso a cure adeguate” a causa degli inesatti parametri sottostanti alle relative decisioni.
Più in generale si sottolinea l’importanza di garantire la qualità, integrità e riservatezza dei dati sanitari, nonché la correttezza e trasparenza dei relativi processi, per diffondere “consapevolezza nelle collettività di riferimento (nel caso di specie la totalità degli assistiti del Sistema Sanitario Nazionale) in relazione all’impiego dei sistemi di intelligenza artificiale […] garantendo, inoltre, la partecipazione dei differenti stakeholder in relazione al ciclo di vita dei sistemi di intelligenza artificiale per uno sviluppo sostenibile e una governance rispettosa dei diritti degli interessati”.
Il documento si conclude auspicando una più stretta cooperazione delle Autorità Garanti dei vari Paesi al fine di agevolare lo sviluppo di una “trustworthy IA” ed elaborare al più presto, alla luce della rapidissima evoluzione tecnologica in materia, “un modello etico distintivo per la governance dell’intelligenza artificiale”.
A cura della Redazione