Il Decalogo del Garante Privacy per il corretto sviluppo dell’Intelligenza Artificiale in ambito sanitario

Il 10 ottobre 2023 il Garante per la Protezione dei Dati Personali (“Garante”) ha pubblicato un decalogo (“Decalogo”) nel quale definisce i principi cardine per l’applicazione di soluzioni basate su AI in occasione della creazione di un servizio sanitario nazionale (“SSN”) innovativo e digitalizzato. Tramite il Decalogo l’obiettivo del Garante non è solo quello (dichiarato) di indirizzare gli stakeholder della sanità pubblica verso uno sviluppo etico dell’Intelligenza Artificiale ma, indirettamente, anche quello di rivolgersi alle strutture sanitarie private fornendo loro un utile vademecum su come realizzare servizi sanitari qualitativamente migliori attraverso un uso corretto dell’Intelligenza Artificiale.

All’interno del Decalogo il Garante pone infatti molta attenzione ai profili etici connessi all’utilizzo di sistemi di AI generativa in ambito medico, sottolineando l’importanza di rispettare il principio di trasparenza e la centralità del ruolo di supervisione umana nei processi decisionali algoritmici al fine di prevenire comportamenti discriminatori nei confronti degli interessati.

Infatti, la realizzazione di un sistema nazionale di AI destinato ad elaborare dati sanitari su larga scala richiede il rigoroso rispetto di specifiche misure volte a garantire la correttezza e proporzionalità del trattamento proprio in considerazione dei rischi discriminatori che ne potrebbero derivare nei confronti degli interessati, come ad esempio avvenuto in America, dove l’algoritmo utilizzato tendeva ad assegnare un livello di rischio sanitario inferiore ai pazienti afroamericani (negandogli quindi l’accesso a cure adeguate): ciò era dato dal fatto che la metrica utilizzata per stimare il rischio era basata sulla spesa sanitaria media individuale, andando quindi indirettamente a discriminare i gruppi etnici con un reddito pro capite più basso.

Per questo motivo il Garante pone molta attenzione ad una applicazione concreta ed effettiva dei principi di privacy by design e by default previsti dell’art. 25 del GDPR: per far fronte al rischio di bias cognitivi nella realizzazione di sistemi decisionali basati su AI generativa, il Garante precisa che è necessario che le logiche algoritmiche utilizzate per “generare” i dati, come anche le metriche utilizzate per addestrare i modelli algoritmici e le misure correttive eventualmente adottate a tutela della correttezza e qualità dei dati, siano puntualmente descritte all’interno dell’informativa erogata agli interessati e nella valutazione d’impatto (“DPIA”), in questo caso obbligatoria ai sensi dell’art. 35 del GDPR. 

Trattandosi per l’appunto di un trattamento delicato e complesso, il Garante pone molta enfasi sull’obbligo di effettuare una DPIA che sia quanto più dettagliata e completa possibile, assicurando altresì il coinvolgimento dei soggetti interessati già nella fase di stesura del documento di valutazione d’impatto. La valutazione d’impatto risulta infatti fondamentale per poter individuare le misure tecniche ed organizzative adeguate per tutelare i diritti e le libertà fondamentali degli interessati, oltre al fatto che l’assenza di tale adempimento non consentirebbe di poter avviare il trattamento in compliance con il GDPR.

Infine, da un punto di vista strettamente giuridico, il Garante precisa che per utilizzare sistemi basati su AI per l’elaborazione di dati sanitari è necessaria un’espressa previsione di legge, auspicando quindi che il legislatore si attivi definendo nel dettaglio il quadro normativo e le misure di sicurezza minime da rispettare (come avvenuto in ambito fiscale, dove con legge delega il legislatore ha chiarito che il procedimento accertativo dell’IVA al fine di combattere l’evasione fiscale può essere svolto anche tramite l’utilizzo di AI, per maggiori informazioni vedi qui).

In conclusione, il Garante promuove l’utilizzo di AI in ambito sanitario e scientifico purché esso sia fatto in modo corretto e nel rispetto dei principi etici e deontologici dei professionisti sanitari. L’intenzione non è quella di fermare l’innovazione in ambito medico ma di indirizzare gli stakeholder verso un utilizzo consapevole ed attento delle nuove tecnologie, richiedendo a tutte le strutture sanitarie (pubbliche e private) un grande sforzo nell’individuare le misure tecniche ed organizzative adeguate al fine di sfruttare in maniera etica i vantaggi dell’Intelligenza Artificiale.​