Algoritmi e Sanità: l’attenzione del Garante sull’utilizzo di algoritmi e IA nell’ambito sanitario

Il Garante sta dimostrando una forte attenzione rispetto all’utilizzo di algoritmi e Intelligenza Artificiale, infatti: 

Alla luce di queste numerose e ravvicinate pronunce sul tema, è opportuno svolgere alcune riflessioni per comprendere quali siano i punti di maggiore attenzione da parte dell’autorità e, di conseguenza, quali i profili a cui devono stare particolarmente attente società che utilizzano (o hanno intenzione di implementare) sistemi algoritmici o di intelligenza artificiale in ambito sanitario/ trattamento di dati particolari.

Innanzitutto, il primo punto che merita una riflessione riguarda il fatto che il Garante sempre più spesso sta anticipando il momento del suo intervento rispetto quando rileva un rischio sotteso alla possibilità di un trattamento su larga scala di un numero elevato di dati particolari condotto per mezzo di tecnologie innovative.

Con riferimento alla richiesta di chiarimenti alla Regione Veneto, il Garante ha deciso di avviare la citata istruttoria proprio per richiedere alla Regione, in via preventiva, i chiarimenti necessari al fine di verificare la conformità del sistema algoritmico utilizzato alla normativa privacy. Infatti, l’utilizzo di un sistema algoritmico per stabilire i tempi di attesa delle prestazioni sanitarie si inserisce in un contesto caratterizzato da particolare delicatezza, dal momento che si è potenzialmente di fronte ad un trattamento su larga scala di dati delicati come quelli sulla salute relativi ad un numero rilevante di pazienti.

Considerazioni analoghe sono state fatte anche con riferimento al caso Replika. Il Garante ha rilevato infatti come l’intelligenza artificiale raccogliesse -senza alcuna preventiva verifica- i dati, anche particolari (riguardanti, ad esempio, lo stato di salute mentale ed emotiva) di soggetti vulnerabili come i minori. Per questo motivo ha ritenuto senza indugio di prevedere la limitazione temporanea del trattamento. Il rischio era infatti connesso alla possibilità che la chatbot, tramite il suo ruolo di assistente virtuale, potesse influenzare negativamente il minore.

Secondo aspetto che merita di essere analizzato, attiene alle specifiche richieste di chiarimento formulate dal Garante nei confronti della Regione Veneto, del Friuli-Venezia Giulia e del già citato provvedimento Replika. Nello specifico, nella sua richiesta di chiarimento alla Regione Veneto, il Garante ha posto particolare interesse proprio nel voler verificare:

- la tipologia dell’algoritmo utilizzato, se realmente automatizzato in quanto l’indicazione della classe di priorità non sarebbe modificabile dal medico;

- il dataset di riferimento (ossia banche dati e documenti clinici trattati), insieme al numero di pazienti coinvolti.

Inoltre, sempre con riferimento alla richiesta di chiarimento alla Regione Veneto, il Garante ha richiesto di ricevere specifica evidenza della:

- norma giuridica individuata come base giuridica del trattamento dei dati sanitari ex art. 9 del GDPR;

- modalità utilizzate per informare gli interessati ex artt. 12, 13 e 14 del GDPR;

- valutazione d’impatto svolta ex art. 35 GDPR.

È interessante notare come, i profili privacy attenzionati dal Garante alla Regione Veneto, siano gli stessi per i quali sono stati richiesti chiarimenti -e poi sanzionate- le 3 ASL friulane, ossia: 

- incorretta individuazione della base giuridica del trattamento. Il Garante ha ritenuto che lo svolgimento dell’attività di medicina predittiva (che consisteva di fatto nella profilazione del paziente al fine di prevedere l’evoluzione della situazione sanitaria e l’eventuale correlazione con altri elementi di rischio), si configura come un’attività amministrativa prodromica all’attività di cura, che come tale non rientra tra i trattamenti strettamente necessari alle ordinarie attività di cura e prevenzione (art. 9, par. 2 lett. h) del GDPR), e può quindi essere effettuata solo sulla base dello specifico consenso informato dell’interessato (art. 9, par. 2 lett. a) del GDPR);

- Violazione del principio di trasparenza. Il Garante ha ritenuto infatti che le ASL non avessero fornito agli interessati le informazioni specifiche in ordine ai menzionati trattamenti di medicina predittiva, come previsto dall’art. 14 del GDPR;

- Violazione dell’obbligo di effettuare valutazione d’impatto. Il Garante ha rilevato inoltre la violazione degli obblighi previsti ai sensi dell’art. 35 del GDPR dal momento che la PIA non era stata condotta, sebbene fossero presenti almeno due dei nove criteri previsti per l’effettuazione della valutazione d’impatto ossia: i) trattamento di “dati sensibili o avente carattere altamente personale”; ii) “dati relativi ad interessati vulnerabili” (pazienti); iii) “trattamento di dati su larga scala” e iv) “l’uso innovativo di nuove soluzioni tecnologiche”.

Tornando al provvedimento Replika le considerazioni già analizzate sopra riemergono con forza anche in questo caso. Il Garante infatti ha segnalato la presenza di concreti rischi per i minori d’età a causa della capacità del chatbot di intervenire sull’umore della persona, rilevando come vi fosse:

- Mancanza di trasparenza degli obblighi informativi ex art. 13 del GDPR, in particolare con riferimento del trattamento dei dati di minori;

- Non corretta indicazione della base giuridica del trattamento dovendosi in ogni caso escludere che, con riguardo in particolare ai minori, questa possa – anche solo implicitamente – essere rinvenuta nella disciplina contrattuale;

- Ulteriore elemento, l’assenza di un meccanismo di age verification e di controllo dell’età dell’utente, di cui il sistema chiede solamente nome, e-mail e genere.

In conclusione, dall’analisi dei menzionati provvedimenti del Garante italiano, emergono alcuni aspetti importanti che devono essere attenzionati dalle aziende interessate ad utilizzare sistemi di intelligenza artificiale o algoritmici per il trattamento di dati sanitari o particolari, in particolare:

- Individuare correttamente la base giuridica del trattamento -non sempre agevole quando si trattano di dati sanitari- prestando particolare attenzione se i dati trattati riguardano soggetti vulnerabili come minori;

- Prevedere modalità chiare e trasparenti per informare gli interessati, in linea con gli artt. 12, 13 e 14 del GDPR;

- Valutare la necessità di effettuare preventiva valutazione d’impatto (PIA) ex art. 35 del GDPR, considerato che molto spesso è possibile vi sia il trattamento di “dati sensibili o avente carattere altamente personale” o “dati relativi ad interessati vulnerabili” attraverso “l’uso innovativo di nuove soluzioni tecnologiche”;

- infine, nel caso vi sia il trattamento di dati di minori, implementate sistemi di age verification (anche dinamici) che permettano di verificare in maniera corretta l’età dell’interessato, prevedendo altresì meccanismi di blocco nel caso in cui l’utente espliciti la sua minore età.

Oltre agli obblighi espressamente menzionati dal Garante, si ricorda inoltre la necessità di:

- aggiornare il registro del trattamento;

- implementare adeguate misure per la corretta conservazione dei dati;

- nominare i soggetti autorizzati al trattamento, che dovranno essere appositamente istruiti e formati;

- prevedere canali semplici ed intuitivi per l’esercizio dei diritti degli interessati;

- adottare misure di sicurezza procedurali e tecniche adeguate ai sensi dell’art. 32 GDPR.