Il Garante per la Protezione dei Dati Personali ha pubblicato un decalogo per la realizzazione di servizi sanitari nazionali attraverso sistemi di intelligenza artificiale.
Esaminiamo insieme i principali punti analizzati dal Garante:
- Basi giuridiche del trattamento
- Principi di accountability e di privacy by design e by defalut
- Ruoli
- Principi di conoscibilità, non esclusività e non discriminazione algoritmica
- Valutazione d’impatto sulla protezione dei dati (VIP)
- Qualità dei dati
- Integrità e riservatezza
- Correttezza e trasparenza
- Supervisione umana
- Ulteriori profili rispetto alla disciplina sulla protezione dei dati personali connessi alla dignità e all’identità personale
Basi giuridiche del trattamento
Il testo affronta il trattamento dei dati sulla salute per interessi pubblici, sottolineando la necessità di conformità alle normative dell’Unione o degli Stati membri. Il Codice stabilisce che i dati sensibili sono trattati solo secondo il diritto vigente.
L’uso di intelligenza artificiale è consentito solo se previsto dalla legge, con consultazione dell’Autorità di controllo. La proposta di regolamento europeo sull’intelligenza artificiale mira a norme per sistemi ad alto rischio, inclusi quelli sulla salute.
Principi di accountability e di privacy by design e by default
La valutazione ponderata delle scelte nel trattamento dei dati personali richiede motivazioni specifiche e misure proporzionate. Il principio della “protezione dei dati fin dalla progettazione” impone misure nei sistemi di intelligenza artificiale sanitaria per garantire la proporzionalità al pubblico interesse. Il G7 delle autorità per la protezione dei dati ha sottolineato l’importanza di integrare i principi della protezione dati nella progettazione delle tecnologie di intelligenza artificiale.
Ruoli
Il titolare del trattamento deve garantire l'”accountability” e può delegare responsabilità specifiche. La governance dei dati in ambito sanitario richiede una visione complessiva, considerando l’accessibilità da parte di diversi soggetti per diverse finalità. Il responsabile esegue attività delegate con istruzioni specifiche. La designazione di un responsabile è essenziale per garantire la conformità normativa nella condivisione di dati con soggetti esterni, seguendo le disposizioni vigenti.
Principi di conoscibilità, non esclusività e non discriminazione algoritmica
L’utilizzo di algoritmi e intelligenza artificiale in compiti di rilevante interesse pubblico deve seguire tre principi:
- Principio di conoscibilità: L’interessato ha il diritto di essere informato su processi decisionali automatizzati, ricevendo informazioni significative sulla logica adottata.
- Principio di non esclusività della decisione algoritmica: Richiede un intervento umano nel processo decisionale per controllare, validare o respingere la decisione automatica, noto come “human in the loop.”
- Principio di non discriminazione algoritmica: Il titolare del trattamento deve utilizzare sistemi di intelligenza artificiale affidabili, con regolari verifiche dell’efficacia dei sistemi e misure per correggere inesattezze nei dati, minimizzando il rischio di errori e impatti discriminatori.
Valutazione d’impatto sulla protezione dei dati (VIP)
La creazione di un sistema sanitario centralizzato basato su intelligenza artificiale richiede una valutazione di impatto ai sensi dell’art. 35 del Regolamento. La valutazione dovrebbe considerare rischi come la perdita di qualità dei dati, revoca del consenso, re-identificazione attraverso interconnessioni e uso improprio dei dati, assicurando una tutela uniforme dei diritti degli interessati.
Qualità dei dati
Il titolare del trattamento deve garantire l’esattezza e l’aggiornamento dei dati in un sistema nazionale di intelligenza artificiale per l’elaborazione dei dati sanitari. Questo richiede misure rigorose per la validità scientifica e il controllo dei dati. L’adesione ai requisiti di esattezza è cruciale, considerando il potenziale cambiamento dei dati nel tempo. La Valutazione di Impatto sulla Protezione dei Dati dovrebbe considerare anche i rischi di discriminazione legati all’elaborazione algoritmica e alla profilazione per decisioni automatizzate nel settore sanitario.
Integrità e riservatezza
La sicurezza dei dati è prioritaria nella creazione di un sistema nazionale di intelligenza artificiale. È fondamentale proteggere contro trattamenti non autorizzati e perdita di dati. La valutazione dei rischi deve essere concreta, considerando le specificità delle banche dati e dei modelli di analisi. I modelli di machine learning possono presentare rischi come opacità e distorsioni (bias). La descrizione dei trattamenti deve includere logiche algoritmiche, metriche di addestramento, verifiche di bias e misure correttive, con una base giuridica che garantisca la protezione dei diritti fondamentali degli interessati, soprattutto nelle decisioni automatizzate basate su intelligenza artificiale e dati sanitari su larga scala.
Correttezza e trasparenza
L’analisi enfatizza la trasparenza e correttezza nei processi decisionali basati su trattamenti automatizzati, soprattutto nel settore sanitario. Si richiama a principi internazionali e giurisprudenza amministrativa, evidenziando l’importanza della consapevolezza sull’utilizzo dell’intelligenza artificiale (IA) nella collettività. Misure pratiche proposte includono chiarezza della base giuridica, consultazione degli stakeholder, pubblicazione della valutazione d’impatto e regolamentazione della responsabilità professionale.
Supervisione umana
Il parere congiunto del Garante europeo e del Comitato europeo per la protezione dei dati sottolinea i rischi della decisione automatizzata basata su dati di IA. La supervisione umana, essenziale durante l’addestramento degli algoritmi, riduce i rischi di discriminazione legati alla qualità dei dati. Mantenere un ruolo centrale per il professionista sanitario nel processo decisionale automatizzato è fondamentale per evitare discriminazioni nell’accesso alle cure e nella gestione dei costi.
Ulteriori profili rispetto alla disciplina sulla protezione dei dati personali connessi alla dignità e all’identità personale
Il Garante sottolinea l’importanza dell’etica nell’uso dell’intelligenza artificiale (IA) nelle informazioni sanitarie. Valutazioni etiche e di impatto sulla protezione dei dati sono necessarie prima della commercializzazione di prodotti IA. I professionisti sanitari devono rispettare gli obblighi deontologici e evitare conflitti di interessi. La validazione degli algoritmi mira a migliorare la qualità del Servizio Sanitario Nazionale. Infine, il Garante propone un modello etico globale per la governance dell’IA in collaborazione con Autorità di sistemi socio-economici mondiali.
Commento edito dal dottor Francesco Gangi Chiodo