Stai per caricare un referto sull’IA? Leggi prima l’avvertimento del Garante Privacy

Il provvedimento del Garante per la privacy si riferisce a diverse attività in ambito sanitario che coinvolgono l’uso dell’intelligenza artificiale (IA). Si pensi ai fenomeni sempre più diffusi di caricare analisi cliniche, radiografie e altri referti medici su piattaforme di intelligenza artificiale per ottenere interpretazioni e diagnosi, di chiedere alle piattaforme di IA di interpretare i dati sanitari caricati e di fornire diagnosi basate su di essi. Ma anche alla possibilità per i gestori dei servizi di IA di conservare i dati sanitari contenuti negli esami clinici caricati online per addestrare i propri algoritmi e alla raccolta massiva di dati personali dal web per l’addestramento dei modelli di intelligenza artificiale generativa.
Sono queste le pratiche su cui il Garante solleva l’allarme per gli evidenti rischi di possibili scorrettezze che vengono a crearsi.
Per mitigare i rischi legati all’uso dell’intelligenza artificiale in ambito sanitario, il Garante della privacy fornisce alcune indicazioni.
La prima sottolinea l’importanza di leggere attentamente le informative sulla privacy dei gestori delle piattaforme di IA per verificare se i dati sanitari caricati verranno cancellati dopo la richiesta o se saranno conservati per l’addestramento degli algoritmi. Molti dei servizi di IA più noti permettono agli utenti di decidere cosa fare dei dati caricati. Il Garante, poi, rileva quanto sia fondamentale garantire sempre un’intermediazione umana qualificata nell’elaborazione dei dati sanitari tramite sistemi di IA. La “supervisione umana qualificata” deve essere presente in tutte le fasi del ciclo di vita del sistema, dallo sviluppo all’addestramento, fino ai test e alla convalida prima della sua immissione sul mercato o del suo utilizzo. L’intervento umano è essenziale per prevenire rischi che potrebbero avere un impatto diretto sulla salute delle persone. Il che si estende alla verifica da parte di un medico professionista delle risposte generate automaticamente dai servizi di IA. Ciò soprattutto se questi non sono stati specificamente progettati per fornire indicazioni mediche e non sono stati resi disponibili come dispositivi medici dopo i necessari test e controlli.
Quando il Garante parla di “ulteriori aspetti di protezione dei dati personali”, richiamando il Decalogo per la realizzazione di servizi sanitari nazionali attraverso sistemi di Intelligenza Artificiale (cfr. il Doc-Web 9938038 pubblicato il 10/10/23 sul sito del Garante), si riferisce a una serie di misure che devono essere garantite nella realizzazione di sistemi di intelligenza artificiale che supportano la comprensione dei referti diagnostici. Questi aspetti includono la presenza di un idoneo presupposto di liceità, ovvero una base legale valida per il trattamento dei dati personali, la necessaria e preventiva valutazione d’impatto, che consiste in un’analisi preventiva dei rischi per la protezione dei dati, gli obblighi di trasparenza, che richiedono che il trattamento dei dati sia chiaro e comprensibile per gli interessati, gli obblighi di sicurezza, volti a proteggere i dati personali da accessi non autorizzati, perdite o distruzione.
Per un esempio pratico di “Presupposto di liceità”. si pensi all’ospedale che decide di implementare un sistema di IA per analizzare i referti diagnostici. In tal caso la struttura sanitaria deve assicurarsi di avere una base giuridica che lo autorizzi a trattare i dati sanitari dei pazienti. Ad esempio, potrebbe basare il trattamento sul consenso esplicito e informato dei pazienti o su un interesse pubblico rilevante previsto dalla legge.
Circa la “Valutazione d’impatto”, in concreto possiamo pensare al caso per cui, prima di mettere in funzione il sistema di IA, l’ospedale deve effettuare una Valutazione d’Impatto sulla Protezione dei Dati (DPIA). Questo significa analizzare i potenziali rischi che il sistema potrebbe comportare per i diritti e le libertà dei pazienti, ad esempio il rischio che i dati vengano divulgati senza autorizzazione o utilizzati per scopi non previsti. La valutazione deve essere preventiva, quindi eseguita prima dell’avvio del trattamento dei dati.
Un esempio di obbligo di “trasparenza” è fornire ai pazienti un’informativa chiara su come il sistema di IA utilizzerà i loro dati. L’informativa dovrebbe spiegare quali dati vengono raccolti, per quali finalità, chi vi ha accesso e per quanto tempo vengono conservati. La comunicazione deve essere semplice e comprensibile, in modo che il paziente possa sapere in che modo i suoi dati sono trattati dall’IA.
Infine, un esempio di misure di “sicurezza” è l’adozione di tecniche di pseudonimizzazione o anonimizzazione dei dati sanitari utilizzati per l’addestramento dell’IA. Si tratta anche di garantire che solo il personale medico autorizzato possa accedere al sistema e che i dati siano protetti da attacchi informatici. Le misure di sicurezza devono prevenire l’accesso non autorizzato ai dati e assicurarne la disponibilità e l’integrità.
Michele Lucca
avvocato in Udine
partner Legalnext