Il Garante della Privacy italiano (Garante per la Protezione dei Dati Personali) ha varato un decalogo per la realizzazione di servizi sanitari a livello nazionale attraverso l’intelligenza artificiale (IA). Un lungo documento che si basa su tre principi cardine: trasparenza dei processi decisionali, decisioni automatizzate supervisionate dall’uomo, non discriminazione algoritmica.

Il primo punto del decalogo del Garante inquadra le basi giuridiche della questione. “Il trattamento di dati sulla salute – recita il documento – da parte di soggetti che perseguono compiti di interesse pubblico deve necessariamente fondarsi sul diritto dell’Unione o degli Stati membri, che deve essere proporzionato alla finalità perseguita, rispettare l’essenza del diritto alla protezione dei dati e prevedere misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato”.

Troppo delicata la questione che deve essere in quadrata in uno specifico quadro normativo visto che, tra l’altro, anche il Parlamento europeo ha individuato i sistemi IA ad alto rischio.

I tre principi cardine

Nel secondo punto, oltre a richiamarsi all’ovvia tutela dei dati personali, il Garante richiama il principio della privacy by design e by default. Fin dalla progettazione i sistemi di IA in ambito sanitario devono adottare misure tecniche e organizzative adeguate ad attuare i principi di protezione dei dati e integrare nel trattamento le garanzie necessarie per soddisfare i requisiti del Regolamento Generale sulla protezione dei dati, e tutelare i diritti e le libertà degli interessati. Per il trattamento dei dati occorre individuare correttamente i ruoli di titolare e, se del caso, di responsabile.

L’attribuzione dei ruoli deve corrispondere alle attività che il soggetto svolge in concreto alla luce dei compiti istituzionalmente demandati allo stesso, in conformità al quadro giuridico di settore”.

g7-garante-privacy (1)

Con la quarta indicazione il documento elenca i tre principi cardine del Decalogo del Garante:

Il principio di conoscibilità, in base al quale l’interessato ha il diritto di conoscere l’esistenza di processi decisionali basati su trattamenti automatizzati e, in tal caso, di ricevere informazioni significative sulla logica utilizzata, sì da poterla comprendere.

Il principio di non esclusività della decisione algoritmica, secondo cui deve comunque esistere nel processo decisionale un intervento umano capace di controllare, validare ovvero smentire la decisione automatica (human in the loop, ne abbiamo parlato qui, ndr).

Il principio di non discriminazione algoritmica, secondo cui è opportuno che il titolare del trattamento utilizzi sistemi di IA affidabili “che riducano le opacità, gli errori dovuti a cause tecnologiche e/o umane, verificandone periodicamente l’efficacia anche alla luce della rapida evoluzione delle tecnologie impiegate, delle procedure matematiche o statistiche appropriate per la profilazione, mettendo in atto misure tecniche e organizzative adeguate. Ciò, anche al fine di garantire che siano rettificati i fattori che comportano inesattezze dei dati e sia minimizzato il rischio di errori, visti i potenziali effetti discriminatori che un trattamento inesatto di dati sullo stato di salute può determinare nei confronti di persone fisiche”.

Così come succede per l’infrastruttura fisica in relazione all’ambiente, anche in questo caso viene chiesto l’obbligo per i titolari di svolgere una preventiva valutazione di impatto sul trattamento che “prevede in particolare l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche”, e di consultare l´Autorità di controllo qualora le misure tecniche e organizzative individuate per mitigare l´impatto del trattamento sui diritti e le libertà degli interessati non siano ritenute sufficienti, ovvero quando il rischio residuale per i diritti e le libertà degli interessati resti elevato.

In particolare viene ricordata che la previsione di un sistema centralizzato a livello nazionale attraverso il quale realizzare servizi sanitari con strumenti di IA, determinando un trattamento sistematico, su larga scala, di particolari categorie di dati personali, attraverso l’uso di nuove tecnologie presenta un rischio elevato per i diritti e le libertà degli interessati e deve quindi essere preceduta da una valutazione di impatto.

La logica dell’algoritmo

Tali trattamenti rientrano infatti, senza dubbio, tra quelli ad “alto rischio” per i quali è necessaria una preventiva valutazione di impatto, strumento fondamentale per l’individuazione delle misure idonee a tutelare i diritti e le libertà fondamentali degli interessati e a garantire il rispetto dei principi generali del Regolamento, nonché per consentire l’analisi della proporzionalità dei trattamenti effettuati”.

I dati devono essere esatti, aggiornati, e devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente quelli non corretti rispetto alle finalità per le quali sono trattati.

Il dato non aggiornato o inesatto recita il documento – influenzerebbe inoltre anche l’efficacia e la correttezza dei servizi che i suddetti sistemi di Ia, che si basano infatti sulla rielaborazione di tali dati, intendono realizzare”.

In più, assume particolare rilievo la circostanza che ogni qualità riferita al singolo interessato, nonché ogni diversa categoria di interessati sia rappresentata allo stesso modo in cui essa è presente nella popolazione.

Fondamentale è un’adeguata sicurezza nel loro trattamento e quindi le misure da adottare per gestirli “devono essere valutate in concreto, vale a dire tenendo in considerazione le caratteristiche delle banche dati di volta in volta utilizzate e i modelli di analisi impiegati”.

Per questo è necessario anche che, nella descrizione dei trattamenti, siano puntualmente “indicate le logiche algoritmiche utilizzate al fine di “generare” i dati e i servizi, le metriche utilizzate per addestrare il modello e valutare la qualità del modello di analisi adottato, le verifiche svolte per rilevare la presenza di eventuali bias, le misure correttive eventualmente adottate, le misure idonee a verificare, anche a posteriori, le operazioni eseguite da ciascun soggetto autorizzato e i rischi insiti nelle analisi deterministiche e stocastiche”.

Correttezza e trasparenza sono richiamate al punto 8 del decalogo del garante, dove si afferma che devono essere implementate misure per “assicurare che la base giuridica del trattamento sia chiara, prevedibile e resa conoscibile agli interessati anche attraverso specifiche campagne di informazione”.

Tutto però non può essere a una, per quanto sofisticata, tecnologia. Rimane infatti centrale il concetto di supervisione umana con l’effettivo coinvolgimento degli esseri umani che dovrebbe fondarsi su una supervisione altamente qualificata. L’esempio arriva dagli Usa dove un sistema di Ia utilizzato per stimare il rischio sanitario di oltre 200 milioni di americani tendeva ad assegnare un livello di rischio inferiore ai pazienti afroamericani a parità di condizioni di salute, con la conseguenza di negargli l’accesso a cure adeguate. Fondamentale è quindi l’addestramento dell’algoritmo.

La chiusura del decalogo del Garante richiama alla “costante attenzione ai profili etici del trattamento dei dati personali”. All’etica “deve attribuirsi una puntuale funzione interpretativa che porti ad escludere scelte che, ancorché apparentemente lecite e materialmente possibili, dal punto di vista sostanziale possano produrre effetti discriminatori e lesivi della dignità umana e identità personale anche nei confronti di soggetti vulnerabili (minori, anziani, malati)”.