Il Garante Privacy ha varato un decalogo per la realizzazione di servizi sanitari su scala nazionale attraverso l’utilizzo di sistemi di intelligenza artificiale (IA). Questo importante documento definisce tre principi chiave che devono essere rispettati in conformità al Regolamento e alla giurisprudenza del Consiglio di Stato: la trasparenza dei processi decisionali, la supervisione delle decisioni automatizzate da parte dell’uomo e la prevenzione della discriminazione algoritmica.
Secondo le indicazioni del Garante, è stato riconosciuto al paziente il diritto di essere informato, anche attraverso campagne di comunicazione, sull’utilizzo di processi decisionali (ad esempio, in ambito clinico o di politica sanitaria) basati su trattamenti automatizzati effettuati attraverso strumenti di IA, nonché il diritto di ricevere informazioni chiare sulla logica utilizzata che sottende a tali decisioni.
Un punto chiave riguarda la supervisione umana nei processi decisionali basati sull’IA. Questo garantisce che il personale sanitario possa controllare, validare o smentire l’elaborazione effettuata dagli strumenti di IA. È opportuno, avverte il Garante, che il titolare del trattamento utilizzi sistemi di IA affidabili che riducano gli errori dovuti a cause tecnologiche o umane e ne verifichi periodicamente l’efficacia, mettendo in atto misure tecniche e organizzative adeguate. Questa pratica è fondamentale anche allo scopo di evitare potenziali effetti discriminatori che un trattamento di dati inesatti o incompleti potrebbe comportare sulla salute della persona, come evidenziato da un caso negli Stati Uniti, riguardante un sistema di IA utilizzato per stimare il rischio sanitario di oltre 200 milioni di americani. Gli algoritmi tendevano ad assegnare un livello di rischio inferiore ai pazienti afroamericani a parità di condizioni di salute, a causa della metrica utilizzata, basata sulla spesa sanitaria media individuale che risultava meno elevata per la popolazione afroamericana, con la conseguenza di negare a quest’ultima l’accesso a cure adeguate.
Il documento mette in evidenza come dati non aggiornati o inesatti possano influenzare anche l’efficacia e la correttezza dei servizi che i sistemi di IA intendono realizzare. Inoltre, viene posta dal Garante particolare attenzione all’idoneità della base giuridica per l’utilizzo dell’IA nel campo sanitario. Il trattamento di dati sulla salute attraverso tecniche di IA, effettuato per motivi di interesse pubblico in ambito sanitario, dovrà essere previsto da uno specifico quadro normativo, che individui misure adeguate a tutela dei diritti, delle libertà e dei legittimi interessi degli interessati.
Il Garante Privacy ha sottolineato che, prima di effettuare qualsiasi trattamento di dati sulla salute mediante sistemi nazionali basati sull’IA, sia svolta una valutazione d’impatto allo scopo di individuare le misure idonee a tutelare i diritti e le libertà dei pazienti e garantire il rispetto dei principi del Regolamento dell’Unione Europea. Questa pratica è particolarmente importante quando si tratta di sistemi centralizzati su scala nazionale basati sull’IA, che sono classificati come “ad alto rischio”, per i quali la valutazione d’impatto è obbligatoria e deve essere svolta a livello centrale per consentire un esame complessivo sull’adeguatezza e l’omogeneità degli accorgimenti adottati.
Infine, il documento richiede che nella descrizione dei trattamenti siano puntualmente indicate, in particolare, le logiche algoritmiche utilizzate al fine di “generare” i dati e i servizi, le metriche impiegate per addestrare il modello, i controlli svolti per verificare la presenza di eventuali bias e la possibilità di una loro correzione.
Il Decalogo è disponibile sul sito www.gpdp.it
https://www.gpdp.it/home/docweb/-/docweb-display/docweb/9937730
