Il Garante Privacy ha varato un decalogo per la realizzazione di servizi sanitari a livello nazionale attraverso sistemi di intelligenza artificiale. Tre sono i principi cardini: trasparenza dei processi decisionali, decisioni automatizzate supervisionate dall’uomo, non discriminazione algoritmica. I principi si basano sul Regolamento e sulla giurisprudenza del Consiglio di Stato.
In base alle indicazioni dell’Autorità, il paziente deve avere il diritto di conoscere, anche attraverso campagne di comunicazione, se esistono e quali sono i processi decisionali (ad esempio, in ambito clinico o di politica sanitaria) basati su trattamenti automatizzati effettuati attraverso strumenti di AI e di ricevere informazioni chiare sulla logica utilizzata per arrivare a quelle decisioni.
Prevedere la supervisione umana
Il processo decisionale dovrà prevedere una supervisione umana che consenta al personale sanitario di controllare, validare o smentire l’elaborazione effettuata dagli strumenti di AI. È opportuno, avverte il Garante, che il titolare del trattamento utilizzi sistemi di AI affidabili che riducano gli errori dovuti a cause tecnologiche o umane e ne verifichi periodicamente l’efficacia, mettendo in atto misure tecniche e organizzative adeguate. Questo, anche allo scopo di mitigare potenziali effetti discriminatori che un trattamento di dati inesatti o incompleti potrebbe comportare sulla salute della persona. Il dato non aggiornato o inesatto, sottolinea l’Autorità, potrebbe influenzare anche l’efficacia e la correttezza dei servizi che i sistemi di AI intendono realizzare.
La necessità di un quadro normativo
Particolare attenzione è stata posta dal Garante all’idoneità della base giuridica per l’uso dell’intelligenza artificiale. Il trattamento di dati sulla salute attraverso tecniche di AI, effettuato per motivi di interesse pubblico in ambito sanitario, dovrà essere previsto da uno specifico quadro normativo, che individui misure adeguate a tutela dei diritti, delle libertà e dei legittimi interessi degli interessati.
Nel rispetto del quadro normativo di settore, il Garante ha inoltre sottolineato la necessità che, prima di effettuare trattamenti di dati sulla salute mediante sistemi nazionali di AI, sia svolta una valutazione d’impatto allo scopo di individuare le misure idonee a tutelare i diritti e le libertà dei pazienti e garantire il rispetto dei principi del Regolamento Ue. Un sistema centralizzato nazionale che utilizzi l’AI determina infatti un trattamento sistematico su larga scala di dati sanitari che rientra tra quelli ad “alto rischio”, per i quali la valutazione d’impatto è obbligatoria e deve essere svolta a livello centrale per consentire un esame complessivo sull’adeguatezza e omogeneità degli accorgimenti adottati.
Nella descrizione dei trattamenti è altresì necessario che siano puntualmente indicate, in particolare, le logiche algoritmiche utilizzate al fine di “generare” i dati e i servizi, le metriche impiegate per addestrare il modello, i controlli svolti per verificare la presenza di eventuali bias e la possibilità di una loro correzione.