ANDIG

Intelligenza artificiale e tutela dei dati personali: un complesso bilanciamento tra privacy e sanità 

Lo sviluppo tecnologico registratosi negli ultimi anni ha visto l’avanzare dell’Intelligenza artificiale come uno dei maggiori protagonisti all’interno di una pluralità di settori distinti che permeano la società in cui viviamo. 

Grazie alla loro straordinaria capacità di raccolta e di analisi di elevate quantità di informazioni provenienti da diverse fonti e dataset, i sistemi IA sono infatti in grado di compiere forme di profilazione sempre più raffinate, consentendo la realizzazione di prodotti e servizi personalizzati e processi lavorativi estremamente efficienti. I sistemi basati sull’IA contribuiscono alla ricerca di soluzioni efficaci, finalizzate a contrastare i maggiori problemi che caratterizzano le moderne società: dalla lotta al cambiamento climatico, all’individuazione delle più opportune misure in materia di cybersecurity, dalla realizzazione di città sempre più smart fino all’individuazione di nuove cure in ambito medico. Infatti, l’applicazione dell’Intelligenza artificiale proprio in ambito sanitario ha aperto la strada a grandi innovazioni nel campo della medicina, uno dei settori in cui l’utilizzo dei sistemi intelligenti comporta maggiori benefici.  Si pensi alla classificazione o alla predizione diagnostica, operazioni assai agevolate dall’impiego di software deep learning, più efficienti e veloci nell’identificazione della presenza di una malattia e della sua eventuale incidenza sull’individuo.Un esempio interessante è rappresentato dal Deep Patient, un programma sviluppato dai ricercatori del Mount Sinai Hospital di New York: all’interno del sistema sono state inserite le cartelle cliniche di 700.000 individui, per fornire al software i dati necessari per predire le malattie di altri pazienti ricoverati nell’ospedale. Di fronte a nuovi casi da esaminare, il Deep Patient è stato sorprendentemente accurato, riuscendo a diagnosticare anche delle malattie rare come la schizofrenia, disagio la cui presenza nei pazienti risulta assai complicata da individuare persino per i medici. Mentre da un lato è evidente come queste innovazioni comportino innumerevoli benefici in termini di tempo e precisione, dall’altro il loro sviluppo implica contemporaneamente l’inevitabile insorgere di svariate problematiche, con particolare riferimento ad un tema assai delicato e da tempo al centro dell’attenzione del Legislatore comunitario e nazionale: il trattamento dei dati personali.  Infatti, a fronte degli straordinari vantaggi legati alla possibilità di gestire rapidamente enormi quantità di informazioni aggregate, la digitalizzazione7 ha reso possibile la creazione di estese banche dati a cui sempre più soggetti possono avere accesso: conseguentemente, abbiamo assistito ad un aumento esponenziale dei rischi legati al trattamento dei suddetti dati, alla loro illecita diffusione e alla possibilità di ledere la dignità e le libertà fondamentali della persona interessata al trattamento. 

Il fenomeno della digitalizzazione ha già da tempo impattato fortemente sui dati sanitari, risultando in una presa di coscienza della necessità di implementare sistemi di gestione dei dati posti in essere dalle aziende sanitarie al fine di potenziare le loro capacità di cura e prevenzione. In quest’ottica, nasce la cosiddetta “sanità elettronica”, ossia “l’insieme delle iniziative volte ad archiviare, mediante nuove modalità indotte dall’evoluzione tecnologica, la documentazione che gli enti sanitari utilizzano nei processi di cura dei pazienti”9, che più che mai urge la necessità di implementare un sistema di protezione dei delicati dati sanitari.  Si tratta di un innovativo approccio ai servizi sanitari, fondato sull’utilizzo di strumenti basati sulle tecnologie dell’informazione e della comunicazione per sostenere e promuovere la prevenzione, la diagnosi, il trattamento e il monitoraggio delle malattie e la gestione della salute e dello stile di vita. Nel corso degli ultimi anni, le applicazioni della sanità elettronica sono aumentate sensibilmente: si è progressivamente affermata la refertazione digitale on-line, ossia la consegna all’assistito mediante procedure telematiche – web, posta elettronica certificata o altre modalità digitali – di referti medici dopo un esame clinico; soprattutto, la volontà di velocizzare le procedure e migliorare i servizi ha portato alla proliferazione di archivi “delocalizzati” – i c.d. dossier sanitari elettronici (DSE), istituiti presso ciascuna struttura sanitaria. Il DSE, secondo la definizione contenuta nelle Linee guida in materia di dossier sanitario11 emanate nel 2015 dal Garante per la protezione dei dati personali12, costituisce l’insieme dei dati personali generati da eventi clinici presenti e trascorsi riguardanti l’interessato presso lo stesso titolare del trattamento.  Il dossier sanitario elettronico si caratterizza dunque per mettere l’insieme dei dati del paziente in condivisione logica a vantaggio dei professionisti sanitari che lo prendono in cura, consentendo loro di consultare tali dati in qualsiasi momento per tutto il tempo in cui si articola il processo di assistenza sanitaria13. Nella stessa ottica si colloca la tematica della costituzione e dell’alimentazione del fascicolo sanitario elettronico (FSE), altro importante strumento attraverso il quale il cittadino può tracciare e consultare tutta la storia della propria vita sanitaria, condividendola con i professionisti sanitari per garantire un servizio più efficace ed efficiente. Come il DSE, anche il Fascicolo costituisce uno strumento per la raccolta, in forma elettronica, dei dati relativi a tutti gli eventi clinici riguardanti un determinato paziente.  La differenza fondamentale fra i due risiede nel fatto che mentre il dossier raccoglie i dati generati in occasione di eventi clinici che hanno avuto luogo solamente all’interno della struttura sanitaria presso cui lo stesso è stato costituito, il FSE è gestito a livello nazionale o regionale: pertanto, può contenere i dati relativi ad eventi clinici che hanno avuto luogo in qualunque struttura sanitaria del territorio – nazionale o regionale – e può essere alimentato da ciascun medico operante in ognuna di queste strutture15. Al centro di entrambi i sistemi si trova quindi l’assistito con la sua storia sanitaria: ogni azione medica che lo riguarda viene tracciata e codificata nel rispetto delle condizioni definite dall’assistito stesso al momento dell’attivazione del DSE e FSE e modificabili in qualunque momento.  

Appare evidente come già tali prime forme di interazione tra il mondo sanitario e quello digitale avessero sollevato la necessità di effettuare un corretto bilanciamento fra sviluppo tecnologico e protezione di dati sensibili quali quelli sanitari. Risulta estremamente chiaro, infatti, come il diritto fondamentale alla salute e quello alla riservatezza siano legati da un nesso indissolubile, legame che tuttavia mostra diversi profili di conflittualità per la pluralità di beni, valori ed interessi che si contendono il campo. La problematica si rivela ancor più attuale nel contesto della c.d. quarta rivoluzione industriale18, nel quale lo sviluppo dell’IA ha imposto una profonda riflessione sulle conseguenze che ne derivano, in termini di sostenibilità e di tutela dei diritti fondamentali relativi agli individui coinvolti nell’utilizzo di tali tecnologie: la diffusione di intense attività di profilazione, l’implementazione dell’IA e di processi decisionali automatizzati rischia, infatti, di limitare drasticamente l’esercizio di diritti ritenuti da sempre essenziali.  Nel tentativo di proporre una soluzione valida, il Legislatore comunitario ha provveduto ad emanare un pacchetto di direttive sui dispositivi medici20, idoneo a stabilire uno schema di conformità per tali dispostivi, consistente in un regime obbligatorio di garanzia della qualità per minimizzare il rischio e allo stesso tempo massimizzare la sicurezza in relazione alla produzione, distribuzione, conservazione e utilizzo di detti strumenti. Successivamente, nelle more dell’implementazione del Regolamento (UE) 2016/679 sulla Protezione dei dati personali, un ulteriore passo in avanti è stato effettuato mediante l’adozione dei due Regolamenti europei 2017/745 e 2017/74622, sostitutivi delle suddette direttive. Essi sono volti a rafforzare il regime di protezione dei dati personali – già contenuto nel pacchetto – attraverso l’introduzione di un approccio europeo che tenda all’armonizzazione della materia.  La disciplina di entrambi i Regolamenti mira a rafforzare alcuni elementi chiave dell’attuale approccio normativo, mediante l’introduzione di disposizioni che garantiscano la trasparenza e la tracciabilità dei dispositivi medici, in particolare di quelli basati su sistemi di apprendimento automatico. Si ritiene inoltre indispensabile un coordinamento con le linee guida in materia di dispositivi medici elaborati in ambito internazionale.  A tal proposito, consapevole delle criticità connesse all’utilizzo sempre più diffuso e pervasivo dell’Intelligenza artificiale, anche la Commissione europea ha avviato a partire dal 2018 una specifica strategia volta a garantire che l’implementazione di tali tecnologie avvenga in maniera affidabile, sicura ed eticamente sostenibile. Tali misure hanno previsto, in primo luogo, la sottoscrizione da parte di 25 Stati membri della Dichiarazione sulla cooperazione in materia di IA27, al fine di garantire un approccio condiviso orientato al perseguimento della massimizzazione degli investimenti in tale settore, la creazione di uno spazio europeo dei dati e lo sviluppo di soluzioni di IA etiche edaffidabili. 

Nel giugno 2018 si è proceduto, poi, alla creazione dell’High Level Expert Group, un gruppo di lavoro di 52 esperti che, in data 8 aprile 2019, ha diffuso un documento dal titolo “Ethics Guidelines for Trustworthy A.I.”. In particolare, al fine di garantire un effettivo utilizzo ottimale di tali tecnologie, evitando il verificarsi di eventi che possano compromettere il libero esercizio dei diritti fondamentali, le Linee guida individuano sette elementi chiave da rispettare nel concreto sviluppo dei sistemi basati sull’Intelligenza artificiale: in primo luogo, l’IA deve essere destinata allo sviluppo di società eque, offrendo sostegno all’attività umana senza mai compromettere l’esercizio dei diritti fondamentali, né limitare o alterare l’autonomia degli individui. Il sistema di Intelligenza artificiale deve poi essere affidabile, con la conseguenza che dovranno essere adottati algoritmi sicuri e sufficientemente “robusti”, in aggiunta ad apposite misure che consentano di intervenire in maniera celere in caso di errori ed incongruenze. Inoltre, il coinvolgimento di dati personali deve sempre avvenire nel pieno rispetto dei diritti fondamentali del soggetto interessato, attraverso la predisposizione di una serie di misure che consentano allo stesso di seguire l’utilizzo dei dati lungo tutto il ciclo di vita dell’IA in ossequio al principio di trasparenza. Ancora, l’implementazione dei sistemi di Intelligenza artificiale deve avvenire nel pieno rispetto delle capacità, delle competenze e delle necessità degli individui interessati, e deve essere diretta anche al conseguimento di miglioramenti dell’assetto sociale e della sostenibilità ambientale. Infine, l’IA deve prevedere obbligatoriamente misure finalizzate a valutare la responsabilità ed il livello di accountability dei sistemi utilizzati, nonché dei risultati ottenuti. Il rispetto simultaneo di tali elementi, secondo la Commissione Europea, si rende necessario per la realizzazione di sistemi di IA affidabili, in grado di garantire un utilizzo sicuro ed ottimale delle relative tecnologie nel pieno rispetto dei principi e dei diritti fondamentali degli individui. Può facilmente concludersi come una maggiore trasparenza nella progettazione e nell’utilizzo dell’Intelligenza artificiale sia senza dubbio necessaria: accountability, governance dei dati e preventiva valutazione di impatto non rappresentano solo alcuni dei parametri fondamentali individuati nelle Linee guida, ma costituiscono anche gli elementi cardine del GDPR. Come noto, infatti, il quadro normativo prospettato dal Regolamento, al fine di garantire che gli individui possano sempre disporre del pieno controllo dei propri dati personali, stabilisce un sistema peculiare di obblighi a carico del titolare del trattamento, il quale è tenuto a predisporre misure tecniche ed organizzative adeguate ad assicurare, ed essere in grado di dimostrare, che l’attività sia effettuata sempre nel pieno rispetto del GDPR. 

In tal senso, è possibile affermare che i criteri della «robustezza e sicurezza» e «responsabilità»35 trovano piena realizzazione, all’interno del Regolamento, da una parte, negli obblighi connessi alla privacy by design e privacy by default, nei principi di minimizzazione, liceità, correttezza e trasparenza; nonché, dall’altra, nella previsione del data protection impact assessment e degli interventi prescritti ai sensi dell’art. 32 in caso di eventi di data breach. Nella medesima prospettiva, i parametri denominati «Azione e sorveglianza umana», «Trasparenza» e «Diversità, non discriminazione ed equità» nelle Linee guida39 trovano piena realizzazione nel Capo III del GDPR, dedicato ai diritti dell’interessato. In conclusione, tale quasi perfetta simmetria sia terminologica che sostanziale tra le Linee guida ed il Regolamento sottolinea la solidità del nesso che congiunge l’Intelligenza artificiale e la tutela dei dati personali: legame che, proprio a causa della sua complessità, non è immune da profili critici. Dal punto di vista prettamente normativo, infatti, benché siano stati effettuati numerosi e validi tentativi di regolamentazione della materia da parte sia del Legislatore che del Garante, tutt’oggi sembra mancare un framework armonico e completo, in grado di disciplinare la totalità delle problematiche che coinvolgono il mondo della tecnologica e della digitalizzazione.  

Il settore sanitario è esempio emblematico della sensibilità che a livello comunitario si percepisce in relazione all’urgenza di regolamentazione, ma a ben vedere si tratta di una questione estremamente critica per la maggior parte dei campi di applicazione dell’IA, che al giorno d’oggi coinvolgono la quasi totalità della sfera quotidiana del singolo individuo. 

 

Bibliografia:   

BASSINI, M., LIGUORI, L., POLLICINO, O. “Sistemi di Intelligenza Artificiale, responsabilità e accountability. Verso nuovi paradigmi?” in PIZZETTI, F. (a cura di), “Intelligenza artificiale, protezione dei dati personali e regolazione”, Giappichelli, 2018. 

CALIFANO, L. “Fascicolo sanitario elettronico (Fse) e dossier sanitario”, in Sanità pubb. e priv., 2015. 

D’ACQUISTO, G., NALDI, M. “Big Data e privacy by design. Anonimizzazione, pseudonimizzazione, sicurezza” Giappichelli, Torino, 2017. 

FLORIDI, L. “La quarta rivoluzione industriale. Come l’infosfera sta trasformando il mondo”, Cortina, 2017. 

GIANNINI, D. “L’accesso ai documenti”, Giuffrè, Milano, 2013. 

GUARDA, P., “Fascicolo sanitario elettronico”, in Dig. IV ed., agg., 2011. 

IZZO, U., “Medicina e diritto nell’era digitale: i problemi giuridici della cibermedicina”, in Danno e resp., 2000. 

IZZO, U., GUARDA, P. “Sanità elettronica, tutela dei dati personali e digital divide generazionale: ruolo e criticità giuridica della delega alla gestione dei servizi di sanità elettronica da parte dell’interessato”, in Trento Law and Technology Research Group Research Papers, 2010. 

LAMBERTI, L., “Diritto sanitario”, Ipsoa, Milano, 2012. 

MARTINES, M. “La protezione degli individui rispetto al trattamento automatizzato dei dati nel diritto dell’Unione europea”, in Riv. it. dir. pubbl. com., 2000. 

MARTINI, N. “Privacy ed e-health: problematiche e soluzioni”, in Supplemento Altalex quotidiano, 2014. 

MIOTTO, R., et al. “Deep patient: an unsupervised representation to predict the future of patients from the electronic health records”, Scientific reports 6.1: 1-10, 2016. 

MORUZZI, M., PUGLIÈ, C. “Il fascicolo sanitario elettronico. Tecnologia, alta comunicazione e abbattimento delle barriere spazio-tempo per la cura e la prevenzione, in salute e società”, 2014. 

PASCUZZI, G. “Il diritto dell’era digitale. Tecnologie informatiche e regole privatistiche”, Il Mulino, Bologna, 2002. 

REDDY, S., “Use of artificial intelligence in healthcare delivery”, in eHealth-Making Health Care Smarter, IntechOpen, 2018. 

SARTORI, L. “La tutela della salute pubblica nell’Unione europea”, in Cittadella, 2009. 

SICLARI, D. “La sanità digitale: profili giuridici e di law and economics”, 2013. 

TRAPANI, M. “GDPR e Intelligenza Artificiale: i primi passi tra governance, privacy, trasparenza e accountability”, in MANTELERO, A., POLETTI, D. (a cura di), “Regolare la tecnologia: il Regolamento UE 2016/679 e la protezione dei dati personali”, Pisa University Press, 2018.