ANDIG

Intelligenza artificiale e tutela dei dati personali: un complesso bilanciamento tra privacy e sanità 

Lo sviluppo tecnologico registratosi negli ultimi anni ha visto l’avanzare dell’Intelligenza artificiale come uno dei maggiori protagonisti all’interno di una pluralità di settori distinti che permeano la società in cui viviamo[1].

Grazie alla loro straordinaria capacità di raccolta e di analisi di elevate quantità di informazioni provenienti da diverse fonti e dataset, i sistemi IA sono infatti in grado di compiere forme di profilazione sempre più raffinate, consentendo la realizzazione di prodotti e servizi personalizzati e processi lavorativi estremamente efficienti[2].

I sistemi basati sull’IA contribuiscono alla ricerca di soluzioni efficaci, finalizzate a contrastare i maggiori problemi che caratterizzano le moderne società: dalla lotta al cambiamento climatico, all’individuazione delle più opportune misure in materia di cybersecurity, dalla realizzazione di città sempre più smart fino all’individuazione di nuove cure in ambito medico.

Infatti, l’applicazione dell’Intelligenza artificiale proprio in ambito sanitario ha aperto la strada a grandi innovazioni nel campo della medicina, uno dei settori in cui l’utilizzo dei sistemi intelligenti comporta maggiori benefici.

Si pensi alla classificazione o alla predizione[3] diagnostica, operazioni assai agevolate dall’impiego di software deep learning[4], più efficienti e veloci nell’identificazione della presenza di una malattia e della sua eventuale incidenza sull’individuo.

Un esempio interessante è rappresentato dal Deep Patient, un programma sviluppato dai ricercatori del Mount Sinai Hospital di New York: all’interno del sistema sono state inserite le cartelle cliniche di 700.000 individui, per fornire al software i dati necessari per predire le malattie di altri pazienti ricoverati nell’ospedale. Di fronte a nuovi casi da esaminare, il Deep Patient è stato sorprendentemente accurato, riuscendo a diagnosticare anche delle malattie rare come la schizofrenia, disagio la cui presenza nei pazienti risulta assai complicata da individuare persino per i medici[5].

Mentre da un lato è evidente come queste innovazioni comportino innumerevoli benefici in termini di tempo e precisione, dall’altro il loro sviluppo implica contemporaneamente l’inevitabile insorgere di svariate problematiche, con particolare riferimento ad un tema assai delicato e da tempo al centro dell’attenzione del Legislatore comunitario e nazionale: il trattamento dei dati personali[6].

Infatti, a fronte degli straordinari vantaggi legati alla possibilità di gestire rapidamente enormi quantità di informazioni aggregate, la digitalizzazione[7] ha reso possibile la creazione di estese banche dati a cui sempre più soggetti possono avere accesso: conseguentemente, abbiamo assistito ad un aumento esponenziale dei rischi legati al trattamento dei suddetti dati, alla loro illecita diffusione e alla possibilità di ledere la dignità e le libertà fondamentali della persona interessata al trattamento[8].

Il fenomeno della digitalizzazione ha già da tempo impattato fortemente sui dati sanitari, risultando in una presa di coscienza della necessità di implementare sistemi di gestione dei dati posti in essere dalle aziende sanitarie al fine di potenziare le loro capacità di cura e prevenzione.

In quest’ottica, nasce la cosiddetta “sanità elettronica”, ossia “l’insieme delle iniziative volte ad archiviare, mediante nuove modalità indotte dall’evoluzione tecnologica, la documentazione che gli enti sanitari utilizzano nei processi di cura dei pazienti[9], che più che mai urge la necessità di implementare un sistema di protezione dei delicati dati sanitari.

Si tratta di un innovativo approccio ai servizi sanitari, fondato sull’utilizzo di strumenti basati sulle tecnologie dell’informazione e della comunicazione per sostenere e promuovere la prevenzione, la diagnosi, il trattamento e il monitoraggio delle malattie e la gestione della salute e dello stile di vita[10].

Nel corso degli ultimi anni, le applicazioni della sanità elettronica sono aumentate sensibilmente: si è progressivamente affermata la refertazione digitale on-line, ossia la consegna all’assistito mediante procedure telematiche – web, posta elettronica certificata o altre modalità digitali – di referti medici dopo un esame clinico; soprattutto, la volontà di velocizzare le procedure e migliorare i servizi ha portato alla proliferazione di archivi “delocalizzati” – i c.d. dossier sanitari elettronici (DSE), istituiti presso ciascuna struttura sanitaria.

Il DSE, secondo la definizione contenuta nelle Linee guida in materia di dossier sanitario[11] emanate nel 2015 dal Garante per la protezione dei dati personali[12], costituisce l’insieme dei dati personali generati da eventi clinici presenti e trascorsi riguardanti l’interessato presso lo stesso titolare del trattamento.

Il dossier sanitario elettronico si caratterizza dunque per mettere l’insieme dei dati del paziente in condivisione logica a vantaggio dei professionisti sanitari che lo prendono in cura, consentendo loro di consultare tali dati in qualsiasi momento per tutto il tempo in cui si articola il processo di assistenza sanitaria[13].

Nella stessa ottica si colloca la tematica della costituzione e dell’alimentazione del fascicolo sanitario elettronico (FSE), altro importante strumento attraverso il quale il cittadino può tracciare e consultare tutta la storia della propria vita sanitaria, condividendola con i professionisti sanitari per garantire un servizio più efficace ed efficiente[14].

Come il DSE, anche il Fascicolo costituisce uno strumento per la raccolta, in forma elettronica, dei dati relativi a tutti gli eventi clinici riguardanti un determinato paziente.

La differenza fondamentale fra i due risiede nel fatto che mentre il dossier raccoglie i dati generati in occasione di eventi clinici che hanno avuto luogo solamente all’interno della struttura sanitaria presso cui lo stesso è stato costituito, il FSE è gestito a livello nazionale o regionale: pertanto, può contenere i dati relativi ad eventi clinici che hanno avuto luogo in qualunque struttura sanitaria del territorio – nazionale o regionale – e può essere alimentato da ciascun medico operante in ognuna di queste strutture[15].

Al centro di entrambi i sistemi si trova quindi l’assistito con la sua storia sanitaria: ogni azione medica che lo riguarda viene tracciata e codificata nel rispetto delle condizioni definite dall’assistito stesso al momento dell’attivazione del DSE e FSE e modificabili in qualunque momento[16].

Appare evidente come già tali prime forme di interazione tra il mondo sanitario e quello digitale avessero sollevato la necessità di effettuare un corretto bilanciamento fra sviluppo tecnologico e protezione di dati sensibili quali quelli sanitari.

Risulta estremamente chiaro, infatti, come il diritto fondamentale alla salute[17] e quello alla riservatezza siano legati da un nesso indissolubile, legame che tuttavia mostra diversi profili di conflittualità per la pluralità di beni, valori ed interessi che si contendono il campo.

La problematica si rivela ancor più attuale nel contesto della c.d. quarta rivoluzione industriale[18], nel quale lo sviluppo dell’IA ha imposto una profonda riflessione sulle conseguenze che ne derivano, in termini di sostenibilità e di tutela dei diritti fondamentali relativi agli individui coinvolti nell’utilizzo di tali tecnologie: la diffusione di intense attività di profilazione, l’implementazione dell’IA e di processi decisionali automatizzati rischia, infatti, di limitare drasticamente l’esercizio di diritti ritenuti da sempre essenziali[19].

Nel tentativo di proporre una soluzione valida, il Legislatore comunitario ha provveduto ad emanare un pacchetto di direttive sui dispositivi medici[20], idoneo a stabilire uno schema di conformità per tali dispostivi, consistente in un regime obbligatorio di garanzia della qualità per minimizzare il rischio e allo stesso tempo massimizzare la sicurezza in relazione alla produzione, distribuzione, conservazione e utilizzo di detti strumenti.

Successivamente, nelle more dell’implementazione del Regolamento (UE) 2016/679 sulla Protezione dei dati personali[21], un ulteriore passo in avanti è stato effettuato mediante l’adozione dei due Regolamenti europei 2017/745 e 2017/746[22], sostitutivi delle suddette direttive. Essi sono volti a rafforzare il regime di protezione dei dati personali – già contenuto nel pacchetto – attraverso l’introduzione di un approccio europeo che tenda all’armonizzazione della materia.

La disciplina di entrambi i Regolamenti mira a rafforzare alcuni elementi chiave dell’attuale approccio normativo, mediante l’introduzione di disposizioni che garantiscano la trasparenza e la tracciabilità dei dispositivi medici[23], in particolare di quelli basati su sistemi di apprendimento automatico[24]. Si ritiene inoltre indispensabile un coordinamento con le linee guida in materia di dispositivi medici elaborati in ambito internazionale[25].

A tal proposito, consapevole delle criticità connesse all’utilizzo sempre più diffuso e pervasivo dell’Intelligenza artificiale, anche la Commissione europea ha avviato a partire dal 2018 una specifica strategia volta a garantire che l’implementazione di tali tecnologie avvenga in maniera affidabile, sicura ed eticamente sostenibile[26].

Tali misure hanno previsto, in primo luogo, la sottoscrizione da parte di 25 Stati membri della Dichiarazione sulla cooperazione in materia di IA[27], al fine di garantire un approccio condiviso orientato al perseguimento della massimizzazione degli investimenti in tale settore, la creazione di uno spazio europeo dei dati e lo sviluppo di soluzioni di IA etiche ed affidabili.

Nel giugno 2018 si è proceduto, poi, alla creazione dell’High Level Expert Group, un gruppo di lavoro di 52 esperti che, in data 8 aprile 2019, ha diffuso un documento dal titolo “Ethics Guidelines for Trustworthy A.I.[28].

In particolare, al fine di garantire un effettivo utilizzo ottimale di tali tecnologie, evitando il verificarsi di eventi che possano compromettere il libero esercizio dei diritti fondamentali, le Linee guida individuano sette elementi chiave da rispettare nel concreto sviluppo dei sistemi basati sull’Intelligenza artificiale: in primo luogo, l’IA deve essere destinata allo sviluppo di società eque, offrendo sostegno all’attività umana senza mai compromettere l’esercizio dei diritti fondamentali, né limitare o alterare l’autonomia degli individui.

Il sistema di Intelligenza artificiale deve poi essere affidabile, con la conseguenza che dovranno essere adottati algoritmi sicuri e sufficientemente “robusti”, in aggiunta ad apposite misure che consentano di intervenire in maniera celere in caso di errori ed incongruenze.

Inoltre, il coinvolgimento di dati personali deve sempre avvenire nel pieno rispetto dei diritti fondamentali del soggetto interessato, attraverso la predisposizione di una serie di misure che consentano allo stesso di seguire l’utilizzo dei dati lungo tutto il ciclo di vita dell’IA in ossequio al principio di trasparenza[29].

Ancora, l’implementazione dei sistemi di Intelligenza artificiale deve avvenire nel pieno rispetto delle capacità, delle competenze e delle necessità degli individui interessati, e deve essere diretta anche al conseguimento di miglioramenti dell’assetto sociale e della sostenibilità ambientale.

Infine, l’IA deve prevedere obbligatoriamente misure finalizzate a valutare la responsabilità ed il livello di accountability dei sistemi utilizzati, nonché dei risultati ottenuti[30].

Il rispetto simultaneo di tali elementi, secondo la Commissione Europea, si rende necessario per la realizzazione di sistemi di IA affidabili, in grado di garantire un utilizzo sicuro ed ottimale delle relative tecnologie nel pieno rispetto dei principi e dei diritti fondamentali degli individui[31].

Può facilmente concludersi come una maggiore trasparenza nella progettazione e nell’utilizzo dell’Intelligenza artificiale sia senza dubbio necessaria: accountability, governance dei dati e preventiva valutazione di impatto non rappresentano solo alcuni dei parametri fondamentali individuati nelle Linee guida, ma costituiscono anche gli elementi cardine del GDPR[32].

Come noto, infatti, il quadro normativo prospettato dal Regolamento, al fine di garantire che gli individui possano sempre disporre del pieno controllo dei propri dati personali, stabilisce un sistema peculiare di obblighi a carico del titolare del trattamento[33], il quale è tenuto a predisporre misure tecniche ed organizzative adeguate ad assicurare, ed essere in grado di dimostrare, che l’attività sia effettuata sempre nel pieno rispetto del GDPR[34].

In tal senso, è possibile affermare che i criteri della «robustezza e sicurezza» e «responsabilità»[35] trovano piena realizzazione, all’interno del Regolamento, da una parte, negli obblighi connessi alla privacy by design e privacy by default[36], nei principi di minimizzazione, liceità, correttezza e trasparenza[37]; nonché, dall’altra, nella previsione del data protection impact assessment e degli interventi prescritti ai sensi dell’art. 32 in caso di eventi di data breach[38].

Nella medesima prospettiva, i parametri denominati «Azione e sorveglianza umana», «Trasparenza» e «Diversità, non discriminazione ed equità» nelle Linee guida[39] trovano piena realizzazione nel Capo III del GDPR, dedicato ai diritti dell’interessato[40].

In conclusione, tale quasi perfetta simmetria sia terminologica che sostanziale tra le Linee guida ed il Regolamento sottolinea la solidità del nesso che congiunge l’Intelligenza artificiale e la tutela dei dati personali: legame che, proprio a causa della sua complessità, non è immune da profili critici.

Dal punto di vista prettamente normativo, infatti, benché siano stati effettuati numerosi e validi tentativi di regolamentazione della materia da parte sia del Legislatore che del Garante, tutt’oggi sembra mancare un framework armonico e completo, in grado di disciplinare la totalità delle problematiche che coinvolgono il mondo della tecnologica e della digitalizzazione.

Il settore sanitario è esempio emblematico della sensibilità che a livello comunitario si percepisce in relazione all’urgenza di regolamentazione, ma a ben vedere si tratta di una questione estremamente critica per la maggior parte dei campi di applicazione dell’IA, che al giorno d’oggi coinvolgono la quasi totalità della sfera quotidiana del singolo individuo.

Bibliografia: 

 

BASSINI, M., LIGUORI, L., POLLICINO, O. “Sistemi di Intelligenza Artificiale, responsabilità e accountability. Verso nuovi paradigmi?” in PIZZETTI, F. (a cura di), “Intelligenza artificiale, protezione dei dati personali e regolazione”, Giappichelli, 2018.

CALIFANO, L. “Fascicolo sanitario elettronico (Fse) e dossier sanitario, in Sanità pubb. e priv., 2015.

D’ACQUISTO, G., NALDI, M. “Big Data e privacy by design. Anonimizzazione, pseudonimizzazione, sicurezza” Giappichelli, Torino, 2017.

FLORIDI, L. “La quarta rivoluzione industriale. Come l’infosfera sta trasformando il mondo”, Cortina, 2017.

GIANNINI, D. “L’accesso ai documenti”, Giuffrè, Milano, 2013.

GUARDA, P., “Fascicolo sanitario elettronico”, in Dig. IV ed., agg., 2011.

IZZO, U., “Medicina e diritto nell’era digitale: i problemi giuridici della cibermedicina”, in Danno e resp., 2000.

IZZO, U., GUARDA, P. “Sanità elettronica, tutela dei dati personali e digital divide generazionale: ruolo e criticità giuridica della delega alla gestione dei servizi di sanità elettronica da parte dell’interessato”, in Trento Law and Technology Research Group Research Papers, 2010.

LAMBERTI, L., “Diritto sanitario”, Ipsoa, Milano, 2012.

MARTINES, M. “La protezione degli individui rispetto al trattamento automatizzato dei dati nel diritto dell’Unione europea”, in Riv. it. dir. pubbl. com., 2000.

MARTINI, N. “Privacy ed e-health: problematiche e soluzioni”, in Supplemento Altalex quotidiano, 2014.

MIOTTO, R., et al. “Deep patient: an unsupervised representation to predict the future of patients from the electronic health records”, Scientific reports 6.1: 1-10, 2016.

MORUZZI, M., PUGLIÈ, C. “Il fascicolo sanitario elettronico. Tecnologia, alta comunicazione e abbattimento delle barriere spazio-tempo per la cura e la prevenzione, in salute e società”, 2014.

PASCUZZI, G. “Il diritto dell’era digitale. Tecnologie informatiche e regole privatistiche”, Il Mulino, Bologna, 2002.

REDDY, S., “Use of artificial intelligence in healthcare delivery”, in eHealth-Making Health Care Smarter, IntechOpen, 2018.

SARTORI, L. “La tutela della salute pubblica nell’Unione europea”, in Cittadella, 2009.

SICLARI, D. “La sanità digitale: profili giuridici e di law and economics”, 2013.

TRAPANI, M. “GDPR e Intelligenza Artificiale: i primi passi tra governance, privacy, trasparenza e accountability”, in MANTELERO, A., POLETTI, D. (a cura di), “Regolare la tecnologia: il Regolamento UE 2016/679 e la protezione dei dati personali”, Pisa University Press, 2018.

 

[1] In questo ambito rientrano il trattamento e la gestione dei Big Data, il riconoscimento delle immagini (tra cui, ad esempio, il riconoscimento facciale), l’elaborazione del linguaggio naturale, le automobili dotate di sistemi di auto-guida, i sistemi aerei semi-autonomi, le macchine autonome, gli smart contracts, la domotica e l’loT.

[2] D’ACQUISTO, G., NALDI, M. “Big Data e privacy by design. Anonimizzazione, pseudonimizzazione, sicurezza” Giappichelli, Torino, 2017.

[3] Per approfondimenti sull’uso dell’AI nel processo diagnostico della malattia si veda REDDY, S., “Use of artificial intelligence in healthcare delivery” 2018, eHealth-Making Health Care Smarter, IntechOpen, https://www.intechopen.com/books/ehealth-making-health-care-smarter/use-of-artificial-intelligence-in-healthcare-delivery accesso in data 27/09/2020

[4] Si tratta di un sistema di machine learning particolarmente innovativo in grado di raggiungere un buon livello di potenza e flessibilità attraverso la rappresentazione del mondo circostante come una gerarchia nidificata di concetti, ognuno dei quali è definito in relazione ad altri concetti, e di rappresentazioni astratte, a loro volta definite in relazione a rappresentazioni meno astratte.

[5] MIOTTO, R., et al. “Deep patient: an unsupervised representation to predict the future of patients from the electronic health records”, 2016, Scientific reports 6.1: 1-10. https://www.nature.com/articles/srep26094.pdf accesso in data 27/09/2020.

[6] La straordinaria capacità dei sistemi IA di prevedere ed anticipare comportamenti con un’accuratezza senza precedenti pone sicuramente delle criticità nel nuovo panorama digitale: questi strumenti innovativi non solo rischiano di inasprire situazioni di discriminazione e di stereotipizzazione già esistenti, ma possono ridurre le effettive possibilità di scelta a disposizione degli individui fino all’estrema conseguenza di inibire l’esercizio delle relative libertà fondamentali: tra tutte, la tutela della sfera privata.

[7] SARTORI, L. “La tutela della salute pubblica nell’Unione europea”, 2009, Cittadella; IZZO, U., “Medicina e diritto nell’era digitale: i problemi giuridici della cibermedicina”, in Danno e resp., 2000.

[8] MARTINES, M. “La protezione degli individui rispetto al trattamento automatizzato dei dati nel diritto dell’Unione europea”, in Riv. it. dir. pubbl. com., 2000.

[9] SICLARI, D. “La sanità digitale: profili giuridici e di law and economics”, 2013. http://www.contabilita-pubblica.it/2013/Varie/Siclari%20.%2013.pdf accesso in data 27/09/2020.

[10] IZZO, U., GUARDA, P. “Sanità elettronica, tutela dei dati personali e digital divide generazionale: ruolo e criticità giuridica della delega alla gestione dei servizi di sanità elettronica da parte dell’interessato”, Trento Law and Technology Research Group Research Papers, 2010.

[11] Garante Privacy, provvedimento n. 331 del 4 giugno 2015, «Linee guida in materia di Dossier sanitario» [doc. web n. 4084632].

[12] CALIFANO, L. “Fascicolo sanitario elettronico (Fse) e dossier sanitario, in Sanità pubb. e priv., 2015.

[13] MARTINI, N. “Privacy ed e-health: problematiche e soluzioni”, in Supplemento Altalex quotidiano, 2014; PASCUZZI, G. “Il diritto dell’era digitale. Tecnologie informatiche e regole privatistiche”, Il Mulino, Bologna, 2002.

[14] Il Fascicolo sanitario elettronico si compone infatti di due profili fondamentali: da un lato, quello dell’archiviazione di una massa di dati ed informazioni; dall’altro, quello della condivisione dei dati così archiviati tra tutti gli operatori del sistema legittimati al trattamento. SICLARI, D. “La sanità digitale: profili giuridici e di law and economics”, in http://www.contabilita-pubblica.it/2013/Varie/Siclari%20.%2013.pdf accesso in data 27/09/2020.

[15] Il FSE risulta, dunque, molto più ampio e più completo del DSE e presenta l’ulteriore vantaggio di consentire una condivisione logica di portata estremamente più ampia. Ne consegue che il FSE può rilevarsi uno strumento particolarmente utile, essendo in grado di accentrare tutti i dati relativi alla salute di un paziente e rendendo tali dati accessibili e consultabili da qualunque medico che in un determinato momento abbia in cura quel paziente, indipendentemente dal luogo in cui si trovi. Naturalmente, una tale raccolta di dati e, in particolare, di dati relativi alla salute, rileva anche sotto il profilo della loro tutela: occorre, infatti, garantire che la raccolta, la consultazione e la conservazione dei dati personali avvenga nel pieno rispetto della normativa europea e nazionale in materia di trattamento dei dati personali. GUARDA, P., “Fascicolo sanitario elettronico”, in Dig. IV ed., agg., 2011;

LAMBERTI, L., “Diritto sanitario”, Ipsoa, Milano, 2012; MORUZZI, M., PUGLIÈ, C. “Il fascicolo sanitario elettronico. Tecnologia, alta comunicazione e abbattimento delle barriere spazio-tempo per la cura e la prevenzione, in salute e società”, 2014.

[16] L’assistito, infatti, può scegliere chi è autorizzato a consultare il suo Fascicolo, in quali condizioni e anche quali dati, scegliendo, quindi, anche l’oscuramento di alcune informazioni e ha, inoltre, la visibilità di chi e quando ha avuto accesso al suo FSE. GIANNINI, D. “L’accesso ai documenti”, Giuffrè, Milano, 2013.

[17] La predisposizione di strumenti di sanità digitale appare coerente con l’esigenza di assicurare l’effettività del diritto alla salute, come tutelato dall’articolo 32 della Costituzione, in cui la salute assurge a «fondamentale diritto dell’individuo e interesse della collettività», qualificando le forme di tutela apprestate dall’ordinamento.

[18] FLORIDI, L. “La quarta rivoluzione industriale. Come l’infosfera sta trasformando il mondo”, Cortina, 2017.

[19] Si fa riferimento a diritti quali la libertà di espressione, il pluralismo dell’informazione, l’uguaglianza nelle possibilità di partecipazione alla vita sociale, il libero determinarsi della identità personale, la protezione dei dati personali.

[20] Direttiva 90/385/CEE, Direttiva 93/42/CEE, Direttiva 98/79/CE.

[21] Si tratta del Regolamento UE comunemente noto con l’acronimo inglese GDPR, aggiornato alle rettifiche pubblicate sulla Gazzetta Ufficiale dell’Unione europea 127 del 23 maggio 2018. Ai fini della nostra analisi si vedano il sesto e settimo considerando del Regolamento: la rapidità dell’evoluzione tecnologica e la globalizzazione comporta la possibilità di accedere a dati personali altrui con grande facilità. Per questo, si rende necessario un quadro solido e coerente in materia di protezione dei dati nell’Unione, affiancato da efficaci misure di attuazione. Per un’analisi più completa, si consideri che ai sensi dell’art.4 (15) del Regolamento, si definiscono ‘dati relativi alla salute’ i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute. Si aggiunga infine che tali dati rientrano in una di quelle “categorie particolari” che l’art. 9.1 di codesto Regolamento sottopone ad un divieto assoluto di trattamento, salve le deroghe esplicitamente consentite dal comma 2 del medesimo articolo.

[22] Le direttive sono state abrogate nel 2017 rispettivamente dal Regolamento Dispositivi Medici (UE) 2017/745 e dal Regolamento Dispositivi medico-diagnostici in Vitro (UE) 2017/746, che si applicheranno rispettivamente a decorrere dal 26 maggio 2020 (ex. Art. 123.2 Regolamento 2017/745) e dal 26 maggio 2022 (ex. Art 113.2 Regolamento 2017/748)

[23] Si veda il punto 4 dell’Introduzione del Regolamento UE 2017/745.

[24] Le tecnologie basate sull’IA destinate ad essere utilizzate per finalità mediche rientrano nella categoria di Software as medical device (SaDM). Per approfondimenti sul tema si veda un paper pubblicato dalla Food and drug administration statunitense nel 2019: https://www.fda.gov/files/medical%20devices/published/US-FDA-Artificial-Intelligence-and-Machine-Learning-Discussion-Paper.pdf accesso in data 20/10/2020.

[25] “In particolare nell'ambito della task force «Armonizzazione globale» (GHTF) e dell'iniziativa che vi ha fatto seguito, International Medical Devices Regulators Forum (Forum internazionale dei legislatori in materia di dispositivi medici — IMDRF), onde promuovere una convergenza mondiale delle normative che contribuisca a un livello elevato di protezione della sicurezza in tutto il mondo e agevolare gli scambi, in particolare per quanto riguarda le disposizioni sull'identificazione unica del dispositivo, i requisiti generali di sicurezza e prestazione, la documentazione tecnica, le regole di classificazione, le procedure di valutazione della conformità e le indagini cliniche.” Punto 5 dell’Introduzione del Regolamento UE 2017/745.

[26] L’obiettivo è quello di realizzare un’azione coordinata a livello europeo che assicuri il più ampio sfruttamento delle potenzialità dell’Intelligenza artificiale, garantendo al contempo che il relativo sviluppo sia incentrato sull’uomo e destinato al bene comune con il fine ultimo di migliorare il benessere e la libertà degli individui. “Ethics Guidelines for Trustworthy A.I.”, documento pubblicato il 8 Aprile 2019, dall’High-Level Expert Group on A.I. (AI HLEG), costituito dalla Commissione europea.

[27] Declaration of cooperation on Artificial Intelligence (AI), siglata il 10 aprile 2018 da 25 Stati europei, Norvegia e Svizzera e Commissione europea.

[28] Queste Linee guida mirano a promuovere la diffusione di un’Intelligenza artificiale affidabile fondata sul contemporaneo agire di tre fattori essenziali: il rispetto dell’articolato quadro normativo in materia, la garanzia dei principi e dei valori etici e la solidità dei sistemi I.A. da un punto di vista tecnico e sociale. Cfr. “Ethics Guidelines for Trustworthy A.I.”.

[29] TRAPANI, M. “GDPR e Intelligenza Artificiale: i primi passi tra governance, privacy, trasparenza e accountability”, in MANTELERO, A., POLETTI, D. (a cura di), “Regolare la tecnologia: il Regolamento UE 2016/679 e la protezione dei dati personali”, Pisa University Press, 2018.

[30] BASSINI, M., LIGUORI, L., POLLICINO, O. “Sistemi di Intelligenza Artificiale, responsabilità e accountability. Verso nuovi paradigmi?” in PIZZETTI, F. (a cura di), “Intelligenza artificiale, protezione dei dati personali e regolazione”, Giappichelli, 2018.

[31] Al fine di garantire che tali principi non rimangano incompiuti, ma siano effettivamente impiegati nello sviluppo ed utilizzo concreto di tecnologie basate sull’Intelligenza artificiale, le Linee guida prevedono anche una lista di azioni operative per ognuno dei punti evidenziati, denominata «Trustworthy A.I. Assessment List», in modo da offrire agli operatori strumenti concreti per la valutazione effettiva dell’affidabilità dei sistemi utilizzati e favorire interventi tempestivi nel caso in cui vengano riscontrati elementi di criticità.

[32] In questo contesto, il Regolamento assolve quindi la funzione di rispondere all’esigenza di creare e immettere sul mercato prodotti e servizi di I.A. conformi alla legge e che non comportino rischi per gli individui.

[33] Cfr. art 24 del Regolamento (UE) 2016/679

[34] Dette misure debbono essere messe in atto ancor prima del rilascio delle informazioni personali e riguardare l’intero ciclo di utilizzo del dato.

[35] Cfr. Capitolo II, paragrafi 1.2 e 1.7 di “Ethics Guidelines for Trustworthy A.I.” 

[36] Cfr. art. 25 del Regolamento (UE) 2016/679

[37] Cfr. art. 5 del Regolamento (UE) 2016/679

[38] L’art. 35 del Regolamento, in particolare, stabilisce esplicitamente che in caso di attività di trattamento particolarmente delicate, tra le quali rientra «la valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione» il titolare è tenuto ad eseguire una valutazione di impatto al fine di verificare se il trattamento possa comportare un rischio elevato per i diritti e le libertà delle persone fisiche coinvolte, tenuto conto della natura dell’ambito di applicazione, del contesto e delle finalità previste.

[39] Cfr. “Ethics Guidelines for Trustworthy A.I.”.

[40] Si tratta di un vasto ed articolato sistema di norme a tutela dei soggetti che mettono a disposizione i propri dati personali, che vanno dal diritto di informazione (artt. 13-14) e di accesso (art.15) alla possibilità di richiedere la rettifica (art.16) o la cancellazione degli stessi (art.17), fino all’opportunità prevista di opporsi in qualsiasi momento (art.21).