Intelligenza Artificiale

Garante Privacy, c’è il decalogo per Intelligenza Artificiale nei servizi sanitari nazionali

di Livio Varriale
scritto da Livio Varriale 0 commenti 6 minuti di lettura

L’Intelligenza Artificiale sta ridefinendo i contorni della sanità pubblica, e il Garante per la protezione dei dati personali interviene con un decalogo pubblicato nel settembre 2023 per garantire l’equilibrio tra innovazione tecnologica e tutela dei diritti fondamentali. Il documento rappresenta una base di riferimento per operatori pubblici, legislatori e professionisti sanitari, delineando un quadro rigoroso e strutturato per l’introduzione dell’IA nei servizi sanitari nazionali. L’obiettivo è implementare sistemi di IA che siano legalmente sostenibili, tecnicamente affidabili ed eticamente accettabili, in linea con il GDPR, il Codice Privacy italiano e la proposta di Regolamento europeo sull’IA.

Basi giuridiche per i trattamenti IA in sanità

Il Garante chiarisce che i trattamenti effettuati mediante sistemi di IA nel contesto sanitario devono fondarsi su basi giuridiche solide, come previsto dall’articolo 9 del Regolamento UE 2016/679. Il trattamento di dati particolarmente sensibili, come quelli relativi alla salute, è consentito solo se giustificato da motivi di interesse pubblico rilevante e accompagnato da norme specifiche e proporzionate. L’articolo 2-sexies del Codice Privacy italiano dettaglia i casi e le modalità in cui tali dati possono essere trattati, stabilendo anche le misure di salvaguardia per gli interessati.

SCARICA IL DECALOGO

La profilazione e le decisioni automatizzate, in particolare se producono effetti giuridici, necessitano di una base legale esplicita nel diritto nazionale o europeo. Questo vincolo trova riscontro nell’articolo 22 del GDPR, così come nella sentenza n. 20 del 2019 della Corte Costituzionale, che ha ribadito l’importanza della proporzionalità nella normazione dei trattamenti automatizzati. Il decalogo invita quindi i legislatori a consultare l’Autorità Garante durante l’elaborazione delle norme, così da garantire una cornice giuridica chiara, coerente e predittiva.

Necessità e proporzionalità nei trattamenti IA

Uno dei cardini del documento è il principio secondo cui ogni trattamento deve essere necessario e proporzionato rispetto alla finalità perseguita. In ambito sanitario, dove vengono elaborati grandi volumi di dati sensibili, è essenziale che ogni dato trattato sia strettamente funzionale all’obiettivo diagnostico o terapeutico. L’uso dell’IA, per quanto potenzialmente rivoluzionario, non può giustificare un accesso indiscriminato a dati personali. Il Garante richiama l’uso del toolkit dell’EDPS per l’assessment della proporzionalità e invita gli operatori a condurre analisi costi-benefici e valutazioni alternative meno invasive. Questo approccio permette di preservare l’efficacia del trattamento senza comprimere in modo sproporzionato i diritti degli interessati. Il decalogo guida anche i legislatori nel definire norme dettagliate, che specifichino le finalità e i limiti del trattamento, riducendo così il rischio di abusi e rafforzando la trasparenza normativa.

Chiarezza dei ruoli e responsabilità

Il documento precisa i ruoli e le responsabilità dei soggetti coinvolti nel trattamento. Il titolare del trattamento, di norma l’ente sanitario pubblico, è colui che determina le finalità e i mezzi, mentre il responsabile del trattamento, soggetto designato tramite atto formale ai sensi dell’articolo 28 del GDPR, gestisce operativamente i dati secondo istruzioni documentate. La mancanza di una designazione esplicita o l’uso improprio dei dati da parte di soggetti non autorizzati costituisce violazione grave. Il Garante sottolinea l’importanza di contratti chiari, protocolli interni e designazioni formali, in particolare per i trattamenti gestiti tramite piattaforme di IA. Sistemi sanitari complessi, che vedono la partecipazione di più soggetti istituzionali e fornitori tecnologici, necessitano di un framework organizzativo chiaro e documentato, capace di garantire accountability, tracciabilità e sicurezza in ogni fase del trattamento.

Conoscibilità, trasparenza e non discriminazione

Il Garante enfatizza il diritto alla conoscibilità dei processi algoritmici, sancito dalla giurisprudenza del Consiglio di Stato e dal considerando 71 del GDPR. Ogni individuo ha diritto a essere informato in modo comprensibile circa la logica sottostante alle decisioni automatizzate che lo riguardano. Questo principio si collega strettamente alla necessità di evitare discriminazioni algoritmiche, che possono derivare da dataset incompleti, distorti o non rappresentativi. Il documento richiede che i sistemi sanitari pubblici garantiscano intervento umano nelle decisioni critiche, applicando un modello human-in-the-loop che consenta di validare, correggere o annullare decisioni automatiche. L’implementazione di algoritmi deve includere procedure di verifica periodica, dataset diversificati per l’addestramento e strumenti di explainable AI, così da ridurre il rischio di pregiudizi sistemici e garantire equità di trattamento.

Valutazione d’impatto sulla protezione dei dati

La valutazione d’impatto sulla protezione dei dati (DPIA) è obbligatoria per ogni progetto che preveda l’impiego di IA nei servizi sanitari, come stabilito dall’articolo 35 del GDPR. L’impiego di tecnologie nuove o particolarmente invasive, come sistemi di machine learning applicati alla diagnosi, richiede un’analisi approfondita di rischi, contesto e misure di mitigazione. Il Garante fornisce template operativi e raccomanda la pubblicazione di estratti della DPIA per favorire la trasparenza. Il titolare del trattamento, coadiuvato dal DPO, deve documentare ogni fase del processo, consultare il Garante in caso di rischi elevati residui e aggiornare periodicamente la valutazione. Questo strumento non è solo un adempimento burocratico, ma un pilastro dell’accountability, capace di elevare il livello di fiducia e prevenire danni reputazionali e sanzioni.

Qualità e sicurezza dei dati

La qualità del dato rappresenta un prerequisito fondamentale per l’affidabilità dei sistemi IA in sanità. Il Garante impone che i dati siano esatti, aggiornati, completi e rilevanti, come previsto dall’articolo 5 del GDPR. L’elaborazione algoritmica di informazioni imprecise può condurre a errori diagnostici gravi, con impatti diretti sulla salute degli individui. Il decalogo richiama la necessità di verifica delle fonti, validazione periodica dei dataset, standardizzazione dei formati e coinvolgimento dei professionisti sanitari nel controllo della qualità. In parallelo, il principio di sicurezza dei trattamenti, disciplinato dall’articolo 32 del GDPR, impone l’adozione di misure adeguate come cifratura, pseudonimizzazione, backup, gestione degli accessi e protocolli ISO. I sistemi IA in sanità, per loro natura esposti ad attacchi sofisticati, devono essere progettati con resilienza intrinseca, auditabilità e capacità di recovery rapido.

Supervisione umana e profili etici

Il documento evidenzia come la supervisione umana debba essere integrata nel ciclo di vita dell’IA, non solo come forma di controllo, ma come garante di etica e responsabilità professionale. Il Garante fa riferimento al parere congiunto EDPS-EDPB che richiama il rischio di disumanizzazione delle decisioni automatizzate. La presenza di un operatore qualificato nella fase di validazione degli output è essenziale per correggere errori, interpretare le probabilità diagnostiche e rispondere ai casi borderline. Sul piano etico, il decalogo richiama i documenti del Comitato Nazionale per la Bioetica e del Gruppo di esperti UE sull’IA, imponendo che gli algoritmi sanitari siano progettati nel rispetto della dignità umana, dell’equità sociale e della non discriminazione. L’etica non si limita all’intenzione progettuale, ma si traduce in pratiche operative, valutazioni preventive e audit continui, che coinvolgano anche stakeholder esterni, come associazioni di pazienti, giuristi e bioeticisti. Il decalogo del Garante Privacy segna un momento di maturazione normativa e tecnica nell’impiego dell’Intelligenza Artificiale nei servizi sanitari. Attraverso linee guida coerenti con il GDPR e la normativa nazionale, vengono stabiliti standard precisi su basi giuridiche, necessità, proporzionalità, trasparenza, qualità, sicurezza e supervisione umana. L’applicazione del principio human-in-the-loop garantisce che gli algoritmi restino strumenti assistivi, e non autonomi decisori, in un ecosistema dove l’innovazione digitale deve sempre convivere con la tutela dei diritti fondamentali e il rispetto della dignità della persona.

Giornalista e scrittore: le sue specializzazioni sono in Politica, Crimine Informatico, Comunicazione Istituzionale, Cultura e Trasformazione digitale. Autore del saggio sul Dark Web e il futuro della società digitale “La prigione dell’umanità” e di “Cultura digitale”. Appassionato di Osint e autore di diverse ricerche pubblicate da testate Nazionali. Attivista contro l’abuso dei minori, il suo motto è “Coerenza, Costanza, CoScienza”.

Articoli correlati

OpenAI lancia GPT-5 e Microsoft integra GPT-4o in...

ChatGPT si evolve in benessere, Apple investe in...

OpenAI rimuove le conversazioni degli utenti da Internet...

Aziende trascurano la sicurezza AI: rischi emergenti

OpenAI prepara GPT-5 e ChatGPT Shop, mentre l’AI...

Gemini 2.5 Pro e ChatGPT Agent guidano la...

MatriceDigitale.it – Copyright © 2024, Livio Varriale – Registrazione Tribunale di Napoli n° 60 del 18/11/2021. – P.IVA IT10498911212 Privacy Policy e Cookies

Facebook Twitter Instagram Youtube Rss Envelope