L’utilizzo di sistemi di intelligenza artificiale in sanità trova oggi i suoi perimetro in varie e nuove discipline: il Reg.Ue 2024/1689 (AI ACT) che riguarda in particolare i prodotti (sistemi di AI), nel nuovo Disegno di legge sulla intelligenza artificiale (Atto Camera 2316) trasmesso dal Senato alla Camera il 20 marzo (e che dovrebbe completare la discussione e la votazione alla Camera entro il 5 giugno); da ultimo non meno importante il GDPR e, nello specifico, il Decalogo per la realizzazione di servizi sanitari nazionali attraverso sistemi di Intelligenza Artificiale (pubblicato in ottobre 2023).
Vediamo allora i contenuti dell’art. 7 del disegno di legge e poi i profili privacy.
Indice degli argomenti
Analisi dell’art. 7 disegno di legge in materia di intelligenza artificiale
Nel disegno di legge italiano sull’intelligenza artificiale l’articolo 7, titolato (Uso dell’intelligenza artificiale in ambito sanitario e di disabilità) rappresenta la prima norma nazionale che affronta in modo organico l’impiego dell’IA nei settori della sanità e della disabilità, fissando principi generali e obiettivi strategici.
Un articolo infatti non detta regole tecniche, ma introduce una cornice valoriale: etica, trasparenza, non discriminazione e centralità della persona diventano criteri guida per lo sviluppo e l’uso di tecnologie che, per definizione, incidono su diritti fondamentali.
Uso etico e responsabile dell’IA in ambito sanitario
Il primo obiettivo della norma è chiaramente dichiarato: promuovere un impiego etico e responsabile dell’intelligenza artificiale, finalizzato al miglioramento della prevenzione, diagnosi, cura e qualità della vita. L’innovazione tecnologica è quindi vista come una leva di miglioramento del sistema sanitario, ma da impiegare nel rispetto del diritto alla salute, della dignità del paziente e della libertà di scelta.
L’approccio antropocentrico
I sistemi di IA possono supportare, ma non sostituire, le decisioni del medico. È una scelta normativa chiara, in linea con i principi dell’AI Act europeo, che sancisce il primato del controllo umano sui sistemi ad alto rischio. Nel contesto sanitario, questo principio assume una valenza particolare: la responsabilità clinica resta sempre in capo al professionista, che deve saper utilizzare lo strumento tecnologico senza esserne vincolato. Di conseguenza, si impone anche una riflessione sulla formazione continua dei professionisti sanitari (chiamati a comprendere – oltre che usare – l’IA nei percorsi diagnostici e terapeutici) che si sposa perfettamente con gli obblighi di AI Literacy di cui all’art. 4 dell’AI ACT
Divieto di discriminazione nell’accesso alle cure
L’articolo 7 introduce una disposizione tanto essenziale quanto necessaria: nessun sistema automatizzato può limitare l’accesso alle prestazioni sanitarie. È un principio che deve valere sia per la programmazione pubblica che per la gestione clinica, e che impedisce l’utilizzo dell’IA come strumento selettivo o escludente.
In altre parole, l’adozione di soluzioni tecnologiche non può creare barriere implicite – ad esempio legate al profilo socioeconomico, alla residenza, o al livello di digital literacy – nell’accesso al diritto alla salute.
Trasparenza, informazione e consenso informato
Un altro aspetto di rilievo riguarda la trasparenza dell’impiego dell’IA nei percorsi clinici.
L’art. 7 comma 3 stabilisce infatti che: “L’interessato ha diritto di essere informato sull’impiego di tecnologie di intelligenza artificiale.”
Questo è senza dubbio un aspetto che merita un attimo di riflessione.
Come noto infatti nel nostro ordinamento l’art. 1 comma 1 Legge 22 dicembre 2017, n. 219 “Norme in materia di consenso informato e di disposizioni anticipate di trattamento” legge stabilisce che: «Nessun trattamento sanitario può essere iniziato o proseguito se privo del consenso libero e informato della persona interessata, tranne che nei casi espressamente previsti dalla legge».
La combinazione delle due norme comporta che il paziente dovrà essere informato non solo degli aspetti clinici ma anche di quelli tecnologici (uso della AI), potendo a quel punto esprimere il proprio consenso o rifiutare le cure.
Si tratta di un cambio di paradigma: il paziente diventa anche interlocutore consapevole rispetto agli strumenti che orientano il proprio percorso di cura.
IA e disabilità: tecnologie al servizio dell’inclusione
L’articolo valorizza l’IA come strumento per promuovere l’autonomia, la mobilità indipendente e l’inclusione sociale delle persone con disabilità. In coerenza con la legge 227/2021 e con gli obiettivi del PNRR, la norma incoraggia lo sviluppo e la diffusione di tecnologie assistive integrate nei progetti di vita personalizzati. Si tratta di un approccio che supera la mera logica del “supporto” tecnologico, per abbracciare una visione abilitante e partecipativa, in cui l’IA diventa fattore di empowerment individuale.
Qualità, aggiornamento e affidabilità dei sistemi
Infine, la norma stabilisce l’obbligo di verifica e aggiornamento periodico dei sistemi di IA, nonché dei dati utilizzati per alimentarli.
Più esattamente sancisce che ” I sistemi di intelligenza artificiale utilizzati in ambito sanitario e i relativi dati impiegati devono essere affidabili, periodicamente verificati e aggiornati al fine di minimizzare il rischio di errori e migliorare la sicurezza dei pazienti.”
La norma non stabilisce esattamente chi deve essere il responsabile di tali controlli, ma se combiniamo tale obbligo con quelli di cui al Cap IX dell’AI ACT relativi alla sorveglianza post commercializzazione ed alla vigilanza sui sistemi di AI ad alto rischio in capo al fornitore del sistema AI, capiamo bene come la governance interna della struttura sanitaria ed le procedure post commercializzazione del fornitore di AI dovranno fortemente interconnettersi.
Uso dell’AI nelle strutture sanitarie e protezione dei dati
Come visto sopra l’art. 7 del DDL intelligenza artificiale non introduce nuove regole relative al trattamento dei dati (come invece avviene all’art. 8 sulla ricerca per lo sviluppo della AI e art. 9 sulla ricerca attraverso strumenti di AI).
Ciò non toglie che erogare una prestazione sanitaria attraverso un sistema di AI significa trattare i dati dei pazienti in maniera diversa rispetto al trattamento che avviane attraverso altre tipologie di software.
Solo a titolo di esempio molti algoritmi operano attraverso “black box”, rendendo opaca la logica decisionale e rendendo quindi complesso il rispetto degli articoli dal 13-14 del GDPR (nonché gli obblighi di spiegabilità di cui all’art. art. 13 GDPR), i rischi legati agli algoritmi di AI sono più alti richiedendo quindi una DPIA, l’utilizzo di un sofwtare di AI in sanità può configurare una profilazione ex art. 22 GDPR ecc.
Ma il vero dubbio oggi è un altro: utilizzare un sistema di AI per erogare una prestazione sanitaria richiede una base giuridica ad hoc?
La risposta a questo quesito passa attraverso l’analisi dell’art. 9 par, 2 lett h) GDPR, del provvedimento Garante Privacy n. 55 del 7 marzo 2019 e dei contenuti del Decalogo per la realizzazione di servizi sanitari nazionali attraverso sistemi di Intelligenza Artificiale.
L’art. 9 par, 2 lett. h) legittima il trattamento di particolari categorie di dati quando
h) il trattamento è necessario per finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali sulla base del diritto dell’Unione o degli Stati membri o conformemente al contratto con un professionista della sanità.
Quando un trattamento dati può essere considerato necessario
Ma quando possiamo considerare che un trattamento di dati è “necessario”?
In altre parole: se un ospedale decide di dismettere una obsoleta apparecchiatura di diagnostica per immagini e ne acquista una nuova che opera attraverso sistemi di AI, fatta salva l’informativa e consenso alle cure ex art. 7 del DDL sopra illustrato può trattare i dati ai sensi dell’art. 9 lett. h)?
Il dubbio (che mi è stato rappresentato da più parti) sorge alla luce dei contenuti sia del Provvedimento Garante Privacy n. 55 del 7 marzo 2019 e del Decalogo del Garante Privacy.
In realtà una attenta lettura di entrambi i provvedimenti porta a ritenere che l’utilizzo di sistemi di AI per l’erogazione delle prestazioni possa farsi rientrare nell’art. 9 lett- h).
Ciò per le seguenti ragioni.
Il provvedimento Garante marzo 2029 stabilisce che per quanto riguarda l’ambito oggettivo :
“… trattamenti di cui all’art. 9, par. 2, lett. h) sono infatti quelli “necessari” al perseguimento delle specifiche “finalità di cura” previste dalla norma, cioè quelli essenziali per il raggiungimento di una o più finalità determinate ed esplicitamente connesse alla cura della salute (cfr. considerando 53 del Regolamento). Gli eventuali trattamenti attinenti, solo in senso lato, alla cura, ma non strettamente necessari, richiedono, quindi, anche se effettuati da professionisti della sanità, una distinta base giuridica da individuarsi, eventualmente, nel consenso dell’interessato o in un altro presupposto di liceità (artt. 6 e 9, par. 2, del Regolamento).
Il provvedimento collega quindi in maniera molto stretta la finalità del trattamento con la necessità di trattare determinati dati – collegamento peraltro ribadito molto bene nella sentenza CGCE causa C-667/21 (ZQ contro Medizinischer Dienst der Krankenversicherung Nordrhein) proprio in relazione all’art. 9 lett, h).
Quindi il fatto che il nuovo sistema di AI tratti i dati per l’erogazione della cura in maniera diversa potrà far innalzare le misure di sicurezza, ma non dovrebbe in alcun modo richiedere una nuova base giuridica.
Si ritiene quindi di poter sostenere che la struttura che eroga la prestazione sanitaria (sia nel pubblico che nel privato) può legittimamente decidere “come” erogare questa prestazione, cioè attraverso quali strumenti: tale tesi appare anche supportata (quanto meno per il pubblico) dalla sentenza della Corte di Cassazione n. 6177 del 1 marzo 2023 nella quale si afferma che la PA nell’ambito del suo potere di autorganizzazione può utilizzare sistemi di AI (nel caso si trattava del software “Data Mining Savio”).
Base giuridica del trattamento e ruolo del Garante
Per quanto attiene poi al Decalogo del Garante lo stesso non sembra riferirsi ai casi di erogazione di prestazioni sanitaria, ma ai diversi casi in cui la PA tratta i dati con strumenti di AI per svolgere una attività di interesse pubblico, quindi sotto il cappello dell’art. 9 lett. g) (e non della lett. h)
L’incipit del Decalogo infatti così afferma: “Il trattamento di dati sulla salute da parte di soggetti che perseguono compiti di interesse pubblico deve necessariamente fondarsi sul diritto dell’Unione o degli Stati membri, che deve essere proporzionato alla finalità perseguita, rispettare l’essenza del diritto alla protezione dei dati e prevedere misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato (art. 9, par. 2, lett. g) del Regolamento; cfr. sul punto sentenza della Corte Costituzionale n. 20 del 2019)”
A parere di chi scrive non si tratta quindi dell’utilizzo della AI nell’ambito della erogazione della prestazione, ma in ambito di funzioni pubbliche relative alla sanità, quali ad esempio utilizzo della AI per effettuare una clusterizzazione dei pazienti per sviluppare la medicini di iniziativa, analisi tramite AI di registri di sorveglianza epidemiologica e/o programmi di screening e di prevenzione ecc.
In questo caso, ovviamente, il trattamento dovrà avere la sua base giuridica in un provvedimento nazionale o in un atto amministrativo generale ex art. 2-sexies Codice privacy.
