E’ di fine luglio l’allarme che il Garante Privacy ha lanciato sui rischi dell’uso scorretto dell’intelligenza artificiale nell’interpretazione di referti medici.
Sì, non è un provvedimento ma “solo” una nota di stampa, ma i suoi contenuti vanno ben oltre la natura formalmente comunicativa dell’atto: si tratta infatti di una presa di posizione dell’Autorità che tocca nodi cruciali del rapporto tra innovazione tecnologica, protezione dei dati personali e sicurezza delle prestazioni sanitarie.
Indice degli argomenti
I problemi di usare l’AI con i referti medici
Non solo quindi protezione dei dati, ma anche sicurezza ed affidabilità clinica delle risposte della Ai generativa.
Si parte da un dato di fatto: la prassi sempre più diffusa di caricare analisi cliniche, radiografie e altri referti medici sulle piattaforme di intelligenza artificiale generativa per avere un riscontro diagnostico da parte della AI. E seppure non chiaramente precisato è evidente che il messaggio del Garante si rivolge a tutti coloro che cercano risposte tramite l’AI, non solo pazienti ma anche professionisti sanitari.
Per entrambi nessun divieto all’utilizzo della AI generativa, ma un forte richiamo ad un “utilizzo consapevole”, sia sotto il profilo della protezione dei dati che per quanto attiene al valore clinico delle risposte.
Vediamo allora i due aspetti sui cui il Garante si sofferma.
La Protezione dei Dati Sanitari nell’utilizzo della Ai generativa
Il primo profilo evidenziato dall’Autorità riguarda specificamente la protezione dei dati personali e si articola su due livelli fondamentali.
Il primo concerne la necessità di prestare particolare attenzione alla condivisione di dati sanitari con i sistemi di intelligenza artificiale generativa, richiamando la necessità di leggere le informative privacy.
Risulta infatti di assoluta rilevanza comprendere come vengono trattati i dati sanitari caricati online e se verranno utilizzati per l’addestramento dei software di IA.
Sotto questo profilo molti dei più noti servizi di intelligenza artificiale generativa consentono oggi di decidere la sorte di dati e documenti caricati online, ma questa facoltà richiede una scelta consapevole (cioè la lettura della informativa) da parte di chi utilizza la piattaforma.
Quindi i medici sono tenuti a farlo per tutelare i loro pazienti, questi ultimi per decidere dei loro dati.
Tema sviluppatori e web scraping
Il secondo richiamo è per gli sviluppatori dei modelli per finalità generali (tra cui rientra l’AI generativa) ed, in generale, di sistemi di AI: richiamo questo di estrema importanza perché, molto spesso, tali sviluppatori sono start up innovative, bravissime sotto il profilo informatico, ma magari un po’ meno attente al tema della protezione dei dati.
Sotto questo profilo il Garante ricorda il documento sul web scraping pubblicato a maggio 2024 (doc. web n.10020334) con il quale vengono fornite indicazioni sui fenomeni di raccolta massiva di dati personali dal web per finalità di addestramento dei modelli di intelligenza artificiale generativa.
Tale provvedimento evidenzia come il web scraping per finalità di addestramento dell’IA generativa rappresenti una sfida significativa per la protezione dei dati personali, suggerendo misure concrete come la creazione di aree riservate, l’inserimento di clausole anti-scraping nei termini di servizio, il monitoraggio del traffico di rete e specifici interventi sui bot.
Da ricordare poi (seppure non richiamata dal Garante) anche l‘Opinione EDPB 28/2024, la quale, affrontando aspetti specifici della protezione dei dati personali nel contesto dei modelli di intelligenza artificiale, fornisce un quadro di riferimento per le autorità di controllo nella valutazione di questioni relative all’anonimizzazione dei modelli IA, alla dimostrazione dell’appropriatezza dell’interesse legittimo come base giuridica e alle conseguenze del trattamento illecito di dati personali nella fase di sviluppo dei modelli.
La qualità delle informazioni e l’intervento umano
Il Garante si spinge poi oltre gli stretti confini della protezione dei dati e pone l’attenzione sul “valore clinico” delle informazioni fornite dai sistemi di IA generativa.
Qui, in linea poi con la visione antropocentrica della AI, l’Autorità richiama l’importanza di una intermediazione umana qualificata nella valutazione dei dati sanitari tramite sistemi di AI.
Si aprono allora due temi, tra loro interconnessi: la disciplina da applicare alla AI generativa e l’art. 14 dell’AI ACT sulla supervisione umana.
AI Generativa, necessaria sorveglianza umana
Dal 2 agosto 2025 l’immissione sul mercato di sistemi di IA generativa deve rispettare le disposizioni del Capo V dell’AI Act, che introduce obblighi specifici per i fornitori di modelli di IA per finalità generali (GPAI – General-Purpose AI): molto in sintesi il Capo V del Regolamento IA stabilisce obblighi per i fornitori di modelli GPAI, includendo requisiti di documentazione, trasparenza, gestione del rischio sistemico e cooperazione con le autorità competenti, obblighi di implementazione di sistemi di gestione della qualità, tenuta di registri accurati dell’addestramento.
Tali modelli poi possono essere essi stessi sistemi di IA oppure essere embedded in altri sistemi di IA: questa duplice natura tecnica ha implicazioni normative significative, poiché la qualificazione giuridica del modello può variare a seconda della sua implementazione e del contesto di utilizzo.
E qui si apre un altro tema richiamato dal Garante: quello della supervisione umana di cui all’art. 14 AI ACT, da applicarsi ai sistemi di Ai ad alto rischio, che possono senza dubbio incorporare modelli di AI generativa (in ambito sanitario per lo più dispositivi medici di Classe IIa, IIb, III – art. 6 AI ACT)
Tale articolo stabilisce che i sistemi di IA ad alto rischio devono essere progettati e sviluppati in modo da poter essere efficacemente supervisionati da persone fisiche durante il periodo in cui sono in uso, allo scopo di prevenire o ridurre al minimo i rischi per la salute, la sicurezza o i diritti fondamentali. Le misure di supervisione devono poi essere commisurate ai rischi, al livello di autonomia e al contesto di utilizzo del sistema di IA ad alto rischio.
L’intervento umano è quindi essenziale per prevenire rischi che potrebbero incidere direttamente sulla salute della persona, come peraltro già evidenziato dal parere del Consiglio Superiore di Sanità “I sistemi di intelligenza artificiale come strumento di supporto alla diagnostica” del 9 novembre 2021.
Tale obbligo di supervisione umana era inoltre già stata anticipata dall’Autorità nel Decalogo per la realizzazione di servizi sanitari nazionali attraverso sistemi di IA adottato nell’ottobre 2023 (doc. web n. 9938038).
Più esattamente al punto 9 si richiamava il parere congiunto EDPS/EDPB, sottolineando una distinzione fondamentale: generare contenuti, fare previsioni o adottare decisioni in maniera automatica attraverso sistemi di IA è cosa ben diversa rispetto alle modalità con cui queste stesse attività vengono svolte dagli esseri umani attraverso il ragionamento creativo o teorico, nella piena consapevolezza della responsabilità e delle relative conseguenze.
La sorveglianza umana quindi – in quanto mira a prevenire o ridurre al minimo i rischi per la salute, la sicurezza o i diritti fondamentali che possono emergere quando un sistema di IA ad alto rischio è utilizzato conformemente – deve sussiste in tutto il ciclo di vita del prodotto, dall’addestramento degli algoritmi all’ultilizzo della AI.
AI e referti medici: una sfida regolatoria
Si tratta insomma di un esempio di “vigilanza preventiva” attraverso il quale il Garante anticipa problematiche che già esistono, ma che potrebbero esplodere nel prossimo futuro.
Ed altresì è di estremo interesse la circostanza che tale comunicato non si occupi solo di protezione dei dati ma anche di sicurezza delle prestazioni sanitarie.
Una convergenza che palesa – per chi non se ne fosse accorto – una sfida regolatoria di particolare complessità, che richiede la collaborazione tra autorità privacy, autorità sanitarie e operatori del settore.
