L’impiego progressivo di sistemi di intelligenza artificiale nella medicina contemporanea sta determinando una trasformazione strutturale delle modalità di erogazione delle prestazioni sanitarie, spostando il paradigma dell’assistenza verso una medicina sempre più personalizzata incentrata sull’individuo, più che sulla patologia.
Sistemi di diagnostica predittiva, tra cui i Clinical Decision Support Systems (CDSS), sono in grado di prevedere l’insorgenza di patologie, stimare il rischio di complicanze o suggerire percorsi terapeutici personalizzati e si prefiggono l’obiettivo di determinare le condizioni per un miglioramento dell’efficienza ed efficacia delle prestazioni nei confronti dei pazienti, ma nel contempo incrementare anche l’efficienza organizzativa delle strutture sanitarie.
Tuttavia, l’utilizzo di tali sistemi pone la necessità di approfondire questioni giuridiche complesse, in particolare laddove le decisioni cliniche vengano supportate, o in parte determinate, da modelli algoritmici non pienamente interpretabili. Stiamo assistendo infatti ad un paradosso strutturale che il diritto fatica ancora a risolvere: siamo di fronte a sistemi algoritmici sempre più potenti, ma anche sempre meno interpretabili e spiegabili.
Indice degli argomenti
Un esempio pratico
Ad esempio, i modelli di deep learning impiegati nella diagnostica per immagini o nella predizione del rischio oncologico fondano le proprie elaborazioni su architetture a reti neurali profonde e sempre di più imperscrutabili anche ai propri sviluppatori, fenomeno ben noto come black box.
Al di là del mero tema tecnico, che attiene soprattutto a fenomeni di tutela industriale connessa con i sistemi “intelligenti”, una questione assolutamente centrale è certamente giuridica e normativa: quale informazione deve essere fornita al paziente su una decisione clinica supportata da sistemi intelligenti? Chi è il soggetto giuridicamente obbligato a fornirla? Come si distribuisce la responsabilità lungo la catena operativa che coinvolge struttura sanitaria, personale medico e fornitore di software?
Le prime risposte, in attesa di approfondite pronunce giurisprudenziali della Suprema Corte di Cassazione, che sta con accuratezza analizzando il tema, emergono con chiarezza dalla lettura coordinata del Regolamento (UE) 2016/679 (GDPR), del Regolamento (UE) 2024/1689 (AI Act), della legge n. 219/2017 sul consenso informato e della legge n. 24/2017 (Gelli-Bianco): la spiegabilità algoritmica in ambito sanitario non è un’opzione di trasparenza, bensì condizione di liceità del trattamento dei dati, presupposto della validità del consenso informato e fondamento della corretta attribuzione delle responsabilità professionali.
Le basi giuridiche dei dati sanitari nei sistemi predittivi
I sistemi di diagnostica predittiva, per poter fornire analisi sempre più performanti, avranno la necessità di elaborare grandi quantità di dati clinici, provenienti da più fonti, quali i registri di patologia, i dispositivi medici connessi, le piattaforme di telemedicina, i dossier ospedalieri ed i fascicoli sanitari elettronici.
Tali trattamenti ricadono integralmente nella disciplina dell’art. 9 GDPR, che pone un divieto generale di trattamento delle categorie particolari di dati – tra cui i dati relativi alla salute – derogabile esclusivamente in presenza di condizioni tassative.
Le eccezioni operativamente rilevanti in ambito sanitario sono in buona sostanza la finalità di diagnosi, assistenza o terapia (par. 2, lett. h), l’interesse pubblico nel settore della sanità pubblica (lett. i) e la ricerca scientifica (lett. j).
Questo schema di deroghe, in attesa di prossimi Regolamenti UE che cercheranno ulteriormente di armonizzare il tema, deve essere coordinato con il d.lgs. 196/2003, come novellato dal d.lgs. 101/2018, nonché con la produzione regolatoria del Garante per la protezione dei dati personali, che include le Linee guida sul Fascicolo Sanitario Elettronico, il Provvedimento n. 55/2019 sui dati genetici e le indicazioni in materia di telemedicina, oltre ai numerosi provvedimenti e suggerimenti.
La DPIA
Un tema di particolare rilievo, spesso purtroppo sottovalutato nella prassi operativa, attiene all’obbligo di predisporre valutazioni d’impatto sulla protezione dei dati (DPIA) ai sensi dell’art. 35 GDPR.
L’impiego di sistemi predittivi integra, infatti, un trattamento ad alto rischio, in considerazione della concomitante presenza di dati appartenenti a categorie particolari, dell’utilizzo di nuove tecnologie, della produzione di effetti significativi sulla persona e di attività di profilazione su larga scala.
In tale prospettiva, la lista dei trattamenti soggetti a DPIA adottata dal Garante per la protezione dei dati personali conferma tale inquadramento; ne consegue che l’assenza di una specifica valutazione d’impatto per sistemi di IA diagnostica può integrare una violazione autonoma della disciplina in materia di protezione dei dati personali, suscettibile di sanzione anche a prescindere dall’accertamento di un danno concreto in capo all’interessato.
Spiegabilità algoritmica in sanità e decisione clinica automatizzata
Il nucleo normativo del Right to Explanation risiede nell’art. 22 GDPR, che riconosce all’interessato il diritto di non essere sottoposto a decisioni basate unicamente su trattamento automatizzato che producano effetti giuridici o incidano in modo analogo significativamente sulla sua persona.
In ambito sanitario, questa fattispecie si realizza con frequenza ben maggiore di quanto le strutture siano inclini ad ammettere.
Una diagnosi algoritmica che possa orientare un percorso terapeutico, uno scoring di rischio che determina la priorità di accesso a un intervento chirurgico, un sistema di triage automatizzato che smista i pazienti del pronto soccorso, sono evidentemente situazioni che integrano – almeno potenzialmente – la fattispecie della norma citata.
Le strutture sanitarie tendono a ritenere di essere al sicuro dall’applicazione dell’art. 22 in ragione della revisione medica dell’output algoritmico. Tuttavia, la Corte di Giustizia dell’Unione Europea, nella sentenza OQ c. Land Hessen (C-634/21), ha chiarito che il concetto di “decisione” include gli atti che incidono significativamente sulla sfera personale dell’interessato, e che l’intervento umano richiesto dalla norma deve essere significativo, presupponendo la capacità concreta di comprendere, valutare e discostarsi dall’output algoritmico.
Un’approvazione acritica dell’esito prodotto dal sistema non costituisce supervisione nel senso giuridico del termine: configura, piuttosto, automazione mascherata da responsabilità umana, con conseguente aggravamento della responsabilità in capo alla struttura.
Il “diritto alla spiegazione”
Va detto che il GDPR non contiene una norma esplicita che istituisca un “diritto alla spiegazione“, ma tale diritto è ricavato per via interpretativa sistematica dal combinato disposto degli artt. 13, 14, 15 e 22 e dei Considerando 60, 63 e 71.
L’art. 13, par. 2, lett. f) e l’art. 14, par. 2, lett. g) impongono al titolare di fornire ai soggetti interessati, già al momento della raccolta, informazioni sulla eventuale logica del trattamento automatizzato. L’art. 15 garantisce all’interessato l’accesso a tali informazioni in qualsiasi momento successivo.
Il Considerando 71 ne esplicita il contenuto minimo: logica del trattamento, importanza, conseguenze previste, diritto all’intervento umano e alla contestazione.
Il Comitato europeo per la protezione dei dati (EDPB) ha chiarito che le informazioni richieste devono essere meaningful (significative e facilmente comprensibili) senza tuttavia giungere ad un obbligo (difficilmente attuabile) con la necessità di divulgazione del codice sorgente.
Il titolare del trattamento è tenuto a comunicare le finalità del sistema, i criteri generali di funzionamento, le conseguenze della raccomandazione diagnostica per l’interessato e il ruolo dell’intervento umano nel processo decisionale.
Cosa dice il Garante privacy
Il Garante Privacy, in più occasioni, proprio in consonanza delle cautele dianzi espresse, ha inteso ricondurre la trasparenza algoritmica ai principi di liceità, correttezza e trasparenza sanciti dall’art. 5 GDPR e al principio di accountability di cui all’art. 24 GDPR, rendendola parte integrante del quadro di conformità e non mero elemento accessorio.
A conferma di tale impostazione, nelle conclusioni rese nella causa C-203/22, relativa all’utilizzo di sistemi di credit scoring automatizzato, l’Avvocatura Generale presso la Corte di giustizia dell’Unione europea ha ribadito che il diritto di accesso dell’interessato alle informazioni relative a trattamenti automatizzati, previsto dagli artt. 15 e 22 del Regolamento (UE) 2016/679, non può essere eluso mediante il mero richiamo alla riservatezza commerciale o al segreto industriale del fornitore del sistema.
Pur dovendo essere operato un bilanciamento con la tutela del know-how e dei segreti commerciali, tali esigenze non possono tradursi in una compressione sostanziale del diritto alla trasparenza, dovendo comunque essere garantita all’interessato la possibilità di conoscere in modo chiaro e intelligibile i criteri principali, i parametri rilevanti e la logica generale alla base della decisione automatizzata che lo riguarda, senza che sia necessario rendere accessibile l’intero algoritmo o il codice sorgente, ma escludendosi che il titolare possa limitarsi a comunicazioni generiche o meramente formali.
Spiegabilità algoritmica in sanità, consenso informato e responsabilità medica
Spiegabilità, consenso informato e responsabilità medica: la convergenza normativa
Il delicato tema della spiegabilità algoritmica in ambito sanitario deve essere analizzato sulla base di tre piani e fronti di rischio giuridico, simultanei e convergenti.
Il primo attiene, come abbiamo avuto modo di introdurre, alla violazione del GDPR per carenza di trasparenza informativa.
Il secondo riguarda la violazione della legge n. 219/2017 sul consenso informato, che impone al personale sanitario di fornire al paziente informazioni complete, aggiornate e comprensibili sui trattamenti proposti: un medico che utilizza un algoritmo diagnostico “opaco” difficilmente può essere in grado di soddisfare questo requisito, poiché non può spiegare ciò che egli stesso non comprende. Il consenso acquisito in tali condizioni potrebbe essere formalmente valido ma sostanzialmente non efficace, e pertanto contestabile in sede di contenzioso.
La responsabilità professionale
Il terzo fronte attiene alla responsabilità professionale ai sensi della legge n. 24/2017 (Gelli-Bianco): in presenza di una decisione clinicamente determinante fondata su un output algoritmico non spiegabile, l’attribuzione della responsabilità tra medico, struttura sanitaria e fornitore del software rimane un territorio normativo in larga parte ancora inesplorato, ma è orientata dal principio in base al quale la conformità del fornitore non esonera la struttura dalla propria responsabilità come titolare del trattamento.
Queste tre dimensioni di rischio non si escludono ma si sovrappongono, determinando un’esposizione giuridica complessiva che non può essere gestita con strumenti parcellizzati.
L’entrata in vigore del Regolamento (UE) 2024/1689 sull’intelligenza artificiale (AI Act) introduce un ulteriore livello normativo che non sostituisce, ma integra il quadro GDPR con obblighi specifici per i sistemi classificati ad alto rischio.
I sistemi di supporto decisionale clinico e di diagnostica predittiva rientrano nell’Allegato III del Regolamento, con conseguenti obblighi di documentazione tecnica dettagliata, registrazione dei log di sistema per garantire la tracciabilità, supervisione umana qualificata, requisiti di trasparenza e interpretabilità e valutazione d’impatto sui diritti fondamentali prima dell’impiego (art. 27).
Il principio di Ethics by design – che richiama e rafforza il privacy by design dell’art. 25 GDPR – impone che spiegabilità, tracciabilità e auditabilità siano integrate nella progettazione del sistema sin dall’origine, e non certamente aggiunte ex post in chiave rimediale.
Governance algoritmica e responsabilità nelle strutture sanitarie
La risposta operativa al quadro normativo descritto richiede un approccio sistematico ed inevitabilmente proattivo e multidisciplinare.
Il punto di partenza imprescindibile è la costruzione di un inventario completo dei sistemi algoritmici in uso, con classificazione del rischio ai sensi dell’Allegato III dell’AI Act e del GDPR: senza questa mappatura, non è possibile valutare l’esposizione normativa complessiva della struttura.
Il secondo pilastro è la conduzione di DPIA specifiche per ogni sistema di IA a supporto decisionale clinico, inclusive della valutazione della logica del modello, dei dataset di addestramento – con specifica attenzione ai rischi di bias discriminatori – e delle misure di supervisione umana.
Sul piano contrattuale, i rapporti con i fornitori dei sistemi di intelligenza artificiale devono essere disciplinati mediante clausole specifiche che garantiscano al titolare del trattamento un effettivo controllo sul funzionamento delle soluzioni utilizzate, prevedendo, in particolare, il diritto di accesso alla documentazione tecnica rilevante ai fini della conformità normativa, l’obbligo di preventiva comunicazione di modifiche ai modelli, ai dataset di addestramento o ai parametri di funzionamento, nonché adeguate garanzie di auditabilità e verificabilità dei processi automatizzati, in coerenza con gli artt. 28, 24 e 32 del Regolamento (UE) 2016/679 e con i principi di accountability e privacy by design.
La necessità di un comitato tecnico-etico
In tale prospettiva, l’istituzione di un comitato tecnico-etico per il governo dell’IA in ambito clinico – composto da competenze multidisciplinari, tra cui clinici, giuristi, ingegneri informatici e rappresentanti dei pazienti – potrebbe consentire di centralizzare le valutazioni di conformità, coordinare le attività di valutazione d’impatto, monitorare l’evoluzione dei sistemi e garantire continuità nell’aggiornamento delle politiche di governance algoritmica e di formazione del personale interessato.
In questo assetto, il Responsabile della protezione dei dati (DPO) assume il ruolo di interlocutore tecnico qualificato nei confronti dei fornitori e dovrebbe poter partecipare ai processi decisionali in funzione consultiva e di sorveglianza, ai sensi degli artt. 38 e 39 GDPR, contribuendo a garantire la conformità dei trattamenti ad alto rischio e la corretta integrazione tra requisiti tecnologici, clinici e giuridici.
Il “Right to Explanation” in ambito sanitario rappresenta, in questa prospettiva, il vero discrimine tra una struttura che si limita ad adottare strumenti digitali e una struttura che ne ha pienamente assunto la responsabilità giuridica, clinica e organizzativa.
La convergenza normativa tra Regolamento (UE) 2016/679, Regolamento (UE) 2024/1689 (AI Act), legge n. 219/2017 in materia di consenso informato e legge n. 24/2017 sulla sicurezza delle cure non determina una ridondanza regolatoria, ma realizza un sistema di garanzie multilivello volto a presidiare, con strumenti differenti ma complementari, un medesimo valore fondamentale: il diritto del paziente al controllo consapevole sulle decisioni che incidono sulla propria salute.
Come fare
In questo quadro, la spiegabilità algoritmica non costituisce un mero requisito di trasparenza tecnica, bensì la condizione necessaria per la validità del consenso informato, per la liceità del trattamento dei dati personali, per la sicurezza delle cure e per la corretta individuazione delle responsabilità professionali e organizzative.
Le strutture sanitarie sono pertanto chiamate a sviluppare modelli di governance nei quali data protection, risk management e responsabilità clinica operino in modo integrato e sinergico, evitando che l’innovazione tecnologica si traduca in una riduzione del livello di tutela del paziente.
Il passaggio da una sanità semplicemente digitalizzata a una sanità realmente responsabile non richiede di rinunciare a priori a strumenti predittivi, ma di collocarli all’interno di un sistema di accountability effettiva, nel quale l’intelligenza artificiale supporta il giudizio clinico senza sostituirne la comprensibilità, e nel quale ogni decisione algoritmicamente assistita deve rimanere spiegabile, verificabile, contestabile e giuridicamente governabile.
