Ultimi scandali – progetto Optum e Nightingale di Google – che hanno riguardato l’intelligenza artificiale in Sanità ci ricordano quando è complesso, difficile, conflittuale il rapporto tra questi due mondi. E quanta strada dovremo fare per trovare un equilibrio per una AI che sia vantaggiosa per i pazienti e al tempo stesso ne rispetti privacy e diritti.
Sappiamo che l’integrazione dell’intelligenza artificiale nell’ecosistema sanitario prevede una moltitudine di benefici, tra cui l’automazione delle attività e l’analisi di grandi serie di dati dei pazienti preordinati all’offerta di una migliore, veloce ed economica assistenza sanitaria per gli interessati e per la società in generale.
Tuttavia, come è facile intuire, l’intelligenza artificiale si basa su dati forniti dall’uomo – il che significa che c’è sempre un rischio che il dataset possa risultare “flawed-by-design”[1].
Senza contare i possibili abusi sui dati degli utenti da parte delle ben note big tech, impegnate in progetti in questo campo.
In un mercato sanitario ipersensibile, sarà fondamentale stabilire nuove regole etiche per affrontare e prevenire i pregiudizi che possono originarsi da un sistema di intelligenza artificiale di più recente concezione e per proteggere i dati sensibili dei pazienti.
Come funziona l’Ai in sanità e quali sono i benefici
Ma partiamo dalle basi e cioè da come funziona l’AI in ambito sanitario e quali sono i benefici.
L’utilizzo dell’intelligenza artificiale in campo sanitario prevede l’uso di algoritmi che consentono di emulare il ruolo dell’uomo nell’analisi di dati medici complessi. In particolare, è possibile intendere l’intelligenza artificiale come la capacità degli algoritmi informatici di trarre conclusioni approssimative senza un intervento diretto da parte dell’operatore “persona fisica” (ad esempio il medico).
I benefici dell’intelligenza artificiale in campo sanitario sono stati ampiamente discussi negli ultimi anni, avanzando anche ipotesi “ardite” che prevedano la possibilità di sostituire – in futuro – il medico “essere umano” con soluzioni “partorite” proprio dall’intelligenza artificiale.
L’intelligenza artificiale in ambito sanitario può apprendere “autonomamente” da una grande quantità di dati sanitari, per poi utilizzare le informazioni ottenute nell’ambito della pratica clinica, e nella valutazione del rischio sanitario; può estrarre informazioni utili da una vasta popolazione di pazienti per aiutare a stimare in tempo reale i rischi per la salute della collettività, predicendo problemi e suggerendo soluzioni; può svolgere lavori meramente ripetitivi, come l’analisi di test, raggi X, tomografie computerizzate o l’inserimento di dati nel sistema informatico; può aiutare a ridurre gli errori diagnostici e terapeutici, inevitabili nella pratica clinica effettuata dal personale sanitario; può aiutare i medici fornendo informazioni sanitarie aggiornate da riviste, libri di testo e pratiche cliniche che aiutino il professionista sanitario a curare correttamente il paziente; può gestire le cartelle cliniche e analizzare le prestazioni di una singola struttura sanitaria ovvero dell’intero sistema sanitario regionale o nazionale; può aiutare a sviluppare una medicina “di precisione”, con l’implementazione di nuovi farmaci basati su un’elaborazione più rapida delle mutazioni della malattia in esame; oppure può fornire consulenze digitali e servizi di monitoraggio sanitario, operando come “infermiere digitale”.
L’intelligenza artificiale può anche automatizzare alcune attività di tipo amministrativo, come il controllo delle fatture non pagate e la conservazione dei dati (con i connessi profili “privacy”), il tutto al fine di facilitare il carico di lavoro dei professionisti sanitari con un considerevole risparmio in termini economici. L’intelligenza artificiale ha la capacità di analizzare grandi insiemi di dati traghettando il professionista sanitario all’analisi predittiva su una moltitudine di casi; il questi settori ottenere rapidamente informazioni sui pazienti è vitale per l’ecosistema sanitario, poiché aiuta ad individuare quali “aree” preordinate alla cura del paziente richiedono miglioramenti ed implementazioni.
Con la “discesa in campo” dei dispositivi indossabili dell’ecosistema m-health, l’intelligenza artificiale si fa “portable”, sfondando in un ambito non solo sanitario ma anche “ludico/sportivo”. Software con intelligenza artificiale integrata, come i dispositivi FitBit (by Google) o Apple Watch, possono analizzare diversi parametri vitali di una persona, avvisando chi li indossa e/o gli operatori sanitari sui potenziali problemi e rischi per la salute. Essere in grado di valutare la propria salute attraverso la tecnologia facilita il carico di lavoro dei professionisti sanitari e previene visite mediche che potrebbero risultare ultronee.
Il caso Optum, così negli Usa l’algoritmo discrimina i pazienti di colore
Un caso di “utilizzo difforme” di un algoritmo nel campo dell’intelligenza artificiale, e che al contempo ha riguardato la salute di milioni di americani, riguarda Optum, un sistema che ha fatto molto scalpore negli USA in quanto discriminatorio nei confronti dei pazienti di colore.
Molti ospedali negli Stati Uniti utilizzano il sistema Optum, un servizio di proprietà della United Health Group, con lo scopo di determinare quali pazienti dimostrano di avere esigenze sanitarie più elevate nel corso del tempo. Tuttavia, il controverso algoritmo, che viene applicato su più di 200 milioni di persone ogni anno, sottovaluta significativamente la quantità di cure di cui i pazienti di colore hanno bisogno, con difformità significative rispetto ai pazienti bianchi. Anche se l’algoritmo non ha applicato esplicitamente un’identificazione razziale, il caso ha fatto esplodere una comprensibile “levata di scudi” negli Stati Uniti; a maggior ragione se si pensa che il parametro dell’algoritmo aveva (dalla progettazione) degli errori basati sull’etnia. In pratica, una minore spesa sanitaria – a parità di livelli di bisogno di cure – effettuata per i pazienti di colore rispetto ai pazienti bianchi, ha indotto l’algoritmo a concludere che i pazienti di colore fossero (paradossalmente) “meno malati” dei pazienti bianchi.
Lo studio ha mostrato che i pazienti di colore hanno sostenuto circa $1.800 in spese mediche ogni anno, ossia meno dei pazienti bianchi al pari del fabbisogno di cure. Così facendo l’algoritmo avrebbe aumentato le segnalazioni per cure aggiuntive a più del doppio per i pazienti di colore. Infatti, quando venne analizzato un diverso dataset, fu scoperto che i pazienti di colore avevano – (di nuovo) paradossalmente – in realtà 48.772 condizioni croniche più attive rispetto ai pazienti bianchi che erano stati classificati allo stesso livello di rischio. Tali algoritmi sono stati utilizzati per determinare quali pazienti potrebbero beneficiare di cure aggiuntive, come il monitoraggio della salute in generale oppure la gestione dell’uso delle prescrizioni o delle visite mediche.
Tuttavia alcuni ricercatori stanno lavorando con Optum ad una soluzione del problema. Tra le soluzioni esaminate vi è la seguente: quando i ricercatori hanno modificato l’algoritmo dal “costo più elevato” al “fare previsioni sulle future condizioni di salute dei pazienti” i pregiudizi per la popolazione di colore sono stati ridotti dell’84%. Secondo i ricercatori questi risultati suggeriscono che gli errori di etichettatura sono risolvibili. Per Optum gli algoritmi predittivi che alimentano questi strumenti sanitari dovrebbero essere continuamente rivisti e perfezionati, nonché integrati da informazioni come i dati socio-economici, per aiutare i medici a prendere le decisioni di cura migliori per ogni paziente.
Anche se questo studio è stato condotto su un solo algoritmo del sistema sanitario statunitense, alcuni ricercatori hanno suggerito che vi è la possibilità che simili pregiudizi possano esistere o sorgere in un certo numero di settori. Ad esempio, poiché gli algoritmi sono sempre più utilizzati per finalità assuntive e pre-assuntive nel mondo del lavoro, per l’elargizione di prestiti e mutui, ovvero nel campo della repressione dei crimini, si ritiene necessario – a detta degli esperti – l’elaborazione di una normativa più in linea e stringente con quanto il mercato e l’avanzata tecnologica richiede.
Il progetto Nightingale
Il Progetto Nightingale, siglato negli USA tra Google ed Ascension, opera con un deciso utilizzo dell’intelligenza artificiale in campo sanitario, a partire dalla condivisione di dati personali e sanitari dei pazienti su piattaforme Google Cloud.
Una visione d’insieme
Secondo il Wall Street Journal il progetto riguarderebbe l’utilizzo di dati personali di milioni di cittadini americani residenti in ventuno stati USA. I dati coinvolti nel progetto includerebbero risultati di laboratorio, diagnosi mediche e cartelle cliniche, compresa la storia sanitaria completa ed individuale dei cittadini americani interessati. Il progetto prevedrebbe l’utilizzo dell’intelligenza artificiale per migliorare l’efficacia clinica e la sicurezza degli interessati (per approfondimenti, leggi qui e qui). Secondo due comunicati speculari Google–Ascension, la collaborazione servirà a modernizzare l’infrastruttura complessiva dei nosocomi interessati, passando alla più sicura, affidabile e intelligente piattaforma Google Cloud. Sempre secondo i due comunicati, gli elementi chiave di questa partnership saranno la connettività di rete e di sistema, l’integrazione dei dati, la protezione dei dati personali e la sicurezza dei sistemi; inoltre l’utilizzo della “G Suite” di Google migliorerà la capacità degli operatori sanitari di Ascension di comunicare e collaborare tra di loro in modo sicuro in tempo reale, con supporto ed assistenza multidisciplinare in tutti i campi interessati. Infine i due partner dichiarano che con l’intelligenza artificiale ed il Machine Learning (“apprendimento automatico”) vi sarà il potenziale per supportare miglioramenti nella qualità e nell’efficacia clinica, nonché implementare la sicurezza dei pazienti coinvolti.
La recente esplosione del caso Nightingale da parte del Wall Street Journal è dovuta principalmente al fatto che i pazienti coinvolti – cittadini statunitensi – non avessero ricevuto informazioni né prestato alcun consenso per la partecipazione al progetto, né per il trattamento dei loro dati.
I possibili sviluppi
La piattaforma online The Verge ha esaminato quelli che potrebbero essere i prossimi passi di Google, ossia i suoi progetti a lungo termine. Raggruppando quelle che sono le notizie degli ultimi giorni è possibile che Google:
- secondo Forbes, possa testare un servizio che utilizzerebbe la sua tecnologia di ricerca e intelligenza artificiale per analizzare le cartelle cliniche dei pazienti;
- secondo il The Wall Street Journal, possa creare uno strumento di ricerca per aggregare i dati dei pazienti più disparati e ospitare il tutto in un unico posto;
- secondo il The New York Times, possa creare un software che permetta ai medici di cercare la cartella clinica elettronica di un paziente per categorie di dati specifici, nonché creare grafici delle informazioni, concernenti – ad esempio – l’evoluzione dei risultati delle analisi del sangue nel tempo;
- secondo Google “stesso”, come accennato, Ascension potrebbe utilizzare il servizio per il miglioramento della qualità clinica e della sicurezza del paziente;
- secondo Ascension, come accennato, la stessa potrà esplorare il campo delle concrete applicazioni dell’intelligenza artificiale e del Machine Learning in ambito sanitario.
Secondo The Verge si potrebbe riassumere la maggior parte delle dichiarazioni giornalistiche affermando che Google stia implementando una sorta di motore di ricerca per i provider del ramo sanitario, con l’integrazione – in base all’accordo con Ascension – dell’intelligenza artificiale e del Machine Learning. Per The Verge sono questi ultimi due punti ad essere più interessanti per lo sviluppo di Google in ambito sanitario, un settore che va dall’intelligenza artificiale predittiva ai microscopi con realtà aumentata. Afferma The Verge che finora, nel campo dell’assistenza sanitaria, Google ha progettato strumenti per valutare il rischio di malattie cardiache da scansioni oculari, rilevare il cancro al seno nelle biopsie e prevedere il rischio complessivo di morte prematura di una paziente; ha inoltre costruito microscopi con IA, applicazioni per l’assistenza di infermieri e medici nonché collaborato con decine di provider del settore.
In breve, secondo The Verge, Google – che sta investendo in diversi settori della sanità – raccoglie dati che servono alla sua evoluzione in questo campo. E qui risiederebbe la problematica del caso Nightingale.
The Verge sottolinea che i pregiudizi sulle scelte di Google risiederebbero in diversi casi passati, come un accordo con il National Health Service (NHS) del Regno Unito e la filiale londinese di Google, DeepMind, che avrebbe trattato illecitamente i dati personali di diversi pazienti; oppure come il caso della partnership tra Google e la University of Chicago Medical Center che avrebbe comportato un accesso non autorizzato alle cartelle cliniche del nosocomio.
Infine è di pochi giorni fa la notizia del whistleblower anonimo di Google – a suo dire uno dei 250 componenti del Progetto Nightingale – che si è rivolto al The Guardian, affermando che “La maggior parte degli americani si sentirebbero a disagio se sapessero che i loro dati sono stati trasferiti a Google senza adeguate garanzie e sicurezza delle informazioni. Questo è un modo, afferma il whistleblower, completamente nuovo di fare le cose. Secondo questa persona, molti pazienti negherebbero la comunicazione delle loro informazioni personali a Google senza preventivi informazioni e consenso”.
I profili normativi
Secondo la testata Healthcare IT News, la collaborazione tra Google e Ascension per la condivisione dei dati sanitari ha sollevato grandi preoccupazioni negli USA per ciò che il progetto potrebbe significare per la protezione dei dati dei pazienti coinvolti. Nightingale, nel complesso, sembra soddisfare gli standard di conformità dello HIPAA – Health Insurance Portability and Accountability Act of 1996, stando alle dichiarazioni di Google, di Ascension nonché di quanto riportato finora dal Wall Street Journal e da altre testate.
Ma la notizia che Google avrebbe avuto accesso a informazioni sanitarie protette di milioni di cittadini americani ha comprensibilmente sollevato alcuni allarmi in un settore in cui la privacy e la sicurezza sono destinate ad essere di primaria importanza, anche alla luce di una recente indagine federale da parte del Department of Health and Human Services’ Office for Civil Rights.
La CNBC ha riferito che alcuni strumenti usati da Google per il trattamento dei dati possano essere non conformi agli standard privacy del HIPAA. Secondo un analista, gli strumenti di sviluppo come Google Data Studio possono essere problematici per quanto riguarda la conformità al HIPAA, come ciò che riguarda la registrazione delle modifiche dei dati nonché i controlli di accesso per la visualizzazione dei dati. Tuttavia, secondo Google i dati acquisiti da Ascension non possono essere utilizzati se non per fornire i servizi previsti dall’accordo, e i dati dei pazienti non saranno combinati con i dati dei consumatori di Google.
Ai sensi del HIPAA Privacy Rule, le entità coperte dall’accordo sono autorizzate ad utilizzare e divulgare informazioni sanitarie protette per ricerche mediante autorizzazione individuale. Tale autorizzazione non è necessaria, tuttavia, per il pagamento, il trattamento o le operazioni sanitarie effettuate dall’ente coperto (covered entity) o da un socio d’affari di quell’ente coperto. Google sostiene di stare per creare una piattaforma che, se funzionante e sostenibile, potrà essere venduta ad altri fornitori di servizi sanitari. Le operazioni sanitarie coperte da Nightingale comprendono le “attività di miglioramento della qualità”, e – secondo Google – le attività di progetto sembrano rientrare nella definizione di “attività di miglioramento della qualità”.
In quanto tali, le attività sono considerate operazioni sanitarie, e non è richiesta l’autorizzazione individuale per la condivisione tra le aziende (questa sarebbe la ratio della mancanza di informazioni e consenso, alla base della controversia). Come “freddamente” dichiarato da un avvocato della Mintz Law Firm, indirizzato ai cittadini USA: “se siete scioccati dal fatto che l’intera vostra cartella clinica sia stata appena inviata ad un colosso come Google, non vi farà sentire meglio che la condivisione senza consenso sia (in effetti) ragionevole secondo il HIPAA”. Google e Ascension sono entrambi tenuti a rispettare sia la HIPAA Privacy Rule che la HIPAA Security Rule durante qualsiasi attività del progetto. Ciò che è importante notare, tuttavia, è che la sola condivisione dei dati (sulla base dei fatti finora disponibili al pubblico), non costituisce una violazione del HIPAA.
In realtà – secondo un avvocato dello Westborough, Mirick, O’Connell, DeMallie & Lougee Law Firm – la collaborazione di Ascension con Google non è diversa da centinaia di accordi che vengono stipulati ogni giorno negli Stati Uniti tra ospedali e fornitori, nonché per subfornitori che svolgono servizi per conto loro. La differenza con Nightingale è che il fornitore è Google, il quale ha accesso a tanti altri dati personali dei cittadini americani, per cui ben potrebbe – secondo l’accusa – utilizzare i dati acquisiti da Ascension in altri modi. Tuttavia, finché Google adempie ai suoi obblighi in materia di privacy e sicurezza ai sensi del HIPAA, per quanto riguarda le informazioni sanitarie protette fornite da Ascension, non c’è alcun problema in termini di compliance con il HIPAA. Una grande incognita, però, risiederebbe nel fatto se Google abbia o meno il permesso di de-identificare le informazioni dei pazienti di Ascension.
L’obiettivo dichiarato del progetto è lo sviluppo di un software, mediante l’utilizzo di dati che aiutino ad “informare” gli algoritmi di intelligenza artificiale ed a migliorare l’uso del prodotto. In linea di principio, se le informazioni sanitarie protette sono de-identificate in conformità con HIPAA, allora i dati non sono più coperti dai disposti del HIPAA. Tuttavia, data l’enorme quantità di dati in possesso di Google, esiste una possibilità forse non così remota di identificare i dati (pur se “pseudonimizzati”) in possesso di Google. Per alcuni, l’esperienza di Google nel “data mining” e nell’intelligenza artificiale gli dà la possibilità di determinare l’identità e l’appartenenza ad es. delle cartelle cliniche condivise con esso.
In ogni caso, è probabilmente giunto il momento che i politici statunitensi riesaminino seriamente i meccanismi e i quadri normativi in vigore per proteggere i dati personali e non dei pazienti americani. Un operatore di Clinical Cyber Defense Systems sottolinea che la protezione dei dati e le norme di sicurezza USA devono essere abbastanza forti dal lato del paziente, per essere in grado di tenere “imbrigliate” le organizzazioni che trattano dati personali, anche a fini di “accountability” (seguendo l’esempio del GDPR). È sempre necessario ricordare che l’uomo medio non è un esperto di sicurezza informatica o di tutela dei dati personali, e può facilmente essere “sopraffatto” dal gergo tecnico dei provider che si professano sicuri e affidabili. Per non dimenticare l’importante ruolo che i dati personali e non hanno nella gestione dei costi sanitari, per l’individuo e la nazione, nonché nel promuovere miglioramenti nella salute della popolazione e nella medicina di precisione. Per non parlare dell’altro estremo, ossia del desiderio di mantenere private le informazioni sanitarie personali.
A detta degli esperti del settore, sarebbe ora – e ne varrebbe la pena – di valutare la forza del HIPAA, che ha ormai quasi venticinque anni e risale a ben prima delle innovazioni tecnologiche che riguardano questi primi venti anni del presente secolo. In definitiva, se Google combinerà i suoi dati (come i dati di ricerca) con i dati di Ascension per aumentare i suoi propri servizi (ad esempio, analisi predittiva basata su dati clinici e sociali), questo sarebbe ammissibile anche nell’ambito del HIPAA. Sempre secondo gli esperti, se Google volesse diventare un “attore degno di fiducia” nel settore sanitario, potrebbe anche adottare misure per proteggere (sia tecnicamente che contrattualmente, e quindi in termini di policy) i dati che sta raccogliendo come parte dei molteplici aspetti della sua attività, sanitaria e non.
______________________________________________________________________
- “Viziato sin dalla progettazione”. ↑