Data protection e sanità

Medicina d’iniziativa, come renderla compliant al GDPR

La medicina di iniziativa, basata su prevenzione e diagnosi precoce, prevede un utilizzo di dati personali a rischio incompatibilità con il GDPR. Cosa prevede la normativa europea e italiana, come investire in modelli applicativi che tutelino gli assistiti nel rispetto di liceità e trasparenza

18 Mag 2022
Silvio Noce

Avvocato esperto di privacy e amministrazione digitale

Manuel Ottaviano

Dirigente amministrativo presso l'Istituto Ortopedico Rizzoli

duplicato tessera sanitaria

La medicina d’iniziativa è il modello assistenziale che intende rispondere alle criticità correlate all’invecchiamento della popolazione e alla cronicità delle patologie, superando il modello della “medicina d’attesa”.

I piani di osservazione e analisi del modello della medicina di iniziativa sono almeno due: quello delle performance e quello relativo alla compliance alla normativa in materia di privacy.

Esaminiamo la medicina d’iniziativa nel contesto della normativa in materia di protezione dei dati personali, con un focus specifico relativo alle condizioni di liceità e al rispetto del principio di trasparenza.

L’intelligenza artificiale in ospedale: l’esempio della lotta alla sepsi

Attualmente, il modello assistenziale di medicina di iniziativa è alimentato da nuova linfa, in ragione di asseriti utilizzi di sistemi di Intelligenza Artificiale (IA) più o meno “profondi”, che certamente concorrono ad elevare il coefficiente di rischio per i diritti e le libertà delle persone fisiche.

Di seguito, la medicina d’iniziativa viene considerata nell’accezione scelta dal legislatore della Provincia Autonoma di Trento, è un “modello assistenziale del sistema sanitario finalizzato alla diagnosi precoce e alla prevenzione delle patologie[1].

Il perimetro dell’analisi è, quindi, limitato all’ambito della conformità alla normativa in materia di protezione dei dati personali e non saranno considerati il tema dell’impatto che tali sistemi di AI e ML potrebbero potenzialmente avere sulla programmazione, gestione, controllo e valutazione dell’assistenza sanitaria.

Medicina di iniziativa: cosa prevedono le leggi europee sulla data protection

Sull’assoluta importanza dell’utilizzo dell’IA nell’ambito sanitario, il legislatore europeo ha osservato che “L’uso dell’intelligenza artificiale, garantendo un miglioramento delle previsioni, l’ottimizzazione delle operazioni e dell’assegnazione delle risorse e la personalizzazione dell’erogazione di servizi, può contribuire al conseguimento di risultati vantaggiosi dal punto di vista sociale e ambientale […]. Tale azione è particolarmente necessaria in settori ad alto impatto, tra i quali figurano quelli dei cambiamenti climatici, dell’ambiente e della sanità, il settore pubblico”.

WHITEPAPER
IoT e MES: quanto ne sai? Approfondisci le tecnologie per un futuro data-driven
ERP
IoT

Lo stesso legislatore ne intravede, tuttavia, i rischi laddove afferma che “gli stessi elementi e le stesse tecniche che alimentano i benefici socio-economici dell’IA possono altresì comportare nuovi rischi o conseguenze negative per le persone fisiche o la società. In considerazione della velocità dei cambiamenti tecnologici e delle possibili sfide, l’UE si impegna a perseguire un approccio equilibrato”.

Tale equilibrio passa, tra le altre cose, dalla conformità al General Data Protection Regulation (GDPR) e alle norme nazionali in materia di protezione dei dati personali.

Con specifico riferimento alla medicina d’iniziativa, anche la Commissione Europea nella Comunicazione “Una strategia europea per i dati”, del 19 febbraio 2020, ha sottolineato che “La medicina personalizzata risponderà meglio alle esigenze dei pazienti permettendo ai medici di prendere decisioni basate sui dati, in modo tale da adeguare la strategia terapeutica giusta alle esigenze della persona giusta al momento giusto, e/o da determinare la predisposizione alla malattia e/o da attuare una prevenzione mirata e tempestiva”.

In tale abstract, che costituisce sintesi di una più ampia strategia europea sui dati, la Commissione introduce alcuni elementi chiave da cui è possibile estrapolare tre concetti essenziali:

  1. La salute è intesa nella sua accezione polisemantica, che nella nostra Costituzione è un diritto assoluto. La Corte Costituzionale ha osservato, infatti, che “il diritto ai trattamenti sanitari necessari alla tutela della salute è garantito ad ogni persona come diritto costituzionalmente condizionato all’attuazione che il legislatore ne dà attraverso il bilanciamento con altri interessi costituzionalmente protetti” [sentenza n. 509/2000];
  2. La decisione dei medici basata sui dati esclude decisioni automatizzate. Sono infatti rimesse agli operatori sanitari le determinazioni inerenti le azioni di cura e/o prevenzione da porre in essere;
  3. La strategia terapeutica e la prevenzione mirata e tempestiva sono obiettivi irrinunciabili del sistema sanitario, perseguibili solo attraverso sistemi avanzati di elaborazione.

Medicina di iniziativa: la normativa italiana

In Italia, gli atti di pianificazione e programmazione del Sistema Sanitario Nazionale quali il “Patto per la salute 2019-2021”, il Piano Nazionale della Cronicità, il “Piano di governo delle liste di attesa” e il Piano Nazionale della Prevenzione, hanno previsto il ricorso allo strumento della medicina d’iniziativa.

Nel dettaglio, nel “Patto per la salute 2019-2021” (di seguito anche il Patto) la medicina di iniziativa è prevista quale strumento necessario per la riorganizzazione dell’assistenza territoriale, alla luce dei mutamenti del contesto socio-epidemiologico, dell’allungamento della durata della vita, dell’invecchiamento della popolazione, dell’incremento di situazioni di fragilità sanitaria e sociale, dell’aumento della cronicità e la sempre più frequente insorgenza di multi-patologie sul singolo paziente.

In particolare, la scheda n° 8 del Patto individua la medicina d’iniziativa o preventiva quale strumento cui tutta la moderna attività assistenziale deve conformarsi.

Fine ultimo di tale indirizzo è quello di prevenire l’aggravamento delle patologie legate ai processi di invecchiamento della popolazione, limitare il declino funzionale, migliorare complessivamente la qualità della vita dell’assistito e ridurre la spesa sanitaria. In sostanza, emerge il valore che gli atti di programmazione affidano all’organizzazione integrata del sistema sanitario nazionale con la medicina d’iniziativa.

Il Patto, nel disegnare il Sistema assistenziale, prevede che “Un’adeguata gestione della cronicità necessita di un sistema di assistenza continuativa, multidimensionale, multidisciplinare e multi-livello, che possa permettere la realizzazione di progetti di cura personalizzati a lungo termine, la razionalizzazione dell’uso delle risorse e il miglioramento della qualità di vita”.

Dunque, l’uso dell’IA può esplicitarsi in una duplice direzione:

  • la razionalizzazione dell’uso delle risorse;
  • la “personalizzazione” dei percorsi assistenziali nell’ambito delle patologie croniche.

Quanto alla prima, al Ministero (e solo al Ministero) è attribuita la facoltà di perseguire la razionalizzazione della spesa a mezzo di modelli predittivi, ai sensi dell’art. 7 del D.L. 34/2020.

Invece, la personalizzazione dei percorsi di cura si rende necessaria per due motivi fondamentali, uno di natura squisitamente clinica e uno legato ai bisogni connessi al più ampio tema della convivenza con la cronicità e alla qualità di vita.

In tal senso, il Patto per la salute prosegue sottolineando che “per definire le strategie di intervento e personalizzare il percorso assistenziale è di fondamentale importanza il processo di stratificazione”.

Anche il “Piano di governo delle liste di attesa” promuove la valutazione e il miglioramento dell’appropriatezza e della congruità prescrittiva per l’accesso alle prestazioni sanitarie.

Infine, il Piano Nazionale della Prevenzione (Pnp), parte integrante del Piano sanitario nazionale, affronta le tematiche relative alla promozione della salute e alla prevenzione delle malattie.

A livello accademico, è approdo certo il rapporto di coessenzialità reciproca tra cura e medicina predittiva.

“Predictive tools are helping providers — both doctors’ groups and hospitals — assess patients’ risk of contracting a whole host of diseases and conditions. They can come up with individualized regimens by tapping into electronic medical records to identify the types of patients who are most likely to respond to a particular type of therapy. They can pinpoint treatments that sustain health in a more precise way than ever before. And they can identify individuals who are likely to stop benefiting from a specific regimen at a given time. For the volume-to-value paradigm shift in health care, predictive analytics, though rarely visible, is the essential enabler”[2] .

La medicina d’iniziativa, quale elemento di specie del più ampio genere della medicina di precisione, è il nuovo paradigma dell’assistenza sanitaria e non può essere relegato alla periferia della finalità di cura. La medicina d’iniziativa è cura con effetti tangibili sui pazienti.

“The current approach to diseases can be summarized with the “one-size-fits all” statement; although this view of medicine has been used for the past 30 years, applications of effective treatment, for example, can lack efficacy and have adverse or unpredictable reactions in individual patients”[3] .

E ancora “Precision medicine is the extension and the evolution of the current approach to patient’s management”[4]; “Unlike “one-size-fits all” approach, precision medicine is mainly preventive and proactive rather than reactive”[5].

Medicina di iniziativa: chi può normare in materia tra gli enti locali

Il Servizio Sanitario Nazionale (SSN), istituito con la legge n. 833 del dicembre 1978, è titolare di un complesso di funzioni, strutture, servizi e attività attraverso cui lo Stato garantisce a tutti i cittadini, senza alcuna distinzione, il mantenimento e il recupero della salute fisica e psichica, nonché l’attuazione di sistemi di tutela della stessa, come vuole l’articolo 32 della Costituzione.

Competono alle Regioni le funzioni, oltre che di programmazione, anche di regolazione e di legislazione in materia di assistenza sanitaria ed ospedaliera.

Al contempo, il nuovo corpo normativo in materia di protezione dei dati personali ha imposto una riflessione profonda, in ordine alla competenza normativa regionale, qualora vi siano impatti sulla normativa in materia di protezione dei dati personali.

È noto che l’intreccio tra attribuzioni normative statali e regionali in concreto può rivelarsi molto complesso, rinvenendosi spesso casi di “concorrenza di competenze” (secondo l’espressione più volte utilizzata dalla Corte) nei quali risulta arduo “assegnare” al livello regionale e a quello statale le norme di rispettiva competenza. Casi nei quali la Corte risolve le questioni di legittimità costituzionale ricorrendo all’applicazione dei principi di sussidiarietà, “prevalenza” o leale collaborazione.

In questo quadro, ferma la competenza normativa statale in materia di trattamento dei dati personali, è innegabile che le Regioni, nelle materie di rispettiva competenza, devono poter disciplinare le relative attività, anche quando esse implichino trattamenti di dati personali.

Sostenere la tesi contraria significherebbe – come affermato dalla Corte Costituzionale, nella nota sentenza n. 271 del 2005 – svuotare nella sostanza le attribuzioni costituzionali delle Regioni; ovviamente, però, la legislazione regionale dovrà porsi in coerenza con tutte le disposizioni recate dal Regolamento europeo e dal Codice per la protezione dei dati personali.

Pertanto, nell’attuale assenza di una disciplina nazionale della medicina predittiva, le Regioni e le Province autonome possono certamente disciplinare autonomamente tali ambiti, rimanendo, tuttavia, auspicabile una regolamentazione omogenea.

Perché il consenso non è la base giuridica che legittima il trattamento dati

Accertata la competenza delle Regioni e delle Province autonome nell’eventuale normazione di modelli di medicina predittiva giova inquadrare tali interventi secondo i crismi del GDPR e del principio di liceità di cui all’art. 5, par. 1, lett. a), del GDPR.

Nel noto provvedimento del Garante “Parere sul disegno di legge provinciale concernente ‘Ulteriori misure di sostegno per le famiglie, i lavoratori e i settori economici connesse all’emergenza epidemiologica da COVID-19 e conseguente variazione al bilancio di previsione della Provincia autonoma di Trento per gli esercizi finanziari 2020-2022’ – 8 maggio 2020”, l’Autorità sostiene che “Con specifico riferimento ai trattamenti effettuati attraverso tale modello per finalità di cura, […] la raccolta e l’elaborazione di dati sanitari, al fine di realizzare, […], un profilo sanitario di rischio dell’interessato configura un trattamento autonomo rispetto a quello principale finalizzato alla cura dell’assistito, che deve essere pertanto effettuato sulla base del consenso dell’interessato, in quanto trattamento automatizzato non strettamente necessario per finalità di cura dell’interessato (artt. 9, par. 2, lett. h) e 22 del GDPR)”.

Tale approdo del Garante suscita numerosi dubbi in materia di:

  1. Autonomia del trattamento di medicina predittiva rispetto alla cura;
  2. Trattamento automatizzato (con espresso riferimento all’art. 22 del GDPR);
  3. Consenso dell’interessato.

Infatti, con riferimento alla lettera a) si ritiene che il punto debba essere affrontato nell’esecizio di una visione strategica, poiché, come già sopra accennato, la medicina d’iniziativa è legata alla medicina di precisione secondo un rapporto di specie a genere.

Essa rappresenta davvero il futuro dell’assistenza sanitaria e non può essere considerata marginale rispetto alla finalità di cura. Si tratta di uno strumento che costituisce uno dei modelli assistenziali della sanità moderna, e si colloca nel perimetro di azione delle aziende sanitarie. Ad esse, infatti, spetta l’onere di tradurre in termini assistenziali le scelte strategiche di politica sanitaria delle regioni e provincie autonome, anche per mezzo dei Medici di Medicina Generale (MMG).

In sostanza, sono le aziende sanitarie e i MMG i soggetti in possesso della piena titolarità dei trattamenti sottesi all’implemetazione della medicina d’iniziativa.

Quindi, la medicina d’iniziativa è vocata ad esplicitare tangibili effetti sui pazienti, seppure non diretti.

Con riferimento al processo decisionale automatizzato di cui alla lettera b), nella richiamata Comunicazione del 19 febbraio 2020, la Commissione Europea ha fatto riferimento al fatto che la “medicina personalizzata risponderà meglio alle esigenze dei pazienti permettendo ai medici di prendere decisioni basate sui dati”.

Pertanto, l’atteso è che i modelli di medicina d’iniziativa non costituiscano processi decisionali automatizzati, ma al contrario sistemi che definiscono un output informativo per il MMG, il quale rimane responsabile dell’assistenza sanitaria e della salvaguardia della salute dei propri assistiti.

Pertanto, non essendo il processo decisionale esclusivamente automatizzato, ma mediato essenzialmente dal medico, sembra decadere la necessità di acquisire il consenso.

Per di più, si sottolinea che l’art. 9, par. 2, lett. h), del GDPR prevede quale ulteriore eccezione al trattamento di dati particolari (oltre al consenso) quello relativo alla medicina preventiva, effettuato “sulla base del diritto dell’Unione o degli Stati membri”. In ragione del coefficiente di criticità correlato a tale trattamento, è atteso che la normazione sia effettuata con i crismi dell’art. 2-sexies del Codice per la protezione dei dati personali (seppure tale norma richiami espressamente ed esclusivamente la lettera g), dell’art. 9, par. 2, del GDPR).

Pertanto, il consenso non dovrebbe essere considerato la base giuridica legittimante tali trattamenti, sia nell’eventualità che la medicina d’iniziativa sia assorbita nella finalità di cura sia nel caso alla stessa sia riconosciuta autonoma rilevanza.

Medicina di iniziativa e IA: il rischio di incompatibilità con il GDPR

Nel “Libro bianco sull’intelligenza artificiale. Un approccio europeo all’eccellenza e alla fiducia” del 19 febbraio 2020 la Commissione Europea osserva come l’intelligenza artificiale “Cambierà le nostre vite migliorando l’assistenza sanitaria (ad esempio rendendo le diagnosi più precise e consentendo una migliore prevenzione delle malattie) […] Al tempo stesso, l’intelligenza artificiale (IA) comporta una serie di rischi potenziali, quali meccanismi decisionali opachi, discriminazioni basate sul genere o di altro tipo, intrusioni nelle nostre vite private o utilizzi per scopi criminali”.

Il rischio di incompatibilità dei sistemi di intelligenza artificiale ai principi di trasparenza e correttezza del GDPR è elevatissimo proprio per l’assenza di comprensione, di previsione e di oscurità delle logiche algoritmiche a supporto di tali sistemi.

Già la sentenza della Sezione VI del Consiglio di Stato n. 8473 del 13 dicembre 2019, pur citata dal Garante nel provvedimento n. 43 del 5 marzo 2020, ha affermato che l’attività di stratificazione risulta lecita solo se coerente con i tre principi di:

  • conoscibilità, ovvero il diritto di ricevere “informazioni significative sulla logica utilizzata”;
  • non esclusività della decisione algoritmica, cioè che la decisione algoritmica non produca effetti giuridici significativi sulla persona, basandosi unicamente su tale processo automatizzato;
  • non discriminazione algoritmica, ovverosia che sia garantita l’assenza di effetti discriminatori nei confronti delle persone sulla base della razza o dell’origine etnica, delle opinioni politiche, della religione o delle convinzioni personali, dell’appartenenza sindacale, dello status genetico, dello stato di salute o dell’orientamento sessuale.

Quindi, la sfida è quella di progettare algoritmi di intelligenza artificiale capaci di considerare con maggiore profondità le differenze all’interno di ciascun cluster di assistiti e fornire output coerenti con l’indicazioni del CdS sopra descritte.

Sarebbe un errore respingere il ricorso all’istituto della Medicina d’Iniziativa, invece che investire su modelli applicativi più tutelanti per gli interessati assistiti.

Infatti, nello stato attuale, è avviso di chi scrive che al fine di ottenere una coerenza maggiore coi principi fondamentali del GDPR, ovvero i principi di trasparenza, correttezza e responsabilità, deve essere valorizzato il principio dell’auditabilità dei sistemi. Ovvero, la possibilità che tali sistemi di IA e i modelli di Machine Learning (ML) siano verificabili.

Invero, i rischi legati alle applicazioni di IA non sono solo quelli legati ai dati personali. L’incrementale utilizzo di sistemi di ML anche nel pubblico settore, in ragione dell’opacità che li connota, potrebbe condurre alla distorsione dell’azione amministrativa. In tal senso, il rischio è quello di istituzionalizzare le disparità di trattamento e incidere negativamente sulla fiducia dei cittadini nelle istituzioni.

Pertanto, diviene elemento di cittadinanza digitale produrre un controllo sugli algoritmi di ML sia di conformità che di performance. Vi sono già diversi consessi istituzionali e accademici che stanno sviluppando metodologie per audit di tali applicazioni.

In un quadro in cui il settore pubblico non sviluppa internamente, per ragioni di risorse e competenze, applicazioni di ML, è missione primaria delle PPAA che intendano dotarsi di strumenti quali la medicina d’iniziativa definire modalità di audit come sopra emarginate e acquisire consapevolezza e comprensione, al fine di dare tutela sostanziale ai principi definiti nella richiamata sentenza del Consiglio di Stato.

Conclusioni

In conclusione, la medicina d’iniziativa può essere un utile strumento nella disponibilità dei Servizi Sanitari Regionali e Provinciali per:

  1. rispondere efficacemente alla tendenza all’invecchiamento della popolazione;
  2. ritardare la presa in carico dei pazienti in condizione di cronicità, allo scopo di ridurre i costi.

In tal senso, anche l’esperienza pandemica ha reso evidente il valore strategico della prevenzione e della tempestiva presa in carico del bisogno di assistenza.

Tali finalità debbono trovare la loro legittimità in una norma di legge o di regolamento (l’atto amministrativo generale è incompatibile[6]) che, conseguentemente, dovrà essere sottoposta all’Autorità Garante ai sensi dell’art. 36, par. 4, del GDPR.

Al contempo, per una piena tutela dei diritti e delle libertà fondamentali degli interessati non possiamo rassegnarci alla responsabilizzazione delle multinazionali owner dei sistemi di AI e ML più avanzati.

Gli enti regolatori dovrebbero adottare un approccio neo-centralizzato e disciplinare l’auditabilità di tali sistemi avanzati, definendo modalità che possano tutelare la proprietà intellettuale e che, in ogni caso, postulino la cedevolezza di questa rispetto alle esigenze di trasparenza e di conoscibilità da parte degli utenti.

___________________________________________

Note

  1. Legge della Provincia autonoma di Trento n. 16 del 2010, come modificato dalla Legge 13 maggio 2020, n. 3. Tale definizione pare anche compatibile con quella dell’ARS Toscana che intende la medicina d’iniziativa quale “modello assistenziale di gestione delle malattie croniche che non aspetta il cittadino in ospedale (sanità di attesa), ma gli “va incontro” prima che le patologie insorgano o si aggravino, garantendo quindi al paziente interventi adeguati e differenziati in rapporto al livello di rischio, puntando anche sulla prevenzione e sull’educazione” .
  2. Harvard Business Review, “Predictive Medicine Depends on Analytics” by Jeff Elton and Arda Ural, https://hbr.org/2014/10/predictive-medicine-depends-on-analytics
  3. Roden, D. M. (2016). “Cardiovascular pharmacogenomics: Current status and future directions”, Journal of Human Genetics, 61(1), 79. https://doi.org/10.1038/jhg.2015.78.Cardiovascular
  4. Ramaswami, R., Bayer, R., & Galea, S. (2018). “Precision medicine from a public health perspective”. Annual Review of Public Health, 39(1.1), 1–16
  5. Mathur, S., & Sutton, J. (2017). “Personalized medicine could transform healthcare”, Journal of Biomedical Reports, 7, 3–5. https://doi.org/10.3892/br.2017.922
  6. Sul punto si veda https://www.agendadigitale.eu/sicurezza/privacy/trattamenti-di-dati-personali-e-pnrr-cosa-cambia-per-le-pa-dopo-la-modifica-del-codice-privacy/

WHITEPAPER
Sanità: quali le applicazioni di AI in radiologia, oncologia e cardiologia?
Intelligenza Artificiale
Sanità
@RIPRODUZIONE RISERVATA

Articolo 1 di 3