TECNOLOGIA E SALUTE

Sanità digitale, a rischio privacy i rapporti medico-algoritmo

Nonostante gli strumenti offerti dal GDPR, rimangono margini di ambiguità nel processo di decision making basato su mezzi automatizzati senza alcun coinvolgimento umano. Ecco lo stato dell’arte e perché serve spingere le attività di controllo

17 Dic 2019
Roberto Tuninetti

Data Protection Officer & Consulente Privacy e Videosorveglianza


Nella direzione dell’intelligenza artificiale si stanno muovendo, già da tempo, parecchie istituzioni sanitarie mondiali, con risultati non sempre incoraggianti: il progetto francese “Easily” (deputato alla gestione delle informazioni sanitarie in ambito ospedaliero), ad esempio, è da poco stato oggetto di rilevanti critiche, particolarmente rilevanti già dal processo di data entry.

Uno dei nodi principali di questa frontiera riguarda il decision making del medico assistito dall’AI.

Decision making, gli strumenti normativi

Il problema di fondo è se e come il Regolamento UE 2016/679 (GDPR) possa aiutare a combattere usi distorti o troppo superficiali dei dati che potrebbero avere impatti devastanti sugli interessati coinvolti in processi di “decision making“.

Il trattamento dei dati personali per finalità diagnostiche o prognostiche rientra indubbiamente nell’ambito di applicazione dell’articolo 22 del GDPR in concerto con i relativi articoli 5 e 9, disposizioni che devono necessariamente rappresentare il faro che illumina la rotta di chi effettua questi delicati trattamenti.

La nuova normativa, così come specificato direttamente dall’Autorità Garante, ha eliminato la necessità del consenso da parte del paziente/interessato per i trattamenti effettuati per “finalità di cura, ciò non toglie che, specialmente in un ambito così delicato, i principi fondamentali del GDPR debbano essere osservati scrupolosamente. Tali principi impongono che i trattamenti debbano essere effettuati in modo “lecito, corretto e trasparente”, quindi ogni trattamento di dati personali deve avvenire senza la minima ambiguità, rendendo noto in maniera tempestiva quali trattamenti sono in predicato e quali in essere fornendo tempestivamente le relative informative.

Gli articoli 78 e 79 del “Codice in materia di protezione dei dati personali”, così come novellato dal decreto legislativo 101/2018, ribadiscono l’obbligatorietà, anche se con modalità particolari, da parte delle strutture sanitarie di fornire le suddette informative, i cui tratti caratterizzanti sono descritti negli articoli 13 e 14 del GDPR, adeguate al paziente su come vengono trattati i suoi dati personali.

Gestione dati in Sanità digitale, l’informativa

Aggiungiamo, inoltre, come il codice di deontologia medica disponga che “il medico deve, nell’interesse esclusivo della persona assistita, mettere la documentazione clinica in suo possesso a disposizione della stessa o del suo rappresentante legale […]” e che “il medico garantisce alla persona assistita o al suo rappresentante legale un’informazione comprensibile ed esaustiva sulla prevenzione, sul percorso diagnostico, sulla diagnosi, sulla prognosi, sulla terapia e sulle eventuali alternative diagnostico terapeutiche, sui prevedibili rischi e complicanze, nonché sui comportamenti che il paziente dovrà osservare nel processo di cura”.

Alla luce di queste disposizioni si ritiene esclusa ogni possibilità di attività mediche legittime, incluso ogni trattamento di “decision making”, poste in essere senza l’informata consapevolezza da parte del paziente interessato al trattamento.

WHITEPAPER
Come semplificare il sistema di gestione delle identità digitali?
Sicurezza
IAM

Altro principio importante è rappresentato dall’esattezza dei dati trattati. Uno studio del Journal of American Medical Association stima che circa il 70% dei dati sanitari in formato elettronico statunitensi contenga informazioni errate; analogamente una analisi francese ha portato alla luce il fatto che molto raramente i dati che confluiscono nel “Sistema Nazionale di Dati Sanitari (SNDS)” vengono esaminati da soggetti in possesso delle necessarie competenze specialistiche. Realizzare un sistema predittivo basandosi su dati non esatti è un rischio concreto se non si provvede ad una verifica concreta e capillare dei dati che verranno considerati dall’algoritmo.

Sanità digitale e trattamento automatizzato

Il trattamento specifico del “decision making” sanitario rientra, inoltre, nel pieno ambito di applicazione dell’articolo 22 del GDPR in quanto, al paragrafo 1 dispone che “l’interessato ha il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato […] che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona”.
Il termine “diritto” contenuto nella disposizione non significa che l’articolo 22, paragrafo 1, si applica soltanto se invocato attivamente dall’interessato, ma stabilisce un divieto generale nei confronti del processo decisionale basato unicamente sul trattamento automatizzato. Tale divieto si applica indipendentemente dal fatto che l’interessato intraprenda o meno un’azione in merito al trattamento dei propri dati personali.

È necessario sottolineare che l’articolo 22, al paragrafo 2, prevede una serie di eccezioni al divieto di trattamento mediante processo decisionale esclusivamente automatizzato. Vediamo come queste eccezioni si estrinsecano in ambito sanitario:

  1. decisione necessaria per la conclusione o l’esecuzione di un contratto tra l’interessato e un titolare del trattamento: questa eccezione non si applica in ambito sanitario quando il trattamento ha “finalità di cura”. Nei casi in cui il trattamento non abbia “finalità di cura”, il trattamento necessita obbligatoriamente del consenso del paziente/interessato, come specificato dall’Autorità Garante.
  2. decisione autorizzata dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento, che precisa altresì misure adeguate a tutela dei diritti, delle libertà e dei legittimi interessi dell’interessato: anche se non sono ancora state adottate misure legislative in tal senso, ricordiamo come il considerando 71 del GDPR afferma che tale trattamento dovrebbe essere “subordinato a garanzie adeguate, che dovrebbero comprendere la specifica informazione all’interessato e il diritto di ottenere l’intervento umano, di esprimere la propria opinione, di ottenere una spiegazione della decisione conseguita dopo tale valutazione e di contestare la decisione”.
  3. decisione che si basi sul consenso esplicito dell’interessato: in questa fattispecie, l’articolo 22 paragrafo 2 lettera c, che stabilisce l’esplicito consenso dell’interessato come eccezione al trattamento automatizzato di cui sopra, non può trovare applicazione, in quanto doveri ed etica professionale del medico devono avere la prevalenza sull’eventuale (anche se poco probabile) consenso ad un trattamento sanitario svolto in maniera esclusivamente automatica.

Ricordiamo, inoltre, il paragrafo 4 dell’articolo 22 consente l’uso di categorie particolari di dati personali soltanto se sono soddisfatte entrambe le seguenti condizioni:

  • esiste un’esenzione applicabile in virtù dell’articolo 22, paragrafo 2 (che abbiamo poc’anzi trattato)
  • si applicano la lettera a) o g) dell’articolo 9, paragrafo 2 ossia vi è consenso esplicito dell’interessato oppure il trattamento è necessario per motivi di interesse pubblico rilevante sulla base del diritto dell’Unione o degli Stati membri, che deve essere proporzionato alla finalità perseguita, rispettare l’essenza del diritto alla protezione dei dati e prevedere misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato.

I limiti del trattamento automatizzato

Una linea interpretativa sostiene che, per avere un trattamento non esclusivamente automatizzato è sufficiente che la raccolta dei dati ed il loro inserimento nel sistema venga effettuata da mano umana, ma questa ipotesi è da rigettare in toto in quanto la ratio legislativa fa riferimento ad un apporto decisionale che deve necessariamente essere effettuato da mente umana (competente aggiungerei), non solo ad un contributo meramente compilativo che può essere effettuato anche da chi non ha competenza specifica.

Nella stessa direzione si è mosso il WP29 (ora sostituito dal Comitato europeo per la protezione dei dati – EDPB), il quale sottolinea che la supervisione umana della conclusione raggiunta dalla macchina deve essere significativa e non soltanto simbolica.

Il titolare del trattamento non può eludere le disposizioni dell’articolo 22 creando coinvolgimenti umani fittizi anzi, nell’ambito della valutazione d’impatto sulla protezione dei dati, dovrebbe individuare e registrare il grado di coinvolgimento umano nel processo decisionale e la fase nella quale quest’ultimo ha luogo.

Altra questione si può porre in merito all’influenzabilità della opinione umana nel momento in cui si trova a “relazionarsi” con la risultanza emersa da una elaborazione elettronica. Da questo punto di vista la mia opinione, suffragata da pareri diretti, è che l’etica e la deontologia professionale medica hanno un impatto decisivo in materia.

Trattamento automatizzato e giudizio umano

Il codice deontologico affronta la questione in modo tale da non lasciare dubbi sulla assoluta “priorità del giudizio umano”, basti fare riferimento a quanto dispone in merito alla prescrizione: “La prescrizione a fini di prevenzione, diagnosi, cura e riabilitazione è una diretta, specifica, esclusiva e non delegabile competenza del medico, impegna la sua autonomia e responsabilità e deve far seguito a una diagnosi circostanziata o a un fondato sospetto diagnostico” ed in merito alla innovazione sanitaria: “Il medico partecipa e collabora con l’organizzazione sanitaria al fine del continuo miglioramento della qualità dei servizi offerti agli individui e alla collettività, opponendosi a ogni condizionamento che lo distolga dai fini primari della medicina. Il medico garantisce indipendenza di giudizio e persegue l’appropriatezza clinica nell’organizzazione sanitaria”.

Decision making, le lacune della normativa

La normativa europea in materia di privacy offre una serie di strumenti importanti per evitare un uso distorto degli strumenti di “decision making”, però un importante spazio normativo è stato demandato alla legislazione particolare, sia a livello comunitario che a livello dei singoli Stati membri. Spazio normativo che non è stato ancora colmato adeguatamente e con sufficiente chiarezza. Nell’attesa, serve dare un significativo impulso alle attività di controllo in modo da applicare concretamente gli strumenti che si hanno già a disposizione.

Altro punto critico riguarda la qualità dei dati: per garantirla è opportuno che il titolare del trattamento utilizzi procedure appropriate, metta in atto misure tecniche e organizzative adeguate e provveda costantemente alla formazione dei soggetti incaricati al trattamento.

In ultimo è necessario un coinvolgimento concreto da parte dei professionisti sanitari nelle attività di creazione degli algoritmi che stanno alla base dei processi decisionali automatizzati, processi che dovranno essere sempre considerati come uno strumento perché la cura non può essere data in mano esclusivamente alla tecnologia.

“La vera essenza dell’intelligenza consiste nel fatto di agire in modo appropriato quando un problema non è definito chiaramente e le soluzioni non sono evidenti. Il comportamento dell’uomo, in tali situazioni, si basa sul senso comune, formatosi grazie alle esperienze vissute” (Fritjof Capra).

WEBINAR - 3 NOVEMBRE
CISO as a Service: perché la tua azienda ha bisogno di un esperto di Cyber Security?
Sicurezza
Cybersecurity

@RIPRODUZIONE RISERVATA

Articolo 1 di 4