Un vero e proprio decalogo che fornisce le linee guida per l’uso dell’intelligenza artificiale applicata al mondo sanitario. Lo ha stilato il Garante della Privacy, assecondando quanto già espresso dal Regolamento Europeo sull’AI ancora in corso di approvazione.
La necessità di informare compiutamente l’utente riguardo al trattamento dei propri dati personali e la necessità di una supervisione umana dietro ai software di AI usati in ambito sanitario sono i due principi cardine che stanno alla base del testo redatto dal Garante.
Il decalogo chiarisce infatti che non può sussistere un processo decisionale automatizzato che non preveda sempre anche il controllo finale da parte del personale sanitario su quanto elaborato dal software di intelligenza artificiale. Il cittadino, inoltre, ha sempre diritto alla massima trasparenza nei processi decisionali che lo riguardano: le scelte non possono essere demandate interamente agli algoritmi, ma seguono i principi di “privacy by design” e “by default”. Ne abbiamo parlato con l’avvocato Ernesto Belisario, esperto in protezione dei dati e sicurezza informatica.
Gli algoritmi non possono essere gli unici responsabili dei processi decisionali
«Lo sviluppo delle soluzioni di AI cresce assai velocemente – ha spiegato a TrendSanità Belisario – ed è necessario, prima che sia troppo tardi, fornire regole che aiutino le aziende a sviluppare soluzioni che rispettino i principi etici e giuridici e le istituzioni del comparto sanitario a comprare solo i prodotti che forniscono adeguate garanzie».
Le aziende sanitarie non possono fare uso di programmi dalla dubbia o scarsa affidabilità, devono assicurarsi di possedere i migliori software al fine di ridurre al minimo i rischi di errori dell’elaborazione dei dati, verificandone periodicamente l’efficacia.
Lo sviluppo delle soluzioni di AI cresce assai velocemente ed è necessario fornire alle aziende, pubbliche e private, regole certe e condivise
Il Garante, nel decalogo, sottolinea come «generare contenuti, fare previsioni o adottare decisioni in maniera automatica sia cosa ben diversa rispetto alle modalità con cui queste stesse attività vengono svolte dagli esseri umani attraverso il ragionamento creativo o teorico, nella piena consapevolezza delle responsabilità e delle relative conseguenze».
La raccolta di dati inesatti o incompleti potrebbe infatti compromettere la salute delle persone. Ne è la prova il caso statunitense, richiamato nel decalogo, riguardante un algoritmo che avrebbe agito in maniera discriminatoria nei confronti dei pazienti afroamericani, assegnando in automatico un valore di rischio più basso a parità di condizione di salute. Il sistema infatti assegnava un rischio minore correlandolo a valori più bassi di spesa sanitaria sostenuta dalle famiglie afroamericane. Le condizioni di salute erano le stesse, a cambiare erano invece le possibilità economiche. L’algoritmo, senza supervisione umana, non si era dimostrato in grado di funzionare in maniera egualitaria. Non aveva dato a tutti i pazienti le stesse possibilità di accesso alle cure. Dati inesatti o non aggiornati creano potenziali diseguaglianze. Per questo è necessario che l’intelligenza umana faccia sempre e comunque la sua parte, supervisionando i risultati raggiunti dalle macchine.
Privacy by design e by default
Nel decalogo si legge che «il nuovo quadro normativo in materia di protezione dei dati personali richiede una valutazione preliminare e ponderata di tutte le scelte connesse ai trattamenti di dati personali, dimostrabile sul piano logico attraverso specifiche motivazioni, volte all’individuazione di misure necessarie e proporzionate rispetto alla concreta efficacia del principio di volta in volta tutelato. Tali misure, volte ad assicurare l’effettiva applicazione dei principi in materia di protezione dei dati personali, devono garantire – per impostazione predefinita – la proporzionalità del trattamento rispetto all’interesse pubblico perseguito, ponendosi l’obiettivo di ottenere un reale effetto di tutela».
La raccolta di dati inesatti o incompleti potrebbe compromettere la salute delle persone
«Il decalogo adottato dal Garante Privacy riveste una grande importanza nell’ambito della data protection in Italia, specialmente per quanto riguarda l’implementazione dei principi di “privacy by design” e “by default” nell’uso dell’intelligenza artificiale nel settore sanitario», ha proseguito Belisario, entrando nel dettaglio. «In particolare, il principio di “privacy by design” implica che la protezione dei dati personali deve essere un elemento integrato nella progettazione e nello sviluppo di sistemi di intelligenza artificiale. Questo approccio richiede che le misure per tutelare la privacy e i dati personali siano considerate fin dall’inizio e durante tutto il ciclo di vita del sistema, non come un’aggiunta successiva. Nel contesto della sanità, dove i dati sono particolarmente delicati, ciò assicura che la protezione dei dati sia una componente fondamentale e non un aspetto secondario (specialmente in ambiti in cui le soluzioni rivestono, spesso, ancora un carattere sperimentale)».
«Invece, il principio di “privacy by default” assicura che i dati dei pazienti siano protetti in modo proattivo, limitando il trattamento dei dati personali al minimo necessario per lo scopo specifico – ha proseguito Belisario -. In conclusione, questi principi sono essenziali per garantire che i sistemi di intelligenza artificiale nel settore sanitario siano sviluppati e utilizzati in modo etico e responsabile, rispettando la privacy e i diritti dei pazienti, e contribuendo a creare un ambiente di fiducia e sicurezza per un sempre più massiccio uso di soluzioni di AI anche nel settore sanitario».
Il principio di conoscibilità
Fra i diritti fondamentali degli utenti c’è quello di conoscibilità. Nel decalogo del Garante viene specificato esplicitamente il diritto dell’interessato di conoscere l’esistenza di processi decisionali basati su trattamenti automatizzati e, in tal caso, «di ricevere informazioni significative sulla logica utilizzata, così da poterla comprendere».
L’attività dell’AI in campo sanitario dovrà avere uno specifico quadro normativo
Secondo quanto scritto dal Garante della Privacy, prima di mettere nelle mani dell’intelligenza artificiale i dati sanitari dei cittadini italiani, è necessario che venga fatta a livello nazionale una valutazione dell’impatto di utilizzo di questi software. I programmi che trattano dati così sensibili, infatti, devono essere in grado di garantire libertà dei pazienti, la tutela dei diritti e il rispetto dei Regolamenti fissati dall’Unione Europea. Avere a che fare con così tanti dati sanitari a livello nazionale viene infatti considerato “ad alto rischio”: una valutazione preliminare è dunque d’obbligo.
Nel decalogo del Garante viene menzionato che è importante che le logiche algoritmiche utilizzate dai software siano in chiaro, così come le metriche con cui è stato allenato il modello gestionale e i sistemi di controllo e la correzione di eventuali errori di sistema. Dalla valutazione d’impatto, alla ricerca di bias, la trasparenza nell’utilizzo dell’AI è un requisito non negoziabile. Tutte queste necessità dovranno essere messe nero su bianco in un quadro normativo specifico.