Un’analisi del sangue caricata online in pochi secondi genera una risposta immediata da un algoritmo, creando l’illusione di aver compreso qualcosa sulla propria salute. Ancor prima dell’arrivo di ChatGPT Health, migliaia di persone hanno caricato quotidianamente referti e dati clinici su piattaforme di intelligenza artificiale generativa, rinunciando al controllo sulle proprie informazioni sanitarie, considerati dati personali estremamente sensibili.
Questo gesto apparentemente innocuo può trasformare un bisogno di rassicurazione in un rischio concreto: per la privacy, per l’accuratezza delle informazioni e, nei casi più estremi, per la salute stessa. Informazioni non mediate dal medico, sia esso medico di medicina generale o specialista, trasformano le piattaforme di AI generativa in strumenti privi delle regole e delle tutele previste per i dispositivi medici. In questo contesto, l’AI Act, il regolamento europeo sull’intelligenza artificiale, e il GDPR, che disciplina la protezione dei dati personali, affrontano tali problematiche. L’AI Act classifica le applicazioni di AI in base al loro rischio, imponendo requisiti rigorosi per quelle ad alto rischio, come nel settore sanitario. La loro attuazione e capacità di garantire sicurezza e trasparenza rimangono fondamentali ed è in questo ambito normativo e culturale che si collocano i rischi dell’uso dell’AI per le informazioni mediche.
TrendSanità ha affrontato il tema con alcune domande a Guido Scorza, Avvocato e Docente di Diritto delle nuove tecnologie e privacy, già componente del Collegio del Garante della protezione dei dati personali.
L’utilizzo dell’intelligenza artificiale generativa per ottenere informazioni sanitarie, interpretare esami o ipotizzare diagnosi è un fenomeno in forte crescita. Dal suo punto di vista, quali sono i principali rischi per i cittadini?
«I rischi principali sono almeno due e sono entrambi molto rilevanti. Il primo riguarda la perdita di controllo sui dati personali, in particolare sui dati sanitari, che sono dati estremamente sensibili. Quando una persona carica un’analisi del sangue o un referto su una piattaforma di intelligenza artificiale, l’esperienza può sembrare simile a quella di mostrarla a un medico, ma in realtà è profondamente diversa. Non c’è un professionista sanitario vincolato dal segreto professionale, non c’è uno studio medico, non c’è una catena di custodia dei dati regolata da norme sanitarie. Dall’altra parte ci sono società tecnologiche, spesso multinazionali, che non hanno come scopo sociale la cura o l’assistenza del paziente, ma la fornitura di servizi e, legittimamente, la generazione di profitto. Il secondo grande rischio è quello dell’inesattezza del trattamento. Le risposte fornite dai sistemi di intelligenza artificiale generativa sono basate su modelli probabilistici e statistici. Questo significa che l’AI può associare erroneamente a una persona una patologia che non ha, oppure al contrario non rilevare un problema reale. Dal punto di vista della privacy, questo si traduce in un trattamento inesatto dei dati personali, che può avere conseguenze anche molto gravi se quelle informazioni vengono conservate o, peggio, condivise con terzi».
Quali potrebbero essere, concretamente, queste conseguenze?
«Se il dato resta semplicemente archiviato, abbiamo comunque un’informazione falsa associata a una persona. Ma se quel dato entra in circuiti più ampi, come per esempio, nell’ambito di accordi di partnership con soggetti terzi, le conseguenze possono diventare rilevanti. Immaginiamo che un dato sanitario inesatto finisca, oggi o domani, nella disponibilità di una compagnia assicurativa: questo potrebbe incidere sulla possibilità di stipulare una polizza, sui premi assicurativi o su altri aspetti della vita giuridica della persona. Anche se questi scenari non dovrebbero verificarsi, il problema è che l’utente spesso non ha una reale consapevolezza di ciò che accade ai suoi dati».
Le piattaforme di intelligenza artificiale generativa dichiarano di tutelare i dati personali e di chiedere il consenso degli utenti. Questo non è sufficiente?
«Le informative privacy dei grandi fornitori sono generalmente dettagliate e spiegano come i dati vengono trattati, per quali finalità e con quali basi giuridiche. Nella pratica, però, sappiamo bene che la maggior parte degli utenti non legge queste informative, oppure le accetta senza comprenderne davvero l’impatto. Chi ha in mano un referto medico ed è preoccupato per la propria salute tende a cercare una risposta immediata, non a soffermarsi sulle condizioni di utilizzo di un servizio. È proprio in questo scarto tra teoria e pratica che i rischi diventano concreti».
Esistono meccanismi di protezione o correttivi efficaci per ridurre questi rischi?
«Oggi il principale correttivo è di natura culturale ed educativa. Bisogna far capire che questi strumenti non sono neutri e che i dati sanitari hanno un valore enorme. Anche se l’interfaccia è semplice e l’accesso immediato, è necessario fermarsi, leggere, capire e valutare. Dal lato dei fornitori, non credo che vi sia una sistematica volontà di fare un uso occulto dei dati: in genere ciò che viene fatto è dichiarato e subordinato al consenso dell’utente. Il problema è che l’utente spesso concede quel consenso in modo inconsapevole».
Lei ha esposto una sostanziale equiparazione tra questi strumenti e i dispositivi medici. Perché?
«Queste piattaforme, di fatto, svolgono funzioni che incidono direttamente su decisioni di carattere sanitario. Un termometro, per essere messo sul mercato, deve superare test, collaudi, garanzie e certificazioni oltre una valutazione del rischio. Non per capriccio, ma perché un errore nella misurazione può avere conseguenze serie. I servizi di intelligenza artificiale generativa, invece, sono arrivati sul mercato come strumenti generalisti, quasi paragonabili a piattaforme di intrattenimento, pur essendo utilizzati per interpretare esami o orientare scelte di salute. A mio avviso, almeno per le funzioni di carattere medico, questi strumenti non dovrebbero essere liberamente accessibili senza una filiera di controlli analoga a quella prevista per i dispositivi medici».
Cosa cambia quando l’intelligenza artificiale viene utilizzata dai medici?
«Se l’AI diviene uno strumento di supporto e il medico mantiene un approccio critico, la responsabilità resta in capo al professionista. Il medico decide, prescrive e risponde delle proprie scelte, indipendentemente dal fatto che abbia utilizzato un sistema di intelligenza artificiale come ausilio o meno. Dal punto di vista giuridico, quindi, non cambia molto. Cambia però la pratica quotidiana, perché entra in gioco un fenomeno ben noto: l’automation bias».
Di cosa si tratta?
«L’automation bias è il termine che definisce la tendenza dell’essere umano a fidarsi eccessivamente delle risposte fornite dalla tecnologia, soprattutto quando questa ha dimostrato nel tempo di essere efficace. Succede ai giudici, agli ingegneri, agli architetti e anche ai medici. Con il tempo e con l’uso ripetuto, il professionista può iniziare a prendere per buone le indicazioni dell’algoritmo senza esercitare un adeguato spirito critico. Questo è un rischio reale, documentato da numerosi studi e non riguarda solo chi non è esperto, ma anche gli specialisti nel proprio ambito di competenza».
A questo si aggiunge il rischio di una perdita di competenze?
«Il cosiddetto de-skilling si riferisce all’uso continuativo di strumenti automatizzati che può portare a una progressiva riduzione dell’esercizio di alcune capacità. È un fenomeno che abbiamo già vissuto tutti, banalmente, con l’uso della calcolatrice: sappiamo fare le operazioni, ma le facciamo sempre meno. In ambito medico, però, questo processo è molto più delicato, perché l’errore non si traduce in un semplice disagio, ma può avere conseguenze gravi per i pazienti».
I registri delle conversazioni con le chatbot possono essere utilizzati in sede giudiziaria?
«In casi recenti, questi registri sono stati acquisiti agli atti e costituiscono una prova dell’interazione tra l’utente e il sistema di intelligenza artificiale. Il problema, però, non è tanto dimostrare cosa sia stato detto, quanto stabilire se e in che misura il fornitore del servizio possa essere ritenuto responsabile. Si tratta di una questione di qualificazione giuridica, non di prova».
Finirei con chiederle quale messaggio si sente di dare ai cittadini che utilizzano l’intelligenza artificiale per questioni di salute?
«Il messaggio, oggi, è piuttosto netto: non fatelo. I servizi generalisti di intelligenza artificiale non sono medici e non sono stati progettati per interpretare esami o formulare diagnosi. Avere una risposta immediata, ma incerta, non risolve il problema, anzi può aumentare l’ansia o indurre a decisioni sbagliate. In molti casi è meglio aspettare qualche giorno e parlare con un professionista sanitario, anziché affidare dati di salute a strumenti pensati per tutt’altro scopo».
