Un tutor umano per l’Intelligenza Artificiale (IA) in sanità. Le decisioni automatizzate devono esser supervisionate da un umano. È questo il punto più importante del decalogo stilato dal Garante della privacy per la realizzazione di servizi sanitari nazionali attraverso sistemi di Intelligenza Artificiale, diffuso ieri e disponibile sul sito dello stesso Garante.
Il decalogo, pur non avendo un formale valore precettivo, illustra gli adempimenti necessari per avvalersi dell’IA nel settore sanitario. Vediamo, dunque, di tratteggiarne i contenuti, che hanno una portata generale: non a caso sono già anticipati in alcune leggi settoriali (come il codice dei contratti pubblici),
Un primo punto tocca le basi giuridiche del trattamento: al riguardo il decalogo spiega che in ambito sanitario, per il trattamento nel pubblico interesse di dati sulla salute, attraverso tecniche di IA, ci vuole una puntuale normativa ad hoc.
Altri punti del decalogo sono la ripresa di alcuni principi formulati dal regolamento Ue sulla privacy n. 2016/679: qualità dei dati (in particolare esattezza), integrità e riservatezza, correttezza e trasparenza. Ulteriori punti del decalogo sono una specificazione di questi principi con riferimento all’IA: tra questi troviamo i principi di conoscibilità dell’algoritmo, quello di non esclusività della decisione algoritmica, dettagliato anche come principio della supervisione umana, e quello di non discriminazione algoritmica. Vi sono, poi, punti del decalogo riguardanti adempimenti documentali e sostanziali: responsabilizzazione (atti di documentazione delle scelte), pianificazione (rispetto della privacy fin dalla progettazione e quale impostazione predefinita), stesura degli atti di valutazione di impatto privacy (Dpia) e dei contratti di responsabile del trattamento con fornitori esterni. L’ultimo punto del decalogo è un contenitore ampio, in cui trovano posto alcuni consigli pratici, tra i quali si segnala l’opportunità per gli organismi sanitari di preferire fornitori che sin da subito scrivono una Dpia, in special modo per i servizi di Intelligenza artificiale, prima della commercializzazione dei propri prodotti (fermo l’obbligo del titolare del trattamento di svolgerne una specifica).
Peraltro, va sottolineato che, in attesa dell’approvazione del regolamento Ue sull’Intelligenza Artificiale, nelle leggi italiane ci sono già norme vigenti, che hanno recepito i più importanti dettami del decalogo. Ad esempio, nell’articolo 30 del dlgs 36/2023, sugli appalti pubblici digitali, troviamo codificati gli obblighi di trasparenza (disponibilità del codice sorgente, conoscibilità delle logiche utilizzate), di correzione degli errori commessi dai sistemi automatizzati, di non esclusività e non discriminazione della decisione algoritmica.
Il citato articolo 30 costituisce, anzi, un modello consolidato: è, infatti, ripetuto anche nello schema di dlgs attuativo dell’articolo 27 della legge annuale per la concorrenza 2021 (legge 118 del 2022), in materia di controlli delle pubbliche amministrazioni sulle attività economiche.
Antonio Ciccia Messina, ItaliaOggi