approfondimento

Ddl AI, tutte le perplessità del Garante privacy su sanità e protezione dati



Indirizzo copiato

Il Garante privacy ha espresso parere favorevole sul Ddl AI, sottolineando però la necessità di modifiche agli articoli relativi alla sanità e alla protezione dei dati: ecco una panoramica di tutte le richieste

Pubblicato il 26 ago 2024

Silvia Stefanelli

Studio Legale Stefanelli & Stefanelli



sanità

Nell’ambito dell’iter di approvazione del Ddl sull’intelligenza artificiale, il Garante Privacy italiano ha espresso il proprio parere ai sensi dell’articolo 36 par. 4 GDPR. Parere favorevole, ma con qualche segnalazione di cui dovrà tenere conto il Parlamento.

Vediamo quali sono i profili segnalati dal Garante, in particolare in relazione agli art. 7, 8  e 9 relativi alla sanità ed al trattamento dei dati, ripercorrendo i contenuti dell’attuale versione di tali articoli e i suggerimenti dell’autorità.

Ddl AI, lo stato dell’arte

Dopo l’entrata in vigore dell’AI Act in data 2 agosto (pubblicazione in Guce in data 12 luglio 2024), è partito il countdown per gli adempimenti da porre in essere. Si avvicina dunque a grandi passi la prima scadenza – in data 2 novembre 2024 – relativa all’obbligo in capo agli Stati membri di identificare le autorità responsabili della tutela dei diritti fondamentali per l’AI, con relativa notifica alla Commissione e agli altri Stati membri (art. 77 par. 1 e 2 dell’AI ACT).

Tale previsione legislativa richiede dunque di accelerare i tempi per l’approvazione del Disegno di Legge recante disposizioni e deleghe in materia di intelligenza artificiale (DDL AI approvato dal Consiglio dei Ministri in data 23 aprile 2024) che contiene non solo l’identificazione di Agid e Anac come Autorità Nazionali per l’Intelligenza Artificiale (art. 18 DDL AI) ma altresì i “principi in materia di ricerca, sperimentazione, sviluppo, adozione e applicazione di sistemi e modelli di intelligenza artificiale” (art. 1 DDL AI). Come previsto dal Gdpr, il Garante privacy nel frattempo ha espresso il proprio parere.

Ddl AI e protezione dei dati, cosa dice il Garante privacy

In primo luogo il Garante segnala, in generale, che per quanto attiene alla protezione dei dati, anziché inserire singoli riferimenti sparsi nelle singole norme,  sarebbe opportuno introdurre al Capo I  un articolo specifico di applicazione trasversale, recante un vincolo generale di conformità dei trattamenti di dati personali funzionali a sistemi di AI  alla disciplina rilevante in materia.

Più esattamente il Garante suggerisce di scrivere così: “Il trattamento dei dati personali correlato a sistemi di intelligenza artificiale è effettuato nel rispetto di quanto previsto dal Regolamento (Ue) 2016/679, dal d.lgs. 30 giugno 20023, n.196 e successive modificazioni  e dal d.lgs. 18 maggio 2018, n. 51 e successive modificazioni”. 

Il ruolo del Garante per l’AI

Per quanto attiene poi al ruolo del Garante, si segnala l’opportunità di modificare l’art. 17 (Strategia Nazionale di AI) e l’art. 18 (Autorità Nazionali per l’AI) prevendendo un coinvolgimento ed una partecipazione più attiva del Garante stesso, quale autorità preposta alla protezione dei dati (costantemente coinvolti nei sistemi di AI)

Più precisamente per quanto attiene alla Strategia Nazionale si chiede la preventiva consultazione del Garante e per quanto riguarda il nuovo ruolo di  AgID e ANAC così si legge  “è anche opportuno prevedere la partecipazione del Garante al Comitato di coordinamento di cui all’articolo 18, c.2, secondo periodo, per realizzare pienamente quella leale cooperazione tra autorità competenti prevista dall’AI Act. Declinando in maniera più articolata le implicazioni di tale cooperazione, è inoltre opportuno integrare l’articolo prevedendo, in fine, che AgID e ACN trasmettano al Garante gli atti dei procedimenti in relazione ai quali emergano profili suscettibili di rilevare in termini di protezione dati, richiedendo altresì il parere dell’Autorità rispetto a fattispecie al loro esame, che coinvolgano aspetti di protezione dei dati.”

In sostanza il Garante rivendica – decisamente – un ruolo più attivo.

AI in sanità: il parere del Garante privacy

L’art. 7 del DDL AI stabilisce alcuni principi in relazione all’uso della AI in sanità. Molto in sintesi i principi stabiliti dal DDL AI (forse un po’ scarni e generalisti se si tiene conto della complessità dell’utilizzo della AI in sanità) sono i seguenti:

  • il generale rispetto dei diritti, delle libertà e degli interessi della persona (tra cui la protezione dei dati personali);
  • il divieto di discriminazione negli accessi alle cure (già presente negli art. 10 e 77 AI ACT); l’obbligo di informare il paziente sull’utilizzo della AI e sulla logica dell’algoritmo (quest’ultimo già presente art. 13 GDPR);
  • l’obbligo di agevolare l’accessibilità, l’autonomia, la sicurezza e i processi di inclusione sociale delle  persone con disabilità;
  • la previsione che la decisione deve sempre essere rimessa alla professione medica (principio antropocentrico che regola tutto l’AI ACT);
  • la previsione che i sistemi di AI  ed i relativi dati impiegati devono essere affidabili e periodicamente verificati/aggiornati al fine di minimizzare il rischio di errore (principio già presente all’art. 5 GDPR).

In relazione a tale articolo il Garante segnala, nello specifico, l’insufficienza di un generico richiamo alla protezione dei dati, suggerendo invece di integrare l’articolo con un richiamo diretto all’art. 10 AI ACT – Dati e Governace dei Dati (articolo per la verità più rivolto ai fornitori dell’AI che al soggetto qualificato come deployer – es. la struttura sanitaria e/o medico) nonché l’art. 9 GDPR (questo senza dubbio di più ampia applicazione per le strutture sanitarie).

In particolare il Garante segnala che l’articolo 10 richiama garanzie essenziali per l’AI quali la preferenza dell’utilizzo dei dati anonimi o sintetici (sui quali però – diciamocelo – la nebbia interpretativa è ancora piuttosto fitta). Inoltre Il Garante suggerisce (giustamente) di inserire una previsione di ordine generale e programmatico di coordinamento con il Regolamento sullo Spazio europeo dei dati sanitari (approvato il 24 aprile scorso).

Ricerca e sperimentazione scientifica nella realizzazione di sistemi di Ai in sanità

L’art. 8 è forse quello che ha fatto più discutere, dopo la pubblicazione  del DDL AI. La norma infatti (fortemente criticata dalla dottrina) introduce una disciplina ad hoc per la ricerca e la sperimentazione scientifica valida solamente per soggetti pubblici e privati senza scopo di lucro (introducendo quindi una -ingiustificata, a parere di chi scrive- distinzione tra il trattamento dati da parte del pubblico e del privato no profit rispetto al trattamento dati del privato profit).

Più esattamente l’articolo stabilisce che il soggetto pubblico e il privato senza scopo di lucro possono trattare i dati ex art. 9 lett. g) GDPR (interesse pubblico) oppure sono autorizzati all’utilizzo secondario dei dati privi degli identificativi diretti (cioè pseudonomizzati), previo parere favorevole del Comitato Etico e comunicazione al Garante della titolarità, del rispetto della privacy by design by default della AI, delle misure di sicurezza implementate, della DPIA effettuata nonché dell’elenco dei responsabili ex art. 28. Il Garante ha poi, se del caso, 30 giorni per bloccare il trattamento.

Le richieste

Su tale articolo anche il Garante solleva qualche perplessità precisando che  il comma 1 andrebbe conformato ai requisiti di determinatezza previsti dagli articoli 6, par. 3, lett. b) e 9, par. 2, lett. g) del Regolamento, nonché dovrebbe essere richiamato l’art. 2-sexies del Codice. Sull’uso secondario (che a bene vedere è la vera novità del DDL AI) il Garante non solo richiama la necessaria non incompatibilità (ex art.  5, par. 1, lett. b) GDPR) ma altresì evidenzia la necessità delle garanzie sancite dall’articolo 89 GDPR.

Inoltre chiede che:

  • al comma 2 sia soppresso il riferimento alla possibilità di assolvere l’obbligo di informativa in forma generale, con pubblicazione sul sito web del titolare, non compatibile con tale ipotesi di uso secondario dei dati.
  • al comma 3 sia precisato che la previa comunicazione al Garante del trattamento, con meccanismo di silenzio-assenso, non fa venir meno i generali poteri di controllo del Garante stesso

Ddl AI e fascicolo sanitario elettronico

L’art. 9 aggiunge un intero articolo (il 12-bis) al DLgs 179/2012.

Tale nuovo articolo  non solo introduce  una serie di regole per il funzionamento della piattaforma di AI gestita da Agenas (che  eroga servizi di supporto ai professionisti sanitari, ai medici nella pratica clinica quotidiana; agli utenti per l’accesso ai servizi sanitari delle Case di Comunità) ma altresì stabilisce che attraverso una serie di decreti del Ministero della salute sono disciplinate le soluzioni di intelligenza artificiale di supporto alle finalità diagnosi, cura e riabilitazione, prevenzione, profilassi internazionale,  studio e ricerca scientifica in campo medico, biomedico ed epidemiologico,  programmazione sanitaria, verifica delle qualità delle cure e valutazione dell’assistenza sanitaria.

Circa la piattaforma il Garante chiede che venga richiamato l’art. 10 AI ACT, mentre in relazione ai decreti ministeriali sottolinea l’importanza del coinvolgimento del Garante stesso nel processo di emanazione degli stessi

Evidenzia inoltre le sue  perplessità circa l’attribuzione della titolarità dei trattamenti effettuati attraverso la piattaforma a un ente strumentale quale Agenas anziché al Dicastero cui il trattamento è complessivamente imputabile e che dispone dei correlati poteri provvedimentali e, lato sensu, decisori.

EU Stories - La coesione innova l'Italia

Tutti
Analisi
Video
Iniziative
Social
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

Articolo 1 di 4