Apertura del Senato sulle regole della ricerca scientifica nella AI.
L’ articolo 8 sulla ricerca scientifica nella AI del Disegno di Legge 1146 IA – approvata il 19 marzo in Senato e che ora deve passare al vaglio della Camera – presenta un testo oggi molto più ampio ed articolato rispetto a quello iniziale.
Come noto infatti l’AI ACT (Reg. Ue 2024/1689) non contiene nessuna norma specifica per la ricerca scientifica ma solo l’art. 10 (disciplina peraltro di assoluta rilevanza) sulla Governance e qualità dei dati che detta le regole per scegliere e gestire in maniera corretta i dati per l’addestramento, la prova e la convalida dei sistemi di AI.
Si pone dunque il tema – specie in un ordinamento come il nostro le cui regole sulla ricerca scientifica (e medica in particolare) hanno maglie piuttosto strette – di introdurre una disciplina che disegni un nuovo quadro di utilizzo dei dati in questo settore, in maniera da facilitare il trattamento di più ampi set di dati, in modo da garantire in particolare che il sistema AI eviti bias e discriminazioni.
Indice degli argomenti
DDL AI: regole sulla ricerca scientifica
Da qui una nuova formulazione dell’art. 8 che amplia le basi giuridiche e facilita il trattamento dei dati in questo ambito.
I soggetti che possono applicare l’art. 8
Partiamo dai soggetti che sono indicati nell’art. 8.
La norma si rivolge a (solo) 3 categorie specifiche: i soggetti pubblici e privati senza scopo di lucro, gli IRCCS, ed i soggetti privati operanti nel settore sanitario nell’ambito di progetti di ricerca a cui partecipano soggetti pubblici e privati senza scopo di lucro o IRCCS.
Quindi (inspiegabilmente) sembrerebbero restare fuori gli ospedali (che pure fanno ricerca) ma sono enti pubblici economici ed (ancor più grave) le cliniche universitarie.
Circa la base giuridica i soggetti di cui sopra possono trattare i dati per la ricerca sulla AI utilizzando l’interesse pubblico rilevante, secondo quanto previsto dall’art. 9, paragrafo 2, lettera g), del GDPR: quindi non occorre più il consenso (considerato da sempre quale base giuridica “obbligatoria”).
La formulazione della norma lascia però aperto un vulnus di non poco conto: il nostro Codice Privacy all’art. 2-sexies stabilisce che, ove il trattamento di categorie particolari di dati (tra cui i dati sanitari) si basi sull’interesse pubblico rilevante, tale trattamento è ammesso qualora sia previsto “dal diritto dell’Unione europea ovvero, nell’ordinamento interno, da disposizioni di legge o di regolamento o da atti amministrativi generali che specifichino i tipi di dati che possono essere trattati, le operazioni eseguibili e il motivo di interesse pubblico rilevante, nonché le misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato”
Se può affermarsi che l’art. 8 del DDL palesi il “motivo di interesse pubblico rilevante”, non si può certamente sostenere che la stessa soddisfi tutte le altre specifiche richieste dell’art. 2-sexies (i tipi di dati trattati, le operazioni eseguibili e le misure appropriate e le specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato).
Quindi è vero che l’art. 8 apre, ma è altrettanto vero che mancano normative unionali o nazionali che soddisfino l’art. 2-sexies.
Peraltro gli enti pubblici possono poi (per ottemperare all’art. 2-sexies) emanare un atto di amministrazione generale (strumento giuridico che peraltro hanno da tempo, ma che quasi nessuno utilizza..). Al contrario gli enti privati senza scopo di lucro (ad esempio una Fondazione) non hanno tale strumento di diritto amministrativo, che nel nostro ordinamento è appannaggio solo della pubblica amministrazione.
Quindi è vero che il legislatore sembra voler abbandonare il consenso “sempre e comunque”, ma è altrettanto vero che la nuova sedia manca di una gamba.
L’uso secondario dei dati
Il comma 2 autorizza poi, esplicitamente, l’uso secondario dei dati.
Stabilisce infatti che per le finalità di cui al comma 1 (ricerca/sperimentazione scientifica nella realizzazione di sistemi AI per prevenzione, diagnosi e cura di malattie, sviluppo di farmaci, terapie e tecnologie riabilitative, realizzazione di apparati medicali – incluse protesi e interfacce fra il corpo e strumenti di sostegno alle condizioni del paziente – salute pubblica, incolumità della persona, salute e sicurezza sanitaria nonché studio della fisiologia, della biomeccanica e della biologia umana anche in ambito non sanitario, in quanto necessari ai fini della realizzazione e dell’utilizzazione di banche dati e modelli di base) i soggetti di cui sopra sono autorizzati all’uso secondario di dati personali (anche sanitari) privi degli elementi identificativi diretti (vale a dire pseudonomizzati).
Seguendo dunque il nuovo vento dell’Health Data Space (Reg.Ue 2025/327), comincia a cadere il tabù sull’utilizzo secondario dei dati sanitari: seppure però sempre limitato alle sole finalità specifiche sopra indicate e per le sole 3 categorie di soggetti sopra individuati.
Bene da una parte, ma con una forte (ed ingiustificata) disparità di trattamento dall’altra.
Anonimizzazione, pseudonimizzazione e dati sintetici
Analogo discorso per le previsioni di cui al comma 3
Alle tre tipologie di soggetti indicati sopra, per le solo finalità sopra elencate oltre che per la finalità di “programmazione, gestione, controllo e valutazione dell’assistenza sanitaria, ivi incluse l’instaurazione, la gestione, la pianificazione e il controllo dei rapporti tra l’amministrazione ed i soggetti accreditati o convenzionati con il servizio sanitario nazionale” (art. 2-sexies comma 2 lett. v) è sempre consentito il trattamento di dati sanitari “per finalità di anonimizzazione, pseudonimizzazione o sintetizzazione dei dati personali”
Senza dubbio si tratta di una apertura importante, specie nel richiamo diretto alla anonimizzazione e sintetizzazione dei dati, che sembrano trovare nel nostro ordinamento (per la prima volta) una valorizzazione autonoma.
Resta però una formulazione normativa un po’ confusa: siamo sicuri infatti che “anonimizzazione, pseudonimizzazione o sintetizzazione” siano delle “finalità”? a me onestamente pare che siano dei “trattamenti di dati” che ne aumentano la sicurezza ed abbassano il rischio di reidentificazione.
Non è solo una questione puramente lessicale, ma è un problema di istituti giuridici diversi e di conseguenti basi giuridiche: più esattamente se anominizzazione e sintetizzazione sono una “finalità” ne deriva che per le stesse occorre una base giuridica.
Quindi sono consentire nell’ambito dell’AI ACT, ma per tutti i soggetti fuori dall’art. 8 necessitano di una base giuridica ad hoc: siamo certi di questa costruzione giuridica?
Io ho molti dubbi.
Agenas, comitati etici e garante
L’Agenzia Nazionale per i Servizi Sanitari Regionali poi, previo parere del Garante privacy, può stabilire e aggiornare linee guida “per le procedure di anonimizzazione di dati personali e per la creazione di dati sintetici, anche per categorie di dati e finalità di trattamento”. (Attenzione: per il comma 5 anonimizzazione e sintetizzazione non sono più “finalità” ma “procedure”)
Inoltre per i trattamenti di cui al comma commi 1 e 2, dopo il parere dei comitati etici interessati, devono essere comunicati al Garante le informazioni previste dagli articoli 24 (titolari del trattamento) 25 (privacy by design e by default), 32 (sicurezza del trattamento) e 35 (DPIA) ex GDPR nonché i responsabili ex art. 28: il Garante avrà 30 gg per bloccare il trattamento.
Domanda: ma non basterebbe la DPIA, che se ben fatta contiene già tutte le informazioni?
Un primo bilancio su DDL AI e ricerca
Non si può negare che l’attuale formulazione sia di gran lunga migliore rispetto a quella originale.
E capisco bene che l’occasione del DDL sulla AI possa essere il terreno giusto per cominciare ad aprire alla ricerca.
Ma tutti gli altri? Tutti quelli che fanno ricerca clinica non in campo AI? e le cliniche universitarie o ospedali che pur fanno ricerca per il nostro paese?
Non si capisce tale esclusione soggettiva.
In più si corre un altro rischio di non poco conto: autorizzando l’ “uso secondario” dei dati solo ad alcuni soggetti e “consentendo” l’anonimizzazione e sintetizzazione solo a quei soggetti si suggerisce (in un settore che vive in una ampia confusione) una interpretazione sviante ed escludente: se non fai ricerca AI e se non sei in quell’elenco non lo puoi fare.
Ovviamente ad una stretta analisi giuridica non è così: ma il rischio che il messaggio sia mal interpretato è molto alto.
E’ tempo quindi che il nostro Legislatore prenda in mano il tema dell’utilizzo dei dati nella ricerca scientifica, anche alla luce del nuovo quadro comunitario.
I gruppi di lavoro costituiti dal Garante per la revisione delle Regole Deontologiche sulla Ricerca Scientifica e Statistica stanno lavorando alacremente per dare una interpretazione delle norme vigente che sia in linea con la nuova realtà: ma ci sono temi fuori dal nostro ambito di azione, sui quali è tempo (ed è indispensabile) che scenda la mano del Legislatore.
