Nell’ambito dell’iter di approvazione del Ddl sull’intelligenza artificiale, il Garante Privacy italiano ha espresso il proprio parere ai sensi dell’articolo 36 par. 4 GDPR. Parere favorevole, ma con qualche segnalazione di cui dovrà tenere conto il Parlamento.
Vediamo quali sono i profili segnalati dal Garante, in particolare in relazione agli art. 7, 8 e 9 relativi alla sanità ed al trattamento dei dati, ripercorrendo i contenuti dell’attuale versione di tali articoli e i suggerimenti dell’autorità.
Ddl AI, lo stato dell’arte
Dopo l’entrata in vigore dell’AI Act in data 2 agosto (pubblicazione in Guce in data 12 luglio 2024), è partito il countdown per gli adempimenti da porre in essere. Si avvicina dunque a grandi passi la prima scadenza – in data 2 novembre 2024 – relativa all’obbligo in capo agli Stati membri di identificare le autorità responsabili della tutela dei diritti fondamentali per l’AI, con relativa notifica alla Commissione e agli altri Stati membri (art. 77 par. 1 e 2 dell’AI ACT).
Tale previsione legislativa richiede dunque di accelerare i tempi per l’approvazione del Disegno di Legge recante disposizioni e deleghe in materia di intelligenza artificiale (DDL AI approvato dal Consiglio dei Ministri in data 23 aprile 2024) che contiene non solo l’identificazione di Agid e Anac come Autorità Nazionali per l’Intelligenza Artificiale (art. 18 DDL AI) ma altresì i “principi in materia di ricerca, sperimentazione, sviluppo, adozione e applicazione di sistemi e modelli di intelligenza artificiale” (art. 1 DDL AI). Come previsto dal Gdpr, il Garante privacy nel frattempo ha espresso il proprio parere.
Ddl AI e protezione dei dati, cosa dice il Garante privacy
In primo luogo il Garante segnala, in generale, che per quanto attiene alla protezione dei dati, anziché inserire singoli riferimenti sparsi nelle singole norme, sarebbe opportuno introdurre al Capo I un articolo specifico di applicazione trasversale, recante un vincolo generale di conformità dei trattamenti di dati personali funzionali a sistemi di AI alla disciplina rilevante in materia.
Più esattamente il Garante suggerisce di scrivere così: “Il trattamento dei dati personali correlato a sistemi di intelligenza artificiale è effettuato nel rispetto di quanto previsto dal Regolamento (Ue) 2016/679, dal d.lgs. 30 giugno 20023, n.196 e successive modificazioni e dal d.lgs. 18 maggio 2018, n. 51 e successive modificazioni”.
Il ruolo del Garante per l’AI
Per quanto attiene poi al ruolo del Garante, si segnala l’opportunità di modificare l’art. 17 (Strategia Nazionale di AI) e l’art. 18 (Autorità Nazionali per l’AI) prevendendo un coinvolgimento ed una partecipazione più attiva del Garante stesso, quale autorità preposta alla protezione dei dati (costantemente coinvolti nei sistemi di AI)
Più precisamente per quanto attiene alla Strategia Nazionale si chiede la preventiva consultazione del Garante e per quanto riguarda il nuovo ruolo di AgID e ANAC così si legge “è anche opportuno prevedere la partecipazione del Garante al Comitato di coordinamento di cui all’articolo 18, c.2, secondo periodo, per realizzare pienamente quella leale cooperazione tra autorità competenti prevista dall’AI Act. Declinando in maniera più articolata le implicazioni di tale cooperazione, è inoltre opportuno integrare l’articolo prevedendo, in fine, che AgID e ACN trasmettano al Garante gli atti dei procedimenti in relazione ai quali emergano profili suscettibili di rilevare in termini di protezione dati, richiedendo altresì il parere dell’Autorità rispetto a fattispecie al loro esame, che coinvolgano aspetti di protezione dei dati.”
In sostanza il Garante rivendica – decisamente – un ruolo più attivo.
AI in sanità: il parere del Garante privacy
L’art. 7 del DDL AI stabilisce alcuni principi in relazione all’uso della AI in sanità. Molto in sintesi i principi stabiliti dal DDL AI (forse un po’ scarni e generalisti se si tiene conto della complessità dell’utilizzo della AI in sanità) sono i seguenti:
- il generale rispetto dei diritti, delle libertà e degli interessi della persona (tra cui la protezione dei dati personali);
- il divieto di discriminazione negli accessi alle cure (già presente negli art. 10 e 77 AI ACT); l’obbligo di informare il paziente sull’utilizzo della AI e sulla logica dell’algoritmo (quest’ultimo già presente art. 13 GDPR);
- l’obbligo di agevolare l’accessibilità, l’autonomia, la sicurezza e i processi di inclusione sociale delle persone con disabilità;
- la previsione che la decisione deve sempre essere rimessa alla professione medica (principio antropocentrico che regola tutto l’AI ACT);
- la previsione che i sistemi di AI ed i relativi dati impiegati devono essere affidabili e periodicamente verificati/aggiornati al fine di minimizzare il rischio di errore (principio già presente all’art. 5 GDPR).
In relazione a tale articolo il Garante segnala, nello specifico, l’insufficienza di un generico richiamo alla protezione dei dati, suggerendo invece di integrare l’articolo con un richiamo diretto all’art. 10 AI ACT – Dati e Governace dei Dati (articolo per la verità più rivolto ai fornitori dell’AI che al soggetto qualificato come deployer – es. la struttura sanitaria e/o medico) nonché l’art. 9 GDPR (questo senza dubbio di più ampia applicazione per le strutture sanitarie).
In particolare il Garante segnala che l’articolo 10 richiama garanzie essenziali per l’AI quali la preferenza dell’utilizzo dei dati anonimi o sintetici (sui quali però – diciamocelo – la nebbia interpretativa è ancora piuttosto fitta). Inoltre Il Garante suggerisce (giustamente) di inserire una previsione di ordine generale e programmatico di coordinamento con il Regolamento sullo Spazio europeo dei dati sanitari (approvato il 24 aprile scorso).
Ricerca e sperimentazione scientifica nella realizzazione di sistemi di Ai in sanità
L’art. 8 è forse quello che ha fatto più discutere, dopo la pubblicazione del DDL AI. La norma infatti (fortemente criticata dalla dottrina) introduce una disciplina ad hoc per la ricerca e la sperimentazione scientifica valida solamente per soggetti pubblici e privati senza scopo di lucro (introducendo quindi una -ingiustificata, a parere di chi scrive- distinzione tra il trattamento dati da parte del pubblico e del privato no profit rispetto al trattamento dati del privato profit).
Più esattamente l’articolo stabilisce che il soggetto pubblico e il privato senza scopo di lucro possono trattare i dati ex art. 9 lett. g) GDPR (interesse pubblico) oppure sono autorizzati all’utilizzo secondario dei dati privi degli identificativi diretti (cioè pseudonomizzati), previo parere favorevole del Comitato Etico e comunicazione al Garante della titolarità, del rispetto della privacy by design by default della AI, delle misure di sicurezza implementate, della DPIA effettuata nonché dell’elenco dei responsabili ex art. 28. Il Garante ha poi, se del caso, 30 giorni per bloccare il trattamento.
Le richieste
Su tale articolo anche il Garante solleva qualche perplessità precisando che il comma 1 andrebbe conformato ai requisiti di determinatezza previsti dagli articoli 6, par. 3, lett. b) e 9, par. 2, lett. g) del Regolamento, nonché dovrebbe essere richiamato l’art. 2-sexies del Codice. Sull’uso secondario (che a bene vedere è la vera novità del DDL AI) il Garante non solo richiama la necessaria non incompatibilità (ex art. 5, par. 1, lett. b) GDPR) ma altresì evidenzia la necessità delle garanzie sancite dall’articolo 89 GDPR.
Inoltre chiede che:
- al comma 2 sia soppresso il riferimento alla possibilità di assolvere l’obbligo di informativa in forma generale, con pubblicazione sul sito web del titolare, non compatibile con tale ipotesi di uso secondario dei dati.
- al comma 3 sia precisato che la previa comunicazione al Garante del trattamento, con meccanismo di silenzio-assenso, non fa venir meno i generali poteri di controllo del Garante stesso
Ddl AI e fascicolo sanitario elettronico
L’art. 9 aggiunge un intero articolo (il 12-bis) al DLgs 179/2012.
Tale nuovo articolo non solo introduce una serie di regole per il funzionamento della piattaforma di AI gestita da Agenas (che eroga servizi di supporto ai professionisti sanitari, ai medici nella pratica clinica quotidiana; agli utenti per l’accesso ai servizi sanitari delle Case di Comunità) ma altresì stabilisce che attraverso una serie di decreti del Ministero della salute sono disciplinate le soluzioni di intelligenza artificiale di supporto alle finalità diagnosi, cura e riabilitazione, prevenzione, profilassi internazionale, studio e ricerca scientifica in campo medico, biomedico ed epidemiologico, programmazione sanitaria, verifica delle qualità delle cure e valutazione dell’assistenza sanitaria.
Circa la piattaforma il Garante chiede che venga richiamato l’art. 10 AI ACT, mentre in relazione ai decreti ministeriali sottolinea l’importanza del coinvolgimento del Garante stesso nel processo di emanazione degli stessi
Evidenzia inoltre le sue perplessità circa l’attribuzione della titolarità dei trattamenti effettuati attraverso la piattaforma a un ente strumentale quale Agenas anziché al Dicastero cui il trattamento è complessivamente imputabile e che dispone dei correlati poteri provvedimentali e, lato sensu, decisori.
