“Software medicali basati sulla IA: cosa è possibile fare con i dati dei pazienti” a cura dello Studio Legale Stefanelli&Stefanelli

L’AI ACT ha come obiettivo principale quelli di disciplinare l’immissione nel mercato e l’uso di sistemi di AI. E’ quindi regolamento verticale rispetto al GDPR, che è invece disciplina di natura orizzontale.

Ai fini però di garantire che i sistemi di AI siano correttamente progettati e realizzati, l’AI Act contiene una norma specifica dui dati:  l’art. 10, che obbliga il fornitore del sistema ad impostare una corretta governance dei dati.

Il riferimento, in particolare, è ai dati utilizzati per addestramento, convalida e test dei modelli di AI.

Secondo il par. 2 dell’art. 10 dell’AI Act, questi dati devono “essere pertinenti, sufficientemente rappresentativi e, per quanto possibile, privi di errori e completi in vista dello scopo previsto”.

Non sfugge, ovviamente,  il parallelismo con l’art. 5, par. 2, lett. d) del GDPR che, nel definire il principio di esattezza prescrive che i dati personali debbano essere “esatti e, se necessario, aggiornati” e che debbano “essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati”.

Questo aspetto è ancora più rilevante quando i dati sono trattati da software qualificati come dispositivi medici il cui utilizzo, se basato su dati inesatti, può compromettere la salute dei pazienti.

Ma l’AI Act va oltre questo concetto e non impone la “qualità dei dati” solo con riferimento ai dati personali  (ossia riferiti a persone fisiche identificate o identificabili ex art. 4 GDPR) ma a tutti i dati, anche non personali, utilizzati per il training dei modelli di AI.

Tuttavia, il legislatore dell’AI Act tiene bene in considerazione la differenza tra queste due categorie e, ancor più, non tralascia la disciplina specifica che il GDPR all’art. 9 ha previsto per le categorie particolari di dati personali, ossia quelli che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, i dati genetici, i dati biometrici intesi a identificare in modo univoco una persona fisica, i dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona.

Memore del fatto che il Regolamento Privacy di norma vieta il trattamento di questi dati, salvo in presenza di puntuali condizioni (par. 2 dell’art. 9) il legislatore dell’AI Act lancia il cuore oltre l’ostacolo e introduce una base giuridica specifica per il loro trattamento.

Al par. 5, l’art. 10 dell’AI Act è previsto infatti che “nella misura in cui è strettamente necessario per garantire l’individuazione e la correzione degli errori in relazione ai sistemi di IA ad alto rischio […]  fornitori di tali sistemi possono eccezionalmente trattare categorie particolari di dati personali”.

Con riferimento ai software di medicina predittiva, ciò implica la possibilità di utilizzare, per lo scopo descritto, i dati di salute dei pazienti elaborati dall’applicativo.

Che non si tratti di un intervento fatto “alla leggera” lo si comprende già dalle espressioni “strettamente necessario” ed “eccezionalmente”, a sottolineare un obbligo di proporzionalità che questo utilizzo deve garantire.

Il par. 5 aggiunge poi le specifiche condizioni da osservare per legittimare il trattamento dei dati ex art. 9 GDPR finalizzato a correggere le distorsioni del software di IA.

Nello specifico:

  1. il rilevamento e la correzione delle distorsioni non devono poter essere realizzati efficacemente elaborando altri dati, compresi quelli sintetici o anonimizzati;
  2. i dati particolari devono essere soggetti a limitazioni tecniche sul riutilizzo e a misure di sicurezza e di tutela della privacy all’avanguardia, compresa la pseudonimizzazione;
  3. i dati particolari devono essere soggetti a misure di sicurezza e garanzie adeguate, tra cui controlli rigorosi e documentazione dell’accesso, per evitare abusi e garantire che solo le persone autorizzate abbiano accesso a tali dati personali con obblighi di riservatezza adeguati;
  4. i dati particolari non devono essere trasmessi, trasferiti o altrimenti accessibili ad altri soggetti;
  5. i dati particolari devono essere cancellati una volta che l’errore è stato corretto o che i dati personali hanno raggiunto il termine del periodo di conservazione;
  6. il registro delle attività di trattamento deve includere la giustificazione del motivo per cui il trattamento dei dati particolari era strettamente necessario per individuare e correggere i bias e tale obiettivo non poteva essere raggiunto trattando altri dati.

Si tratta di una importante novità in materia di riutilizzo dei dati da parte del responsabile del trattamento, tematica di estremo interesse nel settore dei software medicali.

Su questo tema già nel 2022 l’Autorità Garante francese per la protezione dei dati, Commission nationale de l’informatique et des libertés – CNIL aveva aperto una possibile strada al secondary use, con la pubblicazione della “Guida sul riutilizzo dei dati personali da parte dei responsabili per i propri scopi”.

La guida del CNIL chiariva che i fornitori possono riutilizzare i dati personali per i loro scopi, se sussistono le seguenti condizioni:

  • il titolare ha concesso un permesso esplicito, e
  • il nuovo scopo è “compatibile” con lo scopo originale del trattamento sulla base del test da svolgere previsto dall’Opinion n. 3/2013 del Working Party Article 29.

Nella casistica indicata dall’art. 10, par. 5, dell’AI Act questa compatibilità diviene implicita e soprattutto non servono autorizzazioni da parte del titolare del trattamento a cui il software è stato fornito.

L’utilizzo di dati particolari è quindi consentito per assicurare l’eticità del funzionamento del sistema di intelligenza artificiale.

L’obiettivo è chiaro: rispettare quanto stabilito dall’art. 10, par. 2 lett. f) e fbis) dell’AI Act ossia individuare, prevenire e attenuare possibili pregiudizi che possono incidere sulla salute e sulla sicurezza delle persone, avere un impatto negativo sui diritti fondamentali o portare a discriminazioni vietate dal diritto dell’Unione, soprattutto quando i dati prodotti influenzano gli input per le operazioni future. Input che, nel settore medicale, possono fare la differenza tra l’esito fausto o infausto di un trattamento medico.

Si tratta di una norma virtuosa che, sulla scia aperta dal GDPR in ottica di libera circolazione dei dati, consente di estrapolare – anche dai dati più delicati come quelli sanitari – il potenziale per garantire che tecnologie di frontiera possano essere affidabili e godere quindi della fiducia dei pazienti e dei mercati.

Senza però dimenticarsi di farlo sulla base di presupposti rigorosi stabiliti nel rispetto della data protection, che l’intero Regolamento AI non preguidica. E a cui, anzi, fa riferimento già all’interno di uno dei primi Considerando, laddove mantiene fermi “gli obblighi dei fornitori e degli installatori di sistemi di IA in qualità di responsabili o incaricati del trattamento” (Cons. 5aa).

Avv. Silvia Stefanelli

Avv. Maria Livia Rizzo