Garante per la protezione dei dati personali (3/2023)

Periodo di riferimento: luglio 2023 – novembre 2023

 1. Premessa

Nel periodo di riferimento considerato, non risultano adottati dal Garante per la protezione dei dati personali (“Garante”) atti normativi ovvero provvedimenti di carattere generale.

Tuttavia, si ritiene di dare conto in questa sede della pubblicazione del “Decalogo per la realizzazione di servizi sanitari nazionali attraverso sistemi di Intelligenza Artificiale” (di seguito “Decalogo”). Con questo documento il Garante si propone di fare chiarezza sui trattamenti di categorie particolari di dati, tra cui rilevano quelli sulla salute, svolti da soggetti che perseguono compiti di interesse pubblico, nell’ambito dell’erogazione di servizi sanitari attraverso sistemi di Intelligenza Artificiale.

 

Sebbene il Decalogo contenga per sua natura «indicazioni pacificamente prive di valore precettivo»[1] non può negarsi la sua suscettibilità a indirizzare soluzioni normative. Invero, se, da un lato, è indubbia l’estraneità del Decalogo citato agli atti normativi vincolanti, il cui scopo è fornire Linee Guida che possano accompagnare l’adozione responsabile di tecnologie avanzate nell’ambito sanitario; dall’altro, è parimenti evidente la natura paranormativa delle raccomandazioni ivi contenute. Tali raccomandazioni, seppure non abbiano una veste regolamentare[2], appunto, sono di regola prodromiche ad atti di hard law e per tale motivo assumono un particolare rilievo per le ragioni esposte nei paragrafi successivi. Ciò è ancora più evidente se consideriamo che l’art. 36, par. 4 del Regolamento Europeo 2016/679 prevede che il Garante sia consultato nel corso della redazione di un atto legislativo o di una misura regolamentare che prevede il trattamento dei dati personali.

Il Decalogo rappresenta la prima posizione ufficiale assunta dal Garante sul tema dell’Intelligenza Artificiale in ambito sanitario, probabile primo passo verso l’adozione di una regolamentazione vincolante.

 2. Il background normativo del Decalogo

Lo scorso settembre il Garante ha pubblicato il citato Decalogo, teso a fissare una serie di principi e di misure che i soggetti che perseguono compiti di interesse pubblico dovranno tenere in considerazione.

È il risultato di un’azione condotta in un contesto normativo in fermento; quindi, contiene sollecitazioni non trascurabili anche in ragione dell’auspicio espresso dall’European Data Protection Board (“EDPB”) che siano stabilite norme legislative comuni per tutti i sistemi di IA “ad alto rischio”[3].

Sul piano europeo, la proposta di Regolamento del Parlamento europeo e del Consiglio sull’Intelligenza Artificiale[4] (IA), in corso di approvazione, individua tra i sistemi di IA ad alto rischio proprio quelli che incidono -tra l’altro- sulla salute, sul diritto alle cure e sulla fruizione di servizi sanitari, di assistenza medica, nonché sui sistemi di selezione dei pazienti per quanto concerne l'assistenza sanitaria di emergenza.

Essa si affianca al Regolamento UE 2016/679 (“GDPR”) che all’art. 9, par. 2 lett. g) richiede che il trattamento di dati sulla salute svolto da soggetti pubblici debba fondarsi sul diritto dell’Unione o degli Stati Membri, essere proporzionato, rispettare l’essenza del diritto alla protezione dei dati personali e prevedere misure adeguate e specifiche per tutelare i diritti fondamentali e gli interessi degli interessati.

Sul piano nazionale, la disposizione è stata attuata dall’art. 2 sexies del d. lgs 196/2003 (“Codice Privacy”) che subordina l’ammissibilità di tali trattamenti a disposizioni di legge, di regolamento o atti amministrativi generali[5] che specifichino i tipi di dati trattati, le operazioni eseguibili, il motivo di interesse pubblico[6], le misure appropriate e specifiche per tutelare i diritti fondamentali.

Inoltre, trattandosi di operazioni che implicano una profilazione o meglio decisioni sulla base di processi automatizzati trova applicazione l’art. 22, par. 4 del GDPR. Esso contiene una deroga al divieto di profilazione di categorie particolari di dati purché tali trattamenti siano svolti per motivi di interesse pubblico e solo se espressamente previsti dal diritto degli Stati Membri, sempre nel rispetto di misure adeguate a tutela dei diritti, delle libertà e dei legittimi interessi degli interessati.

3. Il Decalogo e i suoi principi cardine

Nel Decalogo il Garante ha richiamato alcuni dei principi derivanti direttamente dalla normativa comunitaria e ne ha formulati altri appositamente, rafforzati da richiami alle pronunce del Consiglio di Stato.

Tra i primi rientrano i principi di privacy by design e privacy by default di cui all’art. 25 del GDPR; i principi di esattezza, integrità e riservatezza, correttezza e trasparenza di cui all’art. 5 del GDPR.

Tra i secondi vi rientrano la “conoscibilità” dell’algoritmo che non coincide con il diritto a essere informati ma ne rappresenta una declinazione forzata[7] e include la “comprensibilità” della logica fondante il processo decisionale[8]. Quest’ultima si traduce nella fruizione di informazioni significative sul processo e si affianca alla “non esclusività”, che esige che il trattamento automatizzato non sia affidato esclusivamente alla macchina ma che sia controllato, validato o smentito dall’uomo con la sua supervisione.

Ad essi il Decalogo aggiunge il principio di “non discriminazione algoritmica” che richiede un sistema di IA ben addestrato e affidabile e una serie di indicazioni sui rapporti tra sanità e IA nonché sulla configurazione dei ruoli nel trattamento dei dati personali. Quanto ai ruoli, i principali protagonisti di un trattamento di dati personali di questo tipo sono il Titolare e il Responsabile del Trattamento; entrambi centro di responsabilità in maniera proporzionale alla gravità delle violazioni commesse durante le operazioni di trattamento.

All’interno del Decalogo, i ruoli di Titolare e di Responsabile del Trattamento sono oggetto di un’attenta valutazione sotto due profili: governance dei dati e requisiti dei soggetti del trattamento.

Sotto il profilo della governance, viene definito un concetto più ampio di Titolarità del Trattamento, che contempla l’accesso ai dati per plurimi singoli Titolari legittimati, ciascuno dei quali effettuerà un determinato trattamento per una precisa finalità.

Sotto il profilo dei requisiti, il Titolare e il Responsabile del trattamento devono presentare competenze adeguate rispetto ai principi del sistema e alle attività che sono chiamati a svolgere.

Infine, il Decalogo passa in rassegna gli obblighi, imposti dal GDPR, cui il Titolare del Trattamento deve ottemperare prima di procedere concretamente al trattamento dei dati e ne introduce altri ispirati ai principi fondamentali del GDPR.

Primo fra tutti l’obbligo di predisporre una preventiva Valutazione di Impatto sulla protezione dei dati di cui all’art. 35 del GDPR, la cd. DPIA, considerato il rischio elevato per i diritti e per le libertà delle persone fisiche che il trattamento sui dati svolto mediante l’impiego di tecnologie avanzate – compresi i sistemi di IA – può comportare[9]

Questa valutazione consente di individuare le misure di sicurezza più adeguate e proporzionate da implementare a fronte dell’alto rischio calando i dati sui casi concreti. Queste misure devono trovare secondo le indicazioni del Garante un’applicazione estesa sotto entrambi i profili materiale e territoriale, nel senso che la loro adeguatezza deve essere assicurata in modo concreto, omogeneo e uniforme nell’ambito di tutti i servizi sanitari basati su IA sull’intero territorio dello Stato[10].

Il secondo obbligo, di carattere eventuale e successivo al precedente, impone al Titolare del Trattamento di consultare l’Autorità di Controllo ai sensi dell’art. 36 GDPR, qualora non abbia individuato misure tecniche ed organizzative sufficienti a mitigare in modo adeguato i rischi cui sono esposti i diritti e le libertà degli Interessati.

Il Decalogo, inoltre, introduce due obblighi di garanzia specifici cui il Titolare deve ottemperare: assicurare la qualità dei dati mediante il periodico aggiornamento dei dati sanitari processati attraverso sistemi di Intelligenza Artificiale, monitorandone la protezione, la rettifica e la cancellazione; la supervisione dell’uomo, che deve sopperire all’utilizzo e allo sviluppo improprio dell’IA, in modo da poter riconoscere un rigoroso fondamento scientifico ai processi e ai risultati ottenuti.

In conclusione, il Garante osserva come l’etica influenzi in modo importante lo sviluppo del quadro normativo e guidi il legislatore nella determinazione dei limiti entro cui sfruttare l’IA, senza che questi possano ritenersi contrari al senso di umanità e lesivi per la dignità di soggetti vulnerabili.

Per questi motivi, la raccomandazione finale contenuta nel Decalogo è rivolta all’elaborazione di un modello etico incentrato sull’uomo distintivo e parallelo per la governance dell’Intelligenza Artificiale.

4. Osservazioni conclusive

Per ragioni di spazio, si precisa che esula da questa analisi la verifica della compatibilità con il principio di legalità della deroga al divieto generale di trattamento automatizzato di dati relativi alla salute da parte di soggetti che perseguono un interesse pubblico. Essa rimette la loro ammissibilità indistintamente a disposizioni di legge, di regolamento o atti amministrativi generali, in assenza di criteri idonei a garantire le tutela legate alla possibilità di «esprimere la propria opinione o di contestare la decisione».

Detto ciò, non possiamo che salutare con favore il Decalogo del Garante ispirato ai principi di trasparenza, non esclusività e non discriminazione algoritmica.

Il documento, tuttavia, se da un lato si limita a riproporre pedissequamente i contenuti precettivi del GDPR; dall’altro sembra non porre la necessaria attenzione – con riguardo al principio di trasparenza - all’altra faccia della conoscibilità dell’algoritmo e cioè a una chiara enunciazione del principio di “giustiziabilità” delle decisioni algoritmiche.

L’approccio antropocentrico per l'Intelligenza Artificiale, posto anche a fondamento della proposta di Regolamento sull’IA deve esigere la piena visibilità dell’algoritmo[11], del suo schema e dei suoi elementi essenziali. In questo modo, potremo porre la tecnologia al servizio dell'uomo, comprenderla, esaminarla e metterla in discussione nella misura in cui potrebbe riverberare bias umani.

Se, quindi, un “right to explanation” è stato riconosciuto dal Garante ed è previsto nella proposta di Regolamento sull’Intelligenza Artificiale, in quest’ultima resta stabilito un regime del rischio senza responsabilità e valutazioni di sicurezza e conformità senza che siano previste norme di carattere giurisdizionale sui diritti azionabili da parte degli interessati.

Si può quindi concludere con un auspicio: al di là del contributo del Garante, la regolamentazione dell’Intelligenza Artificiale, avulsa dai rigidi confini territoriali, già rimessa al lungimirante decisore europeo, non sia annacquata dalle clausole di salvaguardia con il rischio di un rimbalzo della palla agli Stati Membri che parcellizzerebbe una normativa che si pone l’obiettivo di armonizzare le legislazioni e non di frammentarle.

 

 

[1] Trib. Trento, sez. civ., sent. n. 153/2011 secondo cui le Linee Guida del Garante devono essere assimilate agli atti di soft law.

[2] S. Morettini, Il soft law nelle Autorità indipendenti: procedure oscure e assenza di garanzie?, in www.osservatorioair.it, luglio 2011, P 4/2011.

[3] Parere Congiunto EDPB-GEPD Parere congiunto 5/2021 sulla proposta di regolamento del Parlamento europeo e del Consiglio che stabilisce regole armonizzate sull’intelligenza artificiale (legge sull’intelligenza artificiale).

[4] Proposta di Regolamento del Parlamento Europeo e del Consiglio che stabilisce regole armonizzate sull'intelligenza artificiale (legge sull'intelligenza artificiale) e modifica alcuni atti legislativi dell'unione  COM/2021/206 final, disponibile al seguente link: https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=celex%3A52021PC0206.

[5] Gli atti amministrativi generali sono stati introdotti con le modifiche al Codice Privacy intervenute con D.L. dell’8 ottobre 2021, n. 139, convertito con modificazioni dalla L. 3 dicembre 2021, n. 205, ha disposto (con l'art. 9, comma 5)

[6] Si rimanda per il suo dettaglio all’art. 2 sexies co. 2 del Codice Privacy.

[7] Cons. Stato, VI sez.,sent.  n. 2270/2019.

[8] Cons. Stato, VI sez., sentt. nn. 8472/2019, 8473/2019, 8474/2019

[9] Linee Guida sulla Valutazione di impatto, WP248rev.01

[10] Corte Cost, sent. n. 164/ 2022.

[11] G. De Minico, Towards an ‘Algorithm Constitutional by Design’, in BioLaw, 2, 2021, 395. G. De Minico, Fundamental rights, European digital regulation and algorithmic challenge, in Eur. Bus. L. Rev., n. 5, 2021, 29.

Osservatorio sulle fonti

Rivista telematica registrata presso il Tribunale di Firenze (decreto n. 5626 del 24 dicembre 2007). ISSN 2038-5633.

L’Osservatorio sulle fonti è stato riconosciuto dall’ANVUR come rivista scientifica e collocato in Classe A.

Contatti

Per qualunque domanda o informazione, puoi utilizzare il nostro form di contatto, oppure scrivici a uno di questi indirizzi email:

Direzione scientifica: direzione@osservatoriosullefonti.it
Redazione: redazione@osservatoriosullefonti.it

Il nostro staff ti risponderà quanto prima.

© 2017 Osservatoriosullefonti.it. Registrazione presso il Tribunale di Firenze n. 5626 del 24 dicembre 2007 - ISSN 2038-5633