Intelligenza artificiale e sanità: le norme ad hoc del DDL italiano

Il DDL prevede specifiche disposizioni in ambito sanitario, al fine di promuovere l'uso delle nuove tecnologie per migliorare il sistema sanitario, la prevenzione e cura delle malattie, ed al contempo assicurare soluzioni per la gestione del rischio.

Il DDL non si sovrappone al Regolamento europeo (AI ACT) ma ne accompagna il quadro regolatorio in quegli spazi propri del diritto interno. 

Tre articoli disciplinano l'IA e la sanità.

DDL Intelligenza Artificiale

Il 23 aprile 2024, il Consiglio dei Ministri ha approvato un disegno di legge per l’introduzione di disposizioni e la delega al Governo in materia di intelligenza artificiale (IA), che ora dovrà affrontare il suo iter in Parlamento.

Come chiarito nel comunicato stampa del Consiglio dei Ministri n. 78, il DDL non si sovrappone all'AI ACT appena approvato ma ne accompagna il quadro regolatorio in quegli spazi propri del diritto interno. 

Oltre ad intervenire in ambiti specifici e introdurre norme di principio, il DDL prevede specifiche disposizioni anche in ambito sanitario, al fine di promuovere l'uso delle nuove tecnologie per migliorare il sistema sanitario, la prevenzione e cura delle malattie, ed al contempo assicurare soluzioni per la gestione del rischio. 

Accessibilità e IA in ambito sanitario e di disabilità (art. 7) 

Tale norma prevede che:

• l'utilizzo dell'IA non deve creare discriminazioni di alcun genere all’accesso alle prestazioni sanitarie;
• l'interessato deve essere informato sull'utilizzo di tecnologie di IA, sui relativi vantaggi diagnostici e terapeutici, e sulla logica decisionale utilizzata;
• si promuove la diffusione di sistemi di IA per migliorare le condizioni di vita delle persone con disabilità, agevolandone l'accessibilità e l'inclusione;
• l’utilizzo dei sistemi di IA deve lasciare impregiudicata la decisione, che è sempre rimessa alla professione medica;
• i sistemi di IA e i relativi dati devono essere periodicamente verificati e aggiornati al fine di minimizzare il rischio di errori.
   

L'art. 7 richiama in parte principi e previsioni già presenti neIl'AI ACT, tra cui il principio di non discriminazione in considerazione della finalità prevista del sistema di IA, il diritto dell'utente ad essere informato (l'art. 13 prevede che i sistemi di IA ad alto rischio siano accompagnati da istruzioni per l'uso che includano le caratteristiche, le capacità ed i limiti del sistema di IA) e l'obbligo della sorveglianza umana (in questo caso del personale medico) per prevenire o ridurre al minimo i rischi per la salute, la sicurezza o i diritti fondamentali. 
Interessante sarà capire quale sia esattamente il soggetto tenuto all'obbligo di controllo e aggiornamento dei dati (la struttura che usa il sistema di IA o il fabbricante del sistema di IA o del software as medical device (SAMD) contenente il sistema di IA?).

Ricerca e sperimentazione scientifica nella realizzazione di sistemi di IA in ambito sanitario (art. 8) 

Tale norma prevede che:

• i trattamenti di dati, anche personali, eseguiti da soggetti pubblici e privati senza scopo di lucro per la ricerca e la sperimentazione scientifica nella realizzazione di sistemi di IA per finalità di prevenzione, diagnosi, cura, sviluppo di farmaci e terapie, sono dichiarati di rilevante interesse pubblico ai sensi dell'art. 9, lett. g) del GDPR (che tratta le categorie particolari di dati personali);
• per le medesime finalità, fermo l'obbligo di informativa anche attraverso un'informativa sul sito web e senza ulteriore consenso dell'interessato, è autorizzato anche l'uso secondario dei dati personali privi degli elementi identificativi diretti (c.d. pseudonomizzati); 
• i trattamenti dei dati sopra richiamati:
  - devono ottenere parere favorevole del Comitato Etico; 
  - devono essere comunicati al Garante per la protezione dei dati personali (Garante Privacy); 
  - possono iniziare decorsi 30 giorni dalla comunicazione, se non bloccati dall'Autorità.
   

La norma proposta esclude le aziende "a scopo di lucro" e sembra introdurre una procedura ad hoc per il trattamento di dati per la ricerca e la sperimentazione scientifica nella realizzazione di sistemi di IA. 

Sarà interessante vedere se ed in che misura il Garante Privacy interverrà per modificare o coordinare questa procedura con la normativa esistente a riguardo. Si ricorda che il trattamento dei dati relativi alla salute, a fini di ricerca scientifica in campo medico, biomedico o epidemiologico, è disciplinato dall'art. 110 del Codice Privacy, che è stato tra l'altro oggetto di una recente modifica. 

Secondo il nuovo testo, laddove sia impossibile ottenere il consenso dell’interessato, i dati personali possono essere trattati a condizione che (i) sia ottenuto il parere favorevole del competente comitato etico e che (ii) siano osservate le garanzie dettate dal Garante Privacy. 
È stato infatti eliminato il requisito obbligatorio dell’autorizzazione preventiva da richiedere al Garante Privacy.

Disposizioni in materia di fascicolo sanitario elettronico, sistemi di sorveglianza nel settore sanitario e governo della sanità digitale (art. 9)

Tale norma contempla l'aggiunta dell'art. 12 bis (IA nel settore sanitario) al decreto legge 179/2012, convertito con modificazioni dalla Legge 221/2012, che prevede:

• l'istituzione di una piattaforma di IA per il supporto alle finalità di cura e, in particolare, per l’assistenza territoriale;
• identifica AGENAS quale responsabile della progettazione, realizzazione e messa in servizio della piattaforma, nonché titolare del trattamento dei dati ivi raccolti e generati, che avrà il compito di adottare, previo parere di altre autorità, un provvedimento che individui i dati trattati e le misure di sicurezza;
• la piattaforma dovrà erogare i servizi di supporto a:
  - professionisti sanitari nella presa in carico degli assistiti;
  - medici nella pratica clinica quotidiana con suggerimenti non vincolanti;
  - utenti per l'accesso ai servizi sanitari delle Case di Comunità.

L’art. 9 sembra tra l'altro riaprire la strada ad AGENAS che era già impegnata nel progetto per lo sviluppo della piattaforma di IA per la medicina primaria finanziata dal PNRR, la cui gara d'appalto è stata però sospesa perché il Garante Privacy aveva evidenziato la mancanza di una base giuridica per il trattamento dei dati attraverso la piattaforma.

Commento Osborne Clarke

Il DDL italiano ha un approccio prevalentemente antropocentrico all’IA, volto a coglierne le opportunità, ma a garantire in primis i diritti fondamentali delle persone, tra cui quello primario della salute. A tal fine ha infatti dedicato norme ad hoc per disciplinare e vigilare sugli effetti dell'IA in ambito sanitario, a tutela delle persone.  

Il DDL costituisce senza dubbio un passo importante per l’ordinamento nazionale e per il suo coordinamento con quello europeo, ma ci vorrà del tempo prima di avere un quadro normativo definitivo da valutare. 

L'iter è lungo visto che il DDL dovrà prima essere approvato dalle Camere e poi attuato con alcuni decreti delegati. Le norme proposte potranno quindi cambiare, ed anche in maniera significativa, anche all'esito di possibili interventi del Garante Privacy.

Un'analisi dettagliata dell'impatto dell'IA nel settore sanità è rinviato all'esito della completa adozione della normativa.