L’uso dell’IA può portare a risultati vantaggiosi in materia di assistenza sanitaria. Tuttavia, a seconda delle circostanze relative alla sua applicazione, al suo utilizzo e al suo livello di sviluppo tecnologico, può anche comportare rischi e pregiudicare interessi pubblici e diritti fondamentali, primo fra tutti il diritto alla salute. Il Regolamento (UE) 2024/1689 è entrato in vigore il 1° agosto 2024 e ha lo scopo di armonizzare le regole sull’IA per tutelare i cittadini dell’Unione. Il legislatore europeo riconosce che l’accesso ai servizi sanitari è un settore in cui l’utilizzo dei sistemi di IA è ad alto rischio e in quanto tale merita particolare attenzione. È fondamentale per gli Stati membri garantire l’osservanza delle nuove disposizioni, poste anche a tutela degli interessi pubblici in materia di salute.
Il 1° agosto 2024 è entrato in vigore il Regolamento (UE) 2024/1689 del Parlamento europeo e dal Consiglio dell’Unione Europea (IA Act). Adottato il 13 giugno 2024 e pubblicato nella Gazzetta Ufficiale dell’Unione Europea il 12 luglio 2024, esso si applicherà direttamente in ciascuno degli Stati membri a decorrere dal 2 agosto 2026.
Il Regolamento ha lo scopo di migliorare il funzionamento del mercato interno dell’UE istituendo un quadro giuridico uniforme per quanto riguarda “lo sviluppo, l’immissione sul mercato, la messa in servizio e l’uso di sistemi di intelligenza artificiale nell’Unione Europea”, di promuovere la diffusione di un’intelligenza artificiale “antropocentrica e affidabile”, garantendo al contempo un livello elevato di protezione della salute, della sicurezza e dei diritti fondamentali sanciti dalla Carta dei diritti fondamentali dell’Unione Europea. [Sul dibattito relativo all’AI Act si veda anche G. Delle Cave, “La tutela da e per l’I.A.: prime riflessioni sulla governance dell’A.I. Act e sulla (nuova?) autorità di vigilanza”].
L’uso dell’IA, garantendo “un miglioramento delle previsioni, l’ottimizzazione delle operazioni e dell’assegnazione delle risorse e la personalizzazione delle soluzioni digitali disponibili”, può condurre a risultati vantaggiosi in materia di assistenza sanitaria. Tuttavia, a seconda delle circostanze relative alla sua applicazione, al suo utilizzo e al suo livello di sviluppo tecnologico, può al contempo comportare rischi e pregiudicare gli interessi pubblici e i diritti fondamentali tutelati dal diritto europeo. Come evidenziato nel Considerando 5, tale pregiudizio può essere sia materiale sia immateriale, compreso il pregiudizio fisico o psicologico.
Una caratteristica fondamentale dei sistemi di IA è la capacità inferenziale. Tale capacità si riferisce al processo di ottenimento degli output, quali previsioni, contenuti, raccomandazioni o decisioni, che possono influenzare gli ambienti fisici e virtuali e alla capacità dei sistemi di IA di ricavare modelli o algoritmi, o entrambi, da input o dati. I sistemi di IA sono progettati per funzionare con livelli di autonomia variabili, il che significa che dispongono di un certo grado di autonomia di azione rispetto al coinvolgimento umano e di capacità di funzionare senza l’intervento umano.
Al fine di garantire un livello costante ed elevato di tutela degli interessi pubblici in materia di salute, ma anche di sicurezza e diritti fondamentali, il Regolamento stabilisce regole comuni per i sistemi di intelligenza artificiale “ad alto rischio” (classificati all’articolo 6 e dettagliati nell’Allegato 3).
Il legislatore europeo riconosce che l’accesso ai servizi sanitari è un settore in cui l’utilizzo dei sistemi di IA merita particolare attenzione. I sistemi di IA, “se utilizzati per determinare se tali prestazioni e servizi dovrebbero essere concessi, negati, ridotti, revocati o recuperati dalle autorità, compreso se i beneficiari hanno legittimamente diritto a tali prestazioni o servizi, possono avere un impatto significativo sulle persone e violare i loro diritti”. I sistemi di IA possono, altresì, “portare alla discriminazione fra persone o gruppi e possono perpetuare modelli storici di discriminazione, come quella basata sulle disabilità”.
Inoltre, i sistemi di IA destinati a essere utilizzati per la valutazione dei rischi e la determinazione dei prezzi in relazione alle persone fisiche per assicurazioni sulla vita e assicurazioni sanitarie “possono avere un impatto significativo sul sostentamento delle persone e, se non debitamente progettati, sviluppati e utilizzati, possono violare i loro diritti fondamentali e comportare gravi conseguenze per la vita e la salute delle persone”, tra cui l’esclusione finanziaria e la discriminazione.
Infine, vengono classificati come ad alto rischio anche i sistemi di IA utilizzati per valutare e classificare le chiamate di emergenza effettuate da persone fisiche o inviare servizi di emergenza di primo soccorso o per stabilire priorità in merito all’invio di tali servizi, anche da parte di polizia, vigili del fuoco e assistenza medica, nonché per i sistemi di selezione dei pazienti per quanto concerne l’assistenza sanitaria di emergenza in quanto prendono decisioni in situazioni molto critiche per la vita e la salute delle persone e per i loro beni. (Considerando 58).
Al fine di attenuare i rischi derivanti dai sistemi di IA ad alto rischio immessi sul mercato o messi in servizio, come quelli utilizzati nel settore sanitario, il Regolamento prevede l’applicazione di determinati requisiti obbligatori ai suddetti sistemi, per garantire un elevato livello di affidabilità:
- adeguati sistemi di valutazione e mitigazione dei rischi;
- alta qualità delle serie di dati che alimentano il sistema per ridurre al minimo i rischi e i risultati discriminatori;
- registrazione dell’attività per garantire la tracciabilità dei risultati;
- documentazione dettagliata che fornisca tutte le informazioni necessarie sul sistema e sul suo scopo affinché le autorità ne valutino la conformità;
- informazioni chiare e adeguate per l’operatore;
- adeguate misure di sorveglianza umana per ridurre al minimo i rischi;
- alto livello di robustezza, sicurezza e precisione.
La robustezza tecnica, in particolare, è un requisito fondamentale dei sistemi di IA ad alto rischio. Il Regolamento richiede che essi siano resilienti in relazione a comportamenti dannosi o indesiderati (ad esempio errori, guasti, incongruenze, situazioni impreviste). È pertanto opportuno adottare misure tecniche e organizzative per garantire la robustezza dei sistemi di IA ad alto rischio, anche e soprattutto in ambito sanitario, ad esempio progettando e sviluppando soluzioni tecniche adeguate a prevenire o ridurre al minimo i comportamenti dannosi o altrimenti indesiderati.
La cybersicurezza svolge un ruolo cruciale nel garantire che i sistemi di IA siano resilienti ai tentativi compiuti da terzi con intenzioni malevole che, sfruttando le vulnerabilità del sistema, mirano ad alterarne l’uso, il comportamento, le prestazioni o a comprometterne le proprietà di sicurezza. Al fine di garantire un livello di cybersicurezza adeguato ai rischi, il Regolamento prevede che i fornitori di sistemi di IA ad alto rischio adottino misure adeguate, come controlli di sicurezza, anche tenendo debitamente conto dell’infrastruttura TIC sottostante.
Il Regolamento prevede, inoltre, che i fornitori e i deployer dei sistemi di intelligenza artificiale adottino misure per garantire un livello sufficiente di alfabetizzazione in materia di IA del proprio personale (articolo 4). Elenca poi, all’articolo 5, le pratiche di IA non consentite. Così, è vietata l’immissione sul mercato, la messa in servizio o l’uso di un sistema di IA:
- che utilizza tecniche subliminali o volutamente manipolative o ingannevoli;
- che sfrutta le vulnerabilità di una persona fisica o di uno specifico gruppo di persone, dovute all’età, alla disabilità o a una specifica situazione sociale o economica;
- per la valutazione o la classificazione delle persone fisiche o di gruppi di persone per un determinato periodo di tempo sulla base del loro comportamento sociale o di caratteristiche personali o della personalità;
- per valutare o prevedere il rischio che una persona fisica commetta un reato (tale divieto non si applica ai sistemi di IA utilizzati a sostegno della valutazione umana del coinvolgimento di una persona in un’attività criminosa, che si basa già su fatti oggettivi e verificabili);
- per creare o ampliare le banche dati di riconoscimento facciale mediante scraping non mirato di immagini facciali da internet o da filmati di telecamere a circuito chiuso;
- per inferire le emozioni di una persona fisica nell’ambito del luogo di lavoro e degli istituti di istruzione, tranne laddove l’uso del sistema di IA sia destinato a essere messo in funzione o immesso sul mercato per motivi medici o di sicurezza;
- per classificare individualmente le persone fisiche sulla base dei loro dati biometrici per trarre deduzioni o inferenze in merito a razza, opinioni politiche, appartenenza sindacale, convinzioni religiose o filosofiche, vita sessuale o orientamento sessuale (tale divieto non riguarda l’etichettatura o il filtraggio di set di dati biometrici acquisiti legalmente, come le immagini, sulla base di dati biometrici o della categorizzazione di dati biometrici nel settore delle attività di contrasto).
Un altro importante aspetto, di rilevanza cruciale per l’utilizzo dell’intelligenza artificiale nel settore dell’assistenza sanitaria, riguarda la tutela della privacy. Il Regolamento garantisce il diritto alla protezione dei dati personali durante l’intero ciclo di vita dei sistemi di intelligenza artificiale. Nel trattamento dei dati personali devono essere applicati i principi della minimizzazione dei dati e della protezione dei dati fin dalla progettazione e per impostazione predefinita, sanciti dal diritto dell’Unione Europea. Le misure adottate dai fornitori per garantire il rispetto di tali principi devono includere non solo l’anonimizzazione e la cifratura, ma anche l’uso di tecnologie che consentano di inserire algoritmi nei dati e di addestrare opportunamente i sistemi di IA. Infine, la base giuridica del trattamento resta il consenso informato, più volte richiamato dall’Artificial Intelligence Act e definito all’articolo 3 quale “espressione libera, specifica, inequivocabile e volontaria di un soggetto della propria disponibilità a partecipare a una determinata prova in condizioni reali, dopo essere stato informato di tutti gli aspetti della prova rilevanti per la sua decisione di partecipare”.
L’intelligenza artificiale offre diverse possibilità in ambito medico ma comporta anche numerosi rischi. La grande quantità di dati che il sistema sanitario gestisce lo rende facile bersaglio di attacchi informatici, con gravi conseguenze per la salute dei cittadini. Il Regolamento 2024/1689 mira ad armonizzare le regole sull’IA allo scopo di preservare i diritti fondamentali dei cittadini dell’UE, primo fra tutti il diritto alla salute. È pertanto fondamentale per gli Stati membri garantire l’osservanza delle nuove disposizioni da parte di tutti gli attori coinvolti.
Osservatorio sullo Stato Digitale by Irpa is licensed under CC BY-NC-ND 4.0