L’intelligenza artificiale (IA) sta emergendo come una forza trasformativa in numerosi settori, e la sanità non fa eccezione. In Italia, un disegno di legge mira a regolamentare l’uso dell’IA per coglierne le opportunità, garantendo al contempo la vigilanza sui rischi economici e sociali e sull’impatto sui diritti fondamentali. Questo articolo del blog approfondisce come questa normativa affronta l’impiego dell’IA nel sistema sanitario, con particolare attenzione agli articoli 7, 8, 8-bis e 9 del provvedimento.

Qui il DDL.

L’IA al Servizio della Salute e della Disabilità (Art. 7)

La legge riconosce il potenziale dell’IA nel migliorare il sistema sanitario, contribuendo alla prevenzione, diagnosi e cura delle malattie, sempre nel rispetto dei diritti, delle libertà e degli interessi della persona, inclusa la protezione dei dati personali. È fondamentale sottolineare che l’introduzione di sistemi di IA non deve in alcun modo selezionare o condizionare l’accesso alle prestazioni sanitarie secondo criteri discriminatori.

Un aspetto cruciale è il diritto all’informazione: l’interessato ha il diritto di essere informato sull’impiego di tecnologie di intelligenza artificiale. Questa disposizione, sebbene nella versione iniziale del testo prevedesse un’informativa più ampia sui vantaggi e sulla logica decisionale, nella formulazione successiva si concentra sull’obbligo di informare circa l’utilizzo stesso dell’IA.

La normativa promuove attivamente lo sviluppo e la diffusione di sistemi di IA che migliorano la vita delle persone con disabilità, agevolando l’accessibilità, la mobilità indipendente e l’autonomia, la sicurezza e i processi di inclusione sociale. Questo include anche il supporto per l’elaborazione del progetto di vita come definito dal Decreto Legislativo 3 maggio 2024, n. 62.

È essenziale rimarcare che, sebbene l’IA possa supportare i processi di prevenzione, diagnosi, cura e scelta terapeutica, la decisione finale spetta sempre agli esercenti la professione medica. La responsabilità e l’autonomia del medico rimangono pilastri imprescindibili.

Infine, per garantire la sicurezza dei pazienti e minimizzare i rischi, i sistemi di IA utilizzati in ambito sanitario e i relativi dati devono essere affidabili, periodicamente verificati e aggiornati.

Ricerca e Sperimentazione Scientifica con l’IA in Sanità (Art. 8)

L’articolo 8 si concentra sul ruolo cruciale della ricerca e della sperimentazione scientifica per lo sviluppo di sistemi di IA in ambito sanitario. Il trattamento di dati, anche personali, da parte di soggetti pubblici e privati senza scopo di lucro, degli Istituti di Ricovero e Cura a Carattere Scientifico (IRCCS) e di soggetti privati in progetti di ricerca con partecipazione pubblica o di IRCCS, per finalità di prevenzione, diagnosi, cura, sviluppo di farmaci, terapie, tecnologie riabilitative, dispositivi medici, salute pubblica e sicurezza sanitaria, è dichiarato di rilevante interesse pubblico ai sensi degli articoli 32 e 33 della Costituzione. Questo trattamento è considerato necessario per la creazione e l’utilizzo di banche dati e modelli di base e avviene nel rispetto dell’articolo 9, paragrafo 2, lettera g), del Regolamento (UE) 2016/679 (GDPR).

Per agevolare la ricerca, è autorizzato l’uso secondario di dati personali anonimizzati (anche appartenenti a categorie particolari del GDPR) da parte dei soggetti indicati, senza necessità di ulteriore consenso, fermo restando l’obbligo di informativa (che può essere generale sul sito web). Un’eccezione a questa regola si verifica nei casi in cui la conoscenza dell’identità degli interessati sia inevitabile o necessaria per la tutela della loro salute.

L’articolo prevede inoltre la possibilità di trattare dati personali per finalità di anonimizzazione, pseudonimizzazione o sintetizzazione, previa informativa all’interessato (articolo 13 GDPR). L’Agenzia Nazionale per i Servizi Sanitari Regionali (AGENAS), dopo aver consultato il Garante per la protezione dei dati personali, potrà stabilire e aggiornare linee guida per le procedure di anonimizzazione e per la creazione di dati sintetici.

È importante notare che i trattamenti di dati di cui ai commi 1 e 2 devono ottenere l’approvazione dei comitati etici competenti e devono essere comunicati al Garante per la protezione dei dati personali, fornendo le informazioni richieste dagli articoli 24, 25, 32 e 35 del GDPR. Il trattamento può iniziare dopo 30 giorni dalla comunicazione, a meno che il Garante non disponga un blocco. Restano in ogni caso fermi i poteri ispettivi, interdittivi e sanzionatori del Garante.

Disciplina Specifiche per il Trattamento di Dati Personali (Art. 8-bis)

L’articolo 8-bis introduce un’ulteriore specificazione in merito al trattamento di dati personali per finalità di ricerca e sperimentazione. Prevede l’emanazione di un decreto del Ministro della salute, entro centoventi giorni dall’entrata in vigore della legge, che disciplinerà il trattamento dei dati personali (anche particolari come definiti dall’articolo 9 del GDPR) per la ricerca e la sperimentazione (anche tramite IA e machine learning), incluse la costituzione e l’utilizzo di spazi speciali di sperimentazione e l’uso secondario dei dati personali. Questo decreto sarà emanato sentiti il Garante per la protezione dei dati personali, gli enti di ricerca, i presidi sanitari e le autorità e gli operatori del settore, con l’obiettivo di definire le modalità semplificate consentite dal GDPR per tali trattamenti.

Fascicolo Sanitario Elettronico e Sistemi di Sorveglianza (Art. 9)

L’articolo 9 introduce modifiche al Decreto-Legge 18 ottobre 2012, n. 179, aggiungendo l’articolo 12-bis dedicato all’intelligenza artificiale nel settore sanitario. Questo articolo prevede che uno o più decreti del Ministro della salute, di concerto con le autorità competenti in materia di innovazione tecnologica, transizione digitale e sicurezza della Repubblica, e sentita la Conferenza permanente per i rapporti tra lo Stato, le regioni e le province autonome di Trento e di Bolzano, disciplineranno le soluzioni di intelligenza artificiale a supporto delle finalità di cui all’articolo 12, comma 2 del decreto-legge. Tali decreti individueranno anche i soggetti che potranno accedere a queste soluzioni di IA.

Un elemento centrale è l’istituzione di una piattaforma di intelligenza artificiale presso l’AGENAS, in qualità di Agenzia nazionale per la sanità digitale, per il supporto alle finalità di cura, in particolare per l’assistenza territoriale. L’AGENAS sarà responsabile della progettazione, realizzazione, messa in servizio e titolarità di questa piattaforma. La piattaforma sarà alimentata con i dati strettamente necessari per l’erogazione dei servizi, trasmessi dai relativi titolari del trattamento, e l’AGENAS sarà il titolare del trattamento dei dati raccolti e generati al suo interno.

L’AGENAS, previo parere del Ministero della salute, del Garante per la protezione dei dati personali e dell’Agenzia per la cybersicurezza nazionale, specificherà i tipi di dati trattati, le operazioni eseguite e le misure di sicurezza adottate all’interno della piattaforma, garantendo un livello di sicurezza adeguato al rischio e la tutela dei diritti e degli interessi degli interessati, in coerenza con il GDPR. L’AGENAS, previa intesa con la Conferenza permanente per i rapporti tra lo Stato, le regioni e le province autonome di Trento e di Bolzano, espliciterà i servizi di supporto offerti dalla piattaforma. L’attuazione di questo articolo non dovrà comportare nuovi o maggiori oneri per la finanza pubblica, e l’AGENAS provvederà alle attività con le risorse già disponibili.