L’utilizzo crescente di sistemi di Intelligenza Artificiale (IA) generativa per l’interpretazione di referti medici rappresenta una sfida importante per la tutela della privacy e della sicurezza dei dati sanitari. Il Garante per la Protezione dei Dati Personali ha recentemente lanciato un allarme sui rischi connessi a questa pratica, invitando a un uso consapevole e regolamentato di tali tecnologie.
È sempre più diffusa, infatti, la prassi di caricare analisi cliniche, radiografie e altri referti medici su piattaforme di IA generativa per ottenere diagnosi o interpretazioni. Tuttavia, queste piattaforme spesso non sono progettate né autorizzate come dispositivi medici, e ciò può comportare rischi elevati per la salute e la privacy delle persone.
Rischio di perdita di controllo sui dati sanitari
I dati sanitari sono informazioni che riguardano la salute fisica o mentale di una persona, come diagnosi, terapie ed esami. La loro diffusione o uso improprio può causare discriminazioni, danni alla reputazione e al benessere personale. Per questo il GDPR prevede una protezione rafforzata, imponendo regole stringenti sul loro trattamento, che deve sempre garantire sicurezza, trasparenza e rispetto dei diritti dell’interessato.
Prima di caricarli su piattaforme di IA, è fondamentale verificare le informative sulla privacy fornite dai gestori dei servizi per capire se e come i dati verranno trattati:
- Saranno cancellati dopo l’uso?
- Oppure conservati per l’addestramento degli algoritmi?
La trasparenza è un elemento chiave per garantire il controllo dei dati personali.
La supervisione umana qualificata: un requisito imprescindibile
Il Garante Privacy e il Regolamento europeo sull’IA (AI Act, art. 14) sottolineano che l’uso di sistemi di IA in ambito sanitario deve prevedere sempre una supervisione umana qualificata da parte di professionisti medici.
La supervisione umana non si limita all’utilizzo clinico finale, ma si estende a tutto il ciclo di vita del sistema di IA: dallo sviluppo e progettazione, passando per l’addestramento degli algoritmi, fino ai test e alla validazione pre-implementazione. Solo con questa presenza qualificata è possibile identificare e correggere tempestivamente eventuali errori, evitare diagnosi errate e ridurre i rischi per la salute dei pazienti.
Inoltre, la supervisione medica garantisce che le decisioni basate sull’IA siano sempre integrate con il giudizio clinico e il contesto individuale del paziente, evitando un affidamento esclusivo e potenzialmente pericoloso a risposte generate automaticamente. Questo approccio coniuga il potenziale innovativo dell’IA con la responsabilità e la tutela della persona, elementi fondamentali in ambito sanitario.
Obblighi normativi fondamentali
L’uso di sistemi di IA in ambito medico richiede il rispetto di rigorosi obblighi di compliance, fondamentali per la protezione dei dati personali. In primo luogo, il trattamento dei dati sanitari deve basarsi su un presupposto di liceità solido, come previsto dagli articoli 6 e 9 del GDPR, garantendo che i dati siano gestiti in modo legittimo e trasparente.
È inoltre obbligatoria una valutazione d’impatto sulla protezione dei dati (DPIA) preventiva, che consente di identificare e mitigare i rischi per i diritti degli interessati fin dalle fasi iniziali del progetto.
Gli utenti devono essere informati con chiarezza sulle finalità e modalità del trattamento, rispettando gli obblighi di trasparenza per assicurare un’informazione completa e accessibile.
Infine, devono essere adottate misure di sicurezza adeguate, come crittografia e controlli di accesso, per proteggere i dati da accessi non autorizzati, perdite o alterazioni, garantendo così riservatezza e integrità delle informazioni.
Questi obblighi sono essenziali per tutelare i diritti delle persone e assicurare un utilizzo responsabile e affidabile dell’IA in ambito sanitario.
Attenzione alla raccolta massiva di dati (web scraping)
Un rischio significativo connesso all’uso dell’intelligenza artificiale riguarda la raccolta massiva di dati personali da fonti online tramite pratiche di web scraping. Questa modalità di acquisizione automatica di grandi quantità di informazioni può facilmente violare i principi fondamentali del GDPR, quali la minimizzazione dei dati, la liceità del trattamento e la trasparenza verso gli interessati.
In particolare, raccogliere dati sanitari o altre informazioni sensibili senza un valido fondamento giuridico o senza informare gli interessati comporta gravi rischi di non conformità e può compromettere la tutela della privacy delle persone coinvolte. Per questo motivo, sviluppatori di sistemi IA e operatori del settore sanitario devono adottare misure rigorose per garantire che i dati impiegati per l’addestramento degli algoritmi siano acquisiti, trattati e conservati nel pieno rispetto delle normative vigenti.
Conclusioni e raccomandazioni
L’adozione di sistemi di IA in ambito medico offre opportunità significative, ma comporta anche rischi rilevanti per la privacy e la sicurezza dei dati sanitari. Per minimizzare tali rischi, è indispensabile:
- Informare e sensibilizzare gli utenti sui limiti e pericoli dell’uso di IA generativa per diagnosi;
- Garantire la supervisione umana qualificata;
- Rispettare scrupolosamente gli obblighi normativi di protezione dati;
- Verificare con attenzione le informative privacy dei fornitori di IA;
- Evitare la condivisione indiscriminata di dati sanitari con piattaforme non certificate.
Solo attraverso un approccio integrato di compliance e governance si potrà garantire un uso sicuro e responsabile dell’intelligenza artificiale in ambito sanitario.
