Il 12 ottobre 2023 il Garante Privacy ha pubblicato sul suo sito web il “Decalogo per la realizzazione di Servizi Sanitari Nazionali attraverso sistemi di intelligenza artificiale”.
Il documento evidenzia in dieci punti gli aspetti più rilevanti per la corretta progettazione ed utilizzo della AI da parte del Sistema Sanitario Nazionale, ciascuno relativo agli aspetti di protezione dei dati personali che in tale contesto assumono fondamentale importanza.
In questo articolo approfondiremo il punto relativo ai principi di accountability e di privacy by design, che costituiscono le premesse fondamentali per la corretta gestione degli aspetti in materia di protezione dei dati correlati alle attività di trattamento svolte dalle organizzazioni, siano esse pubbliche o private.
Il principio è uno dei 10 fondamentali punti previsti dal Garante nel nuovo Decalogo.
Con riguardo al punto n.2, il Garante privacy italiano riprende il concetto di “accountability”, rammentando che il titolare del trattamento – in questo caso l’ente sanitario pubblico – deve “conformarsi ed essere in grado di comprovare il rispetto dei principi e degli adempienti previsti dal Regolamento e di aver effettivamente tutelato il diritto alla protezione dei dati personali degli interessati fin dalla progettazione e per impostazione predefinita (artt. 5, par. 2, 24 e 25, par. 1, del Regolamento)”.
L’approccio adottato dal rinnovato quadro normativo in materia di protezione dei dati personali richiede, infatti, una preliminare valutazione dei rischi per i diritti e le libertà degli interessati correlati al trattamento dei dati svolto o che si intende svolgere.
Questa valutazione ha come primaria finalità quella di adottare un apparato di misure di sicurezza tecniche ed organizzative adeguato ed efficace a contrastare proprio quegli stessi rischi individuati nella prima fase valutativa.
Tutte le scelte che verranno assunte per proteggere in modo adeguato i diritti e le libertà degli interessati in relazione al trattamento dei loro dati dovranno poi essere dimostrabili e puntualmente motivate.
Questa “responsabilizzazione” dei titolari trova contenuto nell’altro principio richiamato dall’Autorità, quello di privacy by design e by default, che traduciamo con il concetto di “protezione dei dati fin dalla progettazione e per impostazione predefinita” (art. 25 del Regolamento), secondo cui:
- già in fase di progettazione devono essere integrate nel trattamento le garanzie necessarie per soddisfare i requisiti del Regolamento e tutelare i diritti e le libertà degli interessati, e
- tali misure devono garantire – per impostazione predefinita – che il trattamento sia proporzionato rispetto all’interesse perseguito e che siano trattati i soli dati necessari al raggiungimento di questo interesse.
In sostanza, il Sistema Sanitario Nazionale – già in fase di progettazione e nel funzionamento delle tecnologie di IA generativa per i servizi sanitari – dovrà integrare nel trattamento misure di sicurezza che consentano di rispettare i principi di protezione dei dati personali, richiamati proprio nei dieci punti del Decalogo dell’Autorità.
Appare quindi del tutto naturale e logico che tale principio veda coinvolti proprio i produttore di tecnologie IA per il contesto sanitario, anche alla luce del considerando 78 del Regolamento che afferma che: “in fase di sviluppo, progettazione, selezione e utilizzo di applicazioni, servizi e prodotti basati sul trattamento di dati personali o che trattano dati personali per svolgere le loro funzioni, i produttori dei prodotti, dei servizi e delle applicazioni dovrebbero essere incoraggiati a tenere conto del diritto alla protezione dei dati allorché sviluppano e progettano tali prodotti, servizi e applicazioni e, tenuto debito conto dello stato dell’arte, a far sì che i titolari del trattamento e i responsabili del trattamento possano adempiere ai loro obblighi di protezione dei dati.”
In sostanza, quindi, i produttori di tecnologie e software che integrano sistemi di IA generativa applicata al contesto sanitario dovranno creare sistemi e prodotti che consentano a chi li utilizza – in particolare la struttura sanitaria titolare dei dati – di rispettare le regole del GDPR, nonché le future regole in materia di IA.