Decalogo per la realizzazione di servizi sanitari nazionali attraverso sistemi di Intelligenza Artificiale
ID 21202 | 20.01.2024 / Modello allegato
Il trattamento di dati sulla salute da parte di soggetti che perseguono compiti di interesse pubblico deve necessariamente fondarsi sul diritto dell'Unione o degli Stati membri, che deve essere proporzionato alla finalità perseguita, rispettare l'essenza del diritto alla protezione dei dati e prevedere misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell'interessato (art. 9, par. 2, lett. g) del Regolamento; cfr. sul punto sentenza della Corte Costituzionale n. 20 del 2019).
Tale disposizione ha trovato attuazione nell’art. 2-sexies del Codice, in base al quale i trattamenti delle particolari categorie di dati tra cui rilevano quelli sulla salute sono ammessi solo qualora siano previsti dal diritto dell'Unione europea ovvero, nell'ordinamento interno, da disposizioni di legge o di regolamento o da atti amministrativi generali che specifichino i tipi di dati che possono essere trattati, le operazioni eseguibili e il motivo di interesse pubblico rilevante, nonché le misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell'interessato.
L’elaborazione di dati sulla salute attraverso tecniche di IA richiama i concetti di profilazione e di decisioni sulla base di processi automatizzati con riferimento ai quali si rappresenta che, nell’ambito dei trattamenti svolti per motivi di interesse pubblico, l’uso di tali strumenti è consentito solo se espressamente previsto dal diritto degli Stati membri, nel rispetto di misure adeguate a tutela dei diritti, delle libertà e dei legittimi interessi degli interessati (considerando 71 e art. 22, par. 4, del Regolamento).
Pertanto, in base al combinato disposto delle disposizioni sopra richiamate, operata una preliminare valutazione in ordine alla necessità di tali trattamenti1, è necessario che gli stessi siano previsti da uno specifico quadro normativo avente le caratteristiche sopra richiamate.
A tale riguardo, si ricorda che in base all’art. 36, par. 4 del Regolamento, gli Stati membri consultano l’Autorità di controllo durante l’elaborazione di un atto legislativo o di misura regolamentare che prevede il trattamento di dati personali. Ciò, anche la fine di supportare gli stessi nella predisposizione di una base giuridica del trattamento chiara e precisa e prevedibile per le persone che vi sono sottoposte, in conformità alla giurisprudenza della Corte di giustizia dell'Unione europea e della Corte europea dei diritti dell'uomo (considerando 41 del Regolamento).
1 cfr. EDPS, Assessing the necessity of measures that limit the fundamental right to the protection of personal data: A Toolkit, 11 aprile 2017.
...
in allegato
Collegati