Decalogo per la realizzazione di servizi sanitari nazionali attraverso sistemi di Intelligenza Artificiale
ID 20617 | 19.10.2023
Il trattamento di dati sulla salute da parte di soggetti che perseguono compiti di interesse pubblico deve necessariamente fondarsi sul diritto dell'Unione o degli Stati membri, che deve essere proporzionato alla finalità perseguita, rispettare l'essenza del diritto alla protezione dei dati e prevedere misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell'interessato (art. 9, par. 2, lett. g) del Regolamento.
Tale disposizione ha trovato attuazione nell’art. 2-sexies del Codice, in base al quale i trattamenti delle particolari categorie di dati tra cui rilevano quelli sulla salute sono ammessi solo qualora siano previsti dal diritto dell'Unione europea ovvero, nell'ordinamento interno, da disposizioni di legge o di regolamento o da atti amministrativi generali che specifichino i tipi di dati che possono essere trattati, le operazioni eseguibili e il motivo di interesse pubblico rilevante, nonché le misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell'interessato.
L’elaborazione di dati sulla salute attraverso tecniche di IA richiama i concetti di profilazione e di decisioni sulla base di processi automatizzati con riferimento ai quali si rappresenta che, nell’ambito dei trattamenti svolti per motivi di interesse pubblico, l’uso di tali strumenti è consentito solo se espressamente previsto dal diritto degli Stati membri, nel rispetto di misure adeguate a tutela dei diritti, delle libertà e dei legittimi interessi degli interessati (considerando 71 e art. 22, par. 4, del Regolamento).
Pertanto, in base al combinato disposto delle disposizioni sopra richiamate, operata una preliminare valutazione in ordine alla necessità di tali trattamenti1, è necessario che gli stessi siano previsti da uno specifico quadro normativo avente le caratteristiche sopra richiamate.
A tale riguardo, si ricorda che in base all’art. 36, par. 4 del Regolamento, gli Stati membri consultano l’Autorità di controllo durante l’elaborazione di un atto legislativo o di misura regolamentare che prevede il trattamento di dati personali.
Ciò, anche la fine di supportare gli stessi nella predisposizione di una base giuridica del trattamento chiara e precisa e prevedibile per le persone che vi sono sottoposte, in conformità alla giurisprudenza della Corte di giustizia dell'Unione europea e della Corte europea dei diritti dell'uomo (considerando 41 del Regolamento).
In tale contesto, si segnala come, in relazione all’utilizzo di strumenti di IA in altri settori, che tra l’altro non prevedono il trattamento di dati sulla salute, il legislatore, conformemente al quadro normativo sopra evidenziato, abbia allo stato già previsto la predisposizione di specifiche disposizioni volte a disciplinare tali trattamenti.
Sul punto, si evidenzia che la proposta di Regolamento del Parlamento europeo e del Consiglio, il cui testo non è ancora consolidato, che stabilisce regole armonizzate sull'intelligenza artificiale (legge sull'intelligenza artificiale del 21 aprile 2021) e modifica alcuni atti legislativi dell'Unione, e le successive proposte emendative (posizione negoziale del Parlamento UE del 14 giugno 2023), individua tra i sistemi di IA ad alto rischio quelli che incidono -tra l’altro- sulla salute, sul diritto alle cure e sulla fruizione di servizi sanitari, di assistenza medica, nonché sui sistemi di selezione dei pazienti per quanto concerne l'assistenza sanitaria di emergenza, auspicando che siano stabilite norme legislative comuni per tutti i sistemi di IA ad alto rischio.
[...]
Fonte: Garante per la protezione dei dati personali
Collegati