«La sfida principale che si delinea all’orizzonte è tutta nel rendere l’evoluzione tecnologica davvero mimetica e non soltanto protesica (capace cioè di simulare l’uomo e la sua razionalità, prima e oltre che colmarne le carenze) un fattore di progresso non solo tecnico ma sociale, temperando – per riprendere le parole del Pontefice – con l’algoretica gli eccessi dell’algocrazia». Queste le parole del Presidente del Garante per la protezione dei dati personali, Pasquale Stanzione, durante una congiunta alla Camera dei Deputati, in occasione della presentazione della relazione annuale 2023. Un anno caratterizzato da profondi cambiamenti nel settore della sanità digitale. I principali argomenti che hanno tenuto banco sono state le implicazioni etiche della tecnologia e l’Intelligenza Artificiale generativa. In questo contesto, il Garante della Privacy riveste un ruolo fondamentale. L’anno scorso, numerosi sono stati gli interventi sui temi legati alla Digital Health, originati sia da richieste di parere su atti regolamentari sia da segnalazioni e reclami. Due i focus principali: la riforma del Fascicolo Sanitario Elettronico (FSE) 2.0 e la realizzazione del sistema nazionale di telemedicina. Entrambi gli interventi si collocano nelle azioni di attuazione della Missione 6 (salute) del Piano Nazionale di Ripresa e Resilienza (PNRR). Il Garante ha ribadito la necessità di un coordinamento normativo delle disposizioni di attuazione dei diversi strumenti di Digital Health. Nel comparto serve interconnessione tra i sistemi informativi sanitari e il FSE. Per supportare ciò serve che le misure tecniche e organizzative da introdurre nell’attuazione delle disposizioni a tutela dei diritti fondamentali dell’interessato e dei principi generali del trattamento siano tra di loro coerenti, soprattutto per quanto riguarda la titolarità dei trattamenti, l’individuazione delle responsabilità e dei compiti dei soggetti a vario titolo coinvolti.
FSE 2.0: diritti e misure non garantiti in modo uniforme in tutte le Regioni e Province autonome
A proposito di FSE, è importante sottolineare la recente segnalazione inviata al Governo sulle difformità riscontrate tra le varie Regioni nella realizzazione del Fascicolo Sanitario Elettronico, con l’avvio di procedimenti correttivi e sanzionatori per le numerose violazioni riscontrate nell’attuazione della nuova disciplina sul FSE 2.0, introdotta con il decreto del Ministero della Salute del 7 settembre 2023. “È urgente intervenire per tutelare i diritti di tutti gli assistiti italiani coinvolti nel trattamento dei dati sulla salute effettuato attraverso il Fascicolo Sanitario Elettronico 2.0”. Questa la motivazione del Garante. Le difformità riscontrate hanno reso evidente che alcuni diritti, tra cui, l’oscuramento, la delega e il consenso specifico, e misure, come i livelli di accesso differenziati e la qualità dei dati, introdotte dal decreto, proprio a tutela dei pazienti, non sono garantite in modo uniforme in tutto il Paese. Oppure sono esercitabili ed esigibili solo dagli assistiti da alcune Regioni e Province autonome, con “un potenziale e significativo effetto discriminatorio sugli assistiti”. Fattori che contraddicono lo spitito della riforma del FSE 2.0, che ha l’obiettivo di introdurre misure, garanzie e responsabilità omogenee sul tutto il territorio nazionale. Le violazioni nelle quali sono incorse Regioni e Province autonome, con diversi livelli di gravità e responsabilità, possono comportare l’applicazione delle sanzioni previste dal Regolamento europeo.
Preoccupa l’Intelligenza Artificiale generativa
Nel 2023 i principali argomenti che hanno tenuto banco sono state le implicazioni etiche della tecnologia e l’Intelligenza Artificiale generativa. A settembre il Garante ha adottato un decalogo per la realizzazione di servizi sanitari nazionali attraverso sistemi di IA. L’obiettivo è quello di fornire alcune preliminari indicazioni legati ai profili giuridici sulla protezione dei dati personali e ai connessi aspetti etici sul comparto. L’elaborazione dei dati attraverso gli algoritmi avviene con processi automatizzati. Nel documento è stato sottolineato che “l’uso di tali strumenti è consentito solo se espressamente previsto dal diritto degli Stati membri, nel rispetto di misure adeguate a tutela dei diritti, delle libertà e dei legittimi interessi degli interessati”. In base al principio della “protezione dei dati fin dalla progettazione” l’Autorità ha esplicitato che nella realizzazione di sistemi di IA devono essere adottate misure tecniche e organizzative adeguate ad attuare i principi di protezione dei dati e integrate nel trattamento le garanzie necessarie per soddisfare i requisiti del RGPD (Regolamento Generale sulla Protezione dei Dati) e tutelare i diritti e le libertà degli interessati. Le misure devono garantire proporzionalità del trattamento rispetto all’interesse pubblico perseguito, con un solo obiettivo: ottenere un reale effetto di tutela. Infine, c’è un altro aspetto: la definizione dei ruoli del trattamento. Il Garante ha considerando necessaria, anche in un’ottica di governance dei dati, una visione complessiva della titolarità del trattamento. Questa deve tener conto di un importante fattore: l’accesso a un sistema nazionale di IA in ambito sanitario potrebbe essere consentito a una molteplicità di soggetti sulla base di diversi presupposti di liceità e per differenti finalità.
In generale, nel 2023 l’Autorità ha adottato 634 provvedimenti collegiali e fornito riscontro a 9.281 reclami e segnalazioni riguardanti, tra gli altri, la sanità. I pareri resi dal Collegio su atti normativi e amministrativi sono stati 59 e una parte di questi riguardavano l’ambito sanitario. Le nuove tecnologie corrono veloce. Bisogna fare presto. L’IA in modo sempre più incisivo sulla sanità. Senza specifiche norme potrebbe mettere in discussione e minacciare “I diritti e le libertà fondamentali dei singoli”.