Gli atti europei sulla protezione dei dati
La possibilità di usare i dati generati da molteplici fonti è ormai riconosciuta come un vero progresso in svariate professioni, tra cui quelle del comparto medico-sanitario. Ma c’è un problema da affrontare, ovvero la protezione dei dati personali.
L’Europa si è dotata, dal 2016, del Regolamento generale per la protezione dei dati personali (GDPR), ponendo la struttura delle leggi successive, dal Data Act al Data Governance Act, fino all’AI Act, sull’intelligenza artificiale, approvato dal Parlamento europeo nel 2024.
Obiettivo fondante di tutti gli atti, che hanno visto protagonista in Italia il Garante per la protezione dei dati personali (GPDP), è quello di preservare un livello di tutela elevato dei diritti e delle libertà individuali e contemporaneamente di non scoraggiare e deprimere lo sviluppo e l’evoluzione delle tecnologie emergenti. A beneficio di tutti gli stakeholders, in primis i pazienti.
Tutela del diritto in Europa: GDPR, Data Act e AI Act. Dati e fatti chiave
Due esigenze da armonizzare: preservare un livello di tutela elevato dei diritti e delle libertà individuali e non scoraggiare e deprimere lo sviluppo e l’evoluzione delle tecnologie emergenti. Come fare? La strada scelta dall’UE comporta in primis una valutazione basata sui livelli di rischio, come suggerito dal GDPR.
Il Regolamento generale per la protezione dei dati personali (GDPR) del 2016 illustrava i principi cui attenersi per redigere le prossime leggi vincolanti. Il documento adotta un approccio risk-based: si richiede più responsabilità nel trattamento dei dati sensibili con obblighi disegnati in base alla gravità dei rischi per l’utente. Dunque, anche, norme più stringenti e sanzioni severe in caso di mancato rispetto delle norme relative alla sicurezza e alla privacy dei dati medico-sanitari. ll GDPR si basa su due regole fondamentali per la tutela dei dati personali: privacy by design e privacy by default.
Non basta una tutela formale, bisogna che il titolare IA si impegni in maniera sostanziale nella tutela dei dati, a partire dalla progettazione di strumenti specifici in base ai rischi che comportano. Dovrebbe valere inoltre il principio di minimizzazione dell’uso dei dati garantendo, in origine, che non vengano utilizzati oltre lo stretto necessario. E non deve essere l’interessato a decidere di volta in volta, la garanzia va posta a monte, come parte della responsabilità dei titolari dei sistemi IA.
L’Europa in seguito si è dotata del Data Act e del Data Governance Act. Si vedrà sul campo quanto saranno in grado di soddisfare i requisiti posti dal GDPR. Il Garante, nel dibattito precedente, non aveva nascosto qualche motivo di scetticismo. E aveva richiesto di potenziare la posizione degli interessati (una vera e propria “emancipazione” dal titolare) in modo da conferire loro un maggiore controllo sui propri dati personali, fornire garanzie in linea con il GDPR in caso di accesso ai dati di parti terze e chiarire chi sono le Autorità competenti, anche per evitare overlap e confusione.
A marzo 2024 il Parlamento europeo approva l’AI Act, ovvero la legge sull’impiego dell’intelligenza artificiale. In precedenza il Garante italiano per la protezione dei dati aveva sollevato qualche perplessità e richieste. E nel 2023 aveva disposto il blocco di ChatGPT, in seguito revocato grazie alla subitanea risposta di OpenAI. A ottobre 2023 il Garante pubblica un decalogo per la tutela della privacy dei servizi sanitari che fanno uso dell’intelligenza artificiale.
Le giuste richieste dei regolatori per la tutela dei dati personali, non negano i vantaggi che potrebbero derivare dall’uso dell’IA in Sanità e medicina ma chiedono di preservare i diritti degli users anche in termini di tutela dei dati personali.
Su un versante contiguo, nel 2021, viene istituita in Italia l’Agenzia per la Cybersicurezza Nazionale (ACN). Diverse aziende si sono dotate di strategie di cybersecurity affidate a un CISO (Chief Information Security Officer) e hanno posto in essere programmi strutturati di formazione per i dipendenti.
APPROFONDISCI CON PREMIUM
Il percorso del regolatore europeo.
- Rischi e benefici
Il Regolamento europeo sull’Intelligenza artificiale.
IA e protezione dei dati, le posizioni del Garante italiano
- Marzo-Aprile 2023. Garante: blocco chatgpt e riavvio
- Ottobre 2023: il decalogo del Garante privacy sull’uso dell’intelligenza artificiale
Problema cybersecurity: situazione in Italia 2022
- Il mercato italiano della cybersecurity
- L’agenzia italiana per la cybersicurezza
Luci e ombre sugli Act europei.
Prime regole GDPR: Privacy by design e by default.
Applicazioni IA in medicina
- Per la cura del paziente
- Diagnostica
- Ricerca
E negli Stati Uniti?
Fonti di documentazione
- Agenda Digitale, novembre 2022. Telemedicina, cos’è e come farla in Italia: tecnologie e finalità, un modello possibile. Vai all’articolo
- Commissione europea. Plasmare il futuro digitale dell’Europa. Vai all’articolo
- Cybersecurity360, aprile 2022. Approvato il Data Governance Act: ecco i primo pilastro della strategia digitale europea. Vai all’articolo
- Diritto.it, 28 aprile 2023. Chat GPT si conforma alle richieste del Garante privacy. Vai all’articolo
- European Parliament, dicembre 2023. Artificial Intelligence Act: deal on comprehensive rules for trustworthy AI. Vai al documento
- Garante per la protezione dei dati personali 1, Feroni GC. Luci e ombre nella Data Strategy europea. Vai all’articolo
- Gazzetta Ufficiale dell’Unione Europea. Regolamento 2016/679 del Parlamento europeo e del Consiglio relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali nonché alla libera circolazione di tali dati. Vai alla G.U.
- Meszaros J et al. The future regulation of artificial intelligence systems in healthcare services and medical research in the European Union. Front Genet 2022; 13: 927721. Vai all’articolo
- Osservatori.net Digital Innovation, 2022. Cybersecurity: verso un fronte comune. Vai all’articolo
- Parlamento europeo, marzo 2024. Il Parlamento europeo approva la legge sull’intelligenza artificiale. Vai all’articolo
