Il disegno di legge recante disposizioni sull’intelligenza artificiale (IA), approvato nei giorni scorsi dal Governo – insieme alla recente modifica dell’art. 110 del Codice Privacy- potrebbe avere un impatto significativo sulla ricerca sanitaria in Italia. 

Il DDL  non si sovrappone al Regolamento europeo sull’intelligenza artificiale approvato a marzo dal Parlamento Europeo e di prossima emanazione, ma ne rifinisce il quadro normativo in quegli spazi propri del diritto interno, tenuto conto che il regolamento è impostato su un’architettura di rischi connessi all’uso della intelligenza artificiale. 

Il Governo si prefigge di anticipare gli effetti del regolamento, cercando di statuire alcuni principi di salvaguardia in relazione a specifici settori di applicazione della IA. 

1. Utilizzo dei dati sanitari per addestrare l’IA 

Uno degli aspetti chiave del disegno di legge è l’autorizzazione all’uso secondario di dati sanitari, anche sensibili, per la ricerca e la sperimentazione sull’applicazione dell’intelligenza artificiale in ambito medico. L’articolo 8 consente infatti a soggetti pubblici e privati senza scopo di lucro di utilizzare questi dati, purché privi di elementi identificativi diretti, per sviluppare sistemi di IA destinati alla prevenzione, diagnosi e cura di malattie, farmaci, dispositivi medici e soluzioni riabilitative. 

Il GDPR, all’articolo 9 comma 1 lettera j), già consentiva il trattamento dei “dati particolari”, come quelli relativi alla salute, per finalità di ricerca scientifica o statistica, a determinate condizioni, ma il DDL restringe ulteriormente questo quadro regolatorio:  nell’articolo 8 comma 1 del disegno di legge, infatti, si specifica che l’autorizzazione al trattamento di dati sanitari, anche sensibili, per la ricerca e sperimentazione sull’intelligenza artificiale in ambito medico è limitata ai “soggetti pubblici e privati senza scopo di lucro”. 

Questo rappresenta un’ulteriore restrizione rispetto a quanto previsto dalla normativa in vigore, che non sembra operare una distinzione in base allo scopo di lucro dei soggetti che effettuano il trattamento per finalità di ricerca scientifica. 

Probabilmente la ratio è quella di limitare il più possibile i rischi connessi allo sfruttamento di informazioni così delicate da parte di soggetti privati con finalità lucrative, assoggettandoli invece a rigorose finalità di ricerca scientifica senza scopo di lucro diretto. Si manterrebbe così una distinzione tra l’uso dei dati sanitari per sviluppare soluzioni di intelligenza artificiale nell’interesse pubblico della ricerca medica e scientifica, e il loro potenziale impiego a scopo commerciale. 

In ogni caso questo apre le porte a dataset più ampi per l’addestramento dei modelli di IA, potenzialmente accelerando la ricerca in settori come l’analisi di immagini medicali, il sequenziamento genomico, la scoperta di farmaci e i sistemi di supporto decisionale clinico basati sull’IA. Avere accesso a grandi quantità di dati sanitari anonimi potrebbe consentire lo sviluppo di algoritmi più accurati e affidabili. 

2. L’IA come supporto alle decisioni cliniche 

L’articolo 7 promuove l’uso dell’IA nel sistema sanitario per migliorare prevenzione, diagnosi e cura, ma stabilisce anche dei paletti importanti. Innanzitutto, viene ribadito che l’introduzione dell’IA non può selezionare o condizionare l’accesso alle prestazioni sanitarie in modo discriminatorio. Si afferma inoltre, esplicitamente, che i sistemi di IA devono costituire un supporto ai processi decisionali dei medici, senza sostituirsi alle loro valutazioni finali, magari in uno scenario in cui il software suggerisce opzioni diagnostiche o terapeutiche basate sull’analisi dei dati, mentre la decisione ultima rimane nelle mani del professionista sanitario. 

Questo approccio “human in the loop” mira a coniugare i vantaggi dell’IA, come l’elaborazione di grandi moli di dati e l’individuazione di pattern complessi, con l’esperienza clinica e il giudizio umano, insostituibili per valutare le singole situazioni e stabilire la miglior cura per ogni paziente. 

3. Piattaforma nazionale di IA per l’assistenza territoriale 

Un’altra novità introdotta è la creazione di una piattaforma nazionale di intelligenza artificiale per l’assistenza sanitaria territoriale, gestita dall’Agenzia AGENAS, Agenzia nazionale per la sanità digitale. Secondo quanto previsto dall’articolo 9, questa piattaforma erogherebbe servizi di supporto basati sull’IA a medici, operatori delle Case di Comunità e pazienti stessi, potenzialmente rivoluzionando l’assistenza sanitaria decentrata. 

Per i professionisti sanitari, potrebbe fornire strumenti avanzati di ausilio alla presa in carico dei pazienti cronici o fragili, come modelli predittivi per stratificare i rischi e indirizzare le risorse, sistemi di monitoraggio da remoto delle condizioni cliniche, o addirittura suggerimenti non vincolanti per la pratica clinica quotidiana.  

Per i pazienti stessi, la piattaforma potrebbe offrire consigli personalizzati su stili di vita e prevenzione, percorsi di riabilitazione a distanza, servizi di tele-medicina o facilitazioni nell’accesso ai servizi territoriali. 

Ma la portata innovativa di questa infrastruttura nazionale di IA sanitaria -magari mediante miglioramenti successivi – potrebbe andare ben oltre, consentendo di condurre ricerca scientifica su larga scala sfruttando i big data raccolti attraverso l’assistenza diffusa, a seguito dell’apertura all’uso secondario dei dati sanitari.  La piattaforma di AGENAS potrebbe quindi diventare, in prospettiva, anche un enorme fonte di dati real-world per addestrare e perfezionare modelli di IA per i più diversi scopi, sempre nell’ambito della ricerca. 

L’idea complessiva sembra quella di sfruttare appieno il potenziale trasformativo dell’intelligenza artificiale per migliorare l’intera filiera dell’assistenza sanitaria pubblica italiana: dalle cure territoriali di prossimità ai centri di ricerca d’avanguardia. Alleggerendo il carico sulle strutture ospedaliere, ottimizzando l’impiego delle risorse e abilitando nuove frontiere della ricerca basata sui dati nel settore sanitario. 

4.  Sfide etiche e regolamentari 

Il disegno di legge non trascura certo gli aspetti regolamentari ed etici legati all’uso dei dati sanitari in ambito in ambito medico, tramite AI.  

Prima di tutto richiama l’art. 32 della Costituzione in tema di tutela della salute e l’articolo 9, p. 2, lettera g) del GDPR per individuare la base giuridica su cui fondare i trattamenti di dati personali in oggetto. Poi, nel prevedere che sia sempre autorizzato “l’uso secondario di dati personali (anche particolari) privi degli elementi identificativi diretti”, nei limiti già esposti, stabilisce che è sufficiente una informativa generale pubblicata sul sito web del titolare del trattamento e che non è necessario richiedere un esplicito  consenso agli interessati. 

L’articolo 8 richiede inoltre  l’approvazione preventiva dei comitati etici per i progetti di ricerca che coinvolgono dati personali, anche anonimi. Questi progetti devono essere comunicati al Garante della Privacy, che ha 30 giorni per eventuali blocchi o richieste di modifica prima dell’avvio. La supervisione dell’autorità regolatoria mira ad assicurare un utilizzo lecito ed etico dei dati sensibili, bilanciando le opportunità della ricerca con la tutela dei diritti e della riservatezza degli individui. 

 5. La Cyber Security 

Il DDL accenna anche al tema della cybersicurezza, considerata precondizione essenziale per un uso responsabile dell’IA, soprattutto in ambiti delicati come la sanità. Vengono citati i controlli necessari per assicurare l’integrità e la resilienza dei sistemi di IA contro manomissioni o attacchi informatici.  

Il tema della sicurezza informatica nelle pubbliche amministrazioni merita sicuramente una maggiore attenzione da parte del Governo, soprattutto considerando il settore in cui si svilupperanno e utilizzeranno i modelli di Intelligenza Artificiale. Secondo i dati disponibili, in Italia la quota prevalente degli investimenti in Ricerca e Sviluppo per il settore biomedico è pubblica e pari ad oltre il 60%. Pertanto, allo stato attuale, gli enti pubblici e no-profit rappresentano i principali protagonisti della ricerca sanitaria nel nostro Paese. 

Gli attacchi hacker che hanno colpito le pubbliche amministrazioni italiane, soprattutto negli ultimi anni, sono tristemente noti. L’ultimo di questi episodi ha riguardato l’Università di Siena.  

In molti casi tali attacchi hanno messo in luce una completa impreparazione delle istituzioni ad affrontare le sfide poste dalle normative in materia di sicurezza dei dati e soprattutto dai pericoli legati alle criminalità informatiche. 

E’ un fatto, quindi, che gran parte delle pubbliche amministrazioni sono carenti ed esposte ad attacchi informatici, che possono provocare perdita o esfiltrazione di dati, anche dai laboratori di ricerca che operano in queste strutture.  

La dimensione globale di questo pericolo richiede sforzi di pari intensità, che riguardano trasversalmente tutti i settori, ma prima di tutto quelli dove i dati sono più sensibili e i pericoli per le libertà personali maggiori.   

 6. Le prospettive di sviluppo 

Infine, la possibilità di utilizzare dati sanitari anonimizzati per l’addestramento dell’intelligenza artificiale apre nuove frontiere nella personalizzazione della medicina. L’integrazione di sistemi di IA in grado di analizzare grandi dataset potrebbe rivoluzionare la capacità di predire le malattie su base individuale, ottimizzare i trattamenti personalizzati e monitorare l’efficacia delle terapie in tempo reale. Approfondendo le potenzialità della genetica e dell’oncologia, dove la personalizzazione del trattamento è cruciale, la ricerca potrebbe beneficiare enormemente di questo nuovo flusso di dati sanitari. 

 7. La modifica dell’art. 110 del Codice Privacy 

Mentre si avvia il cammino di questo disegno di legge, viene approvata intanto la modifica dell’art. 110 del Codice Privacy.  La nuova norma stabilisce che, quando non è possibile acquisire il consenso dell’interessato, i dati personali possono essere utilizzati per la ricerca scientifica nei settori medico, biomedico ed epidemiologico, purché si riceva l’approvazione del comitato etico e si rispettino le garanzie indicate dal Garante nelle Regole deontologiche sul trattamento di dati per finalità di ricerca. In buona sostanza viene meno il requisito obbligatorio dell’autorizzazione preventiva da richiedere al Garante Privacy, semplificando sin d’ora le procedure relative alle attività di ricerca e ponendo un primo importante tassello nel progetto perseguito dal DDL.