News

Healthcare: i nuovi adempimenti del Regolamento Europeo sull'Intelligenza artificiale

Mag. 6 2025

STABILIRE LINEE GUIDA ETICHE PER L'INTELLIGENZA ARTIFICIALE IN AMBITO SANITARIO

Insieme alle innovazioni tecnologiche e ai benefici che essa porta, emergono sfide etiche che i fornitori di assistenza sanitaria e gli sviluppatori di AI devono affrontare.

  • PRIVACY DEI DATI E TRASPARENZA DEGLI ALGORITMI

    Una delle preoccupazioni più significative riguarda la privacy dei dati. I sistemi di AI richiedono enormi quantità di dati dei pazienti per funzionare efficacemente, ma più sono i dati raccolti, maggiore è il rischio di violazioni o uso improprio. I pazienti devono poter confidare che le loro informazioni sanitarie sensibili saranno protette e utilizzate in modo responsabile. L'implementazione di robuste misure di sicurezza dei dati e la garanzia di conformità con le leggi sulla privacy sanitaria come HIPAA negli Stati Uniti o GDPR in Europa sono essenziali per mantenere la fiducia dei pazienti.

    Anche la trasparenza è una sfida etica che richiede attenzione. Gli algoritmi di AI, specialmente quelli complessi come i modelli di deep learning, spesso operano come scatole nere dove il processo decisionale non è facilmente comprensibile dagli esseri umani. Questa mancanza di trasparenza solleva questioni sulla responsabilità. Se un sistema di AI fa una raccomandazione che porta a un risultato avverso, chi è responsabile? È il medico che si è affidato al sistema, gli ingegneri che l'hanno sviluppato, o l'organizzazione sanitaria che l'ha implementato? Man mano che l'AI continua ad assumere un ruolo più importante nel processo decisionale sanitario, sarà cruciale stabilire linee guida chiare per la responsabilità.

La regolamentazione delle applicazioni che utilizzano intelligenza artificiale in ambiti critici, come quello sanitario, è al centro del dibattito normativo. Dal febbraio 2025 si iniziano ad applicare alcuni provvedimenti previsti dal Regolamento Europeo sull’intelligenza artificiale (Regolamento UE 2024/1689), prima regolamentazione internazionale che affronta i potenziali rischi per la salute, la sicurezza e i diritti fondamentali dei cittadini, fornendo requisiti e obblighi a sviluppatori e operatori per quanto riguarda gli usi specifici dell'AI.
Il regolamento coinvolge in primo piano gli sviluppatori e le figure che mettono a dispozione il sistema, inclusi gli integratori del sistema, ma pone attenzione anche sugli utilizzatori: i cosiddetti “deployer”, sono suddivisi in due categorie principali in base alle finalità di utilizzo dei dati sanitari elettronici: uso primario e uso secondario.

  • Utilizzatori per l'uso primario

    L'uso primario dei dati sanitari elettronici riguarda la cura e l'assistenza diretta ai pazienti. Gli utilizzatori includono:

    • Professionisti sanitari: medici, infermieri e altri operatori che accedono ai dati per fornire assistenza sanitaria;
    • Preparatori di assistenza sanitaria: strutture sanitarie che trattano i dati per garantire cure adeguate;
    • Pazienti stessi: hanno il diritto di accedere ai propri dati sanitari elettronici personali e di condividerli con i professionisti sanitari di loro scelta, grazie al diritto alla portabilità dei dati sancito dal Regolamento.

  • Utilizzatori per l'uso secondario

    L'uso secondario riguarda finalità diverse dalla cura diretta del paziente, come ricerca, politiche sanitarie e monitoraggio della salute pubblica. Gli utilizzatori includono:

    • Organismi pubblici: per attività di sorveglianza sanitaria, definizione delle politiche sanitarie e garanzia della sicurezza dei pazienti;
    • Ricercatori e istituzioni scientifiche: per progetti di ricerca che utilizzano i dati sanitari raccolti;
    • Enti regolatori e assicurativi: per garantire la qualità e la sostenibilità dei sistemi sanitari.

Proprio perché “direttamente” coinvolti nell’uso e gestione dell’AI questi sono nella posizione migliore per comprendere come il sistema di AI ad alto rischio sarà utilizzato concretamente e possono pertanto individuare potenziali rischi significativi non previsti nella fase di sviluppo, in ragione di una conoscenza più puntuale del contesto di utilizzo e delle persone o dei gruppi di persone che potrebbero essere interessati, compresi i gruppi vulnerabili.

  • Quali sono gli obblighi degli utilizzatori previsti dall'AI Act?

    Tra gli obblighi degli utilizzatori previsti dall’AI Act (Art 26) relativi all’uso di sistemi AI ad alto rischio, figurano:

    • Misure tecniche e organizzative
      Gli utilizzatori devono adottare misure tecniche e organizzative per garantire che i sistemi di intelligenza artificiale siano sempre utilizzati conformemente alle istruzioni per l’uso che devono accompagnare i sistemi, in modo da evitare errori di utilizzo che possano compromettere la sicurezza, le performance o i diritti fondamentali dei pazienti;
    • Sorveglianza umana
      I deployer devono garantire il monitoraggio e la supervisione umana del sistema di intelligenza artificiale, assegnandola a persone fisiche che abbiano l’appropriata formazione, le competenze e l'autorità necessarie per svolgere tale funzione, in conformità a quanto indicato dal fornitore. Prima di mettere in servizio o utilizzare un sistema di AI ad alto rischio sul luogo di lavoro, i deployer devono informare i lavoratori interessati che saranno soggetti all'uso del sistema di AI ad alto rischio;
    • Appropriatezza dei dati di input
      Nella misura in cui esercita il controllo sui dati di input, il deployer garantisce che tali dati di input siano pertinenti e sufficientemente rappresentativi alla luce della finalità prevista del sistema di IA per evitare risultati distorti o non accurati;
    • Monitoraggio del sistema
      I deployer devono monitorare il funzionamento del sistema di intelligenza artificiale sulla base delle istruzioni per l’uso e intervenire tempestivamente se emergono malfunzionamenti, comportamente inattesi che possano costituire un rischio per i pazienti e segnalare qualsiasi rischio o incidente grave al fornitore e alle autorità competenti, eventualmente sospendendo l'uso del sistema di intelligenza artificiale. In caso di incidenti gravi, i deployer devono informare immediatamente il fornitore, il distributore e le autorità di vigilanza del mercato;
    • Registrazione alla banca dati
      Prima di utilizzare un sistema di intelligenza artificiale ad alto rischio, i deployer devono assicurarsi che il sistema sia stato registrato nella banca dati. In alcuni casi di utilizzo  di sistemi general pourpose,  il deployer può essere obbligato a registrare il sistema di intelligenza artificiale nella banca dati anche se il sistema non è stato classificato dal fornitore come ad alto rischio;
    • Valutazione di impatto
      Il deployer prima di utilizzare un sistema AI ad alto rischio deve effettuare una valutazione di impatto sulla protezione dei dati e un’analisi dei rischi al fine di assicurarsi che il sistema IA non presenti rischi significativi non accettabili per la salute, la sicurezza o i diritti fondamentali delle persone;
    • Trasparenza
      Per i sistemi che adottano decisioni o assistono nell'adozione di decisioni che riguardano persone fisiche informano queste ultime che sono soggette all'uso del sistema di AI ad alto rischio. I deployer devono garantire che gli utenti finali siano sempre informati che stanno interagendo con un sistema di intelligenza artificiale e non con un essere umano.
       

A livello italiano, a marzo 2025 è stato approvato dal Senato in via preliminare un disegno di legge (DDL 1146), dal testo si evince l’importanza nella regolamentazione dell’applicazione dell’AI in particolari settori ritenuti critici come quello sanitario: contribuire al miglioramento della sanità, rispettando diritti e privacy; non discriminare nell'accesso alle prestazioni sanitarie; necessità di trasparenza, i pazienti devono essere informati sull'uso dell'AI, sui suoi vantaggi e sulla logica decisionale; supporto ai processi medici con decisione finale sempre a carico dei professionisti sanitari (visione antropocentrica); richiesta di sistemi affidabili, periodicamente verificati e aggiornati per minimizzare gli errori.
Stessi principi che si ritrovano nella “Bozza di linee guida per l’adozione di AI nella pubblica amministrazione” dell’Agid  del febbraio 2025, attualmente in consultazione pubblica prima dell’approvazione. Nel documento vengono delineati dei modelli di adozione dell’AI in ambiti critici della pubblica amministrazione.

In conclusione, il Regolamento Europeo 2024/1689 rappresenta una svolta significativa per il settore sanitario dell'Unione Europea mirando a rivoluzionare la gestione e l'utilizzo dei dati sanitari elettronici. Il successo di questa iniziativa dipenderà dalla capacità di bilanciare efficacemente l'innovazione con la protezione dei dati personali, garantendo al contempo la fiducia dei cittadini nel nuovo sistema. Con l'evolversi dell'implementazione, sarà cruciale inoltre monitorare attentamente l'impatto del regolamento e apportare eventuali aggiustamenti per assicurare che l’applicazione raggiunga pienamente i suoi ambiziosi obiettivi.

PER APPROFONDIRE:

medico

Settore Healthcare

SCOPRI DI PIÙ
intelligenza artificiale opportunità e rischi

Corso | Intelligenza artificiale nel contesto dei servizi sanitari

SCOPRI DI PIÙ
Intelligenza_Artificale_Medical

Intelligenza artificiale e dati sanitari: un potenziale enorme ma attenzione alla privacy

SCOPRI DI PIÙ
Contattaci per maggiori informazioni