Il Garante della Privacy e l'IA in ambito sanitario: il parere sul d.d.l. n. 1146/2024
In data 2 agosto 2024 il Garante per la protezione dei dati personali ha adottato un parere sullo schema di disegno di legge n. 1146/2024 “recante disposizioni e deleghe in materia di intelligenza artificiale”.
Tale d.d.l., approvato dal Consiglio dei ministri italiano il 24 aprile 2024, è stato presentato al Parlamento il 20 maggio ed è al momento all’esame delle commissioni parlamentari [ref]È possibile consultare il testo del d.d.l. e lo stato di avanzamento dei lavori parlamentari sul sito del Senato della Repubblica al seguente link: https://www.senato.it/leg/19/BGT/Schede/Ddliter/testi/58262_testi.htm[/ref].
Tra le svariate norme contenute nel d.d.l. n. 1146/2024, particolare rilevanza assume l’art. 8, con cui il legislatore italiano intende introdurre una base giuridica per il trattamento dei dati personali ai sensi dell’art. 9, par. 2, lett. g), del GDPR, per lo sviluppo di sistemi di intelligenza artificiale in ambito sanitario.
Trattamento dei dati sensibili in ambito sanitario: le eccezioni del GDPR all’obbligo del consenso informato
L’art. 9, par. 2, lett. g), del Regolamento Generale per la Protezione dei Dati Personali – GDPR autorizza il trattamento di dati personali (anche appartenenti a categorie particolari, come quelli sanitari), a prescindere dal consenso dell’interessato, quando lo stesso sia necessario per il perseguimento di finalità di interesse pubblico rilevante sulla base del diritto dell’Unione o degli Stati membri, sia proporzionato alla finalità perseguita, rispetti l’essenza del diritto alla protezione dei dati e preveda misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato. La norma richiede dunque che una disposizione normativa nazionale o comunitaria riconosca l’interesse pubblico rilevante al trattamento di dati personali, previa valutazione della proporzionalità della compressione del diritto di autodeterminazione del singolo sull’utilizzo dei dati che lo riguardano rispetto alla finalità perseguita dal trattamento. L’art. 9, par. 2, lett. g), richiede inoltre che la disposizione normativa rispetti l’essenza del diritto alla protezione dei dati personali senza però specificare cosa debba intendersi con tale espressione. Secondo parte della dottrina, la nozione di “essenza del diritto alla protezione dei dati personali” potrebbe essere interpretata alla luce dell’art. 8, par. 2, della Carta dei diritti fondamentali dell’Unione Europea, nel senso che il trattamento previsto dalla disposizione normativa debba rispettare i principi di liceità, correttezza e limitazione della finalità [ref]Cfr. in tal senso G. Comandé, Ricerca in sanità e data protection un puzzle … risolvibile, in Riv. It. Med. Leg., 1/2019, 195.[/ref].
In un’ottica di contemperamento tra valori, il legislatore europeo richiede infine che la disposizione normativa nazionale o comunitaria di cui all’art. 9, par. 2, lett. g), del GDPR prescriva le misure necessarie per tutelare i diritti fondamentali e le libertà dell’interessato.
Intelligenza Artificiale in sanità: l'art. 8 del d.d.l. 1146/2024 introduce nuove regole per il trattamento dei dati
L’art. 8 del d.d.l. in esame intende integrare la disposizione normativa richiesta dall’art. 9, par. 2, lett. g), del GDPR, qualificando di interesse pubblico rilevante il trattamento di dati, anche personali, per la ricerca e la sperimentazione scientifica, eseguiti da soggetti pubblici o privati senza scopo di lucro nella realizzazione di sistemi di intelligenza artificiale per finalità di prevenzione, diagnosi e cura di malattie, per lo sviluppo di farmaci, terapie e tecnologie riabilitative, nonché per la realizzazione di apparati medicali (incluse protesi e interfacce fra il corpo e strumenti di sostegno alle condizioni del paziente), e per altre finalità di salute pubblica, incolumità della persona, salute e sicurezza sanitaria.
Ove funzionale al perseguimento di una di tali finalità, il secondo comma dell’art. 8 consente poi ai medesimi soggetti l’uso secondario dei dati personali eventualmente già raccolti sulla scorta del consenso dell’interessato, esonerando il titolare dall’onere di acquisire un nuovo consenso per la nuova finalità di trattamento e consentendogli di informare gli interessati della nuova finalità mediante un’informativa generale messa a disposizione sul suo sito web.
In un’ottica di bilanciamento tra l’interesse generale sotteso allo sviluppo di sistemi di intelligenza artificiale in ambito sanitario e i diritti fondamentali dell’interessato, il terzo comma richiede che il trattamento dei dati personali sia oggetto di approvazione da parte dei comitati etici interessati e sia comunicato al Garante per la protezione dei dati personali (con l’indicazione delle informazioni previste agli artt. 24, 25, 32 e 35 del GDPR), specificando che lo stesso può essere iniziato solo dopo che sono decorsi trenta giorni dalla predetta comunicazione senza che il Garante lo abbia inibito.
Il Garante sollecita maggiori garanzie per la protezione dei dati nell'ambito della ricerca sull'IA
Sull’art. 8 del d.d.l. in esame si è pronunciato il Garante per la protezione dei dati personali che, nel parere reso il 2 agosto 2024, ha rilevato l’opportunità di modificare e integrare la disposizione affinché possa rappresentare una valida base giuridica per il trattamento di dati personali a fini di ricerca nella realizzazione dei sistemi di I.A. in ambito sanitario [ref]Il parere è consultabile al seguente link: https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/10043532[/ref].
In primo luogo, ad avviso del Garante, la norma andrebbe conformata ai requisiti di determinatezza previsti dagli articoli 6, par. 3, lett. b), e 9, par. 2, lett. g), del GDPR, che impongono al legislatore nazionale che intenda autorizzare un trattamento di dati personali di adottare una legge che specifichi dettagliatamente la finalità del trattamento e contenga disposizioni specifiche sulle condizioni generali relative alla liceità del trattamento, sulle tipologie di dati oggetto del trattamento, sui soggetti cui possono essere comunicati i dati personali e sulle finalità per cui sono comunicati, nonché sulle limitazioni della finalità, sui periodi di conservazione e sulle operazioni e procedure di trattamento (comprese quelle atte a garantire un trattamento lecito e corretto). Anche l’art. 2-sexies del Codice della privacy prescrive che la disposizione normativa nazionale ai sensi dell’art. 9, par. 2, lett. g) del GDPR individui specificamente, oltre al motivo di interesse pubblico rilevante, i tipi di dati che possono essere trattati, le operazioni eseguibili e le misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell'interessato.
Tali requisiti di specificità, ad avviso del Garante, non sarebbero soddisfatti dall’art. 8 del d.d.l. n. 1146/2024, che andrebbe dunque opportunamente modificato e integrato.
In secondo luogo, il Garante per la protezione dei dati personali ritiene necessario che l’art. 8 del d.d.l. in esame imponga al titolare del trattamento l’adozione delle garanzie per i diritti e le libertà fondamentali dell’interessato sancite in via generale dall’art. 89 del GDPR per tutti i trattamenti funzionali allo svolgimento di ricerca scientifica.
Il Garante evidenzia inoltre che la possibilità riconosciuta al titolare del trattamento che intenda riutilizzare i dati personali di assolvere l’obbligo di informativa in forma generale tramite pubblicazione sul suo sito web (ai sensi dell’art. 8, comma 2) sarebbe incompatibile con le norme contenute nel GDPR, le quali prescrivono al titolare del trattamento, qualora intenda trattare i dati personali per una finalità diversa da quella per cui essi sono stati raccolti, di fornire all'interessato, prima di tale ulteriore trattamento, specifiche informazioni in merito alla diversa finalità e ogni altra informazione necessaria (v. considerando 61, nonché artt. 13, par. 3, e 14, par. 4).
Infine, sempre ad avviso del Garante per la protezione dei dati personali, occorrerebbe modificare il terzo comma della disposizione in esame, nella parte in cui prevede l’onere di comunicazione del trattamento al Garante e un meccanismo di silenzio-assenso, con la specificazione che il decorso del termine di trenta giorni (che integra il silenzio-assenso) non consuma i poteri tipici dell’Autorità di accertamento e sanzione di eventuali illeciti.