Le implicazioni del caso UnitedHealth: spunti per una riflessione in ambito europeo e nazionale
Recenti fatti di cronaca hanno riportato all’attenzione del pubblico la vicenda giudiziaria che, negli Stati Uniti, vede la società UnitedHealth Group coinvolta, dal novembre 2023, in una class action concernente le modalità con le quali la stessa ha gestito la valutazione dell’ammissibilità delle richieste di copertura assicurativa avanzate da diversi contraenti [ref]Si tratta del caso Estate of Gene B. Lokken et al. v. UnitedHealth Group, Inc. et. al, District Court of Minnesota, docket no. 0:23-cv-03514, avviato in data 14 novembre 2023.[/ref].
Si tratta, in estrema sintesi, di un’iniziativa promossa nell’interesse di un elevato numero di plaintiffs, tutti aderenti al piano assicurativo Medicare Advantage, finanziato dal programma federale Medicare, gestito da assicurazioni sanitarie private (quali, per l’appunto, UnitedHealth) e riservato a persone di età superiore a 65 anni o afflitte da disabilità.
Gli attori hanno, in particolare, affermato che le loro richieste di copertura, e dunque di rimborso delle spese da essi sostenute per prestazioni di c.d. “post-acute care”, sarebbero state ingiustificatamente rigettate da UnitedHealth all’esito di una procedura di valutazione interamente automatizzata, effettuata, all’insaputa dei pazienti, avvalendosi di un sistema di intelligenza artificiale (I.A.) noto come nH Predict, sviluppato dalla società NaviHealth, facente parte del medesimo gruppo UnitedHealth. Sulla base di quanto argomentato dagli attori, inoltre, gli impiegati di UnitedHealth avrebbero ricevuto istruzioni di attenersi alla valutazione predittiva formulata dall’algoritmo, che non sarebbe, dunque, stata oggetto di successiva verifica da parte di personale umano, ma sarebbe stata recepita in modo acritico.
Tale condotta avrebbe, così, ingiustamente impedito agli assicurati meno abbienti di avvalersi di cure e sussidi di anche vitale importanza, con conseguente grave danno alla salute degli stessi. Secondo i legali dei plaintiffs, la pratica in questione avrebbe integrato violazione sia delle previsioni dei contratti tra UnitedHealth e gli assicurati, sia dell’“implied covenant” di buona fede nelle relazioni contrattuali, nonché delle varie norme di insurance law statunitense che impongono standard di adeguatezza delle procedure di valutazione delle richieste di copertura. Su tali premesse, l’azione di classe – a oggi ancora pendente dinanzi alla Corte distrettuale del Minnesota – mira, dunque, a ottenere l’inibizione pro futuro di tale pratica e il risarcimento dei danni patiti dai class members.
Quella appena descritta è una vicenda statunitense, e in quanto tale connotata, evidentemente, da significative specificità tipiche sia della complessiva impostazione del sistema sanitario nordamericano, sia delle peculiarità della normativa statunitense; specificità sulle quali non ci si addentra in questa sede. Il caso suscita, tuttavia, più di una riflessione su temi che restano cruciali anche nello scenario europeo e italiano, e che si avviano ad acquisire una rilevanza sempre maggiore parallelamente al diffondersi di tecnologie quali quelle in questione: dalle più generali problematiche attinenti all’impatto dell’I.A. sulla tutela della salute sino alle più settoriali questioni afferenti i limiti di ammissibilità, nel nostro ordinamento, di pratiche di decisione automatizzata analoghe a quelle poste in essere da UnitedHealth, specialmente ove suscettibili di incidere su diritti fondamentali degli interessati.
I processi decisionali automatizzati in ambito sanitario: il quadro normativo europeo, dal GDPR...
L’impatto delle nuove tecnologie, e in particolare dell’I.A., sulla tutela della salute è tema del quale molto si discute in più sedi; e sul quale è unanime il consenso intorno al ruolo positivo che tale strumento può sortire nel miglioramento della qualità delle prestazioni mediche e della prevenzione di malattie, pur emergendo correlate esigenze di regolazione (oltre a sottili problemi di riparto delle responsabilità).
Minore attenzione sembra essere invece riservata a scenari di impiego dell’I.A. nel governo delle risorse sanitarie, e in particolare dell’accesso individuale alle cure – ad esempio, nella gestione delle liste d’attesa sulla base della valutazione automatizzata della priorità dei singoli casi – o anche a prestazioni di natura assistenziale o assicurativa che ben possono rivelarsi funzionali a garantire tale accesso (quali quelle in discussione nell’affaire UnitedHealth). Tuttavia, è proprio in tale ambito che l’I.A. promette di trovare più imminente utilizzo, anche in quanto già in corso di valutazione sia a livello nazionale che in diverse regioni italiane.
Anche in questi scenari, così come nel caso UnitedHealth, a venire in rilievo sarebbe l’impiego di sistemi capaci di processi decisionali automatizzati, impiegati nella formulazione di decisioni quali quelle appena menzionate; e in relazione ai quali pure si pongono centrali problemi di sorveglianza umana, trasparenza, non discriminazione e corretta gestione dei dati, soprattutto nell’ottica di minimizzare il rischio di errori o bias, che in questo settore più che in altri potrebbero impattare su diritti di rilievo anche costituzionale. Occorre, quindi, riflettere su quali conseguenze possano derivare, sul piano giuridico, dall’utilizzo di tali strumenti, con specifico riguardo ai principali presidi di tutela approntati dal legislatore europeo e nazionale.
Il primo, e ovvio, riferimento è al Regolamento UE 2016/679 (GDPR), e in particolare al suo art. 22, che ammette la possibilità di decisioni automatizzate basate unicamente sul trattamento di dati relativi alla salute, anche ove suscettibili di produrre “effetti giuridici” o di incidere “significativamente” sulla persona dell’interessato, soltanto in presenza del consenso dell’interessato stesso o di ragioni di pubblico interesse legittimanti il trattamento stesso [ref]Vengono in rilievo, per vero, anche gli artt. 13, 14 e 15 del medesimo GDPR, che, in materia di processi decisionali automatizzati, impongono al titolare del trattamento obblighi di natura essenzialmente informativa, concernenti l’esistenza di tale tipologia di trattamento, le relative conseguenze e “informazioni significative” sulla logica sulla quale si fonda l’elaborazione algoritmica (e non ci addentriamo ora nel complesso tema di quali siano le “informazioni significative” concernenti la logica sottostante la profilazione algoritmica a dover essere veicolare all’interessato, sul quale si sono a più riprese pronunciati, in Italia, sia la Corte di Cassazione che il Consiglio di Stato). Nel contesto italiano, il riferimento è altresì all’art. 2-sexies del D.Lgs. n. 196/2003 (Codice della privacy), nonché al decalogo concernente le regole e i principi da seguire per l’utilizzo dell’I.A. nel Servizio Sanitario Nazionale pubblicato dal Garante per la protezione dei dati personali il 12 ottobre 2023.[/ref]. Fermo restando, in ogni caso, il diritto dell’interessato:
- di contestare la decisione formulata all’esito del trattamento automatizzato e
- di ottenere un intervento umano da parte del titolare.
Non è questa la sede per soffermarsi in modo approfondito sul dettato e sull’applicazione pratica dell’art. 22 del GDPR, che resta una delle norme più dibattute del Regolamento. Ci si limita, dunque, a evidenziare come, nel contesto europeo, pratiche come quelle contestate a UnitedHealth, o altre assimilabili, in quanto suscettibili di sortire un significativo impatto su diritti fondamentali, e così di rientrare nell’ambito applicativo dell’art. 22 GDPR[ref]Sul tema si veda, inter alia, la recente Corte Giust. UE, 7 dicembre 2023, C-634/21, SCHUFA, la quale, per quanto resa su un caso non attinente all’ambito sanitario, esamina le tutele invocabili in caso di processi decisionali automatizzati suscettibili di impattare su diritti e interessi di rilievo primario (si trattava, in quel caso, di credit scoring, ossia di valutazione algoritmica dell’affidabilità di un candidato mutuatario in materia di accesso al credito).[/ref], troverebbero in tale previsione un serio limite: in primo luogo, per la ineludibile necessità di uno specifico consenso dell’interessato o della sussistenza di preminenti ragioni di “pubblico interesse”; e poi in considerazione del diritto dell’interessato stesso a che la decisione assunta sulla base degli esiti del processo automatizzato sia sottoposta a revisione mediante “intervento umano”.
… all’AI Act: la decisione automatizzata in sanità come pratica “ad alto rischio”
Le norme del GDPR devono ora coniugarsi a quelle introdotte dall’AI Act (Regolamento UE 2024/1689), in relazione alle quali occorre preliminarmente domandarsi se sistemi di I.A. come quelli in esame possano o meno rientrare nel novero dei sistemi che il Regolamento stesso considera “ad alto rischio”, e dunque essere assoggettati agli obblighi cui il legislatore eurounitario subordina il loro sviluppo e utilizzo.
Al riguardo, e con riferimento nello specifico al settore sanitario, l’AI Act classifica come “ad alto rischio”:
- non soltanto i sistemi di I.A. qualificabili come dispositivi medici, o come componenti di dispositivi medici, ai sensi del Regolamento UE 2017/745 (cfr. art. 6, par. 1, e Allegato I dell’AI Act), e dunque i sistemi suscettibili di essere impiegati nell’esecuzione di prestazioni sanitarie, a fini di diagnosi e cura;
- ma anche i sistemi di I.A. “destinati a essere utilizzati dalle autorità pubbliche o per conto di autorità pubbliche per valutare l’ammissibilità delle persone fisiche alle prestazioni e ai servizi di assistenza pubblica essenziali, compresi i servizi di assistenza sanitaria, nonché per concedere, ridurre, revocare o recuperare tali prestazioni e servizi”, e quelli “destinati a essere utilizzati per valutare e classificare le chiamate di emergenza effettuate da persone fisiche o per inviare servizi di emergenza di primo soccorso o per stabilire priorità in merito all’invio di tali servizi, compresi polizia, vigili del fuoco e assistenza medica, nonché per i sistemi di selezione dei pazienti per quanto concerne l’assistenza sanitaria di emergenza” (così l’Allegato III dell’AI Act, richiamato dall’art. 6, par. 2)[ref]Si veda altresì il considerando 58 dell’AI Act, ove si fa riferimento altresì alla condizione di “vulnerabilità” in cui si trovano i soggetti che chiedono e ricevono alle autorità pubbliche prestazioni e servizi di assistenza quali “servizi sanitari, prestazioni di sicurezza sociale, servizi sociali che forniscono protezione in casi quali la maternità, la malattia, gli infortuni sul lavoro, la dipendenza o la vecchiaia”, e ai più elevati rischi di discriminazione che l’impiego di I.A. per la gestione di tali servizi può comportare; i quali giustificano la classificazione dei relativi sistemi come “ad alto rischio”.[/ref]. La medesima qualificazione è, poi, attribuita anche ai sistemi di I.A. “destinati a essere utilizzati per la valutazione dei rischi e la determinazione dei prezzi in relazione a persone fisiche nel caso di assicurazioni sulla vita e assicurazioni sanitarie” (oltre che, più in generale, ai sistemi impiegati a fini di credit scoring bancario e finanziario).
Ne consegue che sistemi quali quelli in discorso, impiegati ad esempio nella gestione delle liste d’attesa o a fini di selezione nell’accesso a prestazioni sanitarie o assistenziali (ma anche assicurative), sarebbero pacificamente classificabili come “ad alto rischio”, e in quanto tali assoggettati ai requisiti di cui agli artt. 8 ss. dell’AI Act, con conseguenti obblighi – anche di trasparenza (art. 13) e sorveglianza umana (art. 14) – applicabili sia ai fornitori che agli utilizzatori (deployer) dei sistemi stessi. Quanto al contenuto di tali obblighi, allo stato formulati dall’AI Act in modo talora generico, molto dipenderà dalle norme attuative e dai codici di condotta che dovranno essere elaborati dai competenti uffici europei nel periodo antecedente all’entrata in vigore del Regolamento.
Uno sguardo all’Italia: il d.d.l. sull’I.A.
Il quadro normativo su un tema tanto complesso è ben più articolato, e certo non può essere in questa sede compiutamente esaminato. Merita comunque completare la panoramica sinora tracciata guardando all’ordinamento domestico, e in particolare con un cenno al noto disegno di legge italiano in materia di intelligenza artificiale (d.d.l. S. 1146), attualmente all’esame del Senato.
Il d.d.l. riserva, infatti, specifica attenzione al tema dell’impiego di sistemi di I.A. nel settore sanitario, dedicando un articolo (l’art. 7) all’“uso dell’intelligenza artificiale in ambito sanitario e di disabilità”; ove da un lato si riconoscerebbe come l’utilizzo di sistemi di IA possa contribuire “al miglioramento del sistema sanitario, alla prevenzione e alla cura delle malattie”, dall’altro si chiarirebbe che tale impiego non può sortire l’effetto di “selezionare e condizionare l’accesso alle prestazioni sanitarie secondo criteri discriminatori” (oltre a prestare attenzione anche al tema dell’informazione al paziente circa l’impiego di sistemi di I.A. nelle prestazioni sanitarie).
Il medesimo disegno di legge, inoltre, all’art. 9, propone l’istituzione di una piattaforma di I.A., la cui progettazione, realizzazione e messa in servizio sarebbe affidata ad AGENAS, e che erogherebbe servizi quali il supporto ai professionisti sanitari “per la presa in carico della popolazione assistita” e agli utenti “per l’accesso ai servizi sanitarie delle Case di comunità”, nonché ai medici “nella pratica clinica quotidiana con suggerimenti non vincolanti”[ref]Al tal riguardo, il già citato art. 7 del d.d.l. chiarirebbe, tra l’altro, che i sistemi di I.A. in ambito sanitario dovrebbero costituire “un supporto nei processi di prevenzione, diagnosi, cura e scelta terapeutica”, ma che dovrebbero lasciare “impregiudicata la decisione, che è sempre rimessa agli esercenti la professione medica”.[/ref]. Tale piattaforma, secondo il d.d.l., dovrebbe essere alimentata con i dati “strettamente necessari” per l’erogazione di tali servizi, necessitandosi poi di un intervento del Garante per la protezione dei dati personali volto a definire, tra l’altro, le misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato al rischio e a tutelare i diritti fondamentali e gli interessi dell’interessato, anche in coerenza con il GDPR.
Tutela dei diritti dei pazienti nell'era dell'IA: conclusioni
In estrema sintesi, può certamente osservarsi come il diritto europeo, ma altresì quello nazionale, sembri già dotato di presidi suscettibili di consentire adeguata tutela, anche in ambito sanitario, in caso di problematiche omologhe a quelle che costituiscono oggetto, negli Stati Uniti, del caso UnitedHealth, specialmente con riferimento agli obblighi di intervento umano prescritti sia dal GDPR, che dall’AI Act; obblighi alla cui concreta attuazione il nostro ordinamento ricollega la protezione di centrali esigenze di non discriminazione.