I dati possono essere interoperabili e sicuri?
C’è da preservare un delicatissimo equilibrio tra la protezione di dati delicati come quelli sanitari, che possono fare gola a big player, ma che sono allo stesso tempo fondamentali per la cura e la ricerca medica. Ma quello della condivisione e della interoperabilità è un processo che non possiamo permetterci di bloccare. Anche l’Europa ci spinge in questa direzione e il Garante per la privacy sta guardando in avanti verso l’Intelligenza artificiale sapendo che non ci possono essere IA senza l’utilizzo di dati.
Sulla condivisione dei dati sanitari, perciò, la domanda da porsi
Non può più essere “lo possiamo fare?”, ma “come possiamo farlo?”. La normativa è complicata perché ci sono tante prese di posizione a livello nazionale ed europeo, ma l’intenzione generale è, con l’IA act** per esempio, di favorire la circolazione del dato.
Il documento che verrà presentato a Welfair, il Codice di condotta ANORC*.
Costituisce il presupposto per l’azione sulla IA. Se parliamo di dati personali bisogna porsi il problema di attribuire le responsabilità in gioco. La normativa europea in materia di identità, firme e documenti elettronici, contenuta oggi in eIDAS2***, si è posta come obiettivo prioritario anche l’archiviazione dei dati e tali regole ovviamente si riferiscono anche all’ambito sanitario.
I documenti elettronici devono essere archiviati, quindi, con sicurezza, attraverso determinate metodologie, e tali regole sono già presenti da tempo nel nostro ordinamento, consentendo da diversi anni lo sviluppo di processi di digitalizzazione di referti, immagini diagnostiche, cartelle cliniche. Il fulcro di ogni processo di digitalizzazione “a norma”, quindi compliant con la normativa tecnica predisposta dall’Agenzia dell’Italia Digitale (sulla base di principi generali contenuti nel Codice dell’amministrazione digitale), è sempre quello di ben individuare chi fa cosa. In Italia abbiamo fornitori che, nel corso del tempo, hanno posto in essere buone prassi che possiamo portare in Europa.
La definizione di ruoli e responsabilità è il grande tema della digitalità. Servono procedure su chi prende in carico i processi?
Questa è la parte più affasciante e complessa della normativa nazionale ed europea da attuare, perché il problema della digitalizzazione non è solo tecnologico. Anzi, è soprattutto organizzativo e di costruzione di competenze interdisciplinari.
Con la tecnologia si può fare tanto, ma non tutti possono fare tutto. I medici, ad esempio, possono accedere a un referto e quel referto può essere condiviso in più reparti, ma un addetto amministrativo non può vedere quei dati clinici. A maggior ragione un “dossier sanitario” condiviso tra più ospedali “alla rinfusa” non è concepibile, perché il paziente deve essere sempre messo al centro del processo di digitalizzazione e condivisione di dati che lo riguardano e questo scambio di informazioni deve essere posto in essere sempre e comunque nel suo interesse.
Siamo abituati a sentirci tutti possessori di dati, ma in realtà in questi anni ci siamo invece pericolosamente “spogliati” dei nostri dati soprattutto nel mondo dei social, ma questo nel mondo sanitario non deve succedere.
I dati sanitari devono senz’altro poter essere analizzati ed essere resi – se possibile – sintetici, ma se sono personali è necessario che rimangano nel possesso esclusivo del paziente che può decidere in modo trasparente se concederne un trattamento condiviso. Questa è l’estrinsecazione del delicatissimo equilibrio tra privacy e salute: e diritto alla salute non vuol dire svilire il diritto dei dati personali.
Inoltre non dobbiamo cedere alla voglia di richiedere normative rigide che spieghino ogni dettaglio dei processi di digitalizzazione, decidendone ruoli e responsabilità. Occorre trovare il modo di mantenere il “diritto di contrattualizzare quei rapporti” attraverso la predisposizione di una normativa elastica che consenta la predisposizione negoziale di micro-ordinamenti che vadano a concretizzare prima le esigenze sanitarie e quindi definiscano ruoli e responsabilità in gioco.
Ovviamente per ciò che riguarda le mode di oggi e alcuni scenari che sembrano prefigurarsi la base di partenza deve essere sempre che in ambito clinico l’IA non dovrà mai sostituirsi al medico, mantenendo una visione antropocentrica e di corretta protezione di dati così delicati che vengono immessi in sistemi di questo tipo.
Il personale sanitario può accedervi secondo livelli di autorizzazione
Devono essere autorizzati dal titolare del trattamento, che è la struttura sanitaria nel suo complesso. È la struttura sanitaria di riferimento che attraverso i suoi organi di rappresentanza organizza il sistema di autorizzazioni tramite i propri partner informatici che vanno designati “responsabili del trattamento”, agendo per conto del titolare, il quale definisce le finalità (e sostanzialmente specifica come e cosa si può fare e non).
Se questa è la teoria, in Italia come funziona la pratica?
In Italia i sistemi sanitari stanno cercando di favorire l’interoperabilità con cui il dato viene “liberato” dal fardello dell’appartenenza personale, divenendo sintetico (quindi, anonimo) e condivisibile. Lo scenario sta andando verso l’interoperabilità nonostante ci siano ancora problemi per la piena digitalizzazione, e ciò comporta che il dato sanitario, pur nascendo digitale, rischia di non essere ancora oggi “conservato a norma”, perché ci si perde in lungaggini burocratiche, senza arrivare al cuore del problema: custodire in modo affidabile nel tempo informazioni così delicate attraverso la predisposizione di un sistema che sia organizzato come se fosse un’orchestra (dove quindi attori e strumenti lavorano all’unisono per perseguire determinati obiettivi).
Servono quadri normativi di ampio respiro e – se possibile – pochi dettagli
La normativa va interpretata con logica e buon senso, e ci dovrebbe essere una forte collaborazione tra le parti. Dobbiamo credere in dati sanitari sicuri (perché ben custoditi) e interoperabili: ce lo impone il diritto alla salute. L’Italia, come Sistema Paese, può essere considerata una buona pratica nella definizione dei ruoli e delle responsabilità: da questo possiamo partire per implementare sempre di più l’integrazione delle informazioni per la ricerca e la cura. Serve un’alleanza tra medici giuristi e informatici e servono cornici normative di ampio respiro, ma che lascino agli esperti sul campo la libertà di muoversi. Troppi dettagli coperti aumentano l’insicurezza e rischiano di chiudere a chiave l’innovazione.
Quali sono gli interventi che possono favorire questo processo?
Da giurista, la priorità viene data alla fattispecie astratta, che è l’applicazione di principi generali in grado di adattarsi e applicarsi in più fatti concreti in continuo divenire. Si ha attualmente invece la pericolosa tendenza a regolamentare i dettagli, mentre bisognerebbe allargare l’orizzonte. Le normative troppo dettagliate finiscono per ingabbiare i processi, e così diventano impossibili da applicare.
La firma digitale ne è storicamente un esempio: la normativa italiana degli anni ’90 riferiva che l’unica firma sicura era la firma digitale, perché rispettava certi standard. Era dottrinalmente rassicurante nella sua essenzialità tale dualismo perfetto, ma non rifletteva la moltitudine espressiva del mondo dell’eCommerce e dell’eGov che si andava sviluppando in Europa. E così dall’Europa sono arrivate normative che imponevano la regolamentazione di altre tipologie di firma elettronica a cui poi l’Italia si è dovuta adeguare. La stessa cosa sta succedendo ora: l’IA Act in Italia ha prudentemente posto dei forti limiti all’applicazione dei sistemi di intelligenza artificiale, dall’altra parte sempre in ambito europeo, ma con vocazione internazionale, è stato recentemente adottato dal Consiglio d’Europa un vero e proprio trattato che contiene i principi generali su cui basarsi per lo sviluppo di sistemi di IA. C’è bisogno di normative elastiche.
C’è bisogno prima di tutto di questo respiro che vada oltre gli orizzonti nazionali che nel mondo senza confini dell’Internet e dell’IA non hanno più senso.
*ANORC è l’Associazione Nazionale Operatori e Responsabili della Custodia di contenuti digitali
** Si fa riferimento al regolamento UE 2024/1689 del 13 giugno 2024.
*** Si fa riferimento al regolamento europeo 2024 dell’11 aprile 2024 che modifica il regolamento europeo n. 910/2014.
Per saperne di più
Andrea Lisi è Presidente e componente Elenco CDO di ANORC Professioni e Presidente onorario di ANORC.
Giovedì 7 novembre 2024 dalle 16:30 alle 18:30 a Welfair, la fiera del fare Sanità a Fiera di Roma, Andrea Lisi coordinerà il tavolo:
INTELLIGENZA ARTIFICIALE E PROTEZIONE DEL DATO SANITARIO: IL PREREQUISITO DELL’INNOVAZIONE “A NORMA” È L’ORIZZONTE DI OGNI AZIONE DI ANORC
Con la partecipazione di:
- Sarah Ungaro, Vice Presidente di ANORC, Avvocato, esperta in diritto dell’informatica e privacy
- Luigi Foglia, Segretario generale di ANORC, Avvocato, esperto Diritto dell’Informatica
- Franco Cardin, Esperto in Privacy e Sanità digitale
- Francesco Gabbrielli, Lead of R&D on clinical activity in Telemedicine AGENAS
- Stefano Lorusso, Direttore Generale Sistemi informativi Ministero della Salute
- Paolo Cancelli, Docente al Diploma universitario Etica e AI, Pontificia Università Antonianum
- Paolo Roazzi, Esperto per la Sicurezza informatica e Buone pratiche di laboratorio presso Istituto Superiore di Sanità
- Giuseppe Gimigliano, Docente al Diploma universitario Etica e AI, Pontificia Università Antonianum