Legge AI, ecco come cambia la ricerca scientifica in Sanità

Legge AI Italiana, ricerca scientifica in ambito sanitario  (art. 8)

L’articolo 8 della legge costituisce il nucleo centrale della disciplina sulla ricerca scientifica con sistemi di IA in ambito sanitario.

La norma è molto ricca e richiede quindi una analisi punto per punto.

La base giuridica: il “rilevante interesse pubblico” (comma 1)

Il primo comma afferma che i trattamenti di dati personali effettuati per specifiche finalità di ricerca per la realizzazione di sistemi di AI sono qualificati come di “rilevante interesse pubblico” (art. 9, par. 2, lettera g) GDPR – trattamento di dati appartenenti a categorie particolari per interesse pubblico rilevante).

Ciò significa che non occorre più il consenso, ma che la base giuridica è l’interesse pubblico.

Sorge però un primo dubbio: l’art. 9 par. 2 lett. g) è recepito nel nostro ordinamento dall’art. 2-sexies codice privacy. Secondo tale norma i trattamenti di dati “sono ammessi qualora siano previsti dal diritto dell’Unione europea ovvero, nell’ordinamento interno, da disposizioni di legge o di regolamento o da atti amministrativi generali che specifichino i tipi di dati che possono essere trattati, le operazioni eseguibili e il motivo di interesse pubblico rilevante, nonché le misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato”.

Domanda: basterà la previsione dell’art. 8 oppure ci vorranno altre normative o quanto meno atti generali?

Il Garante, nel Parere su uno schema di disegno di legge recante disposizioni e deleghe in materia di intelligenza artificiale – 2 agosto 2024 [10043532], ha già affermato che la norma manca dei requisiti determinatezza previsti dagli articoli 6, paragrafo 3, lettera b) e 9, paragrafo 2, lettera g) del GDPR, nonché dall’articolo 2-sexies del Codice Privacy.

Ne deriva che è una base giuridica monca.

La norma riporta poi un elenco molto articolato di situazioni di interesse pubblico rilevante (senza chiarire se l’elenco è esplicativo o esaustivo).

I soggetti legittimati (comma 1)

Veniamo ai soggetti a cui la norma è rivolta.

La tua casa è in procedura esecutiva?



sospendi la procedura con la legge sul sovraindebitamento

 

Qui Il legislatore ha operato una scelta selettiva nell’identificazione dei soggetti che possono beneficiare di questo regime agevolato.

Si afferma infatti che sono inclusi:

• soggetti pubblici e privati senza scopo di lucro
• IRCCS
• soggetti privati operanti nel settore sanitario esclusivamente nell’ambito di progetti di ricerca che vedano la partecipazione di soggetti pubblici, privati senza scopo di lucro o IRCCS

Onestamente qui non è molto chiaro il richiamo ai soggetti pubblici: si tratta di tutti i soggetti pubblici? Dei soggetti pubblici che svolgono ricerca in ambito sanitario? Dei soggetti pubblici senza scopo di lucro?

Forse una delimitazione soggettiva più chiara non avrebbe guastato.

Uso secondario dei dati (comma 2)

Una delle disposizioni più innovative è contenuta nell’art. 8 comma 2.

La norma legittima l’uso secondario di dati personali già raccolti, purché privi di elementi identificativi diretti: quindi pseudonomizzati. Si prevede poi l’obbligo di fornire l’informativa, precisando che tale adempimento può essere assolto anche mediante pubblicazione generale sul sito web del titolare.

Inoltre – in carenza di un richiamo espresso – si ritiene che i dati possano essere trattati senza la valutazione di compatibilità di cui all’art. 6 par. 4 GDPR.

Finanziamenti e agevolazioni



Agricoltura

 

Senza dubbio una amplissima apertura che consentirà di riutilizzare i numerosi dati già raccolti, anche appartenenti alle categorie particolari, per le nuove finalità di ricerca nel campo AI, senza il problema di avere una specifica base giuridica (consenso o interesse pubblico).

Ciò non toglie che seppure chi scrive abbia sempre sostenuto la necessità di una apertura verso l’uso secondario dei dati, non si può negare che un richiamo all’art. 89 GDPR (come previsto dall’art. 5 lett. b) non avrebbe guastato e che la previsione della pubblicazione sul sito web dovrebbe precedere l’inizio del trattamento per un tempo congruo, come previsto artt. 13, par. 3, e 14, par. 4).

Anonimizzazione, pseudonimizzazione e dati sintetici (comma 3)

Il terzo comma dell’articolo 8 introduce una disciplina specifica per i processi di trasformazione dei dati personali.

La norma stabilisce che negli ambiti sopra previsti e per l’articolo 2-sexies, comma

2, lettera v) Cod priv. (cioè programmazione, gestione, controllo e valutazione dell’assistenza sanitaria, ivi incluse l’instaurazione, la gestione, la pianificazione e il controllo dei rapporti tra l’amministrazione ed i soggetti accreditati o convenzionati con il servizio sanitario nazionale)  “è sempre consentito, previa informativa all’interessato…il trattamento per finalità di anonimizzazione, pseudonimizzazione o sintetizzazione dei dati personali, anche appartenenti alle categorie particolari di cui all’articolo 9, paragrafo 1, del medesimo regolamento (UE) 2016/679.”

Anche in questo caso: ampio plauso ad una norma che stabilisce – finalmente – una base giuridica ex lege per l’anonimizzazione e la sintetizzazione dei dati; quest’ultimo trattamento peraltro di particolare interesse, considerato che i “dati sintetici” rappresentano una frontiera emergente nella ricerca sanitaria.

Richiedi prestito online



Procedura celere

 

Qualche dubbio sorge sull’inserimento in questo elenco del trattamento di pseudonimizzazione.

Più esattamente la domanda è: perché c’è stato “bisogno” di precisare che la pseudonimizzazione “è sempre consentita”?

Sulla anonimizzazione e sulla sintetizzazione c’è stato un ampio dibattito sulla necessità o meno di base giuridica ad hoc (e quindi questa previsione legislativa espressa ci è molto utile), ma sulla pseudonimizzazione non mi pare ci fosse questo bisogno.

Onestamente non ho capito la ratio della previsione.

Il ruolo di AGENAS nelle linee guida (comma 4)

Nuovi possibili compiti per AGENAS che, previo parere del Garante Privacy, può emanare ed aggiornare linee guida per le procedure di anonimizzazione e per la creazione di dati sintetici.

Si tratta solo di una possibilità (non di un obbligo)

Questa previsione conferisce però all’Agenzia un ruolo di primo piano nella definizione degli standard tecnici per l’applicazione pratica delle disposizioni normative, tenendo conto degli standard internazionali e dello stato dell’arte tecnologico.

Finanziamenti personali e aziendali



Prestiti immediati

 

Obbligo di comunicazione al Garante (comma 5)

A bilanciare le aperture al trattamento di cui sopra, intervengono alcuni obblighi di trasparenza e controllo.

Cancellata la previsione del parere del Comitato Etico (contenuto nella precedente versione), è rimasto un obbligo di comunicazione al Garante. Il che di per sé può avere senso, ma il problema è che la formulazione della norma è, a dir poco, criptica.

Si stabilisce infatti che i trattamenti di dati di cui ai commi 1 e 2 (quelli sulle base del rilevante interesse pubblico e quelli per uso secondario) “devono essere comunicati al Garante con l’indicazione di tutte le informazioni previste dagli articoli 24, 25, 32 e 35 del regolamento (UE) 2016/679, nonché con l’indicazione espressa, ove presenti, dei soggetti individuati ai sensi dell’articolo 28 del medesimo..”

Ora non è veramente chiaro cosa sarà da inviare al Garante.

L’art. 24 prevede infatti le generali responsabilità del Titolare, l’art. 25 la privacy by design e by default ed il 32 le misure di sicurezza del trattamento: in tutti questi casi si tratta di obblighi e non di documenti.

L’unico richiamo chiaro è quello all’art. 35 – la valutazione di impatto sulla Protezione dei Dati (DPIA): in questo caso si tratta infatti di un documento scritto (che peraltro, se ben fatto, deve essere ampio e completo) e che quindi può senza dubbio essere trasmesso al Garante (insieme all’elenco dei responsabili ex art. 28).

Quest’ultimo ha poi 30 gg per valutare i documenti e dopo il trattamento può iniziare.

Finanziamenti e agevolazioni



Agricoltura

 

Una previsione di silenzio assenso (che nel nostro ordinamento è un atto amministrativo di natura autorizzativa) senza dubbio ottimo per l’innovazione, ma a rischio nelle eventuali ispezioni successive che il Garante potrà compiere.

Legge AI, disposizioni in materia di trattamento di dati personali (art. 9)

Uno sguardo infine all’art. 9.

In primo luogo la norma è espressamente riferita anche alle particolari categorie di dati (richiamo che immotivatamente non si trova nell’art. 8) e rinvia ad un decreto del Ministero della Salute da emanare entro 120 gg dalla pubblicazione in GU della legge.

Per quanto riguarda poi l’ambito di applicazione del futuro decreto ministeriale sembra di poter affermare che l’art. 9 potrà trovare applicazione per tutta la ricerca scientifica diversa da quella dell’art. 8: più esattamente, mentre l’art. 8 riguarda la ricerca scientifica “nella realizzazione di sistemi di AI”, l’art. 9 verrà applicato a tutti i trattamenti di dati, anche per uso secondario,  la cui finalità sia di ricerca scientifica e sperimentazione tramite sistemi di IA e machine learning, nonché all’interno di sandbox.

La norma poi richiama le “modalità semplificate” consentite dal GDPR: tale richiamo appare di particolare interesse in quanto richiede l’inserimento nel decreto delle deroghe e le facilitazioni previste dal GDPR per i trattamenti destinati alla ricerca scientifica, in particolare quelle contemplate dall’articolo 89 del Regolamento.

La stesura del decreto non sarà poi mera opera del Ministero, ma dovrà vedere il coinvolgimento non solo del Garante Privacy, ma altresì degli enti di ricerca, dei presidi sanitari (definizione non molto chiara nel nostro ordinamento) nonché le autorità e gli operatori del settore (categoria decisamente ampia).

Se vogliamo veramente metterci 120 dobbiamo cominciare a lavorare da subito.

Prestito condominio



per lavori di ristrutturazione