Intelligenza Artificiale servizi sanitari nazionali
Decalogo per la realizzazione di servizi sanitari nazionali attraverso sistemi di Intelligenza Artificiale – settembre 2023. Garante Privacy
Le basi giuridiche del trattamento
Il trattamento di dati sulla salute da parte di soggetti che perseguono compiti di interesse pubblico deve necessariamente fondarsi sul diritto dell’Unione o degli Stati membri, che deve essere proporzionato alla finalità perseguita, rispettare l’essenza del diritto alla protezione dei dati e prevedere misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato (art. 9, par. 2, lett. g) del Regolamento; cfr. sul punto sentenza della Corte Costituzionale n. 20 del 2019).
Tale disposizione ha trovato attuazione nell’art. 2-sexies del Codice, in base al quale i trattamenti delle particolari categorie di dati tra cui rilevano quelli sulla salute sono ammessi solo qualora siano previsti dal diritto dell’Unione europea ovvero, nell’ordinamento interno, da disposizioni di legge o di regolamento o da atti amministrativi generali che specifichino i tipi di dati che possono essere trattati, le operazioni eseguibili e il motivo di interesse pubblico rilevante, nonché le misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato.
IA
L’elaborazione di dati sulla salute attraverso tecniche di IA richiama i concetti di profilazione e di decisioni sulla base di processi automatizzati con riferimento ai quali si rappresenta che, nell’ambito dei trattamenti svolti per motivi di interesse pubblico, l’uso di tali strumenti è consentito solo se espressamente previsto dal diritto degli Stati membri, nel rispetto di misure adeguate a tutela dei diritti, delle libertà e dei legittimi interessi degli interessati (considerando 71 e art. 22, par. 4, del Regolamento).
Pertanto, in base al combinato disposto delle disposizioni sopra richiamate, operata una preliminare valutazione in ordine alla necessità di tali trattamenti1, è necessario che gli stessi siano previsti da uno specifico quadro normativo avente le caratteristiche sopra richiamate.
A tale riguardo, si ricorda che in base all’art. 36, par. 4 del Regolamento, gli Stati membri consultano l’Autorità di controllo durante l’elaborazione di un atto legislativo o di misura regolamentare che prevede il trattamento di dati personali. Ciò, anche la fine di supportare gli stessi nella predisposizione di una base giuridica del trattamento chiara e precisa e prevedibile per le persone che vi sono sottoposte, in conformità alla giurisprudenza della Corte di giustizia dell’Unione europea e della Corte europea dei diritti dell’uomo (considerando 41 del Regolamento)