Referti medici e intelligenza artificiale: il Garante privacy avverte sui rischi di un uso scorretto

Il Garante per la protezione dei dati personali ha richiamato l’attenzione su un fenomeno in rapida diffusione: il caricamento di referti medici, analisi cliniche, radiografie e altri dati sanitari su piattaforme di intelligenza artificiale generativa, con la richiesta di interpretazioni o diagnosi. Secondo l’Autorità, questa pratica è allarmante sia per il pericolo di perdere il controllo su informazioni estremamente sensibili, sia per il rischio di affidarsi a sistemi che non sono progettati o certificati come dispositivi medici e che, di conseguenza, possono fornire indicazioni errate.

Il Garante invita gli utenti a valutare con estrema cautela l’opportunità di condividere dati sanitari con fornitori di IA generativa e a non fare affidamento in maniera esclusiva sulle risposte prodotte da tali sistemi, le quali dovrebbero sempre essere verificate da un professionista della salute. Sotto il profilo della protezione dei dati, l’Autorità raccomanda di leggere attentamente le informative sulla privacy per comprendere se i referti caricati vengano cancellati dopo l’elaborazione o conservati, ad esempio, per l’addestramento degli algoritmi. Molti servizi noti di IA generativa offrono la possibilità di decidere la sorte dei dati caricati, ma questa scelta deve essere esercitata in modo consapevole.

Il principio della supervisione umana qualificata, riconosciuto dal Regolamento europeo sull’IA e dal Consiglio Superiore di Sanità, deve essere garantito in tutte le fasi del ciclo di vita di un sistema di intelligenza artificiale, dallo sviluppo all’addestramento, fino ai test e alla convalida, prima della messa in commercio o dell’utilizzo. Tale intervento umano è considerato imprescindibile per prevenire errori che possano avere conseguenze dirette sulla salute delle persone.

Il tema era già stato affrontato dall’Autorità nel decalogo del 2023 per la realizzazione di servizi sanitari nazionali basati su sistemi di IA, in cui venivano evidenziati, tra gli altri, la necessità di un presupposto di liceità del trattamento, l’obbligo di una valutazione d’impatto preventiva e l’adozione di misure di trasparenza e sicurezza. Il Garante ha inoltre rinnovato l’allerta agli sviluppatori di IA e agli operatori del settore sanitario sui rischi derivanti dalla raccolta massiva di dati personali dal web per finalità di addestramento, già evidenziati nel documento sul web scraping pubblicato nel maggio 2024.

Il messaggio dell’Autorità è netto: l’intelligenza artificiale può costituire un valido supporto alla pratica medica, ma non deve sostituirsi alla competenza clinica né compromettere la protezione dei dati sanitari. Solo un uso consapevole da parte dei cittadini e uno sviluppo tecnologico responsabile da parte delle imprese possono garantire che innovazione e tutela dei diritti fondamentali procedano di pari passo.