L’Intelligenza Artificiale nel campo della sanità: gli effetti delle recenti modifiche al Codice Privacy

Il Decreto PNRR ha introdotto modifiche significative al Codice Privacy, ridefinendo le basi giuridiche per il trattamento dei dati personali e ponendo l’accento sulla necessità di una gestione sicura ed etica delle informazioni.

Un’attenzione necessaria anche in vista dell’innesto dell’intelligenza artificiale nell’assistenza sanitaria, un settore sensibile e cruciale dove l’impiego dell’IA può portare enormi benefici ma che richiede anche particolari accortezze. La Piattaforma AI dell’AGENAS rappresenta uno degli esempi d’avanguardia in Italia di come l’utilizzo dei dati possa essere finalizzato a migliorare i servizi sanitari, rispettando al contempo la normativa vigente.

Ma quali sono le implicazioni del trattamento dei dati sanitari alla luce della nuova normativa? E quale ruolo può giocare la pseudonimizzazione dei dati nel sistema sanitario?

Le sfide per la protezione dei dati personali 

Le modifiche al codice privacy introdotte dal Decreto PNRR - Il Decreto-Legge 19/2024 (“Decreto PNRR”) ha modificato l’art. 2-sexies del codice privacy è stato approvato mercoledì 23 aprile: analizziamo allora la modifica per contestualizzarla nel più ampio scenario della spinta del Piano nazionale di ripresa e resilienza (PNRR) verso la sanità digitale. Infatti, la costruzione “a tappe forzate” del PNRR – nel quale i singoli obiettivi devono essere raggiunti entro scadenze precise, pena la perdita dei fondi europei – sta creando notevoli sfide per la protezione dei dati personali ad opera dei player istituzionali coinvolti non solo nella messa a punto, ma anche nella futura gestione del relativo sistema: Ministero della Salute, Istituto Superiore di Sanità (ISS), Agenzia nazionale per i servizi sanitari regionali (AGENAS), Agenzia Italiana per il farmaco (AIFA), Istituto nazionale per la promozione della salute delle popolazioni migranti e per il contrasto delle malattie della povertà (INMP).

L’importanza della base giuridica nel trattamento dei dati personali - Perché un trattamento di dati personali sia legittimo, deve esistere un’idonea base giuridica, che in concreto è la risposta alla domanda “a che titolo può avvenire questo trattamento?”. Nel GDPR, per le categorie particolari di dati personali (o, nella dicitura italiana, “dati sensibili”) fra cui i dati relativi alla salute, questa risposta inizia con l’art. 9, che al par. 1 ne vieta il trattamento, ma nelle lettere da a) a j) del par. 2 lo ammette in specifici casi e a determinate condizioni. Secondo l’art. 9.2, lettera g) del GDPR, il divieto sancito in generale dall’art. 9.1 non vale quando il trattamento è necessario per motivi di interesse pubblico rilevante sulla base del diritto dell’Unione o degli Stati membri, che deve essere proporzionato alla finalità perseguita, rispettare l’essenza del diritto alla protezione dei dati e prevedere misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato. Il trattamento dei dati sensibili nel settore pubblico deve essere supportato da norme europee o nazionali che definiscono misure appropriate e specifiche.

Per proseguire la lettura dell'articolo di Diego Fulco -  Avvocato, Partner netforLegaL, Direttore Scientifico Istituto Italiano Privacy - questo è il link