La domanda viene spontanea ogni qual volta viene scoperto l’uso non autorizzato di dati sanitari di pazienti. Considerando il grande potenziale che l’intelligenza artificiale (IA) ha per la medicina, occorre affrontare il tema in modo sistematico e trasparente.
Nei giorni scorsi ha suscitato una vasta eco il progetto segreto Nightingale di Google rivelato dal Wall Street Journal in cui il gigante del web lavora dal 2018 con Ascension, una mutua americana, raccogliendo dati clinici sensibili, compresi i nomi dei pazienti e le date di nascita, per progettare una nuova generazione di sistemi clinici basati sull’IA.
In passato ci sono stati altri episodi simili in cui aziende del settore IT, in collaborazione con istituzioni sanitarie e ospedali, hanno raccolto e trattato dati sensibili, più o meno anonimi, senza avere alcun consenso da parte dei pazienti.
Certamente occorrono grandi volumi di dati per sviluppare, addestrare e perfezionare sistemi di IA per la medicina. I dati che questi sistemi devono ingerire, utilizzare e conservare, riguardano informazioni sensibili dei pazienti il cui uso è regolamentato in Europa dal GDPR e negli USA dall’HIPAA.
In teoria i sistemi di IA lavorano con dati anonimi, ossia privi di elementi utili a identificare le persone. Tuttavia più sono le informazioni che questi sistemi raccolgono e correlano, maggiore è il rischio di poter identificare una persona dal suo profilo demografico, sociale e clinico.
La quantità e la varietà di informazioni sono anche necessarie per ridurre o eliminare la distorsione algoritmica, ossia l’errore che le persone che addestrano l’IA possono determinare per diverse ragioni (pregiudizio, carenza di dati, ipotesi iniziali errate, etc..).
L’IA, per essere efficace e precisa, ha quindi bisogno di grandi quantità di dati e di un livello di dettaglio approfondito. Come è dunque possibile conciliare questa esigenza con il legittimo diritto alla privacy?
Le attuali norme sulla privacy sono state emanate prima del grande e rapido sviluppo dell’IA e sono soprattutto focalizzate sul trattamento dei dati per la cura dei pazienti. Concetti come la “pertinenza” e la “non eccedenza” non si conciliano molto con l’IA e, in particolare, con alcune branche di essa come il data mining e il deep learning.
Sarebbe quindi necessario, in tempi rapidi, affrontare la cosa, possibilmente però mettendo insieme allo stesso tavolo medici, ricercatori, tecnici IT e avvocati (non solo questi ultimi). Bisognerebbe regolare questo ambito in modo specifico, cercando di salvaguardare il diritto alla privacy senza castrare la ricerca medica e scientifica.
Facile a dirsi ma difficile da realizzare. In alcuni paesi, come ad esempio in Finlandia, sono alcune istituzioni universitarie e di ricerca che detengono questi dati e che ne regolano l’accesso e l’uso da parte delle aziende che sviluppano soluzioni basate sull’IA, in modo chiaro e trasparente.
Altro aspetto che potrebbe essere regolato è la donazione dei propri dati a fini scientifici e di ricerca. È un ambito questo di grande interesse che potrebbe avere in tempi brevi un grande sviluppo.