La legge sull’AI apre nuovi orizzonti per la ricerca scientifica

È stata approvata in via definitiva la Legge sull’Intelligenza Artificiale, che definisce come l’Italia intende applicare i principi del nuovo Regolamento europeo sull’IA (AI Act 2024/1689). Tra i diversi ambiti interessati, uno dei più importanti riguarda la ricerca scientifica in sanità, dove si introducono regole nuove per l’utilizzo dei dati dei pazienti, la gestione della privacy e lo sviluppo di sistemi di Intelligenza Artificiale a scopo medico.

Una base legale per l’uso dei dati

L’articolo 8 è il punto centrale per chi lavora nella ricerca medica e biomedica: stabilisce che i dati utilizzati per sviluppare sistemi di IA destinati alla sanità sono considerati di "rilevante interesse pubblico". In questi casi specifici, quindi, i ricercatori non dovranno più chiedere il consenso esplicito del paziente, perché la base giuridica non sarà più il consenso individuale ma l’interesse pubblico, legato al progresso scientifico e alla tutela della salute collettiva. Il Garante per la Privacy, tuttavia, ha già segnalato che andranno definiti con maggiore precisione i tipi di dati che potranno essere trattati, le finalità e le garanzie.

Inoltre, non tutti potranno beneficiare di questo nuovo regime, che è riservato solo ai seguenti soggetti autorizzati:

• enti pubblici e privati senza scopo di lucro, come università, ospedali e fondazioni,
• IRCCS,
• aziende private che partecipano a progetti di ricerca.

Possibilità di riutilizzo dei dati già raccolti

Una delle novità più significative è la possibilità di riutilizzare dati sanitari raccolti in passato (per studi o motivi clinici), a condizione che siano pseudonimizzati, cioè privi di informazioni che permettano di risalire direttamente all’identità della persona. In questi casi non sarà necessario richiedere un nuovo consenso ma sarà sufficiente pubblicare un avviso informativo, ad esempio sul sito web dell’ente di ricerca o dell’ospedale.

Questa è un’apertura che potrebbe favorire lo sviluppo di nuovi progetti di ricerca sull’IA medica, basati su grandi quantità di dati reali già raccolti, mantenendo però tutele adeguate per la privacy dei cittadini.

Dati anonimi e sintetici: un passo avanti per la ricerca

È sempre consentito trattare i dati personali per anonimizzarli, pseudonimizzarli o generare dati sintetici. Vediamo più nel dettaglio cosa significa:

• Anonimizzazione = eliminare ogni elemento che possa ricondurre a una persona esistente.
• Pseudonimizzazione = sostituire i dati identificativi con codici, mantenendo la possibilità di risalire all’individuo solo in casi autorizzati.
• Dati sintetici = dati artificiali (creati dai sistemi di AI) che imitano i dati reali ma non appartengono a persone vere: rappresentano una nuova frontiera per condurre studi senza rischiare di violare la privacy.

Questa è una novità positiva perché offre una base legale chiara per operazioni fondamentali nella ricerca scientifica, troppo spesso rallentate da incertezze normative.

Obbligo di comunicazione al Garante

Le strutture che tratteranno i dati sanitari nell’ambito della legge dovranno comunque, in ogni caso, informare il Garante Privacy prima di iniziare i trattamenti. La comunicazione dovrà includere le misure di sicurezza adottate, la valutazione d’impatto sulla protezione dei dati (DPIA) e, se presenti, l’elenco dei responsabili del trattamento. Il Garante avrà 30 giorni per esaminare la documentazione; se non risponderà entro questo termine, il trattamento potrà partire automaticamente. Una procedura innovativa che mira a semplificare e velocizzare i progetti di ricerca, pur mantenendo un controllo istituzionale.

Resta da definire nel dettaglio quanto previsto dall’articolo 9, che riguarda anche le categorie particolari di dati e rinvia a un decreto del Ministero della Salute da emanare entro 120 giorni dalla pubblicazione in Gazzetta Ufficiale. Il decreto dovrà disciplinare i trattamenti di dati (anche per uso secondario) la cui finalità sia la ricerca scientifica e la sperimentazione tramite sistemi di IA e machine learning, anche all’interno di sandbox, prevedendo le “modalità semplificate” consentite dal GDPR, in particolare quelle richiamate dall’articolo 89. La sua stesura non sarà affidata al solo Ministero, ma richiederà il coinvolgimento del Garante Privacy, degli enti di ricerca, dei presidi sanitari, oltre che delle autorità e degli operatori del settore.

In conclusione

La nuova legge sull’IA introduce una cornice chiara per la ricerca scientifica sanitaria:

• riconoscendo la ricerca con IA come attività di interesse pubblico;
• permettendo di riutilizzare dati già raccolti, con adeguate tutele;
• definendo regole per anonimizzazione e dati sintetici;
• coinvolgendo AGENAS e il Garante per garantire sicurezza e trasparenza;
• prevedendo un decreto attuativo per estendere le regole alla ricerca più ampia.

È un primo passo importante in questa direzione, che punta a favorire l’innovazione per il futuro della sanità e, al tempo stesso, a proteggere i diritti dei pazienti, creando le condizioni per uno sviluppo responsabile dell’intelligenza artificiale nella ricerca medica.

Fonte: Agenda Digitale. Leggi qui l’articolo originale.