Riutilizzo dei dati dei pazienti nella ricerca scientifica per addestrare i sistemi di intelligenza artificiale – considerazioni importanti sul GDPR
Nel fase di scoperta della ricerca scientifica, i sistemi di intelligenza artificiale possono essere utilizzati per esaminare brevetti e identificare potenziali nuovi farmaci per i trial clinici. Se un’organizzazione sviluppa internamente il proprio sistema di intelligenza artificiale senza utilizzare dati dei pazienti, l’AI Act non dovrebbe applicarsi, poiché rientrerebbe nell’esenzione per ricerca. Allo stesso modo, il GDPR non è rilevante in tali casi poiché non vengono elaborati dati personali.
Tuttavia, quando si utilizzano dati dei pazienti per addestrare un sistema di intelligenza artificiale, il GDPR diventa applicabile. I dati dei pazienti possono provenire da varie fonti, tra cui cartelle cliniche raccolte da istituzioni come il NHS, registri volontari in cui i pazienti acconsentono a condividere i propri dati per la ricerca, o dati ottenuti da precedenti trial clinici. Tuttavia, questi set di dati sono stati originariamente raccolti per scopi specifici, rendendo necessaria una valutazione per determinare se possono essere riutilizzati per addestrare modelli di intelligenza artificiale.
Valutazione della compatibilità per l’uso secondario dei dati dei pazienti
Il GDPR include un principio di limitazione della finalità, che impone che i dati personali debbano essere raccolti per una finalità specifica, esplicita e legittima e non devono essere ulteriormente elaborati in modo incompatibile con tale finalità. Se i dati devono essere riutilizzati per un’altra finalità, è necessaria una valutazione di compatibilità. Diversi fattori influenzano questa valutazione:
- Collegamento tra le finalità iniziali e secondarie: più è stretto il collegamento, più è probabile che venga ritenuto compatibile.
- Il contesto e le aspettative ragionevoli dei soggetti interessati: se i soggetti interessati sono stati informati al momento della raccolta riguardo a potenziali usi secondari, il riutilizzo è più probabile che sia giustificato.
- Tipo di dati: più i dati personali sono sensibili (come i dati sulla salute), più ristretta sarà l’ambito di compatibilità.
- Conseguenze per i soggetti interessati: devono essere valutate sia le conseguenze positive che negative.
- Esistenza di salvaguardie appropriate: misure come crittografia, pseudonimizzazione, trasparenza e opzioni di opt-out devono essere considerate.
Il principio di limitazione della finalità mira a mantenere il controllo degli individui sui propri dati e a prevenire il riutilizzo non autorizzato. Se l’uso secondario è in linea con le aspettative ragionevoli, è più probabile che venga ritenuto compatibile. È importante notare che la ricerca scientifica è generalmente considerata un uso secondario compatibile, a condizione che siano presenti salvaguardie appropriate.
Ricerca scientifica e conformità al GDPR
Il GDPR non definisce esplicitamente la “ricerca scientifica”, ma il Considerando 159 suggerisce un’interpretazione ampia, che copre lo sviluppo tecnologico, la ricerca fondamentale e applicata, e studi finanziati privatamente o pubblicamente. Il European Data Protection Board (EDPB) consiglia che la ricerca scientifica deve aderire a standard etici e metodologici consolidati. Sia la fase di scoperta che la ricerca clinica seguono tipicamente metodi o protocolli rigorosi, quindi dovrebbero qualificarsi come ricerca scientifica.
Sebbene l’EDPB avesse pianificato di emettere linee guida nel 2021 sulla definizione di ricerca scientifica e sulle salvaguardie appropriate da adottare, ciò non si è ancora materializzato. Data questa incertezza, è consigliabile non assumere una compatibilità automatica, ma condurre una valutazione di compatibilità approfondita.
Risultati della valutazione di compatibilità
Se l’uso secondario è incompatibile con la raccolta iniziale, i dati non possono essere riutilizzati per la finalità secondaria a meno che tale elaborazione possa basarsi sul consenso del soggetto interessato o su una legge dell’Unione o di uno Stato membro che salvaguardi obiettivi di interesse pubblico importanti (ad es. salute pubblica).
Se l’uso secondario è compatibile con la raccolta iniziale, è possibile fare affidamento sulla base giuridica utilizzata per la raccolta iniziale dei dati. Tuttavia, devono comunque essere rispettati tutti gli altri principi di protezione dei dati per l’ulteriore elaborazione, tra cui fornire informazioni ai soggetti interessati sull’ulteriore elaborazione e sui diritti dei soggetti interessati, nonché effettuare una valutazione dell’impatto sulla protezione dei dati se necessario. La valutazione di compatibilità e le misure adottate devono essere documentate per soddisfare il principio di responsabilità.
Eccezioni ai sensi dell’Articolo 9 del GDPR per l’elaborazione dei dati sanitari
Anche quando un uso secondario è ritenuto compatibile, è necessaria un’ulteriore eccezione ai sensi dell’Articolo 9 del GDPR per l’elaborazione dei dati sanitari. Le potenziali eccezioni includono:
- Consenso esplicito (art. 9(2)(a)).
- Motivi di interesse pubblico nell’ambito della salute pubblica basati su legge dell’Unione o di Stato membro (art. 9(2)(i)).
- Ricerca scientifica basata su legge dell’Unione o di Stato membro e adozione di salvaguardie appropriate (art. 9(2)(j)).
Conclusione
L’utilizzo dei dati dei pazienti per lo sviluppo o l’addestramento di sistemi di intelligenza artificiale utilizzati per la ricerca scientifica richiede un’attenta considerazione normativa. Quando sono coinvolti dati dei pazienti, la conformità al GDPR diventa cruciale, e le organizzazioni devono valutare la compatibilità dell’uso secondario dei dati oltre agli altri principi e obblighi del GDPR.
