Intelligenza artificiale e diritto alla salute. Un panorama normativo in evoluzione

L'Intelligenza Artificiale (IA) è certamente una delle tecnologie più importanti del XXI secolo (1), e può essere definita – così, nel 2019, i membri dell'High Level Expert Group on Artificial Intelligence (HLEG) – come un complesso di sistemi software e/o hardware che sono in grado di agire nella dimensione fisica o digitale attraverso l'acquisizione di dati; tali dati, strutturati o non strutturati, sono raccolti e interpretati, consentendo l'elaborazione delle informazioni e la formulazione di decisioni da intraprendere per raggiungere l'obiettivo dato. I sistemi di intelligenza artificiale possono dunque elaborare decisioni a partire da dati, apprendere, e adattare il loro comportamento analizzando come l'ambiente è influenzato dalle loro azioni precedenti (2).

È evidente come le applicazioni dell'IA siano almeno potenzialmente infinite, nel senso che l'intelligenza artificiale può applicarsi a tutti gli ambiti nei quali si applica l'intelligenza umana; e tra queste possibilità applicative, alcune sembrano essere non solo davvero dietro l'angolo, ma anche – o proprio per questo – foriere di questioni etiche, giuridiche e sociali che è urgente gestire con accortezza. L'ambito medico, del quale ci occuperemo in queste pagine, presenta per l'appunto grandi potenzialità applicative (in campo diagnostico, o in alcune applicazioni chirurgiche, o in sistemi per il monitoraggio a distanza, o sistemi di allerta basati sull'IA per dare ai pazienti una maggiore responsabilità nelle loro cure; ancora, nel consentire l'efficienza, la riduzione degli sprechi ad es. di tempo nel caso dello svolgimento di compiti ripetitivi), ma evidenzia anche problemi che è opportuno affrontare per tempo. I sistemi di IA possono infatti consentire il compimento di atti illeciti, ridurre il controllo umano, o rendere i profili di responsabilità meno individuabili; e possono anche erodere le competenze umane, attivando processi di deskilling conseguenti a deleghe di competenze sempre più massicce (3).

Da un lato, tutti questi problemi – così come, ovviamente, tutte le potenzialità – sono particolarmente urgenti quando sono riferiti a un ambito sensibile qual è quello della diritto alla salute: in esso infatti gli elementi di vulnerabilità e i rischi sono certamente più acuti che in altri settori, e nel nostro ordinamento è inteso come strettamente collegato alla relazione di cura e fiducia tra medico e paziente, e in particolare nel consenso informato, nel quale si incontrano la competenza del medico e l'autodeterminazione del paziente, come stabilito dalla l. 219/2017 (4). Dall'altro tali questioni, per la loro radicale novità, non consentono il ricorso a soluzioni e schemi elaborati nel passato, e riferiti a contesti del tutto diversi (5). Si pensi, solo per fare un esempio, ai profili di responsabilità derivanti dai danni che l'IA può produrre in ambito medico: qualunque soluzione normativa sarà adottata, non potrà essere una mera riproposizione di paradigmi del passato, come ad esempio la responsabilità per danno da prodotto difettoso: le possibilità di apprendimento dell'IA, siano esse qualificabili come machine learning o deep learning, sono di principio non riconducibili ai difetti strutturali di un manufatto industriale non intelligente (6).

Come detto, se applicata in ambito medico, l'IA rappresenta un terreno di ricerca incredibilmente fertile, e propone un ventaglio di sfide etiche, giuridiche e sociali davvero complesso (7). È vero che finora le applicazioni dell'IA nel settore sanitario si sono limitate a pochi, ma non irrilevanti settori: sono già in uso software per lo svolgimento di compiti amministrativi (come l'elaborazione del linguaggio naturale per estrarre informazioni dalle note cliniche o la programmazione delle visite), e attività di tipo diagnostico (machine learning e deep learning applicati alla diagnostica per immagini in radiologia, patologia e dermatologia); l'uso delle tecnologie di IA ha inoltre visto un rapido incremento nell'utilizzo durante la pandemia, per la rilevazione del virus, per la rilevazione dei contagi e della diffusione della pandemia, e per l'accelerazione dei processi di tutela della salute (8). Ma è anche vero che ancora manca un quadro normativo chiaro e – soprattutto – omogeneo, che possa guidare l'applicazione dell'IA in tutti gli aspetti che possono essere rilevanti in ambito sanitario: dall'impatto sulla relazione tra medico e paziente alla trasformazione dei processi di acquisizione del consenso, alla gestione dei dati sanitari, ai profili di responsabilità, alla definizione degli obiettivi di reskilling o upskilling del personale sanitario (9).

Quelli appena citati, non a caso, sono aspetti cruciali che emergono dal quadro dell'approccio EU, in particolare dalla soft law di ambito internazionale ed europeo, come avremo modo di vedere rispettivamente nelle sezioni 2 e 3 del presente lavoro. I numerosi documenti elaborati di recente (negli ultimi anni, dal 2018 ad oggi) nell'ambito della guidance a livello internazionale (WHO, UNESCO, COMEST) ed europeo (Commissione Europea, Consiglio d'Europa, Comitati di Bioetica a livello nazionale) hanno identificato sfide etico-giuridiche riguardo all'utilizzo dell'IA in medicina – e al riguardo metteremo in particolare evidenza le implicazioni per il rapporto tra medico e paziente –, di cui tenere in conto nell'elaborazione del quadro normativo in evoluzione. Un quadro normativo, si aggiunga, che si deve confermare coerente al suo interno, nel quale cioè i profili regolativi introdotti per l'IA siano in armonia con quelli già esistenti in materia di ricerca scientifica e sperimentazione, salute e sicurezza dei lavoratori, standard di qualità dei dispositivi medici, tutela dei dati sanitari dei pazienti, e così via.

Sulla base di analisi sviluppate negli ultimi anni, e confluite in documenti come gli Orientamenti Etici per una IA affidabile dell'HLEG (10), o le Recommendations of the Council on Artificial Intelligence dell'OECD (11), è possibile affermare che ad oggi siano emersi cinque principi cardine per una regolamentazione dell'Intelligenza Artificiale: beneficenza, non maleficenza, autonomia, giustizia e trasparenza. Principi, questi, che sono peraltro mutuati da una ben più risalente tradizione di riflessione in ambito bioetico, ma che oggi costituiscono la struttura assiologica di fondo dell'approccio EU alla regolamentazione dell'Intelligenza Artificiale. Di seguito consideriamo nel dettaglio i documenti su IA elaborati nell'ambito della Commissione Europea e che hanno orientato la Proposta di Regolamento sull'Intelligenza Artificiale.

A livello della Commissione Europea, come abbiamo già menzionato, l'High Level Expert Group on Artificial intelligence, negli Orientamenti etici per un'IA affidabile (aprile 2019) (12) ha sottolineato la necessità di preservare la dimensione "umano-centrica" (human-centric)delle nuove tecnologie mentre lo European Group on Ethics and New Technologies (EGE) ha affermato l'importanza "che gli esseri umani - e non i computer e i loro algoritmi - debbano in definitiva mantenere il controllo, e quindi essere moralmente responsabili". Il Libro bianco della Commissione europea del 2020 sull'intelligenza artificiale riporta che "le caratteristiche specifiche di molte tecnologie di intelligenza artificiale, incluso (...) un comportamento parzialmente autonomo, possono rendere difficile la verifica del rispetto e possono ostacolare l'effettiva applicazione delle norme del diritto UE esistente per proteggere i diritti fondamentali” (13), mentre l'Agenzia dell'Unione Europea per i diritti fondamentali (FRA) ha pubblicato Getting the Future Right – Artificial Intelligence and Fundamental Rights nel 2020 (14).

In questo senso, va segnalato che il lavoro complessivo dell'AI HLEG è stato fondamentale per lo sviluppo dell'approccio della Commissione all'intelligenza artificiale. Il concetto di affidabilità (trustworthiness) e i 7 requisiti chiave, introdotti dagli “Orientamenti etici” del 2019, stanno guidando gli sviluppi legislativi nell'ambito dell'intelligenza artificiale. Il documento individua gli elementi per una IA affidabile: la legalità (l'IA affidabile deve rispettare le leggi in vigore e la regolamentazione esistente), l'eticità (l'IA affidabile deve garantire aderenza ai principi etici e ai valori); la robustezza (l'IA affidabile deve essere robusta sia dal punto di vista tecnico sia dal punto di vista sociale, perché i sistemi di IA, anche con intenzioni buone, possono causare danni non intenzionali). Inoltre, identifica e descrive i principi etici che devono essere rispettati al fine di garantire l'eticità e la robustezza dell'IA: il rispetto dell'autonomia umana (gli esseri umani che interagiscono con i sistemi di IA devono poter mantenere la propria piena ed effettiva autodeterminazione; i sistemi di IA devono essere progettati per aumentare integrare e potenziare le abilità cognitive, sociali, e culturali umane), la prevenzione dei danni (i sistemi di IA non devono causare danni né aggravarli e neppure influenzare negativamente gli esseri umani, per cui occorre tutelare la dignità umana nonché l'integrità fisica o psichica), l'equità (i sistemi di IA devono essere equi garantendo una distribuzione giusta ed equa di costi e di benefici e garantendo che gli individui e i gruppi siano liberi da distorsioni inique, discriminazioni e stigmatizzazioni) e la spiegabilità/esplicabilità (i processi devono essere trasparenti, le capacità e lo scopo dei sistemi di IA devono essere comunicati apertamente e le decisioni devono poter essere spiegate). Nel documento sono inoltre raccolti i requisiti necessari per un'IA affidabile, e tra essi si afferma la necessità dell'intervento e della sorveglianza dell'essere umano sullo svolgimento e le applicazioni dei sistemi di IA (15).

E' interessante il fatto che tra gli esempi di opportunità offerte da una IA affidabile, viene riportato proprio quello della salute e del benessere: le tecnologie di IA affidabili possono essere utilizzate per rendere le terapie più mirate e contribuire a prevenire malattie potenzialmente letali; i medici e gli operatori sanitari possono potenzialmente eseguire un'analisi più accurata e dettagliata dei complessi dati sanitari di un paziente, anche prima che si ammali, e prescrivere una terapia preventiva ad hoc; l'IA affidabile può contribuire a diagnosticare precocemente le malattie, e a sviluppare medicinali in modo più efficiente (cfr. n. 125, 126). In modo analogo, nel documento della European Union Agency for Fundamental Rights (FRA), “Getting the Future Right”, del 2020 (16), emergono alcuni rischi legati all'uso dell'IA in ambito sanitario, e la corrispondente necessità di una tecnologia affidabile: ciò ad esempio in relazione al rischio del c.d. bias di automazione, o alla possibilità che gli utenti (i medici) possano essere indotti a fare affidamento su di essa troppo facilmente e a dedicare meno attenzione alla propria capacità diagnostica, soprattutto nei casi più complessi.

Sempre in ambito UE, è importante ricordare come lo European Group on Ethics in Science and New Technologies (EGE) avesse trattato il tema degli aspetti dell'utilizzo delle nuove tecnologie nell'ambito della salute (tra cui i big data e le applicazioni basate su intelligenza artificiale) e la svolta partecipativa della medicina basata su tali tecnologie, nel parere riguardo a New Health Technologies and Citizen Participation del 2015 (17). In tale parere viene evidenziato che l'utilizzo delle nuove tecnologie sta cambiando profondamente il coinvolgimento dei cittadini riguardo ai temi della salute e sta trasformando anche la relazione tra medico e paziente. Assieme ai notevoli benefici (maggiore autodeterminazione/autonomia, empowerment dei pazienti, miglioramento dello stile di vita, proattività nella gestione della propria salute, accessibilità dei medici attraverso la telemedicina, partecipazione attiva nel decision-making in ambito sanitario) vi sono anche dei rischi a livello etico, ad esempio la perdita del contatto personale con il medico quando serve avere un contatto personale diretto, la tendenza all'auto-diagnosi, auto-medicazione e addirittura auto-sperimentazione, senza consultazione medica; la digitalizzazione della relazione con il medico e la potenziale sostituzione del medico; inoltre, il rischio di danni che possono essere generati dall'utilizzo di app di mobile health senza supervisione medica o dai danni causati da test genetici diretti al consumatore praticati senza consulenza (cfr. par. 2.2). L'EGE, in linea con l'esigenza di affidabilità più volte citata, ritiene cruciale mantenere e ricostruire la fiducia tra i pazienti e le autorità mediche nell'evoluzione dell'assistenza sanitaria. Più di recente (2018) lo stesso EGE ha pubblicato lo Statement on Artificial Intelligence, Robotics and so called 'Autonomous' Systems (18). Dopo aver sottolineato in particolare il principio del meaningful human control, secondo cui gli umani – e non i computer e gli algoritmi – devono avere il controllo dei sistemi stessi, e dunque rimanerne responsabili, tale dichiarazione evidenzia una serie di principi alla base di una futura regolamentazione delle applicazioni dell'IA: i principi di dignità umana e autonomia, responsabilità, giustizia, equità e solidarietà, democrazia, stato di diritto e responsabilità, sicurezza, protezione e integrità, protezione dei dati e privacy, sostenibilità. Come vedremo, questi principi rappresentano un riferimento concettuale ineludibile per la proposta di Regolamento sull'IA (19), ormai giunta in fase molto avanzata di discussione, che a sua volta costituisce la sommità di un edificio normativo nel quale si condensa, o si vorrebbe condensare, l'approccio europeo alla materia.

Va detto, prima di analizzare la proposta di Regolamento sull'IA, che questa è materia di difficilissima regolamentazione, per varie ragioni: non solo è segnata da una rapidissima accelerazione negli sviluppi tecnologici, come e più di altre materie, ma si costruisce sulla premessa teorica di una autonomia e imprevedibilità di funzionamento, che rendono parzialmente oscuri i processi interni di elaborazione delle decisioni (il cd. fenomeno della black box) tale per gli output non sono né determinabili ex ante né ricostruibili pienamente ex post (20). Correttamente, pertanto, l'UE ha deciso di adottare un approccio aperto, e flessibile, nel quale la regolazione non si costruisce sulle caratteristiche tecniche dell'IA o sui suoi effetti, ma si struttura sulla base dei rischi che sono collegati all'uso di tali tecnologie. In questa prospettiva, le norme e i principi applicabili vengono individuati sulla base di una ripartizione delle tecnologie in tre categorie di rischio, in virtù della quale esistono pratiche e applicazioni dell'IA proibite, ad alto rischio, e a rischio basso o moderato.

Nella prima categoria, dunque, rientrano le applicazioni dell'IA che, per i rischi che presentano rispetto alla lesione dei diritti fondamentali, sono considerate sempre (o quasi sempre) inammissibili. Tra queste, l'identificazione biometrica in tempo reale (con poche eccezioni per ragioni legate a indagini di polizia e per la tutela delle vittime di reati, o per la protezione della vita e della sicurezza rispetto a pericoli imminenti) e gli algoritmi per il social scoring, ovvero per la classificazione dell'affidabilità delle persone sulla base del loro comportamento, o di tratti specifici, se queste valutazioni utilizzano dati provenienti da un contesto diverso rispetto a quello nel quale le valutazioni saranno utilizzate. Interessante, nella prospettiva dell'IA applicata all'ambito medico, è poi l'inclusione fra le pratiche vietate de “l'immissione sul mercato, la messa in servizio o l'uso di un sistema di IA che sfrutta le vulnerabilità di uno specifico gruppo di persone, dovute all'età o alla disabilità fisica o mentale, al fine di distorcere materialmente il comportamento di una persona che appartiene a tale gruppo in un modo che provochi o possa provocare a tale persona o a un'altra persona un danno fisico o psicologico” (21). È infatti evidente, e confermato da testi normativi nazionali e internazionali, che le persone in contesti sanitari – o come pazienti, o come partecipanti a un trial clinico, ad esempio – sono molto spesso soggetti in condizioni di vulnerabilità, il cui comportamento può essere facilmente distorto e influenzato proprio in ragione di tale vulnerabilità.

La parte più consistente della proposta di regolamento è – comprensibilmente – dedicata alle applicazioni dell'IA ad alto rischio: ovvero a quelle pratiche che sono consentite, ma che per le loro caratteristiche presentano rischi elevati rispetto alla tutela dei diritti delle persone coinvolte. Ora, l'individuazione di tali pratiche è affidata ad un sistema complesso, flessibile, e applicabile a sistemi di IA intesi sia come prodotti autonomi, sia come componenti di altri prodotti: da un lato, essa si basa sullo scopo complessivo del dispositivo di IA, ovvero non solo sulla funzione attribuita in un determinato contesto; dall'altro, si fa riferimento ad una serie di ambiti di applicazione ‘sensibili' elencati nell'Allegato III, che includono l'istruzione e la formazione professionale, l'accesso ai servizi pubblici essenziali, la gestione delle infrastrutture, il controllo dei confini, l'accesso al credito, l'amministrazione della giustizia, e altro ancora (22).

La complessità del sistema, e la sua flessibilità, sono da un lato dovute al fatto che il riferimento agli Allegati consente una più facile e rapida possibilità di aggiornamento, e dall'altro al riferimento – per quanto attiene ai protocolli di sicurezza e alla gestione del rischio – al New Legislative Framework (23), nel cui quadro spetta al produttore effettuare i necessari controlli prima dell'immissione sul mercato di un prodotto, al fine di stabilirne la sicurezza e le prestazioni. L'idea del NLF, e dunque anche l'approccio adottato nell'AIA, è che è il produttore si trova nella posizione migliore per eseguire la procedura di valutazione della conformità agli standard previsti, poiché conosce nel dettaglio il processo di progettazione e produzione. Ed è peraltro un approccio diverso – è bene sottolineare – da quello adottato nell'ambito farmaceutico, ove per contro è una autorità pubblica (l'AIFA, in Italia, o l'EMA in Europa) ad eseguire direttamente una valutazione prima di concedere l'autorizzazione all'immissione in commercio. Oltre a questi aspetti, fra gli obblighi dei produttori è necessario menzionare, anche per l'importanza che tale principio assume in relazione alle tecnologie applicate in ambito medico, la necessaria garanzia di una supervisione umana sull'IA (principio dell'human in the loop), attraverso strumenti di interfaccia che assicurino una minimizzazione dei rischi per la salute, la sicurezza e i diritti fondamentali (24).

Come categoria residuale l'Artificial Intelligence Act (AIA) individua le tecnologie e le applicazioni a basso rischio, nelle quali non è presente né l'uso di dati personali né si sistemi predittivi in grado di influenzare il comportamento umano: si pensi, per fare un esempio, a applicazioni industriali per il controllo dei processi di produzione o la manutenzione preventiva. In tutti questi casi, la circolazione nell'Unione europea è libera, salvi alcuni obblighi di trasparenza in determinati casi: le chatbot, ad esempio, nelle quali la natura artificiale dell'interazione deve essere chiara all'utente, o sistemi di manipolazioni di immagini e video (deepfake).

Ora, è chiaro che questa normativa non cade nel ‘vuoto', mirando anzi a integrarsi e coordinarsi con il sistema normativo esistente nei vari ambiti di applicazione dell'IA. E poiché l'IA applicata alla pratica medica può influire sulla vita fisica e mentale di una persona in modo molto intenso e produrre conseguenze anche gravi, la tutela dei diritti fondamentali della persona non può che realizzarsi modellando le previsioni normative e gli standard con riferimento alle specifiche caratteristiche e agli elementi di vulnerabilità che emergono in tale ambito. Si pensi, per fare un esempio, ai requisiti di trasparenza e spiegabilità che l'HLEG ha indicato come caratteristici di una AI affidabile, e che l'AIA ha assunto come riferimenti per la normativa proposta: come possono declinarsi con riferimento a sistemi di Intelligenza Artificiale applicati alla diagnostica medica? Il principio del consenso libero e informato, e la costruzione di una alleanza terapeutica – certamente principi cardine di tutta la disciplina internazionale in materia – implicano che l'IA possa essere utilizzata in ambito medico solo se i pazienti siano stati adeguatamente informati rispetto al suo funzionamento, e in modo comprensibile? A quale livello di trasparenza si deve giungere, perché il consenso all'uso di un sistema di IA sia davvero libero e informato? (25).

Non tutte le domande possono evidentemente trovare una risposta in un testo normativo che – va detto – non è specificamente dedicato ad un ambito di applicazione, ma adotta una prospettiva molto generale. E tuttavia, alcune questioni specifiche si pongono fin da ora, anche nella prospettiva adottata dall'AIA. In questo senso, poiché il Regolamento sull'Intelligenza Artificiale si applica anche ai sistemi di IA che sono componenti di altri prodotti, esso dovrà coordinarsi con la normativa vigente in materia di dispositivi medici, almeno laddove all'interno di tali dispositivi siano presenti tecnologie di tal genere.

Si deve tener presente che a livello UE la definizione di dispositivo medico è fornita da dall'articolo 1, paragrafo 2, della Direttiva 93/42/CEE [41]: il termine "dispositivo medico" si applica a qualsiasi strumento, compresi i software, destinato dal produttore a essere utilizzati sull'essere umano a fini di diagnosi di una malattia, prevenzione, monitoraggio, trattamento o palliazione. Tuttavia, il sistema normativo europeo in materia muoveva da tre direttive (26), nelle quali era richiesto ai produttori di garantire che i dispositivi da loro prodotti fossero idonei allo scopo per cui sono stati prodotti, ed è stato modificato dal nuovo Regolamento sui dispositivi medici (27) e dal Regolamento sui dispositivi medico-diagnostici in vitro (28). Questa riforma è dipesa dalla consapevolezza che le direttive esistenti – proprio a causa dell'evoluzione tecnologica – non erano più adatte a gestire le questioni più recenti, quali ad esempio l'applicazione dei sistemi di intelligenza artificiale.

In questa prospettiva, una questione di importanza cruciale è quella della definizione degli standard cui i produttori di tecnologie IA si devono attenere, specialmente ove tali tecnologie sono applicate o applicabili in ambito medico. Uno degli obiettivi della proposta di regolamento è infatti quello di consolidare il ruolo dell'Unione nel contribuire alla definizione di norme e standard globali e, in conseguenza di ciò, promuovere un'IA affidabile. La definizione di standard e norme comuni può aiutare produttori e utenti a conformarsi ai requisiti stabiliti riducendo i costi e garantendo, al contempo, una elevata affidabilità dei prodotti: tali standard possono dare ai produttori la certezza di essere conformi ai requisiti previsti dal regolamento UE, incentivando la conformità agli standard tecnici da parte dei fornitori di IA ad alto rischio.

Tuttavia, la caratteristica rapida evoluzione delle tecnologie rende particolarmente complessa la definizione di standard, tanto più quando – come nel caso dell'IA – la velocità dell'innovazione appare davvero vertiginosa, i sistemi sono progettati per auto-modificarsi nel tempo con meccanismi di apprendimento, e sono suscettibili di utilizzi e esiti applicativi differenti a seconda del contesto e dell'utilizzo che ne viene fatto (29). Non ostante ciò, l'AIA individua una prima categoria di sistemi di IA che sono prodotti o componenti di prodotti già coperti dalla normativa del New Legislative Framework, tra i quali vi sono per l'appunto i dispositivi medici. Per tali prodotti, l'AIA si limita a integrare la legislazione settoriale sulla sicurezza, sottolineando che i requisiti speciali per i sistemi ad alto rischio devono essere verificati nell'ambito delle procedure di valutazione di conformità esistenti ai sensi della legislazione pertinente (30).

Ora, è plausibile che gli enti più rilevanti in proposito siano il CEN (European Committee for Standardisation) e il CENELEC (European Committee for Electrotechnical Standardisation), pur se non sono menzionati dalla proposta di Regolamento, insieme ad altri enti che fanno parte del sistema ESO di standardizzazione Europeo, come l'European Telecommunications Standards Institute (ETSI). L'adozione di specifiche comuni per i dispositivi medici non è stata esente da controversie: soprattutto, poiché la natura esplicitamente valoriale della proposta di regolamento sull'IA potrebbe avere effetti dirompenti rispetto al New Legislative Framework, che consente la definizione di standard comuni a istituzioni e enti privati e non coperti da controllo democratico proprio in ragione della pretesa natura tecnica di tali standard. Se pensiamo all'ambito medico, anche al di là degli esempi già fatti in merito ai profili del consenso, la definizione di standard di sicurezza "tecnici" comporta comunque inevitabili scelte di valore, ad esempio in merito alle soglie di rischio accettabili in condizioni di incertezza. In altre parole, e conformemente ad un orientamento della giurisprudenza europea (31) sta progressivamente emergendo che gli organismi privati di standardizzazione, incaricati di emanare i criteri e gli standard all'interno dell'NLF, non possono essere esenti dal controllo giudiziario proprio perché esercitano un potere che non è meramente tecnico, e non può pertanto essere sottratto al controllo giudiziario.

Il caso delle tecnologie mediche, almeno da questo punto di vista, sembra meno problematico. Come già detto, l'AIA si integra con i regolamenti EU in materia di dispositivi medici, e questi prevedono un approccio differente alla definizione degli standard. Il regolamento sui dispositivi medici, anzitutto, si applica indipendentemente dal fatto che tale dispositivo sia un software, un sito web interattivo, un servizio web, una macro in un foglio di calcolo, e dal fatto che l'elaborazione sia semplice o complessa, che vi siano rischi per il paziente, che l'utilizzatore sia un professionista della sanità o un tecnico informatico: il requisito primario per l'applicazione è che il dispositivo sia destinato all'uso in ambito medico con soggetti umani e con i loro dati. In secondo luogo, la classificazione del rischio è specifica, ovvero tiene conto tanto della rilevanza delle informazioni fornite dal dispositivo (se si tratta di informazioni relative alle opzioni diagnostiche o terapeutiche, o tali da guidare la gestione dei trattamenti, o infine se fornisce direttamente una diagnosi), quanto della criticità della malattia o della condizione del paziente.

Fuori dal contesto UE, alcuni importanti testi e linee guida meritano di essere menzionate. Anzitutto, il testo su “Ethics and governance of artificial intelligence for health”, specificamente dedicato alle implicazioni dell'utilizzo dell'IA in ambito sanitario, adottato dal WHO nel 2021 (32). Prima di esso, la Conferenza mondiale del WHO sull'assistenza sanitaria primaria aveva pubblicato la Dichiarazione di Astana (2018), che include principi per l'uso della tecnologia digitale, e che invita a promuovere l'uso razionale e sicuro dell'IA, la protezione dei dati personali, e l'uso della tecnologia per migliorare l'accesso all'assistenza sanitaria, arricchire l'erogazione dei servizi sanitari, migliorare la qualità del servizio e la sicurezza dei pazienti e aumentare l'efficienza e il coordinamento delle cure (33).

Il lavoro dell'UNESCO sulle implicazioni etiche dell'IA ha prodotto il report su “Big data and health” del 2017 (34), che ha identificato elementi rilevanti nella prospettiva di una governance dei sistemi di IA in ambito della salute, e il report della Commissione mondiale sull'etica della conoscenza scientifica e della tecnologia (COMEST) su “Robotics ethics” (2017) (35). L'UNESCO International Bioethics Committee, nel parere del 2017 su Big Data and Health, ha evidenziato alcuni aspetti importanti riguardo alle specificità dell'utilizzo delle tecnologie di machine learning applicate ai Big Data nell'ambito della salute (cfr. n. 36); al rischio di possibili bias e alla difficile trasparenza tecnica degli algoritmi (n. 37) e riguardo all'accuratezza dei dati nel caso di tecnologie bioinformatiche, ad es. nel caso di inaccuratezza ed errori (es. nel caso di algoritmi che presentino bias, imprecisioni, o classificazioni inadeguate), che possono avere implicazioni per il paziente/cittadino e per la società (n. 38). Inoltre, ha evidenziato nel dettaglio la rilevanza etica del consenso informato e del principio di autonomia nell'ambito dell'utilizzo dei big data in ambito sanitario, e ha considerato le questioni legate a privacy e confidenzialità, salute individuale e solidarietà e benefit-sharing, giustizia e sostenibilità.

Più di recente, il documento UNESCO sull'etica dell'intelligenza artificiale (36) offre orientamenti per tutti gli stakeholder, sia nel settore pubblico che nel settore privato, elaborando una base per una valutazione etica dell'impatto dei sistemi di IA attraverso il loro intero ciclo di vita. In particolare, la raccomandazione n. 123 riguarda da vicino il tema della salute e invita gli stati membri a prestare attenzione alla regolamentazione delle applicazioni di IA utilizzate nell'assistenza sanitaria, con riferimento alla minimizzazione dei bias, alla supervisione umana, e alla tutela della privacy (37); inoltre la raccomandazione n. 127 sottolinea che gli Stati Membri devono garantire che gli utenti devono poter identificare facilmente se stanno interagendo con un soggetto umano o un sistema di IA.

Quanto al Consiglio d'Europa, è noto come in tale ambito sia in fase di elaborazione uno strumento giuridico vincolante sull'IA, come espresso nella Recommendation 2185/2020 on Artificial Intelligence in Health Care: Medical, Legal and Ethical Challenges Ahead (38). La raccomandazione sottolinea la rilevanza degli strumenti giuridici già esistenti (in particolare la CEDU, la Convenzione di Oviedo (1997), la Convenzione sulla protezione delle persone rispetto al trattamento automatizzato di dati a carattere personale (1981) e il protocollo di modifica del testo di tale Convenzione (2018). In particolare, la raccomandazione sottolinea che l'intelligenza artificiale nell'ambito della salute porta con sé il notevole potenziale di migliorare la salute individuale e la salute pubblica, ma allo stesso tempo presenta anche rischi per i diritti individuali e per la salute pubblica. Le applicazioni di IA nell'ambito della salute rappresentano un cambio di paradigma del concetto stesso di cura che ha spostato il focus da malattia e terapia a salute auto-gestita, benessere e prevenzione, e da un modello di protocolli generalizzabili ad un modello di salute basato sulla medicina di precisione calibrata sull'individuo. Privacy, confidenzialità dei dati personali e consenso informato, sono identificati come gli elementi essenziali dei diritti dei pazienti in tutto il mondo (39).

Inoltre, e di fondamentale rilievo in merito al nostro tema, il recente Report on the impact of artificial intelligence on the doctor-patient relationship, del Comitato di Bioetica del Consiglio d'Europa, dedicato precisamente all'impatto dei sistemi di IA sulla relazione medico paziente e pubblicato nel giugno del 2022 (40). Il rapporto prende in considerazione l'impatto dei sistemi di IA sulla relazione medico-paziente, con riferimento ai principi dei diritti umani contenuti nella Convenzione di Oviedo. Allo stesso tempo, il report evidenzia sei aspetti etici di rilievo:

(1) le possibili diseguaglianze nell'accesso a un'assistenza sanitaria di alta qualità. Trattandosi di tecnologie emergenti la distribuzione dei sistemi IA non sarebbe immediata o universale nei diversi stati membri o sistemi sanitari; l'impatto dell'IA sulla clinica e sulla relazione medico paziente rimane incerto e dipenderà senz'altro dall'uso caso per caso. I sistemi AI possono essere più efficienti che la cura umana ma possono anche offrire una cura qualitativamente inferiore e con me interazioni faccia a faccia. A livello regolatorio è dunque di fondamentale importanza limitare al massimo le possibili disuguaglianze.

(2) la trasparenza dei sistemi di IA per operatori sanitari e pazienti. Si evidenziano il ruolo della trasparenza e consenso informato: la complessità dell'IA solleva la questione della spiegabilità dei sistemi IA. Come funziona il sistema o modello? Come viene raggiunto un determinato risultato? Come è stato progettato e testato il sistema? Come viene governato? Quali informazioni servono per verificare le funzioni dei sistemi IA? Le risposte sono necessarie per raggiungere il consenso informato nel caso di AI-mediated care.

(3) i rischi legati a bias e discriminazione a livello sociale. I pregiudizi sociali nei sistemi di intelligenza artificiale possono portare a una distribuzione ineguale dei risultati tra le popolazioni di pazienti e i gruppi demografici protetti. Le società occidentali sono state a lungo contrassegnate da una significativa disuguaglianza sociale e la presenza di bias nei sistemi di IA rischia di amplificare e riproporre disuguaglianze già presenti in ambito sociale.

(4) una diminuita consapevolezza del paziente riguardo alla propria salute. La fiducia nel rapporto medico paziente può essere inibita dalla mediazione tecnologica. Il sistema IA può inibire la comprensione della salute del paziente e favorire un dialogo basato solo su aspetti misurabili o interpretabili dalla macchina. Come effetto, vi può essere la diminuzione di un approccio olistico alla cura, indirizzata ad un'attenzione integrale nei confronti della persona.

(5) i rischi legati al c.d. automation bias, deskilling e possibile de-responsabilizzazione degli operatori sanitari. L'eccessiva fiducia nei sistemi di IA per l'accuratezza e l'affidabilità possono ingenerare negli operatori sanitari uno sbilanciamento su tali tecnologie e una diminuzione dell'attenzione e della responsabilità nel decision-making.

(6) i rischi per la privacy. Il diritto alla privacy e la protezione dei dati personali proteggono il paziente in particolare nel caso di utilizzo di sistemi IA in ambito medico. Gli standard etici devono essere sviluppati intorno a trasparenza, mitigazione dei bias, riservatezza ed efficacia clinica, in ordine per proteggere gli interessi dei pazienti in termini di consenso informato, uguaglianza, privacy e sicurezza.

Il report evidenzia inoltre le tensioni etiche emergenti relative al rapporto medico paziente. La relazione medico-paziente è infatti una chiave di volta della "buona" pratica medica, eppure sembra essere trasformata in una relazione medico-paziente-IA. La sfida che i produttori di IA, le autorità di regolamentazione e i responsabili politici devono affrontare è stabilire standard e requisiti solidi per la relazione di cura in questo contesto, per garantire che gli interessi dei pazienti e l'integrità morale della medicina come professione non siano fondamentalmente danneggiati dall'introduzione dell'IA.

A tal proposito, il report sottolinea il rischio di una complessiva diminuzione di un approccio olistico al paziente. I professionisti sanitari affrontano questa difficoltà quando tentano di incorporare i sistemi di intelligenza artificiale nelle routine di cura. L'affidarsi ai dati raccolti dalle "app per la salute" o dalle tecnologie di monitoraggio come fonte primaria di informazioni sulla salute di un paziente, ad esempio, può comportare l'ignoranza di aspetti della salute del paziente che non possono essere facilmente monitorati. Ciò include elementi essenziali della salute mentale e del benessere come gli stati sociali, mentali ed emotivi del paziente. Di conseguenza, può verificarsi una "decontestualizzazione" delle condizioni del paziente, in cui anche il paziente stesso rischia di perdere il controllo su come la sua condizione viene presentata e compresa da medici e assistenti.

Inoltre, vengono sottolineate le implicazioni per il processo informativo e per il consenso: nei casi in cui i sistemi di IA forniscano supporti alle decisioni cliniche, ad esempio raccomandando una diagnosi particolare o interpretando le radiografie o immagini. Il già menzionato carattere di opacità epistemica di tali sistemi pone una “sfida epistemologica fondamentale per il consenso informato. A parte la capacità del paziente di comprendere la funzionalità dei sistemi di IA, in molti casi i pazienti semplicemente non hanno livelli di consapevolezza sufficienti per rendere possibile il consenso libero e informato” (41). I sistemi di intelligenza artificiale utilizzano volumi di dati senza precedenti per prendere decisioni e interpretano questi dati utilizzando tecniche statistiche complesse, che aggiungono entrambe per aumentare la difficoltà e lo sforzo necessari per rimanere consapevoli dell'intera portata dell'elaborazione dei dati che informa la propria diagnosi e trattamento.

Infine, il report sottolinea che l'IA sfida la nozione di responsabilità, poiché quando vengono prese decisioni importanti che influiscono sul sostentamento e sul benessere delle persone, ci si aspetta che la loro logica o le loro ragioni possano essere comprese, nonché la protezione della privacy: la riservatezza nel rapporto medico-paziente è un valore fondamentale nella tutela del diritto umano alla privacy.

Alla luce dell'analisi dei documenti internazionali, l'utilizzo delle tecnologie di IA per il decision-making in ambito sanitario presenta alcune sfide etico-giuridiche di cui tenere in conto per una promozione e tutela effettiva del diritto alla salute, fondato sulla relazione di cura.

Innanzitutto, a causa dell'elevata dipendenza dai dati caratteristica dell'utilizzo dell'IA in medicina, c'è il rischio di spersonalizzazione nell'approccio al paziente, riducendo la quantità e la qualità del contatto umano nelle relazioni con il personale sanitario; v'è inoltre il rischio di favorire un progressivo cambiamento nella comprensione del concetto di salute – tale da rendere sempre più sfumato il confine con la malattia – in ragione della tendenza all'eccesso di diagnosi e trattamento che la pervasività delle tecnologie di IA possono incentivare (42).

Ancora, l'eccessivo affidamento ai sistemi di IA potrebbe ridurre la volontà di impegnarsi in un dialogo significativo medico-paziente (43). In questo senso, si parla di impatto “soft” delle tecnologie con riguardo ai loro effetti riguardo al rapporto tra pazienti e medici/operatori sanitari, o più in generale negli standard per ciò che costituisce le buone pratiche sanitarie (44).

Dal lato del medico, un eccessivo affidamento alle tecnologie di IA può infatti generare, come evidenziato dai documenti di soft law in materia, rischi di de-responsabilizzazione di chi utilizza tali sistemi e la relativa tendenza a fidarsi degli output dei sistemi sulla base della loro oggettività, accuratezza o complessità percepita più che sulla loro efficacia clinica, e rischi di deskilling, legati all'eccessivo affidamento ai sistemi IA come inibitore delle competenze cliniche dei professionisti della salute (45).

Il crescente utilizzo di tecnologie IA nel supporto alle decisioni mediche può inoltre influire sui pazienti, che potrebbero sopravvalutare l'accuratezza, la neutralità e l'obiettività delle tecniche di IA più sofisticate (46). Se da un lato le applicazioni sanitarie basate sull'intelligenza artificiale e la tecnologia indossabile possono rafforzare il controllo e la conoscenza della malattia da parte dei pazienti e creare un rapporto più “equo” con il personale, dall'altro il personale sanitario stesso potrebbe trovarsi sempre più spesso in presenza di pazienti muniti di diagnosi e suggerimenti terapeutici forniti loro dalle applicazioni di intelligenza artificiale. Ciò potrebbe condurre ad una nuova ripartizione dei ruoli tra paziente e personale sanitario, in cui a quest'ultimo spetterebbe il ruolo di garante della qualità e interprete delle informazioni che il paziente ha già ricevuto (47). E tuttavia, se da una parte le applicazioni IA possono avere un potenziale di empowerment nei confronti dei pazienti, nella misura in cui costoro sono messi nelle condizione di valutare i loro sintomi e prendersi cura di sé stessi, dall'altro restano preoccupazioni relative alla perdita di contatto umano e all'aumento dell'isolamento sociale, ove tali applicazioni siano usate per sostituire il tempo del personale sanitario o delle famiglie con i pazienti (48).

È inoltre da monitorare il rischio che l'uso dell'IA possa influenzare – alterandola – l'autonomia del paziente (49). Se il paziente presta il proprio consenso in base ad una diagnosi personalizzata effettuata dal sistema di IA, ciò a lungo andare rischia di ostacolare il fatto che il paziente possa effettuare confronti con altre decisioni o altre scelte, in quanto meno consapevole delle alternative (50).

Infine, un ulteriore aspetto critico riguarda l'identificazione di chi (o cosa) sia in ultima analisi da considerare responsabile della funzione svolta; l'incertezza sui passaggi interni dei sistemi di machine learning o deep learning ostacola l'attribuzione della responsabilità della decisione, che potrebbe essere alternativamente attribuita al produttore, al programmatore, all'utente (in ambito clinico, il medico), al proprietario o alla macchina stessa (51). Il medico potrebbe effettivamente essere indotto ad affidarsi sempre più alla tecnologia, arrivando, da un lato, ad assumersi la responsabilità a fronte di una scelta basata prevalentemente su un dato proveniente dal sistema IA, e dall'altro, a delegare sempre più la sostanza dell'atto medico alla decisione del sistema IA. Una simile overreliance, se priva della adeguata supervisione significativa da parte del medico, rischia di minare il "diritto all'intervento umano e ad ottenere una spiegazione della decisione ottenuta" di fronte a provvedimenti che incidono significativamente sulla persona (cfr. considerando 71 e art. 22 del Regolamento generale UE sulla protezione dei dati, n. 679/2016 - GDPR) (52). Una mancata informazione al riguardo comporta significative implicazioni per il consenso.