NEWSLETTER N. 511 del 10 ottobre 2023

• Sanità: decalogo del Garante Privacy sull’uso dell’intelligenza artificiale
• Tlc: sim intestate a utente ignaro, il Garante multa una società per 90mila euro
• Lavoro: il dipendente ha diritto di accedere ai dati sulla geolocalizzazione

Sanità: decalogo del Garante Privacy sull’uso dell’intelligenza artificiale

Il Garante Privacy vara un decalogo per la realizzazione di servizi sanitari a livello nazionale attraverso sistemi di intelligenza artificiale (IA). Trasparenza dei processi decisionali, decisioni automatizzate supervisionate dall’uomo, non discriminazione algoritmica: questi i tre principi cardine enucleati dall’Autorità sulla base del Regolamento e alla luce della giurisprudenza del Consiglio di Stato.

In base alle indicazioni dell’Autorità, il paziente deve avere il diritto di conoscere, anche attraverso campagne di comunicazione, se esistono e quali sono i processi decisionali (ad esempio, in ambito clinico o di politica sanitaria) basati su trattamenti automatizzati effettuati attraverso strumenti di IA e di ricevere informazioni chiare sulla logica utilizzata per arrivare a quelle decisioni.

Il processo decisionale dovrà prevedere una supervisione umana che consenta al personale sanitario di controllare, validare o smentire l’elaborazione effettuata dagli strumenti di IA. È opportuno, avverte il Garante, che il titolare del trattamento utilizzi sistemi di IA affidabili che riducano gli errori dovuti a cause tecnologiche o umane e ne verifichi periodicamente l’efficacia, mettendo in atto misure tecniche e organizzative adeguate. Questo, anche allo scopo di mitigare potenziali effetti discriminatori che un trattamento di dati inesatti o incompleti potrebbe comportare sulla salute della persona. Un esempio è il caso americano, richiamato dal Garante nel decalogo, riguardante un sistema di IA utilizzato per stimare il rischio sanitario di oltre 200 milioni di americani. Gli algoritmi tendevano ad assegnare un livello di rischio inferiore ai pazienti afroamericani a parità di condizioni di salute, a causa della metrica utilizzata, basata sulla spesa sanitaria media individuale che risultava meno elevata per la popolazione afroamericana, con la conseguenza di negare a quest’ultima l’accesso a cure adeguate.

Il dato non aggiornato o inesatto, sottolinea l’Autorità, potrebbe influenzare anche l’efficacia e la correttezza dei servizi che i sistemi di IA intendono realizzare.

Particolare attenzione è stata posta dal Garante all’idoneità della base giuridica per l’uso dell’intelligenza artificiale. Il trattamento di dati sulla salute attraverso tecniche di IA, effettuato per motivi di interesse pubblico in ambito sanitario, dovrà essere previsto da uno specifico quadro normativo, che individui misure adeguate a tutela dei diritti, delle libertà e dei legittimi interessi degli interessati.

Nel rispetto del quadro normativo di settore, il Garante ha inoltre sottolineato la necessità che, prima di effettuare trattamenti di dati sulla salute mediante sistemi nazionali di IA, sia svolta una valutazione d’impatto allo scopo di individuare le misure idonee a tutelare i diritti e le libertà dei pazienti e garantire il rispetto dei principi del Regolamento Ue. Un sistema centralizzato nazionale che utilizzi l’IA determina infatti un trattamento sistematico su larga scala di dati sanitari che rientra tra quelli ad “alto rischio”, per i quali la valutazione d’impatto è obbligatoria e deve essere svolta a livello centrale per consentire un esame complessivo sull’adeguatezza e omogeneità degli accorgimenti adottati.

Nella descrizione dei trattamenti è altresì necessario che siano puntualmente indicate, in particolare, le logiche algoritmiche utilizzate al fine di “generare” i dati e i servizi, le metriche impiegate per addestrare il modello, i controlli svolti per verificare la presenza di eventuali bias e la possibilità di una loro correzione.

Il Decalogo è disponibile sul sito www.gpdp.it

Tlc: sim intestate a utente ignaro, il Garante multa una società per 90mila euro

Riceve due email e un sms di notifica da parte di una compagnia telefonica e scopre che un rivenditore aveva attivato a sua insaputa due sim card ricaricabili a lui intestate. È accaduto ad un utente della provincia di Bergamo che dopo aver denunciato l’accaduto all’autorità giudiziaria, segnala il fatto al Garante Privacy che sanziona la società della rete di vendita della compagnia telefonica, cui fa capo il rivenditore, con una multa di 90mila euro per trattamento illecito di dati personali.

L’interessato, dopo aver richiesto il blocco delle sim alla compagnia telefonica ed effettuato alcune verifiche, aveva ricostruito che le schede erano state attivate nel napoletano utilizzando una fotocopia poco leggibile della sua carta di identità. Aveva scoperto inoltre che, per gli addebiti delle due utenze, era stato inserito un Iban inesistente, solo formalmente corretto, riconducibile ad una banca vicina alla propria abitazione.

Nel corso dell’attività istruttoria l’Autorità ha rilevato diverse violazioni. Innanzitutto, il rivenditore non aveva provveduto ad identificare il cliente tramite un documento di identità in originale - procedura correttamente prevista dal protocollo della compagnia telefonica – né aveva svolto ulteriori verifiche sulla liceità dei dati acquisiti. La società di appartenenza del rivenditore, inoltre, non aveva fornito all’Autorità le informazioni e i documenti richiesti nel corso dell’istruttoria né aveva dato spiegazioni all’interessato su come avesse ottenuto la fotocopia della carta di identità.

Il Garante, riconosciuta la gravità e il carattere doloso delle violazioni, ha ritenuto la condotta riconducibile al fenomeno dell’attivazione illecita di schede telefoniche, che possono sfociare anche in reati di natura associativa, ed ha pertanto irrogato alla società una multa di 90mila euro. Nessuna violazione invece è emersa nei confronti della compagnia telefonica.

Lavoro: il dipendente ha diritto di accedere ai dati sulla geolocalizzazione

Il Garante privacy ha comminato una sanzione di 20mila euro a una società incaricata della lettura dei contatori di gas, luce e acqua, per non aver dato idoneo riscontro alle istanze di accesso ai dati di tre dipendenti. I tre lavoratori, per verificare la correttezza della propria busta paga, avevano chiesto alla ditta di conoscere le informazioni utilizzate per elaborare i rimborsi chilometrici e la retribuzione mensile oraria, nonché la procedura per stabilire il compenso dovuto.

In particolare avevano chiesto di poter conoscere i dati raccolti attraverso lo smartphone fornito dalla società sul quale era stato istallato un sistema di geolocalizzazione che permetteva agli operatori di individuare il tragitto da effettuare per raggiungere i contatori. Non avendo ricevuto dall’allora datore di lavoro una risposta soddisfacente si erano rivolti al Garante privacy con un reclamo.

Nel corso dell’istruttoria l’Autorità ha accertato che la società, in qualità di titolare del trattamento, non aveva fornito un riscontro idoneo a quanto richiesto dai reclamanti, nonostante la chiarezza e l’analiticità delle istanze, tra l’altro non comunicando loro i dati trattati attraverso il GPS. La società, infatti, si era limitata ad indicare le modalità e gli scopi per i quali venivano trattati. Una condotta risultata illecita in base ai principi della normativa sulla privacy. Dalla rilevazione del GPS, infatti, come ha sottolineato il Garante privacy, deriva indirettamente la geolocalizzazione dei dipendenti e, di conseguenza, un trattamento di dati personali, quantomeno nel momento della lettura dei contatori. Il Garante ha pertanto ordinato alla società di fornire ai reclamanti i dati relativi alle specifiche rilevazioni/coordinate geografiche effettuate con il GPS dello smartphone e tutte le informazioni ricollegate al trattamento richieste.

Il Garante ha precisato infine che la società, anche qualora non avesse ritenuto di poter dare pieno riscontro alle richieste dei dipendenti, avrebbe dovuto indicare almeno i motivi specifici per i quali non poteva soddisfare le istanze di accesso, rammentando il diritto dell’interessato di presentare reclamo al Garante o ricorso giurisdizionale.

NEWSLETTER del Garante per la protezione dei dati personali (Reg. al Trib. di Roma n. 654 del 28 novembre 2002).
Direttore responsabile: Baldo Meo.
Direzione e redazione: Garante per la protezione dei dati personali, Piazza Venezia, n. 11 - 00187 Roma.
Tel: 06.69677.2751- Fax: 06.69677.3785
Newsletter è consultabile sul sito Internet www.gpdp.it