Focus 03 – 2024: Intelligenza artificiale nelle aziende health alla luce del nuovo Regolamento UE

image_print
Egregi associati, come saprete, mercoledì 13 marzo Il Parlamento europeo ha approvato il testo del Regolamento sull’Intelligenza Artificiale. Il testo, che in questi giorni è sottoposto a una messa a punto giuridico-linguistica per tutti gli Stati membri, dovrà essere formalmente approvato dal Consiglio. Il Regolamento entrerà in vigore 20 giorni dopo la pubblicazione nella Gazzetta Ufficiale Europea, ma non tutte le disposizioni troveranno applicazione in quella data. Per riassumere brevemente:
  • 6 mesi dopo: i Paesi saranno tenuti a proibire i sistemi di IA vietati
  • 12 mesi dopo: inizieranno ad applicarsi le regole per i sistemi di intelligenza artificiale di uso generale
  • 24 mesi dopo: il resto della legge sull’IA sarà applicabile
  • 36 mesi dopo: entreranno in vigore gli obblighi per i sistemi ad alto rischio
Le sanzioni in caso di non conformità possono arrivare fino a 35 milioni di euro o al 7% del fatturato annuo mondiale.

Indice dei contenuti

Un IA più sicura, anche nel caso di fornitori in Paesi terzi

Il lungo percorso per l’elaborazione dell’IA Act era cominciato il 14 aprile 2021, con l’obiettivo di promuovere l’adozione della IA in tutto il mercato unico, a patto che venissero rispettati e tutelati i diritti fondamentali, la democrazia, lo Stato di diritto e la sostenibilità ambientale dai sistemi di IA ad alto rischio.

Per raggiungere questo obiettivo, il Regolamento si applicherà anche ai fornitori con sede in Paesi terzi. 

Infatti, come indicato all’art. 2 il Regolamento si applica:

a) ai fornitori che immettono sul mercato o mettono in servizio sistemi di IA o immettono sul mercato modelli di IA per finalità generali nell’Unione, indipendentemente dal fatto che siano stabiliti o ubicati nell’Unione o in un paese terzo;
b) ai deployer dei sistemi di IA che hanno il loro luogo di stabilimento o sono situati all’interno dell’Unione;
c) ai fornitori e ai deployer di sistemi di IA che hanno il loro luogo di stabilimento o sono situati in un paese terzo, laddove l’output prodotto dal sistema di IA sia utilizzato nell’Unione;
n n d) agli importatori e ai distributori di sistemi di IA;
e) ai fabbricanti di prodotti che immettono sul mercato o mettono in servizio un sistema di IA insieme al loro prodotto e con il loro nome o marchio;
f) ai rappresentanti autorizzati di fornitori, non stabiliti nell’Unione;
g) alle persone interessate che si trovano nell’Unione.

Intelligenza Artificiale volto

Le norme generali

LAI Act mira a regolare i sistemi basa sull’Intelligenza Artificiale utilizzando un approccio risk-based, sono previsti quindi obblighi di conformità a seconda dei livelli di rischio (basso, medio o elevato) che questi sistemi presentano a danno dei diritti fondamentali. 

In particolare, il Regolamento stabilisce:

a) regole armonizzate per l’immissione sul mercato, la messa in servizio e l’uso dei sistemi di IA nell’Unione;
b) divieti di talune pratiche di IA;
c) requisiti specifici per i sistemi di IA ad alto rischio e obblighi per gli operatori di tali sistemi;
d) regole di trasparenza armonizzate per determinati sistemi di IA;
e) regole armonizzate per l’immissione sul mercato di modelli di IA per finalità generali;
f) regole in materia di monitoraggio del mercato, governance della vigilanza del mercato e applicazione;
g) misure a sostegno dell’innovazione, con particolare attenzione alle PMI, comprese le start-up. 

Quindi, sulla base dei livelli di rischio, vengono vietate alcune applicazioni di IA che determinano un rischio inaccettabile di lesione dei diritti. Tra queste, i sistemi di categorizzazione biometrica basati su caratteristiche sensibili e l’estrapolazione indiscriminata di immagini facciali da internet o dalle registrazioni dei sistemi di telecamere a circuito chiuso per creare banche dati di riconoscimento facciale.

Saranno vietati anche i sistemi di riconoscimento delle emozioni sul luogo di lavoro e nelle scuole, i sistemi di credito sociale, le pratiche di polizia predittiva (se basate esclusivamente sulla profilazione o sulla valutazione delle caratteristiche di una persona) e i sistemi che manipolano il comportamento umano o sfruttano le vulnerabilità delle persone.

I sistemi ad alto rischio, tra cui DM e IVD

Sono invece ammessi i sistemi ad alto rischio, la cui adozione però è sottoposta a obblighi specifici: l’impiego di un sistema di gestione dei rischi, obblighi di trasparenza nei confronti degli utenti, procedure di valutazione della conformità anche per tramite di organismi terzi ai fini dell’apposizione di un’apposita marcatura CE.

Un sistema è considerato ad alto rischio quando soddisfa entrambe le condizioni indicate dal comma 1 dell’Art. 6.

Art. 6 – Regole di classificazione per i sistemi di IA ad alto rischio

  1. A prescindere dal fatto che sia immesso sul mercato o messo in servizio in modo indipendente rispetto ai prodotti di cui alle lettere a) e b), un sistema di IA è considerato ad alto rischio se sono soddisfatte entrambe le condizioni seguenti:

a) il sistema di IA è destinato a essere utilizzato come componente di sicurezza di un prodotto, o il sistema di IA è esso stesso un prodotto, disciplinato dalla normativa di armonizzazione dell’Unione elencata nell’allegato I;

b) il prodotto, il cui componente di sicurezza a norma della lettera a) è il sistema di IA, o il sistema di IA stesso in quanto prodotto, è soggetto a una valutazione della conformità da parte di terzi ai fini dell’immissione sul mercato o della messa in servizio di tale prodotto ai sensi della normativa di armonizzazione dell’Unione elencata nell’allegato I.

Per quanto concerne il punto a), l’allegato I dell’IA Act cita sia il Regolamento (UE) 2017/745 (MDR) relativo ai dispositivi medici che il Regolamento (UE) 2017/746 (IVDR) relativo ai dispositivi medico-diagnostici in vitro.

Riguardo alla seconda condizione, esplicitata al punto b), ai sensi dell’MDR tutti i dispositivi con classe di rischio IIa o superiore devono essere oggetto di valutazione di conformità da parte di un Organismo notificato (per approfondire consultare la pagina del Ministero della Salute dedicata). 

Ricordiamo per completezza che, in base alla regola di classificazione numero 11 dell’Allegato VIII – Capo III dell’MDR, “Il software destinato a fornire informazioni utilizzate per prendere decisioni a fini diagnostici o terapeutici rientra nella classe IIa, a meno che tali decisioni abbiano effetti tali da poter causare:

  • il decesso o un deterioramento irreversibile delle condizioni di salute di una persona, nel qual caso rientra nella classe III, o
  • un grave deterioramento delle condizioni di salute di una persona o un intervento chirurgico, nel qual caso rientra nella classe IIb. (…)”

Per concludere, quindi, alla definizione prevista all’art. 6 dell’AI Act corrispondono diversi software classificati come dispositivi medici, di cui molti attualmente in commercio, che dovranno ritenersi basati su sistemi di intelligenza artificiale ai sensi dell’AI Act e ne dovranno dunque rispettare le prescrizioni.

Un esempio sono i software di supporto ai medici nell’identificazione delle patologie, sia tramite la lettura dei dati del paziente sia attraverso l’analisi delle immagini radiologiche.  

Valutazione della conformità per i dispositivi medici: sovrapposizione MDR e AI Act

Come anticipato, i sistemi di IA ad alto rischio sono ammessi sul mercato europeo subordinatamente al rispetto di determinati requisiti obbligatori (indicati all’artt. 8 e 9 dell’AI Act) e ad una valutazione della conformità ex ante.

L’Art. 8 Conformità ai requisiti al comma 2 stabilisce che “Se un prodotto contiene un sistema di IA cui si applicano i requisiti del presente regolamento e i requisiti della normativa di armonizzazione dell’Unione elencata nell’allegato I, sezione A, i fornitori sono responsabili di garantire che il loro prodotto sia pienamente conforme a tutti i requisiti applicabili previsti dalla normativa di armonizzazione dell’Unione applicabile (…)”.

Per quanto concerne i dispositivi medici e gli altri sistemi basati su AI per i quali la normativa di settore già prevede procedure di valutazione della conformità condotte da terzi, il Regolamento stabilisce che la conformità del sistema di intelligenza artificiale all’AI Act sia valutata nell’ambito della valutazione della conformità condotta secondo la normativa di settore. Sempre al comma 2, infatti, si dichiara:

“al fine di garantire la coerenza, evitare duplicazioni e ridurre al minimo gli oneri aggiuntivi, i fornitori possono scegliere di integrare, se del caso, i necessari processi di prova e di comunicazione nonché le informazioni e la documentazione che forniscono relativamente al loro prodotto nella documentazione e nelle procedure esistenti e richieste in conformità della normativa di armonizzazione dell’Unione”.

Quindi per i dispositivi medici di classe IIa o superiore queste valutazioni saranno condotte dagli organismi notificati già incaricati di valutare la sicurezza e le performance dei dispositivi ai sensi del MDR.

Regolatorio UE

Valutazione della conformità: sovrapposizione MDR e AI Act

Come anticipato, i sistemi di IA ad alto rischio sono ammessi sul mercato europeo subordinatamente al rispetto di determinati requisiti obbligatori (indicati all’artt. 8 e 9 dell’AI Act) e ad una valutazione della conformità ex ante.

L’Art. 8 Conformità ai requisiti al comma 2) stabilisce:

Se un prodotto contiene un sistema di IA cui si applicano i requisiti del presente regolamento e i requisiti della normativa di armonizzazione dell’Unione elencata nell’allegato I, sezione A, i fornitori sono responsabili di garantire che il loro prodotto sia pienamente conforme a tutti i requisiti applicabili previsti dalla normativa di armonizzazione dell’Unione applicabile (…).

Per quanto concerne i dispositivi medici e gli altri sistemi basati su AI per i quali la normativa di settore già prevede procedure di valutazione della conformità condotte da terzi, il Regolamento stabilisce che la conformità del sistema di intelligenza artificiale all’AI Act sia valutata nell’ambito della valutazione della conformità condotta secondo la normativa di settore.

Sempre al comma 2), infatti, si dichiara:

Al fine di garantire la coerenza, evitare duplicazioni e ridurre al minimo gli oneri aggiuntivi, i fornitori possono scegliere di integrare, se del caso, i necessari processi di prova e di comunicazione nonché le informazioni e la documentazione che forniscono relativamente al loro prodotto nella documentazione e nelle procedure esistenti e richieste in conformità della normativa di armonizzazione dell’Unione.

Quindi per i dispositivi medici di classe IIa o superiore queste valutazioni saranno condotte dagli organismi notificati già incaricati di valutare la sicurezza e le performance dei dispositivi ai sensi del MDR.

Sistemi di IA basati sull’uso dei dati

Fin dagli albori della diffusione di tecnologie basate sul machine learning, una delle principali preoccupazioni legate ai Sistemi di AI è la data accuracy, quindi l’accuratezza dei dati inseriti e delle relative logiche di elaborazione.

Per questo motivo l’AI Act all’art. 10 dai commi 2 a 5 si sofferma in maniera dettagliata sulla qualità dei data set e sull’uso dei dati.

Art. 10 – Dati e governance dei dati

  1. I sistemi di IA ad alto rischio che utilizzano tecniche che prevedono l’uso di dati per l’addestramento di modelli di IA sono sviluppati sulla base di set di dati di addestramento, convalida e prova che soddisfano i criteri di qualità di cui ai paragrafi da 2 a 5 ogniqualvolta siano utilizzati dai set di dati.
  2. I set di dati di addestramento, convalida e prova sono soggetti a pratiche di governance e gestione dei dati adeguate alla finalità prevista del sistema di IA ad alto rischio. Tali pratiche riguardano in particolare:
    1. le scelte progettuali pertinenti;
    2. i processi di raccolta dei dati e l’origine dei dati, nonché la finalità originaria della raccolta nel caso di dati personali;
    3. le operazioni di trattamento pertinenti ai fini della preparazione dei dati, quali annotazione, etichettatura, pulizia, aggiornamento, arricchimento e aggregazione;
    4. la formulazione di ipotesi, in particolare per quanto riguarda le informazioni che si presume che i dati misurino e rappresentino;
    5. una valutazione della disponibilità, della quantità e dell’adeguatezza dei set di dati necessari;
    6. un esame atto a valutare le possibili distorsioni suscettibili di incidere sulla salute e sulla sicurezza delle persone, di avere un impatto negativo sui diritti fondamentali o di comportare discriminazioni vietate dal diritto dell’Unione, specie laddove gli output di dati influenzano gli input per operazioni future;
    7. le misure adeguate per individuare, prevenire e attenuare le possibili distorsioni individuate conformemente alla lettera f);
    8. l’individuazione di lacune o carenze pertinenti nei dati tali da pregiudicare il rispetto del presente regolamento e il modo in cui tali lacune e carenze possono essere colmate.

Altri sistemi ad alto rischio di interesse

Il comma 2) amplia la definizione inserendo tra i sistemi di IA ad alto rischio quelli utilizzati in settori specifici, esplicitati all’allegato III, tra cui:

  • Occupazione, gestione dei lavoratori e accesso al lavoro autonomo:
    • a) i sistemi di IA destinati a essere utilizzati per l’assunzione o la selezione di persone fisiche, in particolare per pubblicare annunci di lavoro mirati, analizzare o filtrare le candidature e valutare i candidati;
    • b) i sistemi di IA destinati a essere utilizzati per adottare decisioni riguardanti le condizioni dei rapporti di lavoro, la promozione o cessazione dei rapporti contrattuali di lavoro, per assegnare compiti sulla base del comportamento individuale o dei tratti e delle caratteristiche personali o per monitorare e valutare le prestazioni e il comportamento delle persone nell’ambito di tali rapporti di lavoro.
  • Accesso a servizi privati essenziali e a prestazioni e servizi pubblici essenziali e fruizione degli stessi:
    1. i sistemi di IA destinati a essere utilizzati dalle autorità pubbliche o per conto di autorità pubbliche per valutare l’ammissibilità delle persone fisiche alle prestazioni e ai servizi di assistenza pubblica essenziali, compresi i servizi di assistenza sanitaria, nonché per concedere, ridurre, revocare o recuperare tali prestazioni e servizi;
    2. (…)

Le eccezioni

Al comma 3) dell’art. 6 sono elencate alcune casistiche di sistemi di IA che non sono inclusi tra quelli ad altro rischio.

In deroga al paragrafo 2, un sistema di IA non è considerato ad alto rischio se non presenta un rischio significativo di danno per la salute, la sicurezza o i diritti fondamentali delle persone fisiche, anche nel senso di non influenzare materialmente il risultato del processo decisionale.

È questo il caso quando sono soddisfatte una o più delle seguenti condizioni:

a) il sistema di IA è destinato a eseguire un compito procedurale limitato;

b) il sistema di IA è destinato a migliorare il risultato di un’attività umana precedentemente completata;

c) il sistema di IA è destinato a rilevare schemi decisionali o deviazioni da schemi decisionali precedenti e non è inteso a sostituire o influenzare la valutazione umana precedentemente completata senza un’adeguata revisione umana; o

d) il sistema di IA è destinato a eseguire un compito preparatorio per una valutazione pertinente IA fini dei casi d’uso elencati nell’allegato III.

Per approfondire:

Il Testo approvato dal Parlamento Europeo