Videosorveglianza con AI per l’assistenza sanitaria: tra necessità e sensibilità

Gianluca Pomante -
assistenza sanitaria e GDPR

L'assistenza sanitaria tramite AI rappresenta un passo significativo verso il miglioramento della qualità delle cure, ma per realizzare appieno il proprio potenziale non può prescindere da un’attenta e rigorosa aderenza al GDPR.

Il settore sanitario è da sempre all’avanguardia nell’adozione di nuove tecnologie volte a migliorare la qualità delle cure e la vita dei pazienti. Tuttavia, questa innovazione si scontra inevitabilmente con il tema della delicatezza e sensibilità dei dati trattati che, ai sensi dell’art. 9 del GDPR 2016/679, rientrano tra le categorie particolari e godono di una tutela rafforzata, in quanto la loro violazione può comportare rischi elevati per i diritti e le libertà fondamentali degli individui.

La natura intrinsecamente personale di questa tipologia di dati e la capacità di rivelare informazioni intime sulla salute fisica e mentale di un individuo impongono un approccio rigoroso e attento in ogni fase del trattamento, dalla raccolta alla conservazione, dall’elaborazione alla cancellazione.

Ogni progetto che implichi il trattamento di dati sanitari deve, pertanto, essere valutato non solo sotto il profilo dell’efficacia terapeutica o assistenziale, ma (anche e soprattutto) sotto quello della conformità alle normative vigenti sulla protezione dei dati, sia a livello europeo che a livello nazionale.

Un approccio integrato al monitoraggio del paziente

Alcuni progetti di ricerca si propongono di elevare gli standard di cura e sicurezza all’interno delle strutture sanitarie attraverso l’implementazione di strumenti di monitoraggio avanzato integrati in sistemi di elaborazione capaci di rilevare numerosi dati sul paziente e sulle situazioni in cui viene a trovarsi.

L’obiettivo è da un lato fornire al personale medico e assistenziale strumenti predittivi e di allerta rapida per interventi tempestivi e, dall’altro, migliorare il benessere complessivo dei pazienti, in particolare di quelli non autosufficienti o con patologie croniche. Un sistema di questo tipo si articola su tre pilastri tecnologici:

  • sensori indossabili applicati ai pazienti per la rilevazione continua di parametri vitali, quali frequenza cardiaca, respiratoria, temperatura corporea e saturazione di ossigeno. I dati raccolti vengono trasmessi in tempo reale a una piattaforma centralizzata per l’analisi e l’elaborazione finalizzata a comprendere se le variazioni rientrino entro limiti accettabili o se sia necessario un intervento del personale sanitario;
  • postazioni intelligenti, come il materassino antidecubito con sensori di pressione e movimento (che rileva la posizione del corpo del paziente, gli spostamenti notturni e le lunghe immobilità) o il letto che si adatta automaticamente alle esigenze del paziente per prevenire problemi respiratori, apnee notturne, posizioni pericolose per la salute. L’evoluzione delle postazioni di degenza - rispetto a quelle di anche solo qualche anno fa - consente di prevenire la formazione di piaghe da decubito, monitorare la qualità del sonno, compensare problemi respiratori, entro certi limiti senza neppure la necessità di intervento da parte del personale sanitario;
  • sistemi di videosorveglianza assistiti da AI, che non si limitano a una mera rilevazione e registrazione delle immagini ma, grazie all’analisi video addestrata a riconoscere schemi comportamentali indicativi di stati di nervosismo, agitazione, sofferenza fisica o disagio (per esempio, cadute, sforzi, espressioni facciali di dolore), sono in grado di allertare il personale sanitario e fornire il contesto visivo della situazione, determinando interventi tempestivi e pienamente consapevoli del problema da affrontare.

Criticità e sfide legali ai sensi del GDPR e della normativa italiana

L’implementazione di un progetto così tecnologicamente avanzato, pur promettendo notevoli benefici, solleva complesse questioni giuridiche in materia di protezione dei dati personali. Le criticità principali riguardano vari aspetti.

Base giuridica del trattamento

Il trattamento di dati sanitari è permesso solo in presenza di specifiche condizioni. Per un progetto di ricerca, la base giuridica più appropriata è il consenso esplicito dell’interessato o del suo tutore. Può rilevare anche l’interesse pubblico, nel settore della sanità pubblica, ma è necessaria la preventiva consultazione con l’autorità Garante per la protezione dei dati personali. La ricerca scientifica, per sua natura, richiede di raccogliere il consenso dell’interessato, soprattutto quando si tratta di innovazione.

Principio di minimizzazione dei dati

assistenza sanitaria e GDPR
L'uso delle telecamere nella camera di un paziente nel contesto di un progetto per l'assistenza sanitaria solleva interrogativi significativi sulla necessità e proporzionalità d'impiego della videosorveglianza, specialmente se l'AI processa anche il volto per il riconoscimento delle emozioni. Bisogna evitare la raccolta eccessiva di immagini o l'elaborazione di dati non pertinenti

Vanno raccolti solo i dati strettamente necessari alle finalità del progetto. L’analisi tramite AI delle immagini delle telecamere, in particolare, dev’essere attentamente valutata per evitare la raccolta eccessiva o l’elaborazione di dati non pertinenti.

L’uso delle telecamere in un contesto così particolare come la camera di un paziente solleva interrogativi significativi sulla necessità e proporzionalità di impiego della videosorveglianza, specialmente se l’AI processa anche il volto per il riconoscimento delle emozioni.

In presenza di soggetti non autosufficienti o non capaci di intendere e di volere, subentrano anche aspetti etici, senza contare che in assenza della capacità di comprendere l’utilità del monitoraggio, il paziente potrebbe viverlo come condizione di stress o di costrizione.

Trasparenza e informativa

I pazienti e i loro eventuali tutori devono essere pienamente informati sulle modalità e finalità del trattamento dei dati, inclusa l’analisi tramite AI delle immagini. L’informativa deve riportare in dettaglio natura e tipologia dei dati trattati, misure di sicurezza adottate per proteggerli, condizioni e modalità di utilizzo, possibilità di eventuale comunicazione a terzi, termini di conservazione.

Non è un’informativa semplice da confezionare, per la quantità di dati trattati da postazioni dotate di sensori per parametri vitali e monitoraggio continuo, ed è complessa la realizzazione di un documento che dev’essere, allo stesso tempo, chiaro e conciso ma trasparente nei confronti dell’interessato e di chi lo tutela - soprattutto quando questo è un soggetto fragile e quando i termini sono complessi come quelli di tipo medico.

Sicurezza del trattamento

Visto l’alto rischio per la tutela dei diritti e delle libertà degli interessati, sono necessarie misure adeguate a garantire un livello di sicurezza commisurato: la protezione contro accessi non autorizzati, sottrazione, diffusione, malfunzionamenti, falsi positivi, mancati allarmi, compromissione accidentale o dolosa e attacchi ransomware è cruciale.

Nello specifico, bisogna fare riferimento all’art. 22 del GDPR sul processo decisionale automatizzato relativo alle persone fisiche, dal momento che l’utilizzo dell’AI per generare allarmi automatici richiede particolare attenzione.

Sebbene questo processo non produca effetti giuridici o incida in modo significativo sull’interessato (in quanto l’allarme viene poi gestito da personale umano), è fondamentale garantire che tutto sia trasparente e che si faccia sempre ricorso a un intervento umano qualificato per la valutazione finale dell’allarme e l’eventuale azione conseguente. I falsi positivi o i mancati allarmi, infatti, potrebbero avere conseguenze gravi sulla salute del paziente.

Un altro aspetto è quello relativo al trasferimento dei dati extra-UE: se i dati fossero trattati o conservati su server al di fuori dell’Unione Europea, infatti, sarebbe necessario rispettare le stringenti condizioni previste dall’art. 44 e seguenti del GDPR. Infine, si ricordi sempre che in questo tipo di scenario la valutazione positiva da parte di un comitato etico, sebbene fondamentale per la ricerca, non esime dall’obbligo di conformità al GDPR: il comitato etico valuta l’etica della ricerca, mentre il Garante della privacy la conformità al GDPR.

DPIA (e consultazione preventiva)

assistenza sanitaria e GDPRLa DPIA (valutazione d’impatto sulla protezione dei dati), ai sensi dell’art. 35 del GDPR, è assolutamente necessaria e obbligatoria per un progetto che implichi il trattamento dei dati sanitari. La natura del trattamento (dati sensibili, uso di nuove tecnologie come AI, monitoraggio su larga scala, coinvolgimento di soggetti vulnerabili) configura un rischio elevato per i diritti e le libertà degli interessati.

La DPIA dovrebbe essere sviluppata seguendo le linee guida del Garante per la privacy e dell’European Data Protection Board (EDPB) e dovrebbe includere:

  • descrizione sistemica del trattamento, con dettagli del progetto, delle finalità, dei dati trattati, dei flussi di dati, degli attori coinvolti;
  • risultati della consultazione (se effettuata) con gli interessati o i loro rappresentanti
  • valutazione analitica della necessità di ogni singola componente tecnologica e proporzionalità rispetto agli obiettivi, in particolare giustificando l’uso delle telecamere e dell’AI in un contesto così sensibile;
  • valutazione dei rischi specifici per i diritti e le libertà (accesso non autorizzato, perdita dati, discriminazione, stigmatizzazione, falsi positivi/negativi, mancato intervento, sorveglianza indebita, dipendenza tecnologica);
  • dettagli sulle misure tecniche e organizzative previste per mitigare i rischi identificati.

Consultazione preventiva con l'Autorità Garante per la protezione dei dati personali

Considerata la complessità dell’argomento, l’utilizzo di nuove tecnologie (AI per analisi video in ambito sanitario), il trattamento di categorie particolari di dati su soggetti vulnerabili e l’alto rischio intrinseco, la consultazione preventiva con il Garante per la protezione dei dati personali ai sensi dell’art. 36 del GDPR è più che opportuna.

La norma stabilisce che il titolare del trattamento deve consultare l’autorità di controllo prima di procedere al trattamento se la DPIA indica che il trattamento potrebbe presentare un rischio elevato nonostante le misure di sicurezza adottate dal titolare. Nell’analisi del progetto sarà quindi particolarmente importante documentare i rischi rilevati con evidenze inoppugnabili e, soprattutto, indicare le singole azioni correttive e di contenimento, incluso l’eventuale ricorso a forme di assicurazione.

Adempimenti per la sicurezza: tre livelli di protezione

Per assicurare un trattamento dei dati conforme alla normativa, è necessario intervenire con misure di natura fisica, logica e organizzativa.

SICUREZZA FISICA

  • ACCESSO limitato e monitorato agli spazi in cui sono conservati i server e le infrastrutture di rete. L’alternativa è l’affidamento del data center a un soggetto esterno in grado di assicurare un livello di protezione adeguato
  • COLLOCAZIONE DEI DISPOSITIVI (server, router, NVR) in armadi rack chiusi a chiave e videosorvegliati;
  • adozione di sistemi di alimentazione ridondanti (UPS) e di controllo della temperatura e umidità per garantire la CONTINUITÀ OPERATIVA dei dispositivi;
  • PROTEZIONE FISICA dei sensori a garanzia della resistenza a manomissioni e danni accidentali.

SICUREZZA LOGICAassistenza sanitaria e GDPR

  • CRITTOGRAFIA dei dati (parametri vitali, movimenti, immagini video e relativi metadati) sia in transito (TLS/SSL) che a riposo (crittografia del disco), per prevenire l’accesso non autorizzato in caso di intercettazione o sottrazione;
  • UTILIZZO DI AUTENTICAZIONE A PIÙ FATTORI (MFA) per l’accesso alla piattaforma di monitoraggio da parte del personale autorizzato;
  • implementazione di un sistema di GESTIONE DEGLI ACCESSI basato su ruoli e privilegi, che garantisca al personale l’accesso esclusivamente ai dati strettamente necessari per lo svolgimento delle mansioni assegnate;
  • PSEUDONIMIZZAZIONE DEI DATI e loro divulgazione in forma aggregata per le finalità di ricerca e analisi statistica, previa introduzione di “rumore di fondo” idoneo a evitare che, dall’incrocio con altri database, si possa risalire all’identità dei singoli interessati. Per l’analisi tramite AI, è opportuno valutare l’introduzione di tecniche di edge computing per processare le immagini localmente e trasmettere solo i metadati o le allerte, evitando la trasmissione di flussi video completi attraverso i quali sia possibile identificare gli interessati;
  • AGGIORNAMENTO costante e applicazione tempestiva di patch di sicurezza per tutti i sistemi operativi, i software applicativi e il firmware degli apparati.
    Ogni possibile rischio di accesso non autorizzato, corruzione dei dati, indisponibilità del servizio derivante da mancati aggiornamenti o attività non andate a buon fine deve essere evitato;
  • protezione da malware con SOLUZIONI ANTIVIRUS/ANTIMALWARE di alto livello, integrate nei firewall e affiancate da sistemi di rilevamento dei comportamenti anomali e di prevenzione delle intrusioni (IDS/IPS);
  • DISASTER RECOVERY, con l’adozione di soluzioni basate su sistemi ridondanti e dislocati in altre sedi per garantire la continuità dei servizi anche in caso di disastri o attacchi ransomware, quando regolari politiche di backup e verifica regolari potrebbero non essere sufficienti;
  • configurazione di FILTRAGGIO IP E FIREWALL per limitare l’accesso ai soli sistemi autorizzati mediante IP, con adozione di sistemi di controllo dei comportamenti anomali per monitorare gli utenti autorizzati cui potrebbero essere state sottratte le credenziali o i dispositivi stessi.

SICUREZZA ORGANIZZATIVA

  • FORMAZIONE DEL PERSONALE periodica e continua, per garantire la corretta applicazione delle politiche e procedure di sicurezza ed evitare che l’elemento umano, soprattutto se neoassunto, possa costituire l’anello debole della catena della sicurezza;
  • redazione di POLICY chiare su utilizzo dei dispositivi, gestione degli allarmi, conservazione dei dati e procedure di risposta agli incidenti di sicurezza, così da garantire l’ACCOUNTABILITY (corretta ripartizione dei ruoli e delle responsabilità) ed essere in grado di rendicontare le attività svolte;
  • MONITORAGGIO CONTINUO dei log di sistema e audit periodici per identificare anomalie o tentativi di accesso non autorizzato;
  • REVISIONE PERIODICA DELLA DPIA per aggiornare i rischi e le misure di sicurezza in base all’evoluzione tecnologica e normativa.
  • STIPULAZIONE DI CONTRATTI DI NOMINA a DPA (responsabile del trattamento), conformi all’art. 28 del GDPR qualora il trattamento dei dati avvenga tramite terze parti (fornitori di servizi cloud, sviluppatori software ecc.)
  • CONTROLLO DA PARTE DELL’AUTORITÀ GARANTE per la protezione dei dati personali;
  • predisposizione di un piano dettagliato per la gestione delle violazioni dei dati (DATA BREACH RESPONSE PLAN), che includa la notifica al Garante per la privacy e agli interessati, in caso di necessità.

Ogni piano di reazione agli incidenti dovrebbe prevedere anche un paragrafo dedicato alla comunicazione di crisi, nel quale dovrebbe essere specificato come comunicare correttamente e con dovizia di particolari senza generare allarme ma garantendo che l’interessato sappia a chi rivolgersi per avere informazioni e aiuto su come comportarsi per limitare le conseguenze del data breach.

Informativa privacy specifica per l’AI

L’informativa privacy dev’essere uno strumento chiaro e completo, che vada oltre le formule generiche. Il documento deve ovviamente garantire il rispetto delle prescrizioni degli art. 12, 13 e 14 del GDPR (identità del titolare, finalità del trattamento, base giuridica, termini di conservazione, diritti dell’interessato) ma anche fornire dettagli sul tipo di intelligenza artificiale utilizzata, sul tipo di progetto (interamente opensource basato su fonti note e controllate o con presenza di possibili bias o blackbox che sfuggono al controllo del titolare).

assistenza sanitaria e GDPR

Il paziente ha il diritto di comprendere quanto il suo monitoraggio contribuirà all’addestramento progressivo dell’AI e se il processo di individuazione degli allarmi sarà basato su modelli comportamentali o sul riconoscimento dell’identità dell’interessato, specificando quali parametri saranno presi come riferimento per generare gli eventi (sofferenza del viso, movimenti, posture, lamenti e grida, frequenza respiratoria ecc.).

In nessun caso il processo di reazione all’evento potrà essere automatico, ma dovrà necessariamente essere coordinato da un operatore fisico. L’AI può generare l’allarme per garantire un intervento tempestivo ma la somministrazione di farmaci e cure è compito del personale sanitario.

Nella definizione delle informazioni da rendere tramite il documento si dovrà anche tener conto dei destinatari dei risultati delle elaborazioni e degli eventuali affidatari di compiti intermedi o di attività svolte per conto del titolare, al fine di garantire il rispetto della catena di sicurezza dei dati.

 

ARTICOLI CORRELATIALTRO DALL'AUTORE

LASCIA UN COMMENTO

Inserisci il tuo commento
Inserisci il tuo nome