Il 21 aprile 2021 la Commissione Europea ha presentato la nuova proposta di Regolamento sull’Intelligenza artificiale finalizzata a introdurre una disciplina armonizzata a livello comunitario sull’intelligenza artificiale. La proposta, che ora dovrà percorrere la lunga strada dell’approvazione a livello comunitario, è il primo esempio, a livello mondiale, di disciplina unitaria sull'Ai. Grande riconoscimento quindi alla capacità del Legislatore comunitario che per primo ha promosso una disciplina in materia con i dichiarati obiettivi di garantire la sicurezza dei sistemi di Ai, di aumentare la certezza del diritto per favorire gli investimenti, di tutelare dei diritti fondamentali dell’uomo, di sviluppare di un mercato unico che crei affidabilità nel cittadino (art. 1 del Proposta di Regolamento).

La portata del progetto comunitario è veramente ambiziosa e molto strutturata (ben 85 articoli); e infatti negli ultimi giorni è stato un rincorrersi di approfondimenti sulla stampa generica e su quella specializzata per mettere a fuoco i vari profili (qui una prima analisi del nostro studio). Ma per chi si occupa di dispositivi medici e di Ai in sanità, l’impatto è, a parer mio, ancor più rilevante.

Le similitudini con il Mdr

In primo luogo infatti la proposta di Regolamento ricalca, in maniera veramente aderente, l’architettura giuridica del nuovo Mdr (che in qualche punto sembra quasi copiato). Dopo aver infatti previsto all’art. 5 i sistemi di AI il cui utilizzo è vietato in Ue, gli articoli dal 6 al 52 disciplinano i sistemi di Ai ad alto rischio, tra cui devono obbligatoriamente farsi rientrare i Samd (art. 6 punto a e Allegato I sez A). Qui il legislatore percorre la stessa identica strada dell’Mdr: crea un sistema basato interamente sul risk approach e sulla implementazione di un sistema di gestione del rischio (art. 9) prevendendo:

• i requisiti che devono essere rispettati dai sistemi di AI ad Alto Rischio (art. 8-14),
• gli obblighi in capo al Provider (art. 16-24),
• quelli in capo al Rappresentante autorizzato (art. 25),
• quelli in capo all’Importatore (art. 26)
• quelli relativi al Distributore (art. 27)
• quelli afferenti all’Utilizzatore professionale (art. 29)

Viene poi disciplinato il sistema di accreditamento e funzionamento degli Organismi notificati (art. 30 all’art. 39), le norme armonizzate (art. 40) e le specifiche comuni (art. 41), nonché in maniera dettagliata i requisiti che dovrà avere il Certificato Ce che sarà rilasciato dal Nn dopo aver verificato la sussistenza dei requisiti CE (art. 44).

L’art. 48 prevede poi l’apposizione della marcatura Ce (art. 48) sul sistema di Ai, stabilendo che nel caso in cui tale sistema sia già sottoposto ad una disciplina del New legislative framework (come il Mdr), la marcatura sarà unica e darà prova del rispetto di tutti i requisiti (cioè nel caso di un Software as medical device-Samd sia quelli del Mdr che quelli del regolamento Ai). Infine, è previsto un obbligo di registrazione in specifica Banca dati comunitaria (art. 51 e 60) prima dell’immissione in commercio o messa in servizio.

Esattamente poi come nel Mdr, è previsto un dettagliato sistema di monitoraggio post marketing in capo al fornitore di Ai ad alto rischio (art. 61) e un obbligo di segnalazione degli incidenti e dei malfunzionamenti (art. 62) del tutto analogo al sistema di segnalazione dei Dm ed al sistema di Data breach del Gdpr; infine un sistema vigilanza sul mercato da parte delle autorità competenti perfettamente in linea con il sistema di vigilanza del Mdr e del nuovo reg. Ue 2019/2010. Diversamente dal Mdr (ma in linea con il Gdpr) è valorizzata poi creazione di Codice di Condotta (art. 69) e sono previste espressamente all’art. 71 le (rilevantissime) sanzioni che possono arrivare fino a 30 milioni di euro o al al 6% del fatturato mondiale totale annuo dell’azienda.

Orientamento per chi opera nel settore dell’Ai

La prima considerazione che sorge spontanea è questa: chi già lavora nel settore dei Samd sarà senza dubbio agevolato, se non altro perché chiamato a muoversi all’interno di architettura normativa che già conosce (anche dal punto di vista di obblighi, terminologia, adempimenti). Ma secondo me, vi è molto di più.

Seppur si tratti ad oggi solo di una proposta di Regolamento (e come tale non certamente obbligatoria), i contenuti della stessa possono certamente fungere, sin da ora, da faro di orientamento per chi già opera in Ai nel settore della sanità. La proposta infatti contiene norme che chiariscono molti aspetti che possono (anzi dovrebbero) già oggi essere oggi tenuti in considerazione da parte di chi progetta e realizza software di Ai in area sanitaria, in quanto integrano e declinano in maniera più precisa e puntuale principi che sono già contenuti sia nel Mdr e che Gdpr.

La responsabilità civile

A una prima lettura appare ad esempio di grande rilevanza l’art. 29 che disciplina in maniera espressa gli obblighi dell’Utilizzatore professionale (es. l’operatore sanitario): quest’ultimo viene espressamente chiamato non solo a seguire le istruzioni d’uso del provider (fabbricante Samd) ma altresì a controllare in maniera “attiva” il sistema di Ai, segnalando problemi o addirittura interrompendo il servizio se valuta la sussistenza di un rischio. Tale previsione (non contenuta nel Mdr) delinea quindi in maniera molto più chiara i rispettivi obblighi e conseguentemente aiuta a definire in maniera molto più precisa le possibili responsabilità, in linea con la Proposta Regolamento sulla responsabilità civile dei sistemi di Ai presentata in ambito Ue il 20 ottobre 2020 (si veda l’approfondimento del nostro studio sul tema).

Il collegamento con il Gdpr

Ma le parti più interessanti sono forse quelle relativa al ponte che si crea con il Gdpr. Né potrebbe essere diversamente tenendo conto che l’Ai “lavora” sui dati: anzi, per essere più precisi, l’Ai trova la sua “autonomia” (requisito qualificante per la stessa Ue) proprio in quella attività di “correlazione di dati” che l’uomo non è in grado di fare, o non a quella velocità (si pensi solo a titolo di esempio ad un sistema di Ai di diagnostica per immagini). Il tema dei dati è quindi al centro. In particolare se ne occupa l’art. 10 che disciplina in maniera dettagliata le governance da seguire per trattare i dati al fine di allenare i modelli di Ai, stabilendo che gli stessi devono essere rilevanti, rappresentativi, privi di errori, completi, e in possesso di tutte le proprietà statistiche appropriate per il contesto e in riferimento agli specifici gruppi di persone verso le quali troverà applicazione il sistema di Ai (aprendo altresì la possibilità del trattamento di dati sanitari – ma solo a tal fine – anche in capo al Provider di Ai).

La norma quindi può essere letta come una declinazione specifica dei principi di “fairness” e di “accuracy” contenuti all’art. 5 Gdpr, da applicarsi (anche oggi) nello specifico trattamento di dati finalizzati ad allenare il software (evitando quindi il rischio del c.d. garbage in-garbage out).

Nello stesso senso può essere letto l’art. 13 relativo agli obblighi di trasparenza e di informazione agli utenti secondo il quale i sistemi di Ai ad alto rischio sono progettati e sviluppati in modo tale da garantire che il loro funzionamento sia “sufficientemente trasparente” da consentire agli utenti di interpretare i risultati del sistema e di utilizzarli in modo appropriato: in questo senso la norma sembra voler declinare ed incrociare gli obblighi dell’Allegato I punto 23 del Mdr (Informazioni del fabbricante) e le previsione di trasparenza dell’art. 13 comma 2 lett. f) del Gdpr sulla trasparenza della logiche del software.

Il “secondary use”

Da ultimo – ma gli aspetti da segnalare sarebbero veramente tanti – la previsione di norme per il Supporto all’innovazione (art. 53 e 54) nell’ambito dei quali, all’interno di un sistema di “sandbox”, si ammette legislativamente la possibilità di “secondary use” dei dati per sviluppare e testare sistemi innovativi di Ai. Profilo che pur essendo legislativamente previsto per il trattamento da dati ai fini di ricerca scientifica all’art. 5 del Gdpr, non ha ancora trovato un definito ambito applicativo, neppure a livello comunitario (da ultimo le valutazioni contenute nel Edpb Document on response to the request from the European Commission for clarifications on the consistent application of the Gdpr, focusing on health research pubblicato il 2 febbraio 2021).