Metaverso nella sanità: quali implicazioni legali?

Da tempo si parla ormai di metaverso nella sanità come strumento dalle grandi potenzialità per aumentare le opportunità di cura, di ricerca e di formazione. Si immagini, ad esempio, una realtà virtuale in cui il medico possa “incontrare” il paziente o altri medici, in cui vengano scambiati dati in tempo reale che consentono di simulare situazioni concrete oppure strumenti virtuali e immersivi attraverso i quali medici in qualunque parte del mondo possano simulare interventi chirurgici per prepararsi ad affrontare nel modo migliore la sala operatoria se non addirittura operare da remoto. O ancora immaginiamo stanze virtuali in cui si possano incontrare medici e informatori scientifici e così via. Sono davvero tante le possibilità che si offrono anche nel settore della salute, la maggior parte delle quali ancora da immaginare.

Gli strumenti del diritto e le questioni aperte

Di fronte a così tante opportunità, il diritto si interroga su quali possano essere gli strumenti per gestire e regolare il fenomeno del metaverso nella sanità. Ovviamente non c’è ancora una risposta esaustiva a questo interrogativo in quanto, come sempre avviene quando il diritto “insegue” la scienza e la tecnologia, le specifiche questioni stanno emergendo progressivamente e piano piano si sta cercando di trovare risposte e soluzioni. E questo avviene spesso a singhiozzi, andando un po’ avanti e un po’ indietro, in un processo di ricerca del giusto bilanciamento tra interessi ed esigenze spesso contrapposte che richiede tempo e maturità per essere trovato, come anche la recente vicenda sul fronte privacy di ChatGPT ci sta insegnando. Ma per tornare alle questioni di natura prettamente legale che ruotano intorno all’uso del metaverso nella sanità, evidentemente queste saranno diverse a seconda della finalità che si intende perseguire attraverso l’utilizzo dello strumento. Il metaverso è una tecnologia, e dunque qualcosa di “neutro” dal punto di vista del diritto. Quello che rileva per valutare le implicazioni legali è che cosa si fa nel metaverso e come lo si fa.

Il metaverso per la cura

Quando parliamo di metaverso per il trattamento di una patologia, pensiamo a quei software e app che sono destinati ad essere utilizzati al fine di trattare una data patologia, a mitigarne i sintomi o a sostenere la riabilitazione, etc. In altre parole, stiamo pensando a software/app che ricadono nella definizione di dispositivi medici di cui al regolamento 745/2017 (MDR), per cui non possono che essere classificati come tali e dunque soggetti al percorso di certificazione e a tutti i requisiti di sicurezza e qualità previsti dal MDR. Preme però sottolineare che non tutti i software utilizzati in ambito sanitario sono dispositivi medici, in quanto è indispensabile che la finalità del software sia una di quelle espressamente previste dal MDR, come ribadito anche dalla giurisprudenza ­– sia della Corte di Giustizia dell’Unione Europea (sentenza del 7 dicembre 2017, causa C-329/16) che nazionale (TAR Milano, sentenza numero 452 depositata il 23 febbraio 2022). Questa stabilisce che “un software è un dispositivo medico quando è specificatamente destinato dal fabbricante ad essere impiegato per una o più delle finalità mediche stabilite nella definizione di dispositivo medico” e che “ciò non avviene nel caso di un software che, pur destinato a essere utilizzato in un contesto medico, ha tuttavia l’unico scopo di archiviare, memorizzare e trasmettere dati”. In queste circostanze il software, benché utilizzato in un contesto sanitario, non è un dispositivo medico.

Il metaverso per comunicare

Consideriamo dunque l’ipotesi in cui il metaverso venga utilizzato unicamente come una modalità più evoluta di comunicazione tra medico e paziente, attraverso cui, ad esempio, viene svolta una televisita. In questo caso, il metaverso sarebbe una modalità analoga, dal punto di vista giuridico, a una telefonata o videochiamata, con cui vengono trasmesse informazioni e forniti consigli medici o prescrizioni. In tal caso lo strumento non avrebbe una funzionalità medica e non sarebbe quindi considerato un dispositivo medico.

Differenze tra software: l’uso è dirimente

Al riguardo, proprio dal caso oggetto della sentenza del TAR menzionata in precedenza si evince chiaramente la distinzione tra software dispositivo medico e mero software di comunicazione e archiviazione dei dati: infatti, quel caso aveva ad oggetto sia il noleggio da parte di una struttura ospedaliera di apparecchiature elettromedicali necessarie all’acquisizione dei parametri dei pazienti (saturimetri ed elettrocardiografi), per i quali era ovviamente richiesta la marcatura CE, sia i servizi collegati all’archiviazione e gestione dei dati dei pazienti, dei dati di monitoraggio e di quelli relativi alla terapia e alle decisioni cliniche per i quali la certificazione CE non era richiesta. In quel caso il TAR ha confermato la bontà della valutazione effettuata dalla stazione appaltante, affermando che la piattaforma che si limita a classificare e archiviare i dati sanitari acquisiti tramiti apparecchi medicali creando una banca dati consultabile nell’ambito dell’erogazione dei servizi di telemedicina non è classificabile come dispositivo medico.

Le norme di riferimento

Dunque, nei casi in cui il software non sia classificabile come dispositivo medico, gli aspetti giuridici più rilevanti attengono probabilmente alla sicurezza con cui i dati vengono trasferiti e archiviati nell’ambiente virtuale (profili che peraltro sussistono ovviamente anche nel caso in cui il software sia qualificabile come dispositivo medico). Il principale riferimento normativo in questo caso sarebbe pertanto, oltre alla normativa generale sulla privacy, quella sulla telemedicina, declinata in base allo specifico strumento di telemedicina realizzato, che pone dei requisiti minimi di sicurezza per le piattaforme da utilizzare per i relativi servizi. Al riguardo, va segnalato che il decreto ministeriale del 21 settembre 2022 che fissa le linee guida per i servizi di telemedicina (ponendo requisiti funzionali e livelli di servizio) prevede che gli ambienti di produzione delle piattaforme di telemedicina siano erogati in “Cloud”secondo il modello di servizio SaaS (Software As A Service) o PaaS (Platform as a Service) e che:

1. la corretta segregazione ed isolamento dei dati e degli utenti deve avvenire a livello applicativo, utilizzando gli opportuni meccanismi di autenticazione e autorizzazione necessari per avere visibilità delle informazioni;
2. alla luce della tipologia di dati che verranno prodotti, acquisiti e scambiati dalle infrastrutture regionali di telemedicina (IRT) si identifica il livello del patrimonio informativo come “critico”, per cui sarà necessario orientare la progettazione della IRT verso uno dei seguenti modelli: cloud pubblico criptato (su territorio nazionale); privato/ibrido «su licenza» (su territorio nazionale) oppure privato (su territorio nazionale).

Il metaverso per la formazione

Il metaverso può essere utilizzato anche ai fini di training e formazione di medici e chirurghi con svariate modalità: ad esempio può essere creato un luogo virtuale nel quale i chirurghi possano “allenarsi” agli interventi o prepararsi alla sala operatoria simulando l’intervento tramite l’inserimento sulla piattaforma dei parametri dei pazienti. Anche in questo caso ci si deve interrogare sulla funzione specifica del singolo strumento di realtà virtuale ai fini della sua classificazione o meno come dispositivo medico, che in taluni casi sarà destinata unicamente alla formazione dei medici mentre in altri avrà un impatto più diretto sulla cura del paziente. Oppure, sempre per restare in ambito formativo, si possono immaginare incontri tra medici e informatori medico-scientifici in stanze virtuali appositamente dedicate. In tali ipotesi si tratta di comprendere come le regole sull’informazione medico-scientifica si possano applicare adattandole a questa diversa modalità. Ad esempio, come controllare la comunicazione dell’informatore “avatar”; come adattare i vincoli sul numero delle visite quando esiste una stanza virtuale sempre accessibile, etc. Questi sono solo alcuni dei molti interrogativi che potrebbero porsi.

Metaverso e intelligenza artificiale

La combinazione di metaverso e intelligenza artificiale, che accresce le potenzialità di tutti gli strumenti sopra menzionati, solleva poi gli ulteriori temi legati alla protezione dei dati personali e all’uso degli stessi come motori di questa tecnologia. Senza potersi addentrare ora in questi temi, è chiaro come l’attuale normativa italiana in materia di uso secondario di dati personali raccolti per scopi diversi sia particolarmente restrittiva (per il suo approccio spiccatamente “consenso-centrico”) e possa rappresentare un ostacolo allo sviluppo delle nuove tecnologie basate sull’intelligenza artificiale. Siamo quindi in attesa di scoprire come il metaverso verrà declinato nel mondo della sanità per vedere se e come la regolamentazione attuale sarà capace di adattarsi per affrontare anche queste nuove sfide.