L’ormai prossima scadenza (14.03.2026) del D.M. 232/23, decreto attuativo della Legge Gelli-Bianco (L. 24/2017)[1], sancisce definitivamente il termine dell’iter volto a riformare la responsabilità professionale in ambito sanitario. Questo tentativo di riforma parte da lontano: basti pensare alla creazione del SIMES (Sistema di monitoraggio degli eventi sentinella) nel 2009, al primo tentativo normativo con il Decreto Balduzzi (n. 158/2012), convertito nella Legge n. 189/2012, per giungere infine alla normativa attuale: la Legge Gelli-Bianco[2], appunto. Nel corso degli anni sia la giurisprudenza [3] che il legislatore hanno modificato il focus della responsabilità sanitaria, spostando il cuore della questione dal rapporto medico-paziente[4] al corretto funzionamento della struttura sanitaria dal punto di vista organizzativo e gestionale[5], finalizzato all’erogazione di una prestazione sanitaria di alta qualità.

Lo stesso titolo della Legge, “Disposizioni in materia di sicurezza delle cure e della persona assistita, nonché in materia di responsabilità professionale degli esercenti le professioni sanitarie”, sottolinea la visione del legislatore che pone al centro la sicurezza delle cure, obiettivo che deve essere perseguito da tutto il personale e che rappresenta uno degli aspetti precipui della qualità delle cure insieme ad altre determinanti come l’efficienza, l’efficacia, l’accessibilità, l’appropriatezza e molti altri[6].

La sicurezza delle cure — aspetto prioritario per ridurre l’errore e il conseguente contenzioso — va realizzata attraverso un’idonea prevenzione e un’adeguata gestione del rischio clinico, attuate mediante un uso concreto delle risorse organizzative, gestionali, tecnologiche e strutturali[7].

In sostanza, il percorso giuridico, in senso lato, ha reso possibile il passaggio da una concezione della prestazione sanitaria intesa come una serie di singoli atti medici a una nozione di attività organizzata erogata dalla struttura.

Si è passati da una responsabilità "da atti" a una responsabilità "da attività" in capo alla struttura.[8] Quest'ultima, a differenza di quanto previsto dalla normativa Balduzzi, oggi risponde in proprio ai sensi dell’art. 1218 c.c. (per inadempimento da carenze organizzative), sia ai sensi dell’art. 1228 c.c. (per il comportamento colposo dei propri ausiliari sanitari).

La responsabilità della struttura sanitaria è stata quindi sempre più assimilata concettualmente a quella generale d’impresa (normata per i suoi aspetti specifici dal D.Lgs. 231/2001, pur non essendo gli enti sanitari economici in senso stretto)[9], in cui vengono ad essere oggetto di giudizio le scelte strategiche prese dai vertici aziendali , che decidono l’allocazione delle risorse e determinano l’operatività della struttura[10].

In ambito odontoiatrico, per come si è sviluppata l’erogazione della prestazione, non vi sono differenze tra lo studio monoprofessionale e le forme più organizzate, poiché, per la definizione di struttura, conta la tipologia di organizzazione necessaria (apparecchi radiologici, riuniti, ecc.).

Basti pensare che, per l’esecuzione di una prestazione corretta, è spesso richiesta un’organizzazione perfettamente strutturata, come accade nel trattamento multidisciplinare di un paziente, in cui la responsabilità d’équipe è strettamente collegata a quella organizzativa, laddove professionisti con competenze diverse si alternano nella cura del medesimo paziente.

Peraltro, come in tutto l’ambito sanitario, poi, non va certamente dimenticato l’aspetto tecnologico che è posto al servizio dell’operatore sanitario e che deve essere adeguato e rinnovato costantemente. La prestazione sanitaria, anche in ambito odontoiatrico, non si limita più, quindi, all’atto medico sensu strictiori, ma diventa un quid molto più complesso.

In questo modo, le responsabilità della struttura sanitaria restano separate, in tema di malpractice medica in senso stretto, da quelle organizzative, pur essendo ontologicamente collegate tutte le prestazioni fornite in un unicum teso alla sicurezza e alla qualità della cura[11].

Prima di addentrarci nell’analisi di che cosa possa cambiare per il personale sanitario (e, in particolare, per quei sanitari che rivestono all’interno della struttura un ruolo apicale, come il direttore sanitario) con questa nuova visione della responsabilità sanitaria, è fondamentale sottolineare che non vi è alcuna differenza, ai fini delle norme di responsabilità, tra strutture sanitarie pubbliche o private (Cass. Sez. Un. 11.01.2008 n. 572).

Da quanto detto in precedenza, è evidente che un ruolo determinante in tema di responsabilità sanitaria è dato da una corretta attività di Governance clinica , da intendersi secondo la definizione di Donaldson[12] come “il sistema, o modello di gestione, attraverso il quale le organizzazioni sanitarie si rendono responsabili del miglioramento continuo dei loro servizi e garantiscono elevati standard di performance assistenziale, assicurando le condizioni ottimali nelle quali viene favorita l’eccellenza clinica”[13]. Le linee di indirizzo della Governance clinica devono essere tracciate obbligatoriamente dal personale sanitario, in particolare dal direttore sanitario, che rende comprensibile ai vertici aziendali (se non medici/odontoiatri) la necessità di allocare le risorse in base alle esigenze della struttura. Infatti, tra i compiti del Direttore Sanitario vi è anche la direzione dei servizi organizzativi , in cui si può certamente inquadrare la gestione del rischio clinico[14].

Questi obblighi non si limitano al rispetto delle linee guida, ma devono essere "adeguati" sartorialmente alle specificità della struttura.

Una volta di più si ribadisce che il direttore sanitario non riveste un ruolo esclusivamente formale, ma che all’interno della struttura svolge compiti sostanziali, tra cui rientra, a pieno titolo, la necessità di rispettare la normativa vigente e, nel caso di specie, la gestione del rischio clinico.

A questo proposito non si può certamente sottacere che l’ambito odontoiatrico sconta un gap notevole rispetto alle altre specialità mediche nel clinical risk management, gap collegato alla modalità ontologica dell’odontoiatria ed a quella di erogazione delle prestazioni odontoiatriche.

Infatti gli eventi avversi in odontoiatria appaiono essere meno catastrofici rispetto a quanto accade nelle altre specialità e l’individuazione di eventi avversi in odontoiatria si è dovuta giovare di una comparazione con altri ambiti specialistici da cui mutuare una classificazione (“Classifying Adverse Events in the Dental Office” - J Patient Saf 2021 September 01 Kalendarian ed AA).

Da tutto quanto esposto ne discende che il dettato del D.M. 232/23, che prevede l’istituzione del C.V.S. (Comitato Valutazione Sinistri), la cui figura centrale è rappresentata dal Risk Manager, ossia colui che individua, analizza e monitora i rischi clinici della struttura, diventa un passaggio ineludibile per qualsiasi attività odontoiatrica. Secondo la L. 208/2015, tale figura deve essere uno specialista in igiene, in medicina legale, ovvero personale con adeguata formazione e comprovata esperienza triennale nell’ambito della gestione del rischio clinico[15].

Va sottolineato che l’attività del C.V.S. si svolge attraverso un iter che comprende l’intero panorama della sicurezza delle cure, partendo dall’identificazione del rischio, passando all’analisi, alla correzione e al monitoraggio[16].

Come sa bene chi si occupa di rischio clinico gli eventi avversi presentano una quota parte ineliminabile ed è a questo residuo numerico che si rivolge l’attività dei restanti componenti del C.V.S. Infatti Il C.V.S. è composto, oltre che dal Risk Manager, da un avvocato con competenze in responsabilità sanitaria; uno specialista in medicina legale; un loss adjuster (esperto in liquidazioni).

Lo scopo del gruppo è trattare i casi di eventi avversi per i quali è stata presentata una richiesta di risarcimento, fornendo un parere motivato sul percorso da seguire.

In questo caso, il C.V.S. tratta per conto della struttura la richiesta, fornendo un parere motivato sulla strategia da adottare, tenendo conto della correttezza della richiesta e del percorso diagnostico-terapeutico del caso di specie.

Per questo motivo, entro il 16.03.26 (con un lasso di tempo di due anni dalla promulgazione), tutte le strutture sanitarie, es. socio-sanitarie, pubbliche e private, dovranno dotarsi di una funzione di valutazione del rischio clinico e del cd. C.V.S.

La mancata dotazione comporta un inadempimento normativo rispetto all'obiettivo di sicurezza delle cure e ciò può ripercuotersi direttamente anche sull’assicurabilità della struttura medesima, in quanto, oggi, le compagnie assicurative prestano particolare attenzione all’aspetto relativo alla gestione del rischio clinico, tanto che, attraverso questionari dedicati, la dimostrazione di una corretta gestione del rischio clinico può influire sull'adeguamento del premio o sulla copertura stessa della responsabilità contrattuale.

È dunque necessario che, nel contesto delle strutture sanitarie odontoiatriche private , le figure apicali sanitarie (Direttori Sanitari) acquisiscano piena consapevolezza sull'importanza del C.V.S. e, in particolare, sulla funzione del risk manager che abbia la qualifica prevista dalla normativa vigente (L. 208/2015 , art. 1, comma 540).

Per ragioni di opportunità, soprattutto nel settore privato, sarebbe preferibile non far coincidere la figura del Direttore Sanitario con quella del Risk Manager, qualora il primo non abbia effettivo potere di intervento nella programmazione. Ovviamente, questa consapevolezza deve essere patrimonio anche dei vertici aziendali amministrativi, in quanto, con una corretta allocazione delle risorse e con le scelte strategiche in tema di istituzione del C.V.S ., definiscono, declinano, delineano e impattano sia sull’organizzazione della propria struttura che sulla sicurezza (leggi qualità) delle prestazioni fornite.

Giova, poi, ricordare che il D.M. . 232/23 offre la possibilità che, attraverso un’idonea gestione del rischio clinico, la struttura possa adottare una tipologia di trasferimento della responsabilità civile verso terzi diversa da quella tradizionale (vedi classica assicurazione) mediante un sistema di auto – ritenzione totale del rischio (per cui la struttura opta per auto – tutelarsi) o mediante una SIR (Self Insurance Risk) in cui la struttura assicura solo una parte del rischio ovvero lo ritiene in toto[17].

A tale proposito, va sottolineato che le scelte strategiche spettano ai vertici aziendali secondo il principio previsto dal BJR (Business Judgment Rule ma va tenuto presente che la scelta aziendale è insindacabile soltanto se "adeguata" al contesto.

È evidente che l’eventuale ritardo rispetto alla tempistica prevista dalla normativa (come pare di capire allo stato attuale per diverse strutture) , ovvero la mancata aderenza al dettato normativo, configura una scelta aziendale “non adeguata” in termini di ottemperanza alla normativa, per cui i vertici aziendali, amministrativi e sanitari possono essere chiamati a risponderne.

Dott.ssa Giulia Ciccarelli – Legal Strategy & Compliance Advisor SIOF

Dott. Enrico Ciccarelli – Consigliere Nazionale SIOF, Medico-Legale & Chief Officer in Risk Governance Sanitaria

Avv. Michele Lucca – Consigliere Nazionale SIOF, Senior Specialist in Tort Law and Insurance Litigation

[1]Hazan, Martini e Rodolfi (a cura di), Il decreto attuativo della legge Gelli-Bianco. Commento al d.m. 15 dicembre 2023, n. 232, Milano 2024.

[2] Piras, Imperitia sine culpa non datur. A proposito del nuovo art. 590 sexies c.p., in www.penalecontemporaneo.it, 1 marzo 2017; Poli, Il ddl Gelli-Bianco: verso un’ennesima occasione persa di adeguamento della responsabilità penale del medico ai principi costituzionali?, ibidem, 20 febbraio 2017; Caletti-Mattheudakis, Una prima lettura della legge Gelli-Banco nella prospettiva del diritto penale, in Dir. pen. cont., 9 marzo 2017.

[3] Cass. Sez. III, n. 6141 del 21 dicembre 1978: “la responsabilità di un ente ospedaliero… è di natura contrattuale, poiché l’ente, obbligandosi ad eseguire le prestazioni, ha concluso col paziente un contratto d’opera intellettuale”; parlano di contratto atipico c.d. di spedalità Cass. 26 gennaio 2006, n. 1698, in Danno e resp., 2006, 953 ss., con le puntuali annotazioni di R. Breda, Responsabilità del medico e della struttura sanitaria; impostazione confermata da Cass., SS.UU., 1° luglio 2002, n. 9556, in Nuova giur. civ. comm., 2003, 689 ss., con nota di L. Favilli, La risarcibilità del danno morale da lesioni del congiunto: l’intervento dirimente delle Sezioni Unite. Cass., SS.UU., 11 gennaio 2008, n. 577, in Danno e resp., 2008, 788-792, con nota di G. Vinciguerra, Nuovi assetti della responsabilità medica.

[4] Cfr. già Cass. Civ., sentenze nn. 13066/04; 571/05; 2042/05; 1698/06; 23918/06; 13953/07 hanno ripetuto il principio per cui il rapporto che si instaura tra paziente e casa di cura (o ente ospedaliero) ha la sua fonte in un atipico contratto a prestazioni corrispettive con effetti protettivi nei confronti del terzo, da cui, a fronte dell'obbligazione al pagamento del corrispettivo (che ben può essere adempiuta dal paziente, dall'assicuratore, dal S.s.n. o da altro ente), insorgono a carico della casa di cura (o dell'ente), accanto a quelli di tipo "lato sensu" alberghieri, obblighi di messa a disposizione del personale medico ausiliario, del personale paramedico e dell'apprestamento di tutte le attrezzature necessarie, anche in vista di eventuali complicazioni od emergenze. Ne consegue che la responsabilità della casa di cura (o dell'ente) nei confronti del paziente ha natura contrattuale e può conseguire, ai sensi dell'art. 1218 c.c., all'inadempimento delle obbligazioni direttamente a suo carico, nonché, in virtù dell'art. 1228 c.c., all'inadempimento della prestazione medico-professionale svolta direttamente dal sanitario, quale suo ausiliario necessario pur in assenza di un rapporto di lavoro subordinato, comunque sussistendo un collegamento tra la prestazione da costui effettuata e la sua organizzazione aziendale, non rilevando in contrario al riguardo la circostanza che il sanitario risulti essere anche "di fiducia" dello stesso paziente, o comunque dal medesimo scelto. In dottrina Giacobbe E., Brevi osservazioni sul danno da «nascita indesiderata», ovvero un bambino malformato non ha diritto a nascere, in Resp. civ. prev., 2005, I, 2129; Nocco, Il danno da perdita di chances, in Danno resp., 2005, 45; in Giur. it., 2006, 281; Leonardi, La responsabilità della struttura sanitaria: riflessi assicurativi, in Resp. civ. prev., 2005, 1385.

[5] Descrive come Balduzzi (2012) e Gelli-Bianco (2017) abbiano codificato questo shift, ponendo il focus su risk management aziendale e sicurezza cure, Luciano Guaglione, L’evoluzione giurisprudenziale della colpa medica, in www.magistraturaindipendente.it, che ha tracciato questa transizione: dal "contatto sociale" alla responsabilità contrattuale ex art. 1218 c.c. delle strutture, enfatizzando inadempimenti organizzativi su quelli colposi del singolo medico; cfr. anche S. Calvigioni, Linee guida e buone pratiche clinico-assistenziali, in I profili processuali della nuova disciplina sulla responsabilità sanitaria, A.D. De Santis (a cura di), p. 205 ss.; integrano questa visione, legandola a linee guida LG e centri rischio clinico per erogazione prestazioni sicure Macrì - Molendini - Monturano, Gestione integrata del rischio clinico e del rischio assicurativo, in Giornale Italiano di Ortopedia e Traumatologia, 2015, 41, 159-164.

[6] Così M. Hazan-S. Centonze, Responsabilità medica: al via la nuova legge sul rischio clinico e la sicurezza delle cure, in Quotidiano giuridico, 20 marzo 2017, 1 ss.

[7] Fidelia Cascini, Micaela La Regina, Walter Ricciardi e Riccardo Tartaglia (a cura di), Manuale di sicurezza del paziente e gestione del rischio clinico, (2022), cit.

[8] Diversi autori hanno trattato il passaggio dalla responsabilità del medico per "atti" specifici (colpa professionale individuale) a quella della struttura per "attività" complessiva (inadempimento contrattuale ex art. 1218 c.c., con rischio da ausiliari ex art. 1228 c.c.); v. Antonio Serpetti di Querciara, Le responsabilità del medico e della struttura sono pari, in SIMLAWEB del 09/11/2023; la Cassazione (es. sent. n. 28987/2019 e n. 5380/2023) ha consolidato questo orientamento.

[9] Cfr. Donatello Cimadomo, Responsabilità penale degli apicali nelle strutture sanitarie e neutralizzazione della colpa di organizzazione, in Gelli - Hazan – Zorzit – Codrino (a cura di), L'attuazione della legge Gelli e la TUN: responsabilità, danno e assicurazione, Milano 2026, p. 383, ove si rileva che “le strutture sanitarie sono aziende sanitarie locali o aziende ospedaliere da considerarsi enti pubblici non economici, esclusi dall’art. 1, comma 3, d.lgs. n. 231 del 2001 e sono, dunque, fuori dal “perimetro” della responsabilità dell’ente dipendente da reato”.

[10] Cimadoro, ibidem, p. 384 rileva “che i profili di responsabilità che coinvolgono le strutture sanitarie, per gli aspetti specifici inerenti alla salute del paziente, viaggiano su un “binario parallelo” rispetto alla disciplina prevista dal d.lgs. n. 231/2001 e rispondono a specifici obiettivi del legislatore, individuati nella disciplina ad hoc, che pone al centro la tutela della salute”.

[11] v. H. Mintzberg, La progettazione dell’organizzazione aziendale, Bologna, 1996, 291 ss.

[12] La citazione è attribuita a Liam Donaldson, ex Chief Medical Officer del Regno Unito e pioniere del clinical governance.

[13] Walter Ricciardi e Fidelia Cascini nel "Manuale di sicurezza del paziente e gestione del rischio clinico", cit., riprendono questa definizione per spiegare il clinical governance come framework per SIMES e Legge Balduzzi; IRER (2009), Risk management in sanità: strategie, modelli di attuazione, analisi comparata fra alcune regioni italiane e stati europei. L'integrazione con i sistemi di valutazione della qualità (Codice IReR: 2007B044), la contestualizzano nei protocolli eventi sentinella, spostando il focus organizzativo.

[14] Cfr. Cass., Sez. IV, 8 novembre 2013, n. 7597, in CED Cass., Rv. 259125 e in DeJure.

[15] Diversi autori e documenti istituzionali italiani hanno approfondito il ruolo del risk manager (o gestore del rischio clinico), descrivendolo come figura chiave per individuare, analizzare, correggere e monitorare i rischi nelle strutture sanitarie. Fidelia Cascini, Micaela La Regina, Walter Ricciardi e Roberto Tartaglia nel "Manuale di sicurezza del paziente e gestione del rischio clinico", cit., definiscono il risk manager come coordinatore del clinical governance, responsabile di protocolli no-blame; SIMES, citando i requisiti della L. 208/2015 per garantire compliance normativa. ANMDO in "La gestione del rischio clinico nell'Organizzazione Sanitaria" (2016) lo presenta come figura multidisciplinare per eventi sentinella, enfatizzando la triennale esperienza richiesta per mitigare inadempimenti ex art. 1218 c.c.; Pacileo - Declame, Interventi per la prevenzione del rischio clinico: Il caso dell'Azienda Ospedaliera di Alessandria, FrancoAngeli, 2023, notano ritardi nell’implementazione della figura post-L. 208/2015, criticando carenze di personale qualificato nelle strutture private.

[16] Tiziana Frittelli, Funzioni per il governo del rischio assicurativo e valutazione dei sinistri, in Hazan - Rodolfi - Martini (a cura di), Il decreto attuativo della legge Gelli-Bianco, Milano 2024, 145 ss.

[17] Paolo De Angelis, Le altre analoghe misure di assunzione diretta del rischio. Una riflessione dal punto di vista tecnico-attuariale, ibidem, 115 ss.