IL RISCHIO CLINICO. DEFINIZIONE E GESTIONE

17 giu
Tempo di lettura: 7 min

Analizzeremo in un breve compendio articolato in più parti il tema del rischio clinico nell'ambito normativo della Legge Gelli Bianco e del DM 232/2023Il rischio clinico non è “sfortuna” né solo “errore del medico”. È la possibilità che, durante il percorso di cura, si verifichi un evento avverso che danneggia il paziente per cause legate all’organizzazione o all’erogazione delle cure.Oggi, la legge 24/2017 (legge Gelli‑Bianco), il d.m. 232/2023 e la legge 219/2017 sul consenso informato chiedono alle strutture sanitarie di gestire il rischio clinico in modo strutturato, trasparente e condiviso con il paziente.

Rischio clinico e sicurezza delle cure: cosa devono sapere le strutture

Il rischio clinico non è “sfortuna” né solo “errore del medico”. È la possibilità che, durante il percorso di cura, si verifichi un evento avverso che danneggia il paziente per cause legate all’organizzazione o all’erogazione delle cure.

Oggi, la legge 24/2017 (legge Gelli‑Bianco), il d.m. 232/2023 e la legge 219/2017 sul consenso informato chiedono alle strutture sanitarie di gestire il rischio clinico in modo strutturato, trasparente e condiviso con il paziente.

Che cos’è il rischio clinico, in parole semplici

Il rischio clinico è la probabilità che un paziente subisca un danno o un disagio dovuto a:

errori diagnostici o terapeutici;
infezioni contratte in ospedale o in altri contesti assistenziali;
carenze organizzative (mancanza di personale, strumenti, protocolli chiari);
difetti di comunicazione e di informazione, incluso un consenso informato incompleto o poco chiaro;
gestione inadeguata della documentazione sanitaria (cartelle cliniche confuse, dati mancanti).

Non si può azzerare il rischio clinico, ma si può e si deve ridurlo, organizzando la struttura in modo sicuro e trasparente.

Rischio clinico: non solo “errore medico"

Non riguarda solo il singolo medico, ma l’intero sistema (reparto, direzione, protocolli). Spesso nasce da una catena di piccoli problemi: un’informazione non trasmessa, un dato non registrato, un protocollo non aggiornato. La legge 24/2017 parla di sicurezza delle cure come parte del diritto alla salute: è un obbligo per le strutture, non un optional.

Cosa chiede la legge 24/2017 alle strutture sanitarie

La legge 24/2017 ha cambiato prospettiva perché mette al centro la sicurezza delle cure come componente del diritto alla salute; chiarisce che la struttura sanitaria (ospedale, clinica, RSA, ambulatorio) risponde contrattualmente dei danni subiti dal paziente, anche per l’operato dei professionisti che vi lavorano e valorizza il ruolo di linee guida e buone pratiche come parametro per valutare la correttezza delle cure.

In pratica, la struttura deve dimostrare di avere personale adeguato per numero e competenze; attrezzature idonee e funzionanti; protocolli aggiornati in linea con le conoscenze scientifiche e un sistema di gestione del rischio clinico (segnalazione eventi avversi, analisi, misure correttive).

Colpa organizzativa: quando è “colpa della struttura”

Si parla di colpa organizzativa quando il problema non è solo il gesto del singolo medico, ma il modo in cui la struttura è organizzata.

Esempi tipici:

mancano protocolli per prevenire infezioni post‑operatorie;
non c’è formazione adeguata sul consenso informato;
le apparecchiature per il monitoraggio del neonato sono insufficienti o inadeguate;
la cartella clinica è incompleta e non consente di ricostruire il percorso di cura.

In questi casi, la responsabilità ricade direttamente sulla struttura, che non ha organizzato correttamente il servizio.

Il D.M. 232/2023: sistemi di gestione del rischio clinico

Il d.m. 232/2023, attuativo della legge 24/2017, interviene sul “come” organizzare la gestione del rischio clinico e si inserisce in una linea chiara già tracciata prevedendo unità o funzioni dedicate al rischio clinico (risk management); procedure per segnalare e analizzare eventi avversi e “quasi errori” (near miss); protocolli interni per situazioni a rischio (interventi chirurgici, terapie complesse, prevenzione infezioni); formazione continua del personale su sicurezza, linee guida, consenso informato e privacy sanitaria; responsabilità ben definite per dirigenti apicali, direttori sanitari e responsabili di struttura complessa.

L’obiettivo è trasformare la gestione del rischio in un processo continuo, non in un adempimento occasionale.

Consenso informato: il cuore della legge 219/2017

La legge 219/2017 ha dato una cornice chiara al consenso informato e alle disposizioni anticipate di trattamento (DAT). Prevede che nessun trattamento sanitario può iniziare o proseguire senza il consenso libero e informato del paziente, salvo casi eccezionali previsti dalla legge.

In tal senso, il paziente ha diritto a informazioni su diagnosi e prognosi; su benefici e rischi di esami e trattamenti; sulle alternative possibili e sulle conseguenze del rifiuto o della rinuncia.

Inoltre, il consenso va documentato (scritto, videoregistrato o con strumenti adatti alla persona) e inserito in cartella clinica e/o nel fascicolo sanitario elettronico. Il paziente può rifiutare o revocare il consenso in qualsiasi momento, anche se il trattamento è necessario alla sopravvivenza.

Le strutture devono organizzarsi per garantire una corretta informazione e la formazione del personale.

Il consenso informato non è “solo una firma”

Ridurre il consenso informato a un modulo prestampato da firmare è uno degli errori più frequenti. Per essere valido, il consenso deve essere:

personalizzato sul caso concreto e sul tipo di intervento;
comprensibile (niente gergo tecnico incomprensibile);
completo sui rischi frequenti e su quelli più gravi, anche se rari;
documentato in cartella, comprese eventuali revoche o rifiuti.

Il tempo dedicato al colloquio medico‑paziente è considerato tempo di cura dall’art 1 comma 8 della legge 219/2017.

Come consenso informato e rischio clinico si tengono per mano

Un buon consenso informato è anche una potente misura di prevenzione del rischio clinico perché riduce incomprensioni e false aspettative; favorisce l’adesione del paziente alla terapia; aiuta a riconoscere e segnalare precocemente sintomi e complicanze; diminuisce il rischio di contenzioso, perché il paziente è stato messo in condizione di scegliere consapevolmente.

Al contrario, un consenso informato carente può generare due tipi di danno:

Danno alla salute: se il paziente, adeguatamente informato, avrebbe scelto un trattamento diverso.

Danno all’autodeterminazione: anche se il trattamento sanitario è tecnicamente corretto, il paziente può chiedere un risarcimento perché non è stato messo in condizione di decidere.

Esempio 1 – L’intervento “di routine” e la cataratta

Un paziente deve sottoporsi a un intervento di cataratta. Ha la pressione arteriosa molto alta, ma l’intervento viene eseguito ugualmente, senza ulteriore prudenza né approfondimenti. Dopo l’operazione, il paziente subisce una grave riduzione della vista.

In giudizio emerge che il quadro clinico avrebbe consigliato di rinviare l’intervento e stabilizzare prima la pressione; non sono stati adeguatamente valutati i rischi specifici nel caso concreto e l’informazione fornita al paziente era generica.

Risultato: responsabilità del medico e della struttura, per imprudenza e inadeguata gestione del rischio.

Esempio 2 – L’infezione dopo l’intervento

Una paziente viene operata e dimessa. Dopo pochi giorni sviluppa un’infezione nel sito chirurgico. Non ci sono state esposizioni successive a rischio.

Il tribunale chiede alla struttura di dimostrare quali misure di prevenzione delle infezioni sono adottate in sala operatoria e in reparto; se esistono protocolli scritti e se il personale è formato e se il caso è stato segnalato e analizzato come evento avverso.

La struttura non riesce a provare un sistema complessivo di prevenzione (protocolli incompleti, formazione sporadica, scarsa tracciabilità).

Risultato: responsabilità della struttura per colpa organizzativa e conseguente condanna al pagamento del risarcimento alla paziente.

Esempio 3 – Il consenso informato “in bianco”

Prima di un intervento complesso, un paziente firma un modulo di consenso informato molto generico, uguale per tutti gli interventi di quella specialità. Non si parla dei rischi specifici di quella procedura, né delle alternative.

Dopo l’intervento, si verifica una complicanza grave ma conosciuta in letteratura. Il paziente sostiene di non essere stato informato.

In giudizio, la struttura può esibire solo il modulo standard, senza note personalizzate o traccia del colloquio.

Risultato possibile: anche se la complicanza rientra nei rischi “accettabili”, il giudice può riconoscere un danno da mancata informazione (violazione dell’autodeterminazione) e condannare la struttura al risarcimento.

Infezioni correlate all’assistenza: cosa devono fare le strutture

Le infezioni correlate all’assistenza (ICA) sono uno dei fronti più delicati del rischio clinico.

La giurisprudenza richiede che la struttura dimostri un sistema complessivo di prevenzione (non basta dire “in sala operatoria sterilizziamo tutto”); protocolli scritti e aggiornati; formazione periodica del personale; collaborazione tra clinici, microbiologi, infettivologi, igienisti, epidemiologi; tracciabilità delle misure adottate per il singolo paziente.

I giudici valutano, tra l’altro:

quando è comparsa l’infezione (criterio temporale);

dove (in corrispondenza del sito chirurgico o altrove);

quali misure avrebbero dovuto essere adottate in base alle conoscenze scientifiche. [2]

Se la struttura non riesce a dare prova di un sistema efficace, la responsabilità è altamente probabile.

Documentazione sanitaria e privacy: un tassello del rischio clinico

Cartella clinica, referti, registri operatori, fascicolo sanitario elettronico non sono solo “carte”: sono strumenti di cura e, in caso di contenzioso, prove decisive.

La legge 24/2017 e il Codice Privacy (d.lgs. 196/2003) richiedono che:

la documentazione sia completa, leggibile e veritiera;

sia conservata in modo da garantirne integrità, riservatezza e disponibilità;

il paziente possa accedere rapidamente ai propri atti, entro termini brevi;

siano rispettati i principi del GDPR (minimizzazione, esattezza, limitazione della conservazione).

Una cartella clinica lacunosa o contraddittoria non solo ostacola la cura, ma indebolisce gravemente la posizione della struttura in giudizio.

Privacy e formazione del personale

Il Garante privacy ha più volte richiamato le strutture alla necessità di formare il personale sul trattamento dei dati sanitari; limitare l’accesso ai soli soggetti autorizzati ed evitare la diffusione ingiustificata di informazioni sensibili (es. in sala d’attesa, corridoi, elenchi visibili).

La violazione delle regole sulla privacy può tradursi in sanzioni e in ulteriori profili di responsabilità.

Responsabilità sanitaria: cosa rischia la struttura che non previene il rischio clinico

Se la struttura non adempie agli obblighi di prevenzione e gestione del rischio clinico, le ricadute possono essere pesanti:

Responsabilità civile: risarcimento dei danni alla salute e all’autodeterminazione del paziente, spesso per colpa organizzativa.
Responsabilità penale: nei casi più gravi (lesioni, decessi) per negligenza, imprudenza o imperizia; coinvolgimento non solo del medico, ma dei dirigenti responsabili dell’organizzazione.
Responsabilità disciplinare e deontologica: sanzioni interne e procedimenti davanti agli Ordini professionali per violazione delle regole di comportamento.
Profili privacy: sanzioni del Garante in caso di inadeguata tutela dei dati sanitari.

Cosa dovrebbero fare le strutture, in concreto

Per ridurre il rischio clinico e, insieme, il rischio di responsabilità, le strutture dovrebbero promuovere una cultura della sicurezza, che incoraggi la segnalazione degli errori senza paura di ritorsioni; integrare il consenso informato come processo continuo, non solo come modulo da firmare; aggiornare e diffondere linee guida e protocolli, verificandone l’effettiva applicazione; investire in formazione su comunicazione, consenso, gestione delle infezioni, privacy ed infine garantire la qualità della documentazione sanitaria, sia clinica sia informatica.

Referenze

[1] Codice della Responsabilità Civile diretto da Fabrizio Di Marzio — Codice Civile - art. 2043 - Risarcimento per fatto illecito.

[2] Memento Responsabilità civile — Responsabilità medica / Colpa medica / Complicanze

[3] Memento Responsabilità civile — Responsabilità medica / Informazione, consenso e autodeterminazione / Normativa

[4] Memento Responsabilità civile — Responsabilità medica / Informazione, consenso e autodeterminazione / Contenuto dell'informazione

[5] Memento Responsabilità civile — Cause di giustificazione / Consenso dell'avente diritto / Attività medica

[6] Memento Responsabilità civile — Responsabilità medica / Colpa medica / Prudenza

[7] Codice Privacy diretto da Luca Bolognini, Enrico Pelino — Decreto legislativo - 30/06/2003 - n. 196 - art. 92 - (Cartelle cliniche)

[8] Codice Privacy diretto da Luca Bolognini, Enrico Pelino — Garante per i dati personali - 9/11/2005 - n. 159810 - art. 0

[9] Memento Responsabilità civile — Responsabilità medica / Informazione, consenso e autodeterminazione / Disposizioni anticipate di trattamento (DAT)

[10] Codice Privacy diretto da Luca Bolognini, Enrico Pelino

Rischio clinico e sicurezza delle cure: cosa devono sapere le strutture

Il rischio clinico non è “sfortuna” né solo “errore del medico”. È la possibilità che, durante il percorso di cura, si verifichi un evento avverso che danneggia il paziente per cause legate all’organizzazione o all’erogazione delle cure.

Oggi, la legge 24/2017 (legge Gelli‑Bianco), il d.m. 232/2023 e la legge 219/2017 sul consenso informato chiedono alle strutture sanitarie di gestire il rischio clinico in modo strutturato, trasparente e condiviso con il paziente.

Che cos’è il rischio clinico, in parole semplici

Il rischio clinico è la probabilità che un paziente subisca un danno o un disagio dovuto a:

errori diagnostici o terapeutici;

infezioni contratte in ospedale o in altri contesti assistenziali;

carenze organizzative (mancanza di personale, strumenti, protocolli chiari);

difetti di comunicazione e di informazione, incluso un consenso informato incompleto o poco chiaro;

gestione inadeguata della documentazione sanitaria (cartelle cliniche confuse, dati mancanti).

Non si può azzerare il rischio clinico, ma si può e si deve ridurlo, organizzando la struttura in modo sicuro e trasparente.

Rischio clinico: non solo “errore medico"

Cosa chiede la legge 24/2017 alle strutture sanitarie

In pratica, la struttura deve dimostrare di avere personale adeguato per numero e competenze; attrezzature idonee e funzionanti; protocolli aggiornati in linea con le conoscenze scientifiche e un sistema di gestione del rischio clinico (segnalazione eventi avversi, analisi, misure correttive).

Colpa organizzativa: quando è “colpa della struttura”

Si parla di colpa organizzativa quando il problema non è solo il gesto del singolo medico, ma il modo in cui la struttura è organizzata.

Esempi tipici:

mancano protocolli per prevenire infezioni post‑operatorie;

non c’è formazione adeguata sul consenso informato;

le apparecchiature per il monitoraggio del neonato sono insufficienti o inadeguate;

la cartella clinica è incompleta e non consente di ricostruire il percorso di cura.

In questi casi, la responsabilità ricade direttamente sulla struttura, che non ha organizzato correttamente il servizio.

Il D.M. 232/2023: sistemi di gestione del rischio clinico

L’obiettivo è trasformare la gestione del rischio in un processo continuo, non in un adempimento occasionale.

Consenso informato: il cuore della legge 219/2017

La legge 219/2017 ha dato una cornice chiara al consenso informato e alle disposizioni anticipate di trattamento (DAT). Prevede che nessun trattamento sanitario può iniziare o proseguire senza il consenso libero e informato del paziente, salvo casi eccezionali previsti dalla legge.

In tal senso, il paziente ha diritto a informazioni su diagnosi e prognosi; su benefici e rischi di esami e trattamenti; sulle alternative possibili e sulle conseguenze del rifiuto o della rinuncia.

Le strutture devono organizzarsi per garantire una corretta informazione e la formazione del personale.

Il consenso informato non è “solo una firma”

Ridurre il consenso informato a un modulo prestampato da firmare è uno degli errori più frequenti. Per essere valido, il consenso deve essere:

personalizzato sul caso concreto e sul tipo di intervento;

comprensibile (niente gergo tecnico incomprensibile);

completo sui rischi frequenti e su quelli più gravi, anche se rari;

documentato in cartella, comprese eventuali revoche o rifiuti.

Il tempo dedicato al colloquio medico‑paziente è considerato tempo di cura dall’art 1 comma 8 della legge 219/2017.

Come consenso informato e rischio clinico si tengono per mano

Al contrario, un consenso informato carente può generare due tipi di danno:

Danno alla salute: se il paziente, adeguatamente informato, avrebbe scelto un trattamento diverso.

Danno all’autodeterminazione: anche se il trattamento sanitario è tecnicamente corretto, il paziente può chiedere un risarcimento perché non è stato messo in condizione di decidere.

Esempio 1 – L’intervento “di routine” e la cataratta

Un paziente deve sottoporsi a un intervento di cataratta. Ha la pressione arteriosa molto alta, ma l’intervento viene eseguito ugualmente, senza ulteriore prudenza né approfondimenti. Dopo l’operazione, il paziente subisce una grave riduzione della vista.

In giudizio emerge che il quadro clinico avrebbe consigliato di rinviare l’intervento e stabilizzare prima la pressione; non sono stati adeguatamente valutati i rischi specifici nel caso concreto e l’informazione fornita al paziente era generica.

Risultato: responsabilità del medico e della struttura, per imprudenza e inadeguata gestione del rischio.

Esempio 2 – L’infezione dopo l’intervento

Una paziente viene operata e dimessa. Dopo pochi giorni sviluppa un’infezione nel sito chirurgico. Non ci sono state esposizioni successive a rischio.

Il tribunale chiede alla struttura di dimostrare quali misure di prevenzione delle infezioni sono adottate in sala operatoria e in reparto; se esistono protocolli scritti e se il personale è formato e se il caso è stato segnalato e analizzato come evento avverso.

La struttura non riesce a provare un sistema complessivo di prevenzione (protocolli incompleti, formazione sporadica, scarsa tracciabilità).

Risultato: responsabilità della struttura per colpa organizzativa e conseguente condanna al pagamento del risarcimento alla paziente.

Esempio 3 – Il consenso informato “in bianco”

Prima di un intervento complesso, un paziente firma un modulo di consenso informato molto generico, uguale per tutti gli interventi di quella specialità. Non si parla dei rischi specifici di quella procedura, né delle alternative.

Dopo l’intervento, si verifica una complicanza grave ma conosciuta in letteratura. Il paziente sostiene di non essere stato informato.

In giudizio, la struttura può esibire solo il modulo standard, senza note personalizzate o traccia del colloquio.

Risultato possibile: anche se la complicanza rientra nei rischi “accettabili”, il giudice può riconoscere un danno da mancata informazione (violazione dell’autodeterminazione) e condannare la struttura al risarcimento.

Infezioni correlate all’assistenza: cosa devono fare le strutture

Le infezioni correlate all’assistenza (ICA) sono uno dei fronti più delicati del rischio clinico.

I giudici valutano, tra l’altro:

quando è comparsa l’infezione (criterio temporale);

dove (in corrispondenza del sito chirurgico o altrove);

quali misure avrebbero dovuto essere adottate in base alle conoscenze scientifiche. [2]

Se la struttura non riesce a dare prova di un sistema efficace, la responsabilità è altamente probabile.

Documentazione sanitaria e privacy: un tassello del rischio clinico

Cartella clinica, referti, registri operatori, fascicolo sanitario elettronico non sono solo “carte”: sono strumenti di cura e, in caso di contenzioso, prove decisive.

La legge 24/2017 e il Codice Privacy (d.lgs. 196/2003) richiedono che:

 la documentazione sia completa, leggibile e veritiera;

 sia conservata in modo da garantirne integrità, riservatezza e disponibilità;

 il paziente possa accedere rapidamente ai propri atti, entro termini brevi;

 siano rispettati i principi del GDPR (minimizzazione, esattezza, limitazione della conservazione).

Una cartella clinica lacunosa o contraddittoria non solo ostacola la cura, ma indebolisce gravemente la posizione della struttura in giudizio.

Privacy e formazione del personale

La violazione delle regole sulla privacy può tradursi in sanzioni e in ulteriori profili di responsabilità.

Responsabilità sanitaria: cosa rischia la struttura che non previene il rischio clinico

Se la struttura non adempie agli obblighi di prevenzione e gestione del rischio clinico, le ricadute possono essere pesanti:

Responsabilità civile: risarcimento dei danni alla salute e all’autodeterminazione del paziente, spesso per colpa organizzativa.

Responsabilità penale: nei casi più gravi (lesioni, decessi) per negligenza, imprudenza o imperizia; coinvolgimento non solo del medico, ma dei dirigenti responsabili dell’organizzazione.

Responsabilità disciplinare e deontologica: sanzioni interne e procedimenti davanti agli Ordini professionali per violazione delle regole di comportamento.

Profili privacy: sanzioni del Garante in caso di inadeguata tutela dei dati sanitari.

Cosa dovrebbero fare le strutture, in concreto

Referenze

[1] Codice della Responsabilità Civile diretto da Fabrizio Di Marzio — Codice Civile - art. 2043 - Risarcimento per fatto illecito.

[2] Memento Responsabilità civile — Responsabilità medica / Colpa medica / Complicanze

la documentazione sia completa, leggibile e veritiera;

sia conservata in modo da garantirne integrità, riservatezza e disponibilità;

il paziente possa accedere rapidamente ai propri atti, entro termini brevi;

siano rispettati i principi del GDPR (minimizzazione, esattezza, limitazione della conservazione).