Nuove frontiere dell'assistenza sanitaria in tempi di COVID-19: gli aspetti penali della telemedicina

La diffusione dell'epidemia da Coronavirus ha profondamento inciso la vita di medici, infermieri, farmacisti, operatori sanitari e sociosanitari. Gli esercenti le professioni sanitarie stanno affrontando i risvolti di una malattia che li ha posti in seria difficoltà, e che, al contempo, li ha esposti a un accresciuto rischio di errori. Tra le possibili fonti dell'errore clinico, ve ne sono alcune che mediano ed intersecano le conseguenze che la gestione dell'emergenza ha riversato nella trattazione di pazienti “no-Covid”, ai quali non si è potuta garantire la normale assistenza, e nei cui confronti è ben possibile siano stati commessi errori. L'“indotto” dell'emergenza sanitaria comprende, tra l'altro, l'utilizzo estensivo, al fine di limitare al massimo le occasioni di contagio, del telefono e di altri strumenti di comunicazione, insieme con l'implementazione di strumenti di telemedicina, ancora non perfettamente calibrata sull'assistenza territoriale: un approccio assistenziale “da remoto” che porta con sé una quota significativa di aumento del rischio clinico. Una delle modalità attraverso cui si esplica l'assistenza medica “da remoto” vede l'impiego dell'intelligenza artificiale (IA) che, attraverso la robotica clinica, la robotica per la riabilitazione e la robotica di assistenza, ha consentito, complessivamente, di migliorare la qualità e il livello di sicurezza delle prestazioni sanitarie. Per quanto concerne la robotica di assistenza, numerosi sono i sistemi automatizzati in grado di svolgere le attività infermieristiche comuni, come monitorare i parametri vitali, curare l'igiene dei pazienti o medicare le loro ferite. Questa tipologia di IA è stata particolarmente utile durante l'emergenza sanitaria dovuta alla diffusione dell'infezione SARS-CoV-2: alcuni robot sono stati impiegati in taluni nosocomi italiani, infatti, per contenere il carico di lavoro del personale infermieristico e ridurre i contatti con i malati contagiosi. La sempre più massiccia applicazione di tali tecnologie pare destinata ad imporre una rivisitazione dei possibili profili penali della responsabilità medica, per come sin qui conosciuta.

Sono soltanto due le sentenze del Supremo collegio che si sono occupate ex professo dell'assistenza medica “da remoto”.

Tuttavia la loro analisi può essere utilizzata come “punto di partenza” per un ulteriore approfondimento.

In ordine cronologico, va segnalata, dapprima, Cass. pen. Sez. IV, 03/12/2015, n. 2541 perché svolge delle importanti considerazioni su quelle che possono essere le implicazioni operative dell'introduzione di nuovi sistemi medici, quali la telemetria, in un complesso ospedaliero, con particolare riferimento alla ripartizione delle responsabilità tra il personale coinvolto.

Rilevante appare poi Cass. pen. Sez. III, Sent., (ud. 20/06/2019) 17-09-2019, n. 38485, destinata verosimilmente ad ampliare lo spazio operativo della telemedicina in quanto ha escluso la necessità di autorizzazione sanitaria in caso di mera raccolta dati nell'ambito di un servizio di telemedicina con successivo invio al medico per la refertazione.

La ripartizione di responsabilità apportata dall'introduzione delle nuove tecnologie. La citata sentenza della Cassazione penale, IV sezione, 21 gennaio 2016 n. 2541, ha stabilito importanti principi di diritto nei rapporti tra medici e infermieri per quanto concerne il riparto di competenze nell'impiego delle nuove tecnologie.

Ad un paziente ricoverato presso l'unità coronarica dell'ospedale di Livorno veniva applicato un apparecchio telemetrico i cui allarmi erano stati sospesi a “tempo indeterminato”. Insorgeva al paziente una fibrillazione ventricolare (ad allarme sonoro disattivato dunque), ma regolarmente segnalata dal monitor centrale, peraltro privo di vigilanza, in quanto i due infermieri e il medico in servizio erano impegnati in altre due necessarie attività e perciò impediti al controllo dei monitor. L'assenza di allertamento determinava il mancato intervento terapeutico risolutivo della crisi con conseguente exitus del paziente.

Veniva tratto a giudizio il direttore della divisione di cardiologia e unità di terapia intensiva dell'ospedale di Livorno chiamato a rispondere di omicidio colposo: a) per avere omesso di verificare “al momento del trasloco dell'U.T.I.C. [acronimo di unità terapia intensiva coronarica] presso la nuova struttura nel febbraio 2006, che il mantenimento della precedente turnazione di tre infermieri professionali complessivi, non adeguato alla nuova logistica del reparto, dove uno dei tre infermieri si sarebbe trovato in locali diversi dell'U.T.I.C. e materialmente impossibilitato al controllo dell'apparecchiatura di monitoraggio, comportava la formale scomparsa della funzione di controllo dal piano di lavoro, nonché il sostanziale impedimento della stessa nelle occasioni in cui gli infermieri professionali presenti in U.T.I.C. fossero stati completamente assorbiti dalle incombenze ordinarie e straordinarie del reparto”; b) per “aver omesso di vigilare, in occasione della contemporanea installazione del nuovo impianto di monitoraggio Philips, sulla esaustività della formazione del personale addetto al reparto in merito alle modalità di utilizzo delle apparecchiature telemetriche in dotazione all'unità di terapia sub-intensiva, nonché sul corretto e sufficiente livello di apprendimento raggiunto da ciascuno con particolare riferimento ai comandi di sospensione/riattivazione degli allarmi sonori e alla loro visualizzazione in video”.

In primo grado il Tribunale di Livorno assolveva il direttore per la contestazione sub a) per “non avere commesso il fatto” e per quella sub b) perché “il fatto non sussiste”.

I giudici livornesi, dopo avere stigmatizzato il fatto che un intervento tempestivo avrebbe potuto salvare il paziente, hanno fatto notare che le due infermiere in servizio, uniche presenti nell'Utic in quei momenti, “erano impegnate nell'assistenza urgente di altri pazienti e non erano pertanto 'in grado di permanere nella guardiola davanti al monitor della postazione centrale, ove sono consultabili le tracce delle telemetrie” e solo l'allarme sonoro – però disattivato – avrebbe potuto portare al loro intervento.

I giudici livornesi inoltre hanno esaminato distintamente i due profili di colpa attribuiti al primario. Quanto alla omessa valutazione dell'inadeguatezza del nuovo piano infermieristico, in occasione del trasferimento dalla vecchia Utic al nuovo reparto Utic era emerso dal dibattimento che il primario si fosse adoperato presso la “dirigenza amministrativa” nella segnalazione della carenza di personale infermieristico. Sicché il Tribunale aveva trasmesso gli atti alla Procura della Repubblica affinché valutasse eventuale profili di reato proprio sulla “dirigenza amministrativa”, verosimilmente nei confronti del direttore generale.

Quanto invece alla condotta di carattere omissivo relativa alla “omessa vigilanza sulla formazione del personale infermieristico”, dopo avere precisato gli aspetti dell'opera di formazione posta in essere dal tecnico esterno, il Tribunale di Livorno ha avuto modo di precisare che “la responsabilità della formazione e della informazione del personale infermieristico è un compito che esula dalle prerogative dirigenziali del Direttore o Primario di reparto per essere affidato alla autonomia organizzativa del personale infermieristico”.

Inoltre facendo riferimento alla normativa in vigore, i giudici labronici proseguono affermando che “si può concludere che, così come non rientrava tra i compiti del primario organizzare i corsi per la formazione del personale infermieristico sul nuovo sistema di monitoraggio del reparto, così neppure poteva pretendersi dal predetto una puntuale verifica preliminare della piena conoscenza del sistema da parte dei singoli operatori”; invero la responsabilità del primario andava circoscritta “ai compiti di vigilanza e controllo generali, dovendo fare affidamento all'autonomia professionale e organizzativa del personale infermieristico per quanto attiene all'aggiornamento professionale”.
In secondo grado la Corte di appello di Firenze riformava, però, la sentenza condannando il primario per il secondo profilo di colpa contestato e assolvendolo sul primo. I giudici fiorentini hanno contestato il mancato intervento del direttore che, pur conoscendo le difficoltà che il nuovo, e non collaudato, sistema telemetrico aveva comportato, non si era assicurato della “esaustiva capacità degli infermieri di utilizzare correttamente le apparecchiature telematiche”, condannandolo alla pena di mesi sei di reclusione.

Il primario ricorreva per Cassazione: ne seguiva, in questa sede, la contestazione operata dai supremi giudici alle motivazioni di condanna del primario da parte della Corte di appello che “ha ricostruito gli obblighi di garanzia riferibili alla figura del direttore di reparto ospedaliere (cd. primario) nei confronti del personale infermieristico secondo una prospettiva che si è sviluppata sulla falsa riga di quanto stabilito per gli obblighi di formazione gravanti sul datore di lavoro” le cui finalità, rispetto alla classica responsabilità professionale, sono però evidentemente diverse.
Inoltre, continua la Cassazione, la Corte di appello di Firenze “non ha tenuto conto delle specifiche normative in materia, che invece erano state analiticamente esaminate dal giudice di primo grado al fine di addivenire alla conclusione che non rientrava tra i compiti del primario organizzare i corsi per la formazione del personale infermieristico sul nuovo sistema di monitoraggio del reparto e neppure verificare la piena conoscenza del sistema da parte dei singoli operatori”.

La Cassazione ha ricordato che nella sua precedente giurisprudenza ha già avuto modo di individuare in capo all'infermiere una specifica posizione di garanzia nei confronti del paziente “del tutto autonoma” rispetto a quella del medico e che le normative non riconducono più l'infermiere come “ausiliario del medico”, ma come “professionista sanitario”.

Inoltre la Cassazione ha fatto proprie le motivazioni della sentenza di assoluzione del direttore operate dal Tribunale di Livorno: “... le UTIC sono state introdotte negli anni '60 e sono caratterizzate da un'area di degenza dove si esercita una sorveglianza diretta e continua del paziente da parte del personale infermieristico in grado di intervenire autonomamente ed immediatamente alla comparsa di un'aritmia minacciosa; l'UTIC è caratterizzata, cioè, da personale che fa un training specifico e che non è mero esecutore, ma in qualche modo agisce da medico, essendo in grado di agire terapeuticamente in autonomia nell'immediatezza anche senza la presenza del medico”.

Ne è conseguito l'annullamento della sentenza, sia pure con rinvio ad altra sezione della Corte di appello di Firenze.

L'autorizzazione sanitaria. La mera raccolta dati nell'ambito di un servizio di telemedicina con successivo invio al medico per la refertazione non richiede l'autorizzazione sanitaria: questa, in sintesi, la decisione della Cassazione penale, Sez. III 17 settembre 2019, n. 38485. Si tratta di una decisione che potrebbe ampliare lo spazio operativo della telemedicina.

La vicenda che ha sollecitato l'intervento dei supremi giudici è lineare: all'interno di un centro commerciale era stata apposta una apparecchiatura con funzione di raccolta di alcuni parametri sanitari dei pazienti, raccolta possibile anche in via autonoma, ma nello specifico caso coadiuvata da un infermiere; i dati sanitari raccolti venivano poi inviati, attraverso l'apparecchiatura stessa, ad una struttura sanitaria, regolarmente autorizzata, all'interno della quale i medici provvedevano a svolgere attività di diagnosi e refertazione con successivo invio al paziente del referto presumibilmente attraverso la stessa apparecchiatura.

A seguito di un controllo dei NAS, l'apparecchiatura veniva sottoposta a sequestro sul presupposto che la raccolta e l'invio dei dati sanitari configurasse una attività di natura sanitaria svolta in locali – il centro commerciale – non autorizzati ex art. 193 T.U.LL.SS.

A seguito di ricorso avverso il decreto di cautela reale, la Cassazione Penale è stata chiamata, in sostanza, a rispondere al seguente quesito: il luogo di raccolta del dato sanitario in un servizio di telemedicina, che per sua “intrinseca” natura vede fisicamente separati il luogo dove si trova il paziente dal luogo dove si trova il medico, deve essere considerato un luogo ove si svolge attività sanitaria con conseguente obbligo di autorizzazione ex art. 193 T.U.LL.SS., e relative discipline regionali, oppure tale spazio può non essere soggetto ad autorizzazione?

La risposta della Corte è stata positiva: infatti, dopo aver chiarito che l'autorizzazione ex art. 193 T.U.LL.SS. è necessaria ove vengano erogate “prestazioni “tipicamente sanitarie”, quali, a titolo puramente esemplificativo, quelle relative alla somministrazione di farmaci, ovvero alla assistenza medica ed infermieristica, anche laddove connesse a strutture a carattere residenziale (Corte di cassazione, sezione III penale, 13 gennaio 2012, n. 883), oppure relative alla medicina estetica e dermatologica (Corte di cassazione, Sezione III penale, 5 giugno 2007, n. 21806) ovvero odontoiatrica (Corte di cassazione, Sezione III penale, 12 giugno 2007, n. 22875) “, la sentenza passa successivamente ad analizzare i casi cui non occorre l'autorizzazione sanitaria spiegando che il provvedimento autorizzativo non è giuridicamente necessario quando “lo svolgimento è scevro da una qualsivoglia attività̀ organizzativa né gli atti nei quali è lo stesso paziente ad acquisire i dati anamnestici che, eventualmente, egli successivamente trasferirà̀ al personale sanitario (si immagini la rilevazione operata dallo stesso soggetto interessato della propria temperatura corporea ovvero del peso o della pressione arteriosa, sistolica e diastolica), tramite l'utilizzo di strumenti comunemente detti di autodiagnosi (cfr. Corte di cassazione, Sezione III penale, 5 febbraio).

Tale principio è stato ribadito in riferimento alla telemedicina: “Si è, in sostanza, di fronte a quel fenomeno, comunemente definito di “telemedicina”[…] il quale si caratterizza in quanto, per la realizzazione di talune pratiche mediche, per lo più diagnostiche, non vi è la necessaria compresenza nel medesimo luogo del paziente e dell'operatore sanitario, operando quest'ultimo sulla esclusiva base di dati a lui pervenuti attraverso tecnologie informatiche il cui utilizzo, appunto, consente lo svolgimento di atti medici anche “fra assenti“.

Così ha concluso la Cassazione: “ritiene il Collegio che…ove viene semplicemente raccolto il dato anamnestico, ma lo stesso non viene assolutamente elaborato, non può̀ dirsi che sia stata eseguita alcuna prestazione “tipicamente sanitaria”, posto che l'unica attività̀ sanitaria nella presente occasione realizzatasi – in cui non vi è stato alcun atto medico in senso stretto ai fini della acquisizione del dato anamnestico essendo stato questo assunto attraverso strumenti (non comportanti alcuna invasione della integrità̀ fisica del soggetto interessato) che il paziente avrebbe potuto utilizzare anche autonomamente – è quella diagnostica,”

La sentenza appare rilevante per chi opera in sanità in quanto i giudici di legittimità indicano una “nuova” realtà in cui non occorre l'autorizzazione sanitaria: se infatti la carenza di organizzazione è una fattispecie già pacifica da tempo, la situazione in cui il paziente in via autonoma raccoglie/produce i suoi dati sanitari è, in un qualche modo, una situazione, se non totalmente nuova, sicuramente molto recente. E soprattutto in via di veloce espansione.

È infatti il vorticoso sviluppo della tecnologia che sta creando questa nuove realtà: dall'App Watch con cui è il paziente stesso che raccoglie i dati per l'ECG (dove però è un'IA che produce l'output) a realtà più complesse come quella analizzate in sentenza in cui la tecnologia sanitaria richiede uno spazio fisico in cui produrre/raccogliere i dati con successivo invio ad altro spazio fisico in cui un medico, a distanza, svolge la “tipica” attività sanitaria di analisi e di diagnosi.

Stabilire dunque che il dato sanitario prodotto e raccolto dalla mera interazione paziente/tecnologia non è da considerarsi “attività sanitaria” e conseguentemente, ove tale atto venga volto in spazio dedicato, quest'ultimo non necessita di una autorizzazione sanitaria, rappresenta un importante chiarimento, che non potrà non portare un impulso per lo sviluppo della telemedicina e di tutte le iniziative di sanità digitale che stanno crescendo in maniera esponenziale anche nel nostro paese.

Se dunque oggi appare chiarito che i dati sanitari in telemedicina possono essere raccolti ovunque, senza necessità di autorizzazione, ciò non toglie che vi siano ulteriori profili giuridici di assoluta rilevanza che meritano di essere evidenziati.

Dal punto di vista penalistico, l'utilizzo di questi nuovi strumenti suscita una serie di questioni con riguardo, anzitutto, all'accertamento della responsabilità in caso di evento avverso dovuto al malfunzionamento della predetta tecnologia. Né, più in generale, vanno trascurati i possibili riflessi che l'impiego dei sistemi automatizzati può avere sulla relazione tra medico e paziente, la quale, come stabilisce l'art. 1, comma 2, della l. n. 219/2017, dovrebbe essere orientata alla fiducia.

Le tematiche della responsabilità professionale inerenti ai sistemi di telemedicina sono ancora del tutto aperte a molteplici soluzioni sotto il profilo dell'interpretazione medico-legale, essendo presenti, almeno nel nostro panorama legislativo, ancora pochi, sebbene essenziali, riferimenti normativi. Tra l'altro i riferimenti disponibili non sono “specificamente” riferiti alla telemedicina, ma possono essere soltanto indirettamente accostabili a tali ambiti applicativi. Non è ancora, inoltre, disponibile una sostanziale dottrina o giurisprudenza in materia, tranne che presso la letteratura medico-legale francese.

Il teleconsulto. Ci troviamo pertanto di fronte a una carenza normativa in tema di responsabilità di tipo “specifico” per il regime di teleconsulto, che lascia per certi versi aperti gli ambiti della sua attribuzione ai diversi sanitari che comunicano e interagiscono a distanza per via telematica.

Potrebbe riconoscersi alla teleconsulenza la stessa valenza della consulenza “ordinaria” richiesta da un sanitario di un reparto ospedaliero a un altro di disciplina diversa. Non è affatto infondata, infatti, l'osservazione che la prima forma di teleconsulenza è rappresentata dal consulto telefonico tra diversi specialisti nell'ambito della medesima struttura ospedaliera. L'interpretazione di una condivisione di responsabilità, del resto, può essere avvalorata anche dalla considerazione che il collegamento telematico con centri specialistici remoti costituisce parte integrante e strutturale dei presidi in dotazione al sistema d'emergenza-urgenza, statuita a seguito di deliberazione da parte delle aziende sanitarie.

La giurisprudenza ha chiarito che in relazione alla posizione di garanzia del medico che sia stato interpellato anche per un semplice consulto specialistico, il principio vigente al riguardo è quello per cui, in tema di responsabilità professionale, il medico che, sia pure a titolo di consulto, accerti l'esistenza di una patologia ad elevato ed immediato rischio di aggravamento, ha l'obbligo di disporre personalmente i trattamenti terapeutici ritenuti idonei ad evitare eventi dannosi ovvero, in caso d'impossibilità di intervento, è tenuto ad adoperarsi facendo ricoverare il paziente in un reparto specialistico, portando a conoscenza dei medici specialistici la gravità e urgenza del caso ovvero, nel caso di indisponibilità di posti letto nel reparto specialistico, richiedendo che l'assistenza specializzata venga prestata nel reparto dove il paziente si trova ricoverato specie laddove questo reparto non sia idoneo ad affrontare la patologia riscontrata con la necessaria perizia professionale. Ciò in quanto il medico chiamato a consulto è pur sempre gravato degli stessi doveri professionali del medico che ha in carico il paziente presso un determinato reparto, non potendo esimersi da responsabilità adducendo di essere stato chiamato solo per valutare una specifica situazione(in questi termini cfr. Cass. pen. Sez. IV, 15/02/2018, n. 24068).

Volendo analizzare nelle specifiche posizioni e fattispecie di interesse gli obblighi a carico dei diversi protagonisti del percorso diagnostico e/o di cura, s'intravede immediatamente l'obbligo in capo al medico a contatto diretto con il paziente, erogatore della primary care, di trasmettere in modo corretto e completo i dati anamnestici, obiettivi e strumentali alla centrale ricevente, e di effettuare correttamente le indicazioni terapeutiche ricevute. È ovvio, inoltre, che egli non possa considerarsi un mero esecutore delle indicazioni impartite telematicamente dal consulente, giacché ha la possibilità, oltre che il dovere, di verificarne le indicazioni diagnostiche e terapeutiche, tranne per i casi in cui la consulenza richiesta non rivesta i caratteri della “eccezionalità” e non preveda l'obbligo di specialità per il relativo esercizio.

Ove si dimostri invece che il comportamento del sanitario erogatore della primary care risulta conforme e idoneo, secondo la regola tecnica e in relazione alla competenza media esigibile, l'errore e la conseguente responsabilità professionale potrebbero gravare maggiormente, se non in modo esclusivo, sul medico del sito ricevente (teleconsulente) che abbia erroneamente interpretato il telereperto.

In pratica si può finire col considerare che la responsabilità per errori diagnostici e/o terapeutici, in ambito della telemedicina, ricalca quanto previsto per la responsabilità di équipe.

L'emersione di nuove figure professionali. Tuttavia, in questo campo, la nozione di équipe appare suscettibile di notevole estensione: nella pratica di interventi sanitari mediati dai mezzi telematici, nel novero delle attribuzioni di responsabilità professionale, bisogna tener conto anche del problema legato alla “idoneità” dei mezzi tecnici: alle classiche figure professionali sanitarie, in questo settore si aggiunge infatti quella del fornitore o dei fornitori dei servizi telematici, con evidenti problematiche di natura medico-legale di non facile trattazione.

Sotto tale profilo, grava certamente sui medici la competenza nell'idoneo utilizzo dei mezzi informatici connessi all'esercizio della telemedicina, al cui uso devono essere preventivamente e adeguatamente formati, mentre sul “fornitore” grava l'obbligo dei risultati sul funzionamento dei mezzi di supporto a tale attività.

Secondo la prevalente interpretazione dottrinaria, i mezzi devono essere idonei all'espletamento della finalità per la quale sono immessi sul mercato e di conseguenza acquistati, nonché devono essere periodicamente sottoposti a verifica della loro effettiva efficienza tecnica. Ove si dimostri che l'errore professionale derivi da non conformità dei parametri tecnici dei mezzi utilizzati, la responsabilità graverebbe in modo preponderante, se non esclusivo, sulla ditta produttrice che fornisce tali strumenti.

È possibile, tuttavia, che alla responsabilità dei tecnici concorra anche una responsabilità dei medici. Nel caso in cui il guasto abbia, infatti, il carattere dell'imprevedibilità, non pare che il sanitario possa essere chiamato a rispondere di eventi che sfuggono del tutto al suo orizzonte conoscitivo, ma è importante rilevare che per essere ritenuta imprevedibile, la specificità del guasto deve concretarsi in situazioni che prescindono da un dovere di diligenza, cui pure il sanitario deve ritenersi titolare nel momento in cui utilizza le attrezzature.

Ciò significa, quindi, che la responsabilità di un difetto di costruzione, causa di un improvviso e incontrollabile blackout delle attrezzature, è destinata a cadere sui soggetti cui incombe l'obbligo di evitare ciò, mentre un eventuale difetto dovuto a superficiale manutenzione, oppure a situazioni riconducibili a fattori di meccanica quotidianità, può ricadere sul sanitario che non si è preoccupato di verificare l'avvenuto espletamento della manutenzione e della corretta funzionalità delle apparecchiature prima che ne faccia uso.

In particolare: robotica e responsabilità penale. Allo stato attuale delle conoscenze, tuttavia, anche i sistemi più evoluti, quali la robotica medicale, sono pressoché incapaci di trattare i pazienti senza l'intervento dei sanitari “in carne e ossa”, poiché questi strumenti sono creati per aiutare i medici nello svolgimento delle loro mansioni e non, invece, al fine di operare autonomamente. Di conseguenza, è l'operatore che risponde, quando si verifica un evento avverso, dell'inadeguato utilizzo dei sistemi robotici da cui quest'ultimo sia stato prodotto: e ciò secondo i criteri della responsabilità per colpa.

La questione, tuttavia, risulta alquanto complessa nel caso in cui la lesione o la morte del paziente sia derivata da un difetto del robot, dovuto, come accade il più delle volte, a un errore nella progettazione del software che lo aziona. Ipotesi, queste, che comportano, a ben vedere, l'allocazione di eventuali responsabilità penali su più livelli: per l'individuazione dei quali, è opportuno richiamare la disciplina prevista in materia di danno da prodotto e, più in particolare, quella relativa alla fabbricazione e all'utilizzo dei dispositivi medici (a riguardo, cfr. i decreti legislativi 14 dicembre 1992, n. 507, e 25 gennaio 2010, n. 37).

Stando alla normativa de qua, è compito, anzitutto, del produttore del sistema automatizzato assicurare che questo venga realizzato secondo tutti gli standard di sicurezza richiesti dalla legge, seppure non si possa quasi mai garantire l'assoluta assenza di rischi connessi all'impiego del prodotto. Peraltro, la conformità ai requisiti di efficacia e sicurezza imposti dall'ordinamento deve essere certificata da un apposito ente, denominato Organismo Notificato, che la attesta rilasciando all'imprenditore la certificazione CE.

Pare difficilmente configurabile, allora, la responsabilità penale in capo al medico che abbia impiegato un robot, dotato di certificazione CE e privo di qualsiasi difetto palese, qualora ne sia derivato un danno per la salute del paziente. In simili circostanze, a ben vedere, potrebbero rispondere dell'evento avverso il produttore – o, trattandosi di software, sarebbe meglio dire il programmatore – e l'ente certificatore, ove si riesca a dimostrare che questi abbiano immesso sul mercato una tecnologia prevedibilmente difettosa. E lo stesso valeallorché risulti, dopo la distribuzione al pubblico, che i predetti soggetti non abbiano monitorato, come imposto dalla disciplina sulla produzione dei dispositivi medici, la sussistenza di eventuali malfunzionamenti dei robot medicali in commercio, avvertendo gli utenti e ritirando dalla vendita i prodotti difettosi.

Specie con riguardo alle intelligenze artificiali, tuttavia, risulta non sempre agevole affermare che il difetto di queste ultime possa essere rimproverato al programmatore o all'ente certificatore: essendo il comportamento dei robot, almeno in certi casi, “per natura”imprevedibile. Le più moderne tecnologie robotiche sono dotate, infatti, di modalità di apprendimento automatiche, difficilmente controllabili, le quali consentono di imparare dall'esperienza e di modificare di conseguenza il proprio comportamento.

Ove, perciò, si volesse comunque imputare l'esito infausto al programmatore, la prevedibilità andrebbe intesa, in termini del tutto generici, come riferita a danni futuri non ben identificabili ex ante: il che, tuttavia, non sembra accettabile sul piano del principio di colpevolezza.

Per il caso in cui il sistema automatizzato sia provvisto della capacità di apprendimento, occorrerebbe chiedersi, allora, se non risulti già varcata la frontiera “del futuro”, tanto da potersi individuare direttamente nel sistema di IA l'“autore” del reato. Il che, tuttavia, implicherebbe, a monte, l'attribuzione di “soggettività giuridica”ai predetti devices: operazione ermeneutica la quale non sarebbe di certo agevole, imponendo di ri-adattare le categorie proprie del diritto penale antropomorfico a entità del tutto diverse. Senza contare, poi, che occorrerebbe riflettere sul quomodo punire le apparecchiature automatizzate, sempre che si dimostri, peraltro, la reale efficacia preventiva di simili interventi sanzionatori. E, in effetti, l'affermazione di un'autonoma responsabilità in capo ai sistemi robotici potrebbe comportare, in campo sanitario, un non trascurabile incremento del fenomeno della “medicina difensiva positiva”: ovvero, di quelle condotte di carattere attivo-interventistico che dilatano, oltre l'ambito di una corretta valutazione del rapporto tra rischi e benefici per il paziente, gli accertamenti medici e le attività cliniche o chirurgiche.

Senza alcuna ragione diagnostica o terapeutica, cioè, i medici-umani finirebbero per richiedere “sempre” l'intervento dei “colleghi robot”, così da scaricare il rischio di un eventuale giudizio per malpractice su questi ultimi. Con tutte le conseguenze negative, in termini di aumento dei costi e diminuzione della qualità delle prestazioni, che ne deriverebbero.

La questione dell'attribuzione di soggettività alle intelligenze artificiali, ad ogni modo, non è ancora attuale, almeno nell'ambito del settore medico: ivi, infatti, la robotica è intesa, come s'è detto, quale “ausilio”del sanitario e non, invece, come un'entità dotata di autonomia decisionale nel trattamento del paziente. Del resto, nella pratica sanitaria, quand'anche fossero disponibili sistemi automatizzati in grado di svolgere tutte le funzioni ora affidate al personale medico e infermieristico, non si potrebbe comunque fare a meno di tale componente umana.

Secondo la più acuta dottrina, osservando lo statuto epistemologico della medicina, si comprende, infatti, come essa consti di una dimensione, per così dire, “artistica”: la quale non va identificata in alcunché di irrazionale, trattandosi, invece, della «capacità di confrontarsi con il casuale» in modo “creativo”. Dal momento che uno stesso processo patologico può manifestarsi secondo un'imprevedibile varietà di modi, non è possibile applicare “in termini meccanicistici”la regola comunemente valida per quella stessa tipologia di casi, ma occorre modellaresul paziente hic et nunc quella generale indicazione, fino, ove necessario, a disattenderla.

In questo senso, di recente, si è espresso anche il Comitato Nazionale per la Bioetica (Comitato Nazionale per la Bioetica – Comitato Nazionale per la Biosicurezza, le Biotecnologie e le Scienze della Vita, Intelligenza artificiale e medicina: aspetti etici, in www.bioetica.governo.it/italiano/documenti/pareri, 29 maggio 2020, p. 17), rilevando, proprio con riguardo all'impiego dell'IA in sanità, come «le esigenze di diagnosi e di cura spesso impongano di andare oltre i modelli prefissati».

Tale consapevolezza anima, a ben vedere, la disciplina attualmente prevista in materia di responsabilità medica dall'art. 590-sexies, comma 2, c.p., ai sensi del quale è esclusa la punibilità del personale sanitario «quando sono rispettate le raccomandazioni previste dalle linee guida come definite e pubblicate ai sensi di legge ovvero, in mancanze di queste, le buone pratiche clinico-assistenziali, sempre che le raccomandazioni previste dalle predette linee guida risultino adeguate alle specificità del caso concreto». Come chiarito, infatti, dalla Corte di cassazione con riguardo alla predetta disposizione, «anche a seguito della procedura ora monitorata e governata nel suo a divenire dalla apposita istituzione governativa e quindi tendente a formare un sistema con connotati pubblicistici, le linee guida non perdono la loro intrinseca essenza»: «quella di costituire un condensato delle acquisizioni scientifiche tecnologiche e metodologiche concernenti i singoli ambiti operativi, reputate tali dopo un'accurata selezione distillazione dei diversi contributi senza alcuna pretesa di immobilismo e senza idoneità ad assurgere a livello di regole vincolanti» (Cass., Sez. Un., 21 dicembre 2017, n. 8770, § 3).

D'altra parte, simile orientamento permea ormai da tempo la giurisprudenza: allo stesso modo, infatti, ai sensi dell'art. 3 del decreto-legge 13 settembre 2012, n. 158, come convertito dalla legge 8 novembre 2012, n. 189, s'era ritenuto, come si ricorderà, che le linee guida non potessero fornire «indicazioni di valore assoluto» (tra le numerose sentenze che si sono espresse in questo senso, v., p. es., Cass., Sez. IV, 29 gennaio 2013, n. 16237, § 10).

In futuro, anche i robot-medici potranno essere addestrati secondo le acquisizioni della Evidence Based Medicine, così da apprendere un gran numero di linee guida e, magari, saper riconoscere altresì quelle variabili che, al momento opportuno, impongono di discostarsi da tali raccomandazioni. Il punto, tuttavia, è che queste apparecchiature non saranno mai programmate per considerare tutte le possibili condizioni in base alle quale declinarein concreto il contenuto delle guidelines: non disponendo delle capacità intuitive della mente umana per individuare come perseguire determinati scopi con riguardo agli infiniti profili peculiari dei casi concreti.

Il che vale, tanto più, con riguardo a quelle patologie – e non sono poche – per le quali non sussistono evidenze scientifiche: si pensi a quanto accaduto nella fase iniziale dell'epidemia da Sars-Cov2. Il primo caso di contagio in Italia è stato diagnosticato grazie alla perspicacia di un giovane medico, la dottoressa Annalisa Malara, anestesista presso l'ospedale di Codogno, che ha deciso di “forzare” il protocollo previsto in materia, senza che vi fosse alcun segnale evidente che suggerisse di discostarsi dalla prassi. Qualsiasi intelligenza artificiale non sarebbe riuscita a conseguire tale risultato, essendo incapace di “pensare – come, più volte, ha dichiarato la stessa dottoressa Malara – all'impossibile”.

Questioni in tema di consenso informato. Deve pertanto essere assicurata l'assoluta chiarezza circa le istruzioni d'uso della apparecchiatura, soprattutto laddove il paziente diventi il “protagonista” della produzione dei suoi dati sanitari.

Su tale aspetto il Reg. UE 2017/745 sui dispositivi medici (entrato a pieno regime a maggio 2020) prevede in capo al fabbricante del dispositivo medico obblighi specifici per garantire la completezza e la chiarezza delle istruzioni proprio nel caso di utilizzo di tecnologie e software direttamente da parte del paziente (Allegato I, punto 23 lett. s), w) e a-ter): ciò a piena riprova dell'importanza che anche il legislatore comunitario riconosce ed attribuisce alle istruzioni quando è il paziente il diretto utilizzatore della tecnologia in sanità.

La questione della trasparenza e la tracciabilità dei dispositivi medici appare strettamente connessa al tema del “consenso informato”, il quale costituisce un presupposto di liceità del trattamento medico chirurgico, in quanto l'atto di assenso afferisce alla libertà morale del soggetto ed alla sua autodeterminazione, nonché alla sua libertà fisica intesa diritto al rispetto della propria integrità corporea, le quali sono tutte profili della libertà personale proclamata inviolabile dall'art. 13 Cost. (Cass. pen. Sez. III, 22/02/2019, n. 18864).

Nel contesto della telemedicina, tuttavia tale tematica risulta ancora priva del conforto di dati normativi e di pronunce giurisprudenziali, per cui al momento il dibattito relativo non può che essere di taglio squisitamente dottrinario.

Sicuramente può concordarsi che il consenso informato alla prestazione di telemedicina dovrà avere gli stessi requisiti di base previsti per le prestazioni mediche normali.

Tuttavia, è evidente che la peculiarità di tale prestazione medica impone, giocoforza, degli elementi di differenziazione.

In primis, l'obbligo di informazione del medico e il consenso informato del paziente devono estendersi anche agli ulteriori rischi inevitabilmente connessi alle prestazioni di telemedicina.

Di conseguenza, il consenso libero ed informato per essere valido, nel caso di che trattasi, dovrà avere ad oggetto non solo i rischi propri del trattamento e delle cure come tradizionalmente erogate “in presenza”, sia pure con l'ausilio della tecnologia moderna, ma anche quelli correlati allo specifico ricorso a strumenti digitali ed alla distanza fisica tra medico e paziente, dovendo porlo in condizioni di rifiutare tale modalità ove essa sia alternativa a quella consueta, altrettanto praticabile.

Con ciò significando che, ad esempio, in caso di Telecardiologia o di Telemonitoraggio, onde acquisirne il consenso giuridicamente valido e scriminante, il paziente dovrà essere adeguatamente informato sui limiti e sui rischi tecnologici aggiuntivi e specifici connessi ad un elettrocardiogramma da remoto o ad un controllo della sintomatologia non in presenza, erudendolo sulla possibilità di un black out che interrompa bruscamente o impedisca il trattamento programmato, ovvero di un malfunzionamento della rete che ne rallenti l'erogazione o ne renda meno certa la risoluzione, o ancora dei risvolti negativi oltre che positivi di una erogazione telematica; rappresentandogli il ventaglio delle scelte alternative proprie della medicina erogata in presenza, in modo tradizionale. Ciò in maniera acritica e professionale, senza che possa trapelare la personale convinzione dell'operatore sanitario sulla preferenza dell'una rispetto all'altra, incidendo sulla libera formazione della volontà del paziente di cui l'informatore sarebbe responsabile in caso di concretizzazione del rischio stesso.

In secondo luogo, vero è che la forma richiesta per il consenso, che resta un negozio giuridico, è libera, ma deve essere espresso e documentato oltre che archiviato nella cartella clinica e nel fascicolo sanitario elettronico, di guisa da poter essere prestato non solo nella tradizionale forma autografa, ma anche in altro modo, come quello telematico o attraverso videoregistrazioni.

Analoghe modalità sono richieste nel caso di revoca sopravvenuta, parziale o totale, dello stesso che esonera da responsabilità il medico.

Appare pertanto opportuno che il modulo di prestazione del consenso informato venga compilato per via telematica.

Di conseguenza, inevitabile si pone il problema della sottoscrizione di tale modulo che andrebbe risolto con l'utilizzo della firma digitale, strumento pienamente idoneo a garantire imputazione e autenticità del documento.

In ultimo, va detto che molto più difficilmente, nel caso della telemedicina, in considerazione della distanza fisica intercorrente tra medico e paziente, può ammettersi un consenso svincolato da forme determinate ed espresso in forme concludenti.

Il documento informatico. Per firma digitale s'intende un particolare tipo di firma elettronica avanzata basata su un certificato qualificato e su un sistema di chiavi crittografiche, una pubblica e una privata, correlate tra loro, che consente al titolare tramite la chiave privata e al destinatario tramite la chiave pubblica, rispettivamente, di rendere manifesta e di verificare la provenienza e l'integrità di un documento informatico o di un insieme di documenti informatici.

Il documento informatico mantiene traccia nel tempo di un atto o un fatto (dato) giuridicamente rilevante.

L'art. 1 lett. p) del d.lgs. 7 marzo2005, n. 82 del Codice dell'Amministrazione Digitale (CAD) definisce, difatti, il documento informatico come la «rappresentazione informatica di atti, fatti o dati giuridicamente rilevanti» e richiama, con pochi accomodamenti, la tradizionale teoria «rappresentativa» accolta nel codice civile, secondo cui il documento è destinato a raccogliere, a futura memoria, su un supporto di qualsiasi tipo, la rappresentazione di fatti o atti giuridicamente rilevanti.

Prima di arrivare all'attuale definizione di documento informatico che si rinviene nel CAD, è necessario ripercorrere un lungo iter normativo che ha portato alla sua prima definizione esplicita rintracciabile in materia penale e più precisamente nell'art. 491-bis del codicepenale, a seguito della l. 23 dicembre 1993, n. 547, ai sensi del quale è documento informatico «qualunque supporto informatico contenente dati o informazioni aventi efficacia probatoria o programmi specificatamente destinati ad elaborarli».

La nozione è stata criticata anche perché risultava incompatibile con le diverse definizioni normative contenute nella legislazione extrapenale e, in particolare, nell'art. 1 lett. a d.P.R. 10 novembre 1997, n. 513, successivamente recepita nel d.P.R. 28 dicembre 2000, n. 445 e poi confluita nell'art. 1 lett. p, d.lgs. 7 marzo 2005, n. 82.

Successivamente l'art. 3 l. 18 marzo 2008, n. 48 ha soppresso la seconda parte dell'art. 491-bis comma 1, eliminando al contempo la definizione penalistica di documento informatico e disponendo un rinvio implicito alla nozione fissata nell'ordinamento extrapenale e, in particolare, all'art. 1 lett. p), d.lgs. 7 marzo 2005, n. 82, come modificato prima dal d.lgs. 4 aprile 2006, n. 159, e poi dal d.lgs. 26 agosto 2016, n.179 , ai sensi del quale il documento informatico è la «il documento elettronico che contiene rappresentazione informatica di atti, fatti o dati giuridicamente rilevanti». L'attuale definizione prescinde, dunque, dall'incorporazione dei dati in un oggetto materiale, e, di conseguenza, rilevano penalmente anche i falsi che hanno ad oggetto informazioni anche non registrate su alcun supporto materiale.

L'art. 491-bis stabilisce che ai fini penali rileva solo il documento informatico pubblico avente efficacia probatoria. Il d.lgs. 15 gennaio 2016, n. 7 ha, infatti, eliminato il riferimento al documento informatico “privato” e, contemporaneamente, all'art. 4 comma 5 ha stabilito che le falsità ivi previste, ed assoggettate a mera sanzione pecuniaria civile, possono avere ad oggetto anche documenti informatici privati aventi efficacia probatoria.

L'art. 491-bis appare quale norma penale in bianco perché l'efficacia probatoria del documento informatico è determinata dalla disciplina extrapenale.

Nello specifico il d.lgs. n. 82/2005, come modificato dal d.lgs. n. 179/2016, ed il Regolamento (UE) n. 910/2014, individuano quattro categorie di documenti informatici, aventi un diverso valore probatorio: 1) il documento sottoscritto con firma elettronica non altrimenti qualificata (art. 3 n. 10 Regolamento (UE) n. 910/2014), che, ai sensi dell'art. 21 comma 1 è liberamente valutabile in giudizio, tenuto conto delle sue caratteristiche oggettive di qualità, sicurezza, integrità e immodificabilità; 2) il documento sottoscritto con firma elettronica qualificata (art. 3 n.12 Regolamento (UE) n. 910/2014 ); 3) il documento sottoscritto con firma elettronica avanzata (art. 3 n.11 Regolamento (UE) n. 910/2014); 4) il documento sottoscritto con firma elettronica digitale (art. 1, lett. s d.lgs. n. 82/2005).

Il documento informatico sottoscritto con firma elettronica avanzata, qualificata o digitale, formato nel rispetto delle regole tecniche di cui all'art. 20 comma 3 d.lgs. n. 82/2005, che garantiscano l'identificabilità dell'autore, l'integrità e l'immodificabilità del documento, ha l'efficacia prevista dall'art. 2702 c.c. e l'utilizzo del dispositivo di firma si presume riconducibile al titolare, salvo che questi dia prova contraria (art. 21 comma 2 d.lgs. n. 82/2005).

Per quanto sin qui esposto deve ritenersi che tutta la documentazione atta a dimostrare le attività svolte in telemedicina siano destinate a confluire nel Fascicolo Sanitario Elettronico (FSE), inteso come l'insieme dei dati e documenti digitali di tipo sanitario e sociosanitario generati da eventi clinici presenti e trascorsi, riguardanti l'assistito. Il FSE è, difatti, uno strumento informativo, una sorta di “memoria storica” che dà accesso a tutti gli episodi di rilievo clinico di un individuo con l'obiettivo di tracciarne la storia sanitaria e condividerla con gli operatori, sanitari e non, per una più efficace valutazione degli eventi. Va da sé che la sua valenza si misura alla stregua di qualsiasi altro sistema informativo ovvero, principalmente, nell'abilità di reperire, consultare ed utilizzare informazioni. Pertanto, tutte le attività sono inesorabilmente dipendenti dalla quantità e qualità dei dati cui poter accedere.

Nel processo penale il fascicolo sanitario elettronico sembra pertanto destinato a sostituire la attuale cartella clinica cartacea, ma previo accertamento rigoroso circa la genuinità nella raccolta e nella archiviazione di dati attraverso rigorose pratiche di accesso basate su autenticazioni informatiche e sistemi di autorizzazione.

Gli aspetti connessi alla tutela della privacy. Attraverso il sistema FSE, in altri termini, vengono aggregati virtualmente e resi visibili documenti che seguono percorsi e politiche assai differenti poiché, come menzionato, il FSE è “popolato” anche da documenti prodotti da terzi.

Il FSE, infatti, raccoglie sia documenti prodotti dal sistema sanitario nazionale e quindi dalle singole aziende, sia documenti prodotti dal cittadino, quali ad esempio le autorizzazioni relative alla gestione della privacy, e i documenti che l'utente carica nel “taccuino personale dell'assistito”.

Ulteriore implicazione per le attività di telemedicina è, dunque, quella che riguarda l'applicazione del reg. Ue 2016/679 sulla protezione dei dati (c.d. GDPR).

Non vi è dubbio infatti che oggi i software che trattano i dati devono essere non solo privacy by design e by default (art. 25 GDPR), ma devono altresì consentire al titolare di trattare i dati stessi nel rispetto dei principi di trattamento ed in particolare del principio dell'esattezza dei dati (art. 5 del GDPR).

Assicurare infatti che i dati raccolti in un luogo dal paziente passino attraverso un canale informatico che ne garantisce non solo la sicurezza (ed es. attraverso la cifratura), ma anche la piena integrità ed esattezza clinica, è il presupposto cardine perché il medico possa porre in essere una corretta diagnosi, anche senza la presenza fisica del paziente, aprendo quindi la strada allo sviluppo della telemedicina ed alla crescita della fiducia e dell'affidabilità da parte del paziente nei nuovi sistemi di erogazione delle prestazioni.

Da un lato, si deve tener conto, altresì, della necessità di congegnare misure idonee a garantire la riservatezza delle informazioni sulla salute dei pazienti, ove, ad es. acquisite dai robot nell'ambito della pratica medica, dall'altro, si deve ricordare, a tal proposito, che la disciplina prevista dal decreto legislativo 30 giugno 2003, n. 196 (cosiddetto Codice della privacy), come novellato dal Regolamento europeo generale in materia di dati personali n. 2016/679 (GDPR), accorda ai dati sanitari una tutela rafforzata. L'art. 9, paragrafi 2, lettere h) e i), e 3, del GDPR, come recepito dall'art. 75 del Codice della Privacy, stabilisce, infatti, il divieto di trattare i dati relativi alla salute, salvo i casi in cui ciò avvenga, «da o sotto la responsabilità di un professionista soggetto al segreto professionale», «per finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali sulla base del diritto dell'Unione o degli Stati membri o conformemente al contratto con un professionista della sanità» oppure, ancora, «per motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero o la garanzia di parametri elevati di qualità e sicurezza dell'assistenza sanitaria e dei medicinali e dei dispositivi medici».

Così che, al di fuori delle ipotesi ora descritte, chiunque proceda al trattamento illecito di siffatti dati è punito con la pena della reclusione da uno a tre anni (art. 167, comma 2).

Ancora, il d.lgs. n. 101/2018 ha poi introdotto nel Codice due nuove fattispecie criminose, concernenti l'illecito trattamento di dati oggetto di trattamento su larga scala, ossia riguardante dati riferibili ad un elevato numero di soggetti, e tali paiono essere i dati raccolti nell'ambito della cd. e-health. Gli articoli 167 bis e 167 ter, puniscono, rispettivamente, le condotte, poste in essere al fine di trarre profitto per sé o altri ovvero al fine di arrecare danno, di comunicazione e diffusione di un archivio automatizzato (o di una parte sostanziale di esso) contenente dati personali oggetto di trattamento su larga scala, in violazione degli articoli 2-ter, 2-
sexies e 2-octies o in assenza di consenso, e la condotta di acquisizione con mezzi fraudolenti di tali archivi automatizzati. Si tratta di ipotesi speciali di trattamento illecito, concernenti trattamenti di dati riferibili ad un elevato numero di soggetti e che, pertanto, si connotano per una
maggiore diffusività̀ lesiva del bene giuridico tutelato.

Non a caso, una straordinaria ricognizione dei rischi penali che la telemedicina può comportare viene effettuata dal presidente del Garante per la protezione dei dati personali nel corso dell'audizione in data 25 maggio 2020 presso la Commissione parlamentare per la semplificazione: La pandemia ha dimostrato come il digitale – con la ricetta elettronica e con la telemedicina – possa consentire la prosecuzione delle cure anche in regime di distanziamento sociale. Eppure una tecnologia non ben governata può aumentare esponenzialmente il rischio clinico in cui si riflette, in quest'ambito, il rischio informatico, ove ad esempio i dati su cui si fonda la diagnosi siano alterati. Per altro verso, l'esfiltrazione o l'accesso indebito a dati sanitari possono violare, in modo talora irreversibile, quel diritto all'intangibilità della propria vita privata che costituisce la radice più antica della privacy. Sul piano individuale, infatti, la conoscenza di dati così “sensibili” quali quelli genetici o sulla salute, può fondare discriminazioni (si pensi al rapporto lavorativo o assicurativo) o comunque pregiudizi rilevantissimi per l'interessato. Ma il rischio cibernetico, in ambito sanitario, ha effetti importanti anche dal punto di vista collettivo. Sul piano pubblico, infatti, gli attacchi a sistemi informativi di strutture sanitarie – parte significativa dei cyber attack nel nostro Paese – possono avere effetti devastanti su tutti i cittadini, impedendo l'erogazione di prestazioni sanitarie o, nel caso di alterazione di dati dei pazienti, errori clinici su larga scala. La vulnerabilità dei sistemi sanitari, rischia quindi di causare disservizi anche gravissimi, ingenerando errori diagnostici o terapeutici o paralizzando l'attività di cura.

Le importanti argomentazioni del Garante, soprattutto laddove rileva come, nell'ambito della telemedicina, rischio cibernetico e rischio clinico si vengono inesorabilmente a sovrapporre, dimostrano come le iniziative che si vogliano intraprendere devono con esse necessariamente confrontarsi.

Purtroppo così non è: si fa riferimento, a mero titolo di esempio, a Regione Piemonte, BU29 16/07/2020, Deliberazione della Giunta Regionale 3 luglio 2020, n. 6-1613, Prima attivazione dei servizi sanitari di specialistica ambulatoriale erogabili a distanza (Televisita), in conformità alle "Linee di indirizzo nazionali di telemedicina" (repertorio atti n.16/CSR), ai sensi dell'Intesa del 20 febbraio 2014, tra il Governo, le Regioni e le Province autonome di Trento e Bolzano, espressamente pensate per garantire la continuità della cura e dell'assistenza nell'emergenza sanitaria da COVID-19.

Allegati alla deliberazione sono gli indirizzi operativi per l'erogazione dei servizi ambulatoriali in televisita.

In primo luogo, si può ravvisare una impropria sovrapposizione tra le nozioni di consenso informato e informativa privacy: si annoverano, infatti, tra le informazioni concernenti il primo, quelle relative a titolare e responsabile del trattamento nonché quelle afferenti alle modalità di esercizio dei diritti previsti in tema di trattamento dei dati personali. Come noto, il consenso informato non trae origine dal GDPR, ma è regolato dalla legge 22 dicembre 2017, n. 219 che, all'art. 1 c.3, recita: “Ogni persona ha il diritto di conoscere le proprie condizioni di salute e di essere informata in modo completo, aggiornato e a lei comprensibile riguardo alla diagnosi, alla prognosi, ai benefici e ai rischi degli accertamenti diagnostici e dei trattamenti sanitari indicati, nonché riguardo alle possibili alternative e alle conseguenze dell'eventuale rifiuto del trattamento sanitario e dell'accertamento diagnostico o della rinuncia ai medesimi. Può rifiutare in tutto o in parte di ricevere le informazioni ovvero indicare i familiari o una persona di sua fiducia incaricati di riceverle e di esprimere il consenso in sua vece se il paziente lo vuole. Il rifiuto o la rinuncia alle informazioni e l'eventuale indicazione di un incaricato sono registrati nella cartella clinica e nel fascicolo sanitario elettronico”. Mentre questo è il presupposto legittimante l'intervento sanitario, l'informativa privacy legittima il trattamento di dati personali, art. 13 GDPR.

Per altro, nella deliberazione regionale in trattazione la parte più strettamente concernente il consenso informato si limita a prescrivere di chiarire al paziente in cosa consista l'operazione, qual è il suo obiettivo, quali i vantaggi che si ritiene possa avere, e quali gli eventuali rischi. Si tratta di indicazione del tutto generica che non si confronta con le specificità sopra indicate concernenti la telemedicina e che appare non congrua rispetto a quell'"alleanza terapeutica" tra medico e paziente postulata dalla giurisprudenza e dalla dottrina maggioritarie. Cfr in tal senso Cass. pen. Sez. V, 24/11/2015, n. 16678: le Sezioni Unite di questa Corte hanno ribadito - come già fatto dalla totalità della dottrina e della giurisprudenza - che il presupposto indefettibile di ogni trattamento sanitario risiede nella scelta, libera e consapevole - salvo i casi di necessità e di incapacità di manifestare il proprio volere - della persona che a quel trattamento si sottopone. Tanto perchè tutta la normativa sopra richiamata mostra di considerare la "persona" non più destinataria di prestazioni etero-determinate, ma soggetto attivo e partecipe dei processi decisionali che lo riguardano; e perché appare ormai superata la visione del medico come depositario e detentore di una "potestà" di curare, dovendosi invece inquadrare il rapporto medico-paziente (al di fuori di qualsiasi visione paternalistica) in termini di "alleanza terapeutica", che veda entrambi i protagonisti impegnati a collaborare per l'attuazione del diritto alla salute.

Stessa critica di genericità pare potersi muovere alla parte concernente quella che viene definita la Responsabilità sanitaria durante attività in Televisita: è acclarato che alle attività sanitarie in telemedicina si applicano esattamente e tutte le norme legislative e deontologiche proprie delle professioni sanitarie, nonché i documenti d'indirizzo e bioetica. Le parole del Garante per la privacy dimostrano come la telemedicina comporti un quid pluris rispetto all'ordinaria attività medica, a tacer d'altro per la necessaria confluenza di diverse competenze professionali che interagiscono tra loro.

Per tutti questi motivi, la mera osservanza formale degli indirizzi operativi regionali in commento non appare in grado di garantire l'efficacia scriminante di cui all'art. 590-sexies c.p., per l'appunto riconosciuta solo laddove le raccomandazioni previste dalle linee guida risultino adeguate alle specificità del caso concreto.

Zamberlan C., Pelati C., Management degli allarmi in terapia intensiva: analisi e prevenzione degli incidenti, Italian Journal of Prevention, Diagnostic and Therapeutic Medicine, Vol 2. N°1. 2019.

Caterina Iagnemma, I ‘robot medici': profili problematici in tema di alleanza terapeutica e di responsabilità penale, Corti supreme e salute 2020, 2

Veronica Clara Talamo, Tutela penale dei dati sanitari alla luce del nuovo codice privacy, Il Penalista, 13 febbraio 2020

Elisa Sorrentino, Maria Teresa Guaglianone, Elena Cardillo, Maria Teresa Chiaravalloti, Anna Federica Spagnuolo, Giuseppe Alfredo Cavarretta, La conservazione dei documenti che alimentano il Fascicolo Sanitario Elettronico, Rivista italiana di Informatica e Diritto, Fascicolo I-2020

Bartolini Cesare, Lenzini Gabriele, Sistemi medici e conformità legale, Rivista Italiana di Medicina Legale (e del Diritto in campo sanitario), 1/2019

Gasparini Irene, La tutela penale della ‘privacy sanitaria' nell'era del GDPR, Rivista Italiana di Medicina Legale (e del Diritto in campo sanitario), 3/2019