Riforma Gelli-Bianco e D.Lgs. 232/2023: verso la compliance delle strutture sanitarie

La riforma Gelli-Bianco rappresenta, almeno sulla carta, la più significativa revisione della responsabilità sanitaria degli ultimi anni. Con il recentissimo D.lgs. 232/2023, il legislatore ha chiarito alcuni punti rimasti in ombra, confermando un obbligo che va ben oltre la corretta esecuzione della prestazione sanitaria. La legge impone infatti l’istituzione di un sistema di compliance aziendale capace di prevenire il rischio clinico e di gestire i sinistri di malpractice in modo strutturato, documentato e verificabile.

Per le strutture sanitarie, la compliance non è più un’opzione, ma un vero e proprio obbligo giuridico e organizzativo, assimilabile a quello da tempo vigente nei settori bancario, assicurativo o finanziario, dove la “compliance” indica un insieme di regole e procedure interne vincolanti e costantemente monitorate.

Eppure, al di là dei commenti positivi che hanno accompagnato la riforma, la realtà quotidiana delle strutture sanitarie mostra un quadro più complesso.

Molti direttori sanitari, amministratori e risk manager conoscono bene la sensazione: la norma promette razionalità e tutela, ma nel passaggio alla pratica emergono interrogativi concreti sulla sua effettiva applicazione e sulla capacità di dimostrare, in giudizio o in altra sede, la correttezza dell’operato.

In sede giudiziaria, infatti, è la struttura sanitaria a dover provare di aver agito correttamente. Ciò significa che, anche in presenza di una condotta clinicamente adeguata, l’assenza di documentazione di compliance può tradursi in responsabilità e in condanna risarcitoria.

Il diritto di difendersi esiste, ma deve essere esercitato con consapevolezza, attraverso sistemi organizzativi e processi documentali capaci di rendere trasparente e tracciabile l’agire sanitario in piena conformità a modalità, termini e limiti stabiliti dalla legge.

Se l’impianto teorico della riforma appare chiaro, la quotidianità dimostra che la compliance sanitaria è tutt’altro che scontata.

Le ragioni sono molteplici.

Vi sono strutture che, pur vantando professionisti di eccellenza, non conoscono pienamente il quadro normativo o, pur conoscendolo, lo considerano un tema “da avvocati”, da affrontare solo al momento di un atto di citazione.

Altre strutture, invece, ritengono la compliance un inutile aggravio burocratico, privo di conseguenze concrete, ignorando che la mancata attuazione può comportare responsabilità patrimoniali, amministrative e persino penali, o portare ad un risparmio di costi e spese di gestione.

Vi sono poi realtà che confidano in accordi contrattuali o coperture assicurative standard, dimenticando che la legge impone obblighi inderogabili, o derogabili solo al ricorrere di precisi requisiti.

Infine, esistono strutture che hanno predisposto protocolli di risk management o comitati interni che restano però “sulla carta”: un sistema non applicato, non monitorato e non documentato equivale, in giudizio, a un sistema inesistente.

Tutte queste situazioni hanno un tratto comune: nessuna di esse è realmente protetta. Senza una compliance effettiva, la struttura non può vincere una causa, non può dimostrare la correttezza del proprio operato alle autorità competenti, né prevenire danni economici o reputazionali.

L’esperienza concreta mostra con chiarezza dove la compliance viene più spesso sottovalutata: non per carenze cliniche, ma per mancanza di un approccio giuridico-organizzativo integrato, storicamente assente in molte realtà. La rubrica partirà da qui: dall’analisi delle criticità ricorrenti, dei falsi miti e delle prassi che, pur sembrando corrette, espongono a responsabilità evitabili.

COSA ACCADE SE NON SI OTTEMPERA

È opinione diffusa che si tratti di adempimenti burocratici, il cui mancato rispetto non comporti conseguenze reali.

Non è così.

Le ricadute possono essere gravi, sotto diversi profili.

Una struttura può essere condannata a risarcire un paziente anche quando la prestazione sanitaria è stata tecnicamente corretta, ma mancano le prove documentali — consenso informato, conformità dei dispositivi, tracciabilità dei processi, sicurezza dei dati personali.

A ciò si aggiungono danni economici o perdite derivanti da errata gestione del sinistro o coperture assicurative inadeguate, nonché sanzioni amministrative per violazioni del Reg. (UE) 745/2017 sui dispositivi medici, del Reg. (UE) 2024/1689 sui sistemi di intelligenza artificiale, del quadro normativo applicabile alla telemedicina o del D.lgs. 231/2001 in materia di responsabilità degli enti.

La mancata implementazione di un sistema di gestione del rischio clinico può inoltre comportare la perdita o la mancata concessione di accreditamenti e/o autorizzazioni sanitarie.

Nei casi più gravi, possono emergere responsabilità penali personali, con sanzioni detentive o interdittive.

In conlcusione Legge Gelli-Bianco ha modificato in modo radicale la gestione del rischio clinico e della responsabilità sanitaria. Oggi non è più sufficiente offrire una buona prestazione medica: è necessario dimostrare di aver operato all’interno di un sistema conforme, documentato e consapevole degli obblighi normativi.

LA NOSTRA NUOVA RUBRICA DIGITALE

Per queste ragioni abbiamo deciso di dare vita ad una nuova rubrica di approfondimento “Riforma Gelli-Bianco: guida operativa per la compliance delle strutture sanitarie”

Che raccoglierà contributi di professionisti legali, assicurativi, medico-legali e clinici, per fornire alle strutture sanitarie, pubbliche e private, una guida pratica, concreta e interdisciplinare. Un percorso che accompagni le strutture a conoscere — e soprattutto ad attuare — un sistema di gestione del rischio clinico preventivo e correttivo, conforme alla normativa, capace di ridurre danni, inefficienze e contenziosi.

Perché oggi più che mai, la legalità sanitaria non si scrive nei regolamenti: si dimostra nei fatti.

Si affronteranno temi centrali quali l’uso delle Linee Guida e delle Buone Pratiche Clinico-Assistenziali, spesso non considerate o interpretate in modo riduttivo . Una condotta può essere tecnicamente valida ma giuridicamente scorretta se il medico non si è attenuto, o si è discostato senza adeguata motivazione dalle linee guida pertinenti.

Analogamente, il consenso informato continua a essere trattato come un modulo da firmare, mentre costituisce la prova primaria della libertà decisionale del paziente: la mancanza o l’inadeguatezza di tale consenso rende responsabile la struttura anche a fronte di una prestazione clinicamente impeccabile.

Accanto a questi profili, la riforma impone l’adozione e la documentazione di misure preventive su qualità e sicurezza delle cure. Protocolli interni organizzativi e clinici, tracciabilità degli eventi, formazione e manutenzione tecnologica non sono più elementi “di buona e virtuosa organizzazione”: sono obblighi di legge, e la prova della loro attuazione è ciò che fa spesso la differenza in giudizio.

L’uso di dispositivi medici, di intelligenza artificiale o di sistemi di telemedicina apre poi ulteriori profili di responsabilità. La struttura non può ritenersi estranea al corretto utilizzo o alla conformità normativa delle tecnologie impiegate: la responsabilità non scompare, ma si moltiplica.

Un altro nodo riguarda la gestione dei collaboratori sanitari e delle polizze assicurative.

Molte strutture scoprono solo dopo un sinistro che le lettere d’incarico sono inadeguate o che i contratti assicurativi contengono clausole limitative della copertura, in contrasto con le previsioni legislative, o con le originarie intenzioni.

Analogamente, la nuova azione diretta del paziente contro la compagnia assicurativa e la possibilità di autoassicurazione interna richiedono scelte consapevoli e competenze multidisciplinari, pena il rischio di perdita di controllo sul sinistro o di gravi squilibri economici.

Il Comitato di Valutazione Sinistri, obbligatorio dal marzo 2026, rappresenta poi un presidio decisivo: non basta istituirlo formalmente, deve operare, riunirsi, verbalizzare e proporre misure correttive. Un comitato “solo sulla carta” è un’occasione mancata e, in prospettiva, una fonte di responsabilità.

La rubrica analizzerà infine i profili processuali civili e penali, la distinzione tra medicina clinica e medicina legale, le responsabilità in materia di privacy, e i riflessi della riforma su accreditamenti, autorizzazioni e responsabilità amministrative ai sensi della Legge 231/2001.

Ogni tema sarà affrontato con approccio interdisciplinare, unendo competenze legali, mediche, gestionali e assicurative, per restituire una visione unitaria e concretamente applicabile.

Vi aspettiamo per il prossimo contributo!