Chi risponde del consenso informato in una struttura sanitaria? Titolarità, Gelli-Bianco e la differenza tra dipendente e collaboratore
In uno studio monoprofessionale la catena del consenso informato è corta: il medico informa, il paziente firma, il medico archivia. In un poliambulatorio, un centro medico o una clinica la catena si allunga — segreteria che accoglie, medico che esegue (dipendente o a partita IVA), direzione sanitaria che risponde — e la domanda diventa concreta: chi è il "titolare" del consenso informato? E chi risponde se qualcosa manca? La risposta della legge e della Cassazione è netta, e sorprende molte direzioni: la struttura, anche quando il medico non è un dipendente e perfino quando è stato scelto dal paziente. Vediamo il quadro con i riferimenti puntuali.
"Titolare" del consenso: una parola, due piani distinti
Quando si parla di titolarità del consenso in struttura si mescolano spesso due piani che vanno tenuti separati.
Il piano clinico-informativo. Il consenso informato è l'atto che fonda la relazione di cura: la Legge 22 dicembre 2017, n. 219 stabilisce che nessun trattamento sanitario può iniziare senza il consenso libero e informato del paziente, e che il consenso va documentato in forma scritta o con videoregistrazione (art. 1, comma 4). L'informazione al paziente — natura dell'atto, benefici, rischi, alternative — è compito del medico che esegue la prestazione: è lui che conosce l'atto clinico e che risponde della qualità dell'informazione data.
Il piano organizzativo e documentale. Ma il paziente che entra in un poliambulatorio non contrae con il singolo medico: contrae con la struttura, che si obbliga a una prestazione complessa (accoglienza, organizzazione, prestazione sanitaria, documentazione). Ed è qui che la titolarità si sposta: la struttura risponde contrattualmente dell'intera prestazione, incluso il momento del consenso, e — sul piano della protezione dei dati — è la struttura il titolare del trattamento ai sensi del GDPR per i dati dei pazienti trattati nei propri percorsi di cura.
In breve: l'informazione la dà il medico, ma il rapporto giuridico è con la struttura. "Di chi è" il consenso ha quindi due risposte: dell'uno sul piano clinico, dell'altra sul piano contrattuale e documentale. Ed è la seconda che pesa in giudizio.
L'art. 7 della Gelli-Bianco: la struttura risponde sempre
La Legge 8 marzo 2017, n. 24 (Gelli-Bianco) ha codificato all'art. 7 il principio che la giurisprudenza aveva già consolidato: la struttura sanitaria o sociosanitaria, pubblica o privata, che nell'adempimento della propria obbligazione si avvale dell'opera di esercenti la professione sanitaria — "anche se scelti dal paziente e ancorché non dipendenti della struttura stessa" — risponde delle loro condotte dolose o colpose ai sensi degli artt. 1218 e 1228 del codice civile.
Tre conseguenze pratiche per chi dirige una struttura:
- La responsabilità è contrattuale. Non serve che il paziente dimostri la colpa della struttura come farebbe in un illecito extracontrattuale: basta il rapporto e l'allegazione dell'inadempimento. Il termine di prescrizione è quello ordinario decennale (art. 2946 c.c.).
- Copre anche i collaboratori esterni. Il medico a partita IVA che usa gli ambulatori della struttura, il consulente che visita un giorno a settimana, il professionista che il paziente ha scelto per nome e cognome: se la prestazione avviene nell'adempimento dell'obbligazione della struttura, la struttura ne risponde.
- Copre anche il difetto di consenso. L'omessa o carente acquisizione del consenso informato è una condotta colposa del sanitario di cui la struttura si avvale: rientra nel perimetro dell'art. 7.
Lo stesso art. 7 (comma 3) disegna per il professionista il cosiddetto doppio binario: il sanitario che opera dentro la struttura risponde verso il paziente a titolo extracontrattuale (art. 2043 c.c.), salvo che abbia assunto un'obbligazione contrattuale diretta con il paziente. Per il paziente, agire contro la struttura è quindi la via più favorevole — ed è quella che, nella pratica, viene percorsa.
Le Sezioni Unite 577/2008: l'onere della prova è della struttura
Sul riparto dell'onere probatorio il punto fermo è la sentenza delle Sezioni Unite della Cassazione, 11 gennaio 2008, n. 577: nella responsabilità sanitaria di natura contrattuale, il paziente deve provare il rapporto con la struttura e allegare un inadempimento astrattamente idoneo a causare il danno; spetta invece alla struttura provare di aver adempiuto esattamente o che l'inadempimento non è stato causa del danno.
Applicato al consenso informato, il principio significa una cosa molto concreta: davanti alla contestazione "non sono mai stato informato di quel rischio", è la struttura a dover produrre il documento — firmato, datato, riferibile alla prestazione contestata e al medico che l'ha eseguita. Se il modulo non si trova, se è un fotocopiato generico senza indicazione del trattamento, o se è intestato a un professionista che non lavora più lì, la prova dell'esatto adempimento diventa una scalata.
Il regresso verso il sanitario è limitato (art. 9)
C'è un ulteriore motivo per cui il problema non può essere "delegato" ai singoli medici: anche quando la carenza è imputabile al professionista, l'art. 9 della L. 24/2017 limita l'azione di rivalsa della struttura ai soli casi di dolo o colpa grave, con vincoli temporali e quantitativi. La struttura che paga il risarcimento, nella generalità dei casi, non recupera dal sanitario. L'unica strategia economicamente razionale è organizzativa: standardizzare i moduli e presidiare la raccolta e la conservazione, prima.
In breve: ex art. 7 la struttura risponde contrattualmente anche per i non dipendenti; ex SS.UU. 577/2008 tocca a lei provare l'adempimento; ex art. 9 non può quasi mai rivalersi sul medico. Il consenso informato è, a tutti gli effetti, un rischio d'impresa della struttura.
Medico dipendente vs collaboratore esterno: cosa cambia davvero
È la domanda più frequente delle direzioni sanitarie. La risposta va divisa sui due piani.
Responsabilità civile: per il paziente non cambia nulla
L'art. 7 è costruito proprio per neutralizzare la differenza: "anche se scelti dal paziente e ancorché non dipendenti". Che il medico sia strutturato o a partita IVA, la struttura risponde delle sue condotte ex artt. 1218 e 1228 c.c. La qualificazione del rapporto di lavoro rileva semmai nei rapporti interni (rivalsa ex art. 9, coperture assicurative), non verso il paziente.
Privacy: con il collaboratore esterno scatta la contitolarità
Sul piano del trattamento dei dati la distinzione invece pesa. Il medico dipendente opera come persona autorizzata al trattamento (art. 29 GDPR): il titolare è la struttura, punto. Il libero professionista esterno che esercita nella struttura, invece, non è un semplice autorizzato: determina anch'egli finalità e modalità del trattamento dei dati dei propri pazienti. In questi casi si configura una contitolarità del trattamento ex art. 26 GDPR tra struttura e professionista, che richiede un accordo interno che ripartisca le rispettive responsabilità (chi rende l'informativa, chi risponde alle istanze degli interessati) e la cui sintesi va resa disponibile ai pazienti.
In pratica, per ogni professionista che opera in struttura la direzione dovrebbe sapere rispondere a tre domande: è dipendente o esterno? Chi consegna l'informativa privacy ai suoi pazienti? I consensi che raccoglie a chi sono intestati e dove finiscono?
In breve: verso il paziente la struttura risponde comunque (art. 7). Verso il Garante, però, il collaboratore esterno impone un assetto diverso: contitolarità ex art. 26 GDPR, con accordo e informativa coerenti. Trattare tutti i medici "come se fossero dipendenti" è un errore di impostazione privacy.
Cosa deve conservare la struttura, e per quanto
Il fascicolo del consenso che mette la struttura in condizione di difendersi contiene, per ogni prestazione:
- il consenso informato firmato, riferito allo specifico trattamento eseguito (non un modulo generico di struttura);
- l'identificazione del medico esecutore della prestazione — essenziale quando nello stesso ambulatorio si alternano più professionisti;
- l'intestazione corretta: il documento deve riflettere il rapporto reale, cioè la struttura come parte del contratto di cura, con il professionista che ha eseguito l'atto;
- la data certa e la riferibilità della firma al paziente;
- l'informativa privacy e gli eventuali consensi facoltativi, distinti dal consenso clinico.
Quanto alla durata: la responsabilità contrattuale della struttura si prescrive in 10 anni (art. 2946 c.c., prescrizione ordinaria). La documentazione del consenso va quindi conservata — integra e reperibile — almeno per dieci anni dalla prestazione: un contenzioso può arrivare quando il medico che aveva raccolto la firma ha cambiato città da tempo.
In breve: la struttura deve poter ritrovare, a distanza di anni, il consenso specifico di quel paziente, per quel trattamento, con quel medico. Dieci anni è l'orizzonte minimo di conservazione.
Come il digitale risolve il problema organizzativo
Tutto quanto sopra, su carta, si traduce in faldoni per sede, moduli diversi per medico e firme che mancano proprio nei fascicoli che serviranno. Un flusso digitale pensato per le strutture — non per il singolo professionista — riallinea la pratica al quadro giuridico:
- Account unico della struttura, medici in anagrafica. I professionisti non hanno account individuali: sono censiti con nome, iscrizione all'albo e specializzazione, e classificati come dipendenti o collaboratori esterni — con l'assetto di contitolarità ex art. 26 GDPR riflesso nella documentazione.
- Documenti intestati alla struttura, con il medico esecutore. A ogni invio la segreteria seleziona il medico esecutore e la sede: il documento firmato riporta la ragione sociale della struttura come Titolare e il professionista che ha eseguito la prestazione. È esattamente la prova che le SS.UU. 577/2008 chiedono alla struttura di saper produrre.
- Consensi specifici per trattamento. I modelli si associano ai medici che eseguono quelle prestazioni, dalla libreria di oltre 200 trattamenti. Per la medicina estetica — dove la Cassazione 28985/2019 impone un consenso esteso al risultato conseguibile — esistono moduli dedicati per singola procedura: si veda ad esempio la guida al consenso per la tossina botulinica o per il filler all'acido ialuronico.
- Firma tracciata e archivio decennale. Il paziente firma dal proprio telefono con codice OTP; il documento è protetto da hash SHA-256 e audit chain immutabile, cifrato AES-256 e conservato 10 anni, con copia al paziente. La direzione ha statistiche per medico e per sede: le firme mancanti si vedono prima, non in giudizio.
Il funzionamento completo dell'account struttura — multi-medico, multi-sede, prezzi dei pacchetti — è descritto nella guida al consenso informato per cliniche e poliambulatori.
Prova ConsensoSicuro gratis per 14 giorni con l'account struttura: 20 consensi inclusi, senza carta di credito.
Fonti
- Legge 8 marzo 2017, n. 24 (Gelli-Bianco) — art. 7 (responsabilità della struttura e dell'esercente la professione sanitaria) e art. 9 (azione di rivalsa): Normattiva.
- Legge 22 dicembre 2017, n. 219 — consenso informato, art. 1: Normattiva.
- Corte di Cassazione, Sezioni Unite civili, sentenza 11 gennaio 2008, n. 577 — natura contrattuale della responsabilità della struttura e riparto dell'onere della prova.
- Corte di Cassazione, Sez. III civile, sentenza n. 28985/2019 — consenso informato esteso al risultato conseguibile negli atti a finalità estetica.
- Regolamento (UE) 2016/679 (GDPR) — art. 26 (contitolari del trattamento), art. 29 (trattamento sotto l'autorità del titolare).
- Art. 2946 del Codice Civile — prescrizione ordinaria decennale.
Aggiornato al 4 luglio 2026. Contenuto informativo, non sostituisce la consulenza legale: per l'assetto della tua struttura (contratti con i professionisti, accordi di contitolarità, coperture assicurative) confrontati con un legale di fiducia.