Inserisci una parola chiave per iniziare la ricerca
Ricerca in corso...
Immaginate un paziente che riceve una diagnosi tramite videochiamata su una piattaforma regionale certificata. Ha firmato un modulo di consenso generico all'inizio della visita, cliccando "accetto" sullo schermo. Settimane dopo, un malfunzionamento del sistema comporta la diffusione non autorizzata dei suoi dati clinici. Si pone allora una domanda scomoda: quel "clic" valeva davvero come consenso? E il medico era al corrente dei limiti tecnici della piattaforma che stava usando? La risposta, alla luce del diritto vigente e della giurisprudenza più recente, è quasi sempre: no, non abbastanza.
Il consenso in telemedicina non è uno: sono due obblighi distinti
Il punto di partenza normativo è la Legge 22 dicembre 2017, n. 219, che costituisce ancora oggi la spina dorsale del diritto all'autodeterminazione terapeutica del paziente. Ma nel contesto della telemedicina si affianca — con pari forza cogente — un secondo livello di obbligo informativo: quello derivante dal GDPR (Regolamento UE 2016/679) e dalla normativa nazionale di settore, in particolare il Decreto ministeriale 19 novembre 2025, n. 301, che disciplina le modalità di trattamento dei dati sanitari all'interno della Piattaforma Nazionale di Telemedicina.
Il DM 301/2025 regola il flusso dei dati dalle Infrastrutture Regionali all'Infrastruttura Nazionale e richiede che l'informativa al paziente indichi con precisione i soggetti che intervengono nel trattamento dei dati personali. Questo non è un adempimento formale: è un obbligo sostanziale che si affianca al consenso clinico e che non può essere assolto con un generico modulo prestampato.
A questo quadro si aggiunge la Legge 23 settembre 2025, n. 132, che introduce il principio di trasparenza algoritmica: quando sistemi di Intelligenza Artificiale sono utilizzati come supporto alle decisioni cliniche, il medico è tenuto a informare il paziente dell'eventuale utilizzo di tali strumenti. Pochi studi medici e poche strutture sanitarie si stanno adeguando a questo obbligo, che è già vigente.
La giurisprudenza della Corte di Cassazione ha progressivamente riconosciuto al consenso informato una funzione autonoma rispetto alla tutela dell'integrità psicofisica, qualificandolo come espressione del diritto fondamentale all'autodeterminazione terapeutica. Tale orientamento appare destinato ad assumere particolare rilevanza nell'ambito della telemedicina, dove la consapevolezza del paziente circa le caratteristiche tecnologiche della prestazione costituisce un elemento essenziale della libera scelta terapeutica.
La giurisprudenza più recente della Cassazione civile conferma e approfondisce questa impostazione. Con l'ordinanza n. 316/2026, la Corte di Cassazione civile, Sez. III, ha ribadito con chiarezza che il medico deve fornire informazioni dettagliate in merito alle alternative possibili e a natura, portata ed estensione dell'intervento, dei suoi rischi, dei risultati conseguibili e delle possibili conseguenze negative, specificando che la completezza del consenso va esclusa ove il contenuto del modulo sia generico. In telemedicina questo principio si moltiplica: il modulo generico è doppiamente insufficiente, sia sul piano clinico sia su quello della protezione dei dati.
Con l'ordinanza Cass. civ., Sez. III, 10 febbraio 2026, n. 2968, la Suprema Corte ha affermato un principio ulteriore e dirompente: il consenso non può giustificare una scelta erronea del medico, il paziente, per quanto informato, non può essere equiparato a un medico negli errori di scelta terapeutica; e ciò tanto più se il paziente non ha ricevuto informazioni complete e congrue. Nel caso di specie, dopo il trattamento ambulatoriale sarebbe stata rilasciata al paziente una "relazione scritta" dal carattere generico, poiché non recante informazioni precise sul successivo iter da seguire, ad esempio il contenuto dei controlli e quali fossero le terapie consigliate. Il parallelismo con la visita da remoto è evidente: una relazione post-visita telematica vaga e priva di indicazioni operative concretizza lo stesso vizio.
Sul versante della causalità, merita attenzione l'ordinanza Cass. civ., Sez. III, 23 marzo 2026, n. 6926, nella quale la Corte ha ribadito un principio fondamentale in tema di responsabilità sanitaria: il risarcimento deve essere integrale quando viene dimostrata la lesione del diritto all'autodeterminazione, e che anche attraverso prove presuntive è possibile accertare che, se correttamente informato, il paziente avrebbe scelto diversamente. Questo apre scenari tutt'altro che teorici per la telemedicina: se il paziente dimostra, anche per presunzioni, che una informazione più completa sullo strumento digitale lo avrebbe indotto a preferire la visita in presenza, il medico risponde dell'intera catena di danno che ne è conseguita.
Vigilantibus iura subveniunt: il diritto assiste chi è vigile. Ma in ambito sanitario digitale, a essere tenuto alla vigilanza è prima di tutto il professionista, non il paziente.
Il rischio sottovalutato: la responsabilità del medico per i limiti della piattaforma
Qui emerge il profilo più originale — e più trascurato — dell'intera questione. La maggior parte della letteratura giuridica sul consenso in telemedicina si ferma alla forma dell'informativa: carta o digitale, modulo specifico o generico. Pochissimi si pongono la domanda seguente: chi risponde se la piattaforma tecnica è inadeguata, e il medico non lo sa?
Ciò che costituisce il fondamento della responsabilità non è legato alla modalità di esercizio di una determinata prestazione, bensì alla scelta di far ricorso o meno a questa differente tipologia di medicina. Vi è già un precedente giurisprudenziale in tal senso, che riguarda la responsabilità di tre medici condannati per omicidio colposo, con sentenza n. 9279 del 28 marzo 2003 della Corte di Cassazione penale, per aver preferito seguire un paziente telefonicamente, omettendo di effettuare la visita in presenza.
Quella pronuncia penale — risalente ma mai superata — stabilisce un criterio che oggi si proietta sulla telemedicina moderna: la scelta dello strumento è essa stessa un atto medico, soggetto a valutazione di adeguatezza. Il medico resta pienamente responsabile dell'atto sanitario anche se svolto a distanza. La telemedicina non riduce la responsabilità professionale: la valutazione clinica deve essere adeguata al mezzo utilizzato. Se la visita da remoto non consente una diagnosi sicura, il medico ha il dovere di indirizzare il paziente verso una visita in presenza.
Sul fronte dei dati, il GDPR impone obblighi che ricadono direttamente sulle strutture sanitarie. Il Regolamento impone: privacy by design e by default, con sistemi progettati per trattare solo i dati necessari; valutazione d'impatto (DPIA), obbligatoria per trattamenti su larga scala di dati sanitari; misure di sicurezza adeguate al rischio, che nel settore sanitario è strutturalmente elevato; trasparenza verso gli interessati, anche quando il trattamento non si fonda sul consenso; chiara individuazione di ruoli e responsabilità tra titolari e responsabili del trattamento.
Un elemento che gli operatori raramente considerano riguarda il dossier sanitario digitale. Il Garante Privacy, con il provvedimento n. 474/2025, ha chiarito che il confine tra dossier sanitario e altri sistemi di archiviazione elettronica appare più sfumato di quanto si creda: l'esistenza di un dossier non dipende dalla sua denominazione formale, bensì dalla possibilità di accedere a dati storici del paziente anche provenienti da diverse unità operative. Tale interpretazione estensiva amplia l'ambito dei trattamenti soggetti agli obblighi di consenso e informativa specifica. Viene inoltre riaffermato che il consenso al trattamento per finalità di cura non si estende automaticamente al dossier sanitario. In parole semplici: il paziente che ha autorizzato la singola visita da remoto non ha autorizzato l'archiviazione e la consultazione dei suoi dati su piattaforme integrate multi-aziendali. Ogni estensione d'uso richiede un consenso autonomo e specifico.
Come osservava Stefano Rodotà — tra i padri del diritto alla protezione dei dati in Italia — il corpo è il luogo della persona, e i dati che lo descrivono non sono una merce liberamente circolante ma una proiezione dei diritti fondamentali della persona stessa. Questa intuizione acquista una concretezza del tutto nuova nell'era della cartella clinica digitale e della visita a distanza.
Con l'avvento della telemedicina, delle app sanitarie e dell'intelligenza artificiale nella diagnostica, il consenso informato assume nuove connotazioni: i pazienti devono essere messi a conoscenza non solo del trattamento, ma anche del funzionamento e dei limiti degli strumenti tecnologici utilizzati.
Sul piano pratico, cosa deve fare concretamente un medico o una struttura sanitaria per evitare di incorrere in responsabilità civile — e talvolta penale — nella gestione della telemedicina?
Il primo errore da evitare è affidarsi a un unico modulo di consenso cumulativo che mescola il profilo terapeutico con quello del trattamento dei dati: i due consensi sono logicamente e giuridicamente distinti, devono essere documentati separatamente e devono entrambi essere specifici, non generici. Il secondo errore è non informare il paziente dei limiti tecnici della visita da remoto: se la risoluzione video è insufficiente per una valutazione dermatologica, se la connessione è instabile, se lo strumento non consente l'auscultazione, tutto ciò deve essere dichiarato esplicitamente prima della prestazione, e il paziente deve poter scegliere. Il terzo errore — spesso il più grave sul piano delle conseguenze — è non adottare una DPIA quando la piattaforma usata tratta dati sanitari su larga scala: in quel caso la struttura è esposta a sanzioni del Garante Privacy e a responsabilità civile diretta nei confronti del paziente danneggiato. Il quarto errore riguarda la documentazione post-visita: una relazione scritta dal carattere generico, priva di informazioni precise sul successivo iter da seguire, è già stata ritenuta dalla Cassazione elemento che concorre a integrare la violazione del consenso informato. In telemedicina, dove manca la presenza fisica e il dialogo è mediato da uno schermo, la documentazione scritta è l'unica prova dell'avvenuto scambio informativo: non può essere approssimativa.
La protezione dei dati personali non è un "vincolo esterno" alla sanità digitale: è il presupposto giuridico che consente la legittimità del trattamento. Senza un impianto solido di garanzie, la telemedicina rischia di diventare un sistema tecnicamente efficiente ma giuridicamente fragile.
Il punto critico che la giurisprudenza più recente sta delineando — e che merita di essere segnalato con chiarezza — è questo: in telemedicina il paziente porta con sé una vulnerabilità informativa maggiore che in presenza, perché non può vedere l'ambiente, non percepisce la comunicazione non verbale del medico, non sa come vengono trattati i suoi dati una volta trasmessi. La legge risponde a questa vulnerabilità aumentando il livello degli obblighi informativi, non attenuandolo. Chi tratta la visita da remoto come una visita ordinaria con lo schermo al posto del camice sta semplicemente ignorando il quadro normativo attuale.
Redazione - Staff Studio Legale MP