Cass. Sez. IV, sent. 11 novembre 25 (dep. 11 dic. 25), n. 39828, Pres. Serrao, Est. Miccichè

1. La questione. – I medici sono pochi e il tempo a loro disposizione è poco.

Ma può il medico cedere la sua password all’infermiere per un controllo sulla documentazione sanitaria del reparto? Ad esempio, il controllo sull’arrivo dei referti degli esami.

Parliamo di controllo generalizzato, che avviene cioè abitualmente. Non quindi un controllo per una contingenza, ad esempio, il troppo lavoro del giorno, che impedisce al medico il controllo personale.

Sull’homo digitalis incombe il noto imperativo: Mai cedere ad altri la propria password!

L’imperativo manifesta però una crepa quando la cessione della password avviene per il bene altrui, come nel caso del medico che vuole risparmiare tempo da impiegare per la cura dei pazienti.

Vediamo che cosa ne pensa la Cassazione.

 

2. Il caso e le decisioni. – Si tratta del caso noto nei mass media come caso Valentina, dal nome di battesimo della parte offesa[1].

Una paziente è alla diciassettesima settimana di gravidanza di due gemelli. È ricoverata in ginecologia: presenta algie pelviche e protrusione del sacco amniotico in vagina. Esami di laboratorio evidenziano aumento dei globuli bianchi e della proteina c reattiva, nonostante copertura antibiotica empirica (c.d. a largo spettro). Viene eseguito un tampone vaginale, il cui referto individua il batterio che regge l’infezione e segnala nell’antibiogramma a quale antibiotico il batterio è sensibile. Ma il passaggio alla terapia mirata non avviene, perché i medici non prendono visione del referto, in quanto non stampato dalla caposala e non inserito nella cartella clinica. Per prassi del reparto, la stampa e l’inserimento sono fatti dal personale infermieristico, previo accesso nel sistema informatico con la password dei medici, che per lo scopo è messa a loro disposizione. Il quadro della paziente si evolve prima in aborto settico dei feti e poi in mortale shock settico di lei. Persi i feti e persa la madre.

Il giudice di primo grado ritiene la responsabilità penale dei medici di turno dal momento in cui il referto del tampone vaginale era disponibile, per non avere eseguito un personale controllo e per non avere quindi modificato la terapia.

La Corte d’Appello assolve, ritenendo insussistente una condotta negligente dei medici, in quanto nel reparto si seguiva la prassi della stampa e dell’inserimento in cartella dei referti da parte del personale infermieristico: prassi che non era stata seguita nel caso di specie e non era stato quindi possibile per i medici prendere visione del referto del tampone. Mettono in rilievo i giudici la stabilità del quadro presentato dalla paziente, non ritenuto tale da destare allarme.

Ricorre per Cassazione la parte civile. Fa perno sull’alto rischio abortivo e infettivo della paziente, data la protrusione del sacco amniotico in vagina e quindi l’avvenuta perdita del tappo mucoso cervicale, che funge da protezione alla risalita dei batteri normalmente presenti in vagina.

La Cassazione annulla agli effetti civili la sentenza impugnata. Esclude che il controllo quotidiano e costante dei referti possa essere delegato al personale infermieristico, spettando invece al medico, titolare delle funzioni elettive di diagnosi e decisione delle terapie praticabili. Aggiunge che è proprio per tale ragione che i referti erano visionabili nell’area riservata esclusivamente al personale medico.

Il principio enucleabile dalla sentenza è quindi il seguente: è configurabile la colpa del medico che delega al personale infermieristico il controllo generalizzato dei referti, trattandosi di attività diagnostico/terapeutica.

 

3. Critica. – Non appare convincente la motivazione posta a base del principio.

Invero, la stampa e l’inserimento in cartella dei referti non è attività diagnostico/terapeutica, non è di competenza esclusiva del medico. Stesso dicasi se ciò avviene per via informatica nella cartella digitale. L’attività diagnostico/terapeutica consiste infatti nella c.d. interpretazione del referto, cioè nell’attribuzione ad esso di un significato clinico, sfociante in diagnosi e terapia.

In realtà l’ipotizzabile colpa non è quella di avere delegato il controllo dei referti, ma è quella di non avere prescritto l’antibiotico mirato non appena l’antibiogramma era disponibile, quando cioè si conosceva il batterio colpevole della malattia e l’arma chimica per colpirlo. In altri termini è ipotizzabile la colpa nel ritardato passaggio dalla terapia empirica a quella mirata o, in gergo clinico, nel ritardo di switch farmacologico[2], nel ritardo nel suicciare, come anche si dice con neologismo cacofonico. L’inosservanza della relativa regola cautelare è accertata, viene invece discusso se l’inosservanza sia giustificata o no.

La domanda da porsi è quindi: quella prassi giustifica l’omissione della visione tempestiva del referto da parte dei medici e delle conseguenti decisioni cliniche?

Beninteso: questa prassi non ha natura cautelare, perché non è finalizzata al raggiungimento di cure appropriate, ma a un risparmio di tempo per il medico. Non viene quindi in rilievo l’apprezzata dottrina sull’utilizzabilità nel giudizio di colpa di prassi cautelari, che consistono in regole che derivano dall’esperienza di comportamenti atti ad evitare un pericolo[3]. L’attenzione cade qui invece su una prassi scriminante rispetto a una regola cautelare della quale non si contesta né il fondamento né l’inosservanza: la terapia andava modificata non appena il referto era disponibile e ciò non è avvenuto.

La Cassazione nega rilievo alla prassi, affermando, come già visto, che la stampa e l’inserimento in cartella dei referti non possa essere delegato al personale infermieristico.

Ma la ragione è un’altra: si tratta di prassi alla quale il rilievo va negato ex art. 8 preleggi, per il quale Nelle materie regolate dalle leggi e dai regolamenti gli usi hanno efficacia solo in quanto sono da essi richiamati. Semplicemente non è prassi richiamata, come invece dovrebbe ex art. 8 preleggi[4]. Non è prassi secundum legem, come solitamente viene qualificata una prassi richiamata.

Ancora: è prassi alla quale mancano i due requisiti tradizionalmente richiesti in giurisprudenza perché possa esserle assegnato rilievo e cioè uno – di natura oggettiva – consistente nella uniforme e costante ripetizione di un dato comportamento, l'altro – di natura soggettiva o psicologica - consistente nella consapevolezza di prestare osservanza, operando in un certo modo, ad una norma giuridica[5]. È proprio tradizionalmente che l’opinio iuris ac necessitatis fa assurgere la prassi al rango di uso rilevante ex art. 8 preleggi[6].

 

4. Una prassi contra legem. – La prassi della cessione della password parrebbe addirittura contra legem. E in tal caso ancora con più forza cade la scure giurisprudenziale dell’irrilevanza della prassi[7].

Ad abundantiam rispetto all’irrilevanza della prassi, ci si può chiedere: quali disposizioni di legge vietano la cessione della password?

Il divieto di cessione non è previsto espressamente dal Regolamento Generale sulla Protezione dei Dati (679/2016), richiamato dall’art. 1 del codice della privacy (d. lgs. 196/2003). Tuttavia il Regolamento all’art. 5 par. 1 lett. f prevede l’obbligo di garantire un'adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti. All’art. 32 prevede poi che vadano messe in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio (in termini analoghi l’art. 25)[8]. Proprio basandosi su queste fonti, il Garante per la Privacy ha emanato le linee guida sulla password[9].

Non dovrebbero esserci quindi dubbi di sorta sul divieto di cessione della password.

Per il penalista sorge inevitabile la domanda: costituisce reato la cessione della password per esigenze di lavoro?

La sentenza in commento non si occupa di questa domanda. Del resto non risultano contestati altri reati oltre all’omicidio colposo.

Ma la domanda suscita una sana curiosità, che in quanto tale va alimentata e soddisfatta.

Viene subito in mente l’art. 615 ter c.p., che prevede la punibilità di chi abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza. Tuttavia pare da escludersi l’abusività dell’introduzione nell’ipotesi di cessione per esigenze di lavoro, data la giurisprudenza che richiede la necessità dell’introduzione per un fine diverso da quello per il quale l’introduzione è stata consentita[10] (sviamento di potere o accesso disfunzionale). Infatti, secondo la prassi del reparto, l’introduzione del personale infermieristico avveniva esattamente al fine consentito e cioè la stampa e l’inserimento in cartella clinica dei referti.

Più appropriata appare invece l’ipotizzabilità del reato di cui all’art. 615 quater c.p.: una condotta tipica è quella di chi, al fine di procurare a sé o ad altri un vantaggio o di arrecare ad altri un danno, mette a disposizione di altri parole chiave o altri mezzi idonei all'accesso ad un sistema informatico o telematico, protetto da misure di sicurezza. La configurabilità parrebbe però da escludersi, per l’assenza del necessario dolo specifico del fine di procurare a sé o ad altri un vantaggio. È vero che in assenza di previsione legislativa il vantaggio può essere anche non patrimoniale e non ingiusto. Ma appare inconfigurabile il vantaggio a sé o ad altri, interpretato in chiave di offensività, essendo la cessione finalizzata a ridurre i tempi dell’attività clinica.

Per la stessa ragione parrebbe da escludersi anche il reato di sostituzione di persona, essendo il dolo specifico espresso dall’art. 494 c.p. esattamente negli stessi termini.

Né è configurabile alcuna condotta tipica di violazione della privacy, ex art. 167 d. lgs. 30 giugno 2003, n. 196, mancando il nocumento del paziente, anzi avvenendo la cessione per la sua cura.

Pare quindi da escludersi l’illiceità penale.

Sul piano civile, la liceità del fine di uso di altrui password per esigenze di lavoro è stata espressamente riconosciuta dalla giurisprudenza, che ha ritenuto assente la giusta causa di licenziamento di una dipendente che aveva ripetutamente utilizzato una password altrui per collegarsi al sistema informatico aziendale, secondo una prassi aziendale e per esigenze connesse con il proprio lavoro, cioè selezionare i clienti morosi per procedere al recupero dei crediti[11].

Si configura invece l’illiceità amministrativa.

Il Garante per la Privacy ha comminato una sanzione amministrativa a carico di un medico di medicina generale per la cessione della password al collega che lo sostituiva nelle feste natalizie, durante le quali vi erano stati difetti tecnici del sistema tessera sanitaria[12]. La condivisione della password del medico con un collega che lo sostituiva è stata più volte sanzionata dal Garante[13]. Va tuttavia messo in rilievo che questi provvedimenti non sono basati sulla condotta attiva di cessione della password, ma sulla condotta omissiva costituita dalla mancata adozione delle misure minime di sicurezza atte a impedire l’accesso di altri utilizzando credenziali non proprie.

Questa condotta omissiva costituiva anche reato per gli abrogati artt. 33 e 169 d. lgs. 30 giugno 2003, n. 196, che prevedevano appunto la punibilità di chi, essendovi tenuto, omette di adottare le misure minime volte ad assicurare un livello minimo di protezione dei dati personali. Attualmente costituisce solo illecito amministrativo ex art. 166 d. lsg. cit.

 

5. Alternative all’incedibilità. – L’infermiere partecipa al percorso di cura, secondo quanto previsto dalle norme che definiscono il suo profilo professionale (artt. 1 co. 3 D.M. 739/94 e 1 legge 1 febbraio 2006 n. 43)[14]. Deve quindi avere accesso non solo ai referti, ma alla documentazione sanitaria in genere. E questo per i suoi obblighi di collaborazione con il medico: ad es., l’antibiogramma evidenzia a quale antibiotico è sensibile il batterio che regge l’infezione e l’infermiere sa dal paziente dell’allergia a quell’antibiotico, non ancora risultante in cartella clinica. Ma anche per aspetti di sua competenza. Ad esempio, il referto evidenzia che l’infezione presentata dal paziente è retta da un patogeno ospedaliero e richiama quindi l’attenzione dell’infermiere sul rispetto del protocollo di disinfezione per la parte di sua competenza, pur non essendo detto che il contagio sia dipeso da lui. E così via.

Ovviamente è salvo l’obbligo dell’infermiere di mantenere il segreto sui dati a sua conoscenza.

È quindi evidente che l’infermiere andrebbe dotato di una sua password, con uso guidato da modalità operative definite dal Direttore del reparto, nell’esercizio delle sue funzioni di direzione e organizzazione ex art. 15 co. 6 d. lgs. 502/92. E questo per una legittima procedimentalizzazione della prassi, soprattutto con riguardo ai tempi di consultazione dei dati e di comunicazione al medico.

In assenza di modalità operative definite, l’esaminata prassi parrebbe da scoraggiare. Come condivisibilmente avviene nella sentenza in commento. E anche nella relazione preliminare degli Ispettori nominati per il caso dal Ministero della Salute[15], nella quale si raccomanda la ridefinizione delle modalità di comunicazione tra équipe con definizione dei livelli di “alert” e si suggerisce la precisa definizione delle modalità di attivazione dei percorsi organizzativo-assistenziali in emergenza urgenza.

Si tratta, all’evidenza, di raccomandazioni e suggerimenti che possono valere in generale per qualunque reparto ospedaliero dove è presente carenza in materia. Per evitare che la frequente censura di quella prassi di cessione sia solo di facciata e che quindi continui, come fenomeno di gattopardismo clinico. Ritorna appunto alla mente la celebre frase di Tancredi nel romanzo Il gattopardo di Tomasi di Lampedusa: Tutto deve cambiare perché niente cambi.