Idee per una “nuova” compliance prendendo spunto dal Clinical Risk Management

di  Megi Trashaj,  Dottoranda  in  Diritto penale;  Avvocato

 

 

 

Lo U.S. Department of Health and Human Service – Office of Inspector General (OIG), agenzia che supervisiona i programmi sanitari pubblici con impatto sui bilanci federali, nel novembre del 2023 ha diffuso una guida alla costruzione di buoni programmi di compliance (General Compliance Progrm Guidance).

 

Il documento, volto a prevenire il rischio di comportamenti illeciti, è indirizzato «to all individual and entities involved in the health care industry» (p. 7) e quindi a una serie di strutture quali ospedali, case di cura, laboratori clinici, produttori di attrezzature mediche e farmaceutiche.

 

La recente pubblicazione offre l’occasione per operare alcuni parallelismi, con riferimento al sistema italiano, tra il sistema di gestione dei classici rischi-reato dell’ambito health care e quello relativo al rischio sanitario.

 

 

1. La General Compliance Program Guidance dell’OIG

 

La pubblicazione della General Compliance Program Guidance rappresenta un aggiornamento rispetto a precedenti indicazioni offerte dall’OIG il quale, dal 1998, è impegnato, a supporto degli enti del “mondo” sanitario, nel contrasto a condotte di frode, spreco e abuso, ritenute tanto diffuse quanto produttive di inefficienze per lo health care system.

 

La guida, dopo aver ricapitolato le più significative norme federali americane volte a contrastare gli illeciti tipici di questo settore (come, ad es., il Federal Anti-Kickback Statute, che impedisce ai soggetti coinvolti in programmi sanitari pubblici di offrire o ricevere doni per ricompensare le buone referenze; la Physician Self-Referral Law, che pone divieto al medico di indirizzare il paziente – fruitore di cure grazie a fondi pubblici – verso strutture con il quale il professionista ha rapporti finanziari; il Criminal Health Care Fraud Statute, che considera penalmente rilevanti azioni fraudolentemente dirette ad ottenere benefici non dovuti a danno dei conti pubblici; le Privacy and Security Rules, che impongono la tutela dei dati dei pazienti) indica sette elementi imprescindibili da inserire nel compliance program per la prevenzione di comportamenti difformi rispetto a quelli normativamente richiesti.

 

A seguito di un percorso di osservazione della realtà empirica nella quale operano gli enti coinvolti nell’erogazione di prestazioni sanitarie, l’OIG isola gli elementi ritenuti necessari per costruire un «Successful Compliance Program»:

 

1) formalizzazione di policy e procedure. In particolare, si suggerisce agli enti di individuare i precisi doveri e le specifiche responsabilità gravanti sulle singole persone fisiche.

È raccomandata, inoltre, la redazione di codici di condotta, la stesura delle compliance procedures e il continuo aggiornamento dei menzionati documenti;

 

2) creazione di una leadership attenta alla conformità da implementare, in primo luogo, attraverso l’istituzione, ad opera degli apicali, della funzione di Compliance Officer mediante attribuzione alla stessa dell’autonomia, dei poteri e delle risorse necessarie per adempiere alla propria funzione.

In secondo luogo, con la  formazione del Compliance Committee – organo presieduto dal Compliance Officer e composto da tutti i responsabili degli altri dipartimenti aziendali (es. tax, IT, risorse umane, gestione del rischio, controllo qualità, vendite) – deputato ad un’integrata implementazione dei presidi di conformità.

In ultimo, è auspicata la supervisione, ad opera del Consiglio di amministrazione, sul generale funzionamento della “struttura” di compliance aziendale;

 

3) formazione ed educazione del personale mediante l’organizzazione periodica, ad opera del Compliance Officer, con il supporto del Compliance Committe, di percorsi formativi disegnati sulle peculiari esigenze dei soggetti concretamente presenti all’interno dell’impresa, tenendo conto dunque non solo delle funzioni che essi svolgono nell’organizzazione ma anche del background che contraddistingue e differenzia le singole persone;

 

4) costituzione di linee guida che garantiscano una efficace comunicazione con il Compliance Officer e di un Disclosure Program. Ogni dipendente deve avere la possibilità di contattare la funzione compliance e, soprattutto, deve poter dialogare con essa.

Per i whistleblower deve essere offerta una tutela contro eventuali ritorsioni. Inoltre, tutte le segnalazioni, indipendentemente dalla modalità in cui sono operate, devono essere annotate su apposito registro;

 

5) concreta applicazione degli standard precedentemente individuati attraverso la previsione di sanzioni per i comportamenti devianti e di incentivi per quelli conformi.

Dal punto di vista disciplinare, è suggerito all’ente di prevedere una risposta alle violazioni – a qualunque livello aziendale siano state poste in essere – mediante i. l’applicazione di un aggravio di obblighi formativi, ii. richieste “rimediali non punitive”, iii. vere e proprie sanzioni, con una differenziazione che tenga anche conto dell’elemento soggettivo (colposo o doloso) con il quale è stato tenuto il comportamento illecito.

Per quanto riguarda la premialità è, invece, consigliato all’organizzazione di implementare misure di riconoscimento e incoraggiamento nei confronti delle persone che realizzano eccellenti performance di conformità;

 

6) valutazione, controllo e monitoraggio dei rischi. Il Compliance Committe deve pianificare periodici audit con riferimento ai rischi individuati in sede del risk assessment annuale ma il Compliance officer deve svolgere ulteriori verifiche qualora in corso d’anno emergano nuovi profili meritevoli di accertamento;

 

7) risposte adeguate alle accertate violazioni e implementazione, dinnanzi alle infrazioni, di azioni correttive.

Il Compliance officer deve essere pronto, ricevuta una notizia che merita di essere approfondita, a condurre un’opportuna internal investigation e, nel caso di output negativi, bisognerà procedere prontamente alla segnalazione della condotta alle agenzie di controllo competenti per il settore in cui è stata realizzata la violazione (DOJ, authority di settore…).

Se vi è stato un beneficio economico come effetto dell’illecito sarà necessario programmare ed effettuare le dovute restituzioni. A seguito delle violazioni si modificheranno le cautele preventive precedentemente predisposte dalla società e successivamente rivelatesi inadeguate.

 

 

2. La prevenzione del rischio sanitario attraverso il modello del Clinical Risk Management

 

Mentre il documento dell’OIC è dedicato in generale alla prevenzione del rischio di illeciti costituenti reato all’interno delle strutture assistenziali, in Italia, con riferimento al medesimo settore a cui si indirizza l’Autorità statunitense, vige un particolare sistema per il governo di uno specifico rischio tipico del comparto, ovvero quello “sanitario”, da intendersi come «rischio connesso all’erogazione di prestazioni sanitarie» (art. 1, comma 2, l. 24/2017 cd. Gelli-Bianco).

 

In particolare, al governo di questo rischio, che più specificatamente si manifesta all’interno delle strutture ospedaliere, è riservato il Clinical Risk Management (C.R.M.), sistema di gestione che gli enti sono tenuti ad adottare per ottenere l’accreditamento nel S.S.N. (cfr. l. 208/2015, DM 70/2015 e molteplici normative regionali).

 

Il Clinical Risk Management ha una matrice anglosassone e nasce sulla base della considerazione per cui l’errore in medicina è, in certa misura, inevitabile. Tale sistema, dunque, crea un’architettura per cercare di prevenire al meglio eventi nefasti dovuti, in un gran numero di casi, alle carenze delle strutture organizzative.

 

Più nel dettaglio, questo sistema di gestione del rischio prevede, tra gli altri elementi,

 

• l’attivazione, all’interno delle strutture organizzative, di processi di studio relativi alle procedure utilizzate e, soprattutto, agli errori più frequenti;
• l’implementazione di tecniche per garantire agli operatori la possibilità di fare segnalazioni anonime anche dei quasi-errori;
• l’indagine sui percorsi diagnostici per l’emersione di eventuali fenomeni di medicina difensiva attiva e passiva;
• sensibilizzazione e formazione continua del personale sul rischio sanitario;
• la non acquisizione, ad opera dell’autorità giudiziaria, dei verbali e degli atti conseguenti la gestione del rischio clinico;
• la predisposizione di una relazione annuale sugli eventi avversi verificatisi nella struttura con focus sulle cause che hanno portato all’evento e sulle iniziative realizzate per la prevenzione di nuove criticità, con successiva pubblicazione online della relazione ( 1, comma 539, l. 208/2015).

 

Da questi elementi emerge la logica del Clinical Risk Management: tutti i professionisti sono chiamati a partecipare nel processo dell’analisi e della gestione dell’evento critico con la garanzia di poter offrire un contributo trasparente e libero, anche qualora abbiano avuto un qualche ruolo nell’esecuzione della prestazione sanitaria.

 

Questo sistema, come osservato dalla letteratura, rende il C.R.M. uno strumento finalizzato in primis alla reale comprensione dei fattori che hanno portato ad un evento nefasto – e non alla ricerca delle persone che lo hanno posto in essere, cd. blame culture – e, in un secondo step, alla risoluzione delle problematiche riscontrate.

 

La dottrina ha usato, per sistemi di questo tipo, il termine di prevenzione «responsiva», cioè estranea alle consuete logiche accusatorie che governo il diritto penale ma, potremmo aggiungere, anche i compliance programs.

 

 

3. Il rischio di reato e i limiti di applicabilità del d.lgs. 231/2001 agli enti del settore sanitario

Diverso è invece l’approccio dei compliance programs, cui fa riferimento la guida dell’OIC, e anche quello del nostro d.lgs. 231/2001.

 

In effetti, la guida alla compliance, dalla quale abbiamo preso le mosse, è destinata più ad offrire spunti per prevenire i “classici” rischi di reato che condividono una molteplicità di enti (commissione ad opera del personale dei delitti contro la pubblica amministrazione, di reati contro l’ambiente…) che ad offrire indicazioni per il governo dello specifico “rischio sanitario”.

 

La guida dell’OIG, dunque, può rendersi sicuramente utile, anche con riferimento agli enti operanti in Italia, per la costruzione dei modelli di organizzazione e gestione del rischio di reato ex d.lgs. 231/2001. Questo vale sia in generale per tutte le persone giuridiche impegnate nella costruzione della “struttura” di conformità interna (le quali possono trarre interessanti spunti dalle linee di fondo tracciate dall’autorità statunitense, per esempio con riferimento alla organizzazione delle funzioni di compliance o al sistema sanzionatorio), sia per quelle operanti nel settore sanitario (alle quali si rivolge in via prioritaria il documento sopra citato).

 

Nel sistema italiano, tuttavia, l’applicabilità della responsabilità derivante da reato alle organizzazioni dell’health care è limitata.

Se da una parte il d.lgs. 231/2001 si rivolge anche a tutte le strutture sanitarie private (autorizzate o accreditate), dall’altra è discussa la sua estensione a quelle pubbliche e alle società miste.

Per le prime (strutture pubbliche), l’opinione maggioritaria, facendo perno sul testo dell’art. 1 del Decreto (dunque su natura e scopo dell’ente), argomenta per la loro esclusione dal novero dei destinatari “della 231”.

Per le seconde (società miste), invece, la giurisprudenza – evidenziando la finalità lucrativa dei soci privati – propende per l’applicabilità nei loro confronti del Decreto (Cass. pen., sez. II, 9 luglio 2010, n. 28699).

 

Oltre a quello “soggettivo”, vi è poi un altro aspetto che limita l’applicabilità del d.lgs. 231/2001 nel settore sanitario.

Come noto, infatti, la responsabilità della struttura organizzativa sorge solo al verificarsi di uno dei reati espressamente contemplati agli artt. 24 ss. del Decreto 231.

Se, da una parte, tra essi possiamo trovare qualche fattispecie che rispecchia i rischi di devianza che si corrono anche nel settore health care – quali, per esempio, quello relativo alla commissione di truffe ai danni dello Stato, corruzioni o reati ambientali – dall’altra il “catalogo” dei reati presupposto della responsabilità (amministrativa-penale) della persona giuridica non annovera i reati di lesioni o omicidio colposi derivanti da “colpa medica” (art. 590 sexies c.p.), interruzione colposa di gravidanza (art. 593 bis c.p.), epidemia colposa (artt. 438, 452 c.p.), che però rappresentano rischi tipici in ambito clinico-sanitario.

 

 

4. Evitare la blame culture per una miglior prevenzione, anche al di fuori del rischio sanitario

 

Da quanto evidenziato, emerge che nel panorama italiano vigono due sistemi diversi per la gestione del rischio nelle organizzazioni del comparto sanitario.

 

Il primo è quello del d.lgs. 231/2001, esso ispira i compliance programs – dotati anche di una parte “sanzionatoria” nei confronti di coloro che violano le policy dell’organizzazione – ed è volto alla prevenzione di specifici reati, tra i quali non sono compresi quelli che più tipicamente si verificano nelle strutture ospedaliere (artt. 590 sexies, 593 bis c.p., 438 e 452 c.p.).

 

Il secondo è quello del Clinical Risk Management (C.R.M.), esso è diretto ad affrontare più nello specifico i rischi clinici che quotidianamente corrono le organizzazioni, opera con un sistema di prevenzione di tipo «resposanivo» e, dunque, incoraggia al dialogo per tentare di ricostruire e prevenire le criticità che portano ad eventi nefasti.

 

Considerato il significativo bene giuridico con il quale vengono a contatto le organizzazioni che operano nel settore sanitario, è perfettamente comprensibile e condivisibile l’obiettivo del legislatore di assicurare che il mondo health care disponga di tutti gli strumenti per operare un miglioramento continuo della gestione del rischio sanitario.

Ottimizzazione che, evidentemente, è tanto più “raggiungibile” quanto più ci si focalizza sulla ricostruzione del reale contesto che ha portato ad un certo evento e si abbandona – come fa il C.R.M. – la logica della ricerca del colpevole e quella della ricostruzione di storie che danno conto solo degli ultimi istanti antecedenti ad un evento nefasto, senza ricostruirne le vere origini.

 

Mentre, quindi, il sistema italiano coglie nel segno garantendo alla persona fisica che i documenti relativi alla gestione del tipico rischio (errore medico) che si corre in ambito sanitario non potranno entrare nelle aule giudiziarie – spronando così anche colui che ha preso parte all’azione errata ad offrire il più utile spaccato per la ricostruzione delle cause che hanno portato allo stesso –  i sistemi di compliance relativi agli altri rischi di reato (come testimoniato dai diversi punti della guida dell’OIC) vanno in direzione contraria.

 

Nella compliance “tradizionale” (quella che nel sistema italiano parte dal d.lgs. 231/2001), infatti, si punta ancora ad una prevenzione attraverso sistemi sanzionatori per coloro che violano le policy (artt. 6, comma 2, lettera e, 7, comma 4, lettera b, d.lgs. 231/2001) e, più in generale, a considerare la persona giuridica (onerandola di veri e propri oneri di reporting) quale “braccio destro” dello Stato per l’individuazione del crimine ed eventualmente anche del “colpevole” (U.S. Sentencing Guidelines, § 8).

 

In un momento in cui le voci in letteratura sul fallimento dei compliance program quali strumenti preventivi rispetto al reato cominciano a moltiplicarsi, la via tracciata dalle C.R.M. potrebbe essere proprio quella da emulare per realizzare – già all’interno dell’ente  e non solo con riferimento al rischio clinico – i preziosi percorsi di apprendimento dai fallimenti, a prescindere dalle colpe individuali, che, invece, hanno mostrato nella prassi una miglior efficacia preventiva rispetto alle devianze interne alle strutture organizzative.