Il Modello organizzativo 231 per gli Enti privati del settore sanitario
di Anna Pampanin, dottoranda di ricerca in Diritto Penale
1. Introduzione alle nuove linee guida per la redazione del MOG nel settore sanitario privato: il taglio ‘operativo’ del documento
Il 13 maggio 2024 la Commissione di studio del Consiglio Nazionale dei Dottori Commercialisti e degli Esperti Contabili ha pubblicato il documento intitolato ‘‘Il Modello di Organizzazione e Gestione e Controllo ex D.lgs. 231/2001 per gli enti privati del settore sanitario’’.
L’approfondimento riguarda le aziende della sanità privata convenzionata, particolarmente esposte ai ‘rischi 231’ a seguito dell’emergenza pandemica che ha imposto una maggiore attenzione verso l’adozione e l’applicazione di protocolli organizzativi per mitigare la responsabilità degli enti.
Il documento può essere apprezzato per il taglio fortemente ‘pratico’ che lo connota. L’obiettivo della Commissione, infatti, è quello di fornire indicazioni operative sia per la redazione dei modelli organizzativi, sia per le attività di verifica della loro efficace attuazione e implementazione.
In tal senso, i destinatari delle linee guida sono proprio i Commercialisti impegnati nell’attività di consulenza e assistenza alle aziende sanitarie private, anche in qualità di eventuali componenti di Organismi di vigilanza.
Il documento è suddiviso in due parti. Nella prima sono illustrati i principi normativi e le fasi di realizzazione di un MOG, con una ricognizione dei contenuti e degli elementi utili alla predisposizione del Modello.
La seconda parte contiene una disamina ad ampio raggio del ‘catalogo’ dei reati inclusi nel d.lgs. 231/2001, pur concentrando l’attenzione su quelli la cui commissione è più probabile nelle aziende sanitarie.
A riprova del carattere pratico del documento, questo è completato, oltre alla necessaria parte descrittiva, da una serie di elaborati finalizzati a fornire strumenti utili al redattore del MOG 231, tra i quali spiccano: alcuni esempi di parti speciali del Modello, definite in base ai principali reati alla cui commissione le aziende sanitarie convenzionate possono essere esposte; un elaborato tecnico-pratico in formato Excel, utile per effettuare una ricerca specifica per reato, processo, attività sensibile o per tipi di presidi preventivi adottati; un esempio di procedura relativa alla gestione dei flussi.
Il taglio operativo della documentazione ne rappresenta l’elemento di valore aggiunto. Una scelta simile si pone coerentemente con la necessità di incentivare l’adozione di misure di prevenzione, gestione e controllo in un contesto competitivo e ‘delicato’ in cui l’importanza di una compliance integrata è sempre più rilevante.
Come si è già anticipato, quello della sanità privata convenzionata rappresenta uno dei settori maggiormente a rischio, anche e soprattutto in seguito all’emergenza pandemica. È proprio la delicata ‘attività sociale’ svolta che rende doverosa l’implementazione, in seno alla tipologia di struttura, del MOG 231, quale strumento atto a prevenire la commissione di reati c.d. ‘presupposto’ e i fenomeni di ‘cattiva sanità’ riconducibili all’operato dei soggetti apicali e sottoposti societari.
Merita fin d’ora precisare, anche fini di una maggior chiarezza espositiva, che il documento in esame è rivolto alleaziende della sanità privata convenzionata, da non confondersi con le Aziende sanitarie locali (ASL), che sono invece enti pubblici deputati all’erogazione di servizi sanitari in un determinato territorio, e in quanto tali esclusi dalla disciplina dettata dal Decreto 231/2001.
2. La struttura sanitaria privata quale soggetto destinatario del d. lgs. 231/2001
La struttura sanitaria che opera in regime di accreditamento con il Servizio Sanitario Nazionale – di natura privata – è un Ente a carattere imprenditoriale, a cui si applica la disciplina prevista dal d.lgs. 231/2001.
Tale circostanza rappresenta un tratto peculiare (e molto discusso) del sistema italiano, laddove l’applicabilità della responsabilità derivante da reato nelle organizzazioni dell’health care è limitata.
Infatti, se da una parte il d.lgs. 231/2001 si rivolge anche a tutte le strutture sanitarie private (autorizzate o accreditate), dall’altra è discussa la sua estensione a quelle pubbliche e alle società c.d. ‘miste’, ossia le società partecipate pubbliche.
Per le prime (strutture pubbliche), l’opinione maggioritaria, richiamando l’art. 1 del ‘Decreto 231’ – e facendo dunque leva sulla natura e sullo scopo dell’Ente –, argomenta per la loro esclusione dal novero dei destinatari della disciplina. Questo filone dottrinale osserva come il decreto in questione escluda dai suoi destinatari gli enti pubblici non economici e quelli che svolgono funzioni di rilevanza costituzionale: una previsione da cui necessariamente discende una forte compressione dell’area dei soggetti che svolgono funzioni di cura e ricovero potenzialmente chiamati a rispondere di una siffatta responsabilità.
Per le seconde (c.d. società miste), invece, la giurisprudenza – evidenziando la finalità lucrativa dei soci privati – propende per l’applicabilità nei loro confronti del decreto (per tutte, Cass. pen., Sez. II, 9 luglio 2010, n. 28699 e Cass.pen., Sez. II, 10 gennaio 2011, n. 234)). Secondo tale indirizzo interpretativo le società partecipate pubbliche, rivestendo natura giuridica soggettiva di imprese privatistiche, operanti in base al diritto comune sebbene aventi quali soci soggetti pubblici, non possono rientrare nella previsione negativa di cui al comma 3 dell’art. 1 del D.lgs. 231/2001.
Il carattere pubblico dell’attività espletata, ovvero il rilievo degli interessi curati, non mutano la natura soggettiva di tali enti, né l’esercizio di attività d’interesse collettivo risulta coperto da guarentigia costituzionale abilitante la disapplicazione del decreto.
La ratio dell’esenzione di cui al comma 3 risiederebbe pertanto nella necessità di evitare la sospensione di funzioni essenziali nel quadro degli equilibri dell’organizzazione costituzionale del Paese. Ma quando l’ente riveste la forma della società per azioni prevale, ai fini della valutazione della responsabilità da reato, l’esercizio in comune di un’attività economica al fine di dividerne gli utili.
Di conseguenza, nel caso in cui la società partecipata da enti pubblici svolga un’attività di carattere economico, non vi sarebbero ragioni di opportunità (pubblica) per escluderla dal novero dei soggetti passibili di responsabilità amministrativa dipendente da reato.
Effettuate tali necessarie premesse circa l’applicabilità del d.lgs. 231/2001 alle strutture sanitarie private, è ora opportuno dar conto della profonda evoluzione che ha interessato questo ambito, sia da un punto di vista economico che (di conseguenza) normativo.
Il notevole aumento della spesa sanitaria a livello mondiale, incrementata anche dall’avvento del Covid-19, ha comportato, negli ultimi anni, una crescente attenzione da parte dei Governi volta ad affinare le tecniche di programmazione e controllo del settore sanitario.
Negli ultimi decenni, attraverso un articolato percorso – che ha visto, tra le altre trasformazioni, il passaggio delle Unità sanitarie locali (Usl) da organizzazioni gestite dai Comuni ad aziende pubbliche controllate dalle Regioni (Asl) – il Legislatore ha attuato una progressiva ‘aziendalizzazione degli enti ospedalieri’, avviando radicali processi di cambiamento nelle modalità di gestione e nella cultura di mantenimento degli stessi. Nello specifico, la gestione delle strutture sanitarie è stata orientata verso i principi dell’economia di scala e del massimo efficientamento, necessari per garantire, da un lato, un maggiore risparmio e, dall’altro, una congruenza tra le risorse pubbliche stanziate ed il servizio sanitario offerto.
Nel solco di tale percorso si sono innestate le novità normative che hanno qualificato come doverosa l’adozione del Modello da parte delle società private che operano con il Servizio Sanitario nazionale (S.S.N.), in quanto indice di rispetto della legalità e corretta organizzazione del servizio svolto.
La citata prescrizione è contenuta nel d.m. 70/2015, rubricato ‘‘Regolamento recante definizione degli standard quantitativi, strutturali, tecnologici e quantitativi relativi all’assistenza ospedaliera’’. Si tratta di un complesso documento di programmazione sanitaria che ha introdotto, mediante le disposizioni contenute nel suo allegato tecnico, una serie di importanti novità a cui le strutture sanitarie private, che vogliano accreditarsi con il servizio pubblico, hanno dovuto adeguarsi.
L’obiettivo del decreto ministeriale è stato quello di garantire livelli qualitativi appropriati e sicuri, favorendo al contempo, nel solco del processo di ‘aziendalizzazione delle strutture sanitarie’, una significativa riduzione dei costi.
In altri termini esso ha ridisegnato la mappa organizzativa dell’intera rete ospedaliera.
In definitiva, la scelta in materia appare chiara. L’obiettivo è quello di assicurare, ai fini dell’accreditamento, che le strutture sanitarie private garantiscano, oltre ai tradizionali requisiti tecnologici, strutturali ed organizzativi, anche requisiti minimi di affidabilità, onorabilità e soprattutto legalità che elevino gli standard di qualità del servizio offerto.
La struttura sanitaria privata che voglia essere accreditata al Sistema Sanitario Nazionale deve pertanto garantirel’avvenuta applicazione, all’interno della organizzazione, delle norme di cui al Decreto 231.
In tal senso è stata confermata la tendenza, già riscontrabile altrove, a riconoscere al Modello funzioni ulteriori rispetto a quelle tipicamente riconosciute dal d.lgs. n. 231/2001, configurandolo come pre-requisito essenziale per le società che intendano rapportarsi o operare in convenzione con le pubbliche amministrazioni.
3. La mappatura del ‘rischio reato’ nelle strutture sanitarie private che operano in convenzione
Il documento oggetto della presente analisi, nell’Allegato 1, dopo aver indicato i reati appartenenti al c.d. catalogo dei reati presupposto, evidenzia altresì gli illeciti maggiormente rilevanti – in via generale – rispetto alle attività svolte in concreto dalle Aziende sanitarie che operano in regime di convenzione. Come si vedrà, le aree maggiormente sensibili afferiscono principalmente (se non quasi esclusivamente) ai rapporti con le pubbliche amministrazioni.
L’attenzione è rivolta alle modalità specifiche in cui i diversi tipi di reato possono manifestarsi in tali strutture, con un’analisi dettagliata delle situazioni concrete e identificabili.
In via generale deve essere ricordato che i fattori di rischio a cui sono esposte le aziende sanitarie sono molteplici. Il documento riporta, a titolo esemplificativo, le seguenti fattispecie: approvvigionamento di beni e servizi, in relazione alle gare d’appalto o ad incarichi di consulenza; gestione delle prestazioni, sia in regime di accreditamento (truffa ai danni dello Stato) che in regime privatistico (creazione di fondi neri); reclutamento del personale e affidamento di incarichi professionali (corruzione e corruzione tra privati); formazione del bilancio; gestione dei rifiuti; gestione degli adempimenti relativi alla sicurezza ex d.lgs. 81/2008.
Premesso che, se tali considerazioni sono vere in via generale, è anche vero che poi ogni azienda avrà l’onere di effettuare una puntuale gap analysis in massima aderenza alla specifica realtà che la riguarda, in questa sede ci soffermeremo su due specifiche macro-aree che si prestano alla commissione di reati nel settore sanitario: quella relativa ai contratti pubblicie quella relativa alla malpractice medica (c.d. colpa medica).
La gestione dei rapporti contrattuali tra l’Azienda ospedaliera (privata) e quelle farmaceutiche è uno dei processi più sensibili alla commissione dei reati ex d.lgs. 231/2001.
La peculiarità del bene farmaco e delle relative modalità di preparazione, dispensazione, somministrazione e smaltimento, può dar luogo a comportamenti corruttivi che possono ben integrare i reati presupposto disciplinati all’art. 24 del Decreto 231. Nel caso in esame, sarebbe necessario adottare idonee misure di prevenzione, tra cui la gestione informatizzata del magazzino (ai fini della corretta movimentazione delle scorte) e l’informatizzazione dell’intero ciclo di terapia.
Quest’ultima misura, oltre a rendere possibile la completa tracciabilità del prodotto e la puntuale ed effettiva associazione farmaco-paziente, consentirebbe la riduzione di eventuali sprechi e un corretto utilizzo di risorse. Sotto questo punto di vista sarebbe auspicabile, seppur in modo cauto e consapevole, la progressiva introduzione di AI devices che possano rendere maggiormente ‘trasparenti’ le operazioni descritte.
Quanto detto, ovviamente, vale anche per il ciclo degli approvvigionamenti di tutti gli altri beni sanitari, dalla fase di pianificazione del fabbisogno fino all’utilizzo in struttura.
4. La ‘responsabilità 231’ in caso di colpa medica: problematiche e prospettive
Fuoriuscendo ora dall’ambito applicativo dei reati (presupposto) corruttivi, è necessario effettuare qualche riflessione sulla possibilità e sull’opportunità di estendere il campo applicativo del d.lgs. n. 231/2001 alle strutture sanitarie(private) in ipotesi di colpa medica. Tale ultima ipotesi, come è noto, costituisce un argomento fortemente dibattuto in dottrina.
Bisogna rilevare, infatti, che guardando allo stato della legislazione vigente, l’ostacolo principale è rappresentato dall’assenza (nel catalogo dei reati presupposto) delle ipotesi base di omicidio e lesioni personali colpose, che figurano solo nella loro versione aggravata, quale conseguenza della violazione della normativa in materia di tutela della salute e sicurezza sul lavoro.
In dottrina, per la verità, le opinioni sono discordanti.
Si registra, innanzitutto, almeno un tentativo di configurare, già de jure condito, una responsabilità degli enti collettivi in ipotesi di colpa medica.
Tale teoria ritiene che, a seguito dell’entrata in vigore della legge c.d. Gelli-Bianco, sia possibile sostenere che «la violazione dell’art.590-sexies c.p. possa rientrare nelle ipotesi di cui agli artt. 589, co.2, e 590, co.3, c.p., e di conseguenza ritenersi richiamata dall’art. 25-septies d.lgs. 231/2001». A sostegno di tale tesi si afferma che la legge Gelli-Bianco, attraverso il procedimento di validazione e pubblicizzazione delle linee guida, avrebbe ‘certificato’ il passaggio della medicina a una dimensione ‘proceduralizzata’, con l’effetto di attrarre tale settore nell’alveo della colpa specifica.
Un secondo filone dottrinale ha poi tentato di mettere in risalto – mediante il richiamo ai rapporti normativi intercorrenti tra l’art. 25-septies d.lgs. 231/2001 e il d.lgs. 81/2008 (TUSSL) – l’esistenza di uno spazio applicativo ‘residuo’ per la responsabilità amministrativa da reato delle strutture ospedaliere. Uno spazio ‘residuo’, appunto, che ricomprende solo alcune ipotesi di omicidio colposo quale conseguenza di una scorretta valutazione dei rischi a livello aziendale, a loro volta riconducibili all’alveo della colpa medica attraverso un’interpretazione estensiva della normativa antinfortunistica.
Si tratta di un’opzione notoriamente problematica, seppur pacificamente accolta in giurisprudenza.
A prescindere dalla soluzione abbracciata, ciò che in questa sede importa rilevare è l’opportunità di tale opzione ermeneutica. Un’interpretazione estensiva della normativa antinfortunistica, che consenta di ricomprendere determinate casistiche di colpa medica e, nello specifico, ipotesi di non corretta gestione del rischio biologico all’interno delle strutture sanitarie private, appare coerente con l’impianto normativo che disciplina lo specifico ambito, non da ultimo le linee guida per la redazione del MOG qui esaminate.
Gli enti sanitari privati, infatti, da un lato sono soggetti destinatari della normativa ex d.lgs. 231/2001; dall’altro, come si è visto, il Modello 231 dal 2015 è requisito necessario per l’accreditamento con il Servizio Sanitario Nazionale. A ciò si aggiunga, come confermato dal documento oggetto del presente contributo, la forte ‘procedimentalizzazione’ – quasi aziendale – cui sono oggi soggette le realtà sanitarie private.
Queste ultime sono tenute a svolgere un vero e proprio processo di risk- management e di risk-assessment, compreso di tutte le fasi tipicamente aziendali che lo connotano. In tal senso, qualora l’evento reato (omicidio o lesioni personali colpose) – che peraltro lede o pone in pericolo beni giuridici primari quali la vita e l’incolumità della persona fisica –, derivi da un ‘mal governo’ del rischio, apparirebbe coerente configurare una responsabilità in capo all’ente.