La compliance normativa è oggi un fattore strategico imprescindibile per qualsiasi organizzazione, ma assume un valore ancor più alto nel settore medico-sanitario, dove il rispetto delle regole non incide soltanto sulla solidità economica e reputazionale dell’ente, ma tocca anche direttamente la sicurezza dei pazienti e la qualità delle cure.

Comprendere che cosa significhi “essere conformi”, attraverso quali strumenti gestire la conformità e perché ciò sia decisivo in ambito sanitario è il primo passo per costruire un’organizzazione affidabile, sostenibile e capace di operare nel pieno rispetto del quadro legale.

Affrontiamo quindi insieme il tema della conformità normativa con un approccio progressivo: dalla definizione generale ai sistemi di gestione, fino alle specificità del comparto della salute e del ruolo dell’accreditamento.

Cos’è la compliance normativa?

Con l’espressione compliance normativa (o conformità normativa) si indica l’insieme delle attività, dei processi e dei comportamenti attraverso cui un’organizzazione si assicura di rispettare in modo sistematico e continuativo tutte le regole a cui è soggetta.

Il termine inglese compliance deriva dal verbo “to comply”, ovvero adempiere, conformarsi: essere “compliant” significa quindi operare in piena coerenza con il complesso di obblighi che disciplinano l’attività dell’ente.

È importante però anche chiarire che la nozione di obbligo, in materia di compliance, è più ampia di quanto comunemente si pensi.

Le regole da rispettare non si esauriscono infatti nelle leggi e nei regolamenti emanati dalle autorità pubbliche, ma comprendono anche gli standard di settore, i codici etici e di condotta, le linee guida professionali, le best practice riconosciute e, non da ultimo, gli impegni che l’organizzazione si è data autonomamente attraverso le proprie policy interne.

In altre parole, accanto agli obblighi esterni, imposti da soggetti terzi come legislatori e autorità di vigilanza, esistono obblighi interni che l’ente sceglie volontariamente di assumere e che, una volta adottati, diventano vincolanti al pari dei primi.

Erroneamente si tende spesso a credere che la compliance sia un adempimento burocratico statico e un semplice “controllo a posteriori” che verifica se qualcosa è andato storto, ma non è così!

Si tratta, al contrario, di un processo continuo e dinamico, che accompagna l’organizzazione lungo tutto il suo ciclo di vita e che si fonda sulla capacità di identificare gli obblighi applicabili, valutarne il rispetto, individuare le aree di rischio e introdurre le azioni correttive necessarie.

La conformità, in questa prospettiva, non è soltanto il fine, ma anche il risultato di un’organizzazione che adempie in modo costante alle proprie responsabilità.

Conformità normativa per la prevenzione dei rischi legali, finanziari e reputazionali

Perché un’organizzazione dovrebbe investire risorse, tempo e competenze nella compliance?

La risposta più immediata risiede nella sua funzione preventiva.

Una gestione efficace della conformità consente infatti di anticipare e ridurre tre categorie di rischio che, se trascurate, possono compromettere la continuità stessa dell’ente.

Il primo è il rischio legale. La mancata conformità a leggi e regolamenti espone l’organizzazione a sanzioni amministrative, a contenziosi e, nei casi più gravi, a responsabilità di natura penale per le persone fisiche e per l’ente.

Adottare un presidio di compliance significa ridurre la probabilità che si verifichino violazioni e, qualora si verifichino, poter dimostrare di aver agito con la dovuta diligenza, attenuando così le conseguenze.

Il secondo è il rischio finanziario. Le violazioni normative si traducono quasi sempre in costi diretti, come multe e risarcimenti, e in costi indiretti, come la sospensione di attività, la perdita di finanziamenti o di accreditamenti, l’aumento dei premi assicurativi e l’impiego di risorse straordinarie per la gestione delle crisi. Prevenire la non conformità è, sotto questo profilo, anche una scelta di sana gestione economica.

Su questo fronte specifico interviene l’art. 10 della Legge 8 marzo 2017, n. 24 (la cosiddetta Legge Gelli-Bianco), che impone a strutture sanitarie e professionisti di dotarsi di una copertura assicurativa o di analoghe misure di autoritenzione del rischio.

Il relativo decreto attuativo (DM 232/2023), in vigore dal 16 marzo 2024, ha fissato i requisiti minimi delle polizze, e il periodo transitorio di 24 mesi concesso per l’adeguamento dei contratti si è concluso il 16 marzo 2026: l’obbligo è quindi oggi a pieno regime, insieme alla possibilità per il paziente danneggiato di agire direttamente contro la compagnia assicurativa della struttura o del professionista (art. 12).

Il terzo, spesso sottovalutato, è il rischio reputazionale. La reputazione è un asset intangibile che richiede anni per essere costruito e che può essere danneggiato in poche ore. Un episodio di non conformità reso pubblico mina la fiducia di pazienti, cittadini, partner, istituzioni e finanziatori, con effetti che si propagano ben oltre il singolo evento. In un contesto in cui la trasparenza e la responsabilità sociale sono sempre più richieste, la compliance diventa un fattore di credibilità e di vantaggio competitivo.

In ogni caso, questi tre rischi sono strettamente interconnessi tra loro: una violazione legale genera quasi sempre un impatto finanziario e, contestualmente, un danno reputazionale. La compliance, agendo a monte, interviene sulla radice comune di tutte e tre le dimensioni.

La gestione della conformità normativa tramite sistemi di gestione specifici

Affidare la conformità all’iniziativa estemporanea dei singoli o a controlli occasionali è una strategia destinata a rivelarsi fragile.

Per essere realmente efficace, la compliance deve essere strutturata e governata attraverso un sistema di gestione dedicato, ossia un insieme coordinato di politiche, ruoli, processi, strumenti e indicatori che operano in modo organico e continuativo.

Un sistema di gestione della compliance (Compliance Management System, CMS) permette di trasformare la conformità da insieme di adempimenti frammentati a funzione integrata nell’organizzazione.

I suoi elementi tipici comprendono:

• l’analisi del contesto, che individua le caratteristiche dell’organizzazione, le parti interessate (autorità, pazienti, dipendenti, fornitori, comunità) e le loro aspettative;
• la mappatura degli obblighi e dei rischi di compliance, che identifica le regole applicabili e le aree in cui la non conformità è più probabile o più dannosa;
• la definizione di politiche e responsabilità, con l’attribuzione di ruoli chiari, a partire dal coinvolgimento dei vertici e, dove previsto, da una funzione di compliance dedicata;
• l’implementazione di controlli operativi e di procedure che traducono le politiche in comportamenti concreti;
• la formazione e la sensibilizzazione del personale, perché la conformità si realizza nei comportamenti quotidiani delle persone;
• il monitoraggio, la misurazione e il riesame, che valutano l’efficacia del sistema sulla base di dati oggettivi e ne guidano il miglioramento continuo;
• i canali di segnalazione (whistleblowing), che consentono di far emergere tempestivamente comportamenti scorretti in modo riservato e protetto.

Un sistema di gestione così concepito si fonda sulla logica del miglioramento continuo, sintetizzata nel ciclo PDCA (Plan-Do-Check-Act): pianificare, attuare, verificare e agire per correggere e migliorare.

Adottare uno standard di riferimento riconosciuto a livello internazionale offre, in questo senso, un quadro metodologico solido e, soprattutto, certificabile da parte di terzi.

La norma internazionale ISO 37301

Il principale riferimento internazionale per la gestione della conformità è la norma ISO 37301:2021 – “Compliance management systems — Requirements with guidance for use” (Sistemi di gestione per la compliance — Requisiti con guida all’utilizzo).

Pubblicata nell’aprile 2021, questa norma ha sostituito e mandato in pensione la precedente ISO 19600:2014.

La differenza tra le due non è soltanto formale. La ISO 19600 era una norma di tipo “B”, ossia conteneva linee guida e raccomandazioni, ma non requisiti cogenti, e per questo non era certificabile. La ISO 37301 è invece una norma di tipo “A”: stabilisce requisiti veri e propri ed è quindi una norma certificabile, rispetto alla quale un’organizzazione può ottenere la certificazione da parte di un organismo accreditato e indipendente.

Questo passaggio ha quindi segnato l’evoluzione della compliance da buona pratica volontaria a sistema verificabile e attestabile.

Tra i tratti distintivi della ISO 37301 vale la pena evidenziarne alcuni.

Applicabilità universale: la norma è pensata per organizzazioni di qualsiasi tipo, dimensione e natura, appartenenti al settore pubblico, privato o non profit.

Struttura armonizzata (High Level Structure): condivide l’impianto comune delle norme ISO sui sistemi di gestione, il che ne facilita l’integrazione con standard come la ISO 9001 (qualità), la ISO 14001 (ambiente) o la ISO 37001 (sistemi di gestione anticorruzione).

Principi guida: la norma si fonda su buona governance, proporzionalità, integrità, trasparenza, responsabilità (accountability) e sostenibilità.

Centralità della cultura della compliance: oltre ai processi, la ISO 37301 valorizza la promozione di una cultura organizzativa in cui i comportamenti corretti siano radicati nei valori e nelle condotte quotidiane, con il coinvolgimento attivo della leadership e l’attenzione ai canali di segnalazione.

Per un’organizzazione sanitaria, adottare un sistema di gestione conforme alla ISO 37301 significa dotarsi di un’infrastruttura metodologica robusta per gestire la complessità normativa del settore, dimostrare il proprio impegno verso le parti interessate e disporre di uno strumento di prevenzione del rischio riconosciuto a livello globale.

Gestione del rischio e i criteri ESG (Environmental, Social, Governance)

La compliance non opera in modo isolato: è strettamente connessa alla gestione del rischio (risk management).

Identificare gli obblighi, valutarne il rispetto e prevenire le violazioni significa, in sostanza, governare i rischi di non conformità.

Non a caso, la stessa ISO 37301 richiama i concetti di rischio definiti negli standard di settore e si integra naturalmente con la ISO 31000, la norma internazionale che fornisce principi e linee guida per la gestione del rischio in tutte le sue forme.

In ambito sanitario italiano, questo approccio non resta confinato alla dimensione volontaria degli standard internazionali: già la legge di stabilità 2016 aveva introdotto l’obbligo, per ogni struttura, di attivare una funzione di risk management sanitario, obbligo poi ricondotto a sistema dalla Legge Gelli-Bianco, che ne ha fatto un pilastro organico della sicurezza delle cure.

Un approccio basato sul rischio consente di indirizzare le risorse là dove sono più necessarie, concentrando i presidi di controllo sulle aree a maggiore probabilità di impatto.

Soprattutto in ambito sanitario, questo principio è quindi particolarmente prezioso, perché permette di calibrare gli sforzi sulle attività clinicamente e giuridicamente più sensibili.

A questa visione si lega in modo sempre più stretto il tema dei criteri ESG, acronimo di Environmental, Social, Governance (ambientale, sociale e di governance), che rappresentano 3 dimensioni attraverso cui misurare la sostenibilità e la responsabilità di un’organizzazione.

1. Environmental (ambientale): riguarda l’impatto dell’organizzazione sull’ambiente, dal consumo di risorse alla gestione dei rifiuti, dalle emissioni all’efficienza energetica. Per una struttura sanitaria, ciò include, ad esempio, la corretta gestione dei rifiuti speciali e sanitari e l’uso responsabile delle risorse.
2. Social (sociale): attiene al rapporto con le persone e con la comunità, dalla tutela dei lavoratori alla sicurezza, dell’equità nell’accesso alle cure alla qualità del servizio offerto ai pazienti e ai cittadini.
3. Governance (governo dell’organizzazione): concerne le modalità con cui l’ente è diretto e controllato, includendo trasparenza, etica, prevenzione della corruzione, sistemi di controllo interno e, appunto, compliance.

La connessione tra compliance, risk management ed ESG è profonda.

Una solida funzione di compliance costituisce il pilastro della “G” di governance, mentre la gestione del rischio fornisce il metodo per presidiare in modo strutturato anche i fattori ambientali e sociali.

In un contesto in cui investitori, istituzioni e cittadini prestano crescente attenzione alla sostenibilità, integrare ESG e conformità non è quindi soltanto una scelta etica, ma un fattore di affidabilità e di accesso a opportunità e finanziamenti.

La compliance nel settore sanitario per ridurre il rischio clinico e prevenire sanzioni legali o penali

Nel comparto medico-sanitario la compliance assume una rilevanza che va oltre quella tipica di altri settori, perché il bene tutelato non è soltanto economico o reputazionale, ma riguarda la salute e la sicurezza delle persone.

Qui la conformità normativa si intreccia in modo inscindibile con la gestione del rischio clinico, ossia con l’insieme delle attività finalizzate a prevenire gli eventi avversi e gli errori che possono verificarsi durante l’erogazione delle cure.

Il rischio clinico comprende infatti tutte quelle situazioni in cui un paziente può subire un danno, non intenzionale, a causa di errori diagnostici, terapeutici, organizzativi o di sistema.

Una corretta gestione della compliance contribuisce a ridurre questo rischio in molteplici modi: attraverso l’adozione di protocolli clinici basati su linee guida validate e aggiornate, la definizione di procedure chiare, la formazione continua del personale, la tracciabilità delle attività, la corretta gestione della documentazione sanitaria e dei dati dei pazienti.

Come detto, questo approccio trova oggi un preciso fondamento normativo anche nella Legge Gelli-Bianco, che ha posto la sicurezza delle cure come parte costitutiva del diritto alla salute e ha imposto a ogni struttura sanitaria, pubblica e privata, l’attivazione di una funzione aziendale di gestione del rischio clinico.

La stessa legge, all’art. 6, esclude la punibilità penale del professionista che, in assenza di colpa grave, si sia attenuto alle linee guida accreditate o, in mancanza, alle buone pratiche clinico-assistenziali, legando così direttamente la qualità dei protocolli alla tutela legale di chi opera in corsia.

A questa dimensione clinica si affianca poi quella più strettamente giuridica.

Le organizzazioni sanitarie sono infatti soggette a un quadro normativo particolarmente fitto, che spazia dalla disciplina sanitaria a quella sulla privacy e sul trattamento dei dati personali, dalla sicurezza sul lavoro alla responsabilità degli enti, fino alle norme che governano i rapporti con il sistema pubblico.

Il mancato rispetto di tali regole può tradursi in sanzioni amministrative, responsabilità civili e, nei casi più gravi, in conseguenze di natura penale che coinvolgono sia i singoli professionisti sia la struttura nel suo complesso.

Anche in questo quadro, la Legge Gelli-Bianco ha introdotto un nuovo sistema di responsabilità a “doppio binario”: la struttura sanitaria risponde a titolo contrattuale, con termine di prescrizione decennale, mentre il singolo professionista che opera al suo interno risponde, di regola, a titolo extracontrattuale, con termine quinquennale, salvo che abbia agito nell’ambito di un rapporto diretto e autonomo con il paziente.

In questo scenario, la compliance svolge una duplice funzione: da un lato, protegge il paziente, riducendo la probabilità di errori e di eventi avversi; dall’altro, protegge l’organizzazione e i suoi professionisti, prevenendo violazioni e, qualora si verifichino criticità, consentendo di dimostrare di aver adottato tutte le misure ragionevolmente esigibili.

Un sistema di gestione efficace, supportato da una solida cultura della conformità, è dunque al tempo stesso strumento di qualità delle cure e di tutela legale.

L’importanza della compliance e dell’accreditamento sanitario

Nel sistema sanitario italiano, la compliance trova una delle sue espressioni più rilevanti e concrete nel percorso di autorizzazione e accreditamento delle strutture.

Si tratta di un meccanismo che, di fatto, traduce in obblighi cogenti il rispetto di precisi standard di qualità e sicurezza, condizionando la stessa possibilità per una struttura di operare e di erogare prestazioni per conto del Servizio Sanitario Nazionale (SSN).

Il quadro normativo di riferimento poggia su alcuni pilastri fondamentali: il D.Lgs. 502/1992 (e successive modifiche), che ha riordinato il Servizio Sanitario Nazionale, il D.Lgs. 229/1999, che ha definito l’iter procedurale, e il DPR del 14 gennaio 1997, che ha individuato i requisiti minimi strutturali, tecnologici e organizzativi.

È importante però ricordare che, trattandosi di materia di competenza concorrente tra Stato e Regioni, le procedure e i requisiti puntuali sono ulteriormente disciplinati a livello regionale e possono quindi variare da territorio a territorio.

Il percorso è comunemente descritto come il “sistema delle tre A”, articolato in tre passaggi distinti e progressivi.

1. Autorizzazione: è il provvedimento preliminare che consente l’apertura e l’esercizio dell’attività sanitaria. Attesta che la struttura, pubblica o privata, possiede i requisiti minimi strutturali, tecnologici e organizzativi previsti dalla normativa. L’autorizzazione, tuttavia, non abilita di per sé a operare per conto del SSN.
2. Accreditamento istituzionale: è il provvedimento con cui la Regione riconosce, alle strutture già autorizzate, lo status di soggetti idonei a erogare prestazioni per conto del Servizio Sanitario Nazionale. L’accreditamento richiede il possesso di requisiti ulteriori rispetto a quelli minimi, legati alla qualità dell’assistenza, all’efficienza organizzativa e ai risultati, ed è coerente con gli indirizzi della programmazione regionale.
3. Accordi contrattuali: rappresentano l’ultimo passaggio, attraverso cui Regione e aziende sanitarie definiscono con la struttura accreditata i volumi e le tipologie di prestazioni erogabili, le tariffe e i tetti di spesa. Solo con la stipula di tali accordi le prestazioni possono essere effettivamente remunerate a carico del SSN.

Accanto al percorso autorizzativo e di accreditamento, la Legge Gelli-Bianco ha disegnato un’ulteriore cornice istituzionale a tutela della sicurezza delle cure: l’istituzione, in ogni Regione, di un Centro per la gestione del rischio sanitario e la sicurezza del paziente e la creazione, presso l’AGENAS, dell’Osservatorio nazionale delle buone pratiche sulla sicurezza nella sanità, che raccoglie dati su rischi ed eventi avversi a livello nazionale.

Tale impianto evidenzia con chiarezza quindi il legame tra compliance e accreditamento.

L’accreditamento, infatti, non è un atto una tantum, ma un percorso di verifica periodica del mantenimento dei requisiti, che può comportare la sospensione o la revoca in caso di perdita degli standard richiesti.

Come già detto, per una struttura sanitaria, mantenere la conformità non è quindi soltanto un dovere giuridico, ma la condizione stessa per continuare a operare nel sistema pubblico, per accedere ai finanziamenti e per garantire ai pazienti cure sicure e di qualità.

In definitiva, investire in un sistema di gestione della compliance ben strutturato significa, per un’organizzazione sanitaria, presidiare contemporaneamente più obiettivi: tutelare la sicurezza dei pazienti, ridurre il rischio clinico, prevenire sanzioni legali e penali, salvaguardare la solidità economica e la reputazione, e assicurare il rispetto continuativo dei requisiti necessari all’accreditamento.

La conformità normativa, in quest’ottica, non va interpretata come un costo o un vincolo, ma come un investimento strategico nella qualità, nella sostenibilità e nell’affidabilità dell’intera organizzazione.