Il settore sanitario italiano si caratterizza per un’ampia frammentazione normativa dovuta alla gestione regionale della sanità. Di conseguenza, l’iter che porta all’autorizzazione e all’accreditamento delle strutture private può trovare delle differenze da una regione all’altra, creando sfide organizzative e di governance tutt’altro che trascurabili. In questo scenario, la funzione di compliance non è più un semplice obbligo formale, ma diventa uno strumento strategico per promuovere fiducia, sostenibilità e innovazione.
È quanto spiega a ComplianceDesign.it Francesca Evola, Compliance Officer di Cerba Healthcare, gruppo che gestisce laboratori e strutture sanitarie in tutta Italia e impiega circa 2 mila dipendenti e altrettanti liberi professionisti. Con una formazione economica e l’abilitazione come dottore commercialista, Evola ha impostato la compliance come una funzione “partecipata” e trasversale, capace di connettere le diverse anime dell’organizzazione.
Complessità regionale e modello 231: un puzzle normativo in continua evoluzione
La prima sfida che si incontra operando nel mondo della diagnostica e della sanità privata è la forte frammentazione normativa di origine regionale. “Quando parliamo di accreditamenti con il Servizio Sanitario Regionale dobbiamo interagire con regole e prassi differenti a seconda della regione in cui operiamo”, spiega Evola. “In alcune regioni, come la Lombardia, avere un modello 231 è addirittura condizione indispensabile per ottenere la convenzione; altrove la legge 231 rimane una best practice, non sempre obbligatoria”.
Ne consegue una struttura societaria necessariamente articolata: Cerba Healthcare conta oggi 39 entità giuridiche e oltre 440 strutture distribuite sul territorio nazionale. In passato, le società erano addirittura 150. “La riduzione del numero di legal entity ci ha aiutato a semplificare i processi, ma restano ancora vincoli normativi che, in alcune regioni, rendono difficoltose le fusioni societarie. Questo comporta un’attenzione costante nell’adeguare ogni realtà locale al complesso di regole e standard che derivano da autorizzazioni, accreditamenti e norme tecniche”.
Nell’ambito della legge 231, questa complessità si traduce in un monitoraggio continuo del sistema di prevenzione dei reati: “Non basta predisporre un modello ben fatto. Bisogna verificare che funzioni davvero, perché ogni struttura ha processi e peculiarità diverse e i rischi di reato possono variare dal rapporto con la pubblica amministrazione fino alla gestione dei rifiuti speciali”.
Etica, sostenibilità e “controllo partecipato”
La visione di Evola si fonda su un principio: la compliance non deve essere solo una funzione di controllo, ma un motore di cultura aziendale. “Nel nostro settore, il fattore chiave è la fiducia del paziente”, sottolinea. “Se le persone non si fidano della struttura a cui si rivolgono per le diagnosi e le cure, l’intero sistema perde di efficacia. E la fiducia nasce dalla trasparenza, dall’etica e dalla qualità reale dei processi”, strumenti necessari per la creazione di valore.
Proprio per questo, Cerba Healthcare ha puntato sulla costruzione di un codice etico snello e chiaro, abbinato a pochi ma solidi protocolli procedurali. “Le regole più efficaci sono quelle che tutti conoscono e comprendono fino in fondo. Mille pagine di policy complesse non servono se poi restano in un cassetto. Meglio poche norme condivise, a cui ogni singolo operatore possa fare riferimento nella pratica quotidiana”.
Il ruolo decisivo della formazione
Uno degli strumenti più importanti per diffondere questa mentalità è la formazione. “Organizzo spesso incontri con i colleghi, sia di persona che online, in cui non mi limito a illustrare la normativa: porto esempi concreti, articoli di cronaca, casi aziendali reali. Lo chiamo ‘controllo partecipato’, perché voglio che tutti, dai medici ai direttori di laboratorio, si sentano parte di un sistema di prevenzione e non soggetti a controlli imposti dall’alto”.
Questo approccio ha permesso di superare lo scetticismo iniziale: “All’inizio, l’arrivo di un Compliance Officer indipendente poteva apparire come un ostacolo all’operatività. Poi, man mano, i colleghi hanno capito che la mia funzione serve anche a dare supporto: se hai un dubbio su una procedura o un rischio specifico, è meglio parlarne subito invece di scoprirlo a cose fatte”.
La mappatura dei rischi
Come in molti altri settori, anche nella sanità la digitalizzazione sta accelerando i processi. Cartelle cliniche elettroniche e piattaforme di prenotazione online sono all’ordine del giorno. Tuttavia, la sanità è anche un bersaglio privilegiato per i cyberattacchi. “È un tema su cui stiamo investendo molto, in sinergia con l’IT. Vogliamo essere certi di rispettare sia la NIS2 sia le linee guida dell’Agenzia per la Cybersicurezza Nazionale”.
Allo stesso modo, il risk assessment include un monitoraggio costante dei rapporti con la pubblica amministrazione e, ovviamente, quelli relativi a salute e sicurezza.
“Siamo periodicamente soggetti a verifiche e ispezioni da parte degli enti che vanno a controllare e verificare che tutti quei requisiti che erano stati rilasciati nel tempo siano sempre validi e mantenuti dalla struttura”.
Un aspetto rilevante, inoltre, è quello della gestione dei rifiuti sanitari. “La compliance deve essere trasversale e includere anche protocolli per la gestione dei rifiuti pericolosi e per tutti i requisiti ambientali. L’organizzazione da sempre ha un’attenzione altissima sul tema e continua a fare importanti investimenti affinché venga sempre assicurato un presidio rigoroso”.
Un percorso professionale trasversale: dall’economia alla guida della compliance
La carriera di Francesca Evola è un esempio di come la funzione di compliance abbia bisogno di profili eterogenei. Dopo aver lavorato in studi professionali e in società di consulenza, Evola è entrata in Cerba Healthcare occupandosi di Legal & Compliance. In breve tempo, la necessità di avere un presidio interno più strutturato ha portato alla creazione di una funzione di compliance indipendente.
“In molti pensano che serva una laurea in giurisprudenza per fare il compliance officer, ma in realtà, per affrontare i temi di prevenzione del reato e costruire un solido sistema di controlli, bisogna comprendere a fondo i processi aziendali”, riflette Evola. “È indispensabile conoscere le dinamiche economico-finanziarie e, insieme, avere la sensibilità di collaborare con il dipartimento legale, IT, HR e tutti gli altri reparti”. L’approccio trasversale si traduce in agilità nell’intervenire su problemi concreti: “La legge 231 impone procedure, ma queste devono calarsi nella realtà operativa di ogni laboratorio o area medica. Senza una visione d’insieme, si rischia di introdurre ‘controlli sulla carta’ che poi non funzionano nella pratica”.
Al centro di tutto, il paziente
Nonostante il focus sui rischi e sulle normative, Evola non perde mai di vista l’obiettivo principale: la salute e la sicurezza del paziente. “È il cuore del nostro lavoro. Se i processi sono ben strutturati e i controlli funzionano, a trarne beneficio finale è il paziente stesso. Ogni sforzo in termini di compliance, che si parli di anticorruzione, sicurezza sul lavoro o tutela dei dati, si riflette in un servizio sanitario più trasparente ed efficiente”.
Questa visione etica si traduce in un vantaggio competitivo: “Una struttura che rispetta davvero i principi di integrità e trasparenza costruisce reputazione e fiducia, sia presso le istituzioni regionali sia verso i cittadini”.
di Matteo Rizzi