Risk management

I rischi di security nel settore sanitario

Il panorama legislativo, dalla raccomandazione del Ministro della Salute n. 8 del 2007 al DDL 867-B ancora in discussione

Pubblicato il 08 Giu 2021

Stefano Piroddi

senior Security manager

La tutela della salute pubblica, passando dalla tutela sanitaria in senso stretto alla protezione delle strutture ospedaliere, del personale medico (e sanitario in genere), delle infrastrutture informatiche del settore (comprese le implicazioni della normativa sulla tutela dei dati personali) alla sicurezza delle industrie farmaceutiche e alla tutela della supply chain di medicinali e farmaci, non può prescindere da un approccio metodico alla gestione del rischio e in particolare da quei rischi di natura esogena e dolosa, spesso non adeguatamente considerati in relazione a un settore che, per sua natura intrinseca, è apparentemente lontano dalle dinamiche legate ai rischi di security.

La normativa in materia di security risk management in ambiente sanitario

Il panorama legislativo applicabile è, come in tutti gli altri settori lavorativi, legato al costrutto normativo che si regge sulle previsioni dell’art. 2087 del codice civile e sul d.lgs. 81/08 oltre che alle implicazioni in termini di responsabilità amministrativa degli enti di cui al d. lgs. 231/08.

È altresì vero che negli ultimi anni, in Italia, vi sono stati alcune timide iniziative che hanno cercato di far breccia nel mondo sanitario per favorire l’ingresso della cultura del security risk management in modo più specifico e “customizzato” e mettere le fondamenta per la creazione di un processo di security finalizzato alla tutela del personale sanitario e della continuità operativa delle strutture sanitarie.

Faccio riferimento alla Raccomandazione del Ministro della Salute n. 8 del 2007 che, come tutte le novità del legislatore italiano, viene emessa come “cerotto normativo” a situazioni emergenziali, e al DDL 867-B ancora oggi in discussione.

Raccomandazione del Ministro della Salute n. 8 del 2007

La Raccomandazione si rivolge a tutte le strutture sanitarie ospedaliere e territoriali, con priorità per le attività considerate a più alto rischio (aree di emergenza, servizi psichiatrici, Ser.T, continuità assistenziale, servizi di geriatria), nonché quelle individuate nel contesto di una specifica organizzazione sanitaria a seguito dell’analisi dei rischi effettuata. Interessa tutti gli operatori (medici, infermieri, psicologi, operatori socio-sanitari, assistenti sociali, personale del servizio 118, servizi di vigilanza) e tutte le attività svolte durante l’erogazione di prestazioni ed interventi socio-sanitari ed è volta a prevenire l’uso di espressioni verbali aggressive, l’impiego di gesti violenti, minacce, uso di armi, contatti fisici aggressivi in genere e chiaramente lesioni e/o morte.

La prevenzione degli atti di violenza contro gli operatori sanitari richiede che l’organizzazione sanitaria identifichi i fattori di rischio per la sicurezza del personale e ponga in essere le strategie ritenute più opportune. A tal fine, le strutture sanitarie devono mettere in atto un programma di prevenzione della violenza che dovrebbe comprendere almeno le azioni di seguito riportate:

  • diffondere una politica di tolleranza zero verso atti di violenza, fisica o verbale, nei servizi sanitari e assicurarsi che operatori, pazienti, visitatori siano a conoscenza di tale politica;
  • incoraggiare il personale a segnalare prontamente gli episodi subiti e a suggerire le misure per ridurre o eliminare i rischi;
  • facilitare il coordinamento con le Forze di Polizia o altri soggetti che possano fornire un valido supporto per identificare le strategie atte ad eliminare o attenuare la violenza nei servizi sanitari;
  • assegnare la responsabilità della conduzione del programma a soggetti o gruppi di lavoro addestrati e qualificati e con disponibilità di risorse idonee in relazione ai rischi presenti;
  • affermare l’impegno della Direzione per la sicurezza nelle proprie strutture.

La costituzione di un gruppo di lavoro

In questi termini risulterebbe utile la costituzione di un gruppo di lavoro, come per qualsiasi sistema di gestione aziendale, per favorire il coinvolgimento del management e del personale al fine di consentire l’individuazione e l’implementazione delle azioni e delle misure necessarie a garantire l’efficacia al programma, e la norma recepisce questo approccio definendo la composizione del gruppo che dovrebbe prevedere la presenza almeno dei seguenti componenti:

  • un referente della Direzione Sanitaria;
  • un referente dell’Area Affari Legali e/o Gestione Risorse Umane;
  • il responsabile del Servizio di Prevenzione e Protezione;
  • un rappresentante della professione infermieristica, individuato tra gli operatori dei settori a più alto rischio;
  • un rappresentante della professione medica individuato tra gli operatori dei settori a alto rischio;
  • un addetto alla sicurezza dei luoghi di lavoro;
  • un rappresentante del Servizio di vigilanza.

Compiti del gruppo di lavoro sono:

  • l’analisi delle situazioni operative, al fine della identificazione di quelle a maggiore vulnerabilità;
  • l’esame dei dati relativi agli episodi di violenza verificatisi nella struttura;
  • la definizione delle misure di prevenzione e protezione da adottare;
  • l’implementazione delle misure individuate nel programma di prevenzione della violenza.

Ambito di applicazione della raccomandazione

Tale raccomandazione recepisce di fatto quanto deriva dal “duty of care” in capo al datore di lavoro che, nell’ambito della propria attività di protezione dei propri lavoratori, è obbligato a tenere conto di tutti i rischi, non solo di quelli connessi alla prestazione lavorativa in senso stretto, di natura accidentale, (c.d. rischi safety), ma anche di quelli derivanti da cause esogene (c.d. rischi security), almeno in tutti i casi in cui questi siano prevedibili, dando anche una specifica indicazione del processo per implementare un sistema di gestione dei rischi di security.

È interessante anche come la raccomandazione, di fatto, delinei un sistema di gestione dei rischi del personale sanitario.

Chiaramente l’ambito di applicazione della raccomandazione è incentrato sulla tutela del personale sanitario con alcune implicazioni in termini di sicurezza fisica delle strutture ospedaliere e. Comprende quindi aspetti quali:

  • Infrastrutture fisiche (perimetro, caratteristiche degli infissi etc);
  • Sistemi antintrusione;
  • TVCC;
  • Controllo degli accessi;
  • Gestione degli eventi di crisi e delle segnalazioni;
  • Gestione dei servizi di vigilanza e portierato;
  • Formazione specifica del personale coinvolto.

Il datore di lavoro deve quindi svolgere una analisi del rischio che tenga conto anche delle diverse dinamiche che interessano reparti tra loro completamente differenti di una medesima struttura quali il pronto soccorso, i reparti di neonatologia, sale operatorie, le aree aperte al pubblico quali mense, servizi di ristorazione, ATM, camere ardenti, parcheggi ognuna delle quali presenta caratteristiche e peculiarità uniche.

Richiedono una attenzione particolare i reparti infettivi e radiologie che per loro natura sono portatori di rischi patologici-batteriologici e radiologici di non trascurabile rilevanza.

Il Ddl 867-B

È significativo, in termini di crescita dell’infrastruttura normativa di security nel settore, il disegno di legge 867–B diretto estendere le aggravanti previste per i pubblici ufficiali ai casi di lesioni personali gravi o gravissime provocate al personale sanitario.

Il provvedimento appare sicuramente positivo negli intenti ma la sua efficacia è, allo stato, discutibile in quanto legata alla sussistenza di 3 condizioni

  • stanziamenti economici per il finanziamento di strumenti e personale di sicurezza;
  • pianificazione ed esecuzione di procedure e linee guida per la prevenzione di aggressioni;
  • impiego di adeguate competenze tecniche in ambito security.

Gli stanziamenti sono legati alla volontà politica dello Stato e delle Regioni e quindi alla gestione dei direttori sanitari.

L’aspetto procedurale è di particolare importanza in quanto impone uno sforzo in termini di pianificazione che sicuramente può elevare il livello di protezione di personale e asset ma va considerato che una procedura scritta con scarsa attenzione potrebbe rendere vana una aggravante di natura penale rendendola inapplicabile. L’attuale formulazione richiederebbe che ogni struttura si dotasse di procedure e processi per prevenire e gestire aggressioni, eventi di crisi, episodi violenti oltre da cui discende un non trascurabile obbligo di formazione specifica del personale in tal senso.

L’impiego di risorse tecnicamente preparate e quindi certificate (UNI 10459), indubbia best practice nelle aziende, diventa qui requisito normativo alla stregua di quanto richiesto per gli istituti di vigilanza.

Se le tre condizioni sopra descritte sono in termini generali un invito a un miglioramento procedurale e organizzativo di rilievo, qualora non soddisfatte, rendono inefficace l’inasprimento delle sanzioni vanificando quindi l’intero tentativo di incrementare il livello di tutela del personale.

Non da poco sarebbero anche le conseguenze in termini di responsabilità dei direttori sanitari e dell’ente stesso qualora si verifichino eventi dolosi in assenza di corrette procedure di security.

Infatti potrebbe riconoscersi la responsabilità del datore per lesioni o omicidio colposo, una condanna dell’ente al risarcimento del danno, sanzioni interdittive ex D.lgs 231/2001 nei confronti dell’ente, senza considerare i danni di natura reputazionale.

Le recenti cronache, che hanno visto l’arresto di due cittadini per reati di natura eversiva a seguito di un attentato incendiario a danno di un hub vaccinale, hanno anche evidenziato non solo come le strutture sanitarie possano altresì essere oggetto di atti di eversione e terrorismo, ma come un evento del genere possa ricadere sull’ente e sul datore in termini di responsabilità penale e amministrativa.

Conclusioni

Sarebbe auspicabile quindi che a livello generalizzato si procedesse a considerare i rischi di security come parte integrante della gestione delle strutture sanitarie, attraverso un approccio tecnico avvalendosi di figure professionali qualificate quali i security manager che possano concretamente:

  • svolgere una approfondita analisi dei rischi;
  • redigere un piano di mitigazione dei rischi individuati;
  • fornire il proprio supporto specialistico nella redazione del DVR aziendale;
  • creare un corpus procedurale interno alla struttura sanitaria per la gestione della security;
  • sovrintendere alle attività di formazione del personale sanitario e di security.

Di fatto, anche solo una rivisitazione dei membri del gruppo di lavoro di cui alla raccomandazione, attraverso l’inserimento di un professionista della security, accompagnato da un ampliamento di mansioni e deleghe costituirebbe un interessante passo in avanti realizzabile sicuramente con tempistiche più rapide di qualunque Ddl che deve superare un lungo iter parlamentare.

Immagine fornita da Shutterstock

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

P
Stefano Piroddi
senior Security manager
Argomenti trattati

Approfondimenti

D
data security
R
Risk Manager
S
sanità
S
sicurezza

Prossimo

Insurtech, Employers Mutual Limited sceglie SentinelOne per la gestione del cyber risk

I commenti sono chiusi.

LinkedIn

Twitter

Whatsapp

Facebook

Mail

Link