Acquisti ICT in sanità: le regole d’oro per un buon contratto

L’acquisto di servizi informatici (ICT) è un’operazione complessa che richiede un insieme di competenze di diverso tipo, con il coinvolgimento di soggetti che ricalcano ruoli differenti, ma allo stesso tempo essenziali per il raggiungimento di obiettivi di opportunità economica, di tutela legale e di soddisfacimento dei servizi acquistati. E’ perciò essenziale che alla base del raggiungimento di obiettivi prefissati e del successo di un progetto ICT vi sia la negoziazione e la stesura di un contratto ben scritto, delineato sui bisogni specifici delle parti in gioco e sul singolo contesto di riferimento.

Nell’acquisto di prodotti e servizi informatici, visti l’elevato impatto economico, il rischio sotteso e la specificità della relazione tra il committente e il fornitore, portatori di interessi differenti e a volte divergenti, il contratto diventa uno degli elementi essenziali che può contribuire alla buona o cattiva riuscita di una relazione tra committente e fornitore e al rapporto duraturo nel tempo.

Il contratto perciò diventa strumento operativo per la riuscita ottimale della relazione tra committente e fornitore , anteponendo tale ruolo a quello di strumento di mera tutela legale fine a se stessa. Per tali ragioni, una negoziazione approfondita, che tenga conto delle criticità potenziali della relazione contrattuale e delle esigenze differenti e notoriamente poco coincidenti dei soggetti coinvolti, permette di prevedere ed eventualmente evitare fin da subito eventuali contrasti e patologie della relazione tra le parti, adottando le necessarie contromisure.

Ciò premesso, al percorso di negoziazione è indispensabile che partecipino tutti coloro che garantiscano le necessarie competenze di natura non soltanto legale, ma anche tecnico-progettuali e manageriali. La presenza delle diverse competenze ha infatti come obiettivi la comprensione delle singole tematiche e l’individuazione di ogni opportuna tutela e regolamentazione, che limiti l’eventuale deriva delle relazioni tra committente e fornitore. La definizione del team con competenze differenti è quindi prerogativa per il raggiungimento di un documento contrattuale ritagliato sul contesto e sulle caratteristiche specifiche di committente e fornitore.

La fase negoziale è il momento in cui le parti coinvolte nella relazione condividono le reciproche aspettative e i reciproci impegni, fornendo quelli che sono gli obiettivi, i fabbisogni e le esigenze, nonché le eventuali criticità eventualmente da risolvere in via preventiva.

Nell’ambito dell’acquisto dei servizi informatici, è evidente che la concezione tradizionale della costruzione dei contratti, incentrata sulla mera tutela legale, è ormai inadeguata e sostituita invece da un’attenzione prioritaria alla tutela della relazione e delle dinamiche della stessa, ponendo l’accento sulle procedure finalizzate alla risoluzione delle liti, a garantire l’impegno delle parti alla realizzazione del progetto o a evitare l’interruzione delle attività progettuali, prevenendo o limitando i rischi che potrebbero portare al fallimento di un progetto o al decremento del livello dei servizi forniti.

Oltre a quanto fin qui definito, è comunque indispensabile identificare in maniera corretta e chiara il contenuto dei servizi e dei livelli prestazionali attesi , affinché, oltre alla tutela della relazione, anche gli aspetti prettamente legali siano parallelamente garantiti. Del pari, è necessario prevedere tutta una serie di clausole contrattuali, che tengano conto, ad esempio, degli obblighi di garanzia, del diritto di riservatezza, dei diritti di proprietà intellettuale, del diritto di recesso e dei casi di cessazione del contratto, delle penali e delle procedure di regolamentazione delle varianti.

Con specifico riferimento all’ambito sanitario, la negoziazione di servizi informatici deve inoltre tenere in debita considerazione una serie di aspetti fondamentali legati, da un lato, alle esigenze di business continuity, di vitale importanza rispetto a servizi afferenti alle attività di cura ed assistenza, e dall’altro lato, al rispetto delle normative cogenti (anche sopravvenute) relative all’eventuale trattamento di dati personali di nauta sensibile.

Sotto il primo profilo, è essenziale garantire la continuità operativa della struttura sanitaria anche in ipotesi di eventi imprevedibili e disastrosi che potrebbero comportare l’interruzione dell’erogazione di servizi indispensabili a sostegno delle attività di cura, anche attraverso la previsione di garanzie contrattuali relative alla correzione di eventuali vizi o difetti che prevedano tempi e modalità di intervento compatibili con le esigenze sanitarie, nonché attraverso la previsione di apposite previsioni di detenzione o accesso al codice sorgente che assicurino alla struttura un’idonea autonomia di intervento e le consentano di minimizzare i rischi di sospensione del servizio.

Sotto il secondo profilo, è indispensabile che gli accordi di servizio prevedano apposite ed idonee misure di sicurezza volte a ridurre i rischi di distruzione o perdita dei dati trattati, di accesso non autorizzato agli stessi o di trattamento non consentito o non conforme alle finalità della raccolta.

Alla luce della normativa sul trattamento dei dati personali, infatti, i dati sanitari (e quelli sensibili più in generale) contenuti in elenchi, registri o banche di dati, tenuti con l’ausilio di strumenti elettronici, sono trattati con tecniche di cifratura o mediante l’utilizzazione di codici indentificativi o di altre soluzioni che li rendano temporaneamente inintelligibili anche a chi è autorizzato ad accedervi, permettendo di identificare gli interessati solo in caso di necessità (art. 22, comma 6, d.lgs. 196/03). Inoltre, I dati idonei a rivelare lo stato di salute e la vita sessuale sono conservati separatamente da altri dati personali trattati per finalità che non richiedono il loro utilizzo (ad esempio, i dati trattati a scopo amministrativo e contabile) (art. 22, comma 7, d. lgs. 196/03) e, qualora debbano essere comunicati a soggetti specifici (ad esempio, dal titolare al responsabile del trattamento) purché il trasferimento avvenga in forma cifrata.

Infine, occorre tener conto anche delle prescrizioni di legge in materia di Dossier Sanitario Elettronico e Fascicolo Sanitario Elettronico, che impongono la tracciabilità degli accessi e delle operazioni effettuate, anche di semplice consultazione, mediante procedure che prevedano la registrazione automatica in appositi file di log degli accessi e delle operazioni compiute nonché l’introduzione di sistemi di audit log che prevedano l’attivazione di specifici alert per la segnalazione di eventuali anomalie che possano configurare trattamenti illeciti.