Preparazione alle pandemie: l’Italia è pronta alla prossima crisi?

Quando il Covid-19 è esploso nel 2020, ci siamo trovati tutti (governi, aziende, cittadini) impreparati. Le misure arrivavano in ordine sparso, i sistemi di tracciamento non erano pronti, la condivisione dei dati sanitari avveniva a fatica. In pochi mesi abbiamo capito che non bastavano i vaccini o i lockdown: serviva una strategia globale di prevenzione e risposta, basata su infrastrutture dati robuste e processi chiari.

Dal caos alla pianificazione: il nuovo quadro multilivello

Cinque anni dopo, lo scenario è sicuramente cambiato: sono nate nuove norme internazionali, l’Europa ha centralizzato competenze e scorte, l’Italia ha aggiornato (anche se per ora solo in bozza) i suoi piani pandemici. Ma la domanda resta: saremo davvero pronti alla prossima emergenza?

Dal caos alla pianificazione: cosa è cambiato – La pandemia ha accelerato una trasformazione normativa che sarebbe altrimenti durata decenni ed oggi abbiamo una cornice multilivello che non esisteva prima, anche se il successo dipenderà dalla capacità di tradurre queste regole in procedure pratiche, pronte all’uso.

• A livello mondiale, l’OMS ha aggiornato nel giugno 2024 gli International Health Regulations (IHR), approvando un pacchetto di emendamenti, introducendo un nuovo stato di “pandemic emergency”, meccanismi di solidarietà e un comitato degli Stati membri per garantire l’implementazione continua, dando sostanzialmente più potere ai Paesi nel monitoraggio epidemiologico e introducendo procedure di allerta precoce. Nel 2025, l’Assemblea Mondiale della Sanità ha approvato il Pandemic Agreement, trattato vincolante che obbliga gli Stati a condividere tempestivamente dati e risorse, per garantire accesso equo a vaccini e diagnostica.
• L’Unione Europea ha adottato il Regolamento (UE) 2022/2371 sulle minacce transfrontaliere, creando meccanismi di risposta coordinata e rafforzando il ruolo del Centro Europeo per la Prevenzione e il Controllo delle Malattie (ECDC). Il Regolamento (UE) 2022/2372 istituisce ufficialmente una “cornice crisi” che, in caso di emergenza sanitaria a livello comunitario, impone l’attivazione rapida di scorte strategiche di vaccini, farmaci e dispositivi tramite un Health Crisis Board, il quale coordina le forniture UE. Questo organismo agisce sotto l’ombrello dell’Agenzia Health Emergency Preparedness and Response Authority (HERA), incaricata di preparare e supportare la risposta, delineando procedure, negoziati e inventari condivisi.
• Lo Spazio Europeo dei Dati Sanitari (EHDS), introdotto dal Regolamento 2025/327, punta a un’infrastruttura unica per l’uso primario e secondario dei dati sanitari. L’obiettivo è accelerare ricerca e preparedness, garantendo privacy e interoperabilità.

La posizione italiana tra sovranità e integrazione europea

Sebbene l’Accordo Pandemico Globale del 2025 sia stato descritto come una svolta per “rendere il mondo più sicuro e più equo” grazie alla cooperazione internazionale su vaccini, terapeutici e diagnostica, la votazione in commissione si è conclusa con il voto di 124 Paesi favorevoli, nessun voto contrario e 11 astenuti, tra cui Russia, Iran, Israele e Italia. Interessante notare che gli Stati Uniti non figurano tra i Paesi astensionisti, in quanto non hanno partecipato al voto, segnando una presa di distanza istituzionale dall’OMS in coerenza con la linea critica della nuova amministrazione Trump verso l’Organizzazione e la gestione multilaterale delle pandemie. Questo posizionamento mette in evidenza due tendenze opposte che non possiamo ignorare: da un lato un’Europa che cerca di consolidare strumenti comuni, dall’altro la prima potenza mondiale che sceglie deliberatamente di sfilarsi dai meccanismi globali, indebolendo il fronte internazionale di preparedness.

In questo quadro, l’Italia ha scelto l’astensione invocando il principio della “sovranità nazionale” nel campo della salute pubblica e nel suo documento esplicativo del voto, ha affermato di apprezzare l’inclusione nel testo dell’accordo della clausola che esclude espressamente ogni potere coercitivo dell’OMS (niente lockdown, obblighi vaccinali, restrizioni viaggi o imposizioni terapeutiche). La scelta astensionistica italiana non sarebbe tanto una protesta di principio, quanto un atteggiamento di ‘cautela’; tuttavia, l’assenza dell’Italia su un tema così rilevante appare quantomeno dissonante. Una mossa diplomatica pensata, forse, ma tutt’altro che convincente per un Paese che, durante la crisi COVID, ha pagato un prezzo drammatico in vite e disservizi.

Sul fronte nazionale, il Ministero della Salute ha elaborato un nuovo documento denominato Piano strategico operativo di preparazione e risposta a una pandemia da patogeni a trasmissione respiratoria a maggiore potenziale pandemico 2025-2029, volto ad aggiornare i protocolli precedenti, ridefinire ruoli e responsabilità e integrare le linee guida europee, cercando di colmare le lacune emerse nel 2020. Si tratta però di solo di una “bozza avanzata”, al momento ancora in consultazione, cioè di un documento che ha ricevuto un primo via libera politico, ma è ancora ben lungi dall’essere atto operativo vincolante. Il Piano è in attesa dell’approvazione definitiva anche da parte del Ministero dell’Economia e delle Finanze e l’1,1 miliardi di euro annunciati dovranno essere effettivamente programmati e distribuiti. Inoltre, anche che non si farà più ricorso ai DPCM, molte delle misure richiederanno decreti attuativi e procedure dettagliate per essere tradotti in pratica. In altre parole, il Piano italiano rappresenta una cornice “strategica” ma non ancora effettiva e la vera sfida sarà tradurla in realtà prima che arrivi la prossima emergenza.

Così, mentre il “Global Pandemic Agreement” dell’OMS rappresenta un salto in avanti per la salute mondiale – introducendo strumenti come il sistema PABS, il Network logistico globale e l’approccio One-Health – l’Italia ha scelto di restare a margine e rischia di rimanere confinata in un approccio esclusivamente nazionale, lontano dagli strumenti condivisi che servono davvero a una risposta pandemica efficace e solidale.

Privacy ed emergenze: basi giuridiche e organizzazione

Uno dei nodi più dibattuti durante il Covid-19 è stato il trattamento dei dati sanitari. Si è parlato di “scontro” tra privacy e salute pubblica, senza considerare che in realtà il GDPR fornisce basi solide per agire in emergenza, purché con proporzionalità e trasparenza.

• Articolo 6: il trattamento può avvenire per obbligo legale, interesse pubblico o interessi vitali.
• Articolo 9: consente eccezioni specifiche per la sanità pubblica (9(2)(i) e medicina del lavoro (9(2)(h).
• Linee guida EDPB: le misure di tracciamento devono essere necessarie, limitate nel tempo e minimizzare i dati trattati.
• Ruolo del medico competente: in Italia resta centrale; le aziende non ricevono diagnosi, ma giudizi di idoneità.

Questi strumenti legali dimostrano che privacy e sicurezza sanitaria possono coesistere. Il vero problema, semmai, è organizzativo: molte aziende, in pandemia, non avevano processi pronti per applicare correttamente queste basi giuridiche.

Lezioni dal covid-19: progressi e criticità

La pandemia ha fatto emergere competenze e limiti in egual misura.

Cosa abbiamo imparato:

• Coordinamento centralizzato – HERA ha il compito di preparare e coordinare l’UE di fronte a future emergenze sanitarie, pandemie e minacce transfrontaliere e costituisce un modello di gestione comune per il monitoraggio delle minacce sanitarie emergenti, compresi nuovi virus e bioterrorismo; il coordinamento delle scorte strategiche di vaccini, farmaci e dispositivi medici (stockpiling); la programmazione di investimenti in ricerca e sviluppo di contromisure mediche; l’implementazione di accordi di approvvigionamento per reagire rapidamente alle crisi; l’attivazione di modalità di crisis response a livello UE quando viene dichiarata un’emergenza sanitaria.
• Sorveglianza anonima – tecniche come il monitoraggio delle acque reflue hanno dimostrato che è possibile raccogliere dati epidemiologici efficaci senza tracciare i singoli individui.
• Maggiore consapevolezza normativa – più familiarità in azienda con le basi giuridiche per trattare dati sanitari in emergenza.

Cosa non funziona ancora:

• Governance aziendale frammentata – in molte realtà i ruoli e le modalità di interazione tra HSE, HR, IT e DPO restano poco chiari.
• Mancanza di DPIA pronte – le valutazioni di impatto spesso non considerano scenari straordinari come screening di massa o dispositivi wearable.
• Interoperabilità insufficiente – i dataset sanitari aziendali raramente sono pronti per essere trasmessi ad autorità nazionali o europee in formati standard.
• Supply chain vulnerabile – spesso i contratti con fornitori non prevedono clausole specifiche per gestire dati sanitari o emergenze.

Retail e logistica: dove la complessità esplode

Le aziende in ambito retail e logistica sono tra le più esposte in caso di pandemia: alto turnover, contatto diretto con il pubblico, supply chain internazionale. Alcuni esempi pratici:

• Screening in eventi e negozi: può essere giustificato dall’interesse pubblico, ma servono informative chiare e retention minima.
• Tracciamento esposizioni dei dipendenti: è un obbligo di sicurezza sul lavoro, ma la comunicazione deve limitarsi all’idoneità, senza diffondere informazioni cliniche.
• Sorveglianza low-impact: dati aggregati e anonimizzati quando possibile, per ridurre il rischio privacy.
• Data sharing con autorità: i flussi devono essere integrati nell’architettura EHDS per essere rapidi ed efficaci.

Dallo shock alla preparazione: sei mosse operative

1 – Regole globali: dal vecchio coordinamento all’“allarme pandemia”. à Non basta “coordinarsi”, serve un linguaggio condiviso su quando scatta l’allerta e chi fa cosa. Le modifiche 2024 al Regolamento Sanitario Internazionale hanno introdotto una definizione specifica di emergenza pandemica e rafforzato gli ingranaggi di governance. Il Global Pandemic Agreement mette al centro equità e accesso agli strumenti sanitari.

2 – Allerta precoce e sorveglianza integrata: clinica, genomica, acque reflue. à L’Europa ha costruito una sorveglianza integrata che combina clinica, genomica e monitoraggio ambientale. L’ECDC ha pubblicato nel 2025 un protocollo unico per influenza, COVID-19 e altri virus, mentre la Commissione ha lanciato l’EU Wastewater Surveillance Dashboard con regia HERA.

3 – Dati sanitari: interoperabilità sì, sorveglianza pervasiva no. à La European Health Data Space (EHDS) è l’architettura europea per circolare dati sanitari con regole comuni e strumenti interoperabili. L’EDPB ricorda però che proporzionalità ed efficacia devono guidare ogni misura.

4 – Scorte e contromisure: la capacità europea che mancava. à Il Regolamento sulle minacce transfrontaliere (2022/2371) e la cornice “crisi” (2022/2372) attivano un Health Crisis Board per coordinare forniture e scorte di farmaci e dispositivi.

5 – Aziende e lavoro: prevenzione, privacy e ruolo del medico competente. à In Italia il medico competente è titolare autonomo dei dati sanitari. L’azienda riceve giudizi di idoneità, non diagnosi. Serve privacy by design.

6 – Comunicazione del rischio. à Trasparenza e proporzionalità sono essenziali per costruire fiducia e consenso.

Checklist per decisori pubblici e imprese

Per rendere davvero operativo un piano di gestione della pandemia non basta avere documenti di riferimento: occorre costruire un sistema efficiente, attraverso alcuni pilastri fondamentali che sono alla base di una vera cultura della preparedness.

Ecco una checklist per passare dalla teoria alla pratica:

• Governance chiara: un comitato che unisca HSE, Privacy, IT e HR con ruoli ben definiti secondo logiche RACI, così da sapere in anticipo chi fa cosa.
• DPIA e scenari già pronti, con modelli aggiornabili per screening, dispositivi wearable, eventi e gestione dei visitatori: l’obiettivo è reagire rapidamente, senza dover partire da zero.
• Policy emergenziali, che dovrebbero essere preconfigurate e adattabili alle diverse fasi di una crisi, dall’allerta iniziale al picco, fino al rientro, con tempi di conservazione dei dati calibrati a ciascun contesto.
• Fornitori: i contratti vanno “blindati” con clausole che regolino notifiche, continuità operativa e sub-processing extra-UE, così da non trovarsi scoperti quando serve più supporto.
• Principio “privacy by design” sul fronte tecnologico: strumenti che permettano la segregazione dei dati clinici, audit sugli accessi e interoperabilità immediata con le autorità.
• Formazione mirata per manager e personale chiave e anche esercitazioni periodiche realistiche (come i tabletop exercise) per testare procedure, ruoli e capacità di risposta in scenari critici.

Dalla norma alla cultura della resilienza

Oggi abbiamo una cornice normativa senza precedenti: trattati internazionali, regolamenti UE, strategie HERA, piani globali (cui aderire) e nazionali (da mettere in piedi). Ma la differenza non la farà la norma scritta, bensì la capacità delle aziende di anticipare.

Essere pronti significa:

• Avere DPIA già compilate per scenari complessi.
• Testare procedure di emergenza, non solo scriverle.
• Integrare i fornitori in una catena di dati sicura.
• Investire in formazione continua, non solo in compliance formale.

La pandemia Covid-19 ci ha insegnato che fiducia, trasparenza e pianificazione sono la vera infrastruttura e che un piano pandemico non è solo sulla carta,ma deve essere allenato.

Prepararsi alla prossima emergenza non è solo un obbligo legale, è un investimento per la continuità operativa e la tutela delle persone.