Domande frequenti sugli obblighi di gestione dei dati ai sensi del Sunshine Act Italiano
Table of content
- È necessario il consenso del destinatario per la pubblicazione?
- Per quanto tempo i dati pubblicati restano visibili?
- Quali dati specifici devono essere inclusi nelle comunicazioni?
- Quali tipi di dati devono essere comunicati?
- I dati pubblicati possono essere corretti dopo l’invio?
- È richiesto il consenso privacy dei professionisti o delle organizzazioni sanitarie per la pubblicazione dei dati?
- La pubblicazione dei dati è in conflitto con il GDPR?
- Una stessa persona può avere sia la delega alla responsabilità sia la delega al caricamento dei dati?
- Affronta la compliance dei dati con sicurezza
Author
Mauro Teresi è Counsel presso Simmons & Simmons nel gruppo Dispute Resolution con sede a Milano. È a capo della practice italiana di Responsabilità da Prodotto, Regolamentazione e Compliance dello studio ed è un membro chiave del suo gruppo cross-border.
Con oltre un decennio di esperienza in materia di responsabilità da prodotto e questioni regolatorie relative a un’ampia gamma di medicinali e dispositivi medici, Mauro supporta i clienti in contenziosi e arbitrati commerciali nazionali e transfrontalieri, nella valutazione preliminare dei casi e nelle procedure di risoluzione alternativa delle controversie.
Simmons & Simmons
Cerchi supporto per la compliance al Sunshine Act?
Hai domande pratiche?
Dai un’occhiata alla nostra sezione Domande Frequenti per risposte chiare su scadenze, obblighi e strategie.
Monitorare i trasferimenti di valore, sapere cosa deve essere comunicato e conoscere le principali esenzioni è fondamentale. Ma comprendere nel dettaglio come i dati vengono raccolti, comunicati, pubblicati e conservati è altrettanto importante per garantire la conformità al Sunshine Act Italiano (Legge n. 62/2022).
Per i professionisti della compliance, questi obblighi possono sembrare un intreccio di riferimenti normativi, considerazioni GDPR e regole tecniche di trasmissione.
Per rendere tutto più chiaro, abbiamo raccolto le risposte alle domande più frequenti poste dai team compliance delle aziende life science sulla gestione dei dati nel contesto del Sunshine Act Italiano — così da aiutarvi a mantenere trasparenza e conformità con sicurezza e tranquillità.
È necessario il consenso del destinatario per la pubblicazione?
No, non è richiesto un consenso esplicito. Il consenso alla comunicazione e al trattamento dei dati è considerato implicitamente prestato quando un professionista sanitario (HCP) o un’organizzazione sanitaria (HCO):
- firma un contratto o un accordo
- accetta un trasferimento di valore (ToV)
- acquisisce azioni, quote o obbligazioni
- percepisce royalties derivanti da diritti di proprietà industriale o intellettuale
Tuttavia, le aziende produttrici sono comunque tenute a fornire ai professionisti e alle organizzazioni sanitarie un’informativa privacy, indicando chiaramente che i loro dati saranno pubblicati nel registro Sanità Trasparente, gestito dal Ministero della Salute, una volta pienamente attuato il Sunshine Act Italiano.
Per quanto tempo i dati pubblicati restano visibili?
I dati pubblicati restano accessibili nel registro elettronico Sanità Trasparente per cinque anni dalla data di pubblicazione. Trascorso questo periodo, vengono automaticamente rimossi.
Questo periodo di conservazione, previsto dall’articolo 5, comma 4, della Legge n. 62/2022, è stato stabilito per garantire un equilibrio tra l’esigenza di trasparenza pubblica e il principio di minimizzazione dei dati previsto dal GDPR.
Quali dati specifici devono essere inclusi nelle comunicazioni?
Ai sensi degli articoli 3, comma 4, e 4 della Legge Sunshine Act Italiana, le comunicazioni devono includere:
- Dati identificativi del destinatario (professionisti sanitari – HCP): nome, cognome, codice fiscale o partita IVA e, se applicabile, numero di iscrizione all’albo professionale
- Dati identificativi del destinatario (organizzazioni sanitarie – HCO): denominazione, sede legale, codice fiscale o partita IVA e, se applicabile, numero di iscrizione all’albo o registro competente
- Dati identificativi di eventuali intermediari (in caso di trasferimento di valore indiretto)
- Natura e finalità del trasferimento, dell’accordo o dell’interesse finanziario
- Data o periodo di riferimento del trasferimento o dell’accordo
- Valore economico del rapporto (importo, valore di mercato, royalties, ecc.)
L’azienda che effettua la comunicazione è identificata direttamente tramite il registro Sanità Trasparente del Ministero della Salute, che gestisce la trasmissione e la pubblicazione di tutte le dichiarazioni.
Quali tipi di dati devono essere comunicati?
Il Sunshine Act Italiano richiede la comunicazione delle seguenti categorie di dati:
- Trasferimenti di valore, sia in denaro sia in natura
- Contratti che comportano benefici diretti o indiretti a favore di professionisti o organizzazioni sanitarie, come la partecipazione a convegni, comitati consultivi, attività di consulenza, docenza o ricerca
- Partecipazioni azionarie o titoli obbligazionari detenuti
- Royalties derivanti dalla concessione di licenze per lo sfruttamento economico di diritti di proprietà industriale o intellettuale
I dati pubblicati possono essere corretti dopo l’invio?
Sì. Ai sensi dell’articolo 6, comma 4, della Legge n. 62/2022, se una comunicazione risulta incompleta, l’azienda ha 90 giorni di tempo per integrare le informazioni mancanti. Il mancato completamento entro tale termine comporta l’applicazione delle stesse sanzioni previste per omissioni o inesattezze. Questa disposizione mira a garantire la trasparenza, offrendo al contempo la possibilità di correggere eventuali errori.
È richiesto il consenso privacy dei professionisti o delle organizzazioni sanitarie per la pubblicazione dei dati?
No. Per i dati soggetti a obbligo di comunicazione al di sopra delle soglie definite dalla Legge n. 62/2022, articoli 3 e 4, non è richiesto un consenso esplicito. Ai sensi dell’articolo 5, comma 6, della stessa legge, il consenso è considerato implicito nel momento in cui il beneficio, l’accordo o l’interesse economico viene accettato, poiché la base giuridica del trattamento è rappresentata dall’obbligo legale (art. 6, par. 1, lett. c) del GDPR).
Tuttavia, le aziende devono comunque rispettare gli obblighi di trasparenza previsti dal GDPR. In particolare, l’articolo 13 del GDPR impone di fornire ai professionisti e alle organizzazioni sanitarie un’informativa privacy, che specifichi che i loro dati personali saranno trattati e pubblicati nel registro Sanità Trasparente, gestito dal Ministero della Salute.
Nota importante: se un’azienda decide di comunicare trasferimenti di valore al di sotto delle soglie previste dalla Legge n. 62/2022, tali dati non rientrano nell’obbligo legale di pubblicazione. In questi casi, l’unica base giuridica valida ai sensi del GDPR sarebbe il consenso esplicito del professionista o dell’organizzazione sanitaria.
La pubblicazione dei dati è in conflitto con il GDPR?
No. La pubblicazione dei dati prevista dal Sunshine Act non è in conflitto con il GDPR, a condizione che vengano rispettate le tutele stabilite dallo stesso regolamento.
La legge fa riferimento, in modo non del tutto preciso, a un consenso implicito alla pubblicazione nei casi in cui il beneficio venga accettato; in realtà, la base giuridica del trattamento è rappresentata da un obbligo legale.
Restano comunque pienamente applicabili le garanzie previste dal GDPR, tra cui il diritto di rettifica (art. 5, comma 6) e gli altri diritti riconosciuti agli interessati dal Regolamento (UE) 2016/679:
- Art. 15: diritto di accesso
- Art. 16: diritto di rettifica
- Art. 17: diritto alla cancellazione
- Art. 18: diritto alla limitazione del trattamento
- Art. 19: obbligo di notifica delle modifiche
- Art. 21: diritto di opposizione
Rimangono inoltre disponibili i rimedi giudiziari e amministrativi previsti dalla normativa vigente.
Una stessa persona può avere sia la delega alla responsabilità sia la delega al caricamento dei dati?
Sì. Una stessa persona può ricoprire sia il ruolo di delegato alla responsabilità (responsabile interno) sia quello di delegato al caricamento dei dati (ruolo tecnico per l’invio).
- Il delegato al caricamento deve sempre essere iscritto alla Camera di Commercio, altrimenti il sistema non consente l’invio dei dati.
- Il delegato alla responsabilità non è obbligato a essere iscritto, ma è fortemente consigliato per garantire chiarezza in termini di conformità e continuità operativa (ad esempio, nel caso in cui il delegato al caricamento non sia disponibile).
Buona prassi: allineare i due ruoli, ove possibile, per assicurare una chiara attribuzione delle responsabilità e una gestione più fluida delle comunicazioni.
Affronta la compliance dei dati con sicurezza
Il Sunshine Act Italiano impone requisiti rigorosi sulla raccolta, la comunicazione e la conservazione dei dati, ma al tempo stesso offre un quadro chiaro per bilanciare la trasparenza pubblica con i principi di protezione dei dati.
Per approfondire gli obblighi di rendicontazione previsti dal Sunshine Act Italiano, consulta le nostre FAQ, dove esperti legali e compliance affrontano regolarmente i temi più attuali e rilevanti. Se non trovi la risposta che cerchi, inviaci la tua domanda: i nostri specialisti ti risponderanno con un chiarimento personalizzato.
Table of content
- È necessario il consenso del destinatario per la pubblicazione?
- Per quanto tempo i dati pubblicati restano visibili?
- Quali dati specifici devono essere inclusi nelle comunicazioni?
- Quali tipi di dati devono essere comunicati?
- I dati pubblicati possono essere corretti dopo l’invio?
- È richiesto il consenso privacy dei professionisti o delle organizzazioni sanitarie per la pubblicazione dei dati?
- La pubblicazione dei dati è in conflitto con il GDPR?
- Una stessa persona può avere sia la delega alla responsabilità sia la delega al caricamento dei dati?
- Affronta la compliance dei dati con sicurezza
Monitorare i trasferimenti di valore, sapere cosa deve essere comunicato e conoscere le principali esenzioni è fondamentale. Ma comprendere nel dettaglio come i dati vengono raccolti, comunicati, pubblicati e conservati è altrettanto importante per garantire la conformità al Sunshine Act Italiano (Legge n. 62/2022).
Per i professionisti della compliance, questi obblighi possono sembrare un intreccio di riferimenti normativi, considerazioni GDPR e regole tecniche di trasmissione.
Per rendere tutto più chiaro, abbiamo raccolto le risposte alle domande più frequenti poste dai team compliance delle aziende life science sulla gestione dei dati nel contesto del Sunshine Act Italiano — così da aiutarvi a mantenere trasparenza e conformità con sicurezza e tranquillità.
È necessario il consenso del destinatario per la pubblicazione?
No, non è richiesto un consenso esplicito. Il consenso alla comunicazione e al trattamento dei dati è considerato implicitamente prestato quando un professionista sanitario (HCP) o un’organizzazione sanitaria (HCO):
- firma un contratto o un accordo
- accetta un trasferimento di valore (ToV)
- acquisisce azioni, quote o obbligazioni
- percepisce royalties derivanti da diritti di proprietà industriale o intellettuale
Tuttavia, le aziende produttrici sono comunque tenute a fornire ai professionisti e alle organizzazioni sanitarie un’informativa privacy, indicando chiaramente che i loro dati saranno pubblicati nel registro Sanità Trasparente, gestito dal Ministero della Salute, una volta pienamente attuato il Sunshine Act Italiano.
Per quanto tempo i dati pubblicati restano visibili?
I dati pubblicati restano accessibili nel registro elettronico Sanità Trasparente per cinque anni dalla data di pubblicazione. Trascorso questo periodo, vengono automaticamente rimossi.
Questo periodo di conservazione, previsto dall’articolo 5, comma 4, della Legge n. 62/2022, è stato stabilito per garantire un equilibrio tra l’esigenza di trasparenza pubblica e il principio di minimizzazione dei dati previsto dal GDPR.
Quali dati specifici devono essere inclusi nelle comunicazioni?
Ai sensi degli articoli 3, comma 4, e 4 della Legge Sunshine Act Italiana, le comunicazioni devono includere:
- Dati identificativi del destinatario (professionisti sanitari – HCP): nome, cognome, codice fiscale o partita IVA e, se applicabile, numero di iscrizione all’albo professionale
- Dati identificativi del destinatario (organizzazioni sanitarie – HCO): denominazione, sede legale, codice fiscale o partita IVA e, se applicabile, numero di iscrizione all’albo o registro competente
- Dati identificativi di eventuali intermediari (in caso di trasferimento di valore indiretto)
- Natura e finalità del trasferimento, dell’accordo o dell’interesse finanziario
- Data o periodo di riferimento del trasferimento o dell’accordo
- Valore economico del rapporto (importo, valore di mercato, royalties, ecc.)
L’azienda che effettua la comunicazione è identificata direttamente tramite il registro Sanità Trasparente del Ministero della Salute, che gestisce la trasmissione e la pubblicazione di tutte le dichiarazioni.
Quali tipi di dati devono essere comunicati?
Il Sunshine Act Italiano richiede la comunicazione delle seguenti categorie di dati:
- Trasferimenti di valore, sia in denaro sia in natura
- Contratti che comportano benefici diretti o indiretti a favore di professionisti o organizzazioni sanitarie, come la partecipazione a convegni, comitati consultivi, attività di consulenza, docenza o ricerca
- Partecipazioni azionarie o titoli obbligazionari detenuti
- Royalties derivanti dalla concessione di licenze per lo sfruttamento economico di diritti di proprietà industriale o intellettuale
I dati pubblicati possono essere corretti dopo l’invio?
Sì. Ai sensi dell’articolo 6, comma 4, della Legge n. 62/2022, se una comunicazione risulta incompleta, l’azienda ha 90 giorni di tempo per integrare le informazioni mancanti. Il mancato completamento entro tale termine comporta l’applicazione delle stesse sanzioni previste per omissioni o inesattezze. Questa disposizione mira a garantire la trasparenza, offrendo al contempo la possibilità di correggere eventuali errori.
È richiesto il consenso privacy dei professionisti o delle organizzazioni sanitarie per la pubblicazione dei dati?
No. Per i dati soggetti a obbligo di comunicazione al di sopra delle soglie definite dalla Legge n. 62/2022, articoli 3 e 4, non è richiesto un consenso esplicito. Ai sensi dell’articolo 5, comma 6, della stessa legge, il consenso è considerato implicito nel momento in cui il beneficio, l’accordo o l’interesse economico viene accettato, poiché la base giuridica del trattamento è rappresentata dall’obbligo legale (art. 6, par. 1, lett. c) del GDPR).
Tuttavia, le aziende devono comunque rispettare gli obblighi di trasparenza previsti dal GDPR. In particolare, l’articolo 13 del GDPR impone di fornire ai professionisti e alle organizzazioni sanitarie un’informativa privacy, che specifichi che i loro dati personali saranno trattati e pubblicati nel registro Sanità Trasparente, gestito dal Ministero della Salute.
Nota importante: se un’azienda decide di comunicare trasferimenti di valore al di sotto delle soglie previste dalla Legge n. 62/2022, tali dati non rientrano nell’obbligo legale di pubblicazione. In questi casi, l’unica base giuridica valida ai sensi del GDPR sarebbe il consenso esplicito del professionista o dell’organizzazione sanitaria.
La pubblicazione dei dati è in conflitto con il GDPR?
No. La pubblicazione dei dati prevista dal Sunshine Act non è in conflitto con il GDPR, a condizione che vengano rispettate le tutele stabilite dallo stesso regolamento.
La legge fa riferimento, in modo non del tutto preciso, a un consenso implicito alla pubblicazione nei casi in cui il beneficio venga accettato; in realtà, la base giuridica del trattamento è rappresentata da un obbligo legale.
Restano comunque pienamente applicabili le garanzie previste dal GDPR, tra cui il diritto di rettifica (art. 5, comma 6) e gli altri diritti riconosciuti agli interessati dal Regolamento (UE) 2016/679:
- Art. 15: diritto di accesso
- Art. 16: diritto di rettifica
- Art. 17: diritto alla cancellazione
- Art. 18: diritto alla limitazione del trattamento
- Art. 19: obbligo di notifica delle modifiche
- Art. 21: diritto di opposizione
Rimangono inoltre disponibili i rimedi giudiziari e amministrativi previsti dalla normativa vigente.
Una stessa persona può avere sia la delega alla responsabilità sia la delega al caricamento dei dati?
Sì. Una stessa persona può ricoprire sia il ruolo di delegato alla responsabilità (responsabile interno) sia quello di delegato al caricamento dei dati (ruolo tecnico per l’invio).
- Il delegato al caricamento deve sempre essere iscritto alla Camera di Commercio, altrimenti il sistema non consente l’invio dei dati.
- Il delegato alla responsabilità non è obbligato a essere iscritto, ma è fortemente consigliato per garantire chiarezza in termini di conformità e continuità operativa (ad esempio, nel caso in cui il delegato al caricamento non sia disponibile).
Buona prassi: allineare i due ruoli, ove possibile, per assicurare una chiara attribuzione delle responsabilità e una gestione più fluida delle comunicazioni.
Affronta la compliance dei dati con sicurezza
Il Sunshine Act Italiano impone requisiti rigorosi sulla raccolta, la comunicazione e la conservazione dei dati, ma al tempo stesso offre un quadro chiaro per bilanciare la trasparenza pubblica con i principi di protezione dei dati.
Per approfondire gli obblighi di rendicontazione previsti dal Sunshine Act Italiano, consulta le nostre FAQ, dove esperti legali e compliance affrontano regolarmente i temi più attuali e rilevanti. Se non trovi la risposta che cerchi, inviaci la tua domanda: i nostri specialisti ti risponderanno con un chiarimento personalizzato.
Author
Mauro Teresi è Counsel presso Simmons & Simmons nel gruppo Dispute Resolution con sede a Milano. È a capo della practice italiana di Responsabilità da Prodotto, Regolamentazione e Compliance dello studio ed è un membro chiave del suo gruppo cross-border.
Con oltre un decennio di esperienza in materia di responsabilità da prodotto e questioni regolatorie relative a un’ampia gamma di medicinali e dispositivi medici, Mauro supporta i clienti in contenziosi e arbitrati commerciali nazionali e transfrontalieri, nella valutazione preliminare dei casi e nelle procedure di risoluzione alternativa delle controversie.
Simmons & Simmons
Cerchi supporto per la compliance al Sunshine Act?
Hai domande pratiche?
Dai un’occhiata alla nostra sezione Domande Frequenti per risposte chiare su scadenze, obblighi e strategie.