GDPR e Sunshine Act italiano: come bilanciare trasparenza e protezione dei dati
Author
May Khan guida il team Compliance Services di Vector Health, società SaaS specializzata nella compliance per il settore life sciences. La sua esperienza include il reporting sulla trasparenza a livello globale, la strategia legata al Sunshine Act e il monitoraggio dei rischi relativi agli HCP. In Vector coordina team interfunzionali dedicati all’integrità dei dati, al servizio clienti e all’allineamento normativo.
Vector Health Compliance
Il principale partner in Italia per la conformità al Sunshine Act
Cerchi supporto per la compliance al Sunshine Act?
Hai domande pratiche?
Dai un’occhiata alla nostra sezione Domande Frequenti per risposte chiare su scadenze, obblighi e strategie.
Trasparenza e privacy sembrano spesso priorità in conflitto, soprattutto per le aziende life sciences soggette al nuovo Sunshine Act italiano. Da un lato, le autorità e l’opinione pubblica chiedono visibilità sui rapporti economici tra industria e professionisti/organizzazioni sanitarie (HCP/HCO), per prevenire fenomeni corruttivi e rafforzare la fiducia. Dall’altro, il GDPR impone regole rigorose per tutelare i dati personali e salvaguardare i diritti individuali. La sfida consiste nel trovare un equilibrio tra i due ambiti senza oltrepassare i limiti di nessuno dei due.
La prospettiva del GDPR
Il comma 6 dell’articolo 5 del Sunshine Act italiano stabilisce che, con la stipula di un accordo, l’accettazione di un trasferimento di valore o l’acquisizione di quote o licenze, le parti forniscono automaticamente un consenso implicito al trattamento e alla pubblicazione dei propri dati personali. Sebbene tale previsione miri a semplificare gli obblighi di trasparenza, genera una tensione con i principi del GDPR.
Ai sensi del GDPR, il consenso deve essere libero, specifico, informato e inequivocabile (ed esplicito ove richiesto). Poiché la pubblicazione è imposta dalla Legge 62/2022, il trattamento si fonda su un obbligo legale ai sensi dell’art. 6(1)(c) GDPR, anche se lo stesso Sunshine Act fa riferimento al “consenso”. In questo contesto, alcuni diritti previsti dal GDPR (come il diritto alla cancellazione ex art. 17) possono essere limitati quando il trattamento è necessario per adempiere a tale obbligo, mentre i diritti sanciti dagli artt. 15–19 e 21 restano esercitabili e devono comunque essere rispettati.
Il GDPR stabilisce inoltre sei regole fondamentali, particolarmente rilevanti nel contesto della rendicontazione prevista dal Sunshine Act italiano:
- Liceità, correttezza e trasparenza – i professionisti sanitari devono essere informati in modo chiaro su quali dati verranno divulgati, in base a quale fondamento giuridico e per quanto tempo.
- Limitazione della finalità – i dati raccolti e pubblicati devono essere utilizzati per adempiere agli obblighi del Sunshine Act, o per altri scopi solo laddove esista una valida base giuridica e l’uso sia compatibile con la finalità originaria.
- Minimizzazione dei dati – devono essere pubblicati esclusivamente i dati strettamente richiesti dal Sunshine Act italiano, evitando dettagli non necessari.
- Esattezza – i dati divulgati devono essere corretti e aggiornati, poiché errori possono danneggiare la reputazione dei professionisti sanitari e determinare violazioni del GDPR.
- Limitazione della conservazione – i dati devono essere mantenuti solo per il tempo necessario a garantire la conformità, in linea con la regola di pubblicazione quinquennale e con i termini di prescrizione applicabili.
- Integrità e riservatezza – i dati personali devono essere protetti con misure tecniche e organizzative adeguate, per prevenire accessi non autorizzati o usi impropri.
- Responsabilizzazione – le aziende devono essere in grado di dimostrare la conformità ai principi del GDPR attraverso documentazione, policy e attività di controllo.
Inoltre, le aziende devono rispettare i tempi di conservazione dei dati. Sebbene i dati pubblicati debbano rimanere accessibili nel registro Sanità Trasparente per cinque anni, i sistemi interni non dovrebbero conservarli a tempo indeterminato. Prima della divulgazione, è inoltre necessario adottare misure di sicurezza adeguate a garantire l’integrità delle informazioni.
La prospettiva del Sunshine Act italiano
Il Sunshine Act italiano impone la divulgazione pubblica obbligatoria dei trasferimenti di valore in un registro telematico centralizzato, Sanità Trasparente, sotto la gestione del Ministero della Salute. Si tratta di un passo decisivo verso la responsabilità e la trasparenza, andando oltre i codici di disclosure volontari come quello di EFPIA. Allo stesso tempo, tuttavia, introduce una maggiore esposizione in termini di privacy: i dati saranno infatti accessibili non solo alle autorità, ma anche al pubblico generale.
Per adempiere sia agli obblighi di trasparenza sia a quelli di protezione dei dati, le aziende devono:
- Verificare che i dati segnalati siano completi e corretti prima dell’invio.
- Nota: qualsiasi riutilizzo dei dati pubblicati deve rispettare le regole sull’informazione del settore pubblico ed essere compatibile con le finalità originarie quando si tratta di dati personali (art. 5, comma 5, Legge 62/2022).
- Prepararsi a spiegare ai professionisti sanitari perché i loro dati devono essere pubblicati, sottolineando che ciò deriva da un obbligo legale e non da un consenso.
Passi pratici per le aziende life sciences
Base giuridica e consenso
È importante sottolineare che, ai sensi del GDPR, il consenso implicito descritto nel Sunshine Act italiano non è considerato valido. L’articolo 7 del GDPR, insieme ai pareri dell’European Data Protection Board (EDPB) e delle Autorità nazionali per la protezione dei dati, chiarisce che il consenso deve essere sempre esplicito, inequivocabile e revocabile. Tuttavia, il Sunshine Act italiano non prevede alcun meccanismo di revoca.
Per le aziende, la base giuridica appropriata per le comunicazioni richieste dal Sunshine Act è l’art. 6(1)(c) GDPR (obbligo legale); per la pubblicazione da parte del Ministero, si applica generalmente l’art. 6(1)(e) GDPR (interesse pubblico/autorità ufficiale).
Ciò conferma perché il ricorso all’obbligo legale, piuttosto che al consenso, rappresenta la base giuridica più adeguata per il reporting previsto dal Sunshine Act italiano. Sul punto si attendono chiarimenti dal Garante per la protezione dei dati personali o dai futuri decreti attuativi.
Conservazione dei dati
L’articolo 5, comma 4, del Sunshine Act stabilisce che i dati pubblicati rimangano accessibili nel database pubblico per cinque anni, prima di essere eliminati. Per le aziende, questa disponibilità quinquennale rappresenta un punto di riferimento, ma la conservazione interna deve rispettare il principio di limitazione della conservazione previsto dal GDPR.
I registri devono essere mantenuti per un periodo sufficiente a dimostrare la conformità e a difendersi da eventuali omissioni o errori di rendicontazione, e in alcuni casi in linea con i termini di prescrizione nazionali, ma non possono essere trattenuti a tempo indeterminato. In determinate circostanze, come la difesa da contestazioni legate a reati di corruzione, può essere giustificata una conservazione più lunga, sempre in coerenza con i termini di prescrizione nazionale.
Rafforzare i controlli di compliance
Per allineare il GDPR agli obblighi di rendicontazione previsti dal Sunshine Act italiano, le aziende dovrebbero:
- Effettuare una mappatura dei dati e un’analisi dei gap: tracciare chiaramente tutti i flussi relativi ai trasferimenti di valore e valutare le pratiche rispetto ai principi GDPR di minimizzazione dei dati, limitazione della finalità ed esattezza.
- Aggiornare le informative privacy per HCP e HCO: garantire che le comunicazioni spieghino l’ambito e le finalità dell’uso dei dati, come richiesto dall’articolo 13 del GDPR.
- Aggiornare la documentazione e assegnare responsabilità: rivedere i Registri delle attività di trattamento (ROPA) per riflettere gli obblighi di reporting del Sunshine Act italiano e designare dipendenti responsabili della gestione e della trasmissione dei dati personali al Ministero della Salute.
Per passare dalla teoria alla pratica, le aziende life sciences dovrebbero adottare un approccio di doppia conformità:
- Aggiornare le informative privacy per HCP e HCO, spiegando gli obblighi di disclosure previsti dal Sunshine Act.
- Mappare i flussi di dati tra sistemi finanziari, medici e di compliance, per garantire l’accuratezza prima della rendicontazione.
- Condurre una DPIA (Valutazione d’impatto sulla protezione dei dati) per dimostrare la responsabilizzazione e valutare i potenziali rischi.
- Stabilire piani di conservazione che allineino i requisiti GDPR con le tempistiche di reporting del Sunshine Act.
- Formare i team interni affinché tutti—dal compliance all’IT—comprendano come il GDPR e la trasparenza si intrecciano.
Uno sguardo al futuro
Per la pubblicazione nel registro previsto dal Sunshine Act, il Ministero della Salute opera come titolare del trattamento. Le aziende restano titolari per la raccolta, la preparazione e la trasmissione dei dati che rendicontano.
Il decreto ministeriale che definirà i requisiti tecnici del registro sarà emanato dopo la consultazione con il Garante per la protezione dei dati personali, l’Agenzia per l’Italia Digitale (AgID) e l’Autorità Nazionale Anticorruzione (ANAC), con particolare attenzione a garantire solide misure tecniche e organizzative di sicurezza. Si prevede inoltre che il Garante fornisca indicazioni sulla base giuridica del trattamento e chiarimenti in merito ai periodi di conservazione appropriati.
Con l’avvicinarsi dell’avvio del registro telematico, le aziende soggette alla normativa dovrebbero lavorare a stretto contatto con i propri Data Protection Officer o consulenti legali, per verificare che i processi interni siano pienamente allineati sia ai requisiti del GDPR sia a quelli del Sunshine Act, in particolare per quanto riguarda la protezione dei dati e la trasparenza.
Trasparenza e privacy sembrano spesso priorità in conflitto, soprattutto per le aziende life sciences soggette al nuovo Sunshine Act italiano. Da un lato, le autorità e l’opinione pubblica chiedono visibilità sui rapporti economici tra industria e professionisti/organizzazioni sanitarie (HCP/HCO), per prevenire fenomeni corruttivi e rafforzare la fiducia. Dall’altro, il GDPR impone regole rigorose per tutelare i dati personali e salvaguardare i diritti individuali. La sfida consiste nel trovare un equilibrio tra i due ambiti senza oltrepassare i limiti di nessuno dei due.
La prospettiva del GDPR
Il comma 6 dell’articolo 5 del Sunshine Act italiano stabilisce che, con la stipula di un accordo, l’accettazione di un trasferimento di valore o l’acquisizione di quote o licenze, le parti forniscono automaticamente un consenso implicito al trattamento e alla pubblicazione dei propri dati personali. Sebbene tale previsione miri a semplificare gli obblighi di trasparenza, genera una tensione con i principi del GDPR.
Ai sensi del GDPR, il consenso deve essere libero, specifico, informato e inequivocabile (ed esplicito ove richiesto). Poiché la pubblicazione è imposta dalla Legge 62/2022, il trattamento si fonda su un obbligo legale ai sensi dell’art. 6(1)(c) GDPR, anche se lo stesso Sunshine Act fa riferimento al “consenso”. In questo contesto, alcuni diritti previsti dal GDPR (come il diritto alla cancellazione ex art. 17) possono essere limitati quando il trattamento è necessario per adempiere a tale obbligo, mentre i diritti sanciti dagli artt. 15–19 e 21 restano esercitabili e devono comunque essere rispettati.
Il GDPR stabilisce inoltre sei regole fondamentali, particolarmente rilevanti nel contesto della rendicontazione prevista dal Sunshine Act italiano:
- Liceità, correttezza e trasparenza – i professionisti sanitari devono essere informati in modo chiaro su quali dati verranno divulgati, in base a quale fondamento giuridico e per quanto tempo.
- Limitazione della finalità – i dati raccolti e pubblicati devono essere utilizzati per adempiere agli obblighi del Sunshine Act, o per altri scopi solo laddove esista una valida base giuridica e l’uso sia compatibile con la finalità originaria.
- Minimizzazione dei dati – devono essere pubblicati esclusivamente i dati strettamente richiesti dal Sunshine Act italiano, evitando dettagli non necessari.
- Esattezza – i dati divulgati devono essere corretti e aggiornati, poiché errori possono danneggiare la reputazione dei professionisti sanitari e determinare violazioni del GDPR.
- Limitazione della conservazione – i dati devono essere mantenuti solo per il tempo necessario a garantire la conformità, in linea con la regola di pubblicazione quinquennale e con i termini di prescrizione applicabili.
- Integrità e riservatezza – i dati personali devono essere protetti con misure tecniche e organizzative adeguate, per prevenire accessi non autorizzati o usi impropri.
- Responsabilizzazione – le aziende devono essere in grado di dimostrare la conformità ai principi del GDPR attraverso documentazione, policy e attività di controllo.
Inoltre, le aziende devono rispettare i tempi di conservazione dei dati. Sebbene i dati pubblicati debbano rimanere accessibili nel registro Sanità Trasparente per cinque anni, i sistemi interni non dovrebbero conservarli a tempo indeterminato. Prima della divulgazione, è inoltre necessario adottare misure di sicurezza adeguate a garantire l’integrità delle informazioni.
La prospettiva del Sunshine Act italiano
Il Sunshine Act italiano impone la divulgazione pubblica obbligatoria dei trasferimenti di valore in un registro telematico centralizzato, Sanità Trasparente, sotto la gestione del Ministero della Salute. Si tratta di un passo decisivo verso la responsabilità e la trasparenza, andando oltre i codici di disclosure volontari come quello di EFPIA. Allo stesso tempo, tuttavia, introduce una maggiore esposizione in termini di privacy: i dati saranno infatti accessibili non solo alle autorità, ma anche al pubblico generale.
Per adempiere sia agli obblighi di trasparenza sia a quelli di protezione dei dati, le aziende devono:
- Verificare che i dati segnalati siano completi e corretti prima dell’invio.
- Nota: qualsiasi riutilizzo dei dati pubblicati deve rispettare le regole sull’informazione del settore pubblico ed essere compatibile con le finalità originarie quando si tratta di dati personali (art. 5, comma 5, Legge 62/2022).
- Prepararsi a spiegare ai professionisti sanitari perché i loro dati devono essere pubblicati, sottolineando che ciò deriva da un obbligo legale e non da un consenso.
Passi pratici per le aziende life sciences
Base giuridica e consenso
È importante sottolineare che, ai sensi del GDPR, il consenso implicito descritto nel Sunshine Act italiano non è considerato valido. L’articolo 7 del GDPR, insieme ai pareri dell’European Data Protection Board (EDPB) e delle Autorità nazionali per la protezione dei dati, chiarisce che il consenso deve essere sempre esplicito, inequivocabile e revocabile. Tuttavia, il Sunshine Act italiano non prevede alcun meccanismo di revoca.
Per le aziende, la base giuridica appropriata per le comunicazioni richieste dal Sunshine Act è l’art. 6(1)(c) GDPR (obbligo legale); per la pubblicazione da parte del Ministero, si applica generalmente l’art. 6(1)(e) GDPR (interesse pubblico/autorità ufficiale).
Ciò conferma perché il ricorso all’obbligo legale, piuttosto che al consenso, rappresenta la base giuridica più adeguata per il reporting previsto dal Sunshine Act italiano. Sul punto si attendono chiarimenti dal Garante per la protezione dei dati personali o dai futuri decreti attuativi.
Conservazione dei dati
L’articolo 5, comma 4, del Sunshine Act stabilisce che i dati pubblicati rimangano accessibili nel database pubblico per cinque anni, prima di essere eliminati. Per le aziende, questa disponibilità quinquennale rappresenta un punto di riferimento, ma la conservazione interna deve rispettare il principio di limitazione della conservazione previsto dal GDPR.
I registri devono essere mantenuti per un periodo sufficiente a dimostrare la conformità e a difendersi da eventuali omissioni o errori di rendicontazione, e in alcuni casi in linea con i termini di prescrizione nazionali, ma non possono essere trattenuti a tempo indeterminato. In determinate circostanze, come la difesa da contestazioni legate a reati di corruzione, può essere giustificata una conservazione più lunga, sempre in coerenza con i termini di prescrizione nazionale.
Rafforzare i controlli di compliance
Per allineare il GDPR agli obblighi di rendicontazione previsti dal Sunshine Act italiano, le aziende dovrebbero:
- Effettuare una mappatura dei dati e un’analisi dei gap: tracciare chiaramente tutti i flussi relativi ai trasferimenti di valore e valutare le pratiche rispetto ai principi GDPR di minimizzazione dei dati, limitazione della finalità ed esattezza.
- Aggiornare le informative privacy per HCP e HCO: garantire che le comunicazioni spieghino l’ambito e le finalità dell’uso dei dati, come richiesto dall’articolo 13 del GDPR.
- Aggiornare la documentazione e assegnare responsabilità: rivedere i Registri delle attività di trattamento (ROPA) per riflettere gli obblighi di reporting del Sunshine Act italiano e designare dipendenti responsabili della gestione e della trasmissione dei dati personali al Ministero della Salute.
Per passare dalla teoria alla pratica, le aziende life sciences dovrebbero adottare un approccio di doppia conformità:
- Aggiornare le informative privacy per HCP e HCO, spiegando gli obblighi di disclosure previsti dal Sunshine Act.
- Mappare i flussi di dati tra sistemi finanziari, medici e di compliance, per garantire l’accuratezza prima della rendicontazione.
- Condurre una DPIA (Valutazione d’impatto sulla protezione dei dati) per dimostrare la responsabilizzazione e valutare i potenziali rischi.
- Stabilire piani di conservazione che allineino i requisiti GDPR con le tempistiche di reporting del Sunshine Act.
- Formare i team interni affinché tutti—dal compliance all’IT—comprendano come il GDPR e la trasparenza si intrecciano.
Uno sguardo al futuro
Per la pubblicazione nel registro previsto dal Sunshine Act, il Ministero della Salute opera come titolare del trattamento. Le aziende restano titolari per la raccolta, la preparazione e la trasmissione dei dati che rendicontano.
Il decreto ministeriale che definirà i requisiti tecnici del registro sarà emanato dopo la consultazione con il Garante per la protezione dei dati personali, l’Agenzia per l’Italia Digitale (AgID) e l’Autorità Nazionale Anticorruzione (ANAC), con particolare attenzione a garantire solide misure tecniche e organizzative di sicurezza. Si prevede inoltre che il Garante fornisca indicazioni sulla base giuridica del trattamento e chiarimenti in merito ai periodi di conservazione appropriati.
Con l’avvicinarsi dell’avvio del registro telematico, le aziende soggette alla normativa dovrebbero lavorare a stretto contatto con i propri Data Protection Officer o consulenti legali, per verificare che i processi interni siano pienamente allineati sia ai requisiti del GDPR sia a quelli del Sunshine Act, in particolare per quanto riguarda la protezione dei dati e la trasparenza.
Author
May Khan guida il team Compliance Services di Vector Health, società SaaS specializzata nella compliance per il settore life sciences. La sua esperienza include il reporting sulla trasparenza a livello globale, la strategia legata al Sunshine Act e il monitoraggio dei rischi relativi agli HCP. In Vector coordina team interfunzionali dedicati all’integrità dei dati, al servizio clienti e all’allineamento normativo.
Vector Health Compliance
Il principale partner in Italia per la conformità al Sunshine Act
Cerchi supporto per la compliance al Sunshine Act?
Hai domande pratiche?
Dai un’occhiata alla nostra sezione Domande Frequenti per risposte chiare su scadenze, obblighi e strategie.