Una lettura del Sunshine Act italiano con focus sul GDPR
Di May Khan | 11 giugno 2025
Direttore, Vector Health Compliance
Table of content
- La clausola del consenso implicito nel Sunshine Act italiano potrebbe essere in conflitto con i requisiti del GDPR
- Passaggi necessari per essere conformi al GDPR
- Base giuridica per il trattamento dei dati personali
- Periodo di conservazione dei dati
- Obblighi in materia di protezione dei dati per le aziende sanitarie ai fini della compliance
- Mappatura dei dati e analisi dei gap
- Pianificare la conservazione e la cancellazione dei dati
- Fornitura di informative privacy a HCP e HCO
- Aggiornamento della documentazione e assegnazione delle responsabilità
- Redazione di valutazioni d’impatto sulla protezione dei dati (DPIA)
- Conclusione
Author
May Khan guida il team Compliance Services di Vector Health, società SaaS specializzata nella compliance per il settore life sciences. La sua esperienza include il reporting sulla trasparenza a livello globale, la strategia legata al Sunshine Act e il monitoraggio dei rischi relativi agli HCP. In Vector coordina team interfunzionali dedicati all’integrità dei dati, al servizio clienti e all’allineamento normativo.
Vector Health Compliance
Il principale partner in Italia per la conformità al Sunshine Act
Cerchi supporto per la compliance al Sunshine Act?
Hai domande pratiche?
Dai un’occhiata alla nostra sezione Domande Frequenti per risposte chiare su scadenze, obblighi e strategie.
A giugno 2022 è stata approvata in Italia la Legge 62/2022, conosciuta come Sunshine Act italiano. Questa legge richiede maggiore trasparenza sui trasferimenti di valore tra le aziende che operano nel settore life sciences e sanitario e i professionisti della salute (HCP) o le strutture sanitarie (HCO). Il Sunshine Act rafforza il diritto di accesso alle informazioni sui rapporti economici nel settore sanitario. Secondo l’articolo 1 della legge, gli obiettivi principali sono aumentare la trasparenza e prevenire e contrastare la corruzione.
Il Sunshine Act diventerà pienamente operativo quando il Ministero della Salute attiverà l’accesso al registro pubblico “Sanità Trasparente”, che sarà gestito direttamente dal Ministero. Questo registro conterrà informazioni sui trasferimenti di valore tra aziende sanitarie, professionisti della salute (HCP) e strutture sanitarie (HCO), insieme ai dati personali di questi ultimi, come nome, cognome, contatti professionali e numero di iscrizione agli albi.
Di conseguenza, il Sunshine Act italiano solleva importanti dubbi dal punto di vista della protezione dei dati, in particolare per quanto riguarda il rispetto del Regolamento Europeo 679/2018 (GDPR) e del Codice Privacy italiano.
La raccolta, conservazione e diffusione dei dati personali relativi a HCP e HCO da parte del Ministero della Salute, come previsto dalla legge, costituisce un trattamento di dati personali che deve essere effettuato nel rispetto degli obblighi stabiliti dal quadro normativo applicabile.
Per questo motivo, questa analisi si concentrerà sugli obblighi in materia di protezione dei dati che le aziende sanitarie devono rispettare per adeguarsi al Sunshine Act italiano.
La clausola del consenso implicito nel Sunshine Act italiano potrebbe essere in conflitto con i requisiti del GDPR
Il comma 6 dell’articolo 5 del Sunshine Act italiano prevede che la firma di un accordo, l’accettazione di un trasferimento di valore o l’acquisizione di quote o licenze comporti un consenso implicito al trattamento e alla pubblicazione dei dati personali delle parti coinvolte. Tuttavia, questo meccanismo di consenso implicito potrebbe entrare in contrasto con alcuni diritti alla privacy garantiti dal Regolamento Generale sulla Protezione dei Dati (UE) 2016/679 (“GDPR”).
Anche se l’articolo 5 del Sunshine Act richiama esplicitamente i diritti previsti dagli articoli 15, 16, 17, 18, 19 e 21 del GDPR, la previsione del consenso implicito contenuta nel comma 6 potrebbe non essere pienamente compatibile con queste tutele. Ad esempio, il consenso implicito e l’obbligo di pubblicazione potrebbero limitare il diritto alla cancellazione previsto dall’articolo 17 del GDPR.
Passaggi necessari per essere conformi al GDPR
Il comma 6 dell’articolo 5 del Sunshine Act rappresenta uno degli aspetti più rilevanti per valutare la legge dal punto di vista della protezione dei dati personali. Il testo del paragrafo recita:
«Con la sottoscrizione di convenzioni o accordi […] o con l’accettazione di erogazioni […] da parte dei soggetti operanti nel settore della salute e delle strutture sanitarie, nonché con l’acquisizione di quote, titoli e utili derivanti da diritti di proprietà industriale o intellettuale […] si intende prestato il consenso alla diffusione e al trattamento dei dati da parte dei soggetti e delle strutture sopra indicate, per le finalità previste dal presente articolo. Le imprese produttrici sono comunque tenute a fornire un’informativa ai soggetti operanti nel settore della salute e alle strutture sanitarie, specificando che le comunicazioni di cui ai commi precedenti saranno oggetto di pubblicazione sul sito istituzionale del Ministero della Salute […]»
(Traduzione non ufficiale)
Base giuridica per il trattamento dei dati personali
Come previsto dal comma 6 dell’articolo 5, il trasferimento di valore tra aziende e HCP/HCO avviene nell’ambito di un accordo attraverso il quale i dati personali degli interessati vengono raccolti e successivamente comunicati al Ministero della Salute.
Tuttavia, il testo attuale del comma 6 dell’articolo 5 è poco chiaro sulla base giuridica che legittima questo trattamento. Si fa riferimento a un “consenso” dell’interessato al momento della firma dell’accordo.
Tuttavia, il consenso non sembra essere la base giuridica più adatta in questo contesto. Ai sensi dell’articolo 6(1)(c) del GDPR, il trattamento dei dati personali è lecito quando è necessario per adempiere a un obbligo legale al quale è soggetto il titolare del trattamento. Questo obbligo legale è previsto dallo stesso Sunshine Act, che richiede ai titolari di trattamento di comunicare e pubblicare i dati personali di HCP e HCO.
Quindi, secondo il GDPR, il consenso implicito previsto dalla legge non è necessario e, soprattutto, non è valido. L’articolo 7 del GDPR, insieme alle linee guida e ai pareri del Comitato Europeo per la Protezione dei Dati (EDPB) e delle Autorità Garante nazionali, chiarisce che il consenso non può mai essere implicito, ma deve essere un atto chiaro, non ambiguo ed esplicito da parte dell’interessato. Inoltre, il consenso deve poter essere revocato in qualsiasi momento dall’interessato; tuttavia, la legge attuale non prevede un meccanismo per revocarlo.
Pertanto, il riferimento al consenso come base giuridica nel Sunshine Act italiano risulta inappropriato. Si prevede che il Garante per la protezione dei dati personali o eventuali decreti attuativi chiariranno questo aspetto in modo più preciso.
Periodo di conservazione dei dati
Il comma 4 dell’articolo 5 del Sunshine Act italiano prevede che i dati personali pubblicati sul registro pubblico siano consultabili per cinque anni dalla data di pubblicazione e poi cancellati. Anche se questo periodo riguarda il Ministero della Salute, rappresenta un riferimento utile per le aziende nel definire tempi di conservazione proporzionati e adeguati.
Prima di tutto, le aziende del settore life sciences dovrebbero conservare i dati comunicati al Ministero per dimostrare il rispetto degli obblighi di trasparenza previsti dal Sunshine Act e per potersi difendere da eventuali contestazioni per omissioni o dichiarazioni false. Il termine di prescrizione per queste violazioni amministrative è di cinque anni, il che rende questo periodo di conservazione ragionevole.
Tuttavia, in alcune circostanze potrebbe essere necessario un periodo di conservazione più lungo, ad esempio per finalità di difesa in giudizio in caso di accuse legate alla corruzione. In questi casi, la conservazione dei dati dovrebbe essere allineata con i termini di prescrizione previsti dalla normativa nazionale per i reati di corruzione.
Obblighi in materia di protezione dei dati per le aziende sanitarie ai fini della compliance
Mappatura dei dati e analisi dei gap
Le aziende devono effettuare una mappatura completa dei flussi di dati relativi ai trasferimenti di valore, identificando con precisione quali dati personali di operatori sanitari (HCP) e organizzazioni sanitarie (HCO) vengono raccolti, trattati e comunicati. Successivamente, devono valutare le attuali prassi di gestione dei dati rispetto ai requisiti del Sunshine Act e ai principi del GDPR, come minimizzazione dei dati, limitazione delle finalità e accuratezza. Questo processo include l’identificazione di eventuali lacune nelle informative privacy, nelle procedure di consenso e nelle misure di sicurezza da colmare prima dell’inizio della rendicontazione nel registro Sanità Trasparente.
Pianificare la conservazione e la cancellazione dei dati
Secondo il Sunshine Act italiano, i dati personali pubblicati su Sanità Trasparente saranno accessibili al pubblico per cinque anni prima di essere cancellati. Di conseguenza, le aziende dovrebbero adeguare le proprie politiche di conservazione, mantenendo i dati per il tempo necessario a dimostrare la conformità e a difendersi da eventuali contestazioni legali, ma non oltre il tempo strettamente necessario.
Fornitura di informative privacy a HCP e HCO
I titolari del trattamento devono aggiornare le informative privacy per fornire a HCP e HCO informazioni chiare e dettagliate sulla natura, finalità e modalità del trattamento dei dati personali nell’ambito della rendicontazione prevista dal Sunshine Act, garantendo la massima trasparenza in conformità all’articolo 13 del GDPR.
Aggiornamento della documentazione e assegnazione delle responsabilità
Per rispettarre gli obblighi previsti dal Sunshine Act e dal GDPR, le aziende devono aggiornare il Registro delle attività di trattamento (ROPA) per riflettere accuratamente tutte le attività connesse alla comunicazione dei dati personali al Ministero della Salute. Inoltre, ai sensi dell’articolo 29 del GDPR e dell’articolo 30 del Codice Privacy italiano, le organizzazioni dovrebbero designare specifici referenti interni responsabili della raccolta, gestione e trasmissione dei dati. L’assegnazione chiara dei ruoli garantisce accountability e supporta l’adempimento degli obblighi normativi.
Redazione di valutazioni d’impatto sulla protezione dei dati (DPIA)
Data la natura e la sensibilità dei dati coinvolti, è fondamentale redigere una Valutazione d’Impatto sulla Protezione dei Dati (DPIA) per identificare e mitigare i rischi connessi alla raccolta, trasmissione e pubblicazione dei dati personali su Sanità Trasparente. La DPIA deve analizzare rischi quali accessi non autorizzati, inaccuratezza dei dati e impatti sui diritti degli interessati, proponendo misure tecniche e organizzative adeguate per assicurare la conformità al GDPR e tutelare la privacy degli individui.
Conclusione
Nel Sunshine Act, il trattamento e la protezione dei dati personali pubblicati nel registro Sanità Trasparente saranno di esclusiva responsabilità del Ministero della Salute, che agirà in qualità di titolare autonomo del trattamento.
Prima dell’attivazione del registro, il Garante per la protezione dei dati personali, insieme all’Agenzia per l’Italia Digitale (AgID) e all’Autorità Nazionale Anticorruzione (ANAC), valuterà la conformità del sistema, con particolare attenzione all’adeguatezza delle misure di sicurezza tecniche e organizzative adottate. Si prevede inoltre che il Garante fornisca indicazioni sulla corretta base giuridica del trattamento e chiarimenti sui periodi di conservazione più appropriati.
Pertanto, con l’avvicinarsi dell’attivazione del registro telematico, le aziende soggette alla normativa dovrebbero confrontarsi con i propri Responsabili della protezione dei dati (DPO) o consulenti legali, per assicurarsi di rispettare tutti gli obblighi previsti dalla legge, in particolare quelli legati alla protezione dei dati personali, come evidenziato in questa analisi.