Sanità: dati personali

L’attuazione del c.d. Sunshine Act italiano richiederà una revisione degli adempimenti delle aziende al trattamento dei dati personali

11 ottobre 2023

di Michela BARBAROSSA

Il Sunshine Act e cioè la legge 31 maggio 2022, n. 62(1), ha sancito, come molti sapranno, l’obbligo per alcuni soggetti operanti nel settore farmaceutico di comunicare al Ministero della Salute le transazioni finanziarie e le relazioni di interesse intercorrenti tra le imprese e i soggetti operanti nel settore della salute.

Questa norma ha pertanto ampliato l’ambito dei soggetti interessati da un’attività – quella di Disclosure – già ben nota nel settore pharma per le aziende associate Efpia o Farmindustria e ne ha modificato i contorni.

Saranno pertanto impattate tutte le aziende produttrici di prodotti farmaceutici, che siano o meno parte delle succitate associazioni di categoria, ma anche qualunque soggetto, anche appartenente al Terzo settore (es. Fondazioni, Associazioni), che, “direttamente o nel ruolo di intermediario o di impresa collegata, esercita un’attività diretta alla produzione o all’immissione in commercio di farmaci, strumenti, apparecchiature, beni o servizi, anche non sanitari, ivi compresi i prodotti nutrizionali, commercializzabili nell’ambito della salute umana e veterinaria, ovvero all’organizzazione di convegni e congressi riguardanti i medesimi oggetti”.

Ma chi sono esattamente i soggetti i cui dati (personali) saranno comunicati al Ministero della Salute?

Sono senza dubbio delle persone fisiche, e cioè i “soggetti operanti nel settore della salute” ovvero quei “soggetti appartenenti all’area sanitaria o amministrativa e gli altri soggetti che operano, a qualsiasi titolo, nell’ambito di un’organizzazione sanitaria, pubblica o privata, e che, indipendentemente dall’incarico ricoperto, esercitano responsabilità nella gestione e nell’allocazione delle risorse o intervengono nei processi decisionali in materia di farmaci, dispositivi, tecnologie e altri beni, anche non sanitari, nonché di ricerca, sperimentazione e sponsorizzazione”. Ci si riferisce quindi ad operatori sanitari ma anche a personale amministrativo se si occupa di allocare risorse o ha potere decisionale in materia di farmaci, dispositivi, tecnologie o altri beni (anche non sanitari) o di ricerca, sperimentazione o sponsorizzazione. Questa nozione ovviamente include anche i componenti delle commissioni giudicatrici delle procedure di affidamento dei contratti pubblici.

E sono delle persone giuridiche: infatti anche i dati delle organizzazioni sanitarie dovranno essere comunicati, intendendosi per tali le aziende sanitarie locali, le aziende ospedaliere, le aziende ospedaliere universitarie, gli istituti di ricovero e cura a carattere scientifico e qualunque persona giuridica pubblica o privata che eroga prestazioni sanitarie, dipartimenti universitari, le scuole di specializzazione, gli istituti di ricerca pubblici e privati e le associazioni e società scientifiche del settore della salute, gli ordini professionali delle professioni sanitarie e le associazioni tra operatori sanitari, anche non aventi personalità giuridica, i soggetti pubblici e privati che organizzano attività di educazione continua in medicina nonché le società, le associazioni di pazienti, le fondazioni e gli altri enti istituiti o controllati dagli stessi ovvero che li controllano o ne detengono la proprietà o che svolgono il ruolo di intermediazione per le predette organizzazioni sanitarie.

Le formule utilizzate dal legislatore non risultano chiare e questo era già stato evidenziato dal Garante Privacy che aveva al contrario richiesto che ci fosse una delimitazione più chiara, “selezionando adeguatamente all’interno dell’articolato settore sanitario gli enti e i soggetti per i quali il rischio di abusi, pratiche scorrette e conflitti di interesse sia effettivamente tale da rendere essenziale un controllo diffuso da parte della collettività e, quindi, da giustificare una limitazione della riservatezza degli interessati.” Tale suggerimento non risulta essere stato rispettato.

E che tipo di informazioni dovranno essere comunicate?

La norma stabilisce che dovranno comunicarsi le convenzioni, gli accordi e le erogazioni in denaro, beni, servizi o altre utilità o vantaggi (anche indiretti, come ad esempio la partecipazione a convegni, congressi)effettuate da un’impresa produttrice in favore dei predetti soggetti, ovviamente al superamento di alcune soglie di sbarramento differenti a seconda che si tratti si persona fisica o persona giuridica.

Oltre a questo, dovranno essere comunicati i dati di quegli stessi soggetti operanti nel settore della salute o organizzazioni sanitarie che dovessero detenere azioni o quote di capitale della società oppure obbligazioni dalla stessa emesse (che risultino cioè nel libro soci o nel libro delle obbligazioni) e ciò anche laddove dette azioni o obbligazioni siano state concesse ad titolo gratuito o come corrispettivo, anche parziale di prestazione. Dovranno essere comunicate le informazioni sui predetti soggetti che dovessero aver percepito royalties dalle aziende farmaceutiche per lo sfruttamento di loro opere dell’ingegno.

Tanto premesso vale la pena iniziare alcune considerazioni su come la predetta normativa si inserisca nel quadro della normativa in materia di protezione di dati personali e, più in generale, di compliance.

La prima cosa che immediatamente salta all’occhio che il ministero della salute, nella creazione del disciplinare tecnico del registro pubblico telematico, la piattaforma per l’appunto creata sul sito del ministero della salute, e coerentemente con quanto previsto dall’articolo 3 del Sunshine Act, ha previsto che:

  • ciascuna comunicazione dovrà essere accompagnata da numerose informazioni “ancillari” la cui utilità pare alquanto dubbia per la finalità proposta, ovvero quello della lotta alla corruzione o di una maggiore trasparenza nei rapporti tra questi soggetti.

Ed infatti le tabelle riprodotte nel disciplinare tecnico riportano alcune informazioni, come ad esempio il numero di iscrizione all’albo professionale, l’indirizzo lavorativo, che sembrano ad una prima analisi sicuramente sovrabbondanti rispetto a quelle utili ai fini dell’identificazione del soggetto (nome, cognome e CF, oppure denominazione sociale e P.IVA/CF). Queste previsioni pertanto non risultano rispettose del principio di minimizzazione dei dati previsto dal GDPR, e sembra che abbiano come unico risultato pratico quello di far emergere eventuali difformità tra le informazioni detenute da un’azienda farmaceutica e un’altra, evidenziando il diverso livello di accuratezza da queste applicato nella raccolta delle informazioni.

A ciò si aggiunga che correttamente il Garante Privacy, nel parere fornito allo schema di legge (prima ancora che la stessa venisse approvata):

  • segnalava la criticità sottolineando che si potesse evitare di richiedere informazioni come il codice fiscale posto che l’identificazione del soggetto già avviene mediante il domicilio professionale.
  • Segnalava inoltre che tali informazioni avrebbero dovuto essere decisamente di meno, onde “evitare di sovraccaricare il Registro con informazioni poco significative che rischierebbero di occultare, per eccesso, altre ben più rilevanti, così frustrando la perseguita finalità di trasparenza.”

La superflua (ma insidiosa) presenza di queste informazioni tra quelle indicate dalla legge pone dubbi nella pratica applicativa. Ed infatti, tenuto conto che le aziende sono responsabili (in taluni casi anche penalmente) della veridicità delle informazioni fornite, ci si chiede come le aziende possano verificare le informazioni che ricevono direttamente dai soggetti operanti nel settore della sanità o HCO, oppure da altri operatori del mercato. Il riferimento è evidentemente a quelle società che – a fronte di un esborso economico – mettono a disposizione alle aziende farmaceutiche e non farmaceutiche il proprio database per le finalità di informazione scientifica, promozione, etc.

Ci si chiede in sostanza: laddove il Ministero dovesse riscontrare delle inesattezze nelle informazioni ricevute quali saranno le responsabilità delle aziende (soprattutto se fornite in assoluta buona fede)? 

La domanda è ancor più complessa se si esamina il caso di un operatore sanitario invitato a più congressi nella prima parte dell’anno (semestre 1) che dovesse però superare l’importo di sbarramento per la trasmissione dei dati nel semestre 2 e che in tale semestre si verifichi il trasloco del suo domicilio professionale. Quando e dove si ferma la responsabilità dell’azienda nella accuratezza di tali informazioni? 

Altro profilo che desta certamente dubbi per la tutela della riservatezza delle persone coinvolte è la circostanza che i dati inclusi nel registro saranno pienamente ricercabili attraverso i comuni motori di ricerca. Questo perché la tecnologia prescelta dal legislatore prevede l’utilizzo delle informazioni in open data, onde garantire facilità di accesso, semplicità di consultazione comprensibilità dei dati e omogeneità di presentazione e possibilità di estrazione.

Sul punto ci sarebbe da chiedersi se questa misura non sia sovrabbondante rispetto alle finalità perseguite dalla norma. Ed infatti considerando che le informazioni dovranno rimanere pubblicate nel registro per ben 5 anni, una indicizzazione delle stesse potrebbe offrire una informazione parziale e fuorviante del professionista o dell’organizzazione sanitaria.

Inoltre eventuali omissioni (anche involontarie) da parte delle aziende saranno oggetto di “pubblica gogna” attraverso la pubblicazione delle stesse all’interno dello stesso registro, in una sezione dedicata. Anche questa misura, che potenzialmente è molto lesiva dell’immagine della società, appare decisamente eccessiva, se si considera che – ad esempio – le sentenze penali di condanna delle società sono pubblicate solo se ciò viene ordinato come sanzione accessoria da parte del giudice. 

Venendo agli aspetti più pratici di gestione delle predette informazioni, la norma appare chiarissima nel definire che le aziende saranno tenute a fornire idonea informativa (ex art. 13 o 14 GDPR) ai predetti soggetti specificando la lunga lista di dati personali che saranno trasmessi, la base giuridica, che sarà appunto l’obbligo di legge cui è tenuto il titolare ex art 6, lett. C) GDPR, in combinato disposto con la legge 62 del 2022 e la finalità, cioè l’adempimento agli obblighi di trasparenza. Inoltre dovrà essere chiarito che i dati saranno trasferiti al Ministero per la loro pubblicazione.

Appaiono dubbi altri aspetti. Ad esempio: quale sarà il periodo di conservazione? La legge prevede una pubblicazione per 5 anni sul registro, ma non specifica fino a quando le informazioni dovranno essere detenute dalle aziende. Considerato il possibile contenzioso con gli organi di controllo del Ministero sicuramente il periodo di conservazione dovrà essere più ampio di 5 anni, onde consentire all’azienda di difendere il proprio operato rispetto a questo adempimento.

Per di più, se si guardano i suggerimenti del Garante Privacy alla bozza dello schema legislativo, ormai forniti nel lontano 2018, vi si precisava che “Il termine di pubblicazione obbligatoria dei dati nel Registro dovrebbe essere strettamente commisurato alle finalità perseguite. In tal senso, è opportuno indicare un termine per la pubblicazione su Internet di durata più ridotta rispetto ai cinque anni previsti, allo scadere del quale i dati debbano essere cancellati”. In quella occasione il Garante suggeriva di procedere, così come indicato dal codice deontologico Farmindustria, per massimo 3 anni. Non è chiaro come mai il legislatore non abbia tenuto conto di tale parere.

Il titolare del trattamento sarà l’azienda che ha intrattenuto rapporti con i suddetti soggetti; pertanto nel caso si tratti di impresa produttrice all’estero (che secondo la norma è tenuta alla comunicazione tramite un rappresentante della stessa in Italia) si potrà valutare un accordo di contitolarità (ad esempio se il responsabile sarà un’azienda appartenente al medesimo gruppo), oppure ad una nomina del responsabile esterno del trattamento con l’incarico di trattare i dati personali per quelle finalità. Anche il Ministero della Salute sarà titolare del trattamento. Sul punto sarà interessante vedere se il Ministero deciderà di fornire una autonoma informativa ex art. 14 GDPR a tutti gli interessati, o se deciderà di applicare la disposizione di cui al par. 5 dell’art. 14 GDPR, che esime da questa attività qualora l’interessato già disponga delle informazioni. In questo secondo caso onde evitare che le diverse informative utilizzate dagli operatori del settore possano non essere sufficientemente chiare, ci si aspetta che il Ministero pubblichi una bozza di informativa, ovviamente personalizzabile, contenente tuttavia le informazioni minime essenziali per gli interessati, soprattutto per quanto riguarda l’esercizio dei diritti.

Inoltre, se si considera che nella informativa devono essere indicate le modalità e con quali misure tecniche e organizzative i dati sono trattati, certamente non può rilevarsi che mentre le aziende tenute alla comunicazione possono descrivere i loro processi fino alla trasmissione, dopo questa fase è il Ministero della Salute che ha conoscenza/conoscibilità delle misure tecniche possedute dal proprio sito.

Questo impatta anche rispetto all’onere di effettuare la valutazione del rischio del trattamento: non conoscendo le misure tecniche e organizzative con cui questi dati verranno gestiti dal Ministero queste informazioni non potranno essere presenti nella informativa auto-creata dall’azienda (al limite ci saranno dei richiami ai siti istituzionali). Per tale ragione ci si augura che il ministero emani anche una bozza di informativa da fornire ai soggetti operanti nel settore della salute e alle organizzazioni sanitarie.

Uno dei punti davvero critici ad avviso di chi scrive è la gestione delle richieste degli interessati. Se infatti si vede il dato normativo nel GDPR la società al ricevimento di una richiesta dovrebbe valutare anzitutto in che fase i dati si trovano: se sono già stati trasmessi, dovrà reindirizzare l’interessato al Ministero o dovrà a sua volta farsi portavoce di tale richiesta con il Ministero? Se invece i dati ancora non sono stati trasmessi, dovrà valutare se saranno applicabili delle misure di limitazione dell’esercizio dei diritti e darne pronta comunicazione.

A tutto ciò si aggiunge un’ulteriore e delicata questione

Tenuto conto che in Italia il conflitto di interesse genera sempre una cultura del sospetto, come verrà effettivamente preso questo registro? Giustamente il Garante Privacy evidenziava che “una certa interazione tra interessi pubblici e privati, articolata in relazioni tra imprese produttrici, professionisti e organizzazioni sanitarie è in qualche modo connaturata a questo settore. Di conseguenza, può essere difficoltoso per la collettività distinguere tra iniziative suscettibili di influenzare impropriamente le pratiche degli operatori del settore dalle legittime relazioni utili a stimolare l’innovazione, la formazione, il miglioramento della pratica clinica e l’avanzamento della ricerca.”

In tale contesto, un’indiscriminata pubblicità di tali informazioni potrebbe determinare degli effetti distorsivi sul comportamento degli stessi professionisti, i quali potrebbero essere indotti ad adottare eccessive precauzioni per prevenire anche solo l’apparenza di conflitti di interesse, limitando i propri rapporti con le imprese produttrici a scapito, ad esempio, del loro aggiornamento sulle nuove tecnologie o della loro partecipazione a ricerche cliniche.

Insomma il rischio è – ad avviso di chi scrive – che la suddetta normativa più che portare ad una maggiore trasparenza si tramuti in un boomerang negativo.


Per approfondimenti, consultare i seguenti link e/o riferimenti:

(1)  Legge 31 maggio 2022, n. 62 “Disposizioni in materia di trasparenza dei rapporti tra le imprese produttrici, i soggetti che operano nel settore della salute e le organizzazioni sanitarie”.



Lascia un Commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono segnati con *