
L’adozione della Legge 62/2022, nota come Sunshine Act (derivata dal simile “Physician Payments Sunshine Act” statunitense) introduce una nuova disciplina in materia di trasparenza delle erogazioni economiche tra le imprese del settore farmaceutico e dei dispositivi medici e gli operatori sanitari. Il fine dichiarato della normativa è la prevenzione dei conflitti di interesse attraverso la pubblicazione obbligatoria delle transazioni economiche tra soggetti privati e professionisti della sanità. Tuttavia, l’assetto normativo del Sunshine Act presenta qualche criticità sotto il profilo della tutela della privacy e della responsabilità amministrativa delle imprese, come disciplinata dal D.lgs. 231/2001.
Il Sunshine Act (artt. 1-3 L. 62/2022) prevede che le imprese che operano nel settore sanitario siano obbligate a comunicare e pubblicare le informazioni relative a donazioni, compensi, contributi e altri benefici economici corrisposti a qualsiasi soggetto operante nel campo della sanità, come professionisti sanitari e organizzazioni sanitarie. La Legge identifica tre categorie di soggetti interessati:
- le imprese attive nell’ambito della salute umana e veterinaria, ossia qualunque soggetto che esercita un’attività diretta alla produzione o all’immissione in commercio di farmaci, strumenti, apparecchiature, beni o servizi commerciabili in tale ambito;
- i soggetti che operano nel settore della salute, esercitando responsabilità nella gestione e nell’allocazione delle risorse o intervenendo nei processi decisionali in materia di farmaci, dispositivi, tecnologie e altri beni; e
- le organizzazioni sanitarie (quali aziende sanitarie, ospedaliere e gli istituti di ricovero e cura).
La legge, inoltre, si applica a tutte le erogazioni superiori a determinate soglie economiche, in particolare, per quanto riguarda le convenzioni ed erogazioni in denaro, beni, servizi o altre utilità effettuate da un’impresa produttrice in favore:
- di un soggetto che opera nel settore della salute, quando abbiano un valore unitario sopra i € 100 o complessivo annuo maggiore di € 1.000;
- di un’organizzazione sanitaria, quando abbiano un valore unitario sopra i € 1.000 o un valore complessivo annuo superiore a € 2.500.
Devono anche essere resi noti eventuali accordi tra le imprese produttrici e i soggetti che operano nel settore della salute o le organizzazioni sanitarie, laddove producano vantaggi diretti o indiretti (art.3). L’obiettivo della legge è garantire una maggiore trasparenza nei rapporti tra industria e sanità, riducendo il rischio di influenze indebite che potrebbero compromettere l’indipendenza delle decisioni cliniche. Ciò si ottiene mediante la pubblicazione obbligatoria dei dati, rendendo tali informazioni accessibili al pubblico tramite il registro gestito dal Ministero della Salute.
L’obbligo di trasmissione e pubblicazione dei dati impone alle imprese di gestire e divulgare informazioni personali che riguardano gli operatori sanitari, e ciò solleva importanti implicazioni legate alla tutela della privacy e al rispetto del Regolamento (UE) 2016/679 (GDPR). Secondo il Sunshine Act, la base giuridica per la pubblicazione delle informazioni personali relative agli operatori sanitari è il consenso (che si intende prestato[1]) da parte degli stessi, basato sull’idea che l’accettazione di benefici economici implichi tacitamente il consenso alla pubblicazione di tali dati. Tuttavia, questa interpretazione è problematica in relazione a quanto stabilito dal GDPR, in particolare l’art. 4, co.11, che definisce il consenso come libero, specifico, informato e inequivocabile. Pertanto, il meccanismo di consenso presunto previsto dal Sunshine Act rischia di violare tali requisiti, in quanto non garantisce una scelta realmente libera da parte degli operatori sanitari. Il consenso deve infatti essere revocabile e basato su un’espressione di volontà chiara e attiva. Alla luce di ciò, la base giuridica più appropriata per la pubblicazione delle informazioni ai sensi del GDPR dovrebbe essere l’adempimento di un obbligo legale (art. 6, par. 1, lett. c GDPR), poiché il trattamento dei dati è previsto da una norma di legge. Inoltre, le aziende devono garantire che il trattamento dei dati personali sia conforme ai principi di minimizzazione e proporzionalità, motivo per il quale è fondamentale l’adozione di misure tecniche e organizzative adeguate e, se necessario, la conduzione di una valutazione d’impatto sulla protezione dei dati (DPIA, art. 35 GDPR) per valutare i rischi legati alla pubblicazione delle informazioni relative agli operatori sanitari.
Il Sunshine Act ha anche rilevanti implicazioni per la responsabilità amministrativa delle imprese, come disciplinata dal D.lgs. 231/2001. Il decreto prevede la responsabilità delle persone giuridiche per determinati reati commessi nell’interesse o a vantaggio dell’impresa dai propri dirigenti o dipendenti. Il regime di trasparenza imposto dal Sunshine Act può fungere anche da strumento di prevenzione per alcuni reati contemplati dal D.lgs. 231, in particolare quelli di corruzione privata (art. 2635 c.c.) e corruzione nei confronti della Pubblica Amministrazione (artt. 318-322 c.p.). La pubblicazione delle erogazioni economiche rende infatti più difficile occultare compensi o benefici illeciti, riducendo così il rischio di pratiche corruttive.
Tuttavia, per evitare rischi sanzionatori, le imprese devono integrare nei propri Modelli di Organizzazione, Gestione e Controllo (MOG) le misure necessarie a garantire il rispetto delle disposizioni del Sunshine Act. In tale circostanza, l’Organismo di Vigilanza (OdV) assume un ruolo cruciale: dovrà vigilare affinché le erogazioni pubblicate siano conformi alle norme sia interne sia esterne, evitando che le violazioni di tali disposizioni possano dare origine a reati presupposto ai sensi del D.lgs. 231.
Benché il Sunshine Act rappresenti il tanto atteso obbligo di trasparenza per il settore sanitario, presenta alcune criticità operative legate agli oneri di conformità imposti alle imprese, soprattutto in materia di privacy. La gestione e la pubblicazione dei dati personali degli operatori sanitari richiedono infatti l’adozione di misure di sicurezza adeguate (art. 32 GDPR), per evitare violazioni della normativa privacy che possono comportare gravi sanzioni. Tuttavia, il Sunshine Act può anche rappresentare un’opportunità per migliorare la compliance aziendale. L’adozione di procedure trasparenti e di un robusto sistema di controllo interno può rafforzare la corporate governance, promuovendo una maggiore responsabilità all’interno delle organizzazioni, oltre che minimizzando rischi legati a conflitti di interesse e pratiche corruttive. Un sistema di trasparenza efficace, se correttamente implementato, può anche migliorare la reputazione dell’impresa e la fiducia nei confronti degli stakeholders, sia pubblici che privati.
[1] Art. 5, l. 62/2022: «Con la stipulazione delle convenzioni o degli accordi, di cui rispettivamente ai commi 1 e 2 dell’articolo 3, ovvero con l’accettazione delle erogazioni, di cui al medesimo comma 1 dell’articolo 3, da parte dei soggetti che operano nel settore della salute e delle organizzazioni sanitarie, nonché con l’acquisizione delle partecipazioni azionarie, dei titoli obbligazionari e dei proventi derivanti da diritti di proprietà industriale o intellettuale, di cui all’articolo 4, comma 1, s’intende prestato il consenso alla pubblicità e al trattamento dei dati da parte dei predetti soggetti e organizzazioni, per le finalità di cui al presente articolo. Le imprese produttrici sono comunque tenute a fornire un’informativa ai soggetti che operano nel settore della salute e alle organizzazioni sanitarie, specificando che le comunicazioni di cui ai commi precedenti sono oggetto di pubblicazione nel sito internet istituzionale del Ministero della salute. Sono fatti salvi i diritti degli interessati di cui agli articoli 15, 16, 17, 18, 19 e 21 del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, nonché le forme di tutela di natura giurisdizionale e amministrativa ivi previste».