Studio Legale
 
Sunshine Act – Legge 31 maggio 2022 n. 62: gli obblighi per le imprese ed i riflessi sui Modelli di organizzazione e gestione ex D.Lgs. n. 231/2001 e sulla GDPR Compliance

Sunshine Act – Legge 31 maggio 2022 n. 62: gli obblighi per le imprese ed i riflessi sui Modelli di organizzazione e gestione ex D.Lgs. n. 231/2001 e sulla GDPR Compliance

Condividi
Tempo di lettura:15 Minuti, 34 Secondi

La Legge 31 maggio 2022, n. 62 – il cosiddetto Sunshine Act italiano – ha introdotto una serie di obblighi di trasparenza per le imprese che operano nel settore sanitario, che integrano e ampliano a livello legislativo le regole già contenute nei codici etici delle associazioni di categoria (Farmindustria e Assobiomedica) ed in quelli di derivazione europea (Codice Etico MedTech Europe).

L’art. 1, comma 2, sancisce, infatti, il principio secondo cui “Le disposizioni della presente legge, per finalità di trasparenza nonché di prevenzione e contrasto della corruzione e del degrado dell’azione amministrativa, garantiscono il diritto alla conoscenza dei rapporti, aventi rilevanza economica o di vantaggio, intercorrenti tra le imprese produttrici di farmaci, strumenti, apparecchiature, beni e servizi, anche non sanitari, e i soggetti che operano nel settore della salute o le organizzazioni sanitarie“.

A quali soggetti si applica il Sunshine Act

L’art. 2 contiene le definizioni rilevanti per individuare i soggetti obbligati dal lato attivo e passivo dei rapporti.

Da un lato, vi sono le imprese produttrici, definite come “qualunque soggetto, anche appartenente al Terzo settore, che, direttamente o nel ruolo di intermediario o di impresa collegata, esercita un’attività diretta alla produzione o all’immissione in commercio di farmaci, strumenti, apparecchiature, beni o servizi, anche non sanitari, ivi compresi i prodotti nutrizionali, commercializzabili nell’ambito della salute umana e veterinaria, ovvero all’organizzazione di convegni e congressi riguardanti i medesimi oggetti“.
Invece, dall’altro lato del rapporto ci sono:
a – i “soggetti che operano nel settore della salute“, definiti come “i soggetti appartenenti all’area sanitaria o amministrativa e gli altri soggetti che operano, a qualsiasi titolo, nell’ambito di un’organizzazione sanitaria, pubblica o privata, e che, indipendentemente dall’incarico ricoperto, esercitano responsabilità nella gestione e nell’allocazione delle risorse o intervengono nei processi decisionali in materia di farmaci, dispositivi, tecnologie e altri beni, anche non sanitari, nonché di ricerca, sperimentazione e sponsorizzazione. Sono equiparati ai soggetti che operano nel settore della salute i professionisti iscritti nell’Albo nazionale obbligatorio dei componenti delle commissioni giudicatrici nelle procedure di affidamento dei contratti pubblici, di cui all’articolo 78 del codice di cui al decreto legislativo 18 aprile 2016, n. 50, gestito dall’Autorità nazionale anticorruzione, e selezionabili per le procedure ad evidenza pubblica per l’acquisto e la produzione di beni e servizi nel settore sanitario“;
b – le “organizzazione sanitarie”, definite come “le aziende sanitarie locali, le aziende ospedaliere, le aziende ospedaliere universitarie, gli istituti di ricovero e cura a carattere scientifico e qualunque persona giuridica pubblica o privata che eroga prestazioni sanitarie, i dipartimenti universitari, le scuole di specializzazione, gli istituti di ricerca pubblici e privati e le associazioni e società scientifiche del settore della salute, gli ordini professionali delle professioni sanitarie e le associazioni tra operatori sanitari, anche non aventi personalità giuridica, i soggetti pubblici e privati che organizzano attività di educazione continua in medicina nonché le società, le associazioni di pazienti, le fondazioni e gli altri enti istituiti o controllati dai soggetti di cui alla presente lettera ovvero che li controllano o ne detengono la proprietà o che svolgono il ruolo di intermediazione per le predette organizzazioni sanitarie“.
Si tratta di nozioni talmente ampie da coprire tutta la gamma dei rapporti di collaborazione e sponsorizzazione che tradizionalmente vengono impiegati dalle imprese produttrici nell’ambito della propria attività.

Quali obblighi di segnalazione e trasparenza prevede il Sunshine Act

L’art. 3 contiene gli obblighi di segnalazione dei rapporti tra i soggetti menzionati, che sono estesi sino ad importi modesti e, dunque, di applicazione particolarmente estesa, per non dire totalitaria.
Esso, infatti, prevede che:
1.    Sono soggette a pubblicità secondo le disposizioni del presente articolo le convenzioni e le erogazioni in denaro, beni, servizi o altre utilità effettuate da un’impresa produttrice in favore:

a)  di un soggetto che opera nel settore della salute, quando abbiano un valore unitario maggiore di 100 euro o un valore complessivo annuo maggiore di 1.000 euro;

b)  di un’organizzazione sanitaria, quando abbiano un valore unitario maggiore di 1.000 euro o un valore complessivo annuo maggiore di 2.500 euro.

2.    Sono altresì soggetti a pubblicità gli accordi tra le imprese produttrici e i soggetti che operano nel settore della salute o le organizzazioni sanitarie, che producono vantaggi diretti o indiretticonsistenti nella partecipazione a convegni, eventi formativi, comitati, commissioni, organi consultivi o comitati scientifici ovvero nella costituzione di rapporti di consulenza, docenza o ricerca.

3.    La pubblicità delle erogazioni, delle convenzioni e degli accordi di cui ai commi 1 e 2 del presente articolo è effettuata a cura dell’impresa produttrice mediante comunicazione dei dati relativi all’erogazione, alla convenzione o all’accordo, da inserire nel registro pubblico telematico istituito ai sensi dell’articolo 5. La comunicazione di cui al presente comma è trasmessa in formato elettronico secondo le modalità stabilite dal decreto del Ministro della salute di cui all’articolo 5, comma 7. Qualora l’impresa produttrice abbia sede all’estero, l’adempimento può essere eseguito dal rappresentante della stessa in Italia.

4.    La comunicazione di cui al comma 3 indica, per ciascuna erogazione, convenzione o accordo:

a)  i seguenti dati identificativi del beneficiario dell’erogazione o della controparte della convenzione o dell’accordo:

1)  il cognome e il nome, il domicilio professionale e la qualifica, qualora il beneficiario o la controparte sia una persona fisica;

2)  la ragione sociale, la sede e la natura dell’attività, qualora il beneficiario o la controparte sia una persona giuridica;

b)  il codice fiscale o la partita dell’imposta sul valore aggiunto (IVA) del beneficiario o della controparte;

c)  la data dell’erogazione o il periodo di riferimento della convenzione o dell’accordo;

d)  la natura dell’erogazione o della convenzione o dell’accordo;

e)  l’importo o il valore dell’erogazione ovvero la remunerazione della convenzione o dell’accordo; nel caso di beni, servizi o altre utilità, è indicato il valore di mercato;

f)  la causa dell’erogazione, della convenzione o dell’accordo;

g)  il soggetto, identificato mediante i dati di cui alle lettere a) e b), che, in qualità di intermediario, abbia definito le condizioni dell’erogazione o i termini della convenzione o dell’accordo o, comunque, abbia intrattenuto i rapporti con il beneficiario o la controparte per conto dell’impresa produttrice, anche qualora si tratti di un dipendente dell’impresa medesima;

h)  il numero di iscrizione del beneficiario o della controparte al proprio ordine professionale.

5.    La comunicazione prevista dal comma 3 è eseguita, per le erogazioni effettuate e gli accordi e le convenzioni instaurati in ciascun semestre dell’anno, entro la conclusione del semestre successivo. In caso di superamento dei limiti annui di valore indicati al comma 1 nel corso dell’anno, la comunicazione è eseguita entro il semestre successivo a quello nel quale è intervenuto il superamento“.

Vi sono, inoltre, degli obblighi di trasparenza previsti dall’art. 4 anche nei confronti dei soggetti che operano nel settore della salute e delle organizzazioni sanitarie per i quali ricorra una delle seguenti condizioni:

a)  siano titolari di azioni o di quote del capitale della società ovvero di obbligazioni dalla stessa emesse, iscritti per l’anno precedente, rispettivamente, nel libro dei soci o nel libro delle obbligazioni;

b)  abbiano percepito dalla società, nell’anno precedente, corrispettivi per la concessione di licenze per l’utilizzazione economica di diritti di proprietà industriale o intellettuale.


Sunshine Act – Il Registro Telematico Sanità Trasparente


I dati di cui agli artt. 3 e 4 della Legge dovranno confluire in un registro pubblico telematico denominato “Sanità trasparente”, che dovrà essere istituito entro 6 mesi dall’entrata in vigore della legge (dunque, entro il 26 dicembre 2022). In ogni caso, la data di inizio del funzionamento del registro sarà pubblicata con avviso in Gazzetta Ufficiale.

Ai sensi dell’art. 9 della legge, gli obblighi di comunicazione previsti dall’articolo 3 si applicano a decorrere dal secondo semestre successivo a quello in corso alla data di pubblicazione dell’avviso di cui sopra.

Invece, gli obblighi di comunicazione previsti dall’articolo 4 si applicano a decorrere dal secondo anno successivo a quello in corso alla data di pubblicazione dell’avviso.

Le Sanzioni previste dal Sunshine Act

L’art. 6 prevede le sanzioni pecuniarie di carattere amministrativo (Lg. n. 689/1981), che sono particolarmente incisive:

a – all’impresa produttrice che omette di eseguire la comunicazione telematica di cui all’articolo 3, nel termine ivi previsto, si applica, per ciascuna comunicazione omessa, la sanzione amministrativa pecuniaria del pagamento di una somma di 1.000 euro aumentata di venti volte l’importo dell’erogazione alla quale si riferisce l’omissione;

b – all’impresa produttrice che omette di trasmettere la comunicazione di cui all’articolo 4, comma 1, nel termine ivi indicato, ovvero omette, ricorrendone i presupposti, l’indicazione di cui al comma 3 del medesimo articolo, si applica la sanzione amministrativa pecuniaria del pagamento di una somma da 5.000 a 50.000 euro.

c – nel caso in cui l’impresa produttrice fornisca informazioni incomplete nelle comunicazioni di cui agli articoli 3 e 4, le stesse devono essere integrate entro il termine di novanta giorni. Nel caso in cui l’integrazione non venga effettuata nel termine stabilito, si applicano le sanzioni previste, rispettivamente, alle precedenti lettere a) e b)

d – salvo che il fatto costituisca reato, all’impresa produttrice che fornisce notizie false nelle comunicazioni di cui agli articoli 3 e 4 si applica la sanzione amministrativa pecuniaria del pagamento di una somma da 5.000 a 100.000 euro.  

Non è per il momento prevista la responsabilità ai sensi del D.Lgs. n. 231/2001, che rimane confinata alle ipotesi di compimento dei reati presupposto, che la normativa in esame è tesa a prevenire, quali quelli legati a fenomeni di corruzione.

Sarà dunque opportuno integrare anche le procedure interne previste per il D.Lgs. n. 231/2001 con misure che recepiscano lo spirito e gli obblighi della normativa, che possono essere misure con finalità di prevenzione degli illeciti sanzionati ai sensi del D.Lgs. n. 231/2001.

Tra l’altro, gli atti con i quali vengono irrogate le sanzioni saranno anche pubblicati in un’apposita sezione del registro pubblico telematico e, dunque, il sistema delle sanzioni appare caratterizzato da un ulteriore effetto dissuasivo legato al possibile danno reputazionale.

Non sono comunque previsti nel testo di legge sanzioni a livello di impossibilità di contrattare con la PA, che tuttavia, sono presenti nel D.Lgs., n. 231/2001 in caso di compimento dei relativi reati presupposto.


L’adeguamento dei Modelli di Organizzazione e Gestione ex D.Lgs. n. 231/2001 al Sunshine Act

In relazione a questi adempimenti, sarà necessario rivedere le procedure interne ed il Modello di Organizzazione e Gestione ex D.Lgs. n. 231/2001, per normare e regolare almeno:
a – i flussi interni di assunzione e gestione dei dati dai soggetti interessati (e, dal punto di vista della GDPR Compliance, le regole per la consegna agli stessi dell’informativa privacy agl iinteressati, sulla quale si veda oltre);
b – gli incaricati alla predisposizione ed all’invio delle comunicazioni periodiche dei dati raccolti.

Logicamente, le procedure interne già dovrebbero prevedere una serie di obblighi per soddisfare le regole di comportamento già previste dai Codici Etici di categoria (Farmindustria, Assobiomedica, Codice Etico MedTech Europe), ma se l’organizzazione aziendale ancora non si fosse adeguata, occorrerà intervenire anche sulle regole di condotta da tenere nei confronti degli operatori e delle organizzazioni sanitarie in occasione della nascita e dello sviluppo dei rapporti rilevanti con gli operatori e le organizzazioni sanitarie.

In altri termini, il Modello di Organizzazione e Gestione Aziendale dovrà prevedere delle procedure ed una modulistica che consentano di regolare in conformità alla legge ed ai Codici Etici ogni aspetto delle convenzioni , erogazioni (in denaro, beni, servizi o altre utilità), nonché degli accordi che producono vantaggi diretti o indiretti (es. partecipazione a convegni, eventi formativi, comitati, commissioni, organi consultivi o comitati scientifici ovvero nella costituzione di rapporti di consulenza, docenza o ricerca).

Inoltre, in relazione agli obblighi di trasparenza e segnalazione previsti dall’art. 4, i Modelli aziendali dovranno prevedere specifici vincoli – già in fase assuntiva – di eventuali rapporti di partecipazione al capitale sociale e dei diritti di sfruttamento di licenze o diritti di proprietà industriale o intellettuale.

Il Sunshine Act prevede, infine, la possibilità di segnalare le violazioni della normativa con le medesime tutele accordate dalla legge n. 179/2017 (cosiddettp “Whistleblowing”). Si tratta di un ulteriore aspetto da tenere in considerazione ai fini dell’aggiornamento dei modelli di organizzazione e gestione aziendali ex D.Lgs. n. 231/2001, che dovranno essere conformi anche alle disposizioni del Sunshine Act.



Sunshine Act e GDPR Compliance (Informativa agli interessati, consenso, misure di sicurezza)


Un ulteriore aspetto da valutare nell’adeguamento dell’organizzazione aziendale al Sunshine Act è quello legato alla GDPR Compliance.

Infatti, dal punto di vista del trattamento dei dati personali, vengono in rilievo due norme contenute nell’art. 5.

La prima norma relativa all’assetto privacy è contenuta nell’art. 5, co. 6 della legge, che dispone:

Con la stipulazione delle convenzioni o degli accordi, di cui rispettivamente ai commi 1 e 2 dell’articolo 3, ovvero con l’accettazione delle erogazioni, di cui al medesimo comma 1 dell’articolo 3, da parte dei soggetti che operano nel settore della salute e delle organizzazioni sanitarie, nonché con l’acquisizione delle partecipazioni azionarie, dei titoli obbligazionari e dei proventi derivanti da diritti di proprietà industriale o intellettuale, di cui all’articolo 4, comma 1, s’intende prestato il consenso alla pubblicità e al trattamento dei dati da parte dei predetti soggetti e organizzazioni, per le finalità di cui al presente articolo. Le imprese produttrici sono comunque tenute a fornire un’informativa ai soggetti che operano nel settore della salute e alle organizzazioni sanitarie, specificando che le comunicazioni di cui ai commi precedenti sono oggetto di pubblicazione nel sito internet istituzionale del Ministero della salute. Sono fatti salvi i diritti degli interessati di cui agli articoli 15, 16, 17, 18, 19 e 21 del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, nonché le forme di tutela di natura giurisdizionale e amministrativa ivi previste“.

La formulazione della norma è evidentemente imprecisa.

Infatti, il trattamento dei dati personali degli interessati – se effettuato sulla base dell’obbligo di legge imposto dal Sunshine Act – è comunque legittimo e non richiede l’acquisizione del consenso degli interessati, secondo quanto previsto dall’art. 6, paragrafo 1, lettera c) del GDPR.

Dunque, a rigore, non vi è alcuna necessità che la legge precisi che con la stipulazione degli accordi e delle convenzioni si intende prestato il consenso al trattamento ed alla pubblicazione dei dati personali.

Ad ogni modo, la norma va interpretata nel senso che tale trattamento è legittimo, beninteso sintanto che rimanga confinato alle finalità previste dalla legge e che i dati siano trattati con modalità lecite ed adottando le necessarie ed adeguate misure di sicurezza, tecniche ed organizzative.

La seconda norma relativa al trattamento dei dati è contenuta nell’art. 5, co. 4 e prevede che le comunicazioni pubblicate ai sensi del presente articolo sono consultabili per cinque anni dalla data della pubblicazione. Decorso tale termine esse sono cancellate dal registro pubblico telematico.
Fermo restando che sul punto sarà necessario attendere il pronunciamento del Garante Privacy sulla configurazione del Registro, dal punto di vista interno ed organizzativo, bisognerà valutare la congruità del periodo di conservazione dei dati personali necessari alle comunicazioni.

A prima vista, il termine di conservazione quiquennale appare coordinato con quello di prescrizione dell’illecito amministrativo.  


Infatti, la conservazione dei dati utilizzati per effettuare le comunicazioni al Registro pubblico serve all’azienda anche per dimostrare di non aver omesso la comunicazione di alcune posizioni (dati completi), ovvero di aver comunicato dati veritieri.

Tuttavia, questi dati potrebbero essere di supporto in caso di contestazione di illeciti legati ad eventi di corruzione (con termine prescrizionale potenzialmente superiore in base ai casi che si possono presentare) e, dunque, una conservazione per un periodo maggiore potrebbe rendersi opportuna/ necessaria.  

Alla luce delle considerazioni sopra svolte, sarà necessario strutturare ed organizzare l’intero processo di gestione dei dati personali da comunicare al Registro, a partire dall’elaborazione dell’informativa, per finire con l’integrazione del Registro dei Trattamenti e con l’individuazione delle relative misure di sicurezza tecniche e organizzative.

Inoltre, sarà necessario rivedere l’organigramma privacy interno, al fine di predisporre le lettere di incarico per il personale che tratterà questa tipologia di dati e di individuare i soggetti deputati a istruire e dare riscontro alle eventuali richieste degli interessati, nonché a reagire ad eventuali data breach.

In conclusione, l’approvazione del Sunshine Act richiederà un approfondito esame dei processi aziendali da parte del management, che potrà trovare supporto negli organi aziendali deputati all’organizzazione ed alla compliance, quali ad esempio l’Organismo di Vigilanza 231 ed il DPO.

Per ulteriori informazioni o preventivi per l’adeguamento dell’azienda al Sunshine Act, potrete contattarci compilando il modulo sottostante

    I tuoi dati saranno trattati esclusivamente per rispondere alla tua richiesta, nel rispetto del GDPR e della nostra Privacy Policy

    Avv. Emanuele Nati

    Responsabile Protezione Dati
    Condividi

    Lascia un commento

    Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *