IT and data

Investigación clínica y farmacovigilancia: Farmaindustria y la AEPD interpretan la normativa de protección de datos

Publicado el 24th marzo 2022

Las novedades introducidas en el Código de Conducta Regulador del Tratamiento de Datos Personales en el Ámbito de los Ensayos Clínicos y otras Investigaciones Clínicas y de la Farmacovigilancia promovido por Farmaindustria marcan el inicio del recorrido para dotar de seguridad jurídica a un sector de actividad con divergencia de opiniones jurídicas en la Unión Europea en el campo de la protección de datos.

La Agencia Española de Protección de Datos ("AEPD"), en el ejercicio de las funciones que tiene atribuidas por ley, aprobó el 10 de febrero de 2022 el Código de Conducta Regulador del Tratamiento de Datos Personales en el Ámbito de los Ensayos Clínicos y otras Investigaciones Clínicas y de la Farmacovigilancia (el "Código") promovido por la Asociación Nacional Empresarial de la Industria Farmacéutica ("Farmaindustria"), que agrupa a la mayoría de los laboratorios farmacéuticos innovadores establecidos en España.

El Código, como principal instrumento para cumplir con el principio de responsabilidad proactiva regulado en el Reglamento General de Protección de Datos (el "RGPD"), es vinculante para (a) las empresas farmacéuticas (titulares de la autorización de comercialización o sus representantes en España) o investigadoras que se adhieran voluntariamente al Código en su condición de responsables del tratamiento, y (b) las organizaciones de investigación por contrato ("CRO", por sus siglas en inglés) que actúen como encargadas del tratamiento de las empresas identificadas en la letra (a) anterior. Sin necesidad de ser una empresa asociada a Farmaindustria, el mecanismo de adhesión es voluntario para las entidades anteriormente indicadas y se les exige acreditar el cumplimiento de las obligaciones impuestas por el RGPD y la Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales (la "LOPDGDD").

En lo que respecta a su ámbito de aplicación material y territorial, el Código resulta de aplicación a los tratamientos de datos personales desarrollados en España por las entidades adheridas en el ámbito de las investigaciones clínicas (en particular, los ensayos clínicos) y en el cumplimiento de las obligaciones en materia de farmacovigilancia.

Para los tratamientos de datos en el marco de la investigación clínica destacan los siguientes aspectos introducidos en el Código:

  1. la determinación de la posición jurídica de los distintos intervinientes en el tratamiento de los datos personales, estableciendo la condición de responsables del tratamiento independientes de sus respectivos tratamientos al promotor de la investigación y al centro sanitario o investigador principal;
  2. el cumplimiento de obligaciones legales (en particular, las derivadas de la legislación reguladora de las garantías y uso racional de los medicamentos y productos sanitarios) como base jurídica para justificar el tratamiento de datos personales así como razones de interés público en el ámbito de la salud pública y la garantía de elevados niveles de calidad y seguridad de los medicamentos y productos sanitarios y la realización de investigaciones científicas para el tratamiento de datos de salud;
  3. la indicación de no facilitar la información de protección de datos siguiendo el sistema de información por capas, teniendo en cuenta las especiales características del tratamiento y la necesidad de que los participantes reciban información clara y detallada y presten su consentimiento informado para la participación en la investigación clínica;
  4. la utilización de datos personales obtenidos de investigaciones para su uso secundario en futuras investigaciones sin necesidad, como norma general, de recabar el consentimiento de los interesados;
  5. la incorporación de la figura del tercero de confianza, que apoyará al promotor en llevar a cabo el procedimiento de codificación de los datos personales de los participantes en la investigación, dado que la práctica del sector es que el promotor no trate datos personales sin codificar, constituyendo precisamente el tratamiento de datos codificados una medida que refuerza el principio de minimización en el tratamiento de datos personales, y 
  6. la realización de evaluaciones de impacto por cada responsable del tratamiento independiente (centro y promotor), exigiendo que el promotor incluya el análisis del proceso de codificación y alentando que solicite la colaboración del monitor, la CRO o el equipo del investigador principal, entre otros.

Es precisamente en relación al tratamiento de datos codificados donde la responsabilidad, por un lado, del centro o el investigador principal y, por otro, del promotor, difiere en cuanto que el primero tiene la posibilidad de identificar directamente a los participantes en la investigación clínica. Por ello, el contrato que se suscriba entre ambas partes deberá incorporar medidas técnicas y organizativas tendentes a impedir el acceso por parte del promotor a la referida información que permita la identificación de los participantes, así como la responsabilidad del centro (a través del investigador principal) de cumplir con el deber de información en materia de protección de datos, entre otros aspectos.

En lo relativo al tratamiento de datos en el ámbito de la farmacovigilancia, el Código establece como principales novedades:

  1. distintos protocolos para el tratamiento de datos sobre posibles reacciones adversas en función de si se tratan datos identificativos o codificados, quien realiza la notificación y qué canal de notificación se utiliza (haciendo referencia incluso a las redes sociales); y
  2. determina que la base jurídica para el tratamiento de datos personales es el cumplimiento de obligaciones legales vinculadas, en el tratamiento de datos de salud, con el deber de garantizar elevados niveles de calidad y de seguridad de la asistencia sanitaria y de los medicamentos y productos sanitarios.

Asimismo, el Código proporciona una variedad de anexos que pueden servir a las empresas adheridas como referencia para facilitar la información de protección de datos a los interesados, para regular la relación jurídica entre las partes intervinientes o para dar respuesta a las peticiones de ejercicio de derechos, entre otras. No obstante, cabe destacar que algunos de los modelos de cláusulas informativas en materia de farmacovigilancia no mencionan la posibilidad de acudir al organismo de supervisión en caso de controversia (i.e. el Órgano de Gobierno del Código de Conducta), lo que dificulta el procedimiento extrajudicial de resolución de controversias.

El Código también regula un régimen sancionador aplicable a las entidades adheridas en caso de incumplimientos de las disposiciones del Código y que es independiente de las responsabilidades que pueden derivarse de su actuación ante la AEPD.

En definitiva, aunque es indudable que el Código aporta auténtico valor añadido y que contribuye a la adecuada aplicación del RGPD y la LOPDGDD en el ámbito de la investigación en salud, lo que aporta seguridad jurídica en un ámbito que tiene relevancia para el progreso científico y el bienestar de la sociedad, como son los ensayos clínicos y la farmacovigilancia, debemos extremar la precaución en las investigaciones clínicas y las actividades de farmacovigilancia que tienen impacto en otros Estados Miembros de la Unión Europea, ya que la interpretación de ciertos aspectos de protección de datos en este campo no es uniforme por el momento en todo el territorio de la Unión Europea.
 

Seguir

* This article is current as of the date of its publication and does not necessarily reflect the present state of the law or relevant regulation.

Contacte con uno de nuestros expertos

Interested in hearing more from Osborne Clarke?