La AEPD aprueba el primer código de conducta en la UE sobre datos personales en la investigación clínica

El código sectorial (153 páginas / 1.02MB PDF) ha sido promovido por Farmaindustria (la Asociación Nacional Empresarial de la Industria Farmacéutica) y regula el tratamiento de datos personales en los ámbitos de la investigación clínica y de la farmacovigilancia cuando se realiza en España. Aunque su ámbito de aplicación se limita a España, este código de conducta aspira a ser un referente a nivel de la UE, ya que es el primer código de conducta sectorial aprobado en Europa.

Uno de los principios clave del RGPD es el principio de responsabilidad proactiva del responsable del tratamiento (en inglés, “accountability”). En este contexto, adherirse a códigos de conducta sectoriales puede permitir a las entidades de dicho sector demostrar el cumplimiento de sus obligaciones según el RGPD e incluso atenuar posibles sanciones en caso de incumplimiento.

Este código, como instrumento para reducir la incertidumbre en la interpretación de la normativa de protección de datos, es aplicable a los titulares de autorizaciones de comercialización o a sus representantes en España (empresas farmacéuticas), así como a otros promotores de estudios clínicos con medicamentos, estén o no asociados a Farmaindustria que se adhieran al mismo, y a los Organismos de Investigación por Contrato (CRO) que se adhieran voluntariamente al código.

El ámbito objetivo y territorial de aplicación del código de conducta son las actividades de tratamiento de datos personales realizadas en España en el marco de la investigación clínica en general, y de los ensayos clínicos en particular; así como las relacionadas con el cumplimiento de las obligaciones impuestas por la normativa vigente en materia de farmacovigilancia.

Aplicación en la investigación clínica

La base jurídica para el tratamiento de datos en este ámbito es el cumplimiento de obligaciones legales, sin que sea necesario el consentimiento del sujeto de la investigación para el tratamiento de sus datos, sin perjuicio del consentimiento informado que deba obtenerse para su participación en un ensayo clínico.

El código aclara los roles de los distintos intervinientes en el tratamiento, especificando que el promotor de la investigación y el centro sanitario o investigador principal serán responsables independientes del tratamiento de datos, siendo responsables de las obligaciones derivadas de sus respectivas actividades de tratamiento de datos.

El código regula los supuestos de uso secundario de los datos obtenidos en el marco de una investigación para futuras investigaciones, sin requerir, como norma general, el consentimiento de los participantes en dicha investigación.

El concepto de un “tercero de confianza” se introduce en el código. Éste puede ser designado para llevar a cabo el procedimiento de codificación de los datos personales de los participantes en la investigación, de modo que el promotor no pueda volver a identificarlos solo o con la mera asistencia del investigador, considerando que la práctica de la industria es que el patrocinador no trata datos personales sin que estén codificados.

El código también establece la realización de evaluaciones de impacto de protección de datos por parte de cada responsable del tratamiento independiente (centro y promotor) con carácter previo a la investigación clínica, considerando que la actividad de tratamiento supone un alto riesgo para los derechos y libertades fundamentales de los participantes en la investigación.

Aplicación en la farmacovigilancia

Las compañías farmacéuticas están obligadas a mantener un registro de farmacovigilancia y seguimiento de los acontecimientos adversos, incluidos los datos personales relevantes. En este sentido, al igual que en la investigación clínica, la base jurídica para el tratamiento de datos es el cumplimiento de una obligación legal, vinculada al deber de garantizar altos niveles de calidad y seguridad de la asistencia sanitaria, los medicamentos y los productos sanitarios.

El código mantiene la diferenciación entre los supuestos en los que las empresas farmacéuticas tratan datos personales previamente codificados o no, clarificando las normas aplicables en cada caso.

Se establece un protocolo uniforme de farmacovigilancia, distinguiendo al sujeto que realiza la notificación de acontecimientos adversos y los canales de notificación, incluidas las redes sociales.

Se incluye un protocolo detallado para la gestión y tramitación de las solicitudes de ejercicio de los derechos de acceso, rectificación, supresión o limitación del tratamiento.

Plantillas y sanciones

El código proporciona una serie de anexos con plantillas prácticas para las empresas adheridas. Éstas cubren aspectos como el contenido mínimo para cumplir con ciertos deberes de información, contratos de encargo del tratamiento, registros de actividades del tratamiento y cláusulas entre las diferentes partes de un ensayo clínico.

Asimismo, se establece un régimen sancionador en caso de incumplimiento del código, sin perjuicio e independientemente de las responsabilidades que pudieran derivarse de sus actuaciones ante la AEPD.

Aunque la interpretación de las disposiciones de protección de datos en este ámbito no está armonizada desde la perspectiva de la UE, este código de conducta aprobado por la AEPD en España contribuye a proporcionar seguridad jurídica en la aplicación del RGPD en favor del progreso científico y puede ser el primer paso hacia la consecución de un enfoque uniforme en toda la UE.

Con el fin de apoyar el tratamiento de datos personales en el sector sanitario, considerado como un ámbito de actuación prioritario, la AEPD también ha publicado recientemente un apartado específico en su página web sobre el tratamiento de datos en el ámbito de la salud. El objetivo de este apartado es dar respuesta a las solicitudes dirigidas por representantes del sector sanitario y asociaciones de usuarios en la ausencia de un compendio omnicomprensivo de legislación, criterios, doctrina y jurisprudencia en este ámbito.