Tras unas intensas semanas de trabajo como consecuencia de la aplicación del RGPD, nos hace especial ilusión volver a compartir con tod@s vosotros nuevos contenidos!
Y más aún después de ver como el portal www.pharmatech.es ha publicado uno de nuestros últimos artículos acerca de las novedades que el RGPD puede suponer para el sector farmacéutico.
Os transcribimos el contenido del post:
“La inminente aplicación del Reglamento UE 2016/679 de Datos Personales (en adelante, el “Reglamento”), el próximo 25 de mayo, va a exigir a todos los partícipes y agentes en el sector farmacéutico un esfuerzo notable de adaptación y plantea cuestiones determinantes en aspectos tan relevantes como la forma de recabar el consentimiento y el análisis de los riesgos derivados del tratamiento de los datos personales.
Concretamente, y en lo que se refiere a los tratamientos de datos en el marco de ensayos clínicos e investigación biomédica, dicho Reglamento introduce el concepto de seudonimización, que podría resultar de aplicación a los tratamientos de datos que el laboratorio promotor del ensayo o la compañía responsable de la investigación –y sus entidades colaboradoras- realicen durante la ejecución de la correspondiente investigación o estudio clínico.
Por ello, analizaremos el nuevo escenario jurídico que la introducción de dicho concepto podría conllevar, una vez sea plenamente exigible el nuevo Reglamento, así como el eventual cambio de criterio que tanto la industria farmacéutica como la correspondiente autoridad de control podrían verse obligadas a adoptar en materia de protección de datos personales.
Y es que la aplicación del concepto de seudonimización en las relaciones que regulan el tratamiento de datos personales de pacientes entre el Promotor y el Investigador podría conllevar cambios de indudable trascendencia, que supondrían nuevas obligaciones y responsabilidades para todo aquél Promotor que hasta la fecha haya entendido que no realizaba un tratamiento de datos personales, sino únicamente de datos codificados
El objetivo último es aportar una serie de conclusiones sobre la necesidad o no de modificar el significado otorgado hasta el momento al término dato codificado, analizando si el mismo debe ser substituido por el de dato seudonimizado.
Criterio bajo la actual Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (“LOPD”).
El criterio que hasta la fecha han adoptado tanto Farmaindustria como la Agencia Española de Protección de Datos (“AEPD”) a la hora de interpretar el significado de dato codificado, todo ello bajo el marco normativo de la actual LOPD, se recoge el Código Tipo “Sistema de Autoregulación en materia de protección de datos-investigación clínica y farmacovigilancia”, promovido por Farmaindustria (en adelante, el “Código”), cuya última versión actualizada se encuentra disponible en el sitio web de Farmaindustria e inscrito en el Registro General de Protección de Datos.
Dicho Código diferencia los supuestos en los que el Promotor trata los datos personales de los participantes en el ensayo de aquellos en que el mismo no accede a tales datos sino de forma codificada o disociada, en cuyo caso Farmaindustria entiende que no existe un tratamiento de datos personales de pacientes por parte del Promotor del ensayo o investigación.
En el marco del referido proceso de codificación, el Investigador asignará a cada sujeto un código numérico o alfanumérico según un determinado esquema de aleatorización.
Una vez generado dicho código, el Investigador lo incluirá en el Cuaderno de Recogida de Datos, de forma que el Promotor no pueda identificar al sujeto concreto a través del código a éste asignado.
Según el Código de Farmaindustria, la aplicación de dicho procedimiento conllevaría que el Promotor pueda afirmar que no está tratando datos de carácter personal de los sujetos, sino únicamente datos codificados. Por ende, con relación a dichos tratamientos, al Promotor no le resultaría de aplicación la actual LOPD, ni su normativa de desarrollo.
Esta posición, vigente a día de hoy, ha permitido a la industria trabajar con mayor flexibilidad, al entender que la LOPD no resultaba de aplicación, evitando así la necesidad de cumplir con las exigencias aplicables al del tratamiento de datos personales sensibles. No obstante, dicha postura puede verse alterada a la luz de la regulación prevista en el RGPD y específicamente, por la introducción del concepto de seudonimización.
Criterio del nuevo Reglamento.
Según el nuevo Reglamento, se entenderá por seudonimización “el tratamiento de datos personales de manera tal que ya no puedan atribuirse a un interesado sin utilizar información adicional, siempre que dicha información adicional figure por separado y esté sujeta a medidas técnicas y organizativas destinadas a garantizar que los datos personales no se atribuyan a una persona física identificada o identificable.”
Por ello, podrá entenderse que un dato seudonimizado es todo aquél dato personal sobre el que se haya aplicado un procedimiento de seudonimización que reúna las características antes referidas.
La cuestión radica entonces en analizar si el procedimiento de codificación realizado por el Investigador debería entenderse como un procedimiento de seudonimización, tomando como base la definición incluida en el propio Reglamento.
No puede obviarse que la relación de los datos identificativos de cada paciente y el código de disociación asignado a cada uno de ellos será custodiada por el propio Investigador, de forma que el mismo, a través de su fichero de investigación clínica, podrá en todo momento identificar de forma directa el paciente concreto al que se le ha asignado un determinado código. Y en la práctica, el Promotor dispone de una base de datos que, a pesar de estar codificada, mediante el uso de la lista custodiada por el Investigador podría averiguarse la identidad de cada paciente.
En base al Reglamento, el uso de dicha lista codificada podría constituir la herramienta o información adicional que figura por separado –a disposición del Investigador- a partir de la cual podría reidentificarse al sujeto al que se le había asignado un código concreto incluido en el Cuaderno de Recogida de Datos. Y resultarían aquí de aplicación los conceptos dela reversibilidad o irreversibilidad de los procedimientos de disociación de datos personales y su impacto sobre su calificación.
La aprobación del Reglamento podría conllevar un cambio de criterio sustancial.
No existe certeza en cuanto a la posición que puedan consensuar la industria farmacéutica y la AEPD en el nuevo Código tipo que se promulgue, pero, teniendo en cuenta la similitud entre el procedimiento de codificación bajo la LOPD, y la definición de seudonimización del Reglamento, todo Promotor que en el marco de un ensayo con datos codificados siga considerando, tras la entrada en vigor del Reglamento, que no trata datos personales, podría estar asumiendo un riesgo relevante en materia de protección de datos.
Si por cualquier circunstancia la industria farmacéutica abogase por separarse del concepto de seudonimización introducido por el Reglamento, entendemos que la correspondiente autoridad de control española, se verá obligada a razonar, desde un punto de vista jurídico, si dicha posición cumple con los principios y directrices del Reglamento.
Atendiendo a lo aquí expuesto, entendemos que el Promotor del ensayo, en lo que al cumplimiento del Reglamento se refiere, podría asumir menores riesgos si adopta como posición predeterminada la de considerar que está tratando datos de carácter personal, en particular datos seudonimizados, siguiendo en ese caso un criterio de prudencia en cuanto a los riesgos derivados de una falta de cumplimiento con el Reglamento.
Ámbito regulatorio en el que el Reglamento tendrá mayor incidencia.
El nuevo Reglamento y las posteriores interpretaciones del mismo tendrán una especial incidencia en el ámbito de la farmacovigilancia, así como en el de investigación por parte del sector farmacéutico.
Atendiendo al principio de responsabilidad proactiva introducido precisamente en el Reglamento, los responsables del tratamiento de datos deberán realizar, si todavía no lo han hecho, un análisis del tipo de datos al que tienen acceso y dilucidar el tratamiento al que se someten, así como las medidas que deben aplicar para actuar en consonancia con la nueva regulación europea.
Conforme a lo indicado anteriormente, el sector todavía no cuenta con una guía por parte de la Agencia Española de Protección de Datos o de Farmaindustria que le permita sentenciar si los datos a los que tiene acceso en los mencionados ámbitos deben considerarse, o no, datos personales y, por tanto, al menos al inicio, tendrá que decidir si aplicar una versión más conservadora y cauta de interpretación del nuevo Reglamento para cumplir a partir de la fecha de su aplicación con sus disposiciones, o bien, esperar -si llegan- a las directrices de los organismos españoles que puedan ofrecer pautas específicas para el sector.
Es decir, la industria farmacéutica deberá examinar y decidir las medidas a aplicar en cuanto al tratamiento de datos en áreas tan sensibles como las de ensayos clínicos, investigación biomédica o obligaciones de farmacovigilancia, en las se pueden llegar a archivar historiales clínicos, muestras del paciente o reacciones adversas.
La actual incertidumbre coloca a los laboratorios responsables de tratamiento en una posición de relativa urgencia: no deben demorar la revisión de contratos, hojas de información al paciente y formularios de consentimiento informado, entre otros documentos, para verificar los riesgos que pueden estar asumiendo y las medidas a implementar en el futuro más inmediato, puesto que a partir del próximo 25 de mayo el Reglamento es de plena aplicación.”
