El Reglamento General de Protección de Datos (RGPD) incita a las asociaciones a redactar e implementar códigos internos que faciliten la aplicación de dicho Reglamento, estableciendo las obligaciones y responsabilidades de cada parte implicada en el tratamiento de datos personales. En este sentido, la Agencia Española de Protección de Datos (AEPD) ha aprobado recientemente el primer código de conducta sectorial en materia de protección de datos, que, como no podía ser de otra forma, debido a la relevancia de los datos tratados, como son los datos relacionados con la salud, es el Código de Conducta elaborado por FarmaIndustria.
La importancia de la elaboración de códigos sectoriales, de acuerdo con el RGPD, viene dada por la necesidad de cumplir con uno de sus principios básicos, regulado en el artículo 5 del RGPD, que es el principio de “Accountability” o responsabilidad proactiva del responsable del tratamiento de datos. Establece el RGPD que adherirse a códigos de conducta puede (i) favorecer a la entidad adherida de cara a demostrar su interés o voluntad en el cumplimiento con la norma, (ii) ofrecer garantías suficientes para el interesado del cumplimiento del RGPD (iii) e incluso atenuar posibles sanciones en caso de incumplimiento.
Este Código de Conducta que ha sido aprobado por la AEPD es de aplicación a cualquier empresa farmacéutica, así como a empresas que realicen investigación, estén o no asociadas a FarmaIndustria y también a las “Clinical Research Organizations” (CRO) que se comprometan a cumplir el mismo, es decir, que se adhieran voluntariamente al Código de Conducta. La adhesión al Código de Conducta favorece a las entidades adheridas, ya que éstas serán provistas de protocolos de actuación ante diferentes escenarios, y, al mismo tiempo, los titulares de los datos personales tratados tendrán las máximas garantías respecto a la protección de tales datos.
El Código de Conducta en cuestión está dividido en tres partes: (i) disposiciones generales, (ii) protocolo de actuación en ensayos clínicos y (iii) protocolo de actuación en Farmacovigilancia. Las principales inclusiones en el Código de Conducta, resumidamente, son las siguientes:
- Se regula la codificación de los datos personales para el tratamiento que realizan los promotores de los ensayos;
- Se establece como base legitimadora del tratamiento de datos personales tanto para los ensayos clínicos como para la Farmacovigilancia el cumplimiento de una obligación legal. En el caso de los ensayos clínicos aplican las obligaciones legales impuestas para garantizar el elevado nivel de calidad y seguridad del medicamento y en el caso de la Farmacovigilancia aplican las normas de la Unión Europea que establecen que la Farmacovigilancia, como salvaguarda de la salud pública, constituye un interés público. (más adelante se detallan las implicaciones de este punto;
- Se clarifican los roles de los distintos intervinientes en el tratamiento de datos (a saber, el rol del promotor, del centro sanitario, del investigador principal, etc.);
- Se diferencia, en materia de Farmacovigilancia, el supuesto en que las empresas farmacéuticas traten los datos previamente codificados de aquellos supuestos en que no existe codificación previa; y
- Se recoge la figura del “tercero de confianza” quien será responsable de la codificación de los datos personales y que actúa en calidad de encargado del tratamiento de los datos.
Una vez visto el resumen del Código de Conducta, vamos a detallar las distintas partes del mismo:
1. Disposiciones generales
1.1 Objeto y ámbito de aplicación
El Código de Conducta (i) aplica a las entidades adheridas, desde la fecha en que se les notifique la aceptación de su adhesión por parte del órgano de gobierno del Código de Conducta, (ii) en relación al tratamiento de datos personales de los sujetos de ensayos clínicos, pacientes y profesionales sanitarios que se lleve a cabo en España, con ocasión de una investigación clínica o en el cumplimiento de las obligaciones de Farmacovigilancia impuestas en la normativa reguladora de los medicamentos.
1.2 Órgano de gobierno
El Órgano de Gobierno del Código de Conducta es el organismo interno designado por Farmaindustria encargado de velar por el cumplimiento del Código de Conducta. Está compuesto por tres miembros nombrados por un periodo de cuatro años.
1.3 Infracciones y sanciones
El Código prevé que las infracciones puedan ser leves, graves o muy graves y las sanciones son, respectivamente, amonestación por escrito, suspensión temporal de la adhesión al Código de Conducta hasta la subsanación de la infracción y suspensión de 1 a 3 años de la adhesión al Código de Conducta hasta la subsanación de la infracción y publicación de la sanción.
2. Protocolo de actuación en ensayos clínicos
La principal novedad es que la base legitimadora del tratamiento de datos personales en un ensayo clínico es el cumplimiento de una obligación legal y no el consentimiento del interesado. Esto es de gran relevancia ya que no es necesario obtener el consentimiento del interesado, sino únicamente informarle sobre el tratamiento de sus datos. Asimismo, se limita el ejercicio de los derechos ARCO+ del interesado en tanto en cuanto no puede, entre otros, oponerse al tratamiento de sus datos personales una vez éstos hayan sido ya recabados.
En relación a la información que se debe proporcionar al interesado ésta deberá ser diferenciada. En primer lugar, se le aportará la información relativa al ensayo clínico y en segundo lugar la relativa al tratamiento de sus datos personales.
El Código de Conducta establece la obligación de elaboración de una evaluación de impacto de la protección de datos, que deberá realizar cada responsable del tratamiento, debido al riesgo que, para el interesado, supone el tratamiento de sus datos médicos. El responsable del tratamiento podrá hacer una evaluación que englobe todas sus investigaciones o una individualizada por investigación.
El Código de Conducta establece también ciertas indicaciones técnicas en materia de medidas de seguridad y brechas de seguridad. Uno de los aspectos más relevantes relativos a la seguridad provista a los interesados es la obligación de codificar los datos personales una vez obtenidos, de cara a que el promotor no tenga acceso a los mismos. De esta forma el promotor no podrá identificar a los interesados, siendo el centro o, en su caso, el investigador principal, el responsable del tratamiento de dichos datos. Cabe indicar que el promotor igualmente actúa en calidad de responsable del tratamiento ya que es quien ha elaborado los perfiles ciegos de los participantes, pese a que tiene prohibido participar en la recogida de datos personales.
La labor de codificación la puede hacer tanto el investigador principal como el tercero de confianza al que ya hemos aludido.
Por último, los datos personales obtenidos en un ensayo clínico serán conservados por un periodo de 25 años.
3. Protocolo de actuación en Farmacovigilancia
La Farmacovigilancia tiene por objetivo la identificación, cuantificación, evaluación y prevención de los riesgos del uso de medicamentos, permitiendo de esta manera, el seguimiento de los posibles efectos adversos.
En este sentido, resulta fundamental la adopción de medidas que permitan la detección de los efectos adversos de los fármacos comercializados por empresas farmacéuticas.
Las empresas farmacéuticas están obligadas a mantener un archivo maestro de Farmacovigilancia y trazabilidad de los efectos adversos, con sus consiguientes datos personales. En este sentido, al igual que en el apartado anterior, la base legitimadora del tratamiento de los datos personales es el cumplimiento de una obligación legal.
En aplicación del principio de minimización de datos, estos datos personales deberán, en la medida de lo posible, ser codificados, de forma que solo sea la empresa farmacéutica, como responsable del tratamiento, capaz de identificar a los interesados.
La empresa farmacéutica debe tener, en su calidad de responsable del tratamiento, un registro de actividades del tratamiento relativo a la Farmacovigilancia, tal y como establece el artículo 30 del RGPD.
El Código de Conducta establece además distintos niveles de protección y seguridad en función de si los datos remitidos a la empresa farmacéutica están o no codificados, en tanto en cuanto los datos codificados no permiten la identificación del interesado, por tanto, no necesitan los mismos niveles de protección.
En relación a la obligación de conservación de los datos, ésta será de cinco o diez años en función de si los datos están codificados o no.
Así pues, el citado Código de Conducta regulador del tratamiento de datos personales en el ámbito de los ensayos clínicos y otras investigaciones clínicas y de la Farmacovigilancia introduce sus principales novedades o aclaraciones sobre el método correcto de aplicación de RGPD en lo relativo a la base legitimadora del tratamiento y la no necesidad de recabar el consentimiento de los interesados. Asimismo, clarifica quienes ostentan la cualidad de responsable del tratamiento y quienes son los encargados del tratamiento. Por último, da las pautas necesarias para llevar el principio de accountability de manera idónea. De esta forma las entidades adheridas fortalecen tanto su posición jurídica como su defenece file en materia de cumplimiento normativo con el RGPD y la Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales.