El RGPD, en su artículo 40, establece que asociaciones y organismos representativos de responsables o encargados de tratamiento pueden elaborar códigos de conducta para facilitar la aplicación efectiva de la normativa de protección de datos, constituyendo, por tanto, elementos de autorregulación voluntarios que responden a necesidades concretas de sectores específicos de actividad.
A este respecto, le informamos que el pasado mes de Marzo tuvo lugar la aprobación del Código de conducta regulador del tratamiento de datos personales de carácter sectorial relativo al ámbito de los ensayos clínicos y otras investigaciones clínicas y de la farmacovigilancia (en adelante, el Código o CC), promovido por Farmaindustria -Asociación Nacional Empresarial de la Industria Farmacéutica- y la creación, por parte de esta, de un Órgano de Gobierno del Código de Conducta (en adelante, OGCC), de conformidad con el artículo 41 RGPD, que se encargará de la difusión, interpretación, cumplimiento y control de la aplicación del mismo. Este Órgano de Gobierno estará formado por tres miembros titulares y tres suplentes, más una Secretaría, cuyos integrantes serán reputados expertos del sector farmacéutico y regulatorio.
Debemos tener en cuenta que Farmaindustria ya disponía de un Código tipo inscrito en el Registro de la AEPD desde 2009, y aunque solo era de obligada aplicación para las entidades adheridas, servía de apoyo para el resto de entidades afectas por este tipo de tratamientos, en todo lo relativo a la aplicación e interpretación de la ya derogada Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (sin perjuicio de las excepciones previstas en la D.A. 14 de la Ley Orgánica 3/2018, de 5 de diciembre), por lo que se trataba de un Código muy esperado en el sector, que facilitara el cumplimiento, de la misma forma que lo hizo el Código tipo de 2009.
En cuanto al ámbito de actuación territorial del CC, el CC afectará a entidades adheridas del territorio nacional que lleven a cabo tratamientos en España, excluyendo los tratamientos realizados fuera del territorio español, sin perjuicio de que este Código aspire a ser un referente europeo al ser el primer código en este ámbito que ha sido aprobado en Europa, pues tal y como manifestó Dña. Ana Bosch -directora del Departamento Jurídico de Farmaindustria- en la jornada científica dedicada a la “Protección de datos personales en el ámbito de la salud y del medicamento”, organizada por la Real Academia Nacional de Farmacia (RANF) y la Fundación José Casares Gil, de Amigos de la RANF, el pasado 7 de abril: “Nuestro código de conducta de protección de datos en ensayos clínicos y farmacovigilancia es un referente para el futuro código europeo”.
En cuanto a su ámbito subjetivo del Código, podrán adherirse las siguientes entidades:
• Promotores de estudios clínicos con medicamentos.
• Organizaciones de investigación por contrato (CRO).
Sobre el proceso de adhesión, será necesario que estas manifiesten:
• La voluntad de adherirse mediante el Formulario de solicitud de adhesión al Órgano de Gobierno del Código de Conducta (OGCC) incorporado al mismo como Anexo I.
• La acreditación del cumplimiento de las obligaciones impuestas por la normativa de protección de datos, mediante, por ejemplo:
o La aportación del resultado del informe de adecuación al nuevo marco normativo de protección de datos.
o La última auditoría de protección de datos que hubiera sido llevada a cabo en relación con los tratamientos desarrollados por el solicitante de la adhesión.
Asimismo, si se tratase de solicitantes que ya se hubieran adherido al Código Tipo de Farmaindustria sobre protección de datos en el ámbito de la investigación Clínica y la Farmacovigilancia anteriormente referido, se hará constar expresamente esta circunstancia en la declaración.
El OGCC aprobará o denegará la adhesión en el plazo máximo de tres meses, a contar desde la recepción de toda la documentación mencionada. En caso de denegación se deberán indicar los motivos que lo justifican y la forma de subsanar los errores o deficiencias que se hubieran detectado.
La aceptación de la solicitud implicará:
• Para Farmaindustria, la publicación de la información acerca de la entidad adherida en la relación pública que mantiene en su sitio web.
• Para la adherida, la obligación de cumplimiento del CC desde la fecha en que se les notifique la decisión del OGCC favorable, siendo especialmente relevante, la obligación de desarrollar actividades de formación en materia de protección de datos dirigidas al personal y a los profesionales que traten datos personales para facilitar el cumplimiento de las obligaciones asumidas, y poder acreditar su realización, cuando tenga lugar la solicitud de renovación de la adhesión.
Por su parte, el proceso de baja, podrá tener lugar:
• Voluntariamente, mediante la notificación por escrita, firmada por el representante legal de la Entidad adherida al OGCC, al menos con dos meses de anterioridad a la fecha en que se desee hacerla efectiva.
• Como consecuencia de resolución del OGCC adoptada en el seno de un procedimiento sancionador.
En cuanto el ámbito material del Código, lo conforman los tratamientos de datos personales en el marco de las siguientes actividades:
• Investigaciones clínicas y ensayos clínicos, estableciendo protocolos de actuación que aporten seguridad jurídica en los procesos de trabajo afectos por el tratamiento de datos personales y aportando aclaraciones/novedades como:
o La determinación de la posición jurídica de los distintos intervinientes en el tratamiento de los datos personales, estableciendo la condición de responsables del tratamiento independientes de sus respectivos tratamientos al promotor de la investigación y al centro sanitario o investigador principal.
o La creación de la figura del tercero de confianza, como encargado de la seudonimizacion de los datos personales de los participantes en el estudio o ensayo.
o La indicación de no facilitar la información de protección de datos siguiendo el sistema de información por capas, pues las especiales características del tratamiento requieren información completa, clara y detallada para los participantes.
o La necesidad de suministrar de manera separada la información en materia de protección de datos, de aquella contenida en el documento de información al paciente.
o La reutilización de datos de participantes para investigaciones futuras, sin exigir, como regla general, el consentimiento de los participantes, en la misma línea que la D.A. 12ª LOPDGDD.
o La inaplicación de la normativa de protección de datos en el caso de que resulte imposible re-identificar a los participantes en la investigación al haberse producido una previa anonimización de los datos por el promotor que le remite los datos, siendo de especial consideración en las transferencias internacionales.
No obstante, si esa reidentificación fuera posible, sería necesaria la adopción de garantías adecuadas.
o La realización de evaluaciones de impacto por cada responsable del tratamiento independiente (centro y promotor), exigiendo que el promotor incluya el análisis del proceso de codificación y alentando que solicite la colaboración del monitor, la CRO o el equipo del investigador principal, entre otros.
o La necesidad de incorporar en los contratos que se suscriban entre promotor y centro sanitario o investigador, las medidas técnicas y organizativas tendentes a impedir el acceso por parte del promotor a la información que permita la identificación de los participantes en los contratos que se suscriban entre el promotor y el centro sanitario o investigador principal.
o Por último, facilita el tratamiento en el caso de multinacionales al indicar que, si resulta completamente imposible al destinatario de una ubicado en un tercer país reidentificar a los participantes al haberse anonimizado los datos el Promotor, no será aplicable la normativa de protección de datos.
• Actividades de Farmacovigilancia para la detección y prevención de efectos adversos de los medicamentos ya comercializados, identificando las siguientes previsiones:
o La diferenciación de supuestos en que las empresas farmacéuticas traten los datos personales previamente codificados o no, clarificándose las reglas aplicables en cada supuesto.
o La definición de la obligación legal (artículo 6.1.c) RGPD como base de legitimación del tratamiento de farmacovigilancia.
o El establecimiento de un protocolo uniforme de farmacovigilancia diferenciando los distintos canales a través de los cuales pueden recibirse las notificaciones de reacciones adversas (vía electrónica o telefónica, redes sociales) y los sujetos que las realicen.
o La definición de un protocolo detallado de gestión y tramitación de las solicitudes de ejercicio de los derechos de acceso, rectificación, supresión o limitación del tratamiento.
Asimismo, el Código recoge modelos de cláusulas de protección de datos a incorporar en consentimiento informado, en contrato entre promotor y tercero de confianza, promotor y centro/investigador principal, promotor y monitor/auditor, promotor y CRO (cuando se prevén servicios distintos a la monitorización) y modelos de respuestas a solicitudes de ejercicios de derechos y contrato de confidencialidad para equipo investigador, que podrán resultar de gran utilidad para las entidades del sector.
En cuanto a las ventajas de la adhesión para las entidades adheridas, encontramos:
o El establecimiento de criterios uniformes de actuación en el tratamiento de datos de sujetos en el marco de las actividades relacionadas con la investigación científica y en el ámbito de farmacovigilancia.
o La posibilidad de disponer de un instrumento para demostrar el cumplimiento del principio de responsabilidad proactiva.
o La cuantificación de la sanción económica en el ámbito sancionador (artículo 83.2.j del RGPD).
o La posibilidad de que, con anterioridad a la admisión a trámite de una reclamación formulada por un interesado, la AEPD de traslado de dicha reclamación al Órgano de supervisión del Código de conducta al que estuviera adherida la entidad contra la que se dirigiera la acción, a fin de que dictamine lo procedente acerca del supuesto planteado, pudiéndose archivar la reclamación sin que proceda a la iniciación de procedimiento de autoridad de control.
o Las garantías de control del cumplimiento del Código mediante, por ejemplo, revisiones o auditorías y un procedimiento sancionador para casos de incumplimiento relevante del Código de conducta.
o En materia de farmacovigilancia, el esfuerzo de normalización permitiría responder de manera uniforme y adecuada las comunicaciones sobre existencia de acontecimientos adversos, independientemente del canal a través del que se reciban, ofreciendo las máximas garantías legales para los consumidores, los facultativos y las empresas farmacéuticas.
o La reducción de los niveles de incertidumbre en la interpretación del RGPD y la LOPDGDD y su aplicación a los supuestos más habituales de la industria farmacéutica.
o El ofrecimiento de una imagen de unidad, sensibilidad, esfuerzo corporativo y respeto de los derechos fundamentales de ciudadanos en el tratamiento de datos de sujetos que participan en investigación científica o en la realización de actividades de farmacovigilancia.
Por último, debemos tener en cuenta que no solo se verán beneficiados los adheridos sino también los sujetos participantes de las investigaciones clínicas, que dispondrán de garantías en lo que respecta al tratamiento de sus datos cuando actúan como sujetos participantes en los estudios y/o ensayos de investigación científica, y que con independencia de que el OGCC apruebe la solicitud, será necesario la renovación de la misma cada dos años.
Artículo de Laura Iglesias.