La Agencia Española de Protección de Datos (AEPD) ha aprobado el Código de Conducta regulador del tratamiento de datos personales en el ámbito de los ensayos clínicos y otras investigaciones clínicas y de la farmacovigilancia. Este código, promovido por Farmaindustria, se convierte en el primer código de conducta sectorial que se aprueba desde la entrada en vigor del Reglamento General de Protección de Datos. En este, se regula cómo se debe aplicar la normativa de protección de datos por los promotores de estudios clínicos con medicamentos y las Organizaciones de investigación por contrato (CRO) que decidan adherirse al mismo.
Para Mar España, directora de la AEPD, la aprobación de este código “es muy importante porque es el primero de carácter sectorial en un ámbito tan esencial como el de los ensayos clínicos y la farmacovigilancia”. Atendiendo a la complejidad que presenta este ámbito de actividad ha precisado que “proporciona garantías adecuadas para los interesados así como seguridad jurídica para todos aquellos que se adhieran”. La directora de la agencia ha resaltado también “la relevancia que este código puede tener de cara a la tramitación y aprobación del código europeo que está promoviendo la Efpia y del que la AEPD está revisando su contenido”. También sobre esta vocación internacional se ha manifestado Ana Bosch, directora del Departamento Jurídico de Farmaindustria. “Es un código circunscrito al ámbito nacional, pero nace con intención de ser referente a nivel europeo”.
En este sentido, Humberto Arnés, director general de Farmaindustria ha expresado que “después de intensos trabajos con la AEPD se ha llegado a este código que ahora ve la luz y es pionero no solo en el ámbito farmacéutico a nivel europeo sino en el de todos los sectores de la actividad económica”. A este respecto ha añadido que “el objetivo siempre ha sido lograr los mayores estándares en el cumplimiento de la protección de datos y con este código creo que se ha conseguido”.
Actualización de la normativa vigente
Arnés ha explicado que desde Farmaindustria son conscientes de la importancia de la protección de datos, motivo por el que “en 2009 la entidad elaboró ya un código tipo que quedó inscrito en la AEPD”. “La vida transcurre y la protección de datos es cada vez más un motivo de preocupación para las instituciones públicas”, ha indicado. Por este motivo Farmaindustria y la AEPD han coincidido en la necesidad de actualizar la regulación vigente; en el año 2006 se creó una regulación europea sobre protección de datos y dos años más tarde, se impulso una Ley Orgánica al respecto en España que imponía unas normas de actuación. En esos momentos, según Arnés, “los grupos de trabajo de carácter jurídico y técnico trabajaron para adaptarse a las exigencias normativas, contando con el apoyo de agentes como las organizaciones de pacientes, los profesionales sanitarios entre los que destacan los clínicos, los comités éticos de investigación de medicamentos, y la Agencia Española del Medicamento y el Producto Sanitario (Aemps); con todo ello recabamos observaciones y comentarios para enriquecer ese nuevo código”. Este fue el precursor del impulsado actualmente por Farmaindustria y que cuenta con la aprobación de la AEPD.
Por su parte, Julián Prieto, subdirector general de Promoción y Autorizaciones de la AEPD, define los códigos como el que se acaba de impulsar como “herramientas idóneas para la rendición de cuentas”. Y es que estos instrumentos dan muestra de las relaciones de colaboración que se establecen en el sector, y ponen en valor en palabras de Prieto “el afán de transparencia” de aquellos que se adhieren al mismo.
Uno de los aspectos que Bosch ha querido puntualizar es que “aunque el código es fruto del consenso en el seno de Farmaindustria y cuenta con la colaboración de la AEPD, tiene una vocación de generalidad y el objetivo es que sea útil para toda la industria farmacéutica en España y los agentes involucrados en la investigación, como los promotores, CROs o empresas que lleven a cabo labores de farmacovigilancia”. Asimismo, Bosch ha destacado que teniendo en cuenta su ámbito de aplicación “es un código vivo que estará sometido a las posibles modificaciones que puedan suscitarse en materia de protección de datos”. Por ello ha especificado que “se revisará cada cuatro años o antes en caso de que haya hechos que así lo aconsejen; cabe destacar que en estas revisiones será esencial contar con el expertise de Farmaindustria, de los delegados de protección de datos de los centros hospitalarios y de los comités de ética de los mismos con los que nuestra entidad mantiene estrecho contacto”.
Ámbito de aplicación
En cuanto al ámbito de aplicación del código, se extiende a aquellas actividades de tratamiento de datos personales en el marco de las investigaciones clínicas en general y los ensayos clínicos. También, al cumplimiento de las obligaciones impuestas por la normativa vigente en materia de farmacovigilancia, en la que se persigue la detección y prevención de efectos adversos de los medicamentos comercializados.
Así, con este código, se establecen protocolos que facilitan la aplicación del Reglamento General de Protección de Datos (RGPD), ofreciendo seguridad a aquellas entidades que se adhieran. Entre las cuestiones que se regulan se incluyen la aplicación de los principios de protección de datos, la evaluación de impacto, la codificación de datos, la responsabilidad de los distintos intervinientes en un ensayo, las bases legitimadoras de los tratamientos, el régimen de las transferencias internacionales de datos, las obligaciones derivadas de las brechas de seguridad y el ejercicio de derechos.
Respecto a la farmacovigilancia, este nuevo código hace una distinción en el tratamiento de los datos personales identificativos y los codificados; aquí se establecen protocolos para la recogida de información sobre posibles reacciones adversas atendiendo al sujeto que realice la notificación y el canal que utilice en cada caso.
Por otra parte, el código establece un procedimiento de mediación voluntario y gratuito para dar una respuesta más ágil a las posibles reclamaciones que puedan plantear los interesados frente a las entidades adheridas.
En el RGPD se establece que los códigos de conducta deben designar un organismo de supervisión que actúe con independencia del promotor del código y las entidades adheridas. Por ello, en este caso la AEPD ha acreditado al Órgano de Gobierno del Código de Conducta (OGCC) como organismo para la supervisión y control del código.
Con todo esto Mar España ha subrayado la importancia de este código “como muestra de los instrumentos que ofrece la normativa de protección de datos para favorecer la investigación en el ámbito de la salud, garantizando el derecho a la protección de los datos de los participantes”.
También Arnés se ha manifestado en este sentido, considerando que «otro elemento fundamental de este código es el equilibrio y confluencia de intereses para cumplir con las exigencias en protección de datos, sin dejar de lado el potencial del big data en el sector que va a propiciar un gran desarrollo terapéutico».
