Reglamento de protección de datos en los ensayos clínicos
En este artículo, analizamos qué aspectos deben tener en cuenta las empresas del sector farmacéutico para asegurar la protección de datos en los ensayos clínicos tras la entrada en vigor de GDPR.
El pasado 25 de mayo, entró en vigor la aplicación del Reglamento General de Protección de Datos de la UE (2016/679) más conocido como GDPR -por sus siglas en inglés- que rige la recopilación, el procesamiento y la transferencia de datos personales, incluidos los datos referidos a la salud de los ciudadanos de la UE.
Este Reglamento deroga la anterior Directiva de Protección de Datos de la UE (95/46/CE) que regulaba, entre otras cosas, las actividades de las compañías farmacéuticas que participan en ensayos clínicos.
GDPR introduce nuevos requisitos de protección de datos en la UE y multas sustanciales a aquellas empresas que infrinjan las normas de protección de datos.
Problemas de protección de datos a considerar al realizar ensayos clínicos
Desde el 25 de mayo, los patrocinadores que realicen ensayos clínicos en la UE deben adoptar medidas apropiadas para garantizar que las actividades relacionadas con el procesamiento de los datos personales de los sujetos de estudio cumplan con GDPR. Además, los patrocinadores deben documentar cómo funcionan esos procedimientos en la práctica, incluidas las interacciones con terceras partes que procesen los datos. Los patrocinadores e investigadores deben tener en cuenta que el procesamiento de datos de salud solo se puede llevar a cabo en circunstancias específicas que incluyen, por ejemplo, que el sujeto de estudio haya proporcionado su consentimiento explícito para el procesamiento de sus datos sanitarios.
¿Qué datos están cubiertos bajo GDPR?
Los datos sanitarios se clasifican como datos personales confidenciales tanto en la anterior legislación como bajo GDPR y, por tanto, están sujetos a condiciones más restrictivas para el procesamiento en comparación con otros tipos de datos personales, por ejemplo, los datos de contacto. GDPR ha ampliado los datos que se clasifican como datos personales sensibles incluyendo los datos biométricos y genéticos, y presenta nuevos requisitos de cumplimiento para ese tipo de datos.
Una pregunta importante para los ensayos clínicos es si los datos seudónimos están cubiertos por la legislación, es decir, los datos donde se guarda una clave, por lo que es (teóricamente) posible volver a identificar a los pacientes utilizando códigos de pacientes “anónimos”. Según GDPR, los datos seudonimizados serán una forma de datos personales y deberán protegerse en consecuencia. En realidad, las disposiciones de confidencialidad y seguridad de datos se aplican a dichos datos en el contexto de ensayos clínicos en cualquier caso. Sin embargo, esta aclaración en GDPR significa que se deben tomar medidas adicionales con respecto a dichos datos.
¿Cómo pueden los sujetos aprobar el procesamiento de sus datos?
GDPR requiere consentimiento informado de los sujetos del ensayo clínico antes de participar en el ensayo al igual que la Directiva de Ensayos Clínicos 2001/20/EC y el nuevo Reglamento de Ensayos Clínicos 36/2014/EU (que se espera entre en vigor en 2019 cuando el Portal de la UE y la base de datos de la UE estén en pleno funcionamiento).
El consentimiento debe ser explícito, inequívoco y otorgado libremente. Debe ser específico para cada procedimiento, y solo debe utilizarse para los fines establecidos en el formulario de consentimiento. GDPR también presenta requisitos más estrictos que incluyen:
- Permitir a las personas dar su consentimiento para diferentes partes de la recopilación y el procesamiento (consentimiento granular).
- Llevar registros para mostrar qué personas han dado su consentimiento a qué, qué se les dijo y cuándo y cómo dieron su consentimiento.
- Hacer que el consentimiento sea fácil de retirar, en cuyo momento será necesario reconsiderar las actividades de procesamiento pertinentes.
- Requisitos de consentimiento más estrictos para datos de menores o discapacitados.
Conforme a GDPR, se debe proporcionar cierta información a los individuos antes de obtener sus datos personales, como la identidad y los datos de contacto del responsable del tratamiento (es decir, el patrocinador), los datos de contacto del responsable de la protección de datos, los objetivos y la base jurídica de procesamiento, los destinatarios de los datos, cuánto tiempo se almacenarán los datos y los derechos de las personas. Esto también deberá combinarse con la información que se debe proporcionar sobre el ensayo, como se establece en la Directiva y el Reglamento de Ensayos Clínicos, y probablemente dará lugar a formularios de consentimiento muy largos y detallados, en un momento en que los comités de ética están buscando simplificar estos formularios.
¿Qué nuevos derechos tienen los sujetos de ensayos clínicos?
Los nuevos derechos a la eliminación de datos personales (el “derecho a ser olvidado”) y la portabilidad de los datos podrían tener implicaciones de gran alcance para los ensayos clínicos si no se gestionan adecuadamente por parte de patrocinadores y reguladores. Si bien, aún se requieren aclaraciones respecto a las posibles excepciones.
¿Qué nuevas medidas de cumplimiento deben tener en cuenta las empresas?
Como los ensayos clínicos implican el procesamiento de datos personales confidenciales, el patrocinador deberá realizar una evaluación del impacto de la protección de datos, probablemente tanto para los ensayos iniciados después del 25 de mayo de 2018 como para los ensayos en curso y los datos que se procesan en esa fecha. Esta evaluación debe establecer:
- Una descripción de las operaciones de procesamiento y los propósitos del procesamiento.
- Una evaluación de la necesidad y proporcionalidad del procesamiento.
- Una evaluación de los riesgos a los derechos y libertades de sujetos de ensayos clínicos.
- Las medidas utilizadas para abordar esos riesgos.
Los controladores (determinan los propósitos y medios de procesamiento) y los procesadores (gestionan los datos) probablemente también necesitarán designar a un responsable de protección de datos.
En Oqotech podemos ayudarte a garantizar la integridad de los datos y validar los sistemas informatizados en ensayos clínicos conforme al nuevo Reglamento General de Protección de Datos de la UE y GCP (Guideline for Good Clinical Practice). Contacta con nuestro equipo de profesionales para asegurar la protección de datos en los ensayos clínicos.