Ensayos clínicos y privacidad: el código que protege los datos de los pacientes

Como explica en detalle, un ensayo clínico con medicamentos “es una investigación que se realiza en personas, promovidos por los propios investigadores o por empresas farmacéuticas, con el fin de conocer el efecto de uno o más fármacos que se han probado con éxito antes en laboratorio, en animales o en otras personas y de conocer el efecto de medicamentos ya conocidos pero que se utilizan de forma diferente con otra dosis, otra frecuencia o forma distinta de administración”.

El objetivo de estos estudios es obtener datos que avalen que el beneficio/riesgo es positivo en una determinada terapia, y así poder solicitar posteriormente una autorización de comercialización para el medicamento.

Para que esto sea posible miles de personas aportan información sobre su salud, unos datos esenciales para la ciencia pero también extremadamente sensibles. Una de las dudas frecuentes que tienen los pacientes a la hora de formar parte de los ensayos clínicos es si su datos estarán protegidos, quiénes los manejan y cómo.

En la práctica de la investigación sanitaria, los datos personales de los pacientes -nombre, historial médico, resultados de laboratorio, imágenes diagnósticas- son el combustible que permite avanzar en nuevos tratamientos. Pero también constituyen información sensible, protegida por el derecho fundamental a la intimidad y la protección de datos.

Hasta hace poco, cada hospital, laboratorio o empresa aplicaba sus propios criterios para cumplir con el Reglamento General de Protección de Datos (RGPD). Pero la falta de reglas específicas generaba inseguridad y retrasos.

NOTICIAS RELACIONADAS
– El valor de la confianza: 20 años de autorregulación farmacéutica
– El Espacio Europeo de Datos Sanitarios y los pros de compartir nuestro historial

El Reglamento General de Protección de Datos (UE) 2016/679 (RGPD), en vigor desde 2018, estableció un marco común para toda la Unión Europea, pero su aplicación a contextos tan complejos como los ensayos clínicos generó múltiples dudas. ¿Quién es responsable del tratamiento? ¿Debe basarse siempre en el consentimiento? ¿Cómo se garantiza la pseudonimización y la seguridad de la información?

Para responder a estas cuestiones, el sector farmacéutico español, a través de Farmaindustria, elaboró el Código de Conducta regulador del tratamiento de datos personales en el ámbito de los ensayos clínicos y otras investigaciones clínicas y de la farmacovigilancia, un documento que fue aprobado por la Agencia Española de Protección de Datos (AEPD) en 2022.

Se trata, por tanto, del “primer código sectorial aprobado por la AEPD, desde la entrada en vigor de la ley general de protección de datos, y además, es el primer código aprobado a nivel europeo, por lo que aspira a ser referente en ese futuro código europeo de protección de datos”, explica en detalle la directora del Departamento Jurídico de Farmaindustria, Ana Bosch. “Este Código aporta seguridad jurídica y homogeneidad a las prácticas del sector sanitario”, según explican desde la propia AEPD.

Para Bosch, “el tratamiento de los datos personales con fines de investigación científica, tanto en el ámbito público como en el privado, y en especial en el marco de los ensayos clínicos, debe abordarse desde una perspectiva responsable, por lo que este Código es un valioso instrumento que facilita a las empresas e investigadores el correcto cumplimiento de sus obligaciones en materia de protección de datos personales en dichos ámbitos”.

En opinión de Álvarez de Morales, “las regulaciones sobre ensayos clínicos están en constante evolución para mejorar la protección de los participantes y la transparencia, por lo que se requiere un esfuerzo continuo para que estas regulaciones se ajusten plenamente a las necesidades actuales y a los estándares mundiales”.

Objetivo del Código

El objetivo de este Código es “facilitar a las empresas el cumplimiento de la normativa de protección de datos, una normativa que es muy compleja en determinados ámbitos como son los ensayos clínicos o la farmacovigilancia donde se usan datos de carácter sanitario que están especialmente protegidos”, recuerda Bosch. Este documento establece fundamentalmente cómo deben tratarse los datos personales de los pacientes que participan en un ensayo clínico. Así, define con claridad quién es responsable de cada tratamiento (el laboratorio promotor, el hospital o el investigador) y quién actúa como encargado, como es el caso de las empresas de servicios de investigación (CROs).

También regula aspectos clave como la pseudonimización, es decir, la codificación de los datos para que el promotor del ensayo no pueda identificar directamente a los pacientes. Solo el hospital conserva la clave que permite vincular los datos a una persona concreta.

Según Bosch, el objetivo es “garantizar la máxima protección de la información personal sin obstaculizar el progreso científico”. Es más, en opinión de la especialista, “es una forma de ayudar en la investigación porque da seguridad a las empresas y los propios pacientes quienes saben que van a estar protegidos”.

Esto es así, en parte, porque el Código obliga a las empresas adheridas a realizar evaluaciones de impacto en privacidad, a establecer protocolos de seguridad y a notificar cualquier brecha de datos a la AEPD y a los afectados.

¿Siempre hace falta el consentimiento?

Uno de los puntos más importantes es el uso del consentimiento. En los ensayos clínicos, los voluntarios deben firmar un consentimiento informado para participar, pero eso no siempre implica que sea la base legal adecuada para tratar sus datos. Como recuerda Oya Álvarez, “el consentimiento informado es un proceso continuo diseñado para proteger los derechos y la seguridad de las personas que participan en ensayos clínicos”. Este, añade, “proporciona al paciente información por escrito de todos los aspectos del estudio clínico y durante el proceso de consentimiento informado, el equipo de investigación debe cerciorarse de que el paciente comprende todas las posibilidades de tratamiento disponibles”.

En este sentido, el Comité Europeo de Protección de Datos (EDPB) ya advirtió en su Dictamen 3/2019 que el consentimiento en este contexto puede no ser “libre”, porque los datos se tratan como parte esencial del estudio. El Código español adopta esa visión: el tratamiento puede apoyarse en el interés público o en obligaciones legales en materia sanitaria, siempre con las debidas garantías y supervisión.

Es importante recordar también que, para los investigadores, el Código también ha supuesto una simplificación de estos y otros trámites. “Ahora los roles están más claros y hay plantillas comunes para los contratos por lo que todo se agiliza”, señala Bosch. Pero no solo para las empresas, sino que también los pacientes se benefician ya que supone una mayor garantía de que sus datos no se utilizarán fuera del marco del estudio, y que podrán ejercer sus derechos de acceso o eliminación fácilmente.

El 80% de la investigación, bajo este Código

Otra característica importante del Código es que, como apunta Bosch, “tiene vocación de generalidad por lo que no solo puede ser adoptado por las compañías asociadas a Farmaindustria”.

Actualmente están adheridos al Código 27 laboratorios farmacéuticos que “engloban el 80% de la investigación clínica en nuestro país”, señala Bosch, quien recuerda que “este no pretende ser un código solo de las empresas asociadas a Farmaindustria, sino de todas aquellas implicadas en estos procesos y de toda la industria farmacéutica en España”. De hecho, también están adheridos a él otras entidades como la Clínica Universidad de Navarra y la Fundación Grupo Español de Investigación en Cáncer de Mama (Geicam).

Asimismo, destaca Bosch que este Código es “una muestra más del compromiso de la industria farmacéutica innovadora con la transparencia y con los derechos fundamentales de los ciudadanos en el tratamiento de los datos personales”.

Y, ¿por qué es importante adherirse a este Código de autorregulación del sector? Ana Bosch tiene claro que sumarse al Código tiene múltiples ventajas para las entidades siendo la primera y la principal “la seguridad jurídica”.

Además, “el Código dota a quienes llevan a cabo el tratamiento de datos personales, en calidad de responsables o de encargados del tratamiento, de certeza en la aplicación de las normas en consonancia con principio de seguridad jurídica que debe presidir su aplicación”.

Evitar multas para la industria

Adicionalmente, el hecho de estar adherido solo a un código “puede ser usado como elemento para demostrar el cumplimiento de las obligaciones que le impone la Ley y en caso de imponerse una sanción, la adhesión al Código puede ser un criterio para modular la cuantificación de las sanciones económicas que pudieran imponerse en caso de infracción de las disposiciones de protección de datos”.

Las sanciones económicas por incumplimiento de la normativa de protección de datos, que incluye el tratamiento en ensayos clínicos, varían según la gravedad de la infracción, que puede ser leve y acarrear multas de hasta 40.000 euros; graves, lo que conlleva una multa de entre 40.000 y 300.000, o muy graves, entre 300 y 600.000 euros, aunque hay casos en los que se pueden establecer multas millonarias en contextos de empresas con facturación elevada. Por otro lado, añade Bosch, “el Código también puede evitar la incoación de procedimientos sancionadores por la AEPD”.

Desde el punto de vista de la persona que participa en los ensayos clínicos el hecho de que el centro al que ha cedido sus datos esté adherido al Código “supone una garantía de que se está cumpliendo correctamente la normativa de protección de datos”, es decir que “tienen garantía adicional de que quien maneja sus datos personales está cumpliendo con la normativa europea y nacional”.

Cómo pueden adherirse las empresas

En cuanto a qué tienen que hacer las empresas para poder adherirse al Código, Bosch recuerda que el procedimiento “es muy sencillo” y que “está regulado en el Código”.

Así, es necesario rellenar un formulario de solicitud de adhesión al Código, que esté suscrito por el representante legal de la entidad y una declaración responsable de que se cumplen determinados requisitos como que esa entidad cuenta con un delegado de protección de datos; que la entidad ha adoptado medidas técnicas y organizativas para garantizar el cumplimento de la normativa europea y nacional sobre protección de datos; que se ha llevado a cabo una evaluación del impacto sobre la protección de datos, y que han suscrito los encargados del tratamiento que cumplen con lo dispuesto en el Código de conducta y otra serie de requisitos.

Por otro lado, las entidades que se adhieren al Código deben someterse a la supervisión de un organismo independiente, acreditado por la AEPD. Ese organismo revisa cada año el cumplimiento de las normas, recibe reclamaciones y puede sancionar incumplimientos.

Este sistema, según la AEPD, combina “autorregulación y supervisión pública”, lo que permite un equilibrio entre confianza y control.

Una vez resuelta la adhesión, informa Bosch, “esta entidad quedará reflejada en la web del Código de protección de datos que forma parte de la de Farmaindustria, teniendo la obligación de colocar en su página un enlace de información de que está adherida al Código de protección de datos”.

El reto del futuro

Uno de los grandes desafíos del futuro en el ámbito sanitario es lograr un equilibrio entre proteger la privacidad de los pacientes y fomentar la investigación médica. La Ley de Protección de Datos busca garantizar que la información personal y sensible de los pacientes se use de forma segura. Sin embargo, como hemos comentado, en materia de ensayos clínicos y de investigación en salud, los datos son esenciales para avanzar en nuevos tratamientos, vacunas y diagnósticos.

El principal reto hoy en día y de cara al futuro es que la ley siga protegiendo los datos sin bloquear la innovación, algo que se va complicando. Y es que cada vez se utilizan más bases de datos masivas, inteligencia artificial y análisis genéticos, lo que aumenta el riesgo de reidentificar personas incluso en datos anonimizados. Además, muchos estudios son internacionales, y las diferencias legales entre países pueden complicar el intercambio seguro de información.

Otro desafío es el consentimiento informado ya que en el futuro se necesitarán sistemas más dinámicos, que permitan a los pacientes decidir en todo momento cómo se usan sus datos.

Por tanto, el futuro de la protección de datos en la salud deberá seguir avanzando y dependerá de lograr un equilibrio entre ética, tecnología y ciencia, usando herramientas seguras, marcos legales armonizados y mayor transparencia con los pacientes.