El Código de Conducta regulador del tratamiento de datos personales en el ámbito de los ensayos clínicos y otras investigaciones clínicas y de la farmacovigilancia, promovido por Farmaindustria, fortalece y asegura la confidencialidad de los datos personales en el sector. Así se ha puesto de manifiesto durante la jornada sobre el papel de la autorregulación en la protección de datos en investigación clínica y farmacovigilancia organizada por Farmaindustria en la Real Academia de Farmacia de Cataluña.
Se trata del primer código sectorial aprobado por la Agencia Española de Protección de Datos (AEPD) desde la entrada en vigor del Reglamento General de Protección de Datos (RGPD). Este se ha convertido en la referencia para la elaboración del código europeo en el que ya está trabajando la EFPIA, patronal de la industria farmacéutica europea. “Este código está abierto a toda la industria y a todas las entidades que gestionan datos sanitarios. Tenemos ya laboratorios que representan el 80 por ciento de los ensayos clínicos que se realizan en el país. Pero también tenemos a la Clínica Universidad de Navarra y al Grupo Español de Investigación en Cáncer de Mama (GEICAM). Dada la importancia de este código para promover las buenas prácticas y asegurar la disponibilidad, integridad y la confidencialidad de los datos, es importante que todos nos unamos y apoyemos en esta iniciativa”, ha afirmado Juan Yermo, director general de Farmaindustria.
“Además, disponer de este Código en España supone una garantía para los participantes en ensayos clínicos y otras investigaciones, dada la obligación de las entidades adheridas de respetar la normativa vigente y las demás obligaciones que les impone el código”, ha añadido Yermo. Concretamente, en el área de investigación se focaliza en gestionar las brechas de seguridad en un escenario de posibles ciberataques. Se trata de un código que nació fruto del consenso y de la intensa colaboración con la AEPD. Aunque su ámbito de aplicación es nacional, aspira a ser un referente a nivel europeo.
“Los datos personales cada vez son mas importantes y tienen más trascendencia, pero es una materia cambiante y complicada. El código pretende dar seguridad jurídica a quienes tienen que aplicar la normativa de protección de datos”, ha sostenido Ana Bosch, directora del Departamento Jurídico de Farmaindustria durante una de las mesas celebradas. En el ámbito de los ensayos clínicos, un sujeto será el que preste su consentimiento para participar en ellos. “Es necesario informar al sujeto de cómo van a ser tratados sus datos personales. Otra cuestión a resultar es que los promotores de los ensayos clínicos no tratan datos personales, sino codificados”, ha añadido.
Órgano de Gobierno
A finales de marzo de 2022, tan solo un mes después de la creación del Código de Conducta, se constituyó el Órgano de Gobierno de dicho código, que actúa con plena independencia de Farmaindustria y de las entidades adheridas. Este Órgano de supervisión, compuesto por tres miembros y sus suplentes es el responsable de la difusión, interpretación, cumplimiento y control de la aplicación del Código de Conducta. “El Órgano de Gobierno tiene que tener procedimientos de evaluación y examen periódico. La transparencia ha sido fundamental en nuestro funcionamiento, pero también tenemos que demostrar que no tenemos conflicto de intereses”, ha remarcado Pilar Nicolás, profesora de Derecho Penal de la Universidad del País Vasco y vocal del Órgano de Gobierno del Código de Conducta en Protección de Datos.
Sus funciones se resumen en acompañar a una entidad que se adhiere al código a lo largo de todo el proceso, así como en atender a las consultas que puedan surgir a las entidades adheridas. “En el Órgano de Gobierno tenemos muy claro que el sentido del código es ayudar a que se cumpla la normativa de protección de datos en este sector. En general, me gusta recordar que esta normativa no puede ser un obstáculo para la investigación, sino un impulso al proyecto”, ha reiterado Nicolás.
Patricia Muleiro, directora de la Unidad de Seguridad y Protección de Datos de la CUN, ha sido la encargada de contar la experiencia de la CUN como entidad adherida al código. “La adhesión supone para la CUN la garantía de poder demostrar el cumplimiento de las obligaciones de protección de datos. Es de gran ayuda para la correcta aplicación, de forma práctica, en el marco de la investigación clínica y de la farmacovigilancia. Ha servido de inspiración para la elaboración de un modelo marco de ‘Data Privacy Assesment'”, ha señalado.
Seguridad y fiabilidad
La siguiente mesa se ha dedicado a la importancia de la seguridad en la protección de datos en investigación clínica. En este sentido, Alexis Rodríguez, farmacólogo y presidente del Órgano del Gobierno del Código de Conducta en Protección de datos, ha sostenido que los datos que se manejan en el sector salud afectan a la esfera más íntima del individuo. “La manera de actuar es establecer medidas que eviten el mal uso de los datos, siendo la codificación el primer paso de seguridad que adoptamos”, ha insistido.
Otro de los aspectos que ha puesto sobre la mesa el experto es que los usuarios rara vez comprenden cómo se usan sus datos. Por ello, ha aludido a la importancia de detectar y controlar los riesgos. En líneas generales, ha mencionado los problemas más frecuentes en este ámbito, destacando la definición de roles y responsabilidades en el tratamiento de los datos o la seudonimización en la investigación observacional independiente como algunos de los principales.
Por su parte, Paula Martín, delegada de Protección de Datos en el Hospital Clínic de Barcelona, ha recalcado que al diseñar un proyecto de investigación basado en el tratamiento de datos personales es importante asegurar que los datos se van a tratar conforme a los principios indicados. “Antes de iniciar un proyecto es importante identificar si se tratan datos personales; garantizar el cumplimiento de los principios relativos al tratamiento; identificar la base legitimadora; medidas técnicas y organizativas; brechas de seguridad, análisis de riesgos y evaluación de impacto; así como documentación a nivel contractual e informativo”, ha afirmado.
Para finalizar, Albert Haro, responsable de CISO de Salud en la Agencia de Ciberseguridad de Cataluña, ha presentado algunas cifras relativas a los ciberataques, destacando que cada ocho horas se produce alguno de estos incidentes en el ámbito sanitario. A su vez, ha concluido afirmando que el aumento de este tipo de incidentes está lejos de disminuir.
