Estudios observacionales con medicamentos de uso humano

El pasado 26 de noviembre se publicó el Real Decreto 957/2020, de 3 de noviembre, por el cual se regulan los estudios observacionales con medicamentos de uso humano, que introduce importantes novedades en el ámbito de los estudios observacionales entendidos como “toda investigación que implique la recogida de datos individuales relativos a la salud de personas, siempre que no cumpla cualquier de las condiciones requeridas para ser considerado ensayo clínico, y que se realice con cualquier de estos propósitos»:

a) “Determinar los efectos beneficiosos de los medicamentos, así como sus factores modificadores, incluyendo la perspectiva de los pacientes, y su relación con los recursos empleados para lograrlos,

b) Identificar, caracterizar o cuantificar las reacciones adversas de los medicamentos y otros riesgos para la seguridad de los pacientes relacionados con su uso, incluyendo los posibles factores de riesgo o modificadores de efecto, así como mesurar la efectividad de las medidas de gestión de riesgos.

c) Obtener información sobre los patrones de utilización de los medicamentos en la población.”

Hay que hacer especial mención a las referencias y aclaraciones que realiza en relación con la aplicación de la normativa de protección de datos, y que son el objeto de esta píldora. Antes de entrar en este contenido, es importante destacar que el artículo 4, establece un sistema de dictamen único, vinculante y obligatorio para todo el territorio nacional. Este hecho pose de relevancia la necesidad de disponer de unas herramientas de evaluación común por parte de todos los CEIm’s, que garanticen una evaluación común y adecuada de los aspectos relacionados con la protección de datos, con independencia de qué sea lo CEIm que evalúa el proyecto.

En este punto, la aprobación por un CEIm, no legitima el tratamiento de datos, es un requerimiento para llevar a cabo el proyecto de investigación, y por tanto, con independencia de la evaluación del CEIm, si el Delegado de Protección de Datos de un centro, ya sea de forma directo o a través de su CPD, detecta un tratamiento de datos no adecuado a la normativa de protección de datos tiene que posarlo de manifiesto y pedir al responsable de tratamiento que tome las medidas adecuadas para solventarlo.
REAL DECRETO 957/2020

En relación con el contenido del Real Decreto propiamente de protección de datos, y en especial en el establecido en el artículo 5, que regula el consentimiento informado y la protección de datos personales de los sujetos participantes, hay que considerar el siguiente:

– En el punto 1 del artículo 5, se regula la necesidad de consentimiento informado y las situaciones que se pueden excepcionar, entendido el consentimiento informado como “la expresión libre y voluntaria por parte de un sujeto participante en un estudio observacional con medicamentos, de su voluntad de participar en un estudio determinado desprendido de haber sido informado de todos los aspectos de la misma que sean pertinentes para su decisión de participar o, en el caso de los sujetos menores o incapaces, una autorización o acuerdo de sus representantes legalmente designados para incluirlos en el estudio”. Es decir, cuando habla de consentimiento informado se tiene que entender el consentimiento de tipo asistencial, para llevar a cabo la actuación o el proyecto, y se tiene que distinguir del consentimiento para el tratamiento de los datos.

Precisamente en este sentido se manifiesta el apartado 3.c de este artículo 5, cuando establece “Los promotores de los estudios que utilicen alguna fuente de información que incluya el tratamiento de datos personales tendrán que tener en cuenta el que prevé el Reglamento (UE) 2016/679 del Parlamento Europeo y de Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en cuanto al tratamiento de datos personales y a la libre circulación de estos datos y por el cual se deroga la Directiva 95/46 / CE, y en la Ley Orgánica 3/2018, de 5 de diciembre, de protección de Datos Personales y garantía de los derechos digitales y, en particular, el siguiente: […] c) Sin perjuicio del que dispone el apartado 1, será necesario el consentimiento del sujeto participando salvo que sea aplicable otra base legítima para el tratamiento de sus datos personales de entre las referidas en los artículos 6.1 y 9.2 del Reglamento (UE ) 2016/679 del Parlamento Europeo y de Consejo, de 27 de abril de 2016. además, el promotor y los investigadores tienen que aplicar los criterios que rigen el tratamiento de datos en la investigación en salud en conformidad con la disposición adicional decimoséptima de la Ley Orgánica 3/2018, de 5 de diciembre.”

Es decir, este artículo establece que, aunque no fuera necesario el consentimiento informado para la realización del proyecto, será necesario el consentimiento a nivel de protección de datos o la concurrencia de cualquier de las bases legitimadoras de los artículos 6 y 9 del RGDP que habilitan el tratamiento de datos personales en el marco del correspondiente estudio, y en conformidad con la disposición adicional 17.2 de la LOPD-GDD.

– Así mismo este artículo 5, establece otro previsiones en materia de protección de datos en la línea del RGPD y la LOPD-GDD que a continuación detallamos:

• El promotor tendrá que haber evaluado y mitigado, mediante las medidas apropiadas en cada caso, el impacto que la realización del estudio puede tener en la protección de datos personales (arte. 5.a).
• Esta previsión nos lleva a la necesidad, de antes de proceder a realizar cualquiera trata-mente en el ámbito de un estudio, analizar los riesgos que supone el tratamiento, y en caso de que sea necesario proceder a realizar la correspondiente evaluación de impacto, en el sentido establecido por la disposición adicional 17.2.f.1 de la LOPD-GDD.
• El promotor y los investigadores del estudio tienen que garantizar la confidencialidad de los datos de los sujetos participantes (arte. 5.b).
  Esta previsión genérica implica que se tienen que adoptar las medidas de seguridad necesarias para garantizar los accesos no autorizados a los datos, la reidentificació y la seguridad de las mismas.
• Las condiciones de acceso a los datos personales se tienen que detallar en el protocolo, incluyendo las condiciones de su transmisión internacional fuera del ámbito del Espacio Económico Europeo, si esto está previsto (arte. 5.d).
  Uno de los elementos a detallar en el protocolo es como se accederá a los datos, incorporando de forma específica la necesidad de detallar si se producen transferencias internacionales de dade

– En la línea de este artículo 5, encontramos también la previsión del artículo 11.k, que establece que uno de los elementos que requiere una evaluación por parte del CEIm es precisamente el cumplimiento de la normativa de protección de datos.

Y en consonancia con esto, el Anexo 1 de la norma donde se establece cuál tiene que ser la estructura y el contenido recomendado del protocolo, establece en su punto 10.c “Confidencialidad de los datos: las condiciones de acceso y tratamiento de datos de carácter personal, incluyendo, en el caso de transmisión de los datos personales de pacientes españoles a un tercero Sido, acreditación de cumplimiento de la normativa europea sobre protección de datos de carácter personal. Cuando se trate de una investigación con datos anónimos o que se han sometido a un tratamiento de pseudonimització se establecerá en el protocolo del estudio el procedimiento previsto para lo cual”.

Por lo tanto, todo este contenido, incluyendo además el establecido al RGPD y la LOPD-GDD, es el que tiene que contener un protocolo de investigación en relación en el tratamiento de los datos, y el que tiene que poder evaluar el CEIm.

Para facilitar y homogeneizar esta tarea, adjuntamos anexo a esta píldora una propuesta de contenido para los protocolos que facilitan a los investigadores completar la información necesaria y al CEIm disponer de forma estructurada para poder proceder a su evaluación.

CONCLUSIONES

Por lo tanto, como conclusión podemos afirmar que en la realización de los estudios observacionales es necesario que:

1. Exista una base legitimadora para el tratamiento de los datos, no siente posible aplicar la exención que se aplica en el consentimiento informado entendido en los términos indicados en esta nota.

2. El responsable o responsables del tratamiento tienen que tratar los datos de conformidad al establecido al RGPD y a la LOPD-GDD, y que este tratamiento y la forma como se lleva a cabo quede detallado en el protocolo que se presenta al CEIm. El protocolo entre otros a de explicar qué bases legitimadoras se utilizan para el tratamiento de los datos, la naturaleza de los datos como identificadas anónimas o pseudonimizadas, los mecanismos empleados en caso de llevar a cabo un procedimiento de anonimización o pseudonimización, o las medidas de seguridad aplicadas para garantizar el cumplimiento de la normativa de protección de datos.

Por estas actuaciones se recomienda implementar los procedimientos y modelos establecidos a la Guía de Evaluación de los aspectos derivados de la normativa de Protección de datos en proyectos de investigación y elaboradas a tal efecto por el Grupo de trabajo en Investigación del DPD.

3. Los miembros del CEIm tienen que disponer de los suficientes conocimientos y herramientas para poder evaluar y documentar la correspondiente evaluación de los aspectos de protección de datos de este proyectos indicados en el punto anterior, y que se tienen que detallar en el protocolo.

4. Se recomienda que previamente a la participación de la institución en un proyecto de investigación se in-forme de manera preceptiva al CPD, para evitar actuaciones que pudieran suponer un riesgo en el tratamiento de datos y en aplicación del principio de responsabilidad proactiva.