Estudis observacionals amb medicaments d’ús humà

Autor: TIC Salut Social   /  15.12.2020

El passat 26 de novembre es va publicar el Reial Decret 957/2020, de 3 de novembre, pel qual es regulen els estudis observacionals amb medicaments d’ús humà, que introdueix importants novetats en l’àmbit dels estudis observacionals entesos com a “tota investigació que impliqui la recollida de dades individuals relatives a la salut de persones, sempre que no compleixi qualsevol de les condicions requerides per ser considerat assaig clínic, i que es realitzi amb qualsevol d’aquests propòsits:

a) “Determinar els efectes beneficiosos dels medicaments, així com els seus factors modificadors, incloent la perspectiva dels pacients, i la seva relació amb els recursos emprats per assolir-los,

b) Identificar, caracteritzar o quantificar les reaccions adverses dels medicaments i altres riscos per a la seguretat dels pacients relacionats amb el seu ús, incloent-hi els possibles factors de risc o modificadors d'efecte, així com mesurar l'efectivitat de les mesures de gestió de riscos.

c) Obtenir informació sobre els patrons d'utilització dels medicaments en la població.”

Cal fer especial esment a les referències i aclariments que realitza en relació amb l’aplicació de la normativa de protecció de dades, i que són l’objecte d’aquesta píndola. Abans d’entrar en aquest contingut, és important destacar que l’article 4, estableix un sistema de dictamen únic, vinculant i obligatori per a tot el territori nacional. Aquest fet posa de rellevància la necessitat de disposar d’unes eines d’avaluació comuna per part de tots els CEIm’s, que garanteixin una avaluació comuna i adequada dels aspectes relacionats amb la protecció de dades, amb independència de quin sigui el CEIm que avalua el projecte.

En aquest punt, l’aprovació per un CEIm, no legitima el tractament de dades, és un requeriment per a portar a terme el projecte de recerca, i per tant, amb independència de l’avaluació del CEIm, si el Delegat de Protecció de Dades d’un centre, ja sigui de forma directe o a través del seu CPD, detecta un tractament de dades no adequat a la normativa de protecció de dades ha de posar-ho de manifest i demanar al responsable de tractament que prengui les mesures adequades per a solventar-ho.
REIAL DECRET 957/2020

En relació amb el contingut del Reial Decret pròpiament de protecció de dades, i en especial en l’establert a l’article 5, que regula el consentiment informat i la protecció de dades personals dels subjectes participants, cal considerar el següent:

- En el punt 1 de l’article 5, es regula la necessitat de consentiment informat i les situacions que es poden excepcionar, entès el consentiment informat com a “la expressió lliure i voluntària per part d'un subjecte participant en un estudi observacional amb medicaments, de la seva voluntat de participar en un estudi determinat després d'haver estat informat de tots els aspectes de la mateixa que siguin pertinents per a la seva decisió de participar o, en el cas dels subjectes menors o incapaços, una autorització o acord dels seus representants legalment designats per incloure'ls en l'estudi”. És a dir, quan parla de consentiment informat s’ha d’entendre el consen-timent de tipus assistencial, per a portar a terme l’actuació o el projecte, i s’ha de distingir del consentiment per al tractament de les dades.

Precisament en aquest sentit es manifesta l’apartat 3.c d’aquest article 5, quan estableix “Els promotors dels estudis que utilitzin alguna font d'informació que inclogui el tractament de dades personals hauran de tenir en compte el que preveu el Reglament (UE) 2016/679 de el Parlament Europeu i de Consell, de 27 d'abril de 2016, relatiu a la protecció de les persones físiques pel que fa a el tractament de dades personals i a la lliure circulació d'aquestes dades i pel qual es deroga la Directiva 95/46 / CE, i en la Llei Orgànica 3/2018, de 5 de desembre, de protecció de Dades Personals i garantia dels drets digitals i, en particular, el següent: [...] c) Sense perjudici del que disposa l'apartat 1, serà necessari el consentiment del subjecte participant llevat que sigui aplicable una altra base legítima per al tractament de les seves dades personals d'entre les referides en els articles 6.1 i 9.2 del Reglament (UE ) 2016/679 de el Parlament Europeu i de Consell, de 27 d'abril de 2016. a més, el promotor i els investigadors han d'aplicar els criteris que regeixen el tractament de dades en la investigació en salut de conformitat amb la disposició addicional dissetena de la Llei Orgànica 3/2018, de 5 de desembre.”

És a dir, aquest article estableix que, encara que no fos necessari el consentiment informat per a la realització del projecte, serà necessari el consentiment a nivell de protecció de dades o la concurrència de qualsevol de les bases legitimadores dels articles 6 i 9 del RGDP que habiliten el tractament de dades personals en el marc del corresponent estudi, i de conformitat amb la disposició addicional 17.2 de la LOPD-GDD.

- Així mateix aquest article 5, estableix altre previsions en matèria de protecció de dades en la línia del RGPD i la LOPD-GDD que a continuació detallem:

  • El promotor haurà d'haver avaluat i mitigat, mitjançant les mesures apropiades en cada cas, l'impacte que la realització de l'estudi pot tenir en la protecció de dades personals (art. 5.a).
    Aquesta previsió ens porta a la necessitat, d’abans de procedir a realitzar qualsevol tracta-ment en l’àmbit d’un estudi, analitzar els riscos que suposa el tractament, i en cas que sigui necessari procedir a realitzar la corresponent avaluació d’impacte, en el sentit establert per la disposició addicional 17.2.f.1 de la LOPD-GDD.

  • El promotor i els investigadors de l'estudi han de garantir la confidencialitat de les dades dels subjectes participants (art. 5.b).
    Aquesta previsió genèrica implica que s’han d’adoptar les mesures de seguretat necessàries per a garantir els accessos no autoritzats a les dades, la reidentificació i la seguretat de les mateixes.

  • Les condicions d'accés a les dades personals s'han de detallar en el protocol, incloent-hi les condicions de la seva transmissió internacional fora de l'àmbit de l'Espai Econòmic Europeu, si això està previst (art. 5.d).
    Un dels elements a detallar en el protocol és com s’accedirà a les dades, incorporant de forma específica la necessitat de detallar si es produeixen transferències internacionals de dade


- En la línia d’aquest article 5, trobem també la previsió de l’article 11.k, que estableix que un dels elements que requereix una avaluació per part del CEIm és precisament el compliment de la normativa de protecció de dades.

I en consonància amb això, l’Annex 1 de la norma on s’estableix quina ha de ser l’estructura i el contingut recomanat del protocol, estableix en el seu punt 10.c “Confidencialitat de les dades: les condicions d'accés i tractament de dades de caràcter personal, incloent-hi, en el cas de transmissió de les dades personals de pacients espanyols a un tercer Estat, acreditació de compliment de la normativa europea sobre protecció de dades de caràcter personal. Quan es tracti d'una investigació amb dades anònims o que s'han sotmès a un tractament de pseudonimització s'establirà en el protocol de l'estudi el procediment previst per a això”.

Per tant, tot aquest contingut, incloent a més l’establert al RGPD i la LOPD-GDD, és el que ha de contenir un protocol de recerca en relació al tractament de les dades, i el que ha de poder avaluar el CEIm.

Per a facilitar i homogeneïtzar aquesta tasca, adjuntem annex a aquesta píndola una proposta de contingut per als protocols que faciliten als investigadors completar la informació necessària i al CEIm disposar-ne de forma estructurada per a poder procedir a la seva avaluació.

CONCLUSIONS

Per tant, com a conclusió podem afirmar que en la realització dels estudis observacionals és necessari que:

1. Existeixi una base legitimadora per al tractament de les dades, no sent possible aplicar la exempció que s’aplica en el consentiment informat entès en els termes indicats en aquesta nota.

2. El responsable o responsables del tractament han de tractar les dades de conformitat a l’establert al RGPD i a la LOPD-GDD, i que aquest tractament i la forma com es du a terme quedi detallat en el protocol que es presenta al CEIm. El protocol entre d’altres a d’explicar quines bases legitimadores s’utilitzen per al tractament de les dades, la natura de les dades com a identificades anònimes o pseudonimitzades, els mecanismes emprats en cas de dur a terme un procediment d’anonimització o pseudonimització, o les mesures de seguretat aplica-des per a garantir el compliment de la normativa de protecció de dades.

Per aquestes actuacions es recomana implementar els procediments i models establerts a la Guia d'Avaluació dels aspectes derivats de la normativa de Protecció de dades en projectes de recerca i elaborades a tal efecte pel Grup de treball en Recerca del DPD.

3. Els membres del CEIm han de disposar dels suficients coneixements i eines per a poder ava-luar i documentar la corresponent avaluació dels aspectes de protecció de dades d’aquest projectes indicats en el punt anterior, i que s’han de detallar en el protocol.

4. Es recomana que prèviament a la participació de la institució en un projecte de recerca s’in-formi de manera preceptiva al CPD, per evitar actuacions que poguessin suposar un risc en el tractament de dades i en aplicació del principi de responsabilitat proactiva.