Es uno de los sectores en los que está siendo especialmente ardua la implementación del nuevo reglamento de protección de datos, y en especial, en su área de desarrollo clínico. Área en la que están implicados no sólo los promotores, sino también CROs, proveedores e investigadores.

La nueva GDPR incrementa el alcance de la anterior legislación en protección de datos, añade nuevos requerimientos y plantea importantes preguntas en el marco de los ensayos clínicos. Es importante el principio de responsabilidad que aparece en este nuevo Reglamento, así como el fortalecimiento de aquellos relacionados con la transparencia, confidencialidad e integridad.

Los aspectos de la investigación clínica que se ven afectados por el GDPR son:

  • Consentimiento informado dado por los sujetos que participan:
  • Se define como un acto libre, especifico, informado y no ambiguo del deseo del sujeto por el cual, mediante su consentimiento expreso, acepta que sus datos personales sean procesados. Este consentimiento debe darse explícitamente para cada proceso que se vaya a dar a sus datos.

  • Existencia de un DPO (Data Protection Officer):
  • Dado que en los ensayos clínicos se gestiona o puede gestionarse información genética, biométrica y de salud, es importante disponer de esta figura que monitorice el cumplimiento del GDPR.

  • Seudonimización vs anonimización:
  • Son dos términos que deben estar perfectamente definidos.

    Seudonimización hace referencia al procesamiento de datos personales que no pueden ser atribuidos a un sujeto concreto sin el uso de información adicional. Éste es el tipo de procesamiento realizado que se hace en los ensayos clínicos.

    La anonimización no puede usarse en este contexto pues impediría tener la trazabilidad hasta sujeto, siendo éste un requisito crucial de las GCP (Good Clinical Practices).

  • Derecho de olvido, portabilidad y acceso:
  • Los dos primeros son los que tienen mayor dificultad en su adaptación en el contexto de ensayos clínicos, puesto que se puede caer en no cumplimiento con requisitos de la regulación aplicable en esta materia.

  • Transferencia de datos fuera de la UE:
  • Aspecto que adquiere relevancia dado que es habitual la realización de estudios multinacionales en los que participan países no europeos, para los que se tendrá que evaluar su legislación en protección de datos.

 

Los promotores deben asegurar que tienen implementadas las medidas organizativas y técnicas para cada etapa de un ensayo clínico que permitan garantizar la correcta gestión y tratamiento de los riesgos derivados del procesamiento de datos personales de los sujetos participantes, mediante Políticas de protección de datos y un enfoque en Data protection by design and by default en los ensayos clínicos.