Laboratorio de Interés legítimo: Ensayos Clínicos e Investigación médica post- RGPD

El ámbito de la investigación médica y concretamente los ensayos clínicos están viendo novedades considerables en materia de protección de datos personales: en especial con ese interés legítimo que tanto me gusta.

Estos documentos, en lo que interesa en este post, revisan pilares históricos y expanden las posibilidades respecto de la añeja letra de la Ley 14/2007 de Investigación Biomédica pre-LOPDgdd.

Los documentos de referencia son los siguientes:

• Comisión Europea: Question and Answers on the interplay between the Clinical Trials Regulation and the RGPD.

 

Un documento emitido por la Dirección General de Salud y Seguridad Alimentaria en el que, de forma bastante didáctica se describen una serie de preguntas frecuentes y sus respuestas por parte del organismo en relación con el impacto del RGPD en los ensayos clínicos.

 

• EDPB (Comité Europeo de Protección de Datos): Opinion 3/2019 concerning the Questions and Answers on the interplay between the Clinical Trials Regulation (CTR) and the General Data Protection regulation (RGPD) (art. 70.1.b)) de 23 de enero de 2019.

 

Este documento se solicitó del Comité para que clarificara su postura sobre el contenido del documento de la Comisión anteriormente mencionado.

• APDCAT (Agencia Catalana de Protección de datos): Dictámenes 15 y 18/2019.

 

Más allá del informe 073667/2018 emitido por la AEPD, se trata de los primeros dictámenes de los que este calvo asesor tiene noticia en los que una autoridad se pronuncia sobre la aplicación de la nueva LOPDgdd, y de sus correlaciones con el RGPD, y claro, con los dos primeros documentos (ensayos clínicos, investigación médica).

El documento de la Comisión se adelanta a la aplicación del nuevo Reglamento Europeo sobre Ensayos Clínicos, (ya en vigor, pero que, como en su día el RGPD, tiene suspendida su aplicación hasta que entre en funcionamiento el Portal comunitario que en él se regula).

Su aplicación definitiva se preveía para 2019, pero parece que será, ya si eso, en 2020.

 

Dos declaraciones generales relevantes del EDPB sobre ensayos clínicos:

Interesa señalar dos declaraciones de calado que se deslizan en distintos lugares del documento del Comité:

• Aplicación simultánea de RGPD y CTR

 

El CTR constituye norma específica respecto de RGPD, pero no lo deroga: ambos se aplican simultáneamente. Es decir, amigo mío, no te agarres tan rápido a ese “ley especial deroga ley general” tan nuestro, porque el Comité dice que las normas específicas deben aplicarse, sí, que para eso están, pero sin perder de vista todo el corpus del RGPD que está ahí para algo, y es simultáneamente aplicables.

Esto es, el EDPB mantiene la misma posición que sostiene respecto del nonato “Reglamento E-Privacy” y la normativa en vigor hasta que aquel llegue.

 

• El consentimiento informado es sólo una garantía más para el interesado, no una base de legitimación desde el punto de vista de la protección de datos.

 

La afirmación es de la Comisión, pero el Comité la acoge sin ambages: parece que en este tema había algún tipo de confusión.

En España este tema resulta especialmente sorprendente: no en vano nuestra tradición jurídica encarnada en la LOPD de 1999 pivotaba por entero sobre el consentimiento como base de legitimación del tratamiento por defecto: sólo cuando ostensiblemente el consentimiento no fuera practicable, se valoraban otras opciones, de forma excepcional.

Pero además el ordenamiento jurídico español estaba trufado de “habilitaciones legales” que autorizaban determinados tratamientos de datos en la normativa sectorial más variopinta.

Por último, no hay nada más generalizado que el consentimiento informado en los centros hospitalarios, siempre que tienes que pasar por una intervención o tratamiento de cierto calado.

Los tres factores han pesado lo suyo en nuestra inercia en considerar al consentimiento del sujeto como base de legitimación del tratamiento de sus datos.

Pues bien, la Comisión (y el propio Reglamento sobre ensayos clínicos, luego insistimos) clarifica algo en este ámbito que ya había sido aclarado, tiempo ha, en otros: que cuando las circunstancias del Responsable del tratamiento y del interesado hagan pensar en una situación de evidente desigualdad o de desprotección del interesado, del sujeto a los ensayos, el consentimiento no será libre y por tanto no servirá como base legal de tratamiento.

Por tanto, en este ámbito serían preferentes otras bases de legitimación, que pasamos a comentar. Entre ellas el interés legítimo, que llevamos reivindicando como base válida para datos de categoría especial desde hace mucho tiempo por aquí.

 

Otras tres cosillas no tan novedosas, pero que conviene no olvidar

Además, no debemos olvidar otras tres nociones que no son novedades, pero que definitivamente lo fueron para muchos el año pasado:

• Promotor y Centro son Responsables de tratamiento

 

Ambos, Promotor y el Centro Hospitalario, son Responsables o corresponsables del tratamiento de los datos de los interesados sujetos a los ensayos clínicos o investigación.

Y no es tan fácil hacer un contrato de corresponsabilidad, ¿verdad?

No hay más que ver los modelos autonómicos de contratos que andan por ahí.

 

• Pseudonimización no es anonimización

 

Los datos de los sujetos son pseudonimizados por imperativo legal, sí, pero siguen siendo datos personales para el Promotor o Espónsor. Esto es así porque no es lo mismo pseudonimización que anonimización, y sólo la última trae consigo la “dispensa” de aplicación de la normativa de protección de datos personales, al dejar de serlo los datos anónimos.

De acuerdo con el art. 4.5 RGPD

«Seudonimización»: “es el tratamiento de datos personales de manera tal que ya no puedan atribuirse a un interesado sin utilizar información adicional, siempre que dicha información adicional figure por separado y esté sujeta a medidas técnicas y organizativas destinadas a garantizar que los datos personales no se atribuyan a una persona física identificada o identificable”.

Y conforme al Considerando 26 del Reglamento General de Protección de Datos:

“Los principios de la protección de datos deben aplicarse a toda la información relativa a una persona física identificada o identificable. Los datos personales seudonimizados, que cabría atribuir a una persona física mediante la utilización de información adicional, deben considerarse información sobre una persona física identificable. Para determinar si una persona física es identificable, deben tenerse en cuenta todos los medios, como la singularización, que razonablemente pueda utilizar el responsable del tratamiento o cualquier otra persona para identificar directa o indirectamente a la persona física. Para determinar si existe una probabilidad razonable de que se utilicen medios para identificar a una persona física, deben tenerse en cuenta todos los factores objetivos, como los costes y el tiempo necesarios para la identificación, teniendo en cuenta tanto la tecnología disponible en el momento del tratamiento como los avances tecnológicos. Por lo tanto los principios de protección de datos no deben aplicarse a la información anónima, es decir información que no guarda relación con una persona física identificada o identificable, ni a los datos convertidos en anónimos de forma que el interesado no sea identificable, o deje de serlo. En consecuencia, el presente Reglamento no afecta al tratamiento de dicha información anónima, inclusive con fines estadísticos o de investigación.”

• La excepción del 9.2 RGPD no sirve a la vez como base general del art. 6

 

Como ya sabemos el hecho de que se traten datos de categoría especial (y los datos de salud siempre lo son), exige la aplicación de una de las bases de legitimación generales (las del art 6 RGPD) y, adicionalmente, una excepción de las del art. 9.2 RGPD.

Lo digo porque existe esa cierta tendencia de entender legitimado -sin más- un tratamiento de datos de categoría especial por la mera concurrencia de la excepción del art 9.2, asumiendo que, con ella, ya nos podemos olvidar de la base de legitimación general.

Y resulta que lo anterior sólo es cierto en el caso del consentimiento explícito.

Es un problema también bastante español, y que proviene de las mismas o parecidas razones a las comentadas respecto del error respecto del “consentimiento informado”.

Como aclara el EDPB cuando le dan ocasión, cualquier otra interpretación conduce al absurdo: que los datos de categoría especial resulten menos protegidos (por la falta de aplicación de todo lo que los arts. 5 y 6 RGPD conllevan) que los ordinarios.

Además, y como veremos a lo largo del post la determinación de la base general del art. 6 es necesaria, y tiene consecuencias prácticas muy importantes sobre todo el proceso de investigación.

 

Pero veamos esas bases de legitimación que el EDPB comenta, con énfasis en las que prefiere sobre el consentimiento:

1.- OBLIGACIÓN LEGAL

Esta base aplicaría, no en relación con las actividades de investigación propiamente dichas en los ensayos clínicos, sino en relación con el cumplimiento de obligaciones formales y procedimentales (notificación de acontecimientos adversos, archivo de historias clínicas, cesión a autoridades a efectos de inspección, como ejemplos).

Doble legitimación:

Estas operaciones de tratamiento vendrían legitimadas por el doble juego de la base general “obligación legal” –6.1.c) RGPD– y la excepción del 9.2.i RGPD.

El art. 9.2.i RGPD habilita los tratamientos de datos de categoría especial necesarios “por razones de interés público en el ámbito de la salud pública, como la protección frente a amenazas transfronterizas graves para la salud, o para garantizar elevados niveles de calidad y de seguridad de la asistencia sanitaria y de los medicamentos o productos sanitarios, sobre la base del Derecho de la Unión o de los Estados miembros que establezca medidas adecuadas y específicas para proteger los derechos y libertades del interesado, en particular el secreto profesional”.

 

2.- CONSENTIMIENTO EXPLÍCITO

Como hemos dicho, la Comisión –y el Comité- marcan claramente la diferencia entre el consentimiento informado (utilizado por imposición del Reglamento CTR que, como se ha dicho, nada tiene que ver en esto con la protección de datos personales) y el consentimiento explícito, -el que exigiría art 9.2.a del RGPD-.

En este contexto, se cuestiona la validez del consentimiento del interesado como base de legitimación. No en todos los casos, pero sí desde luego en aquellos en los que de las circunstancias se deduzca una situación de desequilibrio entre interesados y responsables del tratamiento, en los que haya motivos para creer que el interesado no ha prestado su consentimiento libremente.

El Considerando 31 CTR apunta

“en particular, si el posible sujeto de ensayo pertenece a un grupo desfavorecido desde el punto de vista económico o social, o si se encuentra en una situación de dependencia institucional o jerárquica que podría influir de manera inapropiada en la decisión sobre su participación.”

Por tanto, el EDPB recomienda una revisión de las circunstancias concurrentes en el ensayo clínico antes de basar el tratamiento en el consentimiento de los participantes.

Adicionalmente:

El consentimiento tiene que ser explícito, no meramente inequívoco. Hecho relativamente sencillo de resolver si se utilizan medios electrónicos (un doble opt-in) por ejemplo, pero que te pide darle un par de vueltas si lo que presentas es un medio «analógico».

La revocación del consentimiento trae consigo la interrupción obligatoria del tratamiento de datos personales y su bloqueo o borrado, salvo que concurra otra base de legitimación que justifique su retención. Esta problemática no aplicaría para los tratamientos basados en obligación legal (comentados anteriormente) sino sólo para las actividades de investigación científica basadas en consentimiento.

El EDPB no sólo admite, sino que considera más apropiadas que el consentimiento, las bases de interés público e interés legítimo.

 

3.- INTERÉS PÚBLICO:

La licitud del tratamiento es obvia “cuando el ensayo sea resultado de una tarea encomendada a un organismo público o privado por una ley nacional”.

La APDCAT, interpretando ya derecho nacional -sustancialmente la DA 7ª de la LOPDgdd)- declara –en coherencia con el EDPB- que “siempre que se apliquen al tratamiento las garantías adecuadas, en determinados supuestos podría ser incluso más adecuado fundamentar el tratamiento de datos de salud para finalidades de investigación médica en otras bases jurídicas diferentes del consentimiento de los afectados”.

El Dictamen 15/2019 se toma su tiempo: es largo, pero avanza paso a paso y va de menos a más: recomiendo encarecidamente su lectura.

Doble legitimación

En este caso, la legitimación vendría dada por el doble juego del

• Interés público –art 6.1.e) RGPD– vinculado a la Ley de Investigación Biomédica, que legitimaría el tratamiento ordinario.
• El art artículo 2, apartado j), en conexión con el artículo 89.1, del Reglamento General de Protección de Datos legitimaría el tratamiento de datos de salud.

El art 9.2.j) exceptúa de la prohibición general del art 9.1 RGPD los tratamientos que sean necesarios “con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, de conformidad con el artículo 89, apartado 1, sobre la base del Derecho de la Unión o de los Estados miembros, que debe ser proporcional al objetivo perseguido, respetar en lo esencial el derecho a la protección de datos y establecer medidas adecuadas y específicas para proteger los intereses y derechos fundamentales del interesado”.

 

4.- INTERÉS LEGÍTIMO

Adicionalmente, la Comisión Europea, el EDPB (y ya en España, la APDCAT) han puesto (por fin) en negro sobre blanco la posibilidad de acudir en los ensayos clínicos, no sólo al interés público sino también al interés legítimo, a través del apartado 2.d) de la misma DA 17ª:

“… en los casos en que concurran estas bases jurídicas previstas al artículo 6.1 del RGPD, apartados e) y f), el tratamiento de datos seudonimizados con finalidades de investigación previsto al apartado 2.d) de la DA 17ª, resultará habilitado, teniendo en cuenta las habilitaciones del artículo 9.2.j) de la RGPD, sin que sea imprescindible disponer del consentimiento de los afectados.”

La APDCAT (y pronto, esperamos, la AEPD) abren el melón que el pacato legislador no se atrevió a abrir.

El EDPB apunta incluso como habilitación del tratamiento de datos de salud, no sólo al 9.2.j) ya citado, sino también al 9.2.i) RGPD – “razones de interés público en el ámbito de la salud pública, (…) para garantizar elevados niveles de calidad y de seguridad de la asistencia sanitaria y de los medicamentos o productos sanitarios”-.

 

Otros temas de interés:

• El EDPB apunta también la posibilidad de reutilización de datos personales para finalidades de investigación en salud y biomédica, pero sin necesidad de recabar un consentimiento específico al efecto de los interesados (como resulta del tenor literal del art. 28.2 CTR).

 

Lo cierto es que el 5.1.b) RGPD abre una -necesaria y conveniente- autopista a estos efectos, como excepción a la regla general. En derecho nacional, esta posibilidad se canalizaría (APDCAT) a través del apartado 2.c) de la D.A. 17ª LOPDgdd.

Lógicamente esta reutilización presupone (i) un consentimiento válido prestado por el interesado, (ii) que el tratamiento secundario (no consentido específicamente) quede restringido a fines de investigación científica y (iii) la aplicación de garantías adecuadas, según el 89 RGPD.

 

• La APDCAT desarrolla también el posible tratamiento de datos sin consentimiento de los afectados, “siempre que se lleve a cabo por parte de las autoridades sanitarias e instituciones públicas competentes en vigilancia de salud pública, y únicamente si concurren circunstancias de excepcional relevancia y gravedad para la salud pública”. (Apartado 2.b) de la DA 17ª LOPDgdd).

 

• La Comisión, en la última cuestión tratada, parece validar los ensayos clínicos desarrollados hasta el momento con base en el consentimiento de los participantes: únicamente aconseja revisar la información suministrada en su momento, para en su caso, complementarla, de acuerdo con los arts. 13 y 14 RGPD y, a lo sumo, buscar un re-consent si el consentimiento inicial no alcanzaba el nuevo estándar del RGPD.

 

Muy buena semana

 

Jorge García Herrero

Abogado y Delegado de Protección de Datos