En los sectores farmacéutico y sanitario, los procesos de farmacovigilancia y los ensayos clínicos implican un tratamiento exhaustivo y sensible de datos personales, especialmente datos relativos a la salud. La figura del Delegado de Protección de Datos (DPO, por sus siglas en inglés) es crucial para garantizar que estas actividades se desarrollen conforme al marco normativo aplicable, evitando sanciones y asegurando los derechos de los interesados.
El papel del DPO no se limita a la supervisión técnica: conlleva una responsabilidad activa y estratégica que requiere una comprensión profunda tanto del Reglamento General de Protección de Datos (RGPD) como de la normativa específica en el ámbito biomédico.
Uno de los elementos fundamentales que el DPO debe tener en su radar es la correcta implementación de medidas de cumplimiento normativo a lo largo de todo el ciclo de vida del dato, desde la recogida en la fase inicial del ensayo hasta su almacenamiento y eliminación. Este análisis, asociado al servicio de Protección de datos, resulta indispensable en un sector donde la privacidad, la transparencia y la seguridad deben estar garantizadas con el máximo rigor.
¿Qué implica la farmacovigilancia desde el punto de vista del RGPD?
La farmacovigilancia consiste en la monitorización continua de la seguridad de los medicamentos una vez han sido comercializados. Este proceso implica la recopilación, evaluación y prevención de efectos adversos, lo que conlleva inevitablemente el tratamiento de datos personales de pacientes, profesionales sanitarios y otros informantes.
Claves normativas a considerar
Base jurídica: el tratamiento se basa principalmente en el cumplimiento de una obligación legal o en el interés público (art. 6.1.c y 6.1.e del RGPD), y cuando se tratan categorías especiales de datos (como los relativos a la salud), en el art. 9.2.i.
Finalidad limitada: los datos deben usarse únicamente para los fines de seguridad y vigilancia del medicamento, sin reutilización para propósitos incompatibles.
Transparencia: se deben proporcionar políticas de privacidad claras, incluso cuando la recopilación no es directa del interesado.
Ensayos clínicos: complejidad y sensibilidad en el tratamiento de datos
En los ensayos clínicos, los riesgos en materia de privacidad aumentan debido a la intensidad del tratamiento, el volumen de datos y su grado de confidencialidad.
Los DPO deben prestar especial atención a:
Evaluaciones de impacto (EIPD)
Una Evaluación de Impacto en Protección de Datos es obligatoria en ensayos clínicos que impliquen tratamiento sistemático y a gran escala de datos sensibles. El DPO debe revisar su contenido, asegurar que se abordan todos los riesgos detectados y que se han implementado medidas correctivas adecuadas.
Consentimiento informado
Aunque el consentimiento informado es esencial desde el punto de vista ético y legal del ensayo, no siempre será la base jurídica válida según el RGPD. El DPO debe distinguir entre consentimiento ético y consentimiento de protección de datos, velando por que este último sea libre, específico, informado e inequívoco si se utiliza como base jurídica.
¿Qué debe revisar específicamente el DPO en estos procesos?
A continuación, detallamos los principales puntos de control y revisión que debe ejercer el Delegado de Protección de Datos en farmacovigilancia y ensayos clínicos:
1. Registro de actividades de tratamiento
El DPO debe verificar que las organizaciones responsables mantienen un registro actualizado de las actividades de tratamiento vinculadas tanto a farmacovigilancia como a ensayos clínicos, incluyendo:
Finalidades del tratamiento
Categorías de interesados y de datos
Bases jurídicas
Cesiones o transferencias internacionales
Plazos de conservación
2. Evaluación de legitimación y proporcionalidad
Debe comprobarse que:
La base legal está correctamente identificada
Solo se tratan los datos estrictamente necesarios
Se minimizan los datos anonimizando o seudonimizando siempre que sea posible
3. Políticas de transparencia y derechos
El DPO debe garantizar que:
Las políticas de privacidad estén redactadas de forma comprensible
Se facilite el ejercicio de derechos de los interesados (acceso, rectificación, supresión, limitación, etc.)
Exista un canal eficaz de respuesta a solicitudes
4. Transferencias internacionales de datos
En el caso de ensayos o colaboraciones internacionales, el DPO deberá revisar las garantías aplicadas a las transferencias de datos fuera del Espacio Económico Europeo, como cláusulas contractuales tipo o decisiones de adecuación.
5. Relación con encargados del tratamiento
Muchos procesos son externalizados, especialmente en ensayos multicéntricos o plataformas de notificación de efectos adversos. El DPO debe asegurar que:
Existen contratos de encargo ajustados al art. 28 del RGPD
Se han auditado las medidas técnicas y organizativas implementadas por el encargado
Se mantiene una supervisión constante del cumplimiento
6. Seguridad de la información
Aunque no es un experto técnico, el DPO debe asegurarse de que existen medidas de seguridad adecuadas y proporcionales, como:
Control de accesos
Cifrado de datos
Gestión de incidencias
Protocolos de copia de seguridad
En este sentido, el seguimiento constante del cumplimiento en proyectos de investigación debe integrarse dentro de un plan estratégico más amplio de Protección de datos, supervisado con criterio profesional.
Buenas prácticas y recomendaciones para el DPO
A la luz de lo anterior, recopilamos algunas recomendaciones esenciales:
Integrarse desde el diseño: participar desde el inicio de cada nuevo ensayo o sistema de farmacovigilancia, como parte de la estrategia de «privacy by design».
Colaborar con comités éticos: establecer una comunicación fluida y transversal.
Formación continua: actualizar conocimientos sobre normativa clínica, bioética y protección de datos.
Supervisión activa: auditar periódicamente y no limitarse a funciones pasivas de consulta.
Consecuencias del incumplimiento
La falta de control por parte del DPO puede derivar en:
Sanciones económicas por parte de la AEPD
Daño reputacional severo
Pérdida de confianza de pacientes y organismos reguladores
Obstáculos en la publicación de resultados científicos
Por ello, contar con un programa integral de cumplimiento normativo, acompañado de un DPO competente, es una exigencia y no una opción.
Cómo afrontar con garantías estos retos
El contexto regulatorio actual exige un enfoque técnico y legal altamente especializado. Las organizaciones deben diseñar estrategias de cumplimiento normativo en las que el DPO actúe como un agente de control y de impulso de la cultura de protección de datos.
En Audidat, aplicamos este enfoque con una solución integral de asesoramiento en Protección de datos, alineada con los estándares sectoriales, adaptada al perfil de cada organización y sin compromiso inicial. Contáctanos si necesitas asegurar que tus procesos de farmacovigilancia y ensayos clínicos cumplen todos los requisitos legales.
Preguntas frecuentes sobre la revisión del DPO en farmacovigilancia y ensayos clínicos
¿Es obligatorio realizar una Evaluación de Impacto en Protección de Datos para un ensayo clínico?
Sí, si el tratamiento de datos incluye información sensible a gran escala, el RGPD exige una EIPD, que debe ser revisada y validada por el DPO.
¿Puede usarse el consentimiento como base jurídica en farmacovigilancia?
No es lo habitual. En farmacovigilancia, el tratamiento de datos se basa generalmente en obligaciones legales y no en el consentimiento del afectado.
¿Qué medidas de seguridad debe verificar el DPO?
El DPO debe asegurarse de que se aplican medidas como cifrado, control de accesos, seudonimización, y protocolos ante brechas de seguridad.
¿Cómo debe el DPO gestionar las transferencias internacionales en ensayos clínicos?
Debe revisar si se aplican garantías adecuadas, como cláusulas contractuales tipo o decisiones de adecuación, y que se documenten correctamente.
