En los ensayos y estudios clínicos se necesitan almacenar y gestionar multitud de datos de los participantes. ¿Están estos datos de los ensayos y estudios clínicos sujetos a cumplir el RGPD?
En la mayoría de los casos podemos decir que sí, que esta norma sí les aplica y deben tenerla en cuenta.
Datos anonimizados y seudonimizados
La única excepción en la que no se aplica el RGPD son los ensayos o estudios clínicos en los que esos datos son anónimos, ya que el RGPD no aplica a los datos que se consideran anónimos, como se indica en el precepto 26 de la norma:
“[...] los principios de protección de datos no deben aplicarse a la información anónima, es decir información que no guarda relación con una persona física identificada o identificable, ni a los datos convertidos en anónimos de forma que el interesado no sea identificable, o deje de serlo. En consecuencia, el presente Reglamento no afecta al tratamiento de dicha información anónima, inclusive con fines estadísticos o de investigación.”
Pero, ¿Qué considera el RGPD que es un dato anónimo?, esto es importante aclararlo porque antes de que apareciera en RGPD en el año 2018, se consideran anónimos datos que actualmente NO pueden clasificarse así.
Antes de que entrara en vigor el RGPD en 2018, la disociación de datos identificativos de los datos clínicos era la estrategia más utilizada en los ensayos y estudios clínicos, con el objetivo de anonimizar los datos clínicos de los participantes. Básicamente, se trata de no introducir ningún dato identificable del participante en la base de datos del ensayo/estudio, donde se almacenaban datos clínicos de los participantes.
Una vez eliminados los datos identificativos de la información clínica, queda resolver el problema de identificar los datos de cada participante, pues esa identificación es necesaria en muchas ocasiones durante el ensayo o estudio clínico, como por ejemplo: al añadir nuevos datos clínicos del participantes en nuevas visitas, cuando se producen reacciones adversas o cuandos los monitores tienen que comprobar los datos frente a su fuente original.
Para solucionar este problema, en la mayoría de los casos, se crea un identificador único de participante del estudio. Cuando se crea un nuevo registro en la base de datos del ensayo o estudio clínico para almacenar los datos clínicos de un nuevo participante, se crea un número único dentro de esta base de datos que servirá para identificar al nuevo participante, aunque no de manera directa.
Para saber a quién corresponde el identificador único de participante, los centros guardarán, en una base de datos alternativa (distinta a la del estudio), la relación entre el identificador único de participante del estudio y la identificación física personal del mismo (nombre, apellidos, o algún identificador personal como el DNI, número de la SS…etc), de esta forma, cuando necesitan saber qué identificador único de participante tiene una determinada persona, se busca en la base de datos alternativa.
De esta manera se logra que en los casos en los que solo se tiene acceso a la base de datos con la información clínica no es posible identificar de manera personal a los participantes, ya que con el identificador único de participante del estudio no se puede identificar físicamente a la persona. Para poder identificarla es necesario tener acceso a la base de datos alternativa, a la cual, solo tiene acceso cada uno de los centros participantes en el ensayo o estudio clínico, y además, cada centro solo tiene los datos de los participantes que han aportado ellos al ensayo o estudio clínico.
Por lo tanto, previamente a la entrada en vigor del RGPD, se entendía que los datos clínicos de los participantes eran anónimos si la base de datos del ensayo/estudio si estaba disociada, ya que con solamente esos datos no era posible saber a quién pertenecían esos datos clínicos.
Pero como decíamos, esto cambió con la llegada del RGPD, ya que el reglamento introduce un nuevo concepto, la seudonimización, que se define en el considerando 26 de la norma:
“...Los datos personales seudonimizados, que cabría atribuir a una persona física mediante la utilización de información adicional, deben considerarse información sobre una persona física identificable...”
A raíz de esta definición del RGPD, la técnica de disociación usada en los ensayos y estudios clínicos es una seudonimización de los datos, y como se indica en la norma, se considera información que permite identificar a una persona, y por lo tanto aplica el cumplimiento del RGPD.
En los únicos casos que no aplicaría la norma sería en aquellos que no se pudiera identificar de ningún modo a los participantes. Si en la base de datos del ensayo o estudio clínico no existiera el identificador único del estudio, se podrían considerar datos anónimos, siempre y cuando no se pudiera identificar a los participantes de manera indirecta con el resto de datos.
Con el estado actual de la tecnología actual es relativamente sencillo cruzar distintas fuentes de datos que podrían permitir identificar a los participantes a partir de datos que en principio pueden no parecer identificables como pueden ser la fecha de nacimiento, las iniciales del paciente u otros datos que no permiten la identificación directa de los participantes.
Por tanto, en la inmensa mayoría de los ensayos y estudios clínicos el RGPD es de obligado cumplimiento.
Obligaciones para los ensayos clínicos
Los datos relativos a salud son considerados según el artículo 9 del RGPD datos de especial protección, y como tal se le aplican normas específicas para evitar los riesgos en su tratamiento. Estas normas obliga a los ensayos y estudios clínicos a:
- Crear un registro de actividades de tratamiento y mantenerlo actualizado, donde se registren y documenten todos los tratamientos de datos personales que se realicen.
- Designar un Delegado de Protección de Datos (DPD) (artículo 37.1.c)
- Realizar una “Evaluación de impacto relativa a la protección de datos” (EIPD) (artículo 35 del RGPD)
La “Evaluación de impacto relativa a la protección de datos” (EIPD) deberá llevarse a cabo por parte de los delegados de protección de datos (a instancia del responsable de tratamiento de datos) del promotor del ensayo y de los centros participantes. En dicha evaluación, se deben definir las medidas técnicas de seguridad para garantizar la protección de los datos personales.
Medidas técnicas de seguridad para los ensayos clínicos
El RGPD no define una serie de medidas concretas de seguridad (como en normativas anteriores), sino que en función del análisis de los riesgos y la evaluación de impacto se decidirán las medidas de seguridad han de implementarse.
Cualquier medida de seguridad debe tener en cuenta los siguientes conceptos básicos sobre la seguridad de la información:
- Confidencialidad: Solo deben poder acceder a la información las personas autorizadas.
- Integridad: Que no se puedan modificar, manipular o alterar los datos por personas no autorizadas
- Disponibilidad: Poder acceder a los datos en cualquier momento que sea necesario.
- Resiliencia: Que el sistema de información pueda seguir funcionando incluso cuando es objeto de problemas o incidencias.
Según el RGPD, las medidas de seguridad deben tener en cuenta
“el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas” (art. 32)
y aunque hemos dicho que el RGPD no define unas medidas concretas de seguridad, si indica las medidas de protección mínimas que deben establecerse en su artículo 32:
a) la seudonimización y el cifrado de datos personales; b) la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento; c) la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico; d) un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.
ShareCRF y el RGPD
Cuando tienes que almacenar los datos clínicos de un ensayo clínico o estudio clínico, en la gran mayoría de los casos es de obligado cumplimiento el RGPD, y los datos de salud son datos especialmente protegidos. Esto hace que las medidas de seguridad a adoptar sean de especial importancia, y complejidad.
Desarrollar todas las medidas de seguridad necesarias para que la base de datos de los ensayos y estudios clínicos cumpla el RGDP es complejo, laborioso y difícil, por eso ShareCRF cuenta con multitud de medidas técnicas de seguridad que permiten que los ensayos y estudios clínicos que lo usan puedan cumplir el RGPD de una manera sencilla y eficaz. ShareCRF.
ShareCRF es una plataforma para la captura y gestión de los datos clínicos de ensayos clínicos que cuenta con las certificaciones ISO 27001 e ISO 9001.
Si necesitas un EDC para tu ensayo o estudio clínico solicita una demostración gratuita para conocernos.