En entradas anteriores tuvimos la oportunidad de adentrarnos, a raíz de la publicación por parte del Comité Europeo de Protección de Datos de sus Directrices, en el apasionante mundo de los ensayos clínicos y el COVID-19. Parecía que estaba ya todo dicho, pero… NO. Recientemente, la AEPD ha publicado, en respuesta a una consulta recibida, un nuevo Informe acerca de la monitorización remota de ensayos clínicos y la verificación de datos en tiempos de COVID-19.

Partiendo de la base de que, en el marco de la pandemia por COVID-19, se prioriza y promueve evitar el contacto entre personas y mantener distanciamiento social; se consulta a la AEPD acerca de la necesaria monitorización y seguimiento de los ensayos clínicos con medicamentos. En particular, sobre el acceso remoto con verificación de datos fuente por parte de los monitores de los ensayos clínicos como medida excepcional y siguiendo las directrices de y en los supuestos permitidos por la Agencia Española del Medicamento y Productos Sanitarios (AEMPS).

El marco normativo sobre el que descansa el Informe -al margen del RGPD y la LOPDGDD- es el Reglamento (UE) 536/2014 sobre los ensayos clínicos de medicamentos de uso humano (el “Reglamento 536/2014“) y el Real Decreto 1090/2015 por el que se regulan los ensayos clínicos con medicamentos (el “Real Decreto 1090/2015“).

Hay dos figuras sobre las que gira el Informe y que resulta oportuno refrescar:

Bajo la perspectiva de protección de datos, y como la AEPD ha manifestado en distintas ocasiones, la relación entre el promotor y el monitor se configura bajo el esquema responsable – encargado del tratamiento, siendo el promotor el responsable del tratamiento y el monitor encargado del tratamiento del anterior[1]. Como no podía ser de otra forma, la relación entre ambas figuras se tendrá que regular en el debido contrato de encargo de tratamiento, según los términos previstos en el artículo 28 RGPD.

En su Informe, la AEPD analiza una adenda al contrato original entre el promotor y el centro sanitario que se le ha facilitado como parte de la consulta remitida, cuyo objeto es permitir la monitorización remota de los datos del ensayo.

A este respecto, la AEPD explica que es posible, como alternativa a la monitorización presencial, y en tanto la situación sanitaria lo requiera, emplear métodos de verificación de datos fuente, siempre que concurran ciertos elementos y se dé cumplimiento a las indicaciones de la AEMPS. Así pues, la AEPD señala que [l]a descripción de los criterios de la AEMPS y su asunción como un compromiso jurídico por las partes intervinientes en el ensayo permiten considerar cumplidos los requisitos de necesidad y proporcionalidad previstos en el RGPD”. Asimismo, se prevé que el monitor “llevará a cabo sus funciones conforme a los procedimientos normalizados de trabajo, accediendo únicamente a la información estrictamente necesaria para la realización de sus funciones (principio de minimización)”. Además, el promotor se ha de comprometer a cumplir con las medidas de seguridad del centro en los términos previstos en un protocolo de seguridad.

Finalmente, la AEPD analiza al contenido de protección de datos del acuerdo de confidencialidad objeto de consulta destacando varios puntos que pueden ser de interés y replicables.

[1]               No entraremos a valorar en esta entrada la relación bajo la perspectiva de protección de datos entre el monitor y los centros sanitarios, cuestión que ha sido recientemente interpretada por la Autoridad Catalana de Protección de Datos en una de sus resoluciones.