La protección de datos en la industria farmacéutica
De acuerdo con el Reglamento general de protección de datos 2016/679, la protección de las personas físicas en relación con el tratamiento de datos personales es un derecho fundamental. El artículo 8, apartado 1, de la Carta de los Derechos Fundamentales de la Unión Europea («la Carta») y el artículo 16, apartado 1, del Tratado de Funcionamiento de la Unión Europea (TFUE) establecen que toda persona tiene derecho a la protección de los datos de carácter personal que le conciernan.
Pero, ¿cómo afecta esto a la industria farmacéutica?
Hoy en día la mayoría de procesos relacionados con la prestación de servicios conllevan actividades en las que se ven implicados datos personales, pero si miramos más detalladamente en la industria, sobre todo los procesos de Farmacovigilancia o Información Médica están en contacto constante con datos personales relativos a la salud que se consideran «sensibles» y están sujetos a condiciones de tratamiento específicas. Ahora bien, la industria tiene su propia legislación y normativa a la hora de llevar a cabo estos procesos.
La controversia viene cuando hay discrepancias entre la normativa propia de la industria y la normativa propia sobre la protección de datos.
En vista de esto, la Agencia Española de Protección de Datos (AEPD) aprueba en febrero de 2022 el Código de Conducta regulador del tratamiento de datos personales en el ámbito de los ensayos clínicos y otras investigaciones clínicas y de la farmacovigilancia, promovido por Farmaindustria.
Como el propio código indica, este tiene por objeto establecer las reglas que regirán el comportamiento de los titulares de autorización de comercialización o sus representantes en España, que se adhieran al mismo en el tratamiento de datos personales de los sujetos de ensayos clínicos, pacientes y profesionales sanitarios.
Por lo tanto, para poder desarrollar las actividades de la industria farmacéutica siguiendo el principio de cumplimiento, es importante tener un conocimiento exhaustivo de ambas normativas y llevar a cabo un análisis de riesgos de cada actividad que implique el tratamiento de datos personales para tomar las medidas adecuadas de protección.
Esto afecta a los responsables de tratamiento por el principio de “responsabilidad proactiva” (Art. 5 del RGPD) al tener la obligación de comprobar que los proveedores de servicios cuentan con las medidas necesarias para cumplir el RGPD. Por otra parte, los proveedores de servicios, como encargados de tratamiento, también tenemos que cumplir la normativa que nos afecta para proteger los intereses de nuestros clientes. Para esto, es necesario tener un conocimiento extenso de la normativa e integrar la protección de datos dentro de nuestro sistema de Compliance.
Autor | María Sempere, Regulatory Affairs & Quality Assurance Manager
En Meisys contamos con un equipo de expertos en protección de datos
¿Quieres saber más sobre nuestros servicios?
Referencias
- Reglamento general de protección de datos 2016/679, 27 de abril. Diario Oficial de la Unión Europea. https://www.boe.es/doue/2016/119/L00001-00088.pdf