La nueva normativa existente en protección de datos (RGPD) ha sido todo un quebradero de cabeza para el ámbito de la investigación biomédica. Una de las grandes dudas que surgen es qué metodología se debe adoptar para alcanzar una armonía, de tal forma que no se frene la aplicación de la medicina personalizada.

Por ello, la AEPD ha publicado un informe en el que analiza cómo afecta la nueva normativa de Protección de Datos a la información que se maneja en las investigaciones biomédicas.

Vamos a analizar las conclusiones establecidas en dicho informe.

Normativa afectada

Las normas que regulan la protección de datos en la investigación biomédica son:

Consentimiento y finalidad de los datos

La Ley de Investigación Biomédica exige un consentimiento informado, pero ese consentimiento tiene que referirse a una investigación concreta. Se garantiza la protección de la intimidad personal y el tratamiento confidencial de los datos personales que resulten de la actividad de investigación biomédica.

Se prohíbe el uso de datos relativos a la salud de las personas con fines distintos a aquéllos para los que se prestó el consentimiento.

Según el RGPD, el tratamiento de datos de la investigación biomédica debe interpretarse teniendo en cuenta:

  • el desarrollo tecnológico;
  • la investigación fundamental y la aplicada; y
  • la financiada por el sector privado.

Respecto a los datos obtenidos de registros u otras fuentes distintas a la historia clínica, se considera que esta información tratarse con fines científicos, a reserva de condiciones y garantías adecuadas que se establezcan en la Unión Europea o en los Estados miembros.

Para publicar los resultados de una determinada investigación, siempre que deba identificarse al sujeto participante, es necesario contar también con su consentimiento expreso.

La obtención de muestras biológicas con fines de investigación requerirá obligatoriamente el consentimiento expreso y revocable del afectado. Además, se debe informar previamente de las consecuencias y los riesgos que pueda suponer tal obtención para su salud.

Cesión de datos

Para ceder datos de carácter personal a terceros ajenos a la actuación médico-asistencial o a una investigación biomédica, es obligatorio el consentimiento expreso y escrito del interesado.

Cuando los datos obtenidos del sujeto principal pudieran revelar información de carácter personal de sus familiares, la cesión a terceros requerirá el consentimiento expreso y escrito de todos los interesados.

Deber de secreto

Se exige deber de secreto a cualquier persona que, en el ejercicio de sus funciones en relación con una actuación médico-asistencial o con una investigación biomédica, cualquiera que sea el alcance que tengan una y otra, acceda a datos de carácter personal. Este deber persistirá aún una vez haya cesado la investigación o la actuación.

Excepciones al consentimiento

La norma reguladora de la investigación biomédica establece unos supuestos en los que no será necesario el consentimiento del interesado:

  • Se trate de una investigación de interés general
  • La investigación se lleve a cabo por la misma institución que solicitó el consentimiento para la obtención de las muestras.
  • La investigación sea menos efectiva o no sea posible sin los datos identificativos del sujeto fuente.
  • No conste una objeción expresa del mismo.
  • Se garantice la confidencialidad de los datos de carácter personal.

Datos especialmente protegidos

Estas categorías de datos que merecen mayor protección únicamente deben tratarse con fines relacionados con la salud cuando sea necesario en beneficio de las personas físicas y de la sociedad en su conjunto.

El RGPD define los datos genéticos y establece las condiciones para su tratamiento. La principal es un consentimiento informado que tiene que cumplir con un principio de transparencia, es decir, ofreciendo información clara al paciente y de manera accesible.

Sin embargo, se pueden establecer excepciones a la prohibición de tratar categorías especiales de datos personales cuando lo establezca la Unión Europea o los Estados miembros. Y siempre que
se den las garantías apropiadas, a fin de proteger datos personales y otros derechos fundamentales, cuando sea en interés público, en particular con fines de:

  • archivo en interés público,
  • investigación científica e histórica o
  • estadísticos.

Anonimización de la información

En el campo de la investigación es frecuente la anonimización de datos. Es el proceso por el cual deja de ser posible establecer por medios razonables el nexo entre un dato y el sujeto al que se refiere.

Se contempla bajo la pseudoidentificación, es decir, a través de un código cifrado se mantendrán los datos identificativos.

Esta herramienta favorece la confidencialidad de la información. De este modo, esta normativa refuerza así unas garantías que antes estaban limitadas.

Adaptación al RGPD

El RGPD establece novedades en cuanto a los requisitos que deben cumplirse para proteger los datos considerados sensibles y tratados en el ámbito de la investigación biomédica.

Registro de actividades de tratamiento

Con la nueva normativa, no existe un registro de ficheros, y es cada persona la que tiene que realizar su propio registro de actividades de tratamiento de datos. En relación con este registro, se considera que no debería ser necesario registrar cada proyecto de investigación como una actividad de tratamiento diferenciada. Es suficiente describir aquellas que agrupen investigaciones con una actividad similar.

Análisis de riesgos

El Reglamento dispone que se tiene que hacer un análisis previo al tratamiento de datos. Esto implica, considerar de antemano los riesgos que puede suponer para los derechos y libertades de las personas.

Una vez realizado este análisis, deben aplicarse las medidas de seguridad necesarias para evitar o reducir los riesgos detectados.

Evaluación de impacto

Una de las consecuencias más importantes de este análisis es la evaluación de impacto en la protección de datos personales.

Esta evaluación hay que realizarla cuando el tratamiento de los datos, por las tecnologías que se puedan utilizar, puedan entrañar un alto riesgo. Uno de los casos que se señala específicamente es cuando se quiere hacer un tratamiento a gran escala (Big Data). Esta será, por tanto, la práctica habitual. Estas evaluaciones tienen una gran importancia porque cuenta con la intervención de los comités de bioética en la evaluación.

Delegado de Protección de Datos

El RGPD crea la figura del Delegado de Protección de Datos (DPD), que supervise y colabore en el tratamiento de la información. Una figura que tendrá un papel importante en el campo de la investigación.

Está dotado de autonomía e independencia en el desarrollo de sus funciones.

Conclusión

En el citado informe se concluye que el RGPD y el Proyecto de Ley Orgánica de Protección de Datos, no sólo mantienen inalterado el régimen contenido en la normativa reguladora de la investigación biomédica, sino que permiten realizar una interpretación más flexible del alcance que puede darse al consentimiento prestado por los interesados. Por lo que la normativa sectorial sanitaria existente se mantiene y, además, facilita el desarrollo de la investigación biomédica.

Protección de Datos e investigación biomédica
4.7 (94.29%) 7 votos