Ca urmare a volumului mare de date personale utilizate, conformarea cu GDPR reprezintă un aspect important pentru sponsor, compania conducătoare de studii clinice, investigator și pentru centrul medical de recrutare a pacienţilor.

Cu doi ani în urmă, în mai 2018, toată lumea vorbea doar despre implementarea GDPR și despre faptul că această nouă lege aduce modificări pe care companiile erau mai mult sau mai puțin pregătite să le facă. Regulamentul European 2016/679 privind Protecția Datelor cu Caracter Personal (GDPR) a devenit astfel aplicabil și în România, în același timp cu celelalte state europene. Nu înțelegeam foarte bine atunci de ce trebuie ca fiecare companie să aibă o persoană dedicată acestui domeniu, de ce fiecare contract în parte trebuie actualizat cu noua clauză privind GDPR sau cum să ne protejăm de aplicarea unor amenzi usturătoare din partea autorității naționale privind Protecția datelor.

De aceea am ales să discut acest subiect cu experți în materie, din firma de avocatură Filip & Company, pentru a oferi o „traducere” a termenilor specifici GDPR pe înțelesul celor care nu sunt de specialitate, cu explicații generale, dar și specifice pentru studiile clinice.

Ce este GDPR?

GDPR este un instrument legislativ european al cărui scop este asigurarea protejării datelor cu caracter personal ale cetățenilor din statele membre UE. Chiar dacă GDPR le oferă persoanelor fizice mai multă transparență, drepturi și control asupra datelor lor, creând obligații pentru companiile care le utilizează, atunci când este corect aplicat devine un mecanism prin care companiile pot să sporească încrederea și să îmbunătățească relația pe care o au cu angajații, clienții, pacienții, participanții la studiul clinic (subiecții) sau medicii, denumiți de GDPR „persoane vizate”.

Ce sunt, de fapt, datele personale?

Datele personale reprezintă o gamă largă de informații care privesc o persoană fizică identificată sau care poate fi identificată. De exemplu, nume, adresă de e-mail, date de contact. O atenție deosebită trebuie acordată categoriilor speciale de date, mai exact cele privind sănătatea subiecților, precum date legate de afecțiuni, efecte și reacții la medicamente, istoricul medical etc., dar și datelor genetice sau biometrice (cum ar fi datele dactiloscopice).

GDPR se aplică atunci când o companie prelucrează aceste date în desfășurarea activității sale profesionale. Cei care stabilesc cum vor fi prelucrate datele se numesc „operatori”. În studiile clinice, prelucrarea cuprinde orice operațiuni desfășurate asupra unor date, cum ar fi colectarea lor și completarea diverselor formulare (de ex., consimțământul informat, formularele de raportare a cazurilor – CRFs) sau oricăror documente din dosarul de bază al studiului clinic care conțin astfel de date, deschiderea unui e-mail care conține date personale sau utilizarea unor aplicații ori sisteme informatice care stochează astfel de date.

GDPR, în schimb, nu se aplică datelor care au fost anonimizate astfel încât niciuna dintre entitățile implicate în studiu să nu mai poată identifica persoana fizică căreia îi aparțin acele informații. În studiile clinice, de cele mai multe ori sunt utilizate, însă, date pseudonimizate (prin atribuirea unui cod care permite identificarea în continuare a subiectului studiului), ceea ce nu le scutește de la aplicarea GDPR.

Cinci reguli simple pentru conformarea
cu GDPR

Există câteva reguli simple pe care companiile implicate în studii clinice trebuie să le aibă în vedere pentru conformarea cu cerințele GDPR. Trainingul personalului implicat în prelucrarea datelor cu privire la GDPR este o condiție necesară pentru înțelegerea acestor reguli.

1. Informarea persoanelor vizate și temeiul legal pentru prelucrare

Operatorii au obligația de a informa persoanele vizate cu privire la modul în care le prelucrează datele. GDPR stabilește categoriile de informații specifice care trebuie incluse în această informare. Pentru a fi eficientă, informarea trebuie făcută prin canalul de comunicare utilizat pentru interacțiunea cu respectiva persoană. De exemplu, să fie anexată formularului de consimțământ informat (IC) pentru participarea la studiu, într-o scrisoare trimisă subiecților, prin e-mail, prin afișare pe site-ul web sau pe intranet etc.

Un alt aspect important ce trebuie stabilit de la începutul unei prelucrări și inclus în nota de informare este temeiul legal al prelucrării. Acest temei diferă de IC, care este în continuare aplicabil și care are la bază concepte de etică în cercetare, și nu Protecția datelor personale. Deși consimțământul poate părea cel mai la îndemână temei pentru prelucrarea datelor, în ceea ce privește datele prelucrate pentru desfășurarea studiului clinic există alte temeiuri mai potrivite (cum ar fi obligația legală sau interesul legitim). La nivel european există o opinie a Comitetului European pentru Protecția Datelor care oferă îndrumări cu privire la temeiurile legale ce pot fi aplicate pentru prelucrările de date dintr-un studiu clinic.

2. Numirea unui DPO (Data Protection Officer)

În funcție de activitățile desfășurate și de volumul de date prelucrate, companiile vor trebui să analizeze dacă este necesar să numească un responsabil cu Protecția datelor (DPO – Data Protection Officer). Acesta are rolul de consiliere, informare și monitorizare a conformării cu GDPR la nivelul companiei. De exemplu, cel mai probabil, o organizație de cercetare clinică (CRO) de mari dimensiuni va întruni criteriile pentru numirea unui DPO.

3. Reglementarea transferurilor de date

Transferurile de date, în special ale subiecților, sunt necesare pentru desfășurarea oricărui studiu clinic. GDPR prevede obligația de a încheia contracte specifice cu entitățile care prelucrează date pe seama și la instrucțiunea operatorului („persoane împuternicite”), dar și pentru operatorii care stabilesc împreună cum vor fi prelucrate datele (denumiți „operatori asociați”). De regulă, într-un studiu clinic, sponsorul va fi considerat operator, CRO persoană împuternicită, iar centrul de recrutare a pacienților (unitatea medicală) – operator, la rândul său. În funcție de nivelul de independență în decizii și de instrucțiunile primite de la sponsor, aceste clasificări pot să difere, în funcție de specificul și de modul de organizare a studiului.

De asemenea, GDPR prevede anumite obligații specifice și atunci când datele sunt transferate în afara UE/SEE, obligații ce sunt în sarcina companiei exportatoare situate în UE.

4. Mecanisme pentru respectarea drepturilor persoanelor

GDPR le oferă persoanelor anumite drepturi specifice cu privire la datele lor, cum ar fi dreptul de a accesa datele prelucrate de un operator, de a solicita actualizarea lor, de a-și retrage acordul pentru prelucrare sau chiar, în unele cazuri, de a se opune prelucrării sau de a solicita ștergerea datelor. Pentru companii, aceasta înseamnă că trebuie să implementeze reguli despre cum vor fi gestionate asemenea cereri și să poată identifica datele pe care le prelucrează despre o anumită persoană. Pentru nerespectarea acestor obligații, un spital din Cipru a fost amendat cu 5.000 de EUR, pentru că nu a reușit să identifice toate datele din dosarul medical al pacientului, pe care le avea în sistemele sale.

5. Asigurarea securității datelor

Securitatea trebuie asigurată atât pentru documentele fizice, cât și pentru cele stocate electronic, care cuprind date personale. Lipsa măsurilor de securitate, dezvăluirea/accesul neautorizat la date este și una dintre încălcările GDPR pentru care Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal a aplicat amenzi în România. De exemplu, o farmacie din UE a fost amendată cu 275.000 de GBP pentru stocarea unor documente conținând date ale pacienților în locuri neîncuiate și neprotejate.

Un cod de conduită la nivel european

Pentru a veni în sprijinul companiilor din UE implicate în studii clinice, Federația CRO Europene (EUCROF), a hotărât prin vot inițierea unui cod de conduită legat de aplicarea și conformarea cu GDPR – „GDPR Code of Conduct for Service Providers in Clinical Research”. Acesta va acoperi toate activitățile de prelucrare a datelor asociate cu serviciile pe care CRO europene ce au aderat la acest cod le furnizează sponsorilor farma în baza contractelor de servicii.

Codul explică modul de prelucrare a datelor personale, adică datele subiecților participanți în studiu și ale personalului medical ce sunt procesate în cadrul unui studiu clinic și aduce un model unic de DPA (Data Processing Agreement) care să fie folosit peste tot la fel, ca anexă la contractele cu sponsorii.

Toate prelucrările de date legate de un protocol de studiu, de la începutul său până la ștergerea datelor în etapa de arhivare, inclusiv cele din autorizația de introducere pe piață a noii molecule, urmează să fie înțelese ca utilizare principală primară a datelor („primary use of data”).

Se vor consolida măsurile care-i solicită sponsorului sau investigatorului să înregistreze, proceseze, stocheze și să trateze datele astfel încât să poată fi raportate, interpretate și verificate cu exactitate, păstrând în același timp confidențialitatea înregistrărilor și necesitând măsuri tehnice și organizatorice adecvate pentru protejarea informațiilor și datelor cu caracter personal.

Demn de remarcat este faptul că în decembrie 2019 România a votat în favoarea adoptării Codului de conduită GDPR în studiile clinice.