El "código vivo" de protección de datos de la pharma se abre a todo el SNS

La Reial Acadèmia de Farmàcia de Catalunya ha abordado este miércoles uno de los últimos avances en materia de autorregulación de la industria farmacéutica en cuanto a la protección de datos sanitarios, concretamente el primer código sectorial de Farmaindustria que además ya está aprobado por la Agencia Española de Protección de Datos desde la entrada en vigor del Reglamento General de Protección de Datos (RGPD). Un código "vivo" que está "abierto" a todo el Sistema Nacional de Salud (SNS).

En el año 2009 se lanzó el primer código tipo de protección de datos personales. Si bien, a raíz de la evolución a nivel nacional y europeo, y ligado a los nuevos derechos digitales, "se ha actualizado este código para fortalecer y asegurar los derechos fundamentales de los ciudadanos en el tratamiento de sus datos personales”, ha explicado Juan Yermo, director general de Farmaindustria.

El director general de Farmaindustria ha remarcado en la jornada 'El papel de la autorregulación en la protección de datos en investigación clínica y farmacovigilancia' que este código está abierto “a toda la industria, la investigación, la farmacovigilancia y a todas las empresas que estén o no asociadas a Farmaindustria y a todos los centros que desarrollan investigación”. Además, Yermo ha recordado que el código puede irse actualizando con el tiempo.

Y es que la investigación tecnológica médica y farmacológica no puede estar desligada al tratamiento de datos personales. Este mensaje es el que ha trasmitido Ana Bosch, directora del departamento jurídico de Farmaindustria: “Todas las personas que hacen investigación clínica manejan millones de datos personales. El código no es inamovible, ya que está prevista su revisión para acomodarlo a la normativa europea. Se aspira a que toda la industria farmacéutica se adhiera a el código al ser un referente en datos personales”.

---

Ana Bosch: "El código de Farmaindustria no es inamovible, está prevista una revisión para acomodarlo a la normativa europea"

---

La apuesta y defensa que ha realizado la Agencia Española de Protección de Datos en relación a este código es vista por la especialista como algo muy positivo. “La Agencia defenderá los postulados del código de Farmaindustria para la confección del código europeo de protección de datos. También está abierta a adaptarlo en caso que el europeo apruebe modificaciones”.

Ley de protección de datos ligada al código

El Órgano del Gobierno del Código de Conducta en Protección de Datos es la institución encargada de acompañar a los organismos que se adhieren a lo largo de su relación con el código. Pilar Nicolás, vocal de esta institución, ha recordado que “la independencia de este organismo tiene que estar garantizada para que esté acreditado y está demostrado que sus funciones y cometidos no dan lugar a conflictos de intereses”.

---

Pilar Nicolás: "El sentido del código de conducta es ayudar a que se cumpla la normativa de protección de datos"

---

Por otra parte, Nicolás ha determinado que el código de conducta de Farmaindustria “debe ser regulador de los datos personales, y se representará con la publicación del código ante la Agencia Española de Protección de Datos (AEPD). Así pues, la institución deberá, en palabras de la vocal, “información y documentación para el cumplimiento de sus funciones”.

Como consideración final, ha remarcado que el órgano de gobierno tiene claro que “el sentido del código es ayudar a que se cumpla la normativa de protección de datos en un sector determinado. Solamente se exige esto, demostrar que en este sector concreto esta proyección es adecuada”.

La experiencia de la Clínica de Navarra con el código

Por su parte, Patricia Muleiro, directora de la Unidad e Seguridad y Protección de Datos de la Clínica Universidad de Navarra, ha explicado los beneficios que ha demostrado el código cuando se ha implantado en la institución en que trabaja: “La clínica está adherida a este código de conducta desde la faceta de promotor de ensayos clínicos. Ya se conocía el código antiguo y con esta actualización se entendió de que sería de mucha ayuda. Es necesario perder el miedo a esta innovación, ya que la adhesión ha supuesto una garantía de poder demostrar el cumplimiento de las obligaciones de protección de datos”.

---

Patricia Muleiro: "La CUN está adherida a este código de conducta desde la faceta de promotor de ensayos clínicos"

---

Además, la especialista ha remarcado que incluir este nuevo marco en la Clínica Universidad de Navarra “ha servido de inspiración para la elaboración de un modelo de marca que se acompañe al contrato entre promotor y el centro”. Entre los aspectos más relevantes, Muleiro destaca que los promotores “únicamente trataron datos codificados”, además de la importancia de “la seguridad en la protección de datos en investigación clínica”.

Seguridad en protección de datos

La importancia de la seguridad en la protección de datos en investigación clínica ha sido explicada por Alexis Rodríguez, presidente del Órgano del Gobierno del Código de Conducta en Protección de Datos: “En investigación en salud, los datos afectan a la esfera más íntima del individuo. En el campo de la investigación, el primer paso de seguridad que se adopta es la codificación. Se trata del primer paso de seguridad importante a la hora de tratar estos datos”.

---

Alexis Rodríguez: "Los datos afectan a la esfera más íntima del individuo"

---

Según el especialista, los valores y características que debe tener una investigación para que sea éticamente aceptable deben ser los siguientes: “Ha de contar con un valor social, dando respuesta a preguntas relevantes que afecten a los pacientes. El valor científico es crucial, haciendo referencia al valor metodológico y a la calidad de los datos que se van a obtener”. En tercer lugar, Rodríguez destaca el respeto a los derechos y el bienestar para garantizar la seguridad y que el promotor acceda a los datos codificados de la investigación”.

Paula Martín, delegada de protección de datos en el Hospital Clínic de Barcelona, ha analizado los requisitos que se han de realizar a la hora de diseñar un proyecto de investigación basado en el tratamiento de datos personales: “El investigador principal debe asegurarse de que los datos se van a tratar conforme a unos principios, adoptando para ello las medidas adecuadas a la tipología de datos y conforme al estado de la técnica”.

---

Paula Martín: "El investigador principal debe adaptar las medidas adecuadas a la tipología de datos y conforme al estado de la técnica"

---

Además, la especialista a querido recordar la experiencia del Clínic en relación a su Comité de Ética de investigación clínica de medicamentos (CEIM): “Esta institución vela para garantizar la protección de los participantes en investigación, evaluar aspectos metodológicos, éticos y legales. Existe una guía concreta para evaluar proyectos de investigación que traten datos de salud”.

Experiencia de la Agencia de Ciberseguridad de Catalunya

Catalunya es una de las primeras comunidades autónomas que impulsó su propia Agencia de Ciberseguridad. Albert Haro, responsable del CISO de Salud en la institución, ha destacado que los objetivos de la agencia son despegar un servicio público de seguridad, impulsar una cultura de ciberseguridad en la ciudadanía en el ámbito privado, garantizar que los servicios de la administración pública sean seguros y potenciar un sector de ciberseguridad que necesita que crezca”.

Además, Haro ha destacado que cada tres horas “se llega a gestionar un incidente desde la agencia.”. Por lo que respecta al ámbito estrictamente sanitario, “la cifra es una vez cada ocho horas. Incidentes importantes al año acaban siendo unos quince, mientras que situaciones de robo de datos como el caso del Clínic, son unos tres durante el año”.