El monitor de un ensayo clínico accede a datos no pseudonimizados y no requiere tener varios contratos de encargo de tratamiento.
Como no podría ser de otro modo, los ensayos clínicos son muy complejos desde la perspectiva de protección de datos de carácter personal. No solamente suponen la intervención en el procesamiento de datos de carácter sensible, es decir, datos de salud, sino que además intervienen un conjunto de entidades distintas.
Así, interviene el promotor, que, según define el Real Decreto sobre Ensayos Clínicos, es quien promueve y organiza el estudio y prepara su protocolo. También, el investigador
principal, que coordina al equipo de investigadores, pudiendo ser una persona física o jurídica. Además, la organización de investigación por contrato y el monitor, que es un punto de contacto entre el investigador principal y el promotor. Es decir, entre el equipo que ejecuta el ensayo y quien lo promueve.
De esta manera, el monitor tiene una situación muy particular porque accede a la historia clínica directamente. Y comprueba que se está cumpliendo con el protocolo, que describe el objetivo del ensayo clínico, la metodología, su diseño y demás consideraciones, asegurando el cumplimiento de la normativa. Por tanto, accede a los datos personales de los sujetos intervinientes en el estudio y de manera no anonimizada.
¿El responsable del tratamiento accede a los datos del estudio clínico?
Mientras, el promotor recibirá los datos de carácter pseudonimizado, esto es, sin nombres y apellidos, ni otros de carácter identificativo directo. Sino, por ejemplo, “el sujeto de estudio 3 mostró estas reacciones a los medicamentos”. También, puede existir una organización de investigación por contrato ocupando la posición del promotor. Por tanto, le corresponde actuar como responsable del tratamiento. Pero no accedería en principio a los datos identificativos de las personas, sino a información pseudonimizada, tal y como sucedería con el promotor.
Esto ha dado lugar a que la Agencia Española de Protección de Datos (AEPD) tenga que pronunciarse. Puesto que resulta irrelevante ser responsable o encargado, para acceder a los datos o no, es posible incluso no hacerlo nunca.
Un ejemplo de esto sucede cuando una empresa se anuncia en Facebook y se especifica una población objetivo con determinadas características. El anunciante sería el responsable del tratamiento y la red social sería la encargada. Pero, a pesar de ser el responsable, no accede a los datos de la audiencia, sino que todas las acciones las realiza directamente la encargada. Y, como las realiza para las finalidades que le ha definido el responsable, es decir, el anunciante, existiría una relación de encargado a responsable.
Aquí sucede de una manera similar, destaca la AEPD, la condición de responsable no exige el acceso efectivo a los datos, sino las potestades de decisión sobre la finalidad de investigación. Así como el contenido y uso del tratamiento, es decir, el responsable establece el protocolo y cómo se van a tratar los datos para el ensayo clínico del que se trate.
Acceso a la historia clínica, ensayos clínicos y privacidad
Por tanto, no resulta necesario que acceda directamente y puede coexistir con un responsable independiente que sí que accede a la información. En este caso, la entidad de investigación o el investigador principal, accede a los datos personales como un responsable o corresponsable en la investigación. Y como personal sanitario que es, sí que accedería a los datos personales conforme a la normativa, pero el promotor no accedería a estos datos, sino de carácter pseudonimizado. No accedería nunca a la historia clínica como tal.
La AEPD realizó un amplio análisis sobre esta cuestión y sobre las posiciones de cada una de las partes. Así, destaca, por ejemplo, que el investigador actúa como un responsable, que el monitor y los organismos de investigación por contrato actuarían como encargados.
Sin embargo, el promotor sería responsable, pero del tratamiento de datos para la investigación. Lo que es diferente del investigador principal o la entidad investigadora del centro sanitario, que serían responsables del tratamiento para la promoción de la salud, la gestión del paciente y su historia clínica.
Como vemos son finalidades distintas, sin perjuicio de que el centro sanitario tenga al final que ceder los datos al personal investigador para la realización del estudio. Lo cual deberá hacer con un consentimiento informado conforme a la normativa, puesto que los pacientes lógicamente tienen derecho a la soberanía sobre sus datos.
El monitor en los ensayos clínicos y su posición respecto de la protección de datos
Finalmente, la AEPD enfatiza que la Agencia Española del Medicamento y Productos Sanitarios ya se pronunció con anterioridad sobre la posición del monitor. Fue cuando se le planteó si tendría que tener un contrato de encargo de tratamiento con cada centro sanitario en el que interviniera, accediendo a la historia clínica. Y teniendo en cuenta lo que hemos visto, podemos decir que no, porque no accede a esta historia clínica como un responsable, sino como un encargado.
En consecuencia, quien tendrá que tener un contrato específico de cesión de datos con cada uno de los centros sanitarios será el promotor. Bastará, por tanto, que el monitor tenga un contrato de encargo de tratamiento con el promotor para la realización del ensayo clínico. Esto, independientemente de que se tratase de uno multicéntrico en el que el monitor tuviera que acceder a los datos de más de un centro sanitario. En todos estos casos actuaría como un brazo del promotor y, por tanto, como encargado de éste.