Baza juridică pentru prelucrarea datelor cu caracter personal în contextul studiilor clinice în UE: Comitetul European pentru Protecția Datelor oferă unele clarificări, dar rămân întrebări

GDPR studii clinice

Vezi și articolul nostru despre prelucrarea datelor personale în domeniul sănătății aici.

La 23 ianuarie 2019, Comitetul European pentru Protecția Datelor (“EDPB“), care este compus din reprezentanți ai autorităților naționale pentru protecția datelor și ai Autorității Europene pentru Protecția Datelor, a adoptat un aviz consultativ (“Opinia“) privind interacțiunea dintre Regulamentul UE privind studiile clinice (“CTR”) și Regulamentul general privind protecția datelor (“GDPR”).

Avizul a fost furnizat ca răspuns la o solicitare a Comisiei Europene (“CE”) de a comenta un proiect de document privind întrebările și răspunsurile pe această temă.

Baza de pornire

CTR vizează asigurarea unui nivel mai ridicat de armonizare a normelor de efectuare a studiilor clinice în întreaga UE. În acest scop, aceasta introduce, printre altele, o procedură de autorizare bazată pe o trimitere unică prin intermediul unui portal al UE, o procedură de evaluare care conduce la o decizie unică și norme privind protecția persoanelor, consimțământul informat și cerințele de transparență. CTR se așteaptă în prezent să intre în aplicare în 2020, când portalul UE necesar are funcționalitate deplină.

Opinia dezbate în mod exhaustiv posibilele temeiuri juridice pentru prelucrarea datelor cu caracter personal în contextul studiilor clinice.

  • EDPB distinge între “utilizarea primară” și “prelucrarea ulterioară” a datelor cu caracter personal.

EDPB nu urmează abordarea din Avizul 3/2013 al Grupului de lucru “Articolul 29” privind limitarea scopurilor din 3 aprilie 2013 (WP203) , care consideră că orice prelucrare ulterioară colectării inițiale este “prelucrare ulterioară”.

Mai degrabă, EDPB interpretează în general “utilizarea primară” ca orice prelucrare a datelor cu caracter personal referitoare la un protocol specific al studiului clinic pe parcursul întregului său ciclu de viață – de la începerea procesului până la eliminare la sfârșitul perioadei de arhivare. Nu este clar din Opinie dacă aceasta este o schimbare generală a interpretării sau specifică situației studiilor clinice.

În același timp, EDPB consideră că nu toate operațiunile de prelucrare referitoare la o astfel de “utilizare primară” a datelor din studiile clinice urmăresc aceleași scopuri și se încadrează în același temei juridic, deci este necesară o mai mare diferențiere (a se vedea mai jos).

  • EDPB discută, de asemenea, “utilizările secundare” ale datelor cu caracter personal, adică situațiile în care organizația responsabilă cu gestionarea, stabilirea și finanțarea studiului clinic prelucrează datele unui individ în scopuri științifice în afara domeniului de aplicare al protocolului.

Utilizarea primară a datelor din testele clinice

EDPB distinge operațiunile de prelucrare legate exclusiv de activitățile de cercetare de cele legate de stabilirea standardelor de calitate și siguranță pentru medicamente pe baza unor date fiabile și robuste. EDPB consideră că aceste două categorii intră sub incidența unor temeiuri juridice diferite.

Operațiuni de prelucrare legate de fiabilitate și scopuri de siguranță

  • Prelucrarea pentru a se conforma obligațiilor legale . În cadrul GDPR, organizațiile se pot baza pe o obligație legală la care sunt supuse în temeiul legislației UE sau în conformitate cu legislația unei țări UE pentru a justifica operațiunile de prelucrare a acestora, conform art. 6 alin. (1) lit. (c) din GDPR. CTR impune organizațiilor care efectuează studii clinice ca prelucrarea datelor cu caracter personal să se facă în scopul fiabilității și siguranței. În consecință, EDPB confirmă faptul că acest motiv de “obligație legală” permite prelucrarea datelor cu caracter personal în acest context. Acest lucru se aplică în mod special în cazul în care organizațiile sunt obligate să prelucreze date cu caracter personal pentru a-și respecta obligațiile de a pregăti rapoarte în scopuri de siguranță, de a arhiva conținutul dosarului general al studiilor clinice și dosarele medicale ale persoanelor în cauză după încheierea studiului cu obligația de a divulga datele studiului clinic autorităților naționale în contextul unei inspecții. Cu toate acestea, organizațiile care fac obiectul legilor din afara Europei care le solicită să prelucreze date cu caracter personal (de exemplu, în scopuri de siguranță sau inspecții efectuate de autoritățile din afara UE) vor trebui să identifice un alt temei juridic care să justifice activitățile de prelucrare a acestora, conform art. 6 alin. (3) din GDPR.
  • Prelucrarea datelor sensibile . EDPB consideră că prelucrarea datelor sensibile din motive de fiabilitate și siguranță în contextul studiilor clinice se poate baza pe faptul că prelucrarea este necesară din motive de interes public în domeniul sănătății publice, cum ar fi asigurarea unor standarde ridicate de calitate și siguranța asistenței medicale și a medicamentelor sau dispozitivelor medicale, pe baza legislației UE sau a legislației UE a țării, conform art. 9 alin. (2) lit. (i) din GDPR. Potrivit EDPB, acesta ar fi corespondentul art. 9 din GDPR care corespunde necesității respectării unei obligații legale prevăzute la art. 6 din GDPR, după cum am explicat mai sus.

Operațiuni de prelucrare pur legate de activitățile de cercetare

Pentru prelucrarea activităților legate de cercetare – scopul real al studiilor clinice – EDPB discută în detaliu bazele juridice conceptuale, fără a oferi răspunsuri clare.

  • Consimțământ . CTR cere organizațiilor să obțină consimțământul persoanelor pentru participarea la studiile clinice, dar EDPB respinge opinia conform căreia această cerință privind CTR poate fi, în același timp, baza legală pentru prelucrarea datelor cu caracter personal asociate procesului.
    În cadrul GDPR, consimțământul trebuie să fie dat în mod liber, specific, informat și lipsit de ambiguitate.Consimțământul explicit este necesar pentru prelucrarea datelor sensibile. EDPB insistă asupra faptului că acordul liber înseamnă că persoanele trebuie să aibă o alegere și un control real și că nu există consimțământul liber atunci când există un “dezechilibru clar” între persoana în cauză și organizația care îi prelucrează datele personale. Potrivit EDPB, va exista un astfel de dezechilibru de putere atunci când participanții nu se află în condiții de sănătate bune, atunci când fac parte dintr-un grup dezavantajat din punct de vedere economic sau social sau în orice situație de dependență instituțională sau ierarhică. Din aceste motive, în opinia EDPB, consimțământul nu va fi temeiul juridic adecvat în majoritatea cazurilor.
  • Interesul public . Ca alternativă la consimțământ, organizațiile pot să invoce că prelucrarea este necesară pentru îndeplinirea unei sarcini îndeplinite în interesul public pentru a justifica operațiunile de prelucrare, conform art. 6 alin. (1) lit. (e) din GDPR. GDPR limitează acest lucru la interesele publice ale UE sau ale unei țări UE. Mai mult, în conformitate cu EDPB, operațiunile de prelucrare în contextul studiilor clinice sunt necesare numai pentru îndeplinirea unei sarcini îndeplinite în interesul public atunci când desfășurarea studiilor clinice se încadrează în mandatul, misiunile și sarcinile atribuite unui organism public sau privat prin lege a UE.
  • Interesele legitime. Alternativ, organizațiile pot invoca interesul legitime, conform art. 6 alin. (1) lit. (f) din GDPR. Acest lucru cere organizațiilor să se asigure că interesele lor legitime nu sunt depășite de interesele sau de drepturile și libertățile fundamentale ale persoanei în cauză. Amintim că interesele legitime nu pot fi invocate, ca atare, pentru prelucrarea datelor sensibile conform art. 9 din GDPR.
  • Necesitatea contractuală (încheierea sau executarea unui contract) . EDPB nici măcar nu menționează necesitatea contractuală, existentă în art. 6 alin. (1) lit. (b) din GDPR, ca o posibilă bază pentru prelucrare.
  • Datele sensibile . EDPB discută, de asemenea, baza legală pentru prelucrarea datelor sensibile la efectuarea studiilor clinice în scopuri de cercetare. EDPB explică faptul că baza legală identificată conform art. 6 din GDPR se aplică numai dacă art. 9 din GDPR prevede o derogare specifică de la interdicția generală de a prelucra date sensibile. Prin urmare, organizațiile trebuie să stabilească dacă GDPR prevede o derogare specifică de la interdicția generală de a prelucra date sensibile conform art. 9 alin. (2) și să identifice un temei juridic adecvat pentru prelucrarea conform art. 6 din GDPR. În această lumină, art. 9 din GDPR nu oferă o bază legală pentru prelucrarea datelor, ci este o cerință suplimentară atunci când datele prelucrate sunt sensibile. În astfel de cazuri, art. 6 GDPR și art. 9 GDPR ar trebui aplicate cumulativ. Această interpretare reamintește liniile directoare ale Grupului de lucru în temeiul articolului 29 privind luarea automată a deciziilor și profilarea automată (WP251rev.01), pe care EDPB le- a aprobat oficial , în cazul în care autoritățile consideră că organizațiile “pot prelucra date [sensibile] condițiile prevăzute la articolul 9 alineatul (2), precum și o condiție din articolul 6 “. Această interpretare a GDPR ar putea fi oarecum surprinzătoare, deoarece s-ar fi putut presupune și că art. 6 și art. 9 din GDPR oferă temeiuri juridice distincte pentru prelucrarea datelor personale și, respectiv, sensibile. Cu toate acestea, este puțin probabil să existe consecințe practice, dacă există, deoarece condițiile de prelucrare a datelor sensibile conform art. 9 din GDPR sunt mai stricte decât condițiile corespunzătoare din art. 6 din GDPR. În acest sens, organizațiile care se pot baza pe o derogare de la art. 9 din GDPR ar trebui să se poată baza pe o condiție prevăzută în art. 6 din GDPR.
    În circumstanțe specifice, EDPB consideră că prelucrarea datelor sensibile în scopuri de cercetare pură poate fi justificată de interesul public în domeniul sănătății publice sau de necesitatea prelucrării în scopuri științifice, ambele bazându-se pe legislația UE sau pe o Uniune Europeană legislația națională.Potrivit EDPB, aceste motive legale prevăzute la art. 9 alin. (2) lit. (i) și art. 9 alin. (2) lit. (j) din GDPR ar trebui să se aplice în coroborare cu dispozițiile prevăzute la art. 6 din GDPR, adică necesitatea îndeplinirii unei sarcini îndeplinite în interes public sau interesele legitime ale organizației.

Utilizări secundare ale datelor din studiile clinice

EDPB discută, de asemenea, pe scurt, problema utilizării secundare a datelor din studiile clinice, adică utilizarea acestor date în scopuri științifice în afara protocolului de studiu clinic. În concordanță cu ostilitatea față de consimțământ, EDPB nici măcar nu menționează discuțiile privind posibilitățile de “consimțământ general” în acest context.

Opinia EDPB este următoarea:

(1) în cazul în care organizația responsabilă pentru gestionarea, înființarea și finanțarea studiului clinic ar dori să folosească în continuare datele cu caracter personal colectate în alte scopuri științifice decât cele definite în protocolul studiului clinic, aceasta ar necesita un alt temei juridic specific decât cel utilizat în scopul principal;

(2) cu toate acestea, este posibil ca prezumția de compatibilitate prevăzută la art. 5 alin (1) lit. (b) din GDPR să se aplice. Aceasta prevede că, în cazul în care datele sunt prelucrate ulterior în scopul arhivării în interes public sau în scopuri științifice, acestea nu sunt considerate incompatibile cu scopul inițial, cu condiția ca acestea să se realizeze în conformitate cu prevederile articolului 89 din GDPR, care prevede anumite garanții adecvate și derogări în aceste cazuri. În acest caz, organizațiile ar putea, în anumite condiții, să continue prelucrarea datelor fără a avea nevoie de un nou temei juridic;

(3) se aplică și toate celelalte obligații care decurg din legislația privind protecția datelor.

Această interpretare a EDPB este diferită de interpretarea CE din proiectul de întrebări și răspunsuri, care exclude prezumția de compatibilitate prevăzută la art. 5 alin. (1) lit. (b) din GDPR în toate împrejurările.

Concluzie

Opinia confirmă ostilitatea EDPB față de organizațiile care se bazează pe consimțământ pentru operațiunile de prelucrare a datelor. Această abordare are potențialul de a împiedica serios studiile clinice ale organizațiilor farmaceutice din Europa în absența oricărei justificări ușor accesibile pentru prelucrarea datelor cu caracter personal sensibile în acest context, dar are și un impact mult dincolo de studiile clinice. Din păcate, EDPB nu oferă niciun fel de clarificări cu privire la subiecte cum ar fi pseudonimizarea și transferurile internaționale de date cu caracter personal în contextul studiilor clinice.

Organizațiile care efectuează studii clinice ar trebui să înceapă să revadă documentația privind conformitatea cu GDPR și, în special, formularele de notificare și consimțământ, în lumina opiniei EDPB conform căreia consimțământul nu va fi adecvat în majoritatea cazurilor. Atunci când organizațiile decid să se bazeze pe consimțământ, trebuie să le permită persoanelor să-și retragă consimțământul în orice moment. Dacă retragerea consimțământului, operațiunile de prelucrare a datelor pe baza consimțământului până la acel moment rămân legale, toate activitățile de cercetare referitoare la persoana care își retrage consimțământul trebuie să înceteze dacă nu există altă bază legală care să justifice reținerea pentru o prelucrare ulterioară.

EDPB clarifică faptul că retragerea consimțământului nu afectează operațiunile de prelucrare care se bazează pe alte motive legale, cum ar fi obligațiile legale, așa cum sa explicat mai sus. Prin urmare, revizuirea modelelor existente ar trebui să includă și limbajul de notificare pentru a respecta cerințele de transparență GDPR.

Avem cea mai mare bază de articole pe GDPR din România, gratuită, pe care o poți consulta aici.


Ai nevoie de ajutor cu implementarea GDPR? Dă-ne un mail pe [email protected] sau scrie-ne mai jos.

[wpforms id=”13083″ title=”true”]
Total
3
Shares
Leave a Reply

Your email address will not be published. Required fields are marked *