El próximo día 28 de enero se celebra el Día de la Protección de Datos, que anualmente conmemora la firma del Convenio 108 del Consejo de Europa para la protección de personas con respecto al tratamiento automatizado de datos de carácter personal. Esta iniciativa, que fue promovida en 2006 por el Comité de Ministros del Consejo de Europa, pretende impulsar el conocimiento de los derechos en materia de protección de datos y privacidad entre los ciudadanos.

Entre los eventos que tendrán lugar ese día, el Consejo de Europa y la Comisión Europea celebrarán en Bruselas la jornada titulada “Data protection 30 years later: from European to international standards”, que pretende promocionar el derecho fundamental a la protección de datos y, además, iniciará un proceso de consulta pública para modernizar el Convenio 108.

En España, la Agencia Española de Protección de Datos entregará los “Premios Protección de Datos 2010″, en su edición XIV. Estos premios reconocen el trabajo de expertos y medios de comunicación que promueven el conocimiento y la investigación en el campo de la protección de datos.

Por su parte, la Autoridad Catalana de Protección de Datos celebrará en la sede de las Instituciones Europeas en Barcelona la jornada titulada “La coordinación interna de la protección de datos en Europa”, mediante la cual se pretende profundizar en la búsqueda de las mejores prácticas de organización y gestión para el cumplimiento de la normativa sobre protección de datos de carácter personal.

También puede visitarse la página web que el Consejo de Europa a dipuesto con motivo de este día.

El pasado 15 de Julio de 2010, la Sala Tercera del Tribunal Supremo dictó tres sentencias resolviendo los recursos contencioso administrativos promovidos en 2008 por la Federación de Comercio Electrónico y Marketing Directo (antes FECEMD y ahora ADIGITAL), la Asociación Nacional de Establecimientos Financieros de Crédito (ASNEF) y el Experian Bureau de Crédito, S.A. contra el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (en adelante, “Reglamento de Protección de Datos”).

 El resultado ha sido la anulación de los siguientes artículos de dicha norma:

 Art. 11. “Verificación de datos en solicitudes formuladas a las Administraciones públicas.

Cuando se formulen solicitudes por medios electrónicos en las que el interesado declare datos personales que obren en poder de las Administraciones públicas, el órgano destinatario de la solicitud podrá efectuar en el ejercicio de sus competencias las verificaciones necesarias para comprobar la autenticidad de los datos.”

El Tribunal Supremo considera que el artículo permite a las Administraciones públicas realizar cesiones de los datos contenidos en las solicitudes que se le presentan, sin atender a los requisitos establecidos por los artículos 6 y 11 de la LOPD.

Art. 18. “Acreditación del cumplimiento del deber de información.

1. El deber de información al que se refiere el artículo 5 de la Ley Orgánica 15/1999, de 13 de diciembre, deberá llevarse a cabo a través de un medio que permita acreditar su cumplimiento, debiendo conservarse mientras persista el tratamiento de los datos del afectado.

2. El responsable del fichero o tratamiento deberá conservar el soporte en el que conste el cumplimiento del deber de informar. Para el almacenamiento de los soportes, el responsable del fichero o tratamiento podrá utilizar medios informáticos o telemáticos. En particular podrá proceder al escaneado de la documentación en soporte papel, siempre y cuando se garantice que en dicha automatización no ha mediado alteración alguna de los soportes originales.”

Es sin duda el “recorte” más relevante hecho al Reglamento de Protección de Datos, ya que este artículo regula una obligación que, en la práctica, afecta a todos los responsables de fichero con independencia de su sector de actividad.  

Así, el Tribunal Supremo interpreta que obligar a las empresas a que tengan que acreditar el cumplimiento de su deber de informar mediante una prueba que, necesariamente, deba constar documentalmente o en medios informáticos o telemáticos, constituye una obligación ex novo adicional al deber de información previsto en la LOPD, que nada dice en cuanto a la forma mediante la que debe facilitarse dicha información.

Por tanto, concluye que la LOPD ha optado por la libertad de forma a la hora de informar a un afectado (escrita, verbal, telemática, etc.), mientras que el Reglamento de Protección de Datos precisa la forma en que debe constar la prueba del cumplimiento de dicho deber, contraviniendo así la Ley.

Aunque muchos han querido ver en la anulación de este precepto la oportunidad para dejar de guardar prueba del cumplimiento de su obligación de informar a los afectados cuando recaban sus datos, en mi opinión poco ha cambiado la situación.

En primer lugar, hay que tener en cuenta que sigue vigente el artículo 12 del Reglamento de Protección de Datos, que literalmente establece:

“1. El responsable del tratamiento deberá obtener el consentimiento del interesado para el tratamiento de sus datos de carácter personal salvo en aquellos supuestos en que el mismo no sea exigible con arreglo a lo dispuesto en las leyes.

La solicitud del consentimiento deberá ir referida a un tratamiento o serie de tratamientos concretos, con delimitación de la finalidad para los que se recaba, así como de las restantes condiciones que concurran en el tratamiento o serie de tratamientos.

2. Cuando se solicite el consentimiento del afectado para la cesión de sus datos, éste deberá ser informado de forma que conozca inequívocamente la finalidad a la que se destinarán los datos respecto de cuya comunicación se solicita el consentimiento y el tipo de actividad desarrollada por el cesionario. En caso contrario, el consentimiento será nulo.

3. Corresponderá al responsable del tratamiento la prueba de la existencia del consentimiento del afectado por cualquier medio de prueba admisible en derecho.”

Queda claro pues que subsiste la obligación de guardar la prueba del consentimiento dado por el afectado. Además, hemos visto que dicho consentimiento es informado, es decir, que debe estar referido a un tratamiento o serie de tratamientos concretos, con lo que, irremediablemente, dicha prueba deberá contener la información a que hace referencia el artículo 5.1 de la LOPD en cuanto a finalidad de la recogida de los datos, destinatarios de la información, etc.). Dicha prueba deberá constar en un medio de prueba admitido en Derecho.

Pero es que no hay que olvidar que si un particular denuncia a una empresa ante la Agencia Española de Protección de Datos por no haber sido informado tal y como establece el artículo 5.1 de la LOPD, recaerá en la empresa la carga de probar su cumplimiento de dicho deber de información, para lo cual deberá contar con un medio de prueba admisible en Derecho que lo demuestre.

 Art. 38.1. “Requisitos para la inclusión de los datos.

Sólo será posible la inclusión en estos ficheros de datos de carácter personal que sean determinantes para enjuiciar la solvencia económica del afectado, siempre que concurran los siguientes requisitos:

a) Existencia previa de una deuda cierta, vencida, exigible, que haya resultado impagada y respecto de la cual no se haya entablado reclamación judicial, arbitral o administrativa, o tratándose de servicios financieros, no se haya planteado una reclamación en los términos previstos en el Reglamento de los Comisionados para la defensa del cliente de servicios financieros, aprobado por Real Decreto 303/2004, de 20 de febrero.

b) Que no hayan transcurrido seis años desde la fecha en que hubo de    procederse al pago de la deuda o del vencimiento de la obligación o del plazo concreto si aquélla fuera de vencimiento periódico.

c) Requerimiento previo de pago a quien corresponda el cumplimiento de la obligación.

De este artículo sólo se ha anulado la frase subrayada de la letra a), por entender el Tribunal Supremo que no responde a la previsión legal del artículo 4.3 de la LOPD: “Los datos de carácter personal serán exactos y puestos al día de forma que respondan con veracidad a la situación actual del afectado.”

Así, se argumenta que la defectuosa redacción de la frase no concreta aquellos procedimientos que justifican la no inclusión en los ficheros de las deudas a que aquellos se refieren, vaguedad que permite considerar que incluso cuando la reclamación se formule por el acreedor existe la imposibilidad de incluir los datos en el fichero.

Art. 38.2. “No podrán incluirse en los ficheros de esta naturaleza datos personales sobre los que exista un principio de prueba que de forma indiciaria contradiga alguno de los requisitos anteriores.

Tal circunstancia determinará asimismo la cancelación cautelar del dato personal desfavorable en los supuestos en que ya se hubiera efectuado su inclusión en el fichero.”

Tal y como expone el Tribunal Supremo, este precepto viene a significar que si hay un principio de prueba que de forma indiciaria contradiga los requisitos exigidos en el apartado 1 del artículo 38 para la inclusión de los datos en los ficheros de solvencia económica, dichos datos no podrán incluirse en el fichero. Más aún, en el párrafo segundo del apartado 2 del artículo 38 se considera como suficiente ese principio de prueba para la cancelación cautelar del dato personal desfavorable que se hubiera incluido.

El problema está en que se traslada la carga de la prueba de la concurrencia de los requisitos previstos en el artículo 38.1 al encargado del tratamiento, haciéndolo en unos términos que originan una gran inseguridad jurídica que puede dar lugar a la apertura de expedientes sancionadores.

Art. 123.2. “En supuestos excepcionales, el Director de la Agencia Española de Protección de Datos podrá designar para la realización de actuaciones específicas a funcionarios de la propia Agencia no habilitados con carácter general para el ejercicio de funciones inspectoras o a funcionarios que no presten sus funciones en la Agencia, siempre que reúnan las condiciones de idoneidad y especialización necesarias para la realización de tales actuaciones. En estos casos, la autorización indicará expresamente la identificación del funcionario y las concretas actuaciones previas de inspección a realizar.”

La anulación del precepto se fundamenta en que ni la LOPD ni la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común, contemplan o amparan esa facultad dada al Director de la Agencia por el Reglamento de Protección de Datos, máxime cuando no se concretan esos “supuestos especiales” a los que hace referencia.

Como valoración final, puede verse que la anulación de los artículos realizada por el Tribunal Supremo no tiene demasiada trascendencia para la mayoría de los responsables de fichero pertenecientes al sector privado, ya que, salvo el artículo 18, el resto hacen referencia a las administraciones Públicas o a cuestiones relacionadas con los ficheros de solvencia patrimonial y crédito.

Es un sistema que reconoce a la persona basado en “quién” es dicha persona. De esta forma, no es necesario utilizar llaves, tarjetas de identificación o contraseñas para acceder a las oficinas o a los sistemas de información y se evita el riesgo de pérdidas, robos, duplicados u olvidos.

Pues bien, si tu empresa considera que ha llegado la hora de implantar un sistema biométrico, debes tener en cuenta las siguientes obligaciones/garantías desde el punto de vista de la normativa de protección de datos:

1. Modificar ante la Agencia Española de Protección de Datos el fichero de Personal o Recursos Humanos, a los efectos que éste incluya como campo de información los datos biométricos de los trabajadores, así como para que se especifique la nueva finalidad del fichero (en el caso del ejemplo, la finalidad será el control de presencia).

2. En el momento de convocar a los trabajadores para realizar la primera lectura biométrica de sus dedos, deberá darse cumplimiento estricto al deber de información previsto en el artículo 5 de la LOPD. En este sentido, se les deberá informar de modo expreso, preciso e inequívoco:

a)  De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de dichos datos y de los destinatarios de la información.
b)   Del carácter obligatorio o facultativo de su respuesta a las preguntas que le sean planteadas.
c)   De las consecuencias de la obtención de los datos o de la negativa a suministrarlos.
d)   De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.
e)   De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante.

No será necesaria la información a que se refieren las letras b), c) y d) si el contenido de ellas se deduce claramente de la naturaleza de los datos personales que se solicitan o de las circunstancias que se recaban.

Llegado este punto conviene recordar que corresponde a la empresa la carga de probar que ha dado cumplimiento a dicho deber de información.

3. Por último la empresa, para proteger la base de datos donde se almacenen los datos biométricos, deberá adoptar todas las medidas de seguridad de NIVEL BÁSICO previstas en el Reglamento de Protección de Datos.

La Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal es de aplicación para todos aquellos datos de carácter personal registrados en soporte físico que los haga susceptibles de tratamiento, y a toda modalidad de uso posterior de estos datos por los sectores público y privado, siendo datos de carácter personal, “cualquier información concerniente a personas físicas identificadas o identificables” (arts. 2 y 3 LOPD).

Frente a este concepto encontramos el de dato disociado.

El artículo 5.1 e) del Real Decreto 1720/2007, por el cual se aprueba el Reglamento de desarrollo de la Ley Orgánica de Protección de Datos Personales, define los datos disociados como “aquellos que no permiten la identificación de un afectado o interesado”.

Por lo tanto, teniendo en cuenta los artículos citados, no se estará dentro del ámbito de aplicación de la LOPD cuando se esté tratando únicamente datos disociados que no permitan la identificación del afectado.

Esta diferenciación resulta de gran importancia cuando se plantea la posibilidad de ceder datos. El artículo 11 de la LOPD sólo permite la comunicación de datos a un tercero si se cumplen una serie de requisitos. Así pues, una empresa que entregara a otra un fichero de datos que identificaran claramente a sus clientes para la realización de un estudio de mercado que determinara las zonas de más venta, estaría realizando una cesión de datos, y podría tener problemas si no cuenta con el consentimiento previo de sus clientes.

Sin embargo, el artículo 11.6 de la Ley Orgánica establece que “Si la comunicación se efectúa previo procedimiento de disociación, no será aplicable lo establecido en los apartados anteriores”. Por lo tanto, si la empresa de nuestro ejemplo comunicara solamente aquellos datos relativos al número de ventas realizadas en relación con las provincias de origen de los compradores no estaría incurriendo una cesión de datos personales, puesto que se trataría de datos disociados mediante los cuales sería imposible determinar la identidad de los clientes.

Algunas de las situaciones en las que deben mantenerse disociados los datos son las siguientes:

Deben mantenerse disociados los datos de los pacientes de centros sanitarios de interrupción voluntaria del embarazo, cuando se acceda a los mismos para fines judiciales, epidemiológicos, de investigación o de docencia. Cuando sea necesario el acceso a los datos de la historia clínica con estas finalidades, deberá someterse a una previa disociación de los datos contenidos en la misma de manera que quede asegurado el anonimato de la paciente (a menos que la interesada haya prestado su consentimiento para ello).

Asimismo, deben mantenerse disociados los datos relativos a las personas participantes en ensayos clínicos para que sólo el investigador conozca la identidad de los participantes en los mismos. Los monitores y el promotor reciben información asociada a unas iniciales o códigos específicos, con la finalidad de que los participantes no puedan ser identificados.

En este dictamen la Agencia Catalana concluye que, aunque el acceso a los datos de carácter personal del Padrón Municipal de Habitantes por parte de la Dirección General de Policía para el ejercicio de sus competencias en materia de control y permanencia de los extranjeros en España está habilitada por la Ley 7/1985 reguladora de las Bases del Régimen Local, no es necesario ni justificado, y, por tanto, no es proporcional, desde el punto de vista de la normativa de la protección de datos, que los Ayuntamientos comuniquen de oficio a la Dirección General de Policía los datos de las personas extranjeras que se inscriban en el Padrón, habida cuenta que el objetivo establecido en la Ley se puede conseguir sin necesidad de realizar esta comunicación oficial, optando por una menos intrusiva.

En el resto de supuestos, la obtención de los datos del Padrón Municipal, por parte de las Administraciones competentes, que sean necesarias para la tramitación de los procedimientos previstos en la Ley Orgánica 4/2000 sobre derechos y libertades de los extranjeros en España y su integración social, dispone de una vía específica de acceso a través de los datos del Padrón de que dispone el Instituto Nacional de Estadística.

Tras pasar el trámite del Pleno del Congreso de los Diputados y del Senado, la Ley Orgánica 2/2010, de 3 de marzo, de salud sexual y reproductiva y de la interrupción voluntaria del embarazo, se ha publicado en el BOE, que entrará en vigor a los 4 meses a partir del día siguiente al de su publicación en el Boletín Oficial del Estado.

En la Ley existen varios artículos referidos a la protección de la intimidad y confidencialidad que están íntimamente relacionados con la protección de datos y que analizamos a continuación:

1) Los centros que presten la interrupción voluntaria del embarazo asegurarán la intimidad de las mujeres y la confidencialidad en el tratamiento de sus datos de carácter personal. Deberán, a su vez, contar con sistemas de custodia activa y diligente de las historias clínicas de las pacientes e implantar en el tratamiento de los datos las medidas de seguridad de nivel alto previstas en la normativa vigente de protección de datos de carácter personal.

2) En el momento de la solicitud de información sobre la interrupción voluntaria del embarazo, los centros, sin proceder al tratamiento de dato alguno, habrán de informar a la solicitante que los datos identificativos de las pacientes a las que efectivamente se les realice la prestación serán objeto de codificación y separados de los datos de carácter clínico asistencial relacionados con la interrupción voluntaria del embarazo.

A los efectos previstos en el párrafo anterior, se considerarán datos identificativos de la paciente su nombre, apellidos, domicilio, número de teléfono, dirección de correo electrónico, documento nacional de identidad o documento identificativo equivalente, así como cualquier dato que revele su identidad física o genética.

En el momento de la primera recogida de datos de la paciente, se le asignará un código que será utilizado para identificarla en todo el proceso.

Los centros sustituirán los datos identificativos de la paciente por el código asignado en cualquier información contenida en la historia clínica que guarde relación con la práctica de la interrupción voluntaria del embarazo, de forma que no pueda producirse con carácter general, el acceso a dicha información.

3) Únicamente será posible el acceso a los datos de la historia clínica asociados a los que identifican a la paciente, sin su consentimiento, en los casos previstos en las disposiciones legales reguladoras de los derechos y obligaciones en materia de documentación clínica.

Cuando el acceso fuera solicitado por otro profesional sanitario a fin de prestar la adecuada asistencia sanitaria de la paciente, aquél se limitará a los datos estricta y exclusivamente necesarios para la adecuada asistencia, quedando constancia de la realización del acceso.

En los demás supuestos amparados por la ley, el acceso se realizará mediante autorización expresa del órgano competente en la que se motivarán de forma detallada las causas que la justifican, quedando en todo caso limitado a los datos estricta y exclusivamente necesarios.

El informe de alta, las certificaciones médicas y cualquier otra documentación relacionada con la práctica de la interrupción voluntaria del embarazo que sea necesaria a cualquier efecto, será entregada exclusivamente a la paciente o persona autorizada por ella.

No será posible el tratamiento de la información por el centro sanitario para actividades de publicidad o prospección comercial. No podrá recabarse el consentimiento de la paciente para el tratamiento de los datos para estas actividades.

4) Los centros que hayan procedido a una interrupción voluntaria de embarazo deberán cancelar de oficio la totalidad de los datos de la paciente una vez transcurridos cinco años desde la fecha de alta de la intervención. No obstante, la documentación clínica podrá conservarse cuando existan razones epidemiológicas, de investigación o de organización y funcionamiento del Sistema Nacional de Salud, en cuyo caso se procederá a la cancelación de todos los datos identificativos de la paciente y del código que se le hubiera asignado como consecuencia de lo dispuesto en los artículos anteriores.

Lo dispuesto en el apartado anterior se entenderá sin perjuicio del ejercicio por la paciente de su derecho de cancelación, en los términos previstos en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.

El grupo de Berlín de Telecomunicaciones, nombre con el que es conocido el Grupo Internacional de Protección de Datos en Telecomunicaciones, se reunió el pasado 16 de abril para sentar las bases de un catálogo de derechos básicos de privacidad en el entorno digital.

En la reunión que tuvo lugar en Granada para tratar este tema, en la que participaron expertos de organizaciones internacionales y representantes de más de 20 autoridades de protección de datos y privacidad, se sentaron las líneas principales de este catálogo, documento que recibirá el nombre de “Carta de Granda de derechos a la privacidad en el mundo digital”. En un plazo no superior a 2 meses se prevé la aprobación de esta Carta de derechos, que actualmente está siendo revisada por todas las autoridades de protección de datos europeas.

Concretamente,  la Carta de Granada establecerá los principios básicos y las obligaciones que tanto los usuarios como los proveedores de servicios deben cumplir y respetar. La finalidad es, por tanto, “conciliar el libre flujo de información con la garantía de los derechos de privacidad y protección de los datos de las personas”.

En este sentido, respecto a los usuarios, se establece la necesidad de ser diligentes en el momento de suministrar información de terceras personas. Por tanto, se recomienda evitar esta práctica sin el consentimiento del propio interesado. Respecto a los proveedores de servicios, éstos se verán obligados a asegurarse de que los servicios que suministran son de fácil utilización y que recopilan únicamente los datos estrictamente necesarios para la prestación del servicio.

Deberemos esperar a que se apruebe esta Carta de derechos para ver cómo afecta a los servicios de la sociedad de la información.

Los derechos mencionados: derecho de acceso, rectificación, cancelación y oposición son personalísimos, y por lo tanto, son inalienables e imprescriptibles, sólo admiten el goce por parte de su titular, por sus representantes legales (en caso de incapacitados y menores de edad) o representantes voluntarios que puedan acreditar que han sido designados expresamente por el afectado (por ejemplo, aportando copia del DNI).

El Responsable de los ficheros deberá poner a disposición del afectado medios sencillos y gratuitos para el ejercicio de estos derechos, medios acerca de los cuales habrá informado al afectado en el momento de recogida de sus datos. El envío de cartas certificadas o la utilización de servicios de telecomunicaciones que implique una tarificación adicional para el afectado no se admiten por considerarse demasiado costosos para el afectado. En cambio, el Responsable de los ficheros podrá valerse de su servicios de atención al público para cumplir con esta obligación siempre que estos permitan comprobar la identidad de la persona que ejerce tales derechos.

Básicamente, la comunicación dirigida al Responsable contendrá:

• Nombre y apellidos del interesado, fotocopia de su DNI o pasaporte o firma electrónica identificativa y en su caso, el de su representante.
• Petición en que se concreta la solicitud.
• Dirección a efectos de notificaciones, fecha y firma del solicitante.
• Otros documentos acreditativos, en su caso.

Resulta primordial atender a las solicitudes de acceso, rectificación, cancelación u oposición de los afectados, incluso en aquellos casos en los que la solicitud recibida no reúna los requisitos legalmente establecidos (solicitando la subsanación del defecto), y deberá poder demostrarse siempre que ha existido tal respuesta.

La Ley ha fijado plazos máximos para dar respuesta a las solicitudes de los afectados, estos plazos varían en función del derecho ejercido (de 10 días a 1 mes). Resulta muy importante tener presentes dichos plazos ya que transcurridos los mismos sin que el Responsable haya dado respuesta expresa el afectado podrá interponer una reclamación ante la Agencia Española de Protección de Datos y esta acción puede desembocar en una sanción de 600 a 60.000 €.

Asimismo, si el afectado ejercitase su derecho ante uno de los encargados del tratamiento del Responsable, el encargado deberá comunicar dicha solicitud al responsable para que el afectado pueda ser atendido, otra opción consistirá en atenderlo él mismo si así se ha acordado.

Un ejemplo: Si sabemos que una persona ha estado “X” días de baja o que en los últimos meses ha caído en distintas bajas de forma repetida, esta información no es obligatorio que se trate como un dato especialmente protegido (según la AEPD).

El día 7 de abril de 2010 tuvo lugar en la Facultad de Medicina de la Universidad de Barcelona, una conferencia organizada por Farmaindustria y el Hospital Clínic, junto con la colaboración de varios laboratorios, sobre el Código Tipo de Farmaindustria de Protección de Datos Personales en el ámbito de la investigación clínica y de la farmacovigilancia.

De lo dicho en esta sesión no se pudo extraer nada nuevo que no se contenga en el propio código tipo, así que los ponentes vinieron a dar una visión más práctica del código.

El aspecto sobre el que más se hizo hincapié fue el de determinar si el promotor y el CRO trabajan con o sin datos personales. En este sentido, se indicaron aspectos a tener en cuenta dentro del protocolo de la investigación clínica y del protocolo de la farmacovigilancia y dentro de estos protocolos, se diferenció entre el trabajo con datos personales y datos disociados.

Antes de entrar a analizar cada protocolo se diferenciaron tres figuras LOPD: el Responsable del Fichero, el Responsable del Tratamiento y el Encargado del Tratamiento. Para cada protocolo (investigación clínica y farmacovigilancia) así como para cada forma de trabajo (con o sin datos personales) se identificaron las responsabilidades de estas tres figuras. En este sentido, pueden encontrarse en el propio Código Tipo cuadros resumen de las responsabilidades de estas tres figuras LOPD en los distintos tipos de ensayos (con datos personales o con datos disociados).

Respecto a la investigación clínica se puntualizó lo siguiente:

1. Si el promotor quiere trabajar sin datos personales, los procedimientos de disociación de datos deben ser “reales” utilizándose códigos alfanuméricos generados mediante sistemas de aleatorización. En caso de trabajar con datos personales, el promotor deberá dar de alta ante la AEPD un Fichero de Cuaderno de Recogida de Datos (FCRD).
2. En todo caso, el centro sanitario donde se lleven a cabo los ensayos deberá dar de alta un Fichero de Investigación Clínica (FIC) diferente al Fichero de Historia Clínica que pueda tener todo centro. La explicación es que si bien en el Fichero de Investigación Clínica se recogerán la mayoría de los datos de los sujetos participantes que se incluyen en sus historias clínicas, esto no significa que se deban recoger todos los datos, ya que dependiendo del estudio que se trate deberán recogerse unos u otros. Esta distinción entre ficheros responde al principio de calidad de los datos.
3. La fecha de nacimiento no se considera un dato de carácter personal si no se relaciona con ningún otro dato identificativo del sujeto. La fecha de nacimiento es un dato muy importante para determinar la dosis exacta de medicamento que debe suministrarse a un sujeto participante en un ensayo clínico. Por tanto, si únicamente se recoge como dato identificativo la fecha de nacimiento de un sujeto, el promotor estaría trabajando sin datos personales y, por tanto, no debería notificar ningún FCRD.
4. La mayoría de las veces, los cuadernos de recogida de datos provienen de la empresa matriz que resulta ser una empresa extranjera. Si los laboratorios quieren hacer ensayos clínicos sin datos personales es necesario que informen a sus monitores que no cumplimenten el campo de “Nombre”. En caso de utilización de cuadernos de recogida de datos electrónicos, es posible que la no indicación del nombre no permita al monitor seguir cumplimentando el mencionado cuaderno. Por este motivo, la persona responsable del Departamento Técnico de Farmaindustria recomienda en estos casos que se indiquen las siglas “ESP” de España u otras que permitan la identificación de la nacionalidad del laboratorio para poder continuar.
5. Si se quiere trabajar sin datos personales es muy importante que se informe al monitor que sólo va a poder acceder a los datos del Fichero de Investigación Clínica que posee el centro donde el investigador realiza el estudio, a modo de consulta y comprobación de las directrices que sigue el investigador, pero indicándole que bajo ningún concepto debe registrar dicha información en los cuadernos de recogida de datos.
6. Se mencionó la importancia de registrar en un protocolo interno la gestión de los ensayos clínicos que promueva el promotor, así como reforzarlo con Procedimientos Normalizados de Trabajo (PNT’s), sobretodo relacionados con la gestión de respuesta al ejercicio de los Derecho ARCO.

Respecto al protocolo de Farmacovigilancia, las notas más importantes que se pudieron extraer de la jornada de presentación del Código Tipo de Farmaindustria, fueron las siguientes:

1. Es necesario que las notificaciones de efectos adversos sea atendida directamente por la Unidad de Farmacovigilancia de los laboratorios, si es que terceras personas o el propio sujeto contactan con el promotor del ensayo o el titular del medicamento ya comercializado. En este caso, si el promotor trabaja con datos personales puede recoger los datos del sujeto sin ningún problema. Si el promotor no trabaja con datos personales, debe recoger el nombre del médico y el centro en el que se llevó a cabo el ensayo para poder contactar con él o indicarle al sujeto que contacte directamente con el centro en el que se realizó el estudio. En caso que deba pagarse alguna indemnización al sujeto participante en el estudio por haber experimentado efectos adversos, será el propio centro el que envíe los datos del sujeto a la aseguradora. De esta manera, el promotor se asegura no tratar datos personales de los sujetos participantes en los estudios que promueve.
2. Los notificadores de los efectos adversos pueden ser el personal sanitario, el propio consumidor (si se trata de un medicamento ya comercializado) o participante en el estudio, el representante legal y terceras personas como familiares, conocidos o allegados.
3. Si las notificaciones de reacciones adversas se reciben por los propios servicios de atención al cliente de los laboratorios, es necesario que se atiendan estas peticiones y que se envíe inmediatamente un correo electróncio a la Unidad de Farmacovigilancia que tenga el laboratorio. Una vez enviado el correo electrónico informando de la notificación de un efecto adverso, debe contactarse con dicha Unidad para que verifiquen la recepción del mismo. Una vez verificada la recepción deberá eliminarse el correo electrónico que se envía desde el servicio de atención al cliente ya que los trabajadores del laboratorio destinados a este departamento no deben acceder a este tipo de información.

En definitiva, el Código Tipo de Farmaindustria viene a dar muchas respuestas respecto a cómo cumplir con la normativa de protección de datos en el marco de la investigación clínica y la farmacovigilancia. Para facilitar el cumplimiento en materia del deber de información y de respuesta al ejercicio de derechos se incluyen modelos de avisos legales que pueden ser utilizados para dar cumplimiento a estos aspectos.

En principio, este Código Tipo no es vinculante, sólo sería vinculante para los laboratorios y CRO’s que se hubieran adherido al mismo. En cualquier caso, aunque un laboratorio no esté adherido puede seguir las recomendaciones que se establecen en el mismo, ya que así se garantiza el cumplimiento de la normativa de protección de datos en los estudios de investigación clínica y en la farmacovigilancia.