La Junta Europea de Protección de Datos (“EDPB”), que está compuesta por representantes de las autoridades nacionales de protección de datos y el Supervisor Europeo de Protección de Datos, adoptó recientemente una Opinión Asesora (“Opinión”) sobre la interacción entre el Reglamento de Ensayos Clínicos de la Unión Europea (“CTR”) y el Reglamento general de protección de datos (“GDPR”). Esta opinión plantea una cuestión importante que merece ser discutida.

La Opinión de EDPB aboga por un enfoque restrictivo al uso del consentimiento como base legal para el procesamiento de datos personales en las actividades de investigación cuando se trata de protocolos de ensayos clínicos. Esto puede requerir cambios importantes en la forma como se comportan muchos actores en el área de los ensayos clínicos y dificultar que las organizaciones farmacéuticas comerciales realicen ensayos clínicos con fines de investigación en la UE. La justificación de “intereses legítimos” tiene límites inherentes, y en la mayoría de los casos otras justificaciones para el procesamiento de datos confidenciales, según lo previsto en el GDPR, no se ajustan a la forma en que las organizaciones privadas de investigación procesan los datos de los ensayos.

• El punto de vista de la Opinión sobre el consentimiento. El CTR exige que las organizaciones obtengan el consentimiento de los individuos para participar en ensayos clínicos, pero el EDPB prácticamente niega la posibilidad de confiar en el consentimiento como base legal para procesar los datos personales asociados al ensayo. Bajo el GDPR, el consentimiento debe ser libremente otorgado, específico, informado e inequívoco. El EDPB insiste en que el “libre” consentimiento significa que las personas deben tener una opción y un control reales, y que no puede haber un libre consentimiento cuando existe un “claro desequilibrio” entre la persona en cuestión y la organización que procesa sus datos personales. Según el EDPB, el desequilibrio de poderes será muy grande cuando los participantes no estén en buenas condiciones de salud, cuando pertenezcan a un grupo en desventaja económica o social, o en cualquier situación de dependencia institucional o jerárquica. Por estas razones, en opinión de la EDPB, el consentimiento no puede ser la base legal adecuada en la mayoría de los casos.
• Intereses legítimos. El EDPB considera que las organizaciones pueden invocar sus intereses legítimos para justificar el procesamiento de datos personales. Esto exige demostrar que los intereses legítimos de las organizaciones no son anulados por los intereses o derechos y libertades fundamentales de la persona en cuestión. Desafortunadamente, existe el riesgo de hacer una interpretación restrictiva de las preguntas “necesarias” y no contestadas sobre el balance entre los riesgos para la salud de los participantes y los intereses en investigación de una organización. Fundamentalmente, esta justificación por sí sola no será suficiente, ya que los datos que se procesan casi siempre califican como “datos confidenciales” según el significado del Artículo 9 GDPR.
• Tareas realizadas en el interés público. El EDPB considera el “desempeño de una tarea realizada en interés público” como una posible justificación. Estas deben estar basadas en la legislación de la UE o en una legislación de un país de la UE. Sin embargo, esta base legal (Artículo 6 (1) (e) GDPR) solo funcionaría para la investigación farmacéutica comercial realizada bajo un mandato público de la UE / país de la UE. Confiar en la legislación nacional crea complejidades e incertidumbres adicionales, especialmente en el contexto de estudios clínicos paneuropeos.

Conclusión
Las organizaciones que realizan ensayos clínicos deben revisar cuidadosamente la forma en que se adhieren a GDPR cuando procesan información que está puramente relacionadas con las actividades de investigación. El EDPB parece haber pasado por alto que, con su enfoque restrictivo hacia el consentimiento puede ser muy difícil, si no prácticamente imposible, que la industria farmacéutica comercial realice ensayos clínicos con fines de investigación en la UE. Este enfoque, que aparentemente busca “maximizar” los derechos de los sujetos a la protección de sus datos, puede poner en peligro la salud pública. Ahora corresponde al legislador de la UE y, mientras tanto, a los países de la UE proteger la investigación farmacéutica comercial especificando que todos los ensayos clínicos realizados de conformidad con CTR son de interés público.