El pasado mes de febrero, la Agencia Española de Protección de Datos (AEPD) aprobó el primer código de conducta sectorial desde la entrada en vigor del Reglamento de Protección de Datos (RGPD). El Código de Conducta regulador del tratamiento de datos personales en el ámbito de los ensayos clínicos y otras investigaciones clínicas y de la farmacovigilancia ha sido promovido y respaldado por Farmaindustria, la Asociación Nacional Empresarial de la Industria Farmacéutica que agrupa a la gran mayoría de las compañías farmacéuticas innovadoras, que representan la práctica totalidad de las ventas de medicamentos de prescripción en España.
Además de ser el primer código de conducta sectorial, también es el primer código de conducta en materia farmacéutica aprobado en Europa, por lo tanto, aunque su aplicación sea nacional, constituirá sin duda un importante referente para los países de la Unión.
De acuerdo con el art. 40 del RGPD los códigos de conducta son instrumentos de autorregulación, destinados a contribuir a la correcta aplicación del RGPD, teniendo en cuenta las características específicas de los distintos sectores de tratamiento y las necesidades específicas de las pequeñas y medianas empresas.
Los ensayos clínicos del sector farmacéutico se basan en el rigor del método científico, es decir, la recogida y estudio de datos de pacientes para el tratamiento de enfermedades. Por lo tanto, el tratamiento de datos personales es un eje fundamental de las investigaciones clínicas, y su regulación, por lo tanto, es básica. La aprobación del mencionado código de conducta viene a ofrecer más seguridad jurídica y garantías en materia de protección de datos a las empresas que se adhieren al mismo, así como a los interesados.
En particular, el código viene a establecer protocolos para la recogida de datos y regula, entre otras cosas, su codificación, la responsabilidad de los distintos intervinientes en un ensayo, las bases legitimadoras de los tratamientos, el régimen de las transferencias internacionales de datos, las obligaciones derivadas de las brechas de seguridad y el ejercicio de derechos.
Es importante señalar que con anterioridad -en 2020- la AEPD ya aprobó un Código de conducta, en ese caso, promovido por Autocontrol, la Asociación para la Autorregulación de la Comunicación Comercial. Pero dicho código no es sectorial, sino más generalista, refiriéndose al tratamiento de los datos en la actividad publicitaria. El contenido principal del mismo es el establecimiento de un sistema extrajudicial para tramitar reclamaciones sobre protección de datos y publicidad, ágil, eficaz y gratuito para las personas consumidoras.
Por otro lado, en marzo de 2021, la Agencia emitió un informe desfavorable en relación con el proyecto de Código de Conducta del sector infomediario, propuesto por la Asociación Multisectorial de la Información (ASEDIE).
Tras examinar su contenido, la AEPD en su Informe jurídico 89/2021 consideró que, en su conjunto, este no se ajusta a los principios y normas del RGPD. En particular, el motivo principal del rechazo de la Agencia en relación con el proyecto de código se debió a que en el mismo se trataban las “fuentes accesibles al público” –los datos de los de Sistemas de información crediticia con datos relativos al cumplimiento de obligaciones dinerarias, financieras o de crédito- como una base de legitimación más de tratamiento de datos personales. La AEPD declaró con rotundidad que los datos de dichas fuentes no se pueden utilizar para determinar el perfil de solvencia económica de los interesados (y en general, para ninguna otra finalidad no compatible con la original), concluyendo que el tratamiento de los datos personales publicados con fines de evaluación de la solvencia es ilícito.
La labor de la Agencia es, sin duda, sustancial en el iter de aprobación de los códigos de conducta sectoriales, importante instrumento del cumplimiento del principio de proactividad, establecido por el RGPD. Sus informes y opiniones permiten marcar el camino a seguir para la aprobación de futuros códigos que constituyen mecanismos de cumplimiento de gran apoyo para las empresas – responsables o encargados del tratamiento- del sector de referencia, que pueden contar con reglas específicas que contribuyen a la correcta aplicación del RGPD.