La protección de los datos sensibles en las investigaciones clínicas

Los datos relativos a la salud de los participantes en las investigaciones clínicas, por tratarse de datos sensibles, se encuentran protegidos con un tenor especial por la ley nacional 25.326 de Protección de Datos Personales. Ello por cuanto si bien el tratamiento de los datos personales del paciente realizados por los profesionales de la Salud, se hallan amparados por la garantía del secreto profesional, ocurre que en las investigaciones clínicas los datos son además tratados por un círculo de personas ajenas a la profesión médica y en consecuencia no se encuentran incluidos en el deber de cumplimiento de confidencialidad médica aludido.

Si bien el ejercicio de la profesión médica no está alcanzada por las disposiciones de la ley 25.326 en lo que respecta a la obligación de inscripción y el tratamiento de los datos sensibles que trate, los cuales quedarán amparados por el deber de secreto profesional que todo profesional está obligado a cumplir con su paciente; la actividad de investigador en el marco de un protocolo excede, en cuanto a protección de datos personales se refiere, el mero ejercicio de la profesión médica, en tanto implica el tratamiento de datos personales sensibles (datos relativos a la salud) en una investigación de la que deberá reportar información a terceros.

Adelantándonos al tema de disociación que luego desarrollaremos, es dable aclarar que si bien tal cesión se hace en la práctica en forma disociada, no siempre es del modo irreversible que prevé la ley y, en tal caso, la identidad del titular del dato podría conocerse, tanto por los profesionales de la Salud como por los monitores y autoridades regulatorias que tienen acceso a la información obrante en la historia clínica del paciente voluntario.

Ahora bien, en cuanto a la protección de los datos del paciente ¿cuál sería el documento esencial en cualquier proyecto de investigación? Ese documento es el consentimiento informado (CI), el cual atraviesa varias etapas de revisión y evaluación. Por un lado, debe ser evaluado por el investigador (quien es el responsable de proporcionarle dicho formulario y la información contenida en el mismo), luego de ello debe ser aprobado tanto por un Comité de Ética Independiente el cual determinará si los tres principios básicos de la Bioética se han cumplido –autonomía, justicia y beneficencia–-, como por la Dirección Nacional de Protección de Datos Personales (DNPDP) y por último resta brindar intervención a la ANMAT y someter el documento a su evaluación, la que centrará su revisión en cuestiones metodológicas y de diseño de este estudio clínico en particular.

Llegando a este punto es acertado tener en cuenta cuáles son los contenidos mínimos del consentimiento informado, los cuales seguidamente serán analizados:

A) Dispone el artículo 5º de la ley 25.326 que el tratamiento de los datos personales es ilícito cuando el titular no hubiere prestado su consentimiento libre, expreso e informado.

El consentimiento informado en las investigaciones clínicas, no consiste en la mera firma de un documento sino que implica un proceso de toma de consentimiento en la cual el paciente tiene que haber podido comprender la información que se le brinda, y tienen que tener el espacio y tiempo suficiente para aclarar sus dudas y definir libre y voluntariamente su deseo de participar en un determinado ensayo clínico. Por ello el lenguaje utilizado en el texto debe ser acorde a la edad del paciente (más sencillo en el caso de los asentimientos de menores) y su nivel cultural. Sin desmedro de ello, cuando el paciente no alcance a comprender los términos del documento, es el médico quien deberá colaborar para lograr su entendimiento. En este sentido, el decreto reglamentario de la ley (decreto 1558/01, art. 5º) amplía el concepto indicando que el consentimiento informado es “el que está precedido de una explicación, al titular de los datos, en forma adecuada a su nivel social y cultural, de la información a que se refiere el artículo 6º de la Ley Nº 25.326”. El citado artículo dispone, además, que cuando se recaben datos personales, se deberá informar en forma expresa y clara la finalidad para la que serán tratados; existencia del archivo, registro o banco de datos; el carácter obligatorio o facultativo de las respuestas al cuestionario que se le proponga, en especial en cuanto a los datos sensibles; las consecuencias de proporcionar los datos, de la negativa a hacerlo o de la inexactitud de los mismos; la posibilidad del interesado de ejercer los derechos de acceso, rectificación y supresión de los datos.

B) Debe manifestar expresamente que la participación del paciente en el estudio es voluntaria y, en consecuencia, puede revocarlo en cualquier momento de la investigación sin expresión de causa; y además tal revocación no tiene efectos retroactivos conforme lo dispone el artículo 5º del decreto 1558/01. Ello implica que los profesionales intervinientes en un estudio o investigación clínica o farmacológica sólo podrán hacer uso de toda la información recopilada hasta el momento de la revocación.

C) El consentimiento informado deberá manifestar expresamente que se respetará el principio de secreto profesional y se garantizará el cumplimiento de normas de confidencialidad de quienes efectúan el tratamiento de los datos.

D) Deberá informar si se realizarán cesiones respecto de la información del participante y, en su caso, si las hubiere de las transferencias internacionales que se prevean concretar.

Se destaca que en la mayoría de los Formularios de Consentimiento Informado redactados en investigaciones clínicas, al preverse las transferencias internacionales, se contemplan procedimientos de disociación de la información.

E) Indicar los procedimientos de disociación que se aplicarán.

Nuestra legislación prevé en el artículo 11 dos tipos de disociación: por un lado, la que describe el inciso d), en este caso se trata de mecanismos de disociación de los datos relativos a la salud en el cual se preserva la identidad de los titulares; y, por el otro, la que describe el inciso e) en la que se han aplicado mecanismos sobre los datos personales de manera que los titulares de los datos sean inidentificables; la información obtenida no pueda asociarse a persona determinada o determinable. En este caso cuando la técnica de disociación empleada no permite identificar a persona alguna, conforme lo previsto en el artículo 28, no aplica las normas de la Ley Nacional de Protección de Datos Personales en el tratamiento de esos datos.

Ahora bien ¿cuál sería la diferencia entre un tipo y otro de disociación? En la primera disociación descripta es necesario solicitar el consentimiento informado al paciente, atento a que aún existen mecanismos que permitan conocer quién es el titular del dato, sin embargo la norma exime de tal necesidad cuando exista razones de salud pública, de emergencia o para realizar estudios epidemiológicos. En cambio en la segunda disociación, no será necesario el consentimiento informado del titular del dato relativo a la salud, por haberse aplicado procedimientos de disociación que convierta al titular del dato en persona no determinable de modo irreversible (p.ej., destrucción de la base de datos del médico investigado en el cual se relaciona el código con su titular).

El análisis armónico de los citados incisos nos permite llegar a la conclusión que no será necesario el consentimiento informado del titular de dato relativo a la salud si se aplicaron procedimientos disociación que convierta al titular del dato en persona no determinable de modo irreversible; o cuando si bien se aplicaron mecanismos de disociación aún es posible conocer su titular, pero por razones de salud pública, de emergencia o para realizar estudios epidemiológicos, se exime la necesidad de solicitud de consentimiento del titular.

En la práctica, es común que los responsables de bases de datos confundan el tipo de disociación en cuanto consideran que pueden ceder los datos del paciente sin su consentimiento por tratarse de estudios ciegos o doble ciegos. Sin embargo, en aquellos casos en los cuales el médico investigador (u otro responsable) retiene en su poder los datos que permiten vincular al paciente con el código asignado, si bien es ciego para el cesionario sería pasible aplicar mecanismos que permitan desencriptar ese código y en consecuencia en ese caso también la cesión debe estar respaldada con el consentimiento informado del paciente.

F) Garantizar los derechos de acceso, rectificación y supresión de los datos personales del participante en el estudio o investigación.

En la práctica se plantea un caso que ha merecido frecuentes objeciones, atento a que en algunos casos se presenta un consentimiento informado traducido al español, pero que originalmente fue redactado en el exterior con las previsiones de la Comunidad Europea, en consecuencia se consignan situaciones no contempladas en nuestra legislación nacional. Ello ocurre por ejemplo con el derecho de acceso, el cual en la Decisión de la Comisión Europea 2000/520/CE (26 de julio de 2000) dictada con arreglo a la Directiva 95/46/CE del Parlamento Europeo y del Consejo, se contempla la posibilidad de no proporcionarlo a los participantes si se les explicó tal restricción cuando se unieron al ensayo y si la revelación de la información puede poner en peligro la integridad de la investigación. Sin embargo en nuestra legislación, tal situación no fue considerada.

En otras oportunidades se posterga el ejercicio del derecho de acceso hasta la finalización del estudio, no obstante ello sería también una restricción al ejercicio del derecho de acceso previsto en el artículo 14 de la ley 25.326, el cual obliga, además, al responsable del banco de datos a proporcionar la información solicitada dentro de los diez días corridos de haber sido intimado fehacientemente.

Por ello, a fin de responder a las necesidades investigativas respetando el derecho de acceso del paciente, del análisis de la normativa local, surge la posibilidad que el médico del estudio y su equipo le informen al paciente sobre la utilidad e importancia de aguardar a que el estudio se haya completado para ejercer el derecho de acceso, pero aclararle expresamente que no obstante ello, si el paciente decide tener acceso a su información médica personal antes de finalizado el estudio, se le permitirá el acceso a la misma, pero una vez revelada esa información podrá ser excluido de la investigación clínica.

Otra observación que debe formularse en cuanto a la negación del derecho de acceso a los datos relativos a la salud, es cuando se pretende justificar tal negativa en el hecho de tratarse de investigaciones exploratorias o científicas. Ello resulta a todas luces contrario al artículo 14 de la norma citada, por cuanto la ley no hace una distinción para otorgar o denegar el derecho de acceso según el objeto de la recolección, la única justificación legal para negarle al titular el ejercicio del derecho de acceso a sus datos, es la imposibilidad de relacionarlos con su titular, tal como se expusiera en el punto de disociación de los datos. Por lo tanto, de existir una mínima posibilidad de vincular las muestras con los datos identificatorios del paciente deberá brindarse su acceso independientemente de los fines para los cuales fueran recolectados.

G) Respetar el principio de calidad de los datos y finalidad de su recolección.

En cuanto al uso de los datos para la finalidad que ha sido recolectado, es oportuno señalar que la ley 25.326 en su artículo 4º prescribe que "los datos deben ser (...) pertinentes (...) en relación al ámbito y finalidad para los que se hubieren obtenido" y que "deben ser destruidos cuando hayan dejado de ser necesarios o pertinentes a los fines para los cuales hubieren sido recolectados", además el citado artículo impone el deber al responsable de la base de datos de respetar lo que se denomina el "principio de calidad de los datos", siendo un corolario de este principio el deber del responsable de la base de datos de destruirlos cuando dejen de ser necesarios para los fines que motivaron su recolección. Por lo dicho, no resulta adecuado informar al paciente que sus datos podrían ser utilizados para otras investigaciones futuras, de las cuales se desconoce su objeto y finalidad; en consecuencia, y habida cuenta que una vez concluido el estudio los datos deben ser destruidos, si en el futuro se quiere utilizar los datos de un paciente determinable en una nueva investigación, deberá en tal caso contar con un nuevo consentimiento informado del paciente, el cual deberá cumplir con los requisitos del artículo 6º y en general con las previsiones de la ley 25.326.

Por todo lo expuesto, sólo resta destacar que con la sanción del nuevo Código Civil y Comercial (CCyC) aplicable a partir del 1 de agosto de 2015, se contempla en su artículo 59 el contenido que debe receptar los consentimientos informados para actos médicos e investigaciones en Salud, los cuales son concordantes con los exigidos por la ley 25.326, que han sido analizados precedentemente.
 

Referencias normativas

Ley 25.326 (2000) de Protección de los datos personales.

Ley 26.343 (2007) de Protección de los datos personales. Modificación.

Ley 26.951 (2014). Créase el Registro Nacional “No Llame”.

Decreto 1558/2001. Apruébase la reglamentación de la ley 25.326.

Decreto 1160/2010. Modifícase el Anexo I del decreto 1558/01.

Decreto 2501/2014 - Ley 26.951 de Servicios de Telefonía. Reglamentación.
 

-----------------------------------------------------------------
Recibido: 26/05/2016; Publicado: 03/2017