El informe jurídico de la Agencia Española de Protección de Datos (AEPD) aborda la consulta de una entidad que actúa como intermediaria en ensayos clínicos, facilitando el soporte económico a los pacientes y manteniendo su anonimato frente al laboratorio promotor. La consulta se centra en determinar las obligaciones de la entidad en relación con el cumplimiento del Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD).
El informe comienza recordando que las actividades de investigación biomédica están reguladas por el Reglamento 536/2014, la Ley 14/2007 y el Real Decreto 1090/2015. Además, el tratamiento de datos personales derivado de estas actividades se rige por el RGPD y la LOPDGDD. La entidad consultante se define como un mero intermediario que no tiene acceso a datos médicos de los pacientes, limitándose a facilitar el soporte económico y garantizar el anonimato.
El informe analiza las categorías de intervinientes en el tratamiento de datos personales según el RGPD: responsable del tratamiento, corresponsables del tratamiento y encargado del tratamiento. Se destaca que el RGPD exige una atribución clara de responsabilidades para garantizar la protección de los derechos y libertades de los interesados.
En cuanto a la figura del encargado del tratamiento, el RGPD establece que es la persona o entidad que trata datos personales por cuenta del responsable del tratamiento. El informe subraya la importancia de que el responsable del tratamiento seleccione encargados que ofrezcan suficientes garantías para cumplir con el RGPD. Además, se requiere un contrato o acto jurídico que vincule al encargado respecto del responsable, especificando las instrucciones y responsabilidades de cada parte.
El informe también aborda las obligaciones generales del responsable y del encargado del tratamiento, incluyendo la necesidad de adoptar medidas técnicas y organizativas adecuadas para garantizar la protección de los datos. Se mencionan situaciones específicas que requieren una evaluación de impacto en la protección de datos, como el tratamiento de categorías especiales de datos o el tratamiento masivo de datos personales.
En el caso concreto de la entidad consultante, se concluye que, si actúa como intermediaria por cuenta del laboratorio promotor del ensayo, tendrá la cualidad de encargado del tratamiento y estará sujeto a las obligaciones correspondientes. Sin embargo, si presta algún servicio al Centro Hospitalario, podría ser considerado encargado del tratamiento del Centro, dependiendo de la relación contractual existente entre ambas partes.
En resumen, el informe de la AEPD subraya la importancia de definir claramente las responsabilidades en el tratamiento de datos personales, especialmente en el contexto de ensayos clínicos. La entidad consultante debe asegurarse de cumplir con las obligaciones del RGPD y la LOPDGDD, dependiendo de su rol específico como encargado del tratamiento, ya sea por cuenta del laboratorio o del Centro Hospitalario.