Los protocolos relacionados con bancos de ADN para almacenar muestras de pacientes que hayan participado en algún estudio o ensayo clínico, tienen que cumplir específicamente con lo indicado en la legislación de protección de datos. Además, su desarrollo reglamentario obliga a registrar los ficheros con los datos de carácter personal de los promotores, médicos investigadores, ayudantes, personal externo, así como de los pacientes y de los familiares afectados que den su consentimiento o participen de alguna manera en el ensayo clínico.
Estos ficheros han de someterse a las auditorías obligatorias cada dos años de acuerdo con en el art. 96 del RD1720, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.
Con respecto a los datos de las muestras, se tiene que crear legalmente el fichero. Es necesario darlo de alta en el Registro General de Ficheros de la Agencia Española de Protección de Datos. Aunque pudieran parecer datos disociados, al no contener nombre, apellidos, o DNI podrían, en un momento dado, ser datos identificables, tal y como se definen en la Ley Orgánica 15/1999, de 13 de diciembre, en su articulo 3.a) Datos de carácter personal.
Este artículo señala que cualquier información concerniente a personas físicas identificadas o identificables, y se cuenta con un conjunto de datos genéticos que se recogen, se podría identificar en un futuro a los pacientes participantes voluntariamente en el ensayo y a sus familiares, por lo que es obligatorio declarar el fichero desde mi punto de vista e incorporarle todas las medidas de seguridad obligatorias.
Los datos de carácter personal sólo se podrán recoger para su tratamiento, así como someterlos a dicho tratamiento, cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido. Esto ha de ser garantizado por la Comisión de Ética responsable de hacer el seguimiento permanente de todo el ensayo.
En cuanto a las auditorías obligatorias, pueden ser realizadas de forma interna o externa. En ambos casos, todo el personal participante en las mismas debe de estar bajo contrato con deber de secreto y obligatoriedad de no difundir ninguna información. Tampoco después de cancelar el contrato o la relación laboral, y la obligación de devolver al responsable del fichero toda la información con datos personales obtenida y de destruir cualquier a la que hubiera tenido acceso durante la auditoría.
Todo esto está contemplado en la Ley Orgánica 15/1999, de 13 de diciembre, en sus artículos 10 y 12, como acceso a los datos por cuenta de terceros, con cláusulas específicas en el contrato en relación a la Protección de Datos de Carácter Personal.
En la declaración de los ficheros habrá que incluir la finalidad y usos del ensayo clínico y de todas las entidades, investigadores, y médicos o empresas asociadas participantes, así como las cesiones previstas, incluidas las cesiones internacionales de datos, que tiene que autorizar la Agencia española de Protección de Datos, e indicarlo en los formularios de información y de consentimiento de los pacientes o sus representantes legales para la recogida de muestras de ADN.
Sería interesante que se recoja en la documentación que se va a tener un especial cuidado en la cesión y en la seguridad de los datos, y la información de los estudios se podría proporcionar a las autoridades sanitarias para mejora en la planificación, evaluación e investigación sanitaria, estadísticas de Servicios Sanitarios y/o vigilancia epidemiológica.
El tema tiene una gran complejidad dada la relación habitual durante los ensayos con entidades privadas y públicas que en muchos casos son laboratorios internacionales, investigadores privados y funcionarios, transferencias internacionales, Comisiones de Ética de la Administración central o autonómicas, y la Agencia Española del Medicamento y Productos Sanitarios, siendo interesante la normalización de los protocolos de los ensayos clínicos en Códigos Tipo del artículo 32 de la Ley Orgánica de Protección de Datos.