CÓDIGO DE FARMAINDUSTRIA, EL ESPEJO DE LOS DESEOS DEL SECTOR PARA EVITAR SANCIONES RGPD

Después de un largo proceso, la Agencia Española de Protección de Datos (AEPD) acaba de aprobar el primer código de conducta en privacidad en Europa para cumplir con la actual normativa de privacidad en el ámbito de (i) los ensayos clínicos, (ii) otras investigaciones clínicas y (iii) farmacovigilancia.

En palabras llanas, es un conjunto de normas y buenas prácticas de cumplimiento del Reglamento General de Protección de Datos (RGPD) para quien decida voluntariamente adherirse a cambio de conseguir ciertas ventajas jurídicas. Después de su adhesión, las normas pasarán a ser vinculantes para la entidad en cuestión.

¿Qué gana jurídicamente una empresa al adherirse?

Para empezar, el Considerando 148 del RGPD lo considera un elemento atenuador de las sanciones por incumplimiento del RGPD. Teniendo en cuenta el enorme margen de discrecionalidad de la AEPD en el sistema sancionador del RGPD (hasta 20 millones de € o el 4% de la facturación mundial anual sin un sistema de graduación detallado y vinculante), no es menor. Piensen que no es un riesgo teórico, ya que en España, con lo poco que llevamos de 2022, ya hemos visto el curso inaugurado con decenas de sanciones. Algunas menores, pero otras de centenares de miles de € y algunas de millones.

Pero hay mucho más. La AEPD ya ha indicado que si hay una reclamación/denuncia contra una entidad adherida, antes de seguir con la investigación, verificará si el mecanismo de mediación del código se ha implementado. No es una cuestión menor en absoluto ya que es algo que muchas otras entidades que ni pueden pensar en adherirse al no ser del sector agradecería en extremo.

Asimismo, la AEPD también remarcó que, por ejemplo, cuando una farmacéutica deba elegir un partner o proveedor que sea encargado del tratamiento, podrá considerar que ofrece las garantías suficientes en privacidad si está adherida a este Código. Ello ahorraría a ésta un complejo proceso de verificación de garantías que -dado los tratamientos de datos que pueden darse en el sector- necesariamente son procesos complejos.   

Habría más ventajas a tener en cuenta, pero quiero resaltar en este artículo algo que es bueno, incluso para entidades que no se adhieran al Código.

El RGPD contiene una gran cantidad de conceptos jurídicos indeterminados y de obligaciones de medios y casi de resultado. Ello deja mucha libertad a las empresas para aterrizarlo. Proporciona así libertad y flexibilidad en deterioro de seguridad jurídica.

Justamente a ello da solución del Código de Farmaindustria. En un sector con tantísimo riesgo vinculado al tratamiento de datos personales se genera ansia de seguridad. Que sea el propio organismo regulador/sancionador (la AEPD) quien apruebe y valide la forma concreta y detallada en que se debe aplicar el RGPD no tiene precio. Piensen que el Código llega no sólo a ofrecer protocolos y soluciones, aporta hasta modelos de documentos legales.

Incluso una empresa del sector que no se adhiera, siempre podrá saber cómo interpreta la AEPD como válida la forma de aplicar el RGPD a ciertos tratamientos de datos personales de alto riesgo. Por supuesto puede haber más formas legales de hacerlo pero esa, si se aplica correctamente, es casi seguro que no podrá ser sancionada por la AEPD.

Así, como el mítico Espejo de Oesed, que en la ficción mostraba los deseos de quién se reflejaba en él, el Código de Farmaindustria refleja una imagen de deseo en quiénes se ocupan de la privacidad del sector.

Independientemente de si se adhieren o no, como más se asemeje su empresa en el tratamiento de datos personales a este reflejo virtuoso (por ejemplo, mediante la imitación de buenas prácticas, decididas tras un GAP Análisis y posteriormente auditadas por una firma externa) más segura estará.

Artículo publicado en la revista de Sanidad de El Economista.