23.9.2009   

ES

Diario Oficial de la Unión Europea

C 229/19

1.

El 10 de diciembre de 2008, la Comisión adoptó dos propuestas relativas a la modificación del Reglamento (CE) no 726/2004 y de la Directiva 2001/83/CE respectivamente (3). El Reglamento (CE) no 726/2004 del Parlamento Europeo y del Consejo (4) establece procedimientos comunitarios para la autorización y el control de medicamentos de uso humano y veterinario y crea la Agencia Europea de Medicamentos (en los sucesivo, «la EMEA»). La Directiva 2001/83/CE del Parlamento Europeo y del Consejo (5) contiene normas relativas al código comunitario sobre medicamentos para uso humano y regula procesos específicos de los Estados miembros a escala nacional. Las propuestas de modificación se refieren a las partes de ambos instrumentos que se ocupan de la farmacovigilancia de medicamentos de uso humano.

2.

La farmacovigilancia puede definirse como la ciencia y las actividades relativas a la detección, evaluación, comprensión y prevención de los efectos adversos de los medicamentos (6). El sistema de farmacovigilancia vigente en Europa permite que los pacientes y los profesionales sanitarios notifiquen reacciones adversas de los medicamentos a los organismos públicos y privados competentes de los ámbitos nacional y europeo. La EMEA gestiona una base de datos europea (la base de datos EudraVigilance), que funciona como punto centralizado para administrar y notificar sospechas de reacciones adversas causadas por medicamentos.

3.

La farmacovigilancia se considera un complemento necesario al sistema comunitario de autorización de medicamentos que se remonta a 1965, año en que se adoptó la Directiva 65/65/CEE del Consejo (7).

4.

De las exposiciones de motivos y de la evaluación del impacto adjunta a las propuestas se deriva que el sistema vigente de farmacovigilancia tiene algunas deficiencias como, por ejemplo, la falta de claridad por lo que se refiere a las funciones y responsabilidades de los diversos participantes, la complicación de los procedimientos de notificación de reacciones adversas de medicamentos, la necesidad de potenciar la transparencia y la comunicación en cuanto a la seguridad de los medicamentos y la necesidad de racionalizar la planificación de la gestión del riesgo de los medicamentos.

5.

El objetivo general de ambas propuestas consiste en remediar estas deficiencias y mejorar y potenciar el sistema comunitario de farmacovigilancia con la finalidad general de mejorar la protección de la salud pública, garantizando al mismo tiempo el buen funcionamiento del mercado interior y simplificando las normas y los procedimientos actuales (8).

6.

El funcionamiento general del sistema vigente de farmacovigilancia se basa en el tratamiento de datos personales. Estos datos se incluyen en la notificación de las reacciones adversas a medicamentos y pueden considerarse datos relativos a la salud («datos sanitarios») de las personas de que se trate, ya que desvelan información sobre el uso de medicamentos y sobre los problemas de salud relacionados con ellos. El tratamiento de dichos datos está sometido a normas estrictas de protección de datos según se dispone en el artículo 10 del Reglamento (CE) no 45/2001 y en el artículo 8 de la Directiva 95/46/CE (9). La importancia de proteger dichos datos ha sido puesta de relieve recientemente en varias ocasiones por el Tribunal Europeo de Derechos Humanos en el contexto del artículo 8 del Convenio Europeo para la Protección de los Derechos Humanos y de las Libertades Fundamentales. Este Tribunal ha afirmado que la protección de los datos personales, en particular los datos médicos, reviste una importancia fundamental para que las personas puedan disfrutar del derecho al respeto de la vida privada y de la vida familiar que garantiza el artículo 8 del Convenio (10).

7.

A pesar de esto, en el texto actual del Reglamento (CE) no 726/2004 y de la Directiva 2001/83/CE no se hace ninguna referencia a la protección de datos, salvo una referencia específica que se ha incluido en el Reglamento que se tratará a partir del punto 21.

8.

El Supervisor Europeo de Protección de Datos (SEPD) lamenta que en las propuestas de modificación no se consideren los aspectos de la protección de datos y que no se le haya consultado oficialmente en relación con ambas propuestas de modificación de conformidad con lo dispuesto en el artículo 28, apartado 2 del Reglamento (CE) no 45/2001. El presente Dictamen se basa, por consiguiente, en el artículo 41, apartado 2 de dicho Reglamento. El SEPD recomienda que se incluya una referencia a este Dictamen en el preámbulo de ambas propuestas.

9.

El SEPD toma nota de que, aunque la protección de datos no se considere suficientemente en el marco jurídico vigente relativo a la farmacovigilancia ni tampoco en estas propuestas, la aplicación práctica del sistema comunitario central EudraVigilance plantea claramente cuestiones de protección de los datos. Con este fin, la EMEA notificó el sistema vigente EudraVigilance al SEPD en junio de 2008 para que se realizara un control previo en virtud del artículo 27 del Reglamento (CE) no 45/2001.

10.

El presente Dictamen y las conclusiones del SEPD sobre el control previo (cuya publicación se espera para finales de este año) necesariamente se solaparán en alguna medida. Sin embargo, cada instrumento se centra en un aspecto diferente: mientras que el presente Dictamen se centra en el marco jurídico general en que se basa el sistema tal como se deriva del Reglamento (CE) no 726/2004 y de la Directiva 2001/83/CE, así como de las propuestas de modificación de ambos instrumentos, el control previo constituye un análisis detallado de la protección de datos que se centra en la solución de las normas vigentes en instrumentos posteriores (por ejemplo Decisiones y directrices) publicados por la EMEA o por la Comisión y la EMEA conjuntamente, y en el funcionamiento del sistema EudraVigilance en la práctica.

11.

En este Dictamen se brinda, en primer lugar, una explicación simplificada del sistema de farmacovigilancia de la UE tal como se deriva del Reglamento (CE) no 726/2004 y de la Directiva 2001/83/CE en su redacción actual. Posteriormente, se analiza la necesidad del tratamiento de datos personales en el contexto de la farmacovigilancia. Después de esto, se tratan las propuestas de la Comisión destinadas a mejorar el marco jurídico vigente y el previsto, y se hacen recomendaciones sobre cómo garantizar y mejorar las normas relativas a la protección de datos.

12.

En la Unión Europea, son varios los agentes que participan en la recopilación y difusión de información sobre los efectos adversos de los medicamentos. A escala nacional, los dos agentes principales son los titulares de las autorizaciones de comercialización (empresas autorizadas a comercializar medicamentos) y las autoridades nacionales competentes (autoridades responsables de las autorizaciones de comercialización). Las autoridades nacionales competentes autorizan productos a través de procedimientos nacionales, que incluyen el «procedimiento de reconocimiento mutuo» y el «procedimiento descentralizado» (11). En relación con los productos que se autorizan a través del denominado «procedimiento centralizado», la Comisión Europea también puede actuar como autoridad competente. Un participante adicional importante a nivel europeo es la EMEA. Una de las tareas de esta agencia es velar por la difusión de la información sobre reacciones adversas a medicamentos autorizados en la Comunidad, mediante una base de datos, la base de datos mencionada anteriormente EudraVigilance.

13.

La Directiva 2001/83/CE se refiere en términos generales a la responsabilidad de los Estados miembros de administrar un sistema de farmacovigilancia en que se recopila información que sea «útil para la supervisión de medicamentos» (artículo 102). En virtud de los artículos 103 y 104 de la Directiva 2001/83/CE [véanse también los artículos 23 y 24 del Reglamento (CE) no 726/2004], los titulares de la autorización de comercialización deben haber establecido su propio sistema de farmacovigilancia para asumir la responsabilidad y la obligación de rendir cuentas por los productos que haya comercializado y garantizar que se puedan adoptar las medidas adecuadas cuando sea necesario. Se recopila la información procedente de los profesionales sanitarios o de los pacientes directamente. El titular de la autorización de comercialización debe facilitar electrónicamente a la autoridad competente toda la información pertinente para la relación beneficio-riesgo del medicamento.

14.

La propia Directiva 2001/83/CE no es muy precisa sobre qué tipo de información sobre efectos adversos debe recopilarse a nivel nacional, cómo debe almacenarse o cómo debe notificarse. Los artículos 104 y 106 únicamente hacen referencia a que se han de elaborar informes. En las directrices elaboradas por la Comisión tras consultar con la EMEA, los Estados miembros y las partes interesadas en virtud del artículo 106, figuran normas más detalladas sobre dichos informes. En estas directrices sobre farmacovigilancia para medicamentos de uso humano (en lo sucesivo, «las directrices») se hace referencia a los denominados informes sobre casos de seguridad específicos, que son informes sobre efectos adversos de medicamentos en relación con un paciente específico (12). De las directrices se deriva que un elemento de la información mínima requerida en los informes sobre casos de seguridad específicos es el «paciente identificable» (13). Se indica que el paciente puede ser identificado mediante sus iniciales, el número de paciente, la fecha de nacimiento, el peso, la altura y el sexo, el número de registro del hospital, la información sobre el historial clínico del paciente, la información sobre los padres del paciente (14).

15.

Al poner de relieve la identificabilidad del paciente, el tratamiento de esta información se mantiene claramente dentro del ámbito de las normas sobre protección de los datos establecidas en la Directiva 95/46/CE. Efectivamente, aunque no se mencione el paciente por su nombre, es posible identificarlo reuniendo los diversos elementos de información (por ejemplo, el hospital, la fecha de nacimiento, las iniciales) y en condiciones específicas (por ejemplo, en las comunidades cerradas o en lugares pequeños). Por lo tanto, debería considerarse que la información tratada en el contexto de la farmacovigilancia se refiere, en principio, a una persona física identificable en el sentido del artículo 2, letra a) de la Directiva 95/46/CE (15). Aunque esto no se aclare en el Reglamento ni en la Directiva, en las directrices sí se reconoce cuando se declara que la información debe ser todo lo completa que sea posible, teniendo en cuenta la legislación de la UE sobre la protección de datos (16).

16.

Debe subrayarse que, a pesar de las directrices, la forma de notificar efectos adversos a nivel nacional dista de ser uniforme, lo que se trata más detalladamente en los puntos 24 y 25 infra.

17.

La base de datos EudraVigilance mantenida por la EMEA desempeña un papel crucial en el sistema de farmacovigilancia de la UE. Como se ha mencionado anteriormente, EudraVigilance es una red y un sistema de gestión centralizados de tratamiento de datos cuya finalidad consiste en notificar y evaluar sospechas de reacciones adversas durante el desarrollo y tras la autorización de comercialización de medicamentos en la Comunidad Europea y en los países que forman parte del Espacio Económico Europeo. La base jurídica de la base de datos EudraVigilance es el artículo 57, apartado 1, letra d) del Reglamento (CE) no 726/2004.

18.

La base de datos EudraVigilance actual tiene dos componentes: 1) la información dimanante de los ensayos clínicos (que tienen lugar antes de que se comercialice el medicamento, por lo que el período se denomina «período previo a la autorización») y 2) información que se deriva de informes sobre efectos adversos (recopilada posteriormente, por lo que el período se denomina «período posterior a la autorización»). El presente Dictamen se centra en el período posterior a la autorización, ya que las propuestas de modificación así lo hacen.

19.

La base de datos EudraVigilance contiene datos sobre pacientes que se derivan de los informes sobre casos de seguridad específicos. Las autoridades nacionales competentes [véase el artículo 102 de la Directiva 2001/83/CE y el artículo 22 del Reglamento (CE) no 726/2004], y en algunos casos los titulares de la autorización de comercialización directamente [véase el artículo 104 de la Directiva 2001/83/CE y el artículo 24 del Reglamento (CE) no 726/2004], facilitan a la EMEA informes sobre casos de seguridad específicos.

20.

El presente Dictamen se centra en el tratamiento de la información personal relativa a los pacientes. No obstante, conviene observar que la base de datos EudraVigilance también recopila información personal sobre las personas que trabajan para la autoridad nacional competente o sobre los titulares de la autorización de comercialización cuando introducen información en la base de datos. El nombre completo, la dirección, los datos de contacto y datos del documento de identificación de estas personas se mantienen en el sistema. Otra categoría de información personal es la de los datos relativos a las personas denominadas «personas cualificadas responsables en materia de farmacovigilancia», nombradas por los titulares de la autorización de comercialización de conformidad con el artículo 103 de la Directiva 2001/83/CE, como se ha mencionado anteriormente. Obviamente, los derechos y las obligaciones dimanantes del Reglamento (CE) no 45/2001 se aplican plenamente al tratamiento de esta información.

21.

En el artículo 57, apartado 1, letra d) del Reglamento (CE) no 726/2004 se dispone que todos los Estados miembros podrán consultar la base de datos de forma permanente. Los profesionales de los servicios sanitarios, los titulares de autorizaciones de comercialización y el público en general deben tener, por consiguiente, niveles adecuados de acceso a esta base de datos, en la que se garantizará la protección de los datos personales. Como se ha indicado anteriormente en el punto 7, ésta es la única disposición tanto en el reglamento como en la Directiva 2001/83/CE que hace referencia a la protección de datos.

22.

El artículo 57, apartado 1, letra d) ha llevado al siguiente régimen de acceso. Una vez que la EMEA recibe un informe sobre un caso de seguridad específico, este se introduce directamente en la pasarela de EudraVigilance, a la que la EMEA, las autoridades nacionales competentes y la Comisión pueden acceder plenamente. Después de que la EMEA haya validado el informe (mediante la comprobación de que es auténtico y único), la información recogida en él se transfiere a la base de datos. La EMEA, las autoridades nacionales competentes y la Comisión pueden acceder plenamente a la base de datos, mientras que los titulares de autorizaciones de comercialización solamente pueden acceder a la base de datos con determinadas restricciones, a saber, pueden acceder solamente a los datos que ellos mismos hayan facilitado a la EMEA. En el sitio Internet de EudraVigilance se incluye información agregada relativa a los informes sobre casos de seguridad específicos a la que puede acceder el público en general, incluidos los profesionales sanitarios.

23.

El 19 de diciembre de 2008, la EMEA publicó en su sitio Internet un proyecto de política de acceso sobre las consultas públicas (17). El documento muestra cómo prevé la EMEA aplicar el artículo 57, apartado 1, letra d) del Reglamento (CE) no 726/2004. El SEPD vuelve a tratar este tema brevemente a partir del punto 48 infra.

24.

La evaluación de impacto de la Comisión demuestra que el sistema actual de farmacovigilancia de la UE, considerado complejo y poco claro, adolece de varias deficiencias. La complicación del sistema de recopilación, almacenamiento y divulgación de datos por diversos agentes en los ámbitos nacional y europeo se presenta como una de las deficiencias principales. El hecho de que existan disparidades en la aplicación de la Directiva 2001/83/CE en los Estados miembros agrava la situación (18). Por consiguiente, las autoridades nacionales competentes y la EMEA se enfrentan a menudo al hecho de que la notificación de casos de reacción adversa a medicamentos sea incompleta o redundante (19).

25.

Esto se debe a que, aunque se facilita una descripción del contenido de los informes sobre casos de seguridad específicos en las directrices mencionadas anteriormente, los Estados miembros tienen la facultad de decidir cómo utilizar estos informes a nivel nacional, lo que incluye tanto el medio de comunicación aplicado a la notificación a las autoridades nacionales competentes por los titulares de autorizaciones de comercialización, como la información efectiva incluida en los informes (en Europa no se utiliza un formato normalizado único para las notificaciones). Por otra parte, algunas autoridades nacionales competentes pueden aplicar criterios de calidad específicos a la admisibilidad de los informes (en función de su contenido, del nivel de compleción, etc.), mientras que puede no ser así en otros países. Es obvio que el planteamiento utilizado a nivel nacional en relación con la notificación y el control de calidad de los informes sobre casos de seguridad específicos tiene un impacto directo en la manera en que se hacen estas notificaciones a la EMEA, es decir, en la base de datos EudraVigilance.

26.

El SEPD quisiera poner de relieve que las deficiencias previamente mencionadas no sólo ocasionan molestias de carácter práctico sino que también plantean una considerable amenaza a la protección de los datos sanitarios de los ciudadanos. Aunque, tal y como se muestra anteriormente, el tratamiento de datos sanitarios tiene lugar en varias etapas del proceso de farmacovigilancia, no existe actualmente ninguna disposición relativa a la protección de esos datos. La única excepción a esta situación es la referencia general a la protección de datos del artículo 57, apartado 1, letra d) del Reglamento (CE) no 726/2004, que solamente se refiere a la última etapa del tratamiento de los datos, a saber, la accesibilidad de los datos que contiene la base de datos EudraVigilance. Además, la falta de claridad por lo que se refiere a las funciones y a las responsabilidades de los diversos agentes participantes en el tratamiento de datos y la falta de normas específicas sobre el propio tratamiento de datos suponen una amenaza para la confidencialidad, la integridad y la rendición de cuentas en relación con los datos personales tratados.

27.

El SEPD, por consiguiente, desea subrayar que la ausencia de un análisis completo de la protección de datos en el marco jurídico que forma la base del sistema de farmacovigilancia de la UE debe también considerarse como una de las deficiencias del sistema actual. Esta deficiencia debe remediarse modificando la legislación actual.

28.

Como preocupación preliminar y general, el SEPD desea plantear la cuestión de si el tratamiento de datos sanitarios de personas físicas identificables es realmente necesario en todas las etapas del sistema de farmacovigilancia (tanto a nivel nacional como europeo).

29.

Como se ha explicado anteriormente, en los informes sobre casos de seguridad específicos no se menciona al paciente por el nombre y no se le identifica como tal. Sin embargo, el paciente podría ser identificado en algunos casos combinando diversos elementos de información del informe de que se trate. Como se deriva de las directrices, en algunos casos se da el número de un paciente específico, lo que implica que el sistema en su conjunto permite rastrear a la persona de que se trate. Sin embargo, ni la Directiva ni el Reglamento hacen referencia a la rastreabilidad de las personas como parte de la finalidad del sistema de farmacovigilancia.

30.

El SEPD, por consiguiente, exhorta al legislador a que aclare si realmente una de las finalidades de la farmacovigilancia debe ser la rastreabilidad de las personas en los diversos niveles del tratamiento de los datos y más específicamente en el marco de la base de datos EudraVigilance.

31.

A este respecto, es instructivo hacer una comparación con el régimen previsto sobre la donación y el trasplante de órganos (20). En el contexto del trasplante de órganos, la rastreabilidad de un órgano hasta el donante así como hasta el receptor del órgano es de vital importancia, especialmente en caso de reacciones o episodios adversos graves.

32.

En el contexto de la farmacovigilancia, no obstante, el SEPD no dispone de suficientes pruebas para concluir que dicha rastreabilidad es siempre realmente necesaria. La farmacovigilancia se refiere a la notificación de efectos adversos de los medicamentos que utiliza un número desconocido (normalmente) de personas y que utilizará un número desconocido (normalmente) de personas. Existe, por lo tanto, en todo caso en el período posterior a la autorización, una conexión menos automática y específica entre la información relativa al efecto adverso y la persona afectada que en el caso de la información sobre órganos y las personas participantes en el trasplante de un órgano específico. Es obvio que los pacientes que han utilizado un determinado medicamento y han notificado sus efectos adversos tienen interés en conocer el resultado de cualquier evaluación posterior que tenga lugar. Esto, sin embargo, no implica que la información notificada deba vincularse en todos los casos a esa persona específica en todo el proceso de farmacovigilancia. En muchas ocasiones, debería ser suficiente vincular la información sobre los efectos adversos al propio medicamento, lo que permitiría a los agentes participantes, quizás a través de los profesionales sanitarios, informar a los pacientes en general de las consecuencias que tiene tomar o haber tomado un determinado medicamento.

33.

Si después de todo se prevé dicha rastreabilidad, el SEPD desea recordar el análisis que hizo en su Dictamen sobre la propuesta de la Comisión de Directiva sobre normas de calidad y seguridad de los órganos humanos destinados a trasplantes. En aquel Dictamen explicó la relación entre la rastreabilidad, la identificabilidad, el anonimato y la confidencialidad de los datos. La identificabilidad es un término crucial en la legislación sobre la protección de datos (21). Las normas de protección de datos se aplican a los datos relativos a las personas que han sido identificadas o que son identificables  (22). La rastreabilidad de los datos hasta una persona específica puede asimilarse a la identificabilidad. En la legislación relativa a la protección de datos, el anonimato es lo contrario de la identificabilidad y, por lo tanto, de la rastreabilidad. Los datos se consideran como anónimos solamente si es imposible identificar (o rastrear) a la persona a quien se refieren dichos datos. El concepto de «anonimato» es, por lo tanto, distinto del concepto habitual de esta palabra normalmente en la vida cotidiana, a saber, que un individuo no puede ser identificado a partir de los propios datos, por ejemplo, porque se ha retirado su nombre. En esas situaciones se hace referencia, en cambio, a la confidencialidad de los datos, lo que significa que la información es solamente (plenamente) accesible a quienes están autorizados a acceder a ella. Mientras que la rastreabilidad y el anonimato no pueden coexistir, la rastreabilidad y la confidencialidad sí.

34.

Aparte de la rastreabilidad, otra justificación para mantener la identificabilidad de los pacientes durante todo el proceso de farmacovigilancia podría ser el buen funcionamiento del sistema. El SEPD entiende que cuando la información se refiere a un individuo identificable y, por lo tanto, único es más fácil para las autoridades competentes (es decir, las autoridades nacionales competentes y la EMEA) examinar y controlar el contenido de un informe sobre un caso de seguridad específico (por ejemplo, comprobar si existe más de un ejemplar). Aunque el SEPD considera que es necesario disponer de un mecanismo de control de esta índole, no está convencido de que sólo este argumento justifique el mantenimiento de la identificabilidad de los datos en todas las etapas del proceso de farmacovigilancia y, especialmente, en la base de datos EudraVigilance. Mediante la mejora de la estructuración y la coordinación del sistema de notificación, por ejemplo mediante un sistema descentralizado, como se trata a partir del punto 42 infra, podría evitarse la duplicación ya a escala nacional.

35.

El SEPD reconoce que, en determinadas circunstancias, es imposible mantener el anonimato de los datos. Esto es así, por ejemplo, cuando un grupo muy limitado de personas utiliza determinados medicamentos. Para esos casos deben establecerse salvaguardias específicas de modo que se puedan cumplir las obligaciones dimanantes de la legislación relativa a la protección de datos.

36.

Para concluir, el SEPD duda seriamente de si la rastreabilidad o el empleo de datos sobre pacientes identificables es algo necesario en cada una de las etapas del proceso de farmacovigilancia. El SEPD es consciente de que puede no ser posible excluir el tratamiento de datos identificables en todas las etapas, especialmente en el ámbito nacional, ámbito en que tiene lugar la recopilación de información sobre efectos adversos. No obstante, las normas sobre la protección de datos requieren que el tratamiento de los datos sanitarios tenga lugar únicamente cuando sea estrictamente necesario. El empleo de datos identificables debe, por lo tanto, reducirse en la medida de lo posible y prevenirse o detenerse lo antes posible cuando dicho empleo no se considere necesario. El SEPD, por lo tanto, exhorta al legislador a que evalúe de nuevo la necesidad de utilizar información de esa índole a nivel europeo y a nivel nacional.

37.

Se toma nota de que, en caso de que exista una necesidad real de tratar datos identificables o de que no se pueda mantener el anonimato de dichos datos (véase el punto 35 supra), deben estudiarse las posibilidades técnicas de identificación indirecta de las personas a que se refieren dichos datos, por ejemplo mediante la utilización de mecanismos de seudonimización (23).

38.

El SEPD, por consiguiente, recomienda que se incluya en el Reglamento (CE) no 726/2004 y en la Directiva 2001/83/CE un nuevo artículo en que se disponga que las disposiciones del Reglamento (CE) no 726/2004 y de la Directiva 2001/83/CE se entenderán sin perjuicio de los derechos y de las obligaciones dimanantes respectivamente de las disposiciones del Reglamento (CE) no 45/2001 y de la Directiva 95/46/CE, y que se haga una referencia específica al artículo 10 del Reglamento (CE) no 45/2001 y al artículo 8 de la Directiva 95/46/CE respectivamente. A esto debería añadirse que los datos sanitarios identificables se tratarán solamente cuando sea estrictamente necesario y que los agentes participantes deben evaluar esta necesidad en cada etapa del proceso de farmacovigilancia.

39.

Aunque la protección de datos apenas se tiene en cuenta en las propuestas de modificación, un análisis más detallado de la propuesta sigue siendo instructivo, ya que muestra que parte de las modificaciones previstas aumentan el impacto y los riesgos subsiguientes en relación con la protección de datos.

40.

La finalidad general de ambas propuestas es mejorar la coherencia de las normas, aclarar la cuestión de las responsabilidades, simplificar el sistema de notificación y potenciar la base de datos EudraVigilance (24).

41.

Claramente la Comisión ha intentado aclarar más la cuestión de las responsabilidades proponiendo la modificación de las disposiciones vigentes de tal modo que en la propia legislación figure de manera más explícita quién debe hacer qué. No cabe duda de que aclarar la cuestión de los agentes participantes y sus obligaciones respectivas en relación con la notificación de efectos adversos aumenta la transparencia del sistema y es, por lo tanto, una evolución positiva también desde la perspectiva de la protección de datos. Los pacientes deberían, por lo general, poder entender la legislación relativa a cómo, cuándo y por quién son tratados sus datos personales. Sin embargo, la aclaración que se propone respecto de los deberes y las responsabilidades también debería explicitarse en relación con los deberes y las responsabilidades dimanantes de la legislación en materia de protección de datos.

42.

La simplificación del sistema de notificación se debe lograr mediante el empleo de portales nacionales sobre la seguridad de los medicamentos que enlacen con el portal europeo sobre la seguridad de los medicamentos [véanse los nuevos artículos propuestos 106 de la Directiva 2001/83/CE y 26 del Reglamento (CE) no 726/2004]. Los portales nacionales harán públicos formularios para la notificación de reacciones adversas sospechosas por profesionales sanitarios y pacientes [véanse los nuevos artículos propuestos 106, apartado 3 de la Directiva 2001/83/CE y 25 del Reglamento (CE) no 726/2004]. Asimismo, el portal europeo contendrá información sobre cómo realizar notificaciones de esta índole y, entre otras cosas, formularios normalizados para la notificación por Internet por pacientes y profesionales sanitarios.

43.

El SEPD desea subrayar que, aunque la utilización de estos portales y formularios normalizados aumenta la eficacia del sistema de notificación, al mismo tiempo incrementa los riesgos del sistema en relación con la protección de datos. El SEPD exhorta al legislador a que elabore un sistema de notificación de esa índole dentro del respeto de los requisitos de la legislación en materia de protección de datos. Esto implica, como se ha indicado, que la necesidad de tratar datos personales debe evaluarse correctamente en cada etapa del proceso, lo que debe reflejarse en la manera en que se organice la notificación a nivel nacional, así como la transmisión de información a la EMEA y a la base de datos EudraVigilance. En un sentido más amplio, el SEPD recomienda encarecidamente la elaboración de formularios uniformes a nivel nacional, lo que impediría que la disparidad de prácticas llevara a niveles dispares de protección de datos.

44.

El sistema previsto parece implicar que los pacientes pueden informar directamente a la EMEA, o quizás incluso directamente a la propia base de datos EudraVigilance. Esto significaría que, en la versión actual de la base de datos EudraVigilance, la información se colocaría en la pasarela de la EMEA, a la que, como ya se ha explicado en los puntos 21 y 22, pueden acceder plenamente la Comisión y las autoridades nacionales competentes.

45.

En términos generales, el SEPD defiende firmemente la descentralización del sistema de notificación. La transmisión de información al portal europeo debe coordinarse mediante la utilización de portales nacionales, de los que son responsables las autoridades nacionales competentes. La notificación indirecta por pacientes, es decir, a través de profesionales sanitarios (mediante el uso de portales o no) también se debe utilizar, en lugar de la posibilidad de notificación directa por los pacientes, especialmente a la base de datos EudraVigilance.

46.

En cualquier caso, un sistema de notificación a través de portales exige normas estrictas de seguridad. A ese respecto, el SEPD quisiera hacer referencia a su Dictamen, mencionado anteriormente, sobre la propuesta de Directiva relativa a la asistencia sanitaria transfronteriza, especialmente la parte relativa a la seguridad de los datos en los Estados miembros y a la privacidad en las aplicaciones de la sanidad electrónica (25). En ese Dictamen, el SEPD ya puso de relieve que la privacidad y la seguridad debían formar parte del diseño y de la implementación de cualquier aplicación de la sanidad electrónica (privacidad en la fase de diseño) (26). La misma consideración se aplica a los portales previstos.

47.

El SEPD, por consiguiente, recomienda la inclusión en los nuevos artículos propuestos 25 y 26 del Reglamento (CE) no 726/2004 y 106 de la Directiva 2001/83/CE, que regulan el desarrollo de un sistema de notificación de efectos adversos a través de portales, la obligación de incorporar medidas adecuadas de seguridad y de privacidad. Los principios de confidencialidad, integridad, responsabilidad y disponibilidad de los datos también podrían mencionarse como objetivos principales de seguridad, que deben garantizarse en un nivel uniforme en todos los Estados miembros. También se podría incluir el empleo de normas técnicas y medios adecuados, como el cifrado y la autentificación de la firma digital.

48.

El nuevo artículo propuesto 24 del Reglamento (CE) no 726/2004 se ocupa de la base de datos EudraVigilance. Este artículo deja claro que potenciar la base de datos implica incrementar el uso que de la base de datos hacen los diversos agentes participantes al suministrar información a la base de datos y al obtener información que esta contiene. Dos apartados del artículo 24 revisten un interés particular.

49.

El artículo 24, apartado 2 se ocupa de la accesibilidad de la base de datos. Reemplaza el actual artículo 57, apartado 1, letra d) del Reglamento (CE) no 726/2004, que se ha tratado anteriormente como la única disposición que actualmente hace referencia a la protección de datos. Se mantiene la referencia a la protección de los datos, pero se reduce el número de agentes a los que se aplica. Para los casos en que el texto actual indica que se darán niveles adecuados de acceso a la base de datos, con la debida protección de los datos personales, a los profesionales sanitarios, a los titulares de una autorización de comercialización y al público en general, la Comisión propone ahora retirar a los titulares de una autorización de comercialización de esta lista y darles acceso «en la medida necesaria para cumplir sus obligaciones de farmacovigilancia», sin ninguna referencia a la protección de los datos. Las razones para ello no quedan claras.

50.

Además, el tercer apartado del artículo 24 establece normas relativas al acceso a los informes sobre casos de seguridad específicos. Cualquier persona puede solicitar el acceso a dichos informes, que se proporcionará en el plazo de 90 días «salvo que su divulgación comprometa el anonimato de quienes figuran en los informes». El SEPD apoya la idea que subyace a esta disposición, a saber, que solamente se pueden divulgar los datos anónimos. Sin embargo, desea poner de relieve, como se ha explicado anteriormente, que el anonimato debe entenderse como la imposibilidad total de identificar a la persona que ha notificado el efecto adverso (véase también el punto 33).

51.

La accesibilidad del sistema EudraVigilance debe, en términos generales, evaluarse de nuevo teniendo en cuenta las normas en materia de protección de datos. Esto también tiene consecuencias directas para el proyecto de política de acceso publicado por la EMEA en diciembre de 2008, mencionado anteriormente en el punto 23 (27). Como la información que contiene la base de datos EudraVigilance se refiere necesariamente a personas físicas identificables, el acceso a esos datos debe ser todo lo restrictivo que sea posible.

52.

El SEPD, por lo tanto, recomienda incluir en la propuesta de artículo 24, apartado 2 del Reglamento (CE) no 726/2004 una frase que disponga que la accesibilidad de la base de datos EudraVigilance se regulará de conformidad con los derechos y las obligaciones dimanantes de la legislación comunitaria relativa a la protección de datos.

53.

El SEPD desea subrayar que, una vez que se tratan los datos identificables, la parte responsable de dicho tratamiento debe cumplir todos los requisitos de la legislación comunitaria en materia de protección de datos. Esto implica, entre otras cosas, que la persona interesada está bien informada de qué se va a hacer con los datos y de quién los tratará, así como de cualquier otra información requerida en virtud del artículo 11 del Reglamento (CE) no 45/2001 o del artículo 10 de la Directiva 95/46/CE. Se debería, además, permitir a la persona interesada invocar sus derechos tanto a escala nacional como europea, como el derecho de acceso [artículo 12 de la Directiva 95/46/CE y artículo 13 del Reglamento (CE) no 45/2001], el derecho de oposición [artículo 18 del Reglamento (CE) no 45/2001 y artículo 14 de la Directiva 95/46/CE], etcétera.

54.

El SEPD, por consiguiente, recomienda que en el artículo propuesto 101 de la Directiva 2001/83/CE se añada un apartado en que se disponga que en caso de tratamiento de datos personales, se informará correctamente al interesado de conformidad con el artículo 10 de la Directiva 95/46/CE.

55.

El problema del acceso de una persona a su propia información contenida en la base de datos EudraVigilance no se aborda ni en la legislación vigente ni en la propuesta de legislación. Cabe poner de relieve que en los casos en que se considere necesario mantener datos personales en la base de datos, como se acaba de mencionar, se debe permitir que el paciente interesado invoque su derecho de acceso a sus datos personales de conformidad con el artículo 13 del Reglamento (CE) no 45/2001. El SEPD, por lo tanto, recomienda que en el artículo propuesto 24 se añada un apartado en que se establezca que se adoptarán medidas que garanticen que la persona a que se refieren los datos pueda ejercer su derecho de acceso a sus datos personales de conformidad con lo dispuesto en el artículo 13 del Reglamento (CE) no 45/2001.

56.

El SEPD considera que la ausencia de una evaluación adecuada de las implicaciones de la protección de datos de la farmacovigilancia constituye una de las deficiencias del marco jurídico vigente establecido por el Reglamento (CE) no 726/2004 y la Directiva 2001/83/CE. Debería considerarse que la modificación actual del Reglamento (CE) no 726/2004 y de la Directiva 2001/83/CE brinda la oportunidad de desarrollar plenamente la protección de datos como un elemento importante de la farmacovigilancia.

57.

Una cuestión general que debe abordarse en ese contexto es si existe la necesidad real de tratar datos sanitarios personales en todas las etapas del proceso de farmacovigilancia. Como se ha explicado en el presente Dictamen, el SEPD alberga serias dudas sobre esta necesidad y exhorta al legislador a que evalúe de nuevo los distintos niveles del proceso. Está claro que en muchos casos se puede alcanzar el objetivo de la farmacovigilancia compartiendo información sobre efectos adversos, información que es anónima en el sentido de la legislación relativa a la protección de datos. La duplicación de notificaciones puede evitarse mediante la aplicación de procedimientos de notificación de datos bien estructurados ya a nivel nacional.

58.

Las propuestas de modificación prevén la simplificación del sistema de notificación y la potenciación de la base de datos EudraVigilance. El SEPD ha explicado que estas enmiendas suponen un aumento de los riesgos para la protección de datos, especialmente en el caso de la notificación directa de los pacientes a la EMEA o a la base de datos EudraVigilance. A este respecto, el SEPD defiende firmemente un sistema descentralizado e indirecto de notificación en el que se coordine la transmisión de información al portal europeo mediante la utilización de portales nacionales. Además, el SEPD pone de relieve que la privacidad y la seguridad deben formar parte del diseño y de la ejecución de todo sistema de notificación mediante portales («privacidad en la fase de diseño»).

59.

El SEPD, además, subraya que una vez que se tratan los datos relativos a la salud de personas físicas identificadas o identificables, la persona responsable de dicho tratamiento debe cumplir todos los requisitos de la legislación comunitaria relativa a la protección de los datos.

60.

Más específicamente, el SEPD recomienda que: