Elija las funciones experimentales que desea probar

Este documento es un extracto de la web EUR-Lex

Documento 52009XX0923(04)

Avizul Autorității Europene pentru Protecția Datelor privind propunerea de regulament al Parlamentului European și al Consiliului de modificare, în ceea ce privește farmacovigilența medicamentelor de uz uman, a Regulamentului (CE) nr. 726/2004 de stabilire a procedurilor comunitare privind autorizarea și supravegherea medicamentelor de uz uman și veterinar și de instituire a unei Agenții Europene pentru Medicamente și privind propunerea de directivă a Parlamentului European și a Consiliului de modificare, în ceea ce privește farmacovigilența, a Directivei 2001/83/CE de instituire a unui cod comunitar cu privire la medicamentele de uz uman

JO C 229, 23.9.2009, p. 19/26 (BG, ES, CS, DA, DE, ET, EL, EN, FR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)

23.9.2009   

RO

Jurnalul Oficial al Uniunii Europene

C 229/19


Avizul Autorității Europene pentru Protecția Datelor privind propunerea de regulament al Parlamentului European și al Consiliului de modificare, în ceea ce privește farmacovigilența medicamentelor de uz uman, a Regulamentului (CE) nr. 726/2004 de stabilire a procedurilor comunitare privind autorizarea și supravegherea medicamentelor de uz uman și veterinar și de instituire a unei Agenții Europene pentru Medicamente și privind propunerea de directivă a Parlamentului European și a Consiliului de modificare, în ceea ce privește farmacovigilența, a Directivei 2001/83/CE de instituire a unui cod comunitar cu privire la medicamentele de uz uman

2009/C 229/04

AUTORITATEA EUROPEANĂ PENTRU PROTECȚIA DATELOR,

având în vedere Tratatul de instituire a Comunității Europene, în special articolul 286,

având în vedere Carta Drepturilor Fundamentale a Uniunii Europene, în special articolul 8,

având în vedere Directiva 95/46/CE a Parlamentului European și a Consiliului din 24 octombrie 1995 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date (1),

având în vedere Regulamentul (CE) nr. 45/2001 al Parlamentului European și al Consiliului din 18 decembrie 2000 privind protecția persoanelor fizice cu privire la prelucrarea datelor cu caracter personal de către instituțiile și organele comunitare și privind libera circulație a acestor date (2), în special articolul 41,

A ADOPTAT PREZENTUL AVIZ:

I.   INTRODUCERE

Propunerile de modificare a sistemului actual de farmacovigilență

1.

La 10 decembrie 2008, Comisia a adoptat două propuneri referitoare la modificarea Regulamentului (CE) nr. 726/2004 și, respectiv, a Directivei 2001/83/CE (3). Regulamentul (CE) nr. 726/2004 al Parlamentului European și al Consiliului (4) stabilește procedurile comunitare privind autorizarea și supravegherea medicamentelor de uz uman și veterinar și instituie Agenția Europeană pentru Medicamente (denumită în continuare „EMEA”). Directiva 2001/83/CE a Parlamentului European și a Consiliului (5) conține norme privind codul comunitar cu privire la medicamentele de uz uman, în ceea ce privește procedurile specifice la nivelul statelor membre. Modificările propuse se referă la părți din ambele acte, privind farmacovigilența în ceea ce privește medicamentele pentru uz uman.

2.

Farmacovigilența se definește ca știința și activitățile referitoare la depistarea, evaluarea, înțelegerea și prevenirea reacțiilor adverse ale medicamentelor (6). Sistemul de farmacovigilență în vigoare în Europa le permite pacienților și cadrelor medicale să raporteze diverse reacții adverse la medicamente publicului și organismelor private implicate, la nivel național și european. O bază de date europeană (baza de date EudraVigilance) funcționează în cadrul EMEA ca punct de centralizare pentru gestionarea și raportarea reacțiilor adverse suspectate.

3.

Farmacovigilența este considerată o adăugire necesară la sistemul comunitar de autorizare a medicamentelor, care datează din 1965, anul adoptării Directivei 65/65/CEE a Consiliului (7).

4.

În conformitate cu expunerea de motive și evaluarea impactului, anexate propunerilor, sistemul actual de farmacovigilență are anumite lacune, inclusiv lipsa clarității în ceea ce privește rolurile și responsabilitățile diverselor părți implicate, proceduri complicate de raportare a reacțiilor adverse, necesitatea consolidării transparenței în ceea ce privește siguranța medicamentelor și comunicarea, precum și necesitatea de a raționaliza planificarea gestionării riscurilor în cazul medicamentelor.

5.

Intenția generală a celor două propuneri este să remedieze aceste lacune și să îmbunătățească și să consolideze sistemul comunitar de farmacovigilență, scopul principal fiind acela de a asigura o mai bună protecție a sănătății publice, asigurând funcționarea adecvată a pieței interne și simplificând normele și procedurile existente (8).

Datele cu caracter personal în farmacovigilență și consultarea AEPD

6.

Funcționarea generală a actualului sistem de farmacovigilență se bazează pe prelucrarea datelor cu caracter personal. Aceste date sunt incluse în rapoartele privind reacțiile adverse la medicamente și pot fi considerate date referitoare la sănătate („date privind sănătatea”) ale persoanelor vizate, întrucât prezintă informații privind utilizarea medicamentelor și problemele de sănătate asociate. Prelucrarea acestor date face obiectul unor norme stricte privind protecția datelor, prevăzute în articolul 10 din Regulamentul (CE) nr. 45/2001 și articolul 8 din Directiva 95/46/CE (9). Importanța protejării acestor date a fost subliniată recent în mod repetat de Curtea Europeană a Drepturilor Omului în contextul articolului 8 din Convenția Europeană a Drepturilor Omului: „Protecția datelor cu caracter personal, în special a datelor medicale, este de o deosebită importanță pentru ca o persoană să beneficieze de dreptul său de respectare a vieții private și a vieții de familie, astfel cum este garantat la articolul 8 din convenție” (10).

7.

Cu toate acestea, nu se face nicio trimitere la protecția datelor în actualul text al Regulamentului (CE) nr. 726/2004 și al Directivei 2001/83/CE, cu excepția unei trimiteri specifice în regulament, care va fi discutată la punctele 21 și următoarele.

8.

Autoritatea Europeană pentru Protecția Datelor (AEPD) regretă că aspectele privind protecția datelor nu au fost luate în considerare în modificările propuse și că nu a fost consultată în mod oficial cu privire la ambele propuneri de modificare, conform articolului 28 alineatul (2) din Regulamentul (CE) nr. 45/2001. Avizul de față se întemeiază pe articolul 41 alineatul (2) din același regulament. AEPD recomandă includerea unei trimiteri la prezentul aviz în preambulul ambelor propuneri.

9.

AEPD constată că, deși protecția datelor nu este luată în considerare în mod suficient în cadrul juridic actual privind farmacovigilența și în propuneri, aplicarea practică a sistemului comunitar central EudraVigilance este problematică din perspectiva protecției datelor. În acest sens, EMEA a notificat sistemul actual EudraVigilance către AEPD în iunie 2008, privind o verificare prealabilă în baza articolului 27 din Regulamentul (CE) nr. 45/2001.

10.

Prezentul aviz și concluziile AEPD privind verificarea prealabilă (publicare prevăzută în cursul acestui an) se vor suprapune parțial. Cu toate acestea, obiectivul celor două acte este diferit: prezentul aviz se concentrează pe cadrul juridic general care sprijină sistemul, astfel cum decurge din Regulamentul (CE) nr. 726/2004 și Directiva 2001/83/CE și modificările propuse, iar verificarea prealabilă conține o analiză detaliată cu privire la protecția datelor, care se concentrează pe modul de elaborare ulterioară a normelor actuale în acte ulterioare (de exemplu decizii și orientări), eliberate de EMEA sau de Comisie și de EMEA împreună, și pe modul de funcționare în practică a bazei de date EudraVigilance.

11.

Pentru început, prezentul aviz va explica, simplificat, sistemul de farmacovigilență european, astfel cum decurge din Regulamentul (CE) nr. 726/2004 și Directiva 2001/83/CE în stadiul actual. Ulterior, se va analiza necesitatea prelucrării datelor cu caracter personal în contextul farmacovigilenței. În final, se vor discuta propunerile Comisiei de îmbunătățire a cadrului juridic actual și a celui avut în vedere, și se vor face recomandări cu privire la asigurarea și îmbunătățirea normelor de protecție a datelor.

II.   SISTEMUL DE FARMACOVIGILENȚĂ AL UE: PRELUCRAREA DATELOR CU CARACTER PERSONAL ȘI CONSIDERENTE PRIVIND PROTECȚIA DATELOR

Părțile implicate în colectarea și diseminarea informațiilor

12.

Mai multe părți sunt implicate în colectarea și difuzarea informațiilor privind efectele adverse ale medicamentelor în Uniunea Europeană. La nivel național, cele două părți importante sunt titularii de autorizații de introducere pe piață (societăți autorizate să comercializeze medicamente) și autoritățile naționale competente (autoritățile răspunzătoare de autorizarea de introducere pe piață). Autoritățile naționale competente autorizează produsele prin proceduri naționale, care includ „procedura de recunoaștere reciprocă” și „procedura descentralizată” (11). Comisia Europeană poate, de asemenea, deveni autoritate competentă pentru produsele autorizate prin așa-numita „procedură centralizată”. O parte importantă la nivel european este EMEA. Una dintre sarcinile acestei agenții este asigurarea difuzării informațiilor privind reacțiile adverse ale medicamentelor autorizate în Comunitate, prin intermediul unei baze de date, baza de date menționată anterior, EudraVigilance.

Colectarea și stocarea datelor cu caracter personal la nivel național

13.

Directiva 2001/83/CE vorbește în termeni generali despre responsabilitatea statelor membre de a opera un sistem de farmacovigilență în care să fie colectate informații „utile în supravegherea medicamentelor” (articolul 102). În baza articolelor 103 și 104 din Directiva 2001/83/CE [a se vedea și articolele 23 și 24 din Regulamentul (CE) nr. 726/2004], titularii de autorizații de introducere pe piață trebuie să dețină propriile sisteme de farmacovigilență pentru a-și asuma responsabilitatea pentru produsele de pe piață și pentru a asigura luarea de acțiuni corespunzătoare, după caz. Informațiile sunt colectate direct de la cadrele medicale sau de la pacienți. Titularul de autorizație de introducere pe piață trebuie să raporteze electronic autorității competente toate informațiile relevante pentru raportul beneficii/riscuri cu privire la un anumit medicament.

14.

Directiva 2001/83/CE nu e foarte clară în privința tipului de informații referitoare la efecte adverse care ar trebui colectate la nivel național, modalităților de stocare sau de comunicare. Articolele 104 și 106 se referă numai la „rapoartele” care trebuie elaborate. Norme mai detaliate privind aceste rapoarte se regăsesc în orientările elaborate de Comisie, după consultarea EMEA, a statelor membre și a părților interesate, în baza articolului 106. În Orientările privind farmacovigilența în ceea ce privește medicamentele de uz uman (în continuare „orientările”), se face referire la așa-numitele „Rapoarte de siguranță individuale de caz” (în continuare „ICSR”), rapoarte privind efectele adverse ale medicamentelor cu privire la un anumit pacient (12). Conform orientărilor, un element minim necesar de informație pentru crearea unui ICSR este „un pacient identificabil” (13). Se prevede că pacientul poate fi identificat prin inițiale, numărul de pacient, data nașterii, greutatea, înălțimea și sexul, numărul de înregistrare în spital, informații privind antecedentele medicale ale pacientului, informații privind părinții pacientului (14).

15.

Prin sublinierea posibilității de identificare a pacientului, prelucrarea informației cade în mod clar sub incidența normelor privind protecția datelor, astfel cum sunt prevăzute în Directiva 95/46/CE. Într-adevăr, deși numele pacientului nu este menționat, prin corelarea tuturor informațiilor disponibile (de exemplu, spital, data nașterii, inițiale) și în condiții specifice (de exemplu, în comunități închise sau spații reduse), este posibilă identificarea acestuia. Astfel, informația prelucrată în contextul farmacovigilenței ar trebui, în principiu, considerată ca referindu-se la o persoană fizică identificabilă în sensul articolului 2 litera (a) din Directiva 95/46/CE (15). Deși nu se clarifică nici în regulament nici în directivă, această chestiune se regăsește în orientări, unde se prevede că „informația ar trebui să fie cât mai completă cu putință, luând în considerare legislația UE privind protecția datelor” (16).

16.

Trebuie subliniat că, în ciuda orientărilor, raportarea efectelor adverse la nivel național este departe de a fi uniformă. Această chestiune va fi aprofundată la punctele 24 și 25 de mai jos.

Baza de date EudraVigilance

17.

Baza de date EudraVigilance, operată de EMEA, joacă un rol esențial în sistemul european de farmacovigilență. După cum am menționat, EudraVigilance este un sistem centralizat de prelucrare a datelor în rețea și de gestiune, utilizat pentru raportarea și evaluarea presupuselor reacțiilor adverse pe durata producerii de medicamente și după eliberarea de autorizații de comercializare a acestora în comunitate și în țările care fac parte din Spațiul Economic European. Temeiul juridic pentru baza de date EudraVigilance este articolul 57 alineatul (1) litera (d) din Regulamentul (CE) nr. 726/2004.

18.

Actuala bază de date EudraVigilance este formată din două compartimente, (1) informația provenită din teste clinice (care au loc înainte de comercializarea medicamentului, numită și perioada de „preautorizare”) și (2) informația provenită din rapoarte cu privire la efectele adverse (colectate ulterior, numită și perioada „postautorizare”). Prezentul aviz se concentrează pe perioada „postautorizare”, întrucât modificările propuse se concentrează pe aceasta.

19.

Baza de date EudraVigilance cuprinde date privind pacienți, obținute pe baza ICSR. EMEA primește ICSR de la autoritățile naționale competente [a se vedea articolul 102 din Directiva 2001/83/CE și articolul 22 din Regulamentul (CE) nr. 726/2004] și în unele cazuri direct de la titularii de autorizații de introducere pe piață [a se vedea articolul 104 din Directiva 2001/83/CE și articolul 24 din Regulamentul (CE) nr. 726/2004].

20.

Prezentul aviz se concentrează pe prelucrarea datelor cu caracter personal privind pacienții. Trebuie subliniat, totuși, că baza de date EudraVigilance cuprinde informații cu caracter personal care se referă și la persoanele care lucrează pentru autoritățile naționale competente sau titularii autorizațiilor de introducere pe piață, dacă transmit informații bazei de date. Sistemul păstrează numele complet, adresa, datele de contact, detalii din documentele de identificare ale acestor persoane. O altă categorie de informații cu caracter personal o reprezintă datele referitoare la așa-numitele persoane calificate răspunzătoare de farmacovigilență, numite de titularii de autorizații de introducere pe piață în conformitate cu articolul 103 din Directiva 2001/83/CE. Evident, drepturile și obligațiile prevăzute în Regulamentul (CE) nr. 45/2001 se aplică în totalitate prelucrării acestor informații.

Accesul la baza de date EudraVigilance

21.

Articolul 57 alineatul (1) litera (d) din Regulamentul (CE) nr. 726/2004 prevede că baza de date ar trebui să fie accesibilă în permanență tuturor statelor membre. Cadrele medicale, titularii autorizațiilor de introducere pe piață și publicul trebuie, deci, să dispună de niveluri de acces adecvate la această bază de date, protecția datelor cu caracter personal fiind garantată. După cum s-a menționat la punctul 7, aceasta este singura dispoziție din regulament și din Directiva 2001/83/CE care face trimitere la protecția datelor.

22.

Articolul 57 alineatul (1) litera (d) a condus la următorul regim de acces. În momentul primirii de către EMEA a unui ICSR, aceasta îl transmite direct portalului EudraVigilance, accesibil de către EMEA, autoritățile naționale competente și Comisie. După validarea ICSR (verificarea autenticității și a unicității) de către EMEA, informația din ICSR este transmisă bazei de date propriu-zise. EMEA, autoritățile naționale competente și Comisia au drepturi depline de acces la baza de date, iar titularii de autorizații de introducere pe piață au acces la baza de date numai în anumite condiții, și anume numai la datele pe care le-au transmis ei înșiși EMEA. Informațiile cumulate despre ICSR sunt ulterior afișate pe site-ul internet EudraVigilance, accesibil publicului larg, inclusiv cadrelor medicale.

23.

La 19 decembrie 2008, EMEA a publicat un proiect de politică de acces pe site-ul propriu, pentru consultare publică (17). Documentul arată cum intenționează EMEA să pună în aplicare articolul 57 alineatul (1) litera (d) din Regulamentul (CE) nr. 726/2004. AEPD va aborda din nou acest subiect începând cu punctul 48.

Slăbiciunile sistemului actual și lipsa garanțiilor de protecție a datelor

24.

Evaluarea de impact a Comisiei demonstrează o serie de slăbiciuni ale sistemului actual de farmacovigilență al UE, considerat complex și neclar. Sistemul complicat de colectare, stocare și schimb de date între diversele părți la nivel național și european este considerat una dintre principalele lacune. Situația este complicată și de faptul că există disparități între modalitățile de punere în aplicare a Directivei 2001/83/CE în statele membre (18). O consecință este faptul că autoritățile naționale competente și EMEA sunt confruntate frecvent cu rapoarte de cazuri de reacții adverse incomplete sau în duplicat (19).

25.

Aceasta se datorează faptului că, deși orientările sus-menționate conțin o descriere a conținutului ICSR, statele membre decid modalitățile de punere în aplicare la nivel național. Aceasta include atât mijloacele de comunicare utilizate pentru raportarea de către titularii autorizației de introducere pe piață către autoritățile naționale competente, cât și informația efectivă cuprinsă în rapoarte (nu se folosește un formular model pentru raportare în Europa). De asemenea, unele autorități naționale competente pot aplica criterii calitative specifice pentru admisibilitatea rapoartelor (în funcție de conținut, de gradul de completare etc.), în vreme ce în alte state aceste criterii nu s-ar aplica. Este evident că abordarea la nivel național privind raportarea și evaluarea calității ICSR are un impact direct asupra modului de raportare ulterioară către EMEA, prin baza de date EudraVigilance.

26.

AEPD ar dori să sublinieze că slăbiciunile sus-menționate nu au ca rezultat numai inconveniente practice, dar reprezintă un pericol considerabil la adresa protecției datelor cu privire la sănătate ale cetățenilor. Deși, după cum am arătat în alineatele anterioare, prelucrarea datelor cu privire la sănătate are loc în etape diferite ale procesului de farmacovigilență, nu există în prezent dispoziții privind protecția acestor date. Singura excepție este trimiterea generală la protecția datelor din articolul 57 alineatul (1) litera (d) din Regulamentul (CE) nr. 726/2004, care nu se referă decât la ultima etapă a prelucrării datelor, și anume la accesibilitatea datelor cuprinse în baza de date EudraVigilance. Mai mult, lipsa clarității cu privire la rolurile și responsabilităților diverselor părți implicate în prelucrare, precum și lipsa de norme specifice de prelucrare este o amenințare la adresa confidențialității, a integrității și responsabilității datelor personale prelucrate.

27.

Prin urmare, AEPD dorește să sublinieze că absența unei analize cuprinzătoare privind protecția datelor, reflectată în cadrul juridic care stă la baza sistemului de farmacovigilență în UE, trebuie văzută ca o slăbiciune a actualului sistem. Această slăbiciune ar trebui remediată prin modificarea legislației actuale.

III.   FARMACOVIGILENȚA ȘI NECESITATEA DATELOR CU CARACTER PERSONAL

28.

Ca preocupare preliminară și generală, AEPD dorește să ridice problema necesității efective a prelucrării datelor privind sănătatea ale persoanelor fizice identificabile în toate etapele sistemului de farmacovigilență (la nivel național și european).

29.

După cum am explicat anterior, în ICSR pacientul nu este menționat cu numele și nu este identificat ca atare. Cu toate acestea, pacientul poate fi identificat în anumite cazuri, prin combinarea informațiilor disparate din ICSR. Conform orientărilor, în unele cazuri, se acordă un număr specific pentru fiecare pacient, ceea ce presupune că sistemul, în întregul său, permite trasabilitatea persoanei implicate. Cu toate acestea, nici directiva, nici regulamentul nu fac trimitere la trasabilitatea persoanelor ca parte a obiectivului sistemului de farmacovigilență.

30.

AEPD invită, astfel, legiuitorul să clarifice dacă se dorește ca trasabilitatea să servească drept obiectiv al farmacovigilenței în diferitele etape ale prelucrării și în mod special în cadrul bazei de date EudraVigilance.

31.

În acest sens, este utilă o comparare cu regimul propus privind donarea și transplantul de organe (20). În contextul transplantului de organe, trasabilitatea unui organ către donator, precum și către beneficiarul organului, este de o deosebită importanță, în special în cazul unor evenimente sau reacții adverse grave.

32.

Cu toate acestea, în contextul farmacovigilenței, AEPD nu are dovezi suficiente pentru a concluziona că trasabilitatea este efectiv necesară în orice moment. Farmacovigilența se referă la raportarea efectelor adverse ale medicamentelor utilizate de un număr (în cea mai mare parte) necunoscut de oameni și care vor fi utilizate de un număr (în cea mai mare parte) necunoscut de oameni. Există, deci, – cel puțin în perioada „postautorizare” – o legătură mai puțin automată și individuală între informațiile privind efectele adverse și persoana vizată, ca în cazul informației privind organele și persoanele implicate în transplantului unui organ specific. Este evident că pacienții care au utilizat un anumit medicament și care au raportat efecte adverse au interesul să cunoască rezultatul oricărei evaluări ulterioare. Aceasta nu înseamnă că informațiile raportate ar trebui în fiecare caz conectate la persoana specifică prin întregul proces de farmacovigilență. În multe cazuri ar trebui să fie suficientă conectarea informației privind efectele adverse la medicamentul în sine, ceea ce permite părților implicate, probabil prin intermediul cadrelor medicale, să informeze pacienții în general cu privire la consecințele luării unui anumit medicament.

33.

Dacă se dorește, totuși, asigurarea trasabilității, AEPD reamintește analiza pe care a realizat-o în avizul privind propunerea Comisiei de directivă privind standardele de calitate și siguranță referitoare la organele umane destinate transplantului. În acel aviz, a explicat relația dintre trasabilitate, identificabilitate, anonimitate și confidențialitate a datelor. Identificabilitatea este un termen crucial în legislația privind protecția datelor (21). Normele privind protecția datelor se aplică datelor referitoare la persoane care sunt identificate sau identificabile (22). Trasabilitatea datelor către o anumită persoană se substituie identificabilității. În legislația privind protecția datelor, anonimitatea este antonimul identificabilității și, deci, al trasabilității. Datele sunt considerate anonime numai dacă este imposibilă identificarea persoanei (sau traseul către persoana) la care se referă datele. Noțiunea de „anonimitate” este diferită de cum o înțelegem în viața de zi cu zi, adică o persoană nu poate fi identificată din aceste date, ca atare, pentru că, de exemplu, numele său a fost șters. În aceste situații, ne referim mai degrabă la confidențialitatea datelor, adică informația este accesibilă (în totalitate) numai celor autorizați să aibă acces. Cu toate că trasabilitatea și anonimitatea nu pot coexista, trasabilitatea și confidențialitatea pot.

34.

Pe lângă trasabilitate, un alt motiv pentru identificabilitatea pacienților pe durata întregului proces de farmacovigilență ar putea fi buna funcționare a sistemului. AEPD înțelege că, atunci când informația se referă la o persoană identificabilă și, deci, unică, este mai ușor pentru autoritățile competente relevante (adică autoritățile naționale competente și EMEA) să monitorizeze și să controleze conținutul unui ICSR (să verifice duplicate). Deși AEPD înțelege necesitatea unui astfel de mecanism de control, nu este convinsă că simpla necesitate ar putea justifica identificabilitatea datelor în toate etapele procesului de farmacovigilență și în special în baza de date EudraVigilance. Printr-o mai bună structurare și coordonare a sistemului de raportare, de exemplu printr-un sistem descentralizat, astfel cum se discută mai jos, la punctul 42 și următoarele, duplicarea s-ar putea evita încă de la nivelul național.

35.

AEPD recunoaște că, în circumstanțe deosebite, este imposibil să se asigure anonimitatea datelor. Este, de exemplu, cazul unor medicamente utilizate de un grup foarte limitat de persoane. În aceste cazuri specifice, ar trebui elaborate garanții speciale de protecție pentru a corespunde obligațiilor consacrate în legislația privind protecția datelor.

36.

În concluzie, AEPD are dubii serioase cu privire la necesitatea, în toate etapele procesului de farmacovigilență, a trasabilității sau utilizării datelor privind pacienți care pot fi identificați. AEPD este conștientă de faptul că nu poate fi posibilă excluderea prelucrării datelor care pot fi identificate în fiecare etapă, în special la nivel național, unde colectarea efectivă de informații privind efectele adverse are loc. Cu toate acestea, normele privind protecția datelor prevăd că prelucrarea datelor privind sănătatea să aibă loc numai atunci când este strict necesar. Utilizarea de date care pot fi identificate ar trebui, deci, redusă la minimum și interzisă sau oprită în stadiu incipient, după posibilități, în cazurile în care nu este considerată necesară. Prin urmare, AEPD invită legiuitorul să reevalueze necesitatea utilizării acestor informații la nivel european și național.

37.

Se observă că, în cazurile în care există o nevoie reală de prelucrare a datelor care pot fi identificate sau atunci când nu se poate asigura anonimitatea acestora (a se vedea punctul 35 de mai sus), ar trebui explorate posibilitățile tehnice de identificare indirectă a persoanelor vizate, de exemplu prin pseudonime (23).

38.

Prin urmare, AEPD recomandă introducerea, în Regulamentul (CE) nr. 726/2004 și în Directiva 2001/83/CE a unui nou articol care să prevadă că dispozițiile din Regulamentul (CE) nr. 726/2004 și din Directiva 2001/83/CE nu aduc atingere drepturilor și obligațiilor ce decurg din dispozițiile Regulamentului (CE) nr. 45/2001 și Directivei 95/46/CE, cu trimitere specifică la articolul 10 al Regulamentului (CE) nr. 45/2001 și la articolul 8 al Directivei 95/46/CE. Ar mai trebui adăugat și faptul că datele privind sănătatea care pot fi identificate vor fi prelucrate numai dacă este strict necesar, iar părțile implicate ar trebui să evalueze această necesitate în toate etapele procesului de farmacovigilență.

IV.   ANALIZA DETALIATĂ A PROPUNERII

39.

Cu toate că protecția datelor nu este luată în considerare în modificările propuse, o analiză mai detaliată a propunerii este utilă deoarece arată că unele dintre modificările avute în vedere cresc impactul și riscurile ulterioare în ceea ce privește protecția datelor.

40.

Intenția generală a celor două propuneri este să îmbunătățească consecvența cu normele, să clarifice responsabilitățile, să simplifice sistemul de reportare și să consolideze baza de date EudraVigilance (24).

Clarificarea responsabilităților

41.

Comisia a încercat în mod evident să clarifice responsabilitățile, propunând modificarea dispozițiilor actuale, astfel încât legislația să indice mai explicit care sunt responsabilitățile fiecărei părți. Bineînțeles, clarificarea misiunilor fiecărei părți și a obligațiilor acestora referitoare la raportarea efectelor adverse mărește transparența sistemului și, prin urmare, din punctul de vedere al protecției datelor, reprezintă o evoluție pozitivă. În termeni generali, pacienții ar trebui să poată înțelege, din legislație, cum, când și de către cine le sunt prelucrate datele cu caracter personal. Cu toate acestea, clarificarea propusă a sarcinilor și responsabilităților ar trebui să fie legată în mod explicit de cele consacrate în legislația privind protecția datelor.

Simplificarea procesului de raportare

42.

Simplificarea sistemului de raportare ar trebui să se realizeze prin utilizarea de portaluri web naționale privind siguranța medicamentelor, conectate la portalul web european privind siguranța medicamentelor [a se vedea noul articol propus 106 din Directiva 2001/83/CE, precum și articolul 26 din Regulamentul (CE) nr. 726/2004]. Portalurile web naționale vor cuprinde formulare publice pentru raportarea reacțiilor adverse suspectate de către cadrele medicale și pacienți [a se vedea noul articol propus 106 alineatul (3) din Directiva 2001/83/CE, precum și articolul 25 din Regulamentul (CE) nr. 726/2004]. De asemenea, portalul web european va cuprinde informații privind metodele de raportare, inclusiv modele de formular pentru raportarea online de către pacienți și cadrele medicale.

43.

AEPD dorește să sublinieze că, deși utilizarea acestor portaluri web și a modelelor de formular va crește eficacitatea sistemului de raportare, concomitent, vor crește riscurile la adresa protecției datelor în cadrul sistemului. AEPD invită legiuitorul să alinieze evoluția acestui sistem de raportare la dispozițiile legislației privind protecția datelor. Aceasta presupune, după cum s-a menționat, că necesitatea prelucrării datelor cu caracter personal ar trebui evaluată în mod corespunzător, în ceea ce privește fiecare etapă a procesului. Aceasta ar trebui să se reflecte în organizarea raportării la nivel național și în transmiterea informațiilor către EMEA și baza de date EudraVigilance. Într-un sens mai larg, AEPD recomandă cu fermitate elaborarea de formulare uniforme la nivel național, care ar preveni practicile divergente care dau naștere unor niveluri diferite de protecție a datelor.

44.

Sistemul avut în vedere pare să presupună că pacienții pot raporta direct EMEA sau, poate, direct bazei de date EudraVigilance. Acest lucru ar însemna că, prin aplicația actuală a bazei de date EudraVigilance, informația va fi introdusă în portalul EMEA, după cum s-a explicat la punctele 21-22 de mai sus și va fi accesibilă Comisiei și autorităților naționale competente.

45.

În general, AEPD sprijină cu fermitate un sistem descentralizat de raportare. Comunicarea către portalul european ar trebui coordonată prin utilizarea portalurilor naționale, care sunt în răspunderea autorităților naționale competente. Ar trebui să se recurgă la raportarea indirectă de către pacienți, adică prin intermediul cadrelor medicale (prin portal sau altfel) și nu la raportarea directă de către pacienți, îndeosebi către baza de date EudraVigilance.

46.

În orice caz, orice sistem de raportare prin portal web presupune norme stricte de securitate. În acest sens, AEPD ar dori să reamintească trimiterea la Avizul privind propunerea de directivă privind drepturile pacienților în cadrul asistenței medicale transfrontaliere, în special partea privind securitatea datelor din statele membre și protecția vieții private în aplicațiile e-sănătate (25). În acel aviz, AEPD a subliniat deja că viața privată și securitatea ar trebui să facă parte din concepția și punerea în aplicare a oricărei aplicații e-sănătate [principiul „viață privată prin concepție” (privacy by design)] (26). Același considerent se aplică portalurilor web avute în vedere.

47.

Prin urmare, AEPD recomandă includerea în noile articole 25 și 26 din Regulamentul (CE) nr. 726/2004 și în articolul 106 din Directiva 2001/83/CE, care se referă la elaborarea unui sistem de raportare a efectelor adverse prin utilizarea de portaluri web, a unei obligații de incorporare a măsurilor adecvate privind protecția vieții private și securitatea. Principiile confidențialității , integrității, responsabilizării și disponibilității datelor ar putea fi menționate ca principale obiective de securitate, care ar trebui garantate la același nivel în toate statele membre. Utilizarea de norme și mijloace tehnice adecvate, cum ar fi criptarea și autentificarea digitală a semnăturii, ar putea fi incluse.

Consolidarea bazei de date EudraVigilance: îmbunătățirea accesului

48.

Noul articol 24 din Regulamentul (CE) nr. 726/2004 se referă la baza de date EudraVigilance. Articolul clarifică faptul că orice consolidare a bazei de date presupune o utilizare intensificată a bazei de date de către diversele părți implicate, în ceea ce privește furnizarea și accesarea informației în și din baza de date. Două alineate ale articolului 24 sunt importante în acest sens.

49.

Alineatul (2) al articolului 24 se referă la accesibilitatea bazei de date. Acesta înlocuiește articolul 57 alineatul (1) litera (d) din Regulamentul (CE) nr. 726/2004, discutat anterior ca unică dispoziție actuală referitoare la protecția datelor. Trimiterea la protecția datelor este păstrată, dar numărul părților care îi fac obiectul a fost redus. Acolo unde textul actual prevede că se vor acorda niveluri corespunzătoare de acces la baza de date cadrelor medicale, titularilor de autorizații de introducere pe piață și publicului, datele cu caracter personal fiind protejate, Comisia propune în prezent eliminarea titularilor de autorizații menționați anterior de pe listă și acordarea de acces acestora „în măsura în care este necesar pentru ca ei să respecte obligațiile privind farmacovigilența”, fără nicio mențiune la protecția datelor. Motivele nu sunt clare.

50.

Al treilea alineat al articolului 24 prevede normele privind accesul la ICSR. Publicul poate solicita accesul, care poate fi acordat în termen de 90 de zile, „cu excepția cazului în care transmiterea datelor confidențiale ar putea compromite anonimatul persoanelor care fac obiectul rapoartelor”. AEPD sprijină ideea care a stat la baza acestei dispoziții, și anume că numai datele anonime pot fi făcute publice. Cu toate acestea, AEPD dorește să sublinieze, după cum s-a mai explicat, că anonimitatea trebuie înțeleasă ca fiind deplina imposibilitate de a identifica persoana care a raportat efectul advers (a se vedea și punctul 33).

51.

Accesibilitatea sistemului EudraVigilance ar trebui, în general, să fie reevaluată în lumina normelor privind protecția datelor. Acest lucru afectează direct elaborarea politicilor de acces publicate de EMEA în decembrie 2008, menționate la punctul 23 de mai sus (27). În cazul în care informațiile din baza de date EudraVigilance se referă în mod necesar la persoane fizice care pot fi identificate, accesul la acele date trebuie să fie cât mai restrictiv posibil.

52.

AEPD recomandă, în consecință, includerea în articolul 24 alineatul (2) propus din Regulamentul (CE) nr. 726/2004 a unei teze potrivit căreia accesibilitatea bazei de date EudraVigilance va fi reglementată conform drepturilor și obligațiilor ce decurg din legislația comunitară în materie de protecție a datelor.

Drepturile persoanelor vizate

53.

AEPD dorește să sublinieze că, din momentul prelucrării datelor care pot fi identificate, partea responsabilă de prelucrare trebuie să se conformeze tuturor cerințelor legislației comunitare în materie de protecție a datelor. Aceasta presupune, inter alia, că persoana implicată este bine informată cu privire la utilizarea datelor și la entitatea care le va prelucra și cu privire la orice informații suplimentare necesare potrivit articolului 11 din Regulamentul (CE) nr. 45/2001 și/sau articolul 10 din Directiva 95/46/CE. Persoana în cauză ar trebui, deci, să-și poată invoca drepturile la nivel național și european, cum ar fi dreptul la acces [articolul 12 din Directiva 95/46/CE și articolul 13 din Regulamentul (CE) nr. 45/2001], dreptul la opoziție [articolul 18 din Regulamentul (CE) nr. 45/2001 și articolul 14 din Directiva 95/46/CE] etc.

54.

Prin urmare, AEPD recomandă adăugarea unui alineat la articolul 101 propus din Directiva 2001/83/CE conform căruia, în cazul prelucrării datelor cu caracter personal, persoana va fi informată în mod corespunzător conform articolului 10 din Directiva 95/46/CE.

55.

Accesul la informațiile proprii ale unei persoane, informații cuprinse în baza de date EudraVigilance, nu este abordat în legislația actuală și propusă. Trebuie subliniat că, în cazurile în care se consideră necesară stocarea de date cu caracter personal în baza de date, așa cum am menționat, pacientul în cauză ar trebui să aibă dreptul să invoce dreptul său de acces la datele cu caracter personal care îl vizează în conformitate cu articolul 13 din Regulamentul (CE) nr. 45/2001. Prin urmare, AEPD recomandă adăugarea unui alineat la articolul 24 propus conform căruia se vor aplica măsuri de asigurare a dreptului persoanei vizate de a exercita dreptul de acces la datele cu caracter personal referitoare la aceasta, conform articolului 13 din Regulamentul (CE) nr. 45/2001.

V.   CONCLUZII ȘI RECOMANDĂRI

56.

AEPD este de părere că lipsa unei evaluări corespunzătoare a implicațiilor privind protecția datelor în farmacovigilență constituie una dintre slăbiciunile cadrului juridic actual, astfel cum este prevăzut în Regulamentul (CE) nr. 726/2004 și în Directiva 2001/83/CE. Modificarea actuală a Regulamentului (CE) nr. 726/2004 și a Directivei 2001/83/CE ar trebui considerată o oportunitate de a introduce protecția datelor ca element de sine stătător și important al farmacovigilenței.

57.

Un aspect general care trebuie abordat este necesitatea efectivă a prelucrării datelor cu caracter personal privind sănătatea în toate etapele procesului de farmacovigilență. După cum a arătat în prezentul aviz, AEPD are îndoieli serioase cu privire la această nevoie și invită legiuitorul să o reevalueze în diversele etape ale procesului. Este clar că scopul farmacovigilenței poate fi atins, în multe cazuri, prin schimbul de informații referitoare la efecte adverse, schimb anonim în sensul legislației privind protecția datelor. Duplicarea raportării se poate evita prin aplicarea unor proceduri de raportare a datelor bine structurate, la nivel național.

58.

Amendamentele propuse au în vedere un sistem de raportare simplificat și consolidarea bazei de date EudraVigilance. AEPD a explicat că aceste modificări măresc riscurile pentru protecția datelor, în special în privința raportării directe a pacienților către EMEA sau baza de date EudraVigilance. În acest sens, AEPD sprijină cu fermitate un sistem descentralizat și indirect de raportare prin care comunicarea către portalul web european este coordonată prin utilizarea portalurilor web naționale. De asemenea, AEPD subliniază că viața privată și securitatea ar trebui să facă parte din concepția și punerea în aplicare a unui sistem de raportare prin utilizarea de portaluri web [principiul „viață privată prin concepție” (privacy by design)].

59.

AEPD subliniază că din momentul prelucrării datelor privind sănătatea referitoare la persoane fizice identificate sau care pot fi identificate, persoana responsabilă de prelucrare trebuie să se conformeze tuturor cerințelor legislației comunitare în materie de protecție a datelor.

60.

Mai precis, AEPD recomandă:

includerea unei trimiteri la acest aviz în preambulul ambelor propuneri;

introducerea unui considerent atât în Regulamentul (CE) nr. 726/2004, cât și în Directiva 2001/83/CE, privind importanța protecției datelor în contextul farmacovigilenței, cu trimiteri la legislația comunitară aplicabilă;

introducerea în Regulamentul (CE) nr. 726/2004 și în Directiva 2001/83/CE a unui nou articol cu caracter general care să prevadă că:

dispozițiile din Regulamentul (CE) nr. 726/2004 și din Directiva 2001/83/CE nu aduc atingere drepturilor și obligațiilor ce decurg din dispozițiile Regulamentului (CE) nr. 45/2001 și Directivei 95/46/CE, cu trimitere specifică la articolul 10 al Regulamentului (CE) nr. 45/2001 și la articolul 8 al Directivei 95/46/CE;

datele privind sănătatea care pot fi identificate vor fi prelucrate numai dacă este strict necesar iar părțile implicate ar trebui să evalueze această necesitate în toate etapele procesului de farmacovigilență;

includerea în articolul 24 alineatul (2) propus din Regulamentul (CE) nr. 726/2004 a unei teze potrivit căreia accesibilitatea bazei de date EudraVigilance va fi reglementată conform drepturilor și obligațiilor ce decurg din legislația comunitară în materie de protecție a datelor;

adăugarea unui alineat la articolul 24 propus conform căruia se vor aplica măsuri de asigurare a dreptului persoanei vizate de a exercita dreptul de acces la datele cu caracter personal referitoare la aceasta, conform articolului 13 din Regulamentul (CE) nr. 45/2001;

adăugarea unui alineat la articolul 101 propus din Directiva 2001/83/CE conform căruia, în cazul prelucrării datelor cu caracter personal, persoana va fi informată în mod corespunzător conform articolului 10 din Directiva 95/46/CE;

includerea în noile articole propuse 25 și 26 din Regulamentul (CE) nr. 726/2004 și în articolul 106 din Directiva 2001/83/CE, care se referă la elaborarea unui sistem de raportare a efectelor adverse prin utilizarea de portaluri web, a unei obligații de incorporare a măsurilor adecvate privind protecția vieții private și securitatea, la același nivel în toate statele membre, luând în considerare principiile de bază ale confidențialității, integrității, responsabilizării și disponibilității datelor.

Adoptat la Bruxelles, 22 aprilie 2009.

Peter HUSTINX

Autoritatea Europeană pentru Protecția Datelor


(1)  JO L 281, 23.11.1995, p. 31.

(2)  JO L 8, 12.1.2001, p. 1.

(3)  COM(2008) 664 final și COM(2008) 665 final.

(4)  JO L 136, 30.4.2004, p. 1.

(5)  JO L 311, 28.11.2001, p. 67.

(6)  A se vedea expunerea de motive la ambele propuneri, de la pagina 3.

(7)  JO 22, 9.2.1965, p. 369.

(8)  A se vedea expunerea de motive de la pagina 2.

(9)  A se vedea Avizul AEPD din 2 decembrie 2008 privind propunerea de directivă privind drepturile pacienților în cadrul asistenței medicale transfrontaliere, punctele 15-17, disponibil la adresa http://www.edps.europa.eu, în ceea ce privește definiția datelor privind sănătatea.

(10)  A se vedea CEDO 17 iulie 2008, I v. Finlanda (nr. cererii 20511/03), punctul 38 și CEDO 25 noiembrie 2008, Armonas v. Lihuania (nr. cererii 36919/02), punctul 40.

(11)  A se vedea evaluarea impactului, de la pagina 10.

(12)  A se vedea volumul 9A din Regulamentul medicamentelor în Uniunea Europeană: Orientări privind farmacovigilența în ceea ce privește medicamentele de uz uman, la adresa: http://ec.europa.eu/enterprise/pharmaceuticals/eudralex/vol-9/pdf/vol9a_09-2008.pdf

(13)  A se vedea orientările de la pagina 57.

(14)  A se vedea nota de subsol nr. 13.

(15)  Articolul 2 alineatul (a) din Directiva 95/46/CE definește „datele cu caracter personal” ca fiind „orice informație cu referire la o persoană fizică identificată sau identificabilă (persoana vizată)”; o persoană identificabilă este o persoană care poate fi identificată, direct sau indirect, în special prin referire la un număr de identificare sau la unul sau mai multe elemente specifice, proprii identității sale fizice, fiziologice, psihice, economice, culturale sau sociale. Considerentul (26) specifică: „[…] pentru a determina dacă o persoană este identificabilă este oportun să se ia în considerare toate mijloacele care pot fi utilizate în mod rezonabil fie de operator, fie de orice altă persoană pentru a identifica persoana vizată”. Pentru o analiză aprofundată, a se vedea Grupul de lucru pentru protecția persoanelor în ceea ce privește prelucrarea datelor cu caracter personal, Avizul nr. 4/2007 privind conceptul datelor cu caracter personal (documentul GL 136), adoptat la 20 iunie 2007, disponibil la adresa http://ec.europa.eu/justice_home/fsj/privacy/index_en.htm Cele de mai sus sunt valabile și pentru Regulamentul (CE) nr. 45/2001.

(16)  A se vedea nota de subsol nr. 13.

(17)  A se vedea proiectul EudraVigilance privind politicile de acces pentru medicamentele de uz uman, din 19 decembrie 2008, la adresa http://www.emea.europa.eu/pdfs/human/phv/18743906en.pdf

(18)  A se vedea evaluarea impactului de la pagina 17.

(19)  A se vedea nota de subsol nr. 18.

(20)  A se vedea propunerea Comisiei de directivă a Parlamentului European și a Consiliului privind standardele de calitate și siguranță referitoare la organele umane destinate transplantului, COM(2008) 818 final. A se vedea Avizul AEPD din 5 martie 2009, la adresa http://www.edps.europa.eu

(21)  A se vedea Avizul AEPD, punctele 11-28.

(22)  A se vedea articolul 2 alineatul (a) din Directiva 95/46/CE și articolul 3 alineatul (a) din Regulamentul (CE) nr. 45/2001, precum și explicația de la nota de subsol 13.

(23)  Adoptarea unui pseudonim este un proces la care se poate recurge pentru a ascunde identitatea persoanei vizate, putând totuși identifica datele. Există diverse posibilități tehnice, de exemplu păstrarea în siguranță a listelor de corespondență dintre identitatea reală și pseudonim, utilizarea de algoritmi criptografici bidirecționali etc.

(24)  A se vedea expunerea de motive de la paginile 2-3.

(25)  A se vedea Avizul AEPD menționat la nota de subsol 7 la propunerea de directivă privind drepturile pacienților în cadrul asistenței medicale transfrontaliere, punctele 32-34.

(26)  A se vedea punctul 32 din aviz.

(27)  A se vedea, de asemenea, nota de subsol 15.


Arriba