Código de Farmaindustria: una oportunidad del sector para evitar duras sanciones en RGPD
Después de un largo proceso, la Agencia Española de Protección de Datos (AEPD) ha aprobado el pasado 25 de febrero el primer código de conducta en privacidad en Europa para cumplir con la actual normativa de privacidad vigente en el ámbito de los ensayos clínicos, otras investigaciones clínicas y farmacovigilancia.
Se trata de un conjunto de normas y buenas prácticas de cumplimiento del Reglamento General de Protección de Datos (RGPD) para que las empresas que decidan, de manera voluntaria, adherirse al Código, puedan conseguir ciertas ventajas jurídicas. Después de su adhesión, las normas pasarán a ser vinculantes para la entidad en cuestión.
¿Qué gana jurídicamente una empresa al adherirse a este nuevo marco? En primer lugar, el Considerando 148 del RGPD lo valora como un elemento atenuador de las sanciones por incumplimiento del RGPD. Teniendo en cuenta el enorme margen de discrecionalidad de la AEPD en el sistema sancionador del RGPD (hasta 20 millones de euros o el 4% de la facturación mundial anual sin un sistema de graduación detallado y vinculante), no es menor. Y no es un riesgo teórico, ya que en España en lo que llevamos de año ya se han impuesto decenas de sanciones, algunas menores, otras de centenares de miles de euros y algunas incluso alcanzan los millones de euros.
Pero hay mucho más. La AEPD ya ha indicado que, si hay una reclamación o denuncia contra una compañía adherida, antes de seguir con la investigación, la entidad verificará si el mecanismo de mediación del código se ha implementado y si se ha aplicado de manera correcta. Algo imposible para entidades de otros sectores de actividad y que agradecerían en extremo.
Asimismo, la AEPD también ha remarcado que, por ejemplo, cuando una empresa farmacéutica deba elegir un partner o proveedor que sea el encargado del tratamiento, podrá considerar si ofrece las garantías suficientes en privacidad y si está adherida a este Código de Farmaindustria. Esta situación ahorraría a la farmacéutica un complejo proceso de verificación de garantías que, dado los tratamientos de datos que pueden darse en el sector, necesariamente son procesos complejos.
Existen más ventajas a tener en cuenta, pero resaltamos las más positivas incluso para entidades que no se adhieran al código. El RGPD está repleto de conceptos jurídicos indeterminados, de obligaciones de medios y casi de resultado. Esta situación otorga mucha libertad a las empresas para aterrizarlo y proporciona así libertad y flexibilidad en deterioro de la seguridad jurídica.
Justamente a esto ofrece una solución el Código de Farmaindustria. En un sector con tantísimo riesgo vinculado al tratamiento de los datos personales, se puede generar una cierta ansia de seguridad por parte de las empresas. Que sea el propio organismo regulador, la AEPD, quien apruebe y valide la forma concreta y detallada en que se debe aplicar el RGPD no tiene precio, puesto que el propio Código llega no sólo a ofrecer protocolos y soluciones, sino que aporta también modelos de documentos legales.
Tal es la utilidad que una empresa del sector que no se adhiera podrá saber si la AEPD interpreta como válida la forma de aplicar el RGPD a ciertos tratamientos de datos personales de alto riesgo. Es cierto que existen otras formas legales de llevarlo a cabo, pero esta, si se aplica correctamente, por ejemplo, a través de la imitación de buenas prácticas, decididas tras un GAP Análisis -proceso por el que se compara la situación actual con la situación futura deseada- y posteriormente auditadas por una firma externa, podrá asegurar evitar sanciones de la AEPD.
¿Qué podemos esperar que ocurra entonces? El sector farmacéutico tiene distintas realidades en su seno derivadas del tipo de actividad y su alcance: nacional o internacional o en función del grado de I+D+i, entre otras diferencias.
Dado que el Código de Farmaindustria es de ámbito español, las empresas multinacionales podrán llevar a cabo distintos análisis para valorar su posible adhesión al mismo, y al no tener todavía -aunque pueda estar cerca- algo equiparable para el ámbito europeo, lo más lógico es que se valore desde ahora en entidades multinacionales, ya que su adhesión al código español siempre vendrá supeditada a su compatibilidad con futuros códigos equivalentes de ámbito europeo, buscando así evitar disfuncionalidades entre jurisdicciones y cubrir las necesidades de cada territorio. Sin embargo, habrá que ver hasta qué punto otros países europeos se ajustan a la peculiaridad de este Código de ámbito español.
En el otro extremo, podríamos ver el ejemplo de una empresa farmacéutica nacional con limitada inversión en I+D+i a quien sí le interesa el código porque se dedican a farmacovigilancia, y puede llegar a la conclusión de que no está clara la adhesión por el precio de obligarse a cumplir unos estándares de privacidad que quizás van más allá de lo exigible por ley.
En cualquier caso, independientemente de si las empresas se adhieren o no a este Código, para la toma de este tipo de decisiones, será clave que las organizaciones sepan valorar cómo de avanzadas están en privacidad y la oportunidad que supone este Código para la industria. Por ejemplo, mediante la imitación de buenas prácticas, decididas tras un GAP Análisis que sepa interpretarse de manera organizativa para la toma de decisiones, y posteriormente auditadas por una firma externa para lograr así mayor seguridad.