protecciÓn de datos - página web oficial de la … · 2016-10-12 · agencia española de...
TRANSCRIPT
PROTECCIÓN DE DATOSPROTECCIÓN DE DATOS
1Agencia Española de Protección de Datos
Cristina Gómez Piqueras
Inspectora-Instructora de la Agencia Española de Pr otección de Datos
ÍNDICE
� Qué es la protección de datos.
� Legislación.
� Agencia Española de Protección de Datos.
2Agencia Española de Protección de Datos
� Conceptos generales.
� Principios de protección de datos.
� Ensayos clínicos Y Código tipo de Farmaindustria.
PECULIARIDADES DEL DERECHO A LA PROTECCIÓN DE DATOS
Su desconocimiento por parte delciudadano .
3Agencia Española de Protección de Datos
Lo inadvertido de su vulneración (envíopostal, llamada telefónica).
Su naturaleza de derecho fundamental.
¿QUÉ ES LA PROTECCIÓN DE DATOS? (I)
� NOS AFECTA A NIVEL PERSONAL (al contratarservicios nos piden el consentimiento para el usode nuestros datos) Y PROFESIONAL (quien notrabaja con bases de datos).
4Agencia Española de Protección de Datos
� LA PRIVACIDAD ESTÁ EN PELIGRO. (Cada vezes más fácil invadir la intimidad ajena mediante lautilización de nuevas tecnologías)
¿QUÉ ES LA PROTECCIÓN DE DATOS? (II)
� VULNERACIÓN DE LA INTIMIDAD
� VALOR ECONÓMICO DEL DATO / DIRECTIVA
5Agencia Española de Protección de Datos
� VALOR ECONÓMICO DEL DATO / DIRECTIVA95/46
� DERECHO FUNDAMENTAL / PATRIMONIO /CONSTITUCIÓN EUROPEA
NORMATIVA APLICABLE ( I)
� Artículo 18.4 de la Constitución Española.
� LOPD (L.O. 15/1999, de 13 de diciembre, de Protección de Datosde Carácter Personal)
� RD 1720/2007, de 21 de diciembre, de desarrollo de la LOPD
6Agencia Española de Protección de Datos
� Instrucciones de la AEPD
� Normas de CCAA� Madrid: Ley 8/2001, de 13 de julio� Cataluña: Ley 5/2002, de 19 de abril� País Vasco: Ley 2/2004, de 25 de febrero.
¿QUÉ ES LA PROTECCIÓN DE DATOS? (III)
DERECHO AUTÓNOMO� Poder de disposición y control sobre datos
personales.� Facultad de decidir sobre
� Qué datos ceder a un tercero.� Qué datos se pueden recabar
7Agencia Española de Protección de Datos
� Facultad de conocer� Quién posee esos datos personales� Para qué los posee
� Facultad de oponerse a su posesión o uso� Solicitando su rectificación o cancelación� Revocando el consentimiento para su uso.
NORMATIVA APLICABLE (I I)
(A efectos de sanción)
�LGT (Ley 32/2003, de 3 de noviembre, Generalde Telecomunicaciones)
8Agencia Española de Protección de Datos
�LSSI (Ley 34/2002, de 11 de julio, de Servicios dela Sociedad de la Información y de ComercioElectrónico)
INSTRUCCIONES
� Instrucciones:� 2/1995, de 4 de mayo, contratación seguro
de vida y crédito.� 1/1996, de 1 de marzo, acceso a edificios.� 2/1996, de 1 de marzo, acceso a casinos y
9Agencia Española de Protección de Datos
� 2/1996, de 1 de marzo, acceso a casinos ysalas de bingo.
� 1/2004, Publicación de Resoluciones.� 1/2006, videovigilancia.
Normativa relacionadacon Protección de Datos
► Constitución Europea:-Artículo 50- Carta de Derechos Fundamentales
► Ley 41/2002, de 14 de noviembre, reguladora de la
10Agencia Española de Protección de Datos
► Ley 41/2002, de 14 de noviembre, reguladora de laautonomía del paciente y de derechos y obligaciones enmateria de información y documentación clínica.
► Real Decreto 223/2004, de 6 de febrero, por el que seregulan los ensayos clínicos con medicamentos.
Agencia Española de Protección de Datos
� Ente de Derecho Público
� Personalidad Jurídica Propia
� Plena capacidad Pública y Privada
11Agencia Española de Protección de Datos
� Plena capacidad Pública y Privada
� Independencia de las Administraciones Públicas en e l ejercicio de sus funciones
� Puestos de trabajo: Funcionarios y Contratados
� Elabora y aprueba Anteproyecto de Presupuesto
Funciones de la Agencia Española de Protección de Datos
� GENÉRICA DE SALVAGUARDA Y TUTELA : velarpor el cumplimiento legislación de protección dedatos y defensa de los derechos de los afectados
� INTEGRACIÓN NORMATIVA o desarrolloreglamentario
12Agencia Española de Protección de Datos
� CONSULTIVA de las normas en lo relativo aprotección de datos.
� INFORMATIVA: publicidad de ficheros, informacióna particulares.
� COOPERACIÓN INTERNACIONAL � INSPECTORA E INSTRUCTORA
AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS
DIRECTOR
CONSEJO CONSULTIVO
UNIDAD DE APOYO
13Agencia Española de Protección de Datos
SECRETARIA GENERAL
SUB. GENERALDE REGISTRO
CONSULTIVO
SUB. GENERAL DE INSPECCIÓN
APOYO
PRINCIPALES CONCEPTOS (I)
Afectado o interesado: Persona física titular de los datosque sean objeto del tratamiento.
Datos de carácter personal: Cualquier informaciónnumérica, alfabética, gráfica, fotográfica, acústica o decualquier otro tipo concerniente a personas físicas
14Agencia Española de Protección de Datos
cualquier otro tipo concerniente a personas físicasidentificadas o identificables.
Persona identificable : toda persona cuya identidad puedadeterminarse, directa o indirectamente, mediante cualqui erinformación referida a su identidad física, fisiológica,psíquica, económica, cultural o social. Una persona físicano se considerará identificable si dicha identificaciónrequiere plazos o actividades desproporcionados.
PRINCIPALES CONCEPTOS (II)
Dato disociado: aquél que no permite laidentificación de un afectado o interesado.
Procedimiento de disociación : Todo tratamientode datos personales que permita la obtención de
15Agencia Española de Protección de Datos
de datos personales que permita la obtención dedatos disociados.
Consentimiento del interesado: Todamanifestación de voluntad, libre, inequívoca,específica e informada, mediante la que elinteresado consienta el tratamiento de datospersonales que le conciernen.
DATOS DE SALUD (I)
� El conocimiento de los datos de salud por terceraspersonas puede tener consecuencias perjudiciales para elafectado.
� Punto de partida: ni la LOPD ni la Directiva 95/46/CEestablecen un concepto de dato de salud.
16Agencia Española de Protección de Datos
� Semántica: salud es el estado en que el ser orgánico ejercenormalmente todas sus funciones o las condiciones físicasen que se encuentra un organismo en un momentodeterminado.
� OMS: el estado de completo bienestar físico, mental osocial, y no solamente la ausencia de afecciones oenfermedades.
DATOS DE SALUD (II)
� Consejo de Europa. Memoria Convenio 108: “Datos decarácter personal relativos a la salud” informacionesconcernientes a la salud pasada, presente y futura, física omental, de un individuo, pudiendo tratarse deinformaciones sobre un individuo de buena salud, enfermoo fallecido . Igualmente comprenden las informaciones
17Agencia Española de Protección de Datos
o fallecido . Igualmente comprenden las informacionesrelativas al abuso del alcohol o al consumo de drogas.
� Recomendación nº R (97) 5: “Datos médicos” hacenreferencia a todos los datos de carácter personal relativosa la salud de una persona, afectando a los datos manifiestay estrechamente relacionados con la salud así como a lasinformaciones genéticas.
DATOS DE SALUD (III)
� Reglamento de desarrollo de la LOPD . Datos decarácter personal relacionados con la salud: Lasinformaciones concernientes a la salud pasada,presente y futura, física o mental, de unindividuo . En particular, se consideran datos
18Agencia Española de Protección de Datos
individuo . En particular, se consideran datosrelacionados con la salud de las personas losreferidos a su porcentaje de discapacidad y a suinformación genética.
DATOS GENÉTICOS
� Recomendación nº R (97) 5: “Datos genéticos”todos los datos, de cualquier tipo, relacionadoscon los caracteres hereditarios de un individuo oque, vinculados a dichos caracteres, componganel patrimonio de un grupo de individuosemparentados . Hace referencia de la misma
19Agencia Española de Protección de Datos
emparentados . Hace referencia de la mismamanera a todos los datos que afecten aintercambios de información genética (genes) deun individuo o línea genética, con relación acualquier aspecto de la salud o de unaenfermedad, constituya o no un carácteridentificable.
PRINCIPIOS DE LA PROTECCIÓN DE DATOS
INFORMACIÓN
CONSENTIMIENTO
20Agencia Española de Protección de Datos
SEGURIDAD
Medidas Secreto Calidad Inscripción
OBLIGACIONES RESPONSABLE FICHERO
� INSCRIPCIÓN FICHERO� MEDIDAS DE SEGURIDAD� INFORMACIÓN� CONSENTIMIENTO
21Agencia Española de Protección de Datos
� CALIDAD DE DATOS� EJERCICIO DE DERECHOS� AUTORIZACIÓN PARA LA CESIÓN DE DATOS� AUTORIZACIÓN TRANSFERENCIAS
INTERNACIONALES� DEBER DE SECRETO
INSCRIPCIÓN DE FICHEROS PRIVADOS
� CREACIÓN, MODIFICACIÓN, SUPRESIÓNNotificación a la AEPD
� CONTENIDOS DE LA NOTIFICACIÓN� Responsable del fichero
22Agencia Española de Protección de Datos
� Finalidad del fichero� Ubicación del fichero � Tipo de datos de carácter personal que contiene� Medidas de seguridad� Cesiones de datos que se prevean realizar � Transferencias de datos que se prevean
Medidas de seguridad. Real Decreto 1720/2007
� Medidas de índole técnica y organizativas necesarias que:� Garanticen la seguridad de los datos de carácter
personal y� Eviten su adulteración, pérdida, tratamiento o acceso
no autorizado
23Agencia Española de Protección de Datos
no autorizado� Todo ello teniendo en cuenta:
� El estado de la tecnología� La naturaleza de los datos almacenados y � Los riesgos a que están expuestos, ya provengan de
la acción humana del medio físico o natural.� En ficheros automatizados y en ficheros papel.
¿Cuáles son las medidas de seguridad que exige el nivel básico ?
(I)
Documento de seguridad: único o individualizado
� El responsable del fichero debe elaborar eimplantar una normativa de seguridad .
24Agencia Española de Protección de Datos
implantar una normativa de seguridad .� La normativa de seguridad se recoge en el
documento de seguridad.� Debe mantenerse actualizado y revisarse cuando
se produzcan cambios relevantes en el sistema.� Debe ser conocido por el personal con acceso a
datos personales.
¿Cuáles son las medidas de seguridad que exige el nivel básico ?
(II)
¿Qué debe contener el documento de seguridad?
� 1. Identificación del fichero y los recursos proteg idos.� 2. Estructura de los ficheros y descripción del sistema de
tratamiento.� 3. Procedimiento de seguridad .
25Agencia Española de Protección de Datos
� 3. Procedimiento de seguridad .� 4. Procedimientos de notificación, gestión y respuesta
ante incidencias: registro de incidencias.� 5. Procedimiento de copias.� 6. Funciones y obligaciones del personal con acceso.
¿Cuáles son las medidas de seguridad que exige el n ivel básico ?
(III)Personal con acceso:
� Deben establecerse procesos de identificación yautenticación.
� Cuando el mecanismo de autenticación se base en laexistencia de contraseñas debe haber un procedimiento
26Agencia Española de Protección de Datos
existencia de contraseñas debe haber un procedimientode asignación, distribución y almacenamiento quegarantice su confidencialidad
� Las contraseñas se cambiarán con la periodicidad quemarque el documento de seguridad
� Debe indicarse el acceso permitido a cada usuario.
Medidas de SeguridadNivel medio
(I)Deben implantarse con datos relativos a:
�Comisión de infracciones administrativas.� Comisión de infracciones penales.� Hacienda Pública.� Servicios financieros y de solvencia.
27Agencia Española de Protección de Datos
� Datos que faciliten el perfil del individuo.� Entidades Gestoras y Servicios Comunes
de la Seguridad Social para el ejercicio decompetencias en materia de recaudación.
�Datos de tráfico y localización en serviciosde comunicaciones electrónicas disponiblesal público.
Medidas de SeguridadNivel medio
(II)
Las medidas de nivel medio suponen la implantación de las denivel básico más:
� Nombramiento de uno o más responsables de seguridad� El documento de seguridad ha de ser más completo:
� Identificación del responsable de seguridad .
28Agencia Española de Protección de Datos
� Identificación del responsable de seguridad .� Procesos de verificación periódica de su cumplimiento.� Medidas en caso de desecho o reutilización de
soportes.� Procesos de identificación y autentificación más
exigentes.
Medidas de SeguridadNivel medio
(III)
� Los sistemas informáticos y las instalaciones en las que serealicen los tratamientos deben auditarse cada dos años.
� Control de acceso físico a los locales� Gestión de soportes:
� Registro de entrada y de salida, en el que queden
29Agencia Española de Protección de Datos
� Registro de entrada y de salida, en el que quedenregistradas la fecha y hora de entrada o salida
� Tipo y número de soportes;� Emisor o destinatario y forma de envío;� Información que contiene y responsable de la recepción
o de la entrega.
Nivel alto
Aquellos que traten:
�Ideología, religión, creencias religiosas.� Origen racial.�Salud , vida sexual
30Agencia Española de Protección de Datos
�Salud , vida sexual�Datos recabados para fines policiales.�Datos derivados de actos de violencia
de género .
Medidas de SeguridadNivel alto
(I)
Se habrán de instaurar las de nivel básico y mediomás:
� Mecanismos técnicos que registren todos los
31Agencia Española de Protección de Datos
� Mecanismos técnicos que registren todos losaccesos� Identificación del usuario, fecha y hora.� Fichero accedido y tipo de acceso.� Si ha sido autorizado o denegado.� Los registros de acceso se conservarán dos
años.
Medidas de SeguridadNivel alto
(II)
� La distribución de soportes se hará� Cifrando o utilizando cualquier otro medio� Garantizando que la información no es
inteligible ni manipulable .
32Agencia Española de Protección de Datos
inteligible ni manipulable .
� El responsable de seguridad revisará lainformación y elaborará un informe mensual.
MEDIDAS DE SEGURIDAD DE NIVEL ALTO FICHEROS NO AUTOMATIZADOS (I)
Almacenamiento de la información.1. Los armarios, archivadores u otros elementos en losque se almacenen los ficheros no automatizados condatos de carácter personal deberán encontrarse en áreasen las que el acceso esté protegido con puertas de accesodotadas de sistemas de apertura mediante llave u otrodispositivo equivalente . Dichas áreas deberán permanecer
33Agencia Española de Protección de Datos
dispositivo equivalente . Dichas áreas deberán permanecercerradas cuando no sea preciso el acceso a losdocumentos incluidos en el fichero.2. Si, atendidas las características de los locales de quedispusiera el responsable del fichero o tratamiento, nofuera posible cumplir lo establecido en el apartadoanterior, el responsable adoptará medidas alternativasque, debidamente motivadas, se incluirán en el documentode seguridad.
MEDIDAS DE SEGURIDAD DE NIVEL ALTO FICHEROS NO AUTOMATIZADOS (II)
Copia o reproducción.1. La generación de copias o la reproducción delos documentos únicamente podrá ser realizadabajo el control del personal autorizado en el
34Agencia Española de Protección de Datos
bajo el control del personal autorizado en eldocumento de seguridad.2. Deberá procederse a la destrucción de lascopias o reproducciones desechadas de formaque se evite el acceso a la información contenidaen las mismas o su recuperación posterior.
MEDIDAS DE SEGURIDAD DE NIVEL ALTO FICHEROS NO AUTOMATIZADOS (III)
Acceso a la documentación.1. El acceso a la documentación se limitaráexclusivamente al personal autorizado.2. Se establecerán mecanismos que permitanidentificar los accesos realizados en el caso de
35Agencia Española de Protección de Datos
identificar los accesos realizados en el caso dedocumentos que puedan ser utilizados pormúltiples usuarios.3. El acceso de personas no incluidas en elpárrafo anterior deberá quedar adecuadamenteregistrado de acuerdo con el procedimientoestablecido al efecto en el documento deseguridad.
MEDIDAS DE SEGURIDAD DE NIVEL ALTO FICHEROS NO AUTOMATIZADOS (IV)
Traslado de documentación.
Siempre que se proceda al traslado físico de ladocumentación contenida en un fichero, deberán
36Agencia Española de Protección de Datos
documentación contenida en un fichero, deberánadoptarse medidas dirigidas a impedir el accesoo manipulación de la información objeto detraslado.
Derecho de Información en la recogida de datos
� Existencia de un fichero o tratamiento de datosde carácter personal, de la finalidad de larecogida de éstos y de los destinatarios de lainformación.
� Carácter obligatorio o facultativo de su respuestaa las preguntas que les sean planteadas . (CASO
37Agencia Española de Protección de Datos
a las preguntas que les sean planteadas . (CASOCLÍNICA DENTAL )
� Consecuencias de la obtención de los datos o dela negativa a suministrarlos.
� Posibilidad de ejercitar los derechos de acceso,rectificación, cancelación y oposición.
� Identidad y dirección del responsable deltratamiento o, en su caso, de su representante.
INFORMACIÓN EN LA RECOGIDA (II)
� LA INFORMACIÓN PUEDE FACILITARSE DEFORMA VERBAL, SALVO CUANDO SESOLICITAN DATOS EN UN FORMULARIO.
38Agencia Española de Protección de Datos
SOLICITAN DATOS EN UN FORMULARIO.
� ¿CÓMO SE SOLUCIONA LA JUSTIFICACIÓN DEHABER DADO LA INFORMACIÓN? MEDIANTECARTELES (CONSULTAS, BINGOS..) OGRABANDO LA CONVERSACIÓN SIFACILITAMOS LOS DATOS POR TELÉFONO.
CONSENTIMIENTO DEL INTERESADO (I)
� LIBRE, INFORMADO, ESPECÍFICO E INEQUÍVOCO
� EXPRESO: origen racialsalud vida sexual
39Agencia Española de Protección de Datos
� EXPRESO Y ESCRITO: ideología afiliación sindical religióncreencias
� REVOCABLE� EDAD: 14 AÑOS
CONSENTIMIENTO DEL INTERESADO (II)
EXCEPCIONES
� Datos recogidos para funciones propias de las AAPP en elámbito de sus competencias
� Relación negocial, laboral o administrativa� Tratamiento fines policiales necesarios prevención peligro
de seguridad pública o represión infracciones penales
40Agencia Española de Protección de Datos
de seguridad pública o represión infracciones penales� Fuentes de acceso público� Datos especialmente protegidos si el tratamiento resulta
necesario: *Prevención o diagnóstico médico
* Prestación asistencia sanitaria * Salvaguardar interés vital afectado incapacitado para
consentir.* Investigación concreta Fuerzas y Cuerpos de Seguridad.
CALIDAD DE LOS DATOS (I)
�ADECUADOS�PERTINENTES para su finalidad�NO EXCESIVOS
41Agencia Española de Protección de Datos
- DETERMINADA- EXPLÍCITA- LEGÍTIMA
CALIDAD DE LOS DATOS (II)
En su contenido :
�VERACES (que sean ciertos)
42Agencia Española de Protección de Datos
�ACTUALES (puestos al día)
�EXACTOS (que coincidan con la realidad)
CALIDAD DE LOS DATOS (III)
Deben ser RECTIFICADOS o COMPLETADOS
cuando :
en todo
43Agencia Española de Protección de Datos
en todo
� INCOMPLETOS
en parte
CALIDAD DE LOS DATOS (IV)
Deben ser CANCELADOS cuando:
�Hayan dejado de ser NECESARIOS
�Hayan dejado de ser PERTINENTES
44Agencia Española de Protección de Datos
para la FINALIDADFINALIDAD para la que se registraron
CALIDAD DE LOS DATOS (V)
PROHIBICIÓN RECOGIDA DE DATOS
�FRAUDULENTA
45Agencia Española de Protección de Datos
�DESLEAL
� ILÍCITA
Derechos del interesado
� DERECHOS PERSONALÍSIMOS
� DERECHOS INDEPENDIENTES
� FICHEROS AFECTADOS: AUTOMATIZADOS Y PAPEL
46Agencia Española de Protección de Datos
� GRATUITOS
� SOLICITUD ANTE EL RESPONSABLE� OBLIGACIONES DEL RESPONSABLE� CONTESTACIÓN EXPRESA� SUBSANACIÓN
Derechos del interesado
Impugnación de valoraciones
Derecho de consulta al Registro
Acceso :Solicitud de sus datos de carácter personal sometidos a trat amiento,origen, comunicaciones realizadas o que se prevén. Plazocontestación de un mes.
Rectificación y cancelación :
47Agencia Española de Protección de Datos
Rectificación y cancelación :En caso de datos inexactos o incompletos o de tratamiento noajustado a la Ley. Conservación durante los plazos previsto s en lasdisposiciones aplicables o en relaciones contractuales. P lazocontestación 10 días.
Oposición :El interesado se opone al tratamiento de sus datos, salvo que una Leyprevea la inclusión de datos.
Indemnización :Por los daños o perjuicios causados como consecuencia delincumplimiento de la Ley.
DERECHO DE ACCESO
CONCEPTOPLAZO: 1 MESFORMA DEL ACCESO� Soporte elegido por el reclamante: Visualización en pantalla, escrito,
copia o fotocopia remitida por correo, telecopia, cualquier otroprocedimiento adecuado
� Legible
48Agencia Española de Protección de Datos
� InteligibleCONTENIDO DE LA INFORMACIÓN� Datos de base del afectado� Los resultantes de cualquier elaboración o proceso informático� Origen de los datos� Cesionarios de los datos� Usos y finalidades para los que se almacenaron.DATOS DE LOS FALLECIDOS (LEY 41/2002)
DERECHO DE ACCESO HISTORIA CLÍNICA
• ACCESO LEY 41/2002� EL PACIENTE TIENE EL DERECHO DE ACCESO, CON LAS
RESERVAS SEÑALADAS EN EL APARTADO 3 DE ESTEARTÍCULO, A LA DOCUMENTACIÓN DE LA HISTORIACLÍNICA Y A OBTENER COPIA DE LOS DATOS QUE FIGURANEN ELLA (ART. 18.1)
• LÍMITES:
49Agencia Española de Protección de Datos
• LÍMITES:� PERJUICIO DEL DERECHO DE TERCERAS PERSONAS A LA
CONFIDENCIALIDAD DE LOS DATOS DE SALUD.� PERJUICIO DEL DERECHO DE LOS PROFESIONALES;
POSIBILIDAD DE OPONER RESERVAS DE SUSANOTACIONES SUBJETIVAS.
� ACCESO DATOS PACIENTES FALLECIDOS A LAS PERSONASVINCULADAS A ÉL, POR RAZONES FAMILIARES O DEHECHO, SALVO QUE EL FALLECIDO LO HUBIESE PROHIBIDOEXPRESAMENTE Y ASÍ SE ACREDITE.
PROBLEMAS ACCESO PACIENTE
� Edad para solicitar el acceso a la historia clínica.
� Representación exigida para solicitar la historiaclínica de otra persona . Plazo de la
50Agencia Española de Protección de Datos
clínica de otra persona . Plazo de larepresentación.
� Acceso total a la historia clínica o solo los datosbásicos mínimos que se incluyen en el Informede alta.
FALLECIDOS
� ¿Quién tiene derecho?
� Forma de acreditar las relaciones de hecho.
51Agencia Española de Protección de Datos
� Si existen varios matrimonios y varias relaciones de hecho, ¿a quién se le facilita?
TD/01911/2011
� Un señor pide el acceso a la historia clínica de sumadre y del bebe que tuvo en la Clínica delRosario en el año 1960.
52Agencia Española de Protección de Datos
� Se inadmitió porque la clínica le contestó quehabían sido destruidas las historias.
� Informe del Abogado del Estado.
DERECHO DE RECTIFICACIÓNY CANCELACIÓN
CONCEPTO
PLAZO: 10 DÍAS
FORMA
a) Derecho de rectificación: indicar dato erróneo, aportar documentación justificativa
b) Derecho de cancelación: el interesado debe indicar sirevoca el consentimiento otorgado
53Agencia Española de Protección de Datos
revoca el consentimiento otorgado
- La cancelación da lugar al bloqueo de datos yposteriormente se cancelan
DENEGACIÓN: Los datos se mantendrán durante losplazos legalmente establecidos o pactadoscontractualmente.
CESIÓN DE DATOS
CONSENTIMIENTO PREVIO DEL INTERESADO
Excepciones:� autorizada en una Ley� fuentes accesibles al público� relación jurídica cuyo desarrollo, cumplimiento y control implique
54Agencia Española de Protección de Datos
� relación jurídica cuyo desarrollo, cumplimiento y control impliquecomunicación
� destinatario al Defensor del Pueblo, el Ministerio Fiscal o los Jueces oTribunales o el Tribunal de Cuentas, en el ejercicio de las funciones
� entre AAPP con fines históricos, estadísticos o científicos� datos salud necesarios para urgencia o estudios epidemiológicos� cuando una AAPP elabora u obtiene datos con destino a otra.
TRANSFERENCIAS INTERNACIONALES
No pueden realizarse transferencias de datos decarácter personal a países que no proporcionenun nivel de protección equiparable al que prestanuestra Ley, salvo que se cuente con laautorización del Director de esta Agencia.
55Agencia Española de Protección de Datos
Excepción: Cuando el afectado haya dado elconsentimiento inequívoco a la transferenciaprevista.
DEBER DE SECRETO O CONFIDENCIALIDAD DE LOS DATOS (I)
SUJETOS RESPONSABLES :- Responsable del fichero/tratamiento- Quienes intervengan en cualquier fase deltratamiento
56Agencia Española de Protección de Datos
OBJETO:- El secreto profesional- Deber de guardar los datos- Mantenimiento de estas obligaciones después definalizar su relación con el titular del fichero
PROTECCIÓN DE DATOS Y ENSAYOS CLÍNICOS. CÓDIGO TIPO
57Agencia Española de Protección de Datos
CLÍNICOS. CÓDIGO TIPO DE FARMAINDUSTRIA
Normativa sobre Ensayosclínicos, Farmacovigilancia y Protección de Datos ( I)
► Ley Orgánica 15/1999, de 13 de diciembre, de Protección deDatos de carácter personal.
► Real Decreto 1720/2007, de 21 de diciembre, por el que seaprueba el Reglamento de desarrollo de la Ley Orgánica15/1999.
► Real Decreto 223/2004, de 6 de febrero, por el que se regulanlos ensayos clínicos con medicamentos.
58Agencia Española de Protección de Datos
los ensayos clínicos con medicamentos.► Ley 29/2006, de 26 de julio de garantías y uso racional de los
medicamentos y productos sanitarios.► RD1345/2007, por el que se regula el procedimiento de
autorización, registro y condiciones de dispensación de losmedicamentos de uso humano.
► Orden SCO/256/2007, por la que se establecen los principios ydirectrices detalladas de BPC y los requisitos para la fabricacióne importación de medicamentos en investigación.
► Orden SCO/362/2008, modifica orden SCO/256/2007.
Normativa sobre Ensayosclínicos, Farmacovigilancia y Protección de Datos ( II)
►RD 1344/2007, por el que se regula lafarmacovigilancia de medicamentos de uso humano.
►Vol. 9 A, de la Comisión, relativo a Guías defarmacovigilancia de medicamentos de uso humano.
59Agencia Española de Protección de Datos
farmacovigilancia de medicamentos de uso humano.
►Normas de BPC (CPMP/ICH/135/95).
►BP Farmacovigilancia
REAL DECRETO 223/2004
ARTÍCULO 3, APARTADO 2: “Los ensayos clínicosse realizarán en condiciones de respeto a losderechos del sujeto y a los postulados éticos queafectan a la investigación biomédica con sereshumanos. En particular, se deberá salvaguardarla integridad física y mental del sujeto, así como
60Agencia Española de Protección de Datos
la integridad física y mental del sujeto, así comosu intimidad y la protección de sus datos , deacuerdo con la Ley Orgánica 15/1999, de 13 dediciembre, de Protección de Datos de CarácterPersonal. Se obtendrá y documentará elconsentimiento informado de cada uno de lossujetos del ensayo, libremente expresado, antesde su inclusión en el ensayo en los términosprevistos en el artículo 7 de este Real Decreto”.
REAL DECRETO 223/2004
ARTÍCULO 3, APARTADO 6: “El tratamiento,comunicación y cesión de los datos de carácterpersonal de los sujetos participantes en elensayo se ajustará a lo dispuesto en la LeyOrgánica 15/1999, de 13 de diciembre, deProtección de Datos de Carácter Personal, y
61Agencia Española de Protección de Datos
Protección de Datos de Carácter Personal, yconstará expresamente en el consentimientoinformado”.
DEFINICIONES
Datos de carácter personal: Cualquier informaciónnumérica, alfabética, gráfica, fotográfica, acústicao de cualquier otro tipo concerniente a personasfísicas identificadas o identificables.
62Agencia Española de Protección de Datos
Datos de carácter personal relacionados con lasalud: las informaciones concernientes a la saludpasada, presente y futura, física o mental, de unindividuo. En particular, se consideran datosrelacionados con la salud de las personas losreferidos a su porcentaje de discapacidad y a suinformación genética.
DEFINICIONES
Dato disociado: aquél que no permite laidentificación de un afectado o interesado.
Persona identificable: toda persona cuya identidadpueda determinarse, directa o indirectamente,mediante cualquier información referida a suidentidad física, fisiológica, psíquica, económica,
63Agencia Española de Protección de Datos
identidad física, fisiológica, psíquica, económica,cultural o social. Una persona física no seconsiderará identificable si dicha identificaciónrequiere plazos o actividadesdesproporcionados.
Procedimiento de disociación: Todo tratamiento dedatos personales que permita la obtención dedatos disociados.
DEFINICIONES
Dato anonimizado o irreversiblemente disociado:dato que no puede asociarse a una personaidentificada o identificable por haberse destruidoel nexo con toda información que identifique alsujeto, o porque dicha asociación exige unesfuerzo no razonable, entendiendo por tal el
64Agencia Española de Protección de Datos
esfuerzo no razonable, entendiendo por tal elempleo de una cantidad de tiempo, gastos ytrabajo desproporcionados.
Dato codificado o reversiblemente disociado : datono asociado a una persona identificada oidentificable por haberse sustituido o desligadola información que identifica a esa personautilizando un código que permita la operacióninversa.
ÁMBITO DE LA PROTECCIÓN JURÍDICA DE LOS DATOS PERSONALES: TIPOS DE DATOS
� Datos personales relativos a personas identificadas: apar ecenvinculados con la persona respecto de la que aportan informa ción.
� Datos relativos a personas identificables: se trata de dato s que no seasocian directamente a una persona determinada, pero es fác ilvincular esos datos a la persona a la que se refieren. Codific ados opseudoanonimizados
65Agencia Española de Protección de Datos
� Datos anónimos: aquellos respecto de los que no es conocida l aidentidad de la persona a la que se refieren ni es posible suidentificación, porque los datos fueron recogidos de este m odo, oporque aunque fueran recogidos junto con la identificación de lapersona, han sido transformados con posterioridad en anóni mos
CONSECUENCIA: la normativa de protección de datos se aplica a los dosprimeros tipos de datos. Los terceros quedan excluidos de su aplicación.
ENSAYO CLÍNICO
En un ensayo clínico intervienen:
� Promotor� Investigador principal/Investigadores� Monitor � Auditor
66Agencia Española de Protección de Datos
� Auditor� CRO� Comité Ético de Ensayos clínicos.
� Sujetos del ensayo clínico.
� Producto objeto de ensayo clínico.
ACCESO POR CUENTA DE TERCEROS (I)
RESPONSABLE DEL TRATAMIENTO
67Agencia Española de Protección de Datos
ENCARGADO DEL TRATAMIENTORESPONSABLE DEL FICHERO
CODIGO TIPO
� Denominación: Código Tipo de Farmaindustria de protección de datos personales en el ámbito de la Investigación Clínica y de la Farmacovigilancia.
� Aprobación: 17 de junio de 2009.� Ámbito de aplicación:
68Agencia Española de Protección de Datos
� Ámbito de aplicación: • 1. Investigaciones clínicas con datos disociados.• 2. Investigaciones clínicas con datos de carácter
personal.• 3. Farmacovigilancia con datos disociados.• 4. Farmacovigilancia con datos de carácter personal .
ÁMBITO DE APLICACIÓN:¿QUIÉN DEBE CUMPLIRLO?
� Los laboratorios farmacéuticos asociados aFarmaindustria que, expresamente, se adhieran aeste Código Tipo.
� Los laboratorios farmacéuticos no asociados aFarmaindustria que manifiesten, expresamente,su adhesión a este Código Tipo .
69Agencia Española de Protección de Datos
su adhesión a este Código Tipo .� CRO que presten servicios por cuenta de
laboratorios farmacéuticos para los estudios enlos que los laboratorios farmacéuticos seanpromotores, y manifiesten, expresamente, suadhesión a este Código Tipo. También aquellasCRO que presten servicios en materia defarmacovigilancia a los laboratoriosfarmacéuticos.
¿A QUIÉN AFECTA?
• Investigador principal/Investigadores• Centro Hospitalario• Monitor• Auditor y colaboradores.• Sujeto del ensayo
70Agencia Española de Protección de Datos
• Sujeto del ensayo
� Los obligados por el Código Tipo velarán paraque los anteriores cumplan la normativa deprotección de datos, no sólo la confidencialidad.
FICHEROS AFECTADOS
� Fichero de Investigación Clínica (FIC): es el ficherodel Centro Sanitario donde se lleva a cabo lainvestigación.
� Fichero de Cuaderno de Recogida de Datos (FCRD):es el fichero del laboratorio (promotor del ensayo).Este fichero contiene toda la información para larealización del estudio. La finalidad del tratamiento delos datos que constan en el FCRD consiste en evaluarlos resultados del estudio y efectuar las conclusiones
71Agencia Española de Protección de Datos
los datos que constan en el FCRD consiste en evaluarlos resultados del estudio y efectuar las conclusionesque procedan.
� Fichero de Farmacovigilancia (FFV): es el fichero dellaboratorio que contiene información sobresospechas de reacciones adversas notificadas porprofesionales sanitarios y de acontecimientosadversos experimentados por consumidores deproductos del laboratorio, para analizar aspectos deseguridad de dichos productos y enviar lainformación que proceda a las AutoridadesSanitarias.
RECOGIDA DE DATOS
� ¿Quién los recoge? El investigador y su equipo.� ¿Qué más obligaciones tiene el investigador?
� Información sanitaria y de protección de datos.� Recogida de datos adecuados, pertinentes y no
excesivos en relación con la finalidad del estudio.� Mantener los datos actualizados y veraces.� Deber de secreto .
72Agencia Española de Protección de Datos
� Deber de secreto .� Cumplir las medidas de seguridad de nivel alto.� Consentimiento: expreso y por escrito. Menores de 12
años, prestarán el consentimiento los representanteslegales. Si tienen más de 12 años, también el menor. Sise trata de adultos incapacitados, el representante legal,junto con el incapacitado si sus condiciones lopermiten.
� Consentimiento pare cesiones no establecidas en laLey.
INFORMACIÓN DE PROTECCIÓN DE DATOS
� Existencia de un fichero o tratamiento de datos decarácter personal, de la finalidad de la recogida deéstos y de los sujetos que puedan ser destinatariosde la información relativa al sujeto que no haya sidosometida a un proceso de disociación. En el caso deque los destinatarios estén fuera del Espacio
73Agencia Española de Protección de Datos
que los destinatarios estén fuera del EspacioEconómico Europeo, además de proceder a suidentificación será necesario informar sobre aquellospaíses en los que se encuentren ubicados.
� El carácter obligatorio o facultativo de su respuesta alas preguntas que les sean planteadas.
INFORMACIÓN DE PROTECCIÓN DE DATOS (II)
� Las consecuencias de la obtención de los datos o dela negativa a suministrarlos.
� La posibilidad de ejercitar sus derechos de acceso,rectificación, cancelación y oposición. Lasinstrucciones que en este sentido se proporcionen alos sujetos deberán ser conformes con el protocolode actuación para la atención de derechos ARCO que
74Agencia Española de Protección de Datos
de actuación para la atención de derechos ARCO queforma parte de este Código Tipo.
� La identidad y dirección del responsable del ficher o o, en su caso, de su representante.
� En su caso, que el promotor está adherido al CódigoTipo de Farmaindustria. El sujeto podrá consultar elcontenido del Código Tipo de forma presencial o através de Internet tanto en Farmaindustria como en laAgencia Española de Protección de Datos.
FIC / DATOS DISOCIADOS
LOPD CENTRO PROMOTOR MONITOR AUDITOR
Responsa-ble del FIC
X
75Agencia Española de Protección de Datos
Responsable del tratamiento del FIC
X
Encargado del tratamiento
X X
DISOCIACIÓN
� ¿Quién es el responsable de la disociación? Elinvestigador.
� ¿De qué forma? Asignando a cada sujeto uncódigo numérico o alfanumérico según unesquema de aleatorización generado por unbioestadístico .
76Agencia Española de Protección de Datos
bioestadístico .� Al pasar la información al Fichero CRD, sólo
pondrá ese código.� El investigador custodia la relación de datos
identificativos y códigos de disociación,accediendo a ellos el monitor, auditor einspector.
PROMOTOR/DATOS DISOCIADOS
� La comunicación entre el promotor y elinvestigador se realiza a través del monitor.
� El promotor no accederá a datos personales,pero establecerá los criterios del tratamiento delos datos personales de los sujetos participantes(RESPONSABLE DEL TRATAMIENTO).
� El monitor y CRO se limitarán a visualizar los
77Agencia Española de Protección de Datos
� El monitor y CRO se limitarán a visualizar losdatos personales a los que acceda, sinregistrarlos.
� El auditor, accederá a los datos de los sujetos,sin registrarlos, a fin de comprobar elcumplimiento del protocolo, PNT, BPC ynormativa aplicable.
EFECTOS ADVERSOS EC
� El investigador los notifica al Promotor sin datosidentificativos.
� El promotor traslada las reacciones graves a laAEMPS, CCAA y CEIC
� El seguro lo suscribe el Promotor, pero los datos
78Agencia Española de Protección de Datos
� El seguro lo suscribe el Promotor, pero los datosdel sujeto afectado los traslada a la aseguradorael investigador.
CONSERVACIÓN DE LA DOCUMENTACIÓN
� La conservación de la documentación del EC o del estudioes obligación del Centro (5 años).
� Los titulares de autorización de comercialización deberántomar las medidas necesarias para que los documentosesenciales de los ensayos clínicos, distintos del historia lmédico, del sujeto sean custodiados por los propietariosde los datos :
79Agencia Española de Protección de Datos
de los datos :o Un mínimo de 15 años tras la interrupción o finaliz ación del
estudio;o Un mínimo de 2 años desde la última concesión de la
autorización de comercialización de la Unión Europea y enaquellos casos en que no haya solicitudes decomercialización pendientes o previstas en la UniónEuropea;
o Un mínimo de 2 años tras la interrupción oficial deldesarrollo clínico del producto objeto de investigación.
CONSECUENCIAS PARA EL PROMOTOR QUE NO TIENE DATOS PERSONALES
� Los Promotores que hayan aplicado elprocedimiento de disociación, podrán comunicarlibremente los datos disociados a otras personasfísicas y jurídicas.
� No tendrán la obligación de aplicar medidas deseguridad a los datos disociados .
80Agencia Española de Protección de Datos
seguridad a los datos disociados .� Podrán comunicar libremente los datos
disociados a otros, sin importar el país dedomicilio donde radiquen.
� No tiene datos en los que ejercer los derechosARCO, pero si ejercitan algún derecho, tiene quecontestar. El que responderá es el investigador.
PROMOTOR / DATOS PERSONALES
� El Promotor, en general, no quiere acceder adatos personales, pero puede hacerlo porcontacto directo del sujeto, error humano…; paraevitarlo da instrucciones escritas al sujeto en elconsentimiento informado para que se dirija alinvestigador . Si a pesar de todo conoce datos
81Agencia Española de Protección de Datos
investigador . Si a pesar de todo conoce datospersonales, puede:• Cancelarlos• Crear un fichero específico para esos datos.• Cumplir la totalidad de la LOPD con ese
fichero.
FIC / DATOS PERSONALES
LOPD CENTRO PROMOTOR MONITOR AUDITOR
Responsable del Fichero
X
82Agencia Española de Protección de Datos
Responsable del tratamiento
X
Encargado del tratamiento
X X
FCRD / DATOS PERSONALES
LOPD PROMOTOR CRO
Responsable del Fichero X
83Agencia Española de Protección de Datos
Responsable del tratamiento X
Encargado del tratamiento X
CONSECUENCIAS PARA EL PROMOTOR QUE TIENE DATOS PERSONALES
� Las comunicaciones de datos personales a otrasempresas del grupo o a terceras compañíasexigirán el consentimiento del afectado para lacesión de sus datos a las compañías del grupo.
� Si están en un país sin el mismo nivel deprotección de datos que la UE, también se
84Agencia Española de Protección de Datos
protección de datos que la UE, también serequiere el consentimiento del sujeto o laautorización del Director de la AEPD .
� Aplicación en el FCRD de las medidas deseguridad de nivel alto.
� Atención derechos ARCO.
FARMACOVIGILANCIA
� La farmacovigilancia es la actividad de saludpública que tiene por objeto la identificación,cuantificación, evaluación y prevención de losriesgos asociados al uso de medicamentos unavez comercializados.
� Una de las herramientas que utiliza la
85Agencia Española de Protección de Datos
� Una de las herramientas que utiliza lafarmacovigilancia para monitorizar la seguridadde los medicamentos es la notificaciónespontánea, basada en la comunicación,recogida y evaluación de notificaciones desospechas de reacciones adversas amedicamentos, llevadas a cabo por profesionalessanitarios.
NOTIFICADORES FARMACOVIGILANCIA
• Profesional sanitario: médicos, farmacéuticos, dentista s,enfermeros y demás profesionales sanitarios que tienen, en treotras, la obligación de notificar las sospechas de reaccion esadversas de algún producto comercializado por un laboratori ofarmacéutico.
• Consumidor: persona ajena a las profesiones sanitarias queexperimenta un acontecimiento adverso durante el uso o lautilización de algún producto comercializado por un laboratorio
86Agencia Española de Protección de Datos
utilización de algún producto comercializado por un laboratoriofarmacéutico.
• Representante legal del consumidor: aquel sujeto que, enrepresentación de un sujeto incapacitado o menor de edad,comunica a la unidad de farmacovigilancia el acontecimient oexperimentado por el consumidor.
• Otros notificadores: Son aquéllas personas, ajenas a lasprofesiones sanitarias y no incluidas en los párrafos anter ioresque notifican a la unidad de farmacovigilancia un acontecim ientoadverso sufrido por el consumidor, como por ejemplo, losfamiliares o allegados de este último.
MEDIOS DE COMUNICACIÓN DE REACCIONES ADVERSAS
� Por vía telefónica.� A través del correo electrónico.� A través de aplicaciones de la página web del labor atorio.� Por medio de correo postal o fax.
� En general, el laboratorio no necesita conocer los datos
87Agencia Española de Protección de Datos
� En general, el laboratorio no necesita conocer los datospersonales del sujeto que ha sufrido una reacción adversa.
� Para el adecuado cumplimiento de las directricescontenidas en el Volumen 9 A de las Normas sobremedicamentos de la Unión Europea, se necesita hacer unseguimiento de las notificaciones, y para ello el laborator iotiene que tratar datos de carácter personal deconsumidores, de sus representantes legales o de otrosnotificadores.
FARMACOVIGILANCIA / DATOS DISOCIADOS
� ¿Quién es el responsable de la disociación? El profesionalsanitario que realiza una notificación y al personal de la uni dad defarmacovigilancia, encargado de recibir las notificacion es.
� El profesional sanitario, consumidores, representantes l egales uotros notificadores, deben proporcionar la siguiente info rmaciónen relación con la reacción adversa experimentada por elconsumidor:� Lugar de origen de la sospecha de reacción adversa .
88Agencia Española de Protección de Datos
� Lugar de origen de la sospecha de reacción adversa .� Fecha de nacimiento o edad del paciente; sexo; peso; talla.� Descripción de la reacción, de su gravedad y desenlace.� Tratamiento sospechoso de la reacción, tratamiento
concomitante y tratamiento administrado para tratar lareacción.
� Antecedentes personales, enfermedades concomitantes ypruebas diagnósticas.
� Información del profesional sanitario para hacer unseguimiento del caso.
FARMACOVIGILANCIA / DATOS DISOCIADOSPROFESIONAL SANITARIO
Se le informara: � Existencia de un fichero o tratamiento de datos de carácter
personal; de la finalidad de la recogida de estos datos y delos destinatarios de la información (Unidad deFarmacovigilancia y, si procede, empresas internacionalesdel grupo u otras empresas con las que se mantenganacuerdos de licencia de comercialización o para la
89Agencia Española de Protección de Datos
acuerdos de licencia de comercialización o para laelaboración de Informes Periódicos de Seguridad).
� Carácter facultativo de su respuesta a las preguntas que lesean planteadas y de las consecuencias de la obtención delos datos o de la negativa a suministrarlos.
� Posibilidad de ejercitar los derechos de acceso,rectificación, cancelación y oposición.
� Identidad y dirección del responsable del tratamiento o, ensu caso, de su representante.
CONSECUENCIAS PARA EL LABORATORIO QUE NO TIENE DATOS PERSONALES
� El Laboratorio que haya aplicado elprocedimiento de disociación, podrá comunicarlibremente los datos a otras personas físicas yjurídicas.
� No tendrá la obligación de aplicar medidas deseguridad a los datos disociados .
90Agencia Española de Protección de Datos
seguridad a los datos disociados .� Podrá comunicar libremente los datos disociados
a otros, sin importar el país de domicilio donderadiquen.
� No tiene datos en los que ejercer los derechosARCO, pero si ejercitan algún derecho, tiene quecontestar.
CONSECUENCIAS PARA EL LABORATORIORELACIONADO DATOS PROEFESIONALES
� Las comunicaciones de datos personales a otrasempresas del grupo, a terceras compañías y a laempresa matriz exigirán el consentimientoinequívoco e individualizado del profesionalsanitario.
� Para transferencias internacionales requerirá el
91Agencia Española de Protección de Datos
� Para transferencias internacionales requerirá elconsentimiento del profesional sanitario si va apaíses con un nivel de protección distinto del dela UE.
� Si es un grupo multinacional, requiereautorización del Director de la AGPD .
FARMACOVIGILANCIA / DATOS PERSONALES
o El Laboratorio no necesita conocer datos personales, peropuede tener acceso por:• Acontecimiento extraordinario y ajeno a la voluntad de
los responsables del laboratorio que obligue a conoceral consumidor.
• Daños al consumidor que obliguen a compensarlo
92Agencia Española de Protección de Datos
•económicamente.
• Error humano.o Si a pesar de todo conoce datos personales, puede:
• Cancelarlos• Crear un fichero específico para esos datos.• Cumplir la totalidad de la LOPD con ese fichero.
OBLIGACIONES LABORATORIO FV /DATOS PERSONALES
� Inscribir fichero FV en la AGPD.� Deber de información artículo 5 de la LOPD (No hace falta
consentimiento del afectado).� Recoger sólo datos adecuados y necesarios.� Conservación, al menos, 5 años.� Incorporar medidas de seguridad de nivel alto.
93Agencia Española de Protección de Datos
� Incorporar medidas de seguridad de nivel alto.� Atender el ejercicio de los derechos ARCO.� Las comunicaciones de datos personales a otras empresas
del grupo o a terceras compañías exigirán elconsentimiento inequívoco e individualizado del afectado(profesional sanitario, consumidor, representante legal uotros notificadores).
OBLIGACIONES LABORATORIO FV /DATOS PERSONALES (II)
� Las comunicaciones de datos personales a laempresa matriz con la finalidad de darcumplimiento a acuerdos de licencia decomercialización, de evaluar la seguridad de losproductos o de preparar Informes Periódicos deSeguridad, exigirán el consentimiento inequívoco
94Agencia Española de Protección de Datos
Seguridad, exigirán el consentimiento inequívocodel afectado.
� Transferencias internacionales requierenautorización del Director de la AGPD o motivoestablecido en la LOPD, consentimiento delafectado.
OBLIGACIONES LABORATORIO FV /DATOS PERSONALES (III)
� En caso de transferencias entre empresas ubicadasen distintos Estados pero que forman parte de unmismo grupo multinacional, el Director de la Agenciapodrá autorizar aquellas transferenciasinternacionales que tengan lugar en el seno de ungrupo multinacional de empresas siempre que dicho
95Agencia Española de Protección de Datos
grupo multinacional de empresas siempre que dichogrupo haya adoptado una serie de normas o reglasinternas vinculantes para todas las empresas delgrupo que puedan garantizar el cumplimiento de losprincipios y el ejercicio de los derechos reconocidosen la LOPD
� Contratos con CRO, deben cumplir el artículo 12 de laLOPD
VENTAJAS DEL CÓDIGO TIPO
� El Promotor tiene que cumplir la normativa deprotección de datos al trabajar en investigación.El Código Tipo facilita su actuación, y la de losdemás intervinientes, ya que contempla lainvestigación desde el principio y en cada fase,facilita modelos de consentimiento, de
96Agencia Española de Protección de Datos
facilita modelos de consentimiento, decontestación al ejercicio de los derechos ARCO …
97Agencia Española de Protección de Datos