Cheltuielile pentru studiile clinice în Europa ar putea fi reduse cu aproximativ 8,9 miliarde euro anual, dacă datele colectate de la pacienţi ar putea fi exportate către agenţiile de sănătate din statele terţe, susţine Marti Jimenez-Mausbach, vicepreşedinte şi director de cercetare al Institutului Ostrom, în cadrul unei opinii postate pe site-ul economiadigital.es, în care citează estimările făcute de European Institute of Social Security la finalul anului 2020.
"Alte lucrări recente (Yom- Tov&Ofran, 2022) sugerează că numărul de studii clinice de fază 1 şi 2 în ţările care nu aderă la GDPR a crescut considerabil. Implicaţiile Regulamentului European pentru Protecţia Datelor sunt considerabile pentru cercetarea clinică europeană, deoarece există multe situaţii când datele colectate de la pacienţi nu pot fi exportate şi companiile farmaceutice din Uniunea Europeană nu pot transmite aceste date agenţiilor de reglementare din ţări terţe, nici măcar Agenţiei pentru Alimente şi Medicamente din SUA (FDA). Drept urmare, există riscul ca respectivele companii să îşi mute centrele clinice în afara UE pentru a accesa un număr mai mare de pieţe. Situaţia actuală este gravă. Oamenii de ştiinţă europeni se străduiesc să găsească o bază legală pentru partajarea datelor medicale în temeiul noului regulament. În paralel, agenţiile federale din SUA, cum ar fi National Institutes of Health (NIH), cel mai mare finanţator de cercetare biomedicală din lume, nu au astăzi canale deschise pentru a primi date pseudonimizate/anonimizate colectate de partenerii lor europeni. Aceasta înseamnă că un număr semnificativ de universităţi şi grupuri de cercetare din SUA nu pot accesa, din punct de vedere legal, aceste date din cauza condiţiilor de transfer impuse de GDPR.
În mod tradiţional, directiva privind protecţia datelor a acordat prioritate utilizării consimţământului ca bază legală de legitimare a transferului şi folosirii acestor date. Cu toate acestea, în prezent, utilizarea consimţământului nu este întotdeauna simplă sau fezabilă, mai ales atunci când cercetarea se bazează pe colectarea, exploatarea, combinarea şi reutilizarea datelor în scopuri secundare şi utilizarea tehnologiilor Big Data, în special în domeniul cercetării genomice. Provocarea constă, aşadar, în utilizarea datelor transmise de pacienţi sau de participanţii la cercetare în alte scopuri neprevăzute iniţial. Multe colaborări ştiinţifice bazate pe utilizarea analizei datelor, chiar şi după includerea consimţământului informat corespunzător al pacientului, sunt în impas. 47 de centre de cercetare clinică din UE nu s-au putut înscrie în studiile privind tratarea Covid 19, finanţate de NIH. 35 de proiecte europene care evaluează influenţele genetice şi de mediu asupra riscului diferitelor tipuri de cancer nu pot progresa din cauza restricţiilor privind transferul de date. În plus, GDPR are efecte directe asupra îngrijirii clinice în mediile academice. Cercetătorii de la centrele clinice aparţinând NIH nu au reuşit să obţină mostre de la donatori potriviţi din Germania pentru a transplanta celule stem unor pacienţi cu limfom, în ciuda consimţământului donatorului", afirmă Marti Jimenez-Mausbach în opinia publicată în sursa citată.
• Nou acord pentru transferul datelor în SUA
Pentru a rezolva această problemă, anul trecut preşedintele american Joe Biden şi preşedintele Comisiei Europene, Ursula von der Leyen, s-au angajat în elaborarea unui nou cadru transatlantic pentru a restabili fluxurile de date comerciale între SUA şi UE, după ce Curtea de Justiţie a Uniunii Europene (CJUE) le-a oprit brusc în 2020. Atunci CJUE a decis, în urma unei plângeri formulată de avocatul austriac Max Schrems împotriva Facebook , prin care susţinea că legile din SUA nu oferă aceeaşi protecţie precum directiva europeană în materie, că anteriorul cadru, cunoscut sub numele de Privacy Shield Framework, a încălcat standardele stricte ale Uniunii Europene privind confidenţialitatea datelor.
"Regulament general al UE pentru protecţia datelor(GDPR) se bazează pe conceptul de flux liber al datelor cu caracter personal, dar numai într-o sferă care protejează confidenţialitatea utilizatorilor. Întrebarea este dacă în noul cadru de reglementare transatlantic, companiile americane vor putea continua să prelucreze date europene fără a respecta GDPR sau dacă vor începe să solicite consimţământul personal ca bază legală pentru prelucrarea datelor. (...) GDPR oferă cetăţenilor europeni mai mult control asupra datelor lor personale. S-ar putea spune că extinderea sa teritorială demonstrează ceea ce a fost inventat drept efectul Bruxelles : capacitatea UE de a crea standarde sectoriale ca o condiţie pentru accesul pe piaţă, care sunt apoi adoptate de companiile internaţionale. Dar GDPR a avut şi consecinţe nedorite destul de îngrijorătoare, rezultatul aplicării principiilor generale aplicate industriilor de marketing şi altor forme de prelucrare a datelor în cercetarea biomedicală. Aplicaţiile şi interpretările GDPR nu iau în considerare modul în care utilizările de cercetare ale datelor cu caracter personal diferă de alte utilizăriain , mai ales că datele medicale sunt pseudonimizate", precizează vicepreşedintele Institutului Ostrom.
El arată că noul cadru de colaborare SUA-UE pentru fluxurile de date comerciale semnat anul trecut reprezintă o oportunitate de a crea un pact care să susţină garanţiile puternice ale confidenţialităţii din GDPR, permiţând în acelaşi timp ştiinţei să avanseze.
"Unele alternative ar putea lua forma unui acord internaţional sau modificări la actualul GDPR pentru a recunoaşte partajarea datelor ştiinţifice în interesul public. Ştiinţele omice reprezintă o mare oportunitate de a avansa în noi tratamente şi instrumente de diagnosticare, precum şi în medicina preventivă. Rezolvarea acestor bariere frustrante în calea schimbului de date între Statele Unite şi Europa le va permite oamenilor de ştiinţă să dezvolte studii clinice mai multe şi mai bune, să identifice noi ţinte terapeutice şi să îndeplinească contractul social cu acei eroi care se oferă voluntari pentru studiile clinice şi speră că datele lor ajută la stimularea dezvoltarea medicamentelor inovatoare. Legiuitorul european ar trebui să caute un echilibru între libera circulaţie internaţională a datelor genetice şi de sănătate şi protejarea dreptului fundamental la protecţia datelor cu caracter personal", afirmă Marti Jimenez-Mausbach.
• Studiile clinice, furnizarea serviciilor medicale şi telemedicina, afectate de GDPR
Aceeaşi opinie o are şi David Peloquin, partener la Ropes&Grey LLP (o companie americană din domeniul sănătăţii), care susţine într-un material publicat de site-ul mondaq.com că transferurile transfrontaliere de date cu caracter personal reprezintă o problemă importantă pentru pacienţi, în special în domeniul cercetării clinice şi telemedicinei, din cauza restricţiilor impuse de GDPR.
"Regula generală conform GDPR este că datele cu caracter personal nu pot fi transferate în afara UE într-o ţară care nu a fost stabilită de Comisia Europeană ca având o legislaţie adecvată privind protecţia datelor, cu excepţia cazului în care părţile care finalizează transferul îndeplinesc unul dintre mecanismele stabilite de regulamentul european, cum ar fi Clauzele Contractuale Standard (SCC). Statele Unite ale Americii şi majoritatea ţărilor situate în afara UE nu au fost considerate de către Comisia Europeană ca având o astfel de legislaţie privind protecţia datelor. Aceasta înseamnă că majoritatea transferurilor transatlantice de date cu caracter personal trebuie să satisfacă unul dintre mecanismele de transfer ale GDPR, lucru care are impact direct auspra cercetării ştiinţifice din domeniul sănătăţii. De exemplu, a devenit o cutumă ca studiile clinice să aibă loc în mai multe regiuni simultan, necesitând astfel transferul transfrontalier al datelor studiilor clinice în legătură cu studiul. Adesea, este posibil să avem o companie de biotehnologie care se află exclusiv în Statele Unite ale Americii, care devine rapid supusă restricţiilor GDPR privind transferurile transfrontaliere de date, deoarece compania sponsorizează un studiu clinic care are filiale situate în UE sau Regatul Unit. Pentru a accesa datele respective care sunt necesare pentru efectuarea unor analize sau teste în vederea aprobării regflementării noilor produse, compania de biotehnologie va trebui să navigheze prin restricţiile GDPR privind transferurile transfrontaliere de date", arată David Peloquin.
El afirmă că problema respectivă afectează şi furnizorii de servicii medicale din SUA, cum ar fi spitalele, care se angajează în colaborări de cercetare cu instituţii sau consorţii situate în UE şi Marea Britanie.
"În aceste cazuri, chiar dacă furnizorul de servicii medicale din SUA nu interacţionează el însuşi cu subiecţii studiului aflaţi în UE sau Regatul Unit sau nu sponsorizează cercetarea, cercetătorii din SUA vor trebui adesea să primească seturi de date de la instituţiile lor colaboratoare din UE şi Marea Britanie. Transferurile acestor seturi de date vor fi supuse limitărilor GDPR privind transferul transfrontalier de date, chiar dacă seturile de date sunt într-un format codificat sau pseudonimizat", precizează David Peloquin.
Reprezentantul companiei Ropes&Grey LLP menţionează că problema privind transferul internaţional de date afectează şi telemedicina.
"Aici, din nou, este posibil să aveţi un furnizor de servicii medicale din SUA care interacţionează cu pacienţi sau medici din UE sau Regatul Unit pentru a oferi o întâlnire de telemedicină sau o consultare de la medic la medic. Chiar dacă furnizorul de servicii medicale din SUA accesează înregistrările din UE sau din Regatul Unit de la distanţă, dintr-o locaţie din SUA, şi nu descarcă niciodată fişierele pacientului european, simpla vizualizare a fişierelor care conţin date personale dintr-o locaţie din SUA de către medicul american poate fi considerată un transfer de date în care trebuie să se supună normelor stabilite prin GDPR", susţine David Peloquin.
• Acord internaţional de transfer de date implementat de Marea Britanie
El aminteşte că, în urma deciziei Curţii de Justiţie a Uniunii Europene din 2020 în cazul Schrems, Comisia Europeană a revizuit în 2021 Clauzele Contractuale Standard (SCC), mecanism utilizat pentru transferul datelor din UE în SUA. Termenul limită pentru actualizarea contractelor existente pentru a utiliza versiunea revizuită a SCC-urilor a fost 27 decembrie 2022, dar chiar şi aşa, din punct de vedere tehnic, SCC-urile revizuite nu pot fi utilizate pentru transferuri de date cu caracter personal din UE către o entitate situată în SUA care este direct supusă GDPR.
"Multe entităţi situate în SUA care primesc date din Europa sunt ele însele supuse direct GDPR deoarece se încadrează în domeniul extrateritorial al GDPR. De exemplu, majoritatea sponsorilor de studii clinice care finanţează studiile clinice în UE sau furnizorii de telemedicină care oferă servicii în UE ar fi direct supuşi GDPR şi, prin urmare, aceste entităţi nu pot utiliza SCC ca mijloc de transfer transfrontalier de date. Cu toate acestea, multe entităţi supuse direct GPDR continuă să folosească SCC-uri pentru transferuri din cauza lipsei unei alternative viabile, în ciuda faptului că textul SCC-urilor stabileşte că acestea nu pot fi folosite cu entităţi direct supuse GDPR. Într-un set de întrebări frecvente care a fost lansat în luna mai a anului trecut, Comisia Europeană a recunoscut această problemă şi a spus că anticipează emiterea unui nou set de SCC-uri în viitorul apropiat pentru transferurile către entităţi care sunt direct supuse GDPR. Aceasta înseamnă că entităţile din SUA care sunt direct supuse GDPR şi se bazează în prezent pe SCC pentru transferuri, ar putea, în 2023, să fie nevoite să întreprindă o nouă rundă de negocieri cu contrapărţile pentru a pune în aplicare un nou set revizuit de SCC", arată David Peloquin.
În acest timp, Marea Britanie a lansat în martie 2022 propriile SCC-uri, sub numele de Acord internaţional de transfer de date (IDTA), care prevede două variante: un acord de sine stătător şi un addendum la SCC-urile UE. Începând cu luna septembrie a anului trecut, noile contracte care implică transferuri transfrontaliere de date cu caracter personal care fac obiectul GDPR din Regatul Unit trebuie să utilizeze fie IDTA autonom, fie addendumul la SCC-urile UE. Entităţile trebuie să îşi actualizeze contractele existente care se bazează pe SCC-urile UE pentru datele din Regatul Unit pentru a include aceste contracte specifice până la 21 martie 2024.
• Instituţiile europene, aşteptate să ofere o soluţie viabilă transferului internaţional de date
Cu toate acestea, cea mai importantă evoluţie privind soluţionarea acestei probleme, în opinia reprezentantului companiei Ropes&Grey LLP este noul acord-cadru încheiat între Administraţia Biden şi Comisia Europeană privind transferul de date. Comisia Europeană a publicat în 13 decembrie 2022 un proiect privind o viitoare decizie privind implementarea noului cadru.
"Noul scut de confidenţialitate revizuit va fi disponibil numai entităţilor care sunt supuse jurisdicţiei Comisiei Federale pentru Comerţ din SUA sau Departamentului de Transport al SUA şi, prin urmare, cele mai multe organizaţii nonprofit nu se vor putea autocertifica în conformitate cu noul acord cadru. Cu toate acestea, de acord vor beneficia şi aceste organizaţii, deoarece noul cadru privind transferurile transfrontaliere de date abordează preocupările cheie din decizia CJUE în speţa Schrems. Cadrul revizuit limitează accesul la datele personale pentru agenţiile de informaţii din SUA la strict ceea ce este necesar şi proporţional, introduce modalităţi de despăgubire pentru persoanele din UE împotriva agenţiilor de informaţii din SUA care le accesează datele şi acordă despăgubiri în cazul în care organizaţiile certificate de Privacy Shield nu respectă noile norme", arată David Peloquin, care se aşteaptă însă ca şi noul cadru să fie contestat la CJUE de către avocatul austriac Max Schrems.
El menţionează că în acest an Comitetul European pentru Protecţia Datelor urmează să emită un document de orientare privind modul în care normele GDPR se aplică în cazul cercetării ştiinţifice, document care va oferi un răspuns şi la problemele ivite în transferul transfrontalier de date.